【正文】 第四節(jié) 防止非法入侵 ? 網(wǎng)絡(luò) “ 黑客 ” 常用的攻擊手段 （一）“黑客”的概念 黑客可以分為兩類： 一類是 駭客 ，他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會破壞系統(tǒng)，僅僅做一些無傷大雅的惡作劇。 次日又將網(wǎng)站主頁變?yōu)橐粡埪泱w女人照片 ， 致使網(wǎng)站關(guān)閉 。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 案例 2：網(wǎng)上復(fù)制權(quán)與傳播權(quán)侵權(quán)案 北京市海淀區(qū)人民法院經(jīng)審理認(rèn)為，被告未經(jīng)許可將原告的作品在網(wǎng)上傳播，侵害了原告對其作品享有的使用權(quán)和獲得報酬權(quán)。由于某實業(yè)有限公司已于 10日以 11000元的價格購買了另一家工廠生產(chǎn)的辦公桌椅， 就以雙方?jīng)]有簽署書面合同為由拒收 ，雙方協(xié)商不成， 3月 16日某木制品加工廠起訴至法院。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 案例 1：電子合同 電子郵件還對辦公桌椅的尺寸、式樣、顏色作了說明，并附了樣圖。 1999年 3月，我國頒布的 《 合同法 》將傳統(tǒng)的書面合同形式擴(kuò)大到數(shù)據(jù)電文形式，即電子合同。歐盟規(guī)定消費(fèi)者在歐盟內(nèi)部跨國購買 商品，起訴商家時可以用消費(fèi)者本國相關(guān)法律起訴，而不用到商 家所在國家進(jìn)行起訴，以保護(hù)消費(fèi)者的權(quán)益。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 3. 信息安全的法律制度 4. 消費(fèi)者權(quán)益保護(hù)的法律制度 1. 與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則 2. 電子支付的法律制度 《 信息系統(tǒng)安全性指南 》 涵蓋了九項安全性原則，這些原則 系統(tǒng)地闡述了高層次的需求，諸如明確安全責(zé)任的需求、知曉安 全措施和手續(xù)的需求以及尊重其他用戶的權(quán)利和合法利益的需求 等。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 2. 電子支付的法律制度 3. 信息安全的法律制度 4. 消費(fèi)者權(quán)益保護(hù)的法律制度 1. 與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則 1978年制定的 《 1978年電子資金劃撥法 》 ，其主要內(nèi)容是 保護(hù)銀行客戶的合法權(quán)益，使用于客戶是自然人的小額電子資 金劃撥。 （ 3）建立電子注冊處。即事前在系統(tǒng)上安裝一 個防病毒的網(wǎng)絡(luò)軟件，它能夠在病毒入侵到系統(tǒng)之前，將 其擋在系統(tǒng)外邊。 2）對于不可管設(shè)備應(yīng)通過手工操作來檢查狀態(tài)，做到 定期檢查與隨機(jī)抽查相結(jié)合，以便及時準(zhǔn)確地掌握網(wǎng)絡(luò)的 運(yùn)行狀況，一旦有故障發(fā)生能及時處理。 人員管理 保密 跟蹤、審計、稽核 系統(tǒng)維護(hù) 病毒防范 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 跟蹤制度 要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)的日志機(jī)制，用 來記錄系統(tǒng)運(yùn)行的全過程。 人員管理 保密 跟蹤、審計、稽核 系統(tǒng)維護(hù) 病毒防范 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 保密制度需要很好地劃分信息的安全級別，確定安全 防范重點，并提出相應(yīng)的保密措施。 其次，落實工作責(zé)任制，對違反網(wǎng)上交易安全規(guī)定的 行為應(yīng)堅決進(jìn)行打擊，對有關(guān)人員要進(jìn)行及時的處理。 SET安全協(xié)議能夠保證信息在網(wǎng)上安全傳輸；保證電子 商務(wù)參與者信息的相互隔離（商家看不到信用卡信息）； 解決多方認(rèn)證問題；保證交易的實時性；可以運(yùn)行在不同 的硬件和操作系統(tǒng)平臺上。整個過程缺少客戶對商家的認(rèn)證。 身份認(rèn)證 信息認(rèn)證 通過認(rèn)證機(jī)構(gòu)認(rèn)證 第二節(jié) 電子商務(wù)安全技術(shù) ? 交易方自身網(wǎng)絡(luò)安全保障技術(shù) （一）用戶賬號管理和網(wǎng)絡(luò)殺毒技術(shù) （二）防火墻技術(shù) （三）虛擬專用技術(shù) （四）入侵檢測技術(shù) ? 電子商務(wù)信息傳輸安全保障技術(shù) （一） 加密技術(shù) （二） 數(shù)字摘要技術(shù) ? 身份和信息認(rèn)證技術(shù) （一） 身份認(rèn)證 （二） 信息認(rèn)證 （三） 通過認(rèn)證機(jī)構(gòu)認(rèn)證 ? 電子商務(wù)安全支付技術(shù) （一） SSL安全協(xié)議 （二） SET安全協(xié)議 第二節(jié) 電子商務(wù)安全技術(shù) ? 電子商務(wù)安全支付技術(shù) （一） SSL安全協(xié)議 （二） SET安全協(xié)議 如何通過電子支付安全地完成整個交易過程？目 前雖然還沒有形成公認(rèn)成熟的解決辦法，但人們還是 不斷通過各種途徑進(jìn)行大量的探索， SSL安全協(xié)議和 SET安全協(xié)議已廣泛應(yīng)用于電子支付。 身份認(rèn)證 信息認(rèn)證 通過認(rèn)證機(jī)構(gòu)認(rèn)證 商務(wù)活動通過公開網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，對傳輸過程中 信息的保密性、完整性和不可抵賴性提出了更高的要求。 身份認(rèn)證 信息認(rèn)證 通過認(rèn)證機(jī)構(gòu)認(rèn)證 因此，要求認(rèn)證機(jī)構(gòu)或信息服務(wù)商應(yīng)當(dāng)提供如下認(rèn)證 的功能： 1）可信性：信息來源可信，接收者能確認(rèn)發(fā)送者； 2）完整性：信息在傳輸過程中沒有被修改、替換等； 3）不可抵賴性：發(fā)送者和接受者不能否認(rèn)各自行為； 4）訪問控制：拒絕非法用戶訪問系統(tǒng)資源，合法用戶 只能訪問系統(tǒng)授權(quán)和指定的資源。 ? 三、身份和信息認(rèn)證技術(shù) 客戶認(rèn)證技術(shù) 是保證網(wǎng)上交易安全的一項重要技術(shù)。 比如對于具有 n個用戶的網(wǎng)絡(luò)，需要 n(n－1)/2個密鑰，在用戶群不是很大的情況下，對稱加密系統(tǒng)是有效的，但是對于大型網(wǎng)絡(luò)，用戶群很大而且分布很廣時，密鑰的分配和保存就成了大問題，同時也就增加了系統(tǒng)的開銷。再轉(zhuǎn)換成字母后，就是 URYYB。如果數(shù)字大于 26，就相應(yīng)把它減少 26，以便讓這個數(shù)字處于字母表的范圍內(nèi)。 對稱密鑰加密技術(shù) 明文 加密算法 解密算法 密文 明文 密鑰 K 密鑰 K A B ? 舉例 Happy New Year 每個字母用前一字母代替 ,例 G代替 H Gzoox Mdv Xdzq 密文 明文 明文 Happy New Year 每個字母用后一個字母代替 一個簡單的加密算法 —— ROT13 ? 最簡單的加密算法之一是 ROT13。 非對稱密鑰算法的加密解密流程 加密 原文 密文 原文 解密 公鑰 私鑰 非對稱密鑰密碼體制 非對稱加密方式中密鑰的分發(fā)與管理 非對稱密鑰密碼體制 老張 小李的公開 密匙 小李 老張 密文 小李 小李的私有 密匙 老張的私有 密匙 老張的公開 密匙 密文 鑒別 保密 用 RSA鑒別 ,只有老張能發(fā)出該信息 用 RSA保密 ,只有小李能解開該信息 非對稱密鑰密碼體制 非對稱密鑰密碼技術(shù)的優(yōu)缺點： 優(yōu)點： 第一，在多人之間進(jìn)行保密信息傳輸所需的密鑰組合數(shù)量很?。? 第二，密鑰的發(fā)布不成問題； 第三，公開密鑰系統(tǒng)可實現(xiàn)數(shù)字簽名。由于密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，使它難以滿足系統(tǒng)的開放性要求。 – 解密使用相同的方法，密鑰為 3 。 現(xiàn)代密碼學(xué)的一個基本原則是： 一切秘密寓于密鑰之中 。 而 “ 解密 ” 就是將密文重新恢復(fù)成明文。 用戶賬號管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測技術(shù) 內(nèi)部網(wǎng) 內(nèi)部網(wǎng) 互聯(lián)網(wǎng) 通過 VPN組建的企業(yè)內(nèi)部網(wǎng) 入侵檢測（ “ IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行 即時監(jiān)視 ，在發(fā)現(xiàn)可疑傳輸時 發(fā)出警報 或者采取 主動反應(yīng) 措施的網(wǎng)絡(luò)安全設(shè)備。 用戶賬號管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測技術(shù) 防火墻 是由軟件和硬件設(shè)備組合而成的，是處于企業(yè)內(nèi)部網(wǎng)和外部網(wǎng) 之間，用戶加強(qiáng)內(nèi)外之間安全防范的一個或一組系統(tǒng)。因此， 用戶賬號的安全管理措施包括： （ 1） 技術(shù)層面的安全支持 ，即針對用戶賬號完整性的技術(shù)，包括用戶分組管理 （對不同的成員賦予不同的權(quán)限） 、單一登錄密碼制 （用戶在企業(yè)計算機(jī)網(wǎng)絡(luò)任何地方都使用同一個用戶名和密碼） 、用戶認(rèn)證（ 結(jié)合多種手段如電話號碼、 IP地址、用戶使用的時間等精確地確認(rèn)用戶）。 （ 1）技術(shù)方面：防火墻技術(shù)、網(wǎng)絡(luò)防毒等。 有效性 機(jī)密性 完整性 真實性和不可抵賴性的鑒別 要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或 國家甚至是交易信息本身提供可靠的標(biāo)識，如電子簽名、時 間戳等。因此，要預(yù)防非法的信息存取和信息在傳輸過程中 被非法竊取。由于 Inter本身的開放性，使網(wǎng)上交易面臨了種種危險，由此提出了相應(yīng)的安全控制要求。 5. 法律風(fēng)險 法律滯后的風(fēng)險 法律的事后完善的風(fēng)險 在網(wǎng)上交易可能會承擔(dān)由于法律滯后， 即目前尚沒有相關(guān)法律進(jìn)行規(guī)范，因而無 法保證合法交易的權(quán)益所造成的風(fēng)險。為防止此類風(fēng)險， 需要有 完善的制度設(shè)計 ，形成一套相互關(guān)聯(lián)、相互制約的 制度。 3. 信用風(fēng)險 來自買方的信用風(fēng)險 來自賣方的信用風(fēng)險 買賣雙方都存在抵賴的情況 賣方不能按質(zhì)、按量、按時寄送消費(fèi)者 購買的貨物。 請給 丁匯 100元 乙 甲 請給 丁匯 100元 請給 丙匯 100元 丙 請給 丙匯 100元 2. 信息傳輸風(fēng)險 冒名 偷竊 篡改 數(shù)據(jù) 信息 丟失 信息傳遞過程中的破壞 虛假 信息 交易信息的丟失，可能有三種情況： 一是因為線路問題造成信息丟失； 二是因為安全措施不當(dāng)而丟失信息； 三是在不同的操作平臺上轉(zhuǎn)換操作不 當(dāng)而丟失數(shù)據(jù)。 通過上述案例可以看出隨著互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展，利用網(wǎng)絡(luò)犯罪的行為會大量出現(xiàn)，為了保證電子商務(wù)的順利發(fā)展，法律保障是必不可少的。 2022年 2月 3日，“熊貓燒香”病毒的制造者李俊落網(wǎng)。 1. 網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險 ① 物理實體的安全風(fēng)險 ② 計算機(jī)軟件系統(tǒng)風(fēng)險 ③ 網(wǎng)絡(luò)協(xié)議的安全漏洞 ④ 黑客的惡意攻擊 ⑤ 計算機(jī)病毒攻擊 計算機(jī)病毒是編制或者在計算機(jī)程序 中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)， 影響計算機(jī)使用，并且能自我復(fù)制的一組 計算機(jī)指令或程序代碼。 1. 網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險 ① 物理實體的安全風(fēng)險 ② 計算機(jī)軟件系統(tǒng)風(fēng)險 ③