【正文】 第四節(jié) 防止非法入侵 ? 網(wǎng)絡(luò) “ 黑客 ” 常用的攻擊手段 （一）“黑客”的概念 黑客可以分為兩類： 一類是 駭客 ，他們只想引人注目，證明自己的能力，在進(jìn)入網(wǎng)絡(luò)系統(tǒng)后，不會(huì)破壞系統(tǒng)，僅僅做一些無傷大雅的惡作劇。 次日又將網(wǎng)站主頁變?yōu)橐粡埪泱w女人照片 ， 致使網(wǎng)站關(guān)閉 。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 案例 2：網(wǎng)上復(fù)制權(quán)與傳播權(quán)侵權(quán)案 北京市海淀區(qū)人民法院經(jīng)審理認(rèn)為，被告未經(jīng)許可將原告的作品在網(wǎng)上傳播，侵害了原告對(duì)其作品享有的使用權(quán)和獲得報(bào)酬權(quán)。由于某實(shí)業(yè)有限公司已于 10日以 11000元的價(jià)格購買了另一家工廠生產(chǎn)的辦公桌椅， 就以雙方?jīng)]有簽署書面合同為由拒收 ，雙方協(xié)商不成， 3月 16日某木制品加工廠起訴至法院。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 案例 1：電子合同 電子郵件還對(duì)辦公桌椅的尺寸、式樣、顏色作了說明，并附了樣圖。 1999年 3月，我國頒布的 《 合同法 》將傳統(tǒng)的書面合同形式擴(kuò)大到數(shù)據(jù)電文形式，即電子合同。歐盟規(guī)定消費(fèi)者在歐盟內(nèi)部跨國購買 商品，起訴商家時(shí)可以用消費(fèi)者本國相關(guān)法律起訴，而不用到商 家所在國家進(jìn)行起訴，以保護(hù)消費(fèi)者的權(quán)益。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 3. 信息安全的法律制度 4. 消費(fèi)者權(quán)益保護(hù)的法律制度 1. 與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則 2. 電子支付的法律制度 《 信息系統(tǒng)安全性指南 》 涵蓋了九項(xiàng)安全性原則，這些原則 系統(tǒng)地闡述了高層次的需求，諸如明確安全責(zé)任的需求、知曉安 全措施和手續(xù)的需求以及尊重其他用戶的權(quán)利和合法利益的需求 等。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 2. 電子支付的法律制度 3. 信息安全的法律制度 4. 消費(fèi)者權(quán)益保護(hù)的法律制度 1. 與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則 1978年制定的 《 1978年電子資金劃撥法 》 ，其主要內(nèi)容是 保護(hù)銀行客戶的合法權(quán)益，使用于客戶是自然人的小額電子資 金劃撥。 （ 3）建立電子注冊(cè)處。即事前在系統(tǒng)上安裝一 個(gè)防病毒的網(wǎng)絡(luò)軟件，它能夠在病毒入侵到系統(tǒng)之前，將 其擋在系統(tǒng)外邊。 2）對(duì)于不可管設(shè)備應(yīng)通過手工操作來檢查狀態(tài)，做到 定期檢查與隨機(jī)抽查相結(jié)合，以便及時(shí)準(zhǔn)確地掌握網(wǎng)絡(luò)的 運(yùn)行狀況，一旦有故障發(fā)生能及時(shí)處理。 人員管理 保密 跟蹤、審計(jì)、稽核 系統(tǒng)維護(hù) 病毒防范 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 跟蹤制度 要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)的日志機(jī)制，用 來記錄系統(tǒng)運(yùn)行的全過程。 人員管理 保密 跟蹤、審計(jì)、稽核 系統(tǒng)維護(hù) 病毒防范 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 保密制度需要很好地劃分信息的安全級(jí)別，確定安全 防范重點(diǎn)，并提出相應(yīng)的保密措施。 其次，落實(shí)工作責(zé)任制，對(duì)違反網(wǎng)上交易安全規(guī)定的 行為應(yīng)堅(jiān)決進(jìn)行打擊，對(duì)有關(guān)人員要進(jìn)行及時(shí)的處理。 SET安全協(xié)議能夠保證信息在網(wǎng)上安全傳輸；保證電子 商務(wù)參與者信息的相互隔離（商家看不到信用卡信息）； 解決多方認(rèn)證問題；保證交易的實(shí)時(shí)性；可以運(yùn)行在不同 的硬件和操作系統(tǒng)平臺(tái)上。整個(gè)過程缺少客戶對(duì)商家的認(rèn)證。 身份認(rèn)證 信息認(rèn)證 通過認(rèn)證機(jī)構(gòu)認(rèn)證 第二節(jié) 電子商務(wù)安全技術(shù) ? 交易方自身網(wǎng)絡(luò)安全保障技術(shù) （一）用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) （二）防火墻技術(shù) （三）虛擬專用技術(shù) （四）入侵檢測(cè)技術(shù) ? 電子商務(wù)信息傳輸安全保障技術(shù) （一） 加密技術(shù) （二） 數(shù)字摘要技術(shù) ? 身份和信息認(rèn)證技術(shù) （一） 身份認(rèn)證 （二） 信息認(rèn)證 （三） 通過認(rèn)證機(jī)構(gòu)認(rèn)證 ? 電子商務(wù)安全支付技術(shù) （一） SSL安全協(xié)議 （二） SET安全協(xié)議 第二節(jié) 電子商務(wù)安全技術(shù) ? 電子商務(wù)安全支付技術(shù) （一） SSL安全協(xié)議 （二） SET安全協(xié)議 如何通過電子支付安全地完成整個(gè)交易過程？目 前雖然還沒有形成公認(rèn)成熟的解決辦法，但人們還是 不斷通過各種途徑進(jìn)行大量的探索， SSL安全協(xié)議和 SET安全協(xié)議已廣泛應(yīng)用于電子支付。 身份認(rèn)證 信息認(rèn)證 通過認(rèn)證機(jī)構(gòu)認(rèn)證 商務(wù)活動(dòng)通過公開網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，對(duì)傳輸過程中 信息的保密性、完整性和不可抵賴性提出了更高的要求。 身份認(rèn)證 信息認(rèn)證 通過認(rèn)證機(jī)構(gòu)認(rèn)證 因此，要求認(rèn)證機(jī)構(gòu)或信息服務(wù)商應(yīng)當(dāng)提供如下認(rèn)證 的功能： 1）可信性：信息來源可信，接收者能確認(rèn)發(fā)送者； 2）完整性：信息在傳輸過程中沒有被修改、替換等； 3）不可抵賴性：發(fā)送者和接受者不能否認(rèn)各自行為； 4）訪問控制：拒絕非法用戶訪問系統(tǒng)資源，合法用戶 只能訪問系統(tǒng)授權(quán)和指定的資源。 ? 三、身份和信息認(rèn)證技術(shù) 客戶認(rèn)證技術(shù) 是保證網(wǎng)上交易安全的一項(xiàng)重要技術(shù)。 比如對(duì)于具有 n個(gè)用戶的網(wǎng)絡(luò)，需要 n(n－1)/2個(gè)密鑰，在用戶群不是很大的情況下，對(duì)稱加密系統(tǒng)是有效的，但是對(duì)于大型網(wǎng)絡(luò)，用戶群很大而且分布很廣時(shí)，密鑰的分配和保存就成了大問題，同時(shí)也就增加了系統(tǒng)的開銷。再轉(zhuǎn)換成字母后，就是 URYYB。如果數(shù)字大于 26，就相應(yīng)把它減少 26，以便讓這個(gè)數(shù)字處于字母表的范圍內(nèi)。 對(duì)稱密鑰加密技術(shù) 明文 加密算法 解密算法 密文 明文 密鑰 K 密鑰 K A B ? 舉例 Happy New Year 每個(gè)字母用前一字母代替 ,例 G代替 H Gzoox Mdv Xdzq 密文 明文 明文 Happy New Year 每個(gè)字母用后一個(gè)字母代替 一個(gè)簡(jiǎn)單的加密算法 —— ROT13 ? 最簡(jiǎn)單的加密算法之一是 ROT13。 非對(duì)稱密鑰算法的加密解密流程 加密 原文 密文 原文 解密 公鑰 私鑰 非對(duì)稱密鑰密碼體制 非對(duì)稱加密方式中密鑰的分發(fā)與管理 非對(duì)稱密鑰密碼體制 老張 小李的公開 密匙 小李 老張 密文 小李 小李的私有 密匙 老張的私有 密匙 老張的公開 密匙 密文 鑒別 保密 用 RSA鑒別 ,只有老張能發(fā)出該信息 用 RSA保密 ,只有小李能解開該信息 非對(duì)稱密鑰密碼體制 非對(duì)稱密鑰密碼技術(shù)的優(yōu)缺點(diǎn)： 優(yōu)點(diǎn)： 第一，在多人之間進(jìn)行保密信息傳輸所需的密鑰組合數(shù)量很??； 第二，密鑰的發(fā)布不成問題； 第三，公開密鑰系統(tǒng)可實(shí)現(xiàn)數(shù)字簽名。由于密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，使它難以滿足系統(tǒng)的開放性要求。 – 解密使用相同的方法，密鑰為 3 。 現(xiàn)代密碼學(xué)的一個(gè)基本原則是： 一切秘密寓于密鑰之中 。 而 “ 解密 ” 就是將密文重新恢復(fù)成明文。 用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測(cè)技術(shù) 內(nèi)部網(wǎng) 內(nèi)部網(wǎng) 互聯(lián)網(wǎng) 通過 VPN組建的企業(yè)內(nèi)部網(wǎng) 入侵檢測(cè)（ “ IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行 即時(shí)監(jiān)視 ，在發(fā)現(xiàn)可疑傳輸時(shí) 發(fā)出警報(bào) 或者采取 主動(dòng)反應(yīng) 措施的網(wǎng)絡(luò)安全設(shè)備。 用戶賬號(hào)管理和網(wǎng)絡(luò)殺毒技術(shù) 防火墻技術(shù) 虛擬專用技術(shù) 入侵檢測(cè)技術(shù) 防火墻 是由軟件和硬件設(shè)備組合而成的，是處于企業(yè)內(nèi)部網(wǎng)和外部網(wǎng) 之間，用戶加強(qiáng)內(nèi)外之間安全防范的一個(gè)或一組系統(tǒng)。因此， 用戶賬號(hào)的安全管理措施包括： （ 1） 技術(shù)層面的安全支持 ，即針對(duì)用戶賬號(hào)完整性的技術(shù)，包括用戶分組管理 （對(duì)不同的成員賦予不同的權(quán)限） 、單一登錄密碼制 （用戶在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)任何地方都使用同一個(gè)用戶名和密碼） 、用戶認(rèn)證（ 結(jié)合多種手段如電話號(hào)碼、 IP地址、用戶使用的時(shí)間等精確地確認(rèn)用戶）。 （ 1）技術(shù)方面：防火墻技術(shù)、網(wǎng)絡(luò)防毒等。 有效性 機(jī)密性 完整性 真實(shí)性和不可抵賴性的鑒別 要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或 國家甚至是交易信息本身提供可靠的標(biāo)識(shí)，如電子簽名、時(shí) 間戳等。因此，要預(yù)防非法的信息存取和信息在傳輸過程中 被非法竊取。由于 Inter本身的開放性，使網(wǎng)上交易面臨了種種危險(xiǎn)，由此提出了相應(yīng)的安全控制要求。 5. 法律風(fēng)險(xiǎn) 法律滯后的風(fēng)險(xiǎn) 法律的事后完善的風(fēng)險(xiǎn) 在網(wǎng)上交易可能會(huì)承擔(dān)由于法律滯后， 即目前尚沒有相關(guān)法律進(jìn)行規(guī)范，因而無 法保證合法交易的權(quán)益所造成的風(fēng)險(xiǎn)。為防止此類風(fēng)險(xiǎn)， 需要有 完善的制度設(shè)計(jì) ，形成一套相互關(guān)聯(lián)、相互制約的 制度。 3. 信用風(fēng)險(xiǎn) 來自買方的信用風(fēng)險(xiǎn) 來自賣方的信用風(fēng)險(xiǎn) 買賣雙方都存在抵賴的情況 賣方不能按質(zhì)、按量、按時(shí)寄送消費(fèi)者 購買的貨物。 請(qǐng)給 丁匯 100元 乙 甲 請(qǐng)給 丁匯 100元 請(qǐng)給 丙匯 100元 丙 請(qǐng)給 丙匯 100元 2. 信息傳輸風(fēng)險(xiǎn) 冒名 偷竊 篡改 數(shù)據(jù) 信息 丟失 信息傳遞過程中的破壞 虛假 信息 交易信息的丟失，可能有三種情況： 一是因?yàn)榫€路問題造成信息丟失； 二是因?yàn)榘踩胧┎划?dāng)而丟失信息； 三是在不同的操作平臺(tái)上轉(zhuǎn)換操作不 當(dāng)而丟失數(shù)據(jù)。 通過上述案例可以看出隨著互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展，利用網(wǎng)絡(luò)犯罪的行為會(huì)大量出現(xiàn)，為了保證電子商務(wù)的順利發(fā)展，法律保障是必不可少的。 2022年 2月 3日，“熊貓燒香”病毒的制造者李俊落網(wǎng)。 1. 網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn) ① 物理實(shí)體的安全風(fēng)險(xiǎn) ② 計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn) ③ 網(wǎng)絡(luò)協(xié)議的安全漏洞 ④ 黑客的惡意攻擊 ⑤ 計(jì)算機(jī)病毒攻擊 計(jì)算機(jī)病毒是編制或者在計(jì)算機(jī)程序 中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)， 影響計(jì)算機(jī)使用，并且能自我復(fù)制的一組 計(jì)算機(jī)指令或程序代碼。 1. 網(wǎng)絡(luò)系統(tǒng)自身的安全風(fēng)險(xiǎn) ① 物理實(shí)體的安全風(fēng)險(xiǎn) ② 計(jì)算機(jī)軟件系統(tǒng)風(fēng)險(xiǎn) ③