【正文】 統(tǒng)的安全 電子商務(wù)信息的加密 電子商務(wù)信息的加密技術(shù) （ 1）對稱加密技術(shù) ? 對稱加密的密鑰管理： 對稱加密是基于共同保守秘密來實現(xiàn)的 。 無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方 。因此可以起到保護重要信息安全的作用。所以，密鑰的位數(shù)越長，加密系統(tǒng)越牢固。 ● 密鑰的長度： 指密鑰的位數(shù)。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)安全手段 電子商務(wù)信息加密 舉例： 明文 加（解）密規(guī)則 密文 算法 密鑰 revolution 從第一個字母開始 從前往后 每隔2個字母取 1個字母，按順序排列。 ● 解密： 將密文還原成原來可理解的原始信息（即：“明文”）。 ● 不能防止數(shù)據(jù)驅(qū)動式的攻擊。 ● 不能真正防止人為因素的攻擊。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的類型 （ 2）代理服務(wù)器型防火墻 代理服務(wù)器通常由性能好、處理速度快、容量大的計算機來充當，在功能上是作為內(nèi)部網(wǎng)絡(luò)與 Inter的連接者，它對于內(nèi)部網(wǎng)絡(luò)來說是象一臺真正的服務(wù)器一樣，而對于因特網(wǎng)上的服務(wù)器來說，它又是一臺客戶機。內(nèi)部網(wǎng)絡(luò)計算機用戶與代理服務(wù)器采用一種網(wǎng)絡(luò)通訊協(xié)議，代理服務(wù)器與 Inter之間的通信則采用另一種網(wǎng)絡(luò)通信協(xié)議，即代理服務(wù)器兩端采用不同的協(xié)議標準，這樣便成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離，能夠有效地阻止外界直接非法入侵。即檢查每一條規(guī)則，直到發(fā)現(xiàn)包中的信息與某條規(guī)則相符；或者沒有一條規(guī)則能符合，防火墻就使用默認規(guī)則（丟棄該 IP包）。它可以暴露在 Inter中，抗擊來自黑客的直接進攻。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的組成 防火墻是一個由軟件和硬件設(shè)備組合而成的安全應(yīng)用系統(tǒng)，主要由安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名管理器和電子郵件處理 5部分組成。 （ 5）應(yīng)用與數(shù)據(jù)包級控制 掃描數(shù)據(jù)包的內(nèi)容，查找與應(yīng)用相關(guān)的數(shù)據(jù)。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的功能 （防火墻可以防范什么？ ） （ 3）設(shè)置安全和審計檢查 對所有商業(yè)事務(wù)處理進行審計，以便安全管理和責任追究。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)防火墻 防火墻的功能 （防火墻可以防范什么？ ） （ 2）過濾非法用戶和訪問特殊站點 確保所有電子商務(wù)應(yīng)用都是授權(quán)訪問。 做法 ： 封鎖所有信息流，然后對希望提供的服務(wù)逐項開放。 ? 凡是沒有被列為禁止訪問的服務(wù)都是被允許的。是目前保證網(wǎng)絡(luò)安全的必備的安全手段。這一保護屏障就稱為防火墻。 Intra與 Inter連接后，方便了企業(yè)內(nèi)部與外部的信息交流，工作效率得到提高。 供參考的網(wǎng)站： 卓越網(wǎng) 大洋網(wǎng)書城 要求： ?可以互相討論，但要獨立完成。 盡快建立與安全電子交易相對應(yīng)的國家電子商務(wù)認證中心，對交易各方進行有效的認證 ，規(guī)范買賣雙方和中介方的交易行為，制定規(guī)范的電子商務(wù)交易標準 第 3章 電子商務(wù)系統(tǒng)的安全 構(gòu)造電子商務(wù)交易安全的保障體系 盡快完善電子商務(wù)交易的法律法規(guī) ?目前我國在這方面的研究還處于起步階段。 ② 軟件的日常管理維護制度： 包括：支撐軟件（如操作系統(tǒng)，數(shù)據(jù)庫，開發(fā)工具等）和應(yīng)用軟件（可以設(shè)置一臺安裝服務(wù)器，為客戶機提供遠程安裝。 保密制度 ① 信息的安全級別分三級：絕密 /機密 /秘密； ② 對密匙的管理，注意定時更換 第 3章 電子商務(wù)系統(tǒng)的安全 管理對策 跟蹤、審計、稽核制度 ① 跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，記錄系統(tǒng)運行的全過程 。 1入侵檢測機制： 主要是利用審計記錄，檢測和識別系統(tǒng)中未授權(quán)或異?，F(xiàn)象。 第 3章 電子商務(wù)系統(tǒng)的安全 技術(shù)對策 鑒別機制： 鑒別是為每一個通信方查明另一個實體身份和特權(quán)的過程。它是采用數(shù)學(xué)方法對原始信息（稱為 “ 明文 ” ）進行再組織而形成 “ 密文 ” 在網(wǎng)絡(luò)上傳輸。 路由選擇機制 ? 由信息發(fā)送者選擇特殊路由 ? 由網(wǎng)絡(luò)安全控制機構(gòu)通過調(diào)整路由表，限制某些不安全的通路。定期檢查線路。 第 3章 電子商務(wù)系統(tǒng)的安全 技術(shù)對策 設(shè)置 VPN的關(guān)鍵技術(shù)： 對數(shù)據(jù)包進行加密，并在互聯(lián)網(wǎng)上創(chuàng)建一個專用加密隧道 ，其它系統(tǒng)或用戶就不能訪問在這個通道上傳輸?shù)臄?shù)據(jù)。下面分別進行簡要討論（但只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全）。 1環(huán)境的不安全因素（自然災(zāi)害 /事故） 環(huán)境因素（包括：地震、火災(zāi)、水災(zāi)、風(fēng)災(zāi)等自然災(zāi)害；調(diào)電、停電事故；以及其它不可預(yù)測的不安全因素）也是威脅網(wǎng)絡(luò)安全的因素之一。 一方面，在網(wǎng)上交易可能會承擔由于法律滯后而無法保證合法交易的權(quán)益所造成的風(fēng)險，如通過網(wǎng)絡(luò)達成交易合同，可能因為法律條文還沒有承認數(shù)字化合同的法律效力而面臨失去法律保護的危險。 （ 3）交易技術(shù)管理風(fēng)險 網(wǎng)絡(luò)交易技術(shù)管理的漏洞也帶來較大的交易風(fēng)險。因此需要有完善的制度設(shè)計，形成一套相互關(guān)聯(lián)、相互制約的制度群。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 1 管理風(fēng)險 傳統(tǒng)交易經(jīng)過多年發(fā)展 ， 在交易時有比較完善的控制機制 ， 而且管理比較規(guī)范 。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 交易信用風(fēng)險 （ 2）來自買方的信用風(fēng)險 賣方不能按質(zhì)、按量、按時寄送消費者購買的貨物，或者不能完全履行與集團購買者簽訂的合同，造成買方的風(fēng)險。在網(wǎng)絡(luò)交易過程中，客戶進入交易中心，買賣雙方簽訂合同，交易中心不但要監(jiān)督買方按時付款，還要監(jiān)督賣方按時按要求供貨。 （ 5）虛假信息 從買賣雙方自身的角度觀察，網(wǎng)上交易中的信息傳輸風(fēng)險還可能來源于用戶以合法身份進人系統(tǒng)后，買賣雙方都可能在網(wǎng)上發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對方的錢款或貨物。由于計算機技術(shù)發(fā)展迅速，原有的病毒防范技術(shù)、加密技術(shù)、防火墻技術(shù)等始終存在著被新技術(shù)攻擊的可能性。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 電子商務(wù)的風(fēng)險類型 從整個電子商務(wù)系統(tǒng)著手分析，可以將電子商務(wù)的安全問題歸類為下面四類風(fēng)險：即信息傳輸風(fēng)險、信用風(fēng)險、管理風(fēng)險和法律方面的風(fēng)險。 （ 2）業(yè)務(wù)不熟悉、誤操作或不遵守操作規(guī)程而造成泄密。 （ 2）網(wǎng)絡(luò)協(xié)議： TCP/IP等網(wǎng)絡(luò)協(xié)議并非專為安全通信而設(shè)計，故會帶來安全隱患。 （ 4）拒絕服務(wù) 攻擊者可能向銷售商的服務(wù)器發(fā)送大量的虛假定單來窮竭它的資源 ， 從而使合法用戶不能得到正常的服務(wù) 。 （ 3）客戶資料被競爭者獲悉 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 銷售者面臨的安全威脅 （ 4） 被他人假冒而損害公司的信譽： 不誠實的人建立與銷售者服務(wù)器名字相同的另一個服務(wù)器來假冒銷售者 。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系的，甚至彼此遠隔千山萬水，因而建立交易雙方的安全和信任關(guān)系相當困難。 返回本節(jié) 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 問題的提出 由于電子商務(wù)主要是依托計算機網(wǎng)絡(luò)來進行的，計算機網(wǎng)絡(luò)技術(shù)的發(fā)展促進了電子商務(wù)的發(fā)展，同時也使電子商務(wù)系統(tǒng)的安全問題日益復(fù)雜和突出。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)的安全控制要求 不可否認 （ 或不可抵賴 ） 性 在傳統(tǒng)紙面貿(mào)易中 ， 貿(mào)易雙方通過在合同 、 單據(jù) 、 契約等書面文件上簽字 、 蓋印等手段來鑒別貿(mào)易伙伴 ， 確定這些單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生 。 既要考慮商家不要受客戶欺騙 ， 也要考慮客戶不要被商家欺騙 。 貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略 。 維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障 。 返回本節(jié) 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)的安全控制要求 電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性 ， 由于Inter的開放性 ， 使網(wǎng)上交易面臨種種危險 ， 因此提出了相應(yīng)的安全控制要求 ， 主要有： 有效性 電子商務(wù)用電子形式代替了紙張，如何保證這種無紙貿(mào)易的有效性是開展電子商務(wù)的前提。包括：雇員的素質(zhì)、敏感崗位的身份識別、安全培訓(xùn)、安全檢查等人員管理安全問題。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)安全性的基本概念 電子商務(wù)系統(tǒng)安全涉及的因素 (3)系統(tǒng)軟件安全 是指保護軟件和資料不會被竄改、泄露、破壞、非法復(fù)制（包括有意或無意） 。 影響物理安全的重要因素： 火災(zāi)、自然災(zāi)害、輻射、硬件故障、搭線竊聽、盜竊、偷竊、和超負荷。 本章將著重介紹電子商務(wù)系統(tǒng)安全的概念、安全控制要求、網(wǎng)絡(luò)安全管理對策、常用安全手段和防范措施等內(nèi)容。因此如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，是商家和用戶十分關(guān)心的重大問題。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)安全性的基本概念 電子商務(wù)系統(tǒng)安全涉及的因素 雖然電子商務(wù)系統(tǒng)的形式多種多樣，涉及的安全問題也是方方面面，但主要有以下因素應(yīng)加以考慮： (1)物理安全 是指保護計算機主機硬件和物理線路的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全機制。 原因：因為理論上網(wǎng)絡(luò)上的計算機有可能被網(wǎng)上任何一臺主機攻擊或插入物理網(wǎng)絡(luò)攻擊；大部分的 Inter協(xié)議沒有進行安全性設(shè)計；網(wǎng)絡(luò)服務(wù)器程序經(jīng)常需要用超級用戶特權(quán)來執(zhí)行。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)安全性的基本概念 電子商務(wù)系統(tǒng)安全涉及的因素 (4)人員管理安全 主要是要防止內(nèi)部人員的攻擊。利用國家機器進行安全立法，體現(xiàn)與犯罪行為斗爭的國家意志。 因此在電子商務(wù)信息的傳播中一般都有保密的要求 。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)的安全控制要求 完整性 電子商務(wù)雖然簡化了貿(mào)易過程 、 減少了人為干預(yù) ，同時也帶來維護貿(mào)易各方商業(yè)信息的完整 、 統(tǒng)一的問題 。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)系統(tǒng)的安全控制要求 交易者身份的確定性 要使網(wǎng)上交易能夠成功 ， 首先要能確認對方的身份 ，即交易的雙方必須確實存在 。 因此 ， 電子交易文件應(yīng)能做到不可修改 ， 以保證交易的嚴肅性和公正性 。 這就要求在交易信息的傳輸過程中 ， 為參與交易的個人 、 企業(yè)或國家提供可靠的標識 。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 電子商務(wù)的安全威脅 在傳統(tǒng)交易過程中，買賣雙方是面對面的，因此很容易保證交易過程的安全性和建立起信任關(guān)系。 （ 2）競爭者檢索商品遞送狀況： 惡意競爭者以他人的名義來訂購商品，從而了解有關(guān)商品的遞送狀況和貨物的庫存情況。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 購買者面臨的安全威脅 （ 3） 機密性喪失 客戶有可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù) (如賬號 、口令等 )發(fā)送給冒充銷售商的機構(gòu) ， 這些信息也可能會在傳遞過程中被竊取 。利用這些安全漏洞，網(wǎng)絡(luò)黑客可以對其進行攻擊。 工作人員的不安全因素具體表現(xiàn)在以下幾方面： （ 1）規(guī)章制度不健全造成認為泄密事故。 （ 5）惡意破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備 （ 6）利用硬件的故障部位和軟件的錯誤非法訪問系統(tǒng)，或?qū)Ω鞑糠诌M行破壞。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 信息傳輸風(fēng)險 （ 3）信息傳遞過程中的破壞 信息在網(wǎng)上傳遞時，要經(jīng)過多個環(huán)節(jié)和渠道。 第 3章 電子商務(wù)系統(tǒng)的安全 危害電子商務(wù)系統(tǒng)安全的主要因素 信息傳輸風(fēng)險 （ 4