【正文】 ,并在傳輸信息時將之加入原文件（明文）一同傳給接收方。 數(shù)字摘要解決了信息傳輸?shù)耐暾允欠癖黄茐牡陌踩珕栴}，但是沒有解決信息的保密問題。 從認證途徑來看，客戶認證主要包括： （一） 身份認證 （二） 信息認證 （三）通過認證機構(gòu)認證 身份認證和認證機構(gòu)認證常常用于鑒別用戶身份，而信息認證常用于保證通信雙方的不可抵賴性和信息的完整性。 某些非法用戶常采用竊取口令、修改或偽造、阻斷服 務(wù)等等方式對網(wǎng)上交易系統(tǒng)進行攻擊，阻止系統(tǒng)資源的合 法管理和使用。 身份認證 信息認證 通過認證機構(gòu)認證 一般來說，用戶身份認證可通過三種基本方式或其組 合方式來實現(xiàn)： 1）用戶所知道的某個秘密信息，如 口令 ； 2）用戶所持有的某個秘密信息（硬件），即用戶必須 持有合法的隨身攜帶的 物理介質(zhì) ，例如智能卡中存儲用戶 的個人化參數(shù)，以及訪問系統(tǒng)資源時必須有的智能卡。成本高， 多用于保密程度很高的場合。 1）對敏感的文件進行加密（加密技術(shù)） 2）保證數(shù)據(jù)的完整性（數(shù)據(jù)摘要技術(shù)） 3） 對數(shù)據(jù)和信息的來源進行驗證（ 數(shù)字簽名技術(shù) ） 身份認證 信息認證 通過認證機構(gòu)認證 第二節(jié) 電子商務(wù)安全技術(shù) ? 身份和信息認證技術(shù) 通過認證機構(gòu)提供認證服務(wù)的基本原理和流程是：在 做交易時，應(yīng)向?qū)Ψ教峤灰粋€由 CA簽發(fā)的包含個人身份的 證書，以使對方相信自己的身份。證書包含了顧客的名字 和他的公鑰，以此作為網(wǎng)上證明自己的身份的依據(jù)。 第二節(jié) 電子商務(wù)安全技術(shù) ? 電子商務(wù)安全支付技術(shù) SSL安全協(xié)議（安全套接層）是一種安全通信協(xié)議，它 能夠?qū)π庞每ㄐ畔⒑蛡€人信息提供較強的保護。 SSL安全協(xié)議有利于商家而不利于客 戶。 SSL安全協(xié)議逐漸被 SET協(xié)議所取代。 SET在保留對客戶信用卡認證的前提下，又增加了對 商家身份的認證。 SSL安全協(xié)議 SET安全協(xié)議 第二節(jié) 電子商務(wù)安全技術(shù) ? 交易方自身網(wǎng)絡(luò)安全保障技術(shù) （一）用戶賬號管理和網(wǎng)絡(luò)殺毒技術(shù) （二）防火墻技術(shù) （三）虛擬專用技術(shù) （四）入侵檢測技術(shù) ? 電子商務(wù)信息傳輸安全保障技術(shù) （一） 加密技術(shù) （二） 數(shù)字摘要技術(shù) ? 身份和信息認證技術(shù) （一） 身份認證 （二） 信息認證 （三） 通過認證機構(gòu)認證 ? 電子商務(wù)安全支付技術(shù) （一） SSL安全協(xié)議 （二） SET安全協(xié)議 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 （一） 人員管理制度 （二） 保密制度 （三） 跟蹤、審計、稽核制度 （四） 系統(tǒng)維護制度 （五）病毒防范制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 （二） 我國保證電子商務(wù)安全的相關(guān)法律 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 （一） 人員管理制度 （二） 保密制度 （三） 跟蹤、審計、稽核制度 （四） 系統(tǒng)維護制度 （五）病毒防范制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 （二） 我國保證電子商務(wù)安全的相關(guān)法律 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 （一） 人員管理制度 （二） 保密制度 （三） 跟蹤、審計、稽核制度 （四） 系統(tǒng)維護制度 （五）病毒防范制度 網(wǎng)上交易系統(tǒng)安全管理制度是用文字形式 對各項安全要求的規(guī)定，它是保證企業(yè)在網(wǎng)上 經(jīng)營管理取得成功的基礎(chǔ)。 安全制度包括： 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 首先，對有關(guān)人員進行上崗培訓(xùn)。 第三，貫徹網(wǎng)上交易安全運作基本原則： 1）雙人負責(zé)原則：重要業(yè)務(wù)不安排一個人單獨管理， 實行兩人或多人相互制約的機制。 3）最小權(quán)限原則：明確規(guī)定只有網(wǎng)絡(luò)管理員才可以進 行物流訪問，只有網(wǎng)絡(luò)管理員才可進行軟件安裝工作。安全級別一般可分為 三級： 1）絕密級：如企業(yè)戰(zhàn)略計劃，此部分網(wǎng)址、密碼不在 Inter上公開，只限于公司高層人員掌握。 3）秘密級：如訂貨方式，此部分網(wǎng)址、密碼在 Inter上公開，供消費者瀏覽，但必須有保護程序，防止 黑客入侵。 審計制度 包括經(jīng)常對系統(tǒng)日志的檢查、審核，及時發(fā) 現(xiàn)對系統(tǒng)故意入侵行為的記錄和對系統(tǒng)安全功能違反的記 錄，監(jiān)控和捕捉各種安全事件，保存、維護和管理系統(tǒng)日 志。 人員管理 保密 跟蹤、審計、稽核 系統(tǒng)維護 病毒防范 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 對網(wǎng)絡(luò)系統(tǒng)的日常維護可從幾個方面進行： 1）對于可管設(shè)備，通過安裝網(wǎng)管軟件進行系統(tǒng)故障診 斷、顯示及通告，網(wǎng)絡(luò)流量與狀態(tài)的監(jiān)控、統(tǒng)計與分析， 以及網(wǎng)絡(luò)性能調(diào)優(yōu)、負載平衡等。 3）定期進行數(shù)據(jù)備份 人員管理 保密 跟蹤、審計、稽核 系統(tǒng)維護 病毒防范 第三節(jié) 電子商務(wù)安全制度 ? 安全管理制度 目前主要通過采用防毒軟件進行防毒。 （ 2）聯(lián)機版防病毒產(chǎn)品：屬于事前的防范，其原理是 在網(wǎng)絡(luò)端口設(shè)置一個病毒過濾器。 許多病毒都有一個潛伏期，有必要實行病毒定期清理 制度清除處于前預(yù)期的病毒，防止病毒突然爆發(fā)，使計算 機始終處于良好的工作狀態(tài)，保證網(wǎng)上交易的正常進行。 （ 2）規(guī)定為法律和商業(yè)目的而做出的電子簽名的可接受程 度，鼓勵國內(nèi)和國際規(guī)則的協(xié)調(diào)統(tǒng)一，支持電子簽名和其他身份 認證手續(xù)的可接受性。 在美國各州實行的 《 統(tǒng)一商業(yè)法規(guī) 》 （ UCC），通過下面 一些方式來克服傳統(tǒng)法規(guī)的對網(wǎng)上交易推行帶來的執(zhí)行障礙： （ 4）推動建立其他形式的、適當(dāng)?shù)摹⒏咝实?、有效的? 際商業(yè)交易的糾紛調(diào)解機制，支持在法庭上和仲裁過程中使用計 算機證據(jù)。 （ 6）在國際上，美國政府支持所有國家采用聯(lián)合國國際貿(mào)易 法委員會提出的示范法作為電子商務(wù)使用的國際統(tǒng)一商業(yè)法規(guī)。 1989年的 《 統(tǒng)一商業(yè)法規(guī) 》 ，對大額電子支付系統(tǒng)進行了 調(diào)整。 該法詳細規(guī)定了電子支付命令的簽發(fā)與接受，接受銀行對發(fā) 送發(fā)支付命令的執(zhí)行，電子支付的當(dāng)事人的權(quán)利、義務(wù)以及責(zé)任 的承擔(dān)等。美國聯(lián)邦政府為了保證網(wǎng)上交易信息的安全，制定與實施了 相關(guān)的法規(guī)。 美國頒布法規(guī)禁止商家利用消費者的個人隱私信息進行商業(yè) 活動，侵犯消費者的權(quán)益。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 （一） 美國保證電子商務(wù)安全的相關(guān)法律 （二） 我國保證電子商務(wù)安全的相關(guān)法律 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 （二） 我國保證電子商務(wù)安全的相關(guān)法律 我國電子商務(wù)的發(fā)展仍處于初級階段，有關(guān)立法不夠健全。 1997年 10月 1日，我國的新刑法，增加計算機犯罪的罪名。 2022年 8月通過 《 中華人民共和國電子簽名法 》 。1999年 3月 5日上午，某實業(yè)有限公司給某木制品加工廠發(fā)出要求購買其廠生產(chǎn)的辦公家具的電子郵件一份，電子郵件中明確了如下內(nèi)容： (1)需要辦公桌 8張，椅子 16張； (2)要求在 3月 12日之前將貨送至某實業(yè)有限公司； (3)總價格不高于 15000元。當(dāng)天下午 3時 35分 18秒，某木制品加工廠也以電子郵件回復(fù)某實業(yè)有限公司，對某實業(yè)有限公司的要求全部認可。 第三節(jié) 電子商務(wù)安全制度 ? 法律制度 案例 1：電子合同 1999年 3月 11日，某木制品加工廠將上述桌椅送至某實業(yè)有限公司。 庭審中，雙方對用電子郵件方式買賣辦公桌椅及某木制品加工廠去人確認、3月 11日送貨上門等均無異議， 4月 15日法院判決某木制品加工廠勝訴。為此 6位作家認為被告作為提供互聯(lián)網(wǎng)絡(luò)內(nèi)容的服務(wù)商，未經(jīng)許可 以營利目的 使用原告的作品，侵害了原告的著作權(quán)，請求法院判決被告停止侵權(quán)、公開致歉、賠償經(jīng)濟損失和精神損失，承擔(dān)訴訟費、調(diào)查費等合理費用。依據(jù)著作權(quán)法第 10條第 5項、第45條第 5項和第 8項的規(guī)定，作出判決： ① 判決被告停止使用原告的作品； ② 判決被告在其網(wǎng)站分別向原告公開致歉 ， 致歉內(nèi)容須經(jīng)法院審核； ③ 判決被告向原告賠償經(jīng)濟損失； ④ 駁回原告要求被告賠償精神損失的訴訟請求 。 當(dāng)天 18時 ， 王群非法侵入湖北大冶市政府網(wǎng)站后 ， 對載有當(dāng)?shù)仡I(lǐng)導(dǎo)人照片和“ 領(lǐng)導(dǎo)致詞 ” 等內(nèi)容的首頁進行了惡意篡改 。 王群還以同樣的手段 ， 侵入 “ 科技之光 ” 、 “ 黃石熱線 ” 等網(wǎng)站 ， 更改主頁 ， 造成惡劣社會影響 。湖北省武漢市江岸區(qū)人民法院判處王群有期徒刑 1年。他們追求的是從侵入行為本身獲得巨大的成功的滿足。早期竊取國家情報、科研情報，現(xiàn)在瞄準了銀行的資金和電子商務(wù)的整個交易過程。 – （攻擊系統(tǒng)的機密性） – （攻擊系統(tǒng)的完整性） – （攻擊系統(tǒng)的真實性） – （攻擊系統(tǒng)的健壯性） 第四節(jié) 防止非法入侵 ? 網(wǎng)絡(luò) “ 黑客 ” 常用的攻擊手段 （二）“黑客”的攻擊手段 黑客攻擊電子商務(wù)系統(tǒng)的手段： – （攻擊系統(tǒng)的可用性） – （攻擊系統(tǒng)的機密性） 通過搭線和電磁泄漏等手段造成泄密，或?qū)I(yè)務(wù)流量進行分析，獲取有用的情報。 – （攻擊系統(tǒng)的真實性） – （攻擊系統(tǒng)的健壯性） 第四節(jié) 防止非法入侵 ? 網(wǎng)絡(luò) “ 黑客 ” 常用的攻擊手段 （二）“黑客”的攻擊手段 黑客攻擊電子商務(wù)系統(tǒng)的手段： – （攻擊系統(tǒng)的可用性） – （攻擊系統(tǒng)的機密性） – （攻擊系統(tǒng)的完整性） – （攻擊系統(tǒng)的真實性） 將偽造的假消息注入系統(tǒng)、假冒合法人接入系統(tǒng)、重放截獲的合法消息實現(xiàn)非法目的，否認消息的接收或發(fā)送等。當(dāng)用戶受到這種叫做“電子郵件炸彈”的攻擊后，用戶就會在很短的時間內(nèi)收到大量的電子郵件，這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展，系統(tǒng)功能喪失，嚴重時會使系統(tǒng)關(guān)機，甚至使整個網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)安全檢測 設(shè)備主要用來對訪問者進行監(jiān)督控制，一旦發(fā)現(xiàn)有異常情 況，馬上采取應(yīng)對措施，防止非法入侵者進一步攻擊。非法入侵者如想入侵就必須防 止類似的訪問設(shè)備，這增加了非法入侵者的入侵難度。非法入侵者入侵時，就必須采用 IP 地址欺騙技術(shù)才能進入系統(tǒng)，但增加了入侵的難度。用戶可以在這些安全工具包的基礎(chǔ) 上進行二次開發(fā)，開發(fā)自己的安全