第八章 电子商务安全ppt课件（完整版）.pptx

第八章 电子商务安全ppt课件（完整版）电子商务概论（第4版） 白东蕊主编人民邮电出版社出版第八章第八章电子商务安全电子商务安全【知识框架图】【知识框架图】目 录目 录Contents第一节第一节电子商务安全的内涵电子商务安全的内涵第二节第二节电子商务安全技术电子商务安全技术第三节第三节电子商务安全管理电子商务安全管理本章学习要求本章学习要求【知识目标】【知识目标】1了解电子商务面临的安全威胁，明确电子商务对安全性的要求。2熟悉应用保障电子商务安全的方法与技术，以保证电子商务活动的顺利进行。3熟知电子商务安全方面不断完善的管理政策与法规制度。【技能目标】【技能目标】1能够对Office文档加密，实现文件保护。2学会应用计算机端和移动端的日常安全防范措施。二维码暗藏木马病毒二维码暗藏木马病毒二维码时代到来了，用微信扫一扫就可以交友、支付、领取礼品，不少人见二维码就想扫。殊不知，扫二维码的过程中存在很多安全隐患。2015年11月17日一大早，南京市公安局双塘派出所接到了胡女士的报警电话。她称，自己一大早收到了好多条银行短信，银行卡里的37万元没了。引例引例令胡女士奇怪的是：为什么自己的银行卡和手机都在家里，却被人转了账？民警分析后告诉她，是一个第三方机构通过植入手机木马病毒，绑定了银行卡进行操作，将钱转走的。胡女士这才想起来，前两天街头有人向她推广手机软件，说是扫描二维码下载后就送东西。她虽然下载了但是并没有安装使用，没想到这竟然是个木马病毒。警方通过胡女士银行卡的发卡行了解到，胡女士卡里的37万元被全部转到了一个第三方交易机构，而这个第三方交易机构实行的是当天交易。也就是说，如果不立即采取行动，这笔钱在24小时之内就可能被转走。幸运的是，因为处理及时，胡女士的37万元被冻结后通过警方追了回来。引例引例电子商务安全的内涵电子商务安全的内涵第一节 电子商务安全的内涵电子商务面临的电子商务面临的安全威胁安全威胁01电子商务的安全性电子商务的安全性要求要求02第一节 电子商务安全的内涵计算机病毒流氓软件木马程序网络钓鱼一、电子商务面临的安全威胁一、电子商务面临的安全威胁（一）个人计算机受到的威胁（一）个人计算机受到的威胁第二节 电子商务安全技术手机病毒手机病毒手机系统漏洞手机系统漏洞无线网钓鱼无线网钓鱼（二）移动端受到的威胁（二）移动端受到的威胁第一节 电子商务安全的内涵电子商务概论电子商务概论（第（第3 3版）人民邮电出版社版）人民邮电出版社 白东蕊主编白东蕊主编(1)中央系统安全性被破坏(2)被他人假冒而损害公司的信誉(3)买方提交订单后不付款(4)拒绝服务1.卖方面临的问题3.信息传输问题4.信用问题2.买方面临的问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息(1)付款后不能收到商品(2)个人资料丧失.(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况电子商务的安全问题第一节 电子商务安全的内涵消费预警：免费消费预警：免费Wi-Fi很危险（视频）很危险（视频）视野拓展视野拓展第一节 电子商务安全的内涵二、电子商务的安全性要求二、电子商务的安全性要求机密性机密性完整性完整性不可否认性不可否认性可鉴别性可鉴别性可靠性可靠性点击视频：支付宝快捷支付安全吗？第一节 电子商务安全的内涵推荐读者课外观看中国工商银行防电信诈骗宣传片2015视频，提高防范意识。视野拓展视野拓展电子商务安全技术电子商务安全技术第二节 电子商务安全技术加密技术加密技术认证技术认证技术安全协议安全协议第二节 电子商务安全技术图图8.1 电子商务系统安全示意图电子商务系统安全示意图第二节 电子商务安全技术 有关概念： 1、加密（E） 2、解密 （D） 3、明文（P） 4、密文（C） 5、密钥（K） K1K1=K2（对称加密、单密钥、秘密加密K1=K2（非对称加密、双密钥、公开加密）PCK2第二节 电子商务安全技术一、加密技术一、加密技术加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常被称为“明文”，加密后的信息通常被称为“密文”。加密技术涉及两个元素：算法和密钥算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在将明文转换为密文或将密文转换为明文的算法中输入的一串字符，可以是数字、字母、词汇或短语。第二节 电子商务安全技术（一）对称加密体制（一）对称加密体制 1对称加密体制的工作过程对称加密体制的工作过程图图8.1 对称加密体制的工作过程对称加密体制的工作过程第二节 电子商务安全技术2对称加密体制的算法对称加密体制的算法 经典的对称加密体制算法为数据加密标准（Data Encryption Standard，DES）。DES算法是一种对称的分组加密算法。简单的DES算法是以64位为分组进行明文输入，在密钥的控制下产生64位的密文；反之，输入64位的密文，则输出64位的明文。加密过程中，密钥总长度是64位，由于密钥表中每个字节的第8位都用作奇偶校验，所以实际有效密钥长度为56位。DES算法可以通过软件或硬件来实现。第二节 电子商务安全技术（二）非对称加密体制（二）非对称加密体制 1 1非对称加密体制的工作过程非对称加密体制的工作过程图图8.3 非对称加密体制的工作过程非对称加密体制的工作过程第二节 电子商务安全技术2非对称加密体制的算法非对称加密体制的算法 目前，非对称加密体制的算法中，使用最多的是RSA算法。RSA算法是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密体制的算法，算法以发明者姓氏的首字母来命名。它是第一种既可用于加密，又可用于数字签名的算法。在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES算法进行大容量数据的加密，而利用RSA算法来传递对称加密算法所使用的密钥。二者结合使用集成了两类加密算法的优点，既加快了加密速度，又可以安全、方便地管理密钥。表8.1所示为对称加密体制和非对称加密体制的对比。第二节 电子商务安全技术表表8.1 对称加密体制和非对称加密体制的对比对称加密体制和非对称加密体制的对比比较项目比较项目对称加密体制对称加密体制非对称加密体制非对称加密体制代表算法DESRSA密钥数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有，一个公开密钥管理产生简单，管理困难需要数字证书及可靠的第三者相对速度快慢主要用途大量数据加密数字签名或对称密钥的加密第二节 电子商务安全技术二、认证技术二、认证技术 在信息安全领域，常见的信息保护手段除了加密技术以外，还有认证技术。目前，认证技术有身份认证（也叫用户认证）和认证技术有身份认证（也叫用户认证）和消息认证两种方式消息认证两种方式。身份认证用于鉴别用户的身份是否合法；消息认证可用于验证所收到的消息确实来自真正的发送方且未被修改（即完整性），也可以用于验证消息的顺序性和及时性。消息消息认证主要包括数字签名和数字时间戳等技术。认证主要包括数字签名和数字时间戳等技术。第二节 电子商务安全技术用户的特征 用户所拥有的 用户所知道的 指纹虹膜DNA声音和脸部特征用户的行为 身份证护照密钥盘 密码口令 1身份认证身份认证实现身份认证实现身份认证的物理基础主的物理基础主要有以下三种：要有以下三种：第二节 电子商务安全技术2. . 消息认证消息认证 消息认证是指验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改的。消息认证常用的方法就是消息摘要，即发送方在发送的消息中附加一个鉴别码，并经加密后发送给接收方。接收方利用约定的算法对解密后的消息进行鉴别运算，将得到的鉴别码与收到的鉴别码进行比较，若二者相等，则接收，否则拒绝接收。第二节 电子商务安全技术3数字签名数字签名 数字签名能够确认两点：u 信息是由签名者发送的；u 信息自签发后到收到为止未曾做过任何修改。第二节 电子商务安全技术图图8.4 数字签名原理示意图数字签名原理示意图第二节 电子商务安全技术4数字时间戳数字时间戳 在电子商务交易中，需对交易文件的时间信息采取安全措施。数字时间戳服务（Digital Time-stamp Service，DTS）是由专门的机构提供的对电子文件发送时间进行安全保护的服务。第二节 电子商务安全技术需加时间戳的需加时间戳的电子文件电子文件数字时间戳发送和数字时间戳发送和接收文件的时间接收文件的时间数字时间戳服务数字时间戳服务的数字签名的数字签名数字时间戳是一个经加密后形成的凭证文档，包括以下三部分：第二节 电子商务安全技术三、安全协议三、安全协议（Secure Socket Layer，SSL）协议是指使用公钥和私钥技术相组合的安全网络通信协议，是网景公司（Netscape）推出的基于互联网应用的安全协议。安全套接层协议指定了一种在应用层协议（如HTTP、Telnet和FTP等）和TCP/IP之间提供数据安全性分层的机制。SSL协议第二节 电子商务安全技术 （Secure Electronic Transaction，SET）协议是由万事达卡（Master Card）和维萨（Visa）联合网景、微软等公司，于1997年6月1日推出的。该协议主要是为了实现更加完善的即时电子支付。 安全电子交易协议是B2C基于信用卡支付模式而设计的，它在保留对客户信用卡认证的前提下，增加了对商家身份的认证；凸显客户、商家、银行之间通过信用卡交易的数据完整性和不可抵赖性等优点，因此，它成为目前公认的信用卡网上交易国际标准。第二节 电子商务安全技术四、防火墙技术四、防火墙技术 防火墙是一种将内部网和外部网（如互联网）相互隔离的技术。防火墙可以通过过滤不安全的服务，降低风险，强化网络安全策略，对网络存取和访问进行监控；防止内部信息外泄，外部用户非法访问或占用内部资源。另外，防火墙还支持具有互联网服务特性的企业内部网络技术体系虚拟专用网（Virtual Private Network，VPN）。电子商务安全管理电子商务安全管理第三节 电子商务安全管理数字证书认证中心数字证书认证中心法律制度管理法律制度管理日常安全防范日常安全防范第三节 电子商务安全管理一、数字证书认证中心一、数字证书认证中心 实现网上安全支付是顺利开展电子商务的前提，建立安全的数字证书认证中心（Certificate Authority，CA）是电子商务的中心环节，其目的是加强数字证书和密钥的管理，增强网上交易各方的相互信任，提高网上交易的安全性，控制网上交易的风险，从而推动电子商务的发展。第三节 电子商务安全管理（一）认证中心（一）认证中心 在电子交易中，无论是数字时间戳服务还是数字证书的发放，都不是交易双方自己能完成的，而是需要具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。 国内的数字证书认证中心主要有行业、地方政府部门或企业等联手合作建立的数字证书认证中心，如中国金融认证中心（CFCA）、海关联盟认证中心（SCCA）、上海数字证书认证中心、广州市电子签名中心和山西数字证书认证中心等。第三节 电子商务安全管理认证中心的主要功能如下：认证中心的主要功能如下：证书的颁发证书的颁发证书的更新证书的更新证书的查询证书的查询证书的作废证书的作废证书的归档证书的归档第三节 电子商务安全管理（二）数字证书（二）数字证书 1数字证书的定义数字证书的定义 数字证书又称为数字凭证或数字标识，是由认证中心发行的、能提供在互联网上进行身份验证服务的电子文档。人们可以用它来表明自己在互联网中的身份或识别对方的身份。数字证书的格式遵循ITU的X.509国际标准，X.509标准数字证书包含以下内容。第三节 电子商务安全管理图图8.5 数字证书示例数字证书示例（1）证书拥有者的姓名。）证书拥有者的姓名。（2）证书的版本信息。）证书的版本信息。（3）证书的序列号，同一身份）证书的序列号，同一身份验证机构签发的证书序列号唯一。验证机构签发的证书序列号唯一。（4）证书所使用的签名算法。）证书所使用的签名算法。（5）证书发行机构的名称。）证书发行机构的名称。（6）证书的有效期限。）证书的有效期限。（7）证书所有人的公开密钥。）证书所有人的公开密钥。（8）证书发行者对证书的签名。）证书发行者对证书的签名。第三节 电子商务安全管理2数字证书的分类数字证书的分类服务器证书服务器证书电子邮件证书电子邮件证书客户端证书客户端证书第三节 电子商务安全管理 密信 MeSince 是沃通子公司2018年推出的加密电子邮件客户端软件，该软件支持Windows/安卓手机和苹果手机，全自动申请和配置电子邮件加密证书，全自动加密每封邮件，全自动为每封发出的邮件盖上时间戳。学而思，思而学学而思，思而学第三节 电子商务安全管理3数字证书的应用数字证书的应用用户在需要使用证书的网站上进行操作时，用户在需要使用证书的网站上进行操作时，必须准备好装有证书的存储介质必须准备好装有证书的存储介质如果用户是在自己的计算机上进行操作，如果用户是在自己的计算机上进行操作，则操作前必须先安装认证中心的根证书则操作前必须先安装认证中心的根证书操作时，系统会自动提示用户出示数字证操作时，系统会自动提示用户出示数字证书或者插入证书存储介质书或者插入证书存储介质使用完毕后，用户应记住取出拔除证书存使用完毕后，用户应记住取出拔除证书存储介质，并妥善保管储介质，并妥善保管第三节 电子商务安全管理 根证书是认证中心给自己颁发的证书，是信任链的起始点。根证书是一种特殊的证书，它的签发者是它本身，下载根证书就表明用户对该根证书以下所签发的证书都表示信任，在技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即结束。所以，用户在使用自己的数字证书之前必须先下载根证书。视野拓展视野拓展根证书根证书第三节 电子商务安全管理 支付宝数字证书是使用支付宝账户资金时的身份凭证之一，可以加密用户的信息并确保账户和资金安全。用户申请后，在进行付款和确认收货等涉及资金的操作时，就会验证计算机上是否安装了数字证书。即使用户的账号被盗，对方没有相应的数字证书也动用不了账户中的资金。视野拓展视野拓展支付宝数字证书支付宝数字证书第三节 电子商务安全管理 在微信内按“支付钱包安全保障数字证书”顺序进入数字证书页面，根据提示进行设置即可启用微信支付数字证书。启用微信支付数字证书的作用是：提高支付安全性；提高每日零钱支付限额。数字证书就相当于一个认证的程序。它会使你的微信账户更安全。视野拓展视野拓展微信支付数字证书微信支付数字证书第三节 电子商务安全管理二、法律制度管理二、法律制度管理我国主要的保障电子商务安全的相关法律与制度：我国主要的保障电子商务安全的相关法律与制度：（1）确立电子签名的法律效力。2004年8月28日，全国人民代表大会常务委员会第十一次会议通过了中华人民共和国电子签名法，2005年4月1日起施行。这是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正意义上有关电子商务的立法。第三节 电子商务安全管理（2）规范电子认证服务行为。2005年1月28日，中华人民共和国信息产业部第十二次部务会议审议通过了电子认证服务管理办法，自2005年4月1日起施行。（3）加强电子银行业务的风险管理。2005年11月10日，中国银行业监督管理委员会第四十次主席会议通过了电子银行业务管理办法，自2006年3月1日起施行。第三节 电子商务安全管理（4）规范网络商品交易及有关服务行为。2010年6月1日，中华人民共和国国家工商行政管理总局出台的网络商品交易及有关服务行为管理暂行办法中明确规定，通过网络开展商品交易及有关服务行为的自然人，应提交其姓名和地址等真实的信息。（5）规范非金融机构支付服务行为，防范支付风险。2010年6月21日，中国人民银行出台了非金融机构支付服务管理办法，要求第三方支付公司必须在2011年9月1日前申请取得“支付业务许可证”，且全国性公司注册资本最低应为1亿元。该办法的出台意在规范当前发展迅猛的第三方支付行业。第三节 电子商务安全管理（6）保障网络安全。2016年11月，第十二届全国人民代表大会常务委员会第二十四次会议通过了中华人民共和国网络安全法，自2017年6月1日起施行。电子商务安全相关法律与制度发展历程如图8.6所示。（7）电子商务综合性法律。2018年8月31日，十三届全国人大常委会第五次会议表决通过中华人民共和国电子商务法，自2019年1月1日起施行。第三节 电子商务安全管理图图8.6 保障电子商务安全的相关法律与制度发展历程保障电子商务安全的相关法律与制度发展历程第三节 电子商务安全管理加强个人计算加强个人计算机安全防护机安全防护欲擒故纵欲擒故纵加强防范意识加强防范意识备份与加密备份与加密禁止所有磁盘禁止所有磁盘自动运行自动运行三、日常安全防范三、日常安全防范1计算机用户日常安全防范计算机用户日常安全防范第三节 电子商务安全管理谨慎下载安装手机软件和App程序不要随便打开短信中的链接和扫描二维码不要对手机刷机，以获取超级用户（Root）权限，或“越狱”在公共场合，避免随意连接免费无密码Wi-Fi，否则可能会被黑客截取个人信息，甚至被植入木马病毒2移动端日常安全防范移动端日常安全防范第三节 电子商务安全管理Root和和“越狱越狱” Root是安卓系统中唯一的超级用户，具有管理系统的所有权限。“越狱”其实等同于安卓平台上的Root，是指开放用户的操作权限，使得用户可以随意改写任何区域的运行状态，即利用“越狱”软件解除原有固件对手机系统的限制束缚，使用户可以自定义安装非官方或者来自第三方的应用程序。视野拓展视野拓展Office加密方式及文件保护加密方式及文件保护Word、Excel和PowerPoint是我们学习和工作中经常使用的三个Office软件。在使用它们提高工作效率的同时，也会让我们担心文档的安全性。因此，为了文档不被他人随意查看，可以利用加密技术为Office文档设置密码。下面以Word 2010为例进行介绍。1设置打开权限和修改权限密码2以只读方式打开文档实训案例实训案例Office的密码保护的密码保护Office 2010的操作与其他版本的Office操作极为相似，为文档提供了四种级别的密码保护方式。（1）第一级别是通过设置密码来决定用户是否有打开文档的权限。（2）第二级别是通过设置密码来决定用户是否有编辑文档的权限。（3）第三级别是通过对打开的Word文档启动强制保护，这样文档将以只读的方式打开。Word、Excel 和 PowerPoint 都使用RC4的对称加密算法对受密码保护的文档进行加密。RC4是一种流密码算法，它对数据的每个字节进行操作，支持长度为40位、64位及128位的密钥，在为文档加密时我们可以指定密钥的位数。视野拓展视野拓展通过本章的学习，我们了解到在互联网上实现的电子商务交易必须具有保密性、完整性、不可否认性、真实性和可靠性等安全性要求。一个完善的电子商务系统在保证其计算机网络硬件平台和软件平台安全的基础上，还应具备强大的加密和认证系统，以完成用户和信息的识别和鉴别，确保互联网交易和支付的可靠性、真实性、完整性，提供便捷的密钥管理，满足电子商务对计算机网络安全与商务安全的双重要求。电子商务安全技术的提高、管理制度的完善、法律制度的健全需要政府和用户长期不懈的努力。个人用户和企业用户在互联网上开展商务活动时要注意进行网络防范。归纳与提高归纳与提高 谢谢观赏谢谢观赏 第八章（完）第八章（完）