1、参考教材,电子商务安全(第二版) 王忠诚主编 机械工业出版社,第1章 电子商务安全概述,本章提要,1)电子商务的内涵及系统构成 2)电子商务的安全问题及系统构成 3)电子商务安全保障问题,第1章电子商务安全概述,1.1电子商务及其系统构成 1.2电子商务安全概况 1.3电子商务安全的保障,1.1电子商务及其系统构成,1.1.1电子商务的内涵 1.1.2电子商务系统构成,本章目录,6,2018/10/24,1.1 电子商务及其系统构成,1.2 电子商务安全概况,1.3 电子商务安全的保证,7,2018/10/24,1.1 电子商务及其系统构成,电子商务的定义、内涵及特征,电子商务系统构成,1.1
2、.1电子商务的内涵,1.世界电子商务会议关于电子商务的定义电子商务(ELECTRONIC COMMERCE),是指对整 个贸易活动实现电子化。2.政府部门对电子商务的定义 电子商务是通过电子方式进行的商务活动。包括货物 电子贸易和服务、在线数据传递、电子资金划拨、电子 证券交易、电子货运单证、商业拍卖、合作设计和工程、 在线资料、公共产品获得。包括了产品(如消费品、 专门设备)和服务(如信息服务、金融和法律服务)、 传统活动(如健身、体育)和新型活动(如虚拟购物、 虚拟训练)。,1.1.1电子商务的内涵,3.权威学者对电子商务的定义广义地讲,电子商务是一种现代商业方法。这种方法通过改善产品和服
3、务质量、提高服务传递速度,满足政府组织、厂商和消费者的降低成本的需求。这一概念也用于通过计算机网络寻找信息以支持决策。一般地讲,今天的电子商务通过计算机网络将买方和卖方的信息、产品和服务器联系起来,而未来的电子商务者通过构成信息高速公路的无数计算机网络将买方和卖方联系起来。,1.1.1电子商务的内涵,4. IT(信息技术)行业对电子商务的定义IBM公司关于电子商务的描述,可以用一个公式来概括,即电子商务WebIT。它强调的是在网络计算环境下的商业化应用,是把买方、卖方、厂商及其合作伙伴在互联网(Internet)、企业内部网(Intranet)和企业外部网(Extranet)结合起来的应用。,
4、1.1.1电子商务的内涵,狭义电子商务概念:,1.1.1电子商务的内涵,广义电子商务概念: 企业利用现代化信息技术开展的一切商务活动,如市场分析、客户联系、物资调配等。它既包括网上交易,还包括企业内部业务活动(如计划、生产、财务管理等)以及企业之间的协作与协调。,1.1.1电子商务的内涵,广义电子商务和狭义电子商务,1.1.1电子商务的内涵,电子商务内涵: 1.电子商务的本质是“商务”,是在“电子”基础上的商务 2.电子商务的前提是商务信息化 3.电子商务的核心是人 4.电子商务是对传统商务的改良而不是革命 5.电子工具必定是现代化的 6.对象的变化也是至关重要的,1.1.1电子商务的内涵,电
5、子商务的技术特征: 1.信息化 2.虚拟性 3.集成性 4.可扩展性 5.安全性 6.系统性,1.1.1电子商务的内涵,电子商务的应用特征: 1.商务性 2.服务性 3.协调性 4.社会性 5.全球性,1.1.2 电子商务系统构成,1.电子商务系统的分类 1)按照商业活动的运作方式分类: 我们可以将电子商务分为纯电子商务和部分电子商务。当我们从商务涉及的产品(product)、过程(process)、交付代理(delivery agent)三个维度上分析电子商务,会发现传统商务在所有维度上都是物理的(physical),而纯电子商务在所有维度上都是数字的(digital),除此之外,都属于部分
6、电子商务,它们是以数字和物理维度的结合来完成整个商务活动。,1.1.2 电子商务系统构成,1.电子商务系统的分类 2)按照使用网络的类型来分类: 基于EDI网络的电子商务,就是利用EDI网络进行电子交易。 3)按照交易对象分类: B2B,B2C,B2G,C2G,C2C,1.1.2 电子商务系统构成,2.电子商务的一般框架,1.1.2 电子商务系统构成,3.电子商务系统的基本组成,1.1.2 电子商务系统构成,4.电子商务系统的结构 (1)客户机/服务器(C/S)结构:C/S结构通过将任务合理分配到Client端和Server端,降低了系统的通讯开销,可以充分利用两端硬件环境的优势。(2)B/W
7、/S三层结构 :B/W/S(browser/web server/database server)三层结构 (3)电子商务系统结构,1.2电子商务安全概况,1.2.1电子商务安全概念与特点 1.2.2电子商务的风险与安全问题 1.2.3电子商务系统安全的构成,23,2018/10/24,1.2 电子商务安全概况,电子商务安全概念与特点,电子商务风险与安全问题,电子商务系统安全的构成,1.2.1 电子商务安全概念与特点,电子商务安全的概念,电子商务安全就是保护在电子商务系统里的企业或个人资产 (物理的和电子化的)不受未经授权的访问、使用、篡改或 破坏。 它覆盖整个电子商务链的各个环节。电子商务安
8、全 是电子商务的关键和核心。,1.2.1 电子商务安全概念与特点,对电子商务安全的认识应注意以下几个特点,1.安全不仅仅是安全管理部门的事情2.电子商务安全具有全面性、普遍性3.安全是一个系统概念 4.安全是相对的、发展变化的5.安全是有代价的,1.2.1 电子商务安全概念与特点,信息的保密性是指信息在传输或存储过程中不被他人窃取、不被泄漏给未经授权的人或者经过加密伪装后使未经授权者无法了解其中的内容。因此,信息需要加密以及在必要的结点上设置防火墙。,1. 保密性,加密的信息在传输过程中,虽能保证其保密性,但不能保证不被修改。信息的完整性要从传输和存储两方面来保证。传输协议必须具有查错、纠错功
9、能;存储的磁盘也要采用热修补技术。,2. 完整性,真实性也称认证性,是指在虚拟市场中确认交易者的实际身份。对于为客户开展服务的银行、信用卡公司和销售商店,都要进行身份认证的工作。,3. 真实性,1.2.1 电子商务安全概念与特点,信息的不可否认性又称不可抵赖性,是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。商情是千变万化的,交易一旦达成后就不能否定,否则会损害另一方利益。,4. 不可否认性,不可拒绝性又称可靠性,是保证已授权用户在正常访问信息和资源时不被拒绝,可以为用户提供可靠的服务。,5. 不可拒绝性,访问控制性又称可控性,规定了主题访问客体的操作权利限制,包括出入控制和
10、存储控制。,6. 访问控制性,1.2.2电子商务的风险与安全问题,任何商业活动、复杂计划和挑战变化都会产生风险。要想有效管理电子商务风险,考虑风险的三个主要领域:危害性、不确定性和机遇。,1.2.2电子商务的风险与安全问题,从电子商务的交易实施过程的角度来看,存在以下的风险,产品识别风险 质量控制风险 网上支付风险 物权转移中的风险 信息传递风险,1.2.2电子商务的风险与安全问题,任何商业活动、复杂计划和挑战变化都会产生风险。要想有效管理电子商务风险,考虑风险的三个主要领域:危害性、不确定性和机遇。,1.2.2电子商务的风险与安全问题,2.电子商务安全问题 电子商务的安全问题主要涉及信息的安
11、全问题、信用的安全问题、安全的管理问题以及电子商务安全的法律保障问题。,1.2.2电子商务的风险与安全问题,2.电子商务安全问题 (1)信息安全问题 1)信息泄密2)信息篡改 3)信息丢失 4)信息破坏,1.2.2电子商务的风险与安全问题,2.电子商务安全问题 (2)信用安全问题 1)来自买方的信用安全问题 2)来自卖方的信用安全问题 3)买卖双方的抵赖行为,1.2.2电子商务的风险与安全问题,2.电子商务安全问题 (3)安全的管理问题 严格管理是降低电子商务风险的重要保证,安全管理的目的其实就是提供从事商务活动的可信的运行环境,需要有完善的管理制度和相关的技术支持。,1.2.2电子商务的风险
12、与安全问题,2.电子商务安全问题 (4)安全的法律保障问题 电子商务的技术设计是先进的、超前的、具有强大的生命力,但同时也必须清楚地认识到,在目前的法律上是没有现成的条文来保护电子商务交易中的交易方式的,在网上交易可能会承担由于法律滞后而带来的安全风险。,1.2.2电子商务的风险与安全问题,2.电子商务安全问题 电子商务给传统税收也造成了冲击,各国之间的税收平衡问题也突显出来,会引发新的税收风险。,37,2018/10/24,1.3 电子商务安全的保障,电子商务安全国际规范,电子商务安全法律要素,电子商务安全技术,1.2.3电子商务系统安全的构成,1.系统实体安全 实体安全,是指保护计算机设备
13、、设施以及其他媒体免受自然灾害和其他环境事故(如电磁污染等)破坏的措施、过程。电子商务系统的实体安全由三个部分组成:环境安全、设备安全和媒体安全。,1.2.3电子商务系统安全的构成,1.系统实体安全 (1)环境安全 环境安全就是要对电子商务系统所在的环境加以安全保护,主要包括灾害保护和区域保护。 (2)设备安全 设备安全是指对电子商务系统的设备(包括网络)进行安全保护,主要是设备防盗、设备防毁、防电磁信息泄漏、防线路截获、抗电磁干扰以及电源保护。(3)媒体安全 实体安全中的媒体安全指对媒体数据和媒体本身实施安全保护。,1.2.3电子商务系统安全的构成,2.系统运行安全 电子商务系统安全的第二个
14、部分是运行安全,运行安全是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。电子商务系统的运行安全涉及到四个方面:风险分析、审计跟踪、备份与恢复和应急措施。,1.2.3电子商务系统安全的构成,2.系统运行安全 (1)风险分析 风险分析就是要对电子商务系统进行人工或自动的风险分析。 (2)审计跟踪 审计跟踪就是要对电子商务系统进行人工或自动的审计跟踪,保存审计记录和维护详尽的审计日志。(3)备份与恢复 运行安全中的备份与恢复,就是要提供对系统设备和系统数据的备份与恢复。 (4)应急 运行安全中的应急措施,是为了在紧急事件或安全事故发生时,提供保障电子商务系统继续运行或紧急恢复
15、所需要的策略。,1.2.3电子商务系统安全的构成,3.信息安全 信息安全是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,信息安全要确保信息的完整性、保密性、可用性和可控性。信息安全由七个部分组成:,1.2.3电子商务系统安全的构成,3.信息安全 (1)操作系统安全1) 安全操作系统:指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统。 2) 操作系统安全部件:操作系统安全部件的目的是增强现有操作系统的安全性。,1.2.3电子商务系统安全的构成,3.信息安全 (2)数据库安全1)安全数据库系统,是指从系统设计、实现、使用和管理等各个阶段都
16、遵循一套完整的系统安全策略的数据库系统。2)数据库系统安全部件,是以现有数据库系统所提供的功能为基础构建安全模块,旨在增强现有数据库系统的安全性。,1.2.3电子商务系统安全的构成,3.信息安全 (3)网络安全1)网络安全管理指为网络的使用提供安全管理。 2)安全网络系统对网络资源的访问和网络服务的使用提供一套完整的安全保护,即从网络系统的设计、实现、使用和管理各个阶段,遵循一套完整的安全策略的网络系统。3) 网络系统安全部件,1.2.3电子商务系统安全的构成,3.信息安全 (4)计算机病毒防护1) 单机系统病毒防护2) 网络系统病毒防护 3) 网络系统安全部件 (5)访问控制 1)出入控制是
17、为了阻止非授权用户进入机构或组织。2)存取控制是针对主体访问客体时的存取控制,如通过对授权用户存取系统敏感信息时进行安全性检查,以实现对授权用户的存取权限的控制,1.2.3电子商务系统安全的构成,3.信息安全 (6)加密 加密是将明文数据进行某种变换,使其成为不可理解的形式的过程。加密必须依赖两个要素:算法和密钥。(7)鉴别 鉴别是指提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方(包括用户,设备和进程)真实身份的鉴别;信息鉴别是提供对信息的正确性,完整性和不可否认性的鉴别。,1.3电子商务安全的保障,1.3.1电子商务安全技术 1.3.2电子商务安全国际规范 1.3.3电子商务安全法律要素
18、,1.3.1电子商务安全技术,1.3.1电子商务安全技术,1.加密解密技术 加密技术是信息安全技术中的一个重要的组成部分加密就是用基于数学方法的程序和保密的密钥对信 息进行编码,把计算机数据变成一堆杂乱无章难以 理解的字符串,也就是把明文变成密文。 2.数字签名技术 通过数字签名技术可以确认当事人的身份,起到了签名或盖章的作用,签字方不能够抵赖。以后我们还会学习到,通过数字签名技术也能够帮助我们鉴别信息自签发后到收到为止是否被篡改过。,1.3.1电子商务安全技术,3.数字时间戳 4.验证技术 验证是在远程通信中获得信任的手段,是安全服务中最为基本的内容,因为必须通过可靠的验证来进行访问控制,决
19、定谁有权接受或修改信息,增强责任性以及实现不可否认服务。验证常用的三种基本方式是口令方式、标记方式、人体生物学特征方式。,1.3.1电子商务安全技术,5.数字证书技术 数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档。它由权威公正的第三方机构,即CA中心签发,类似于现实生活中的身份证。,1.3.2电子商务安全国际规范,1.SSLSSL是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。SSL是一种利用公共密钥技术的工业标准,广泛用于Inter
20、net。目前大多数浏览器都支持SSL,很多Web服务器也支持SSL。,1.3.2电子商务安全国际规范,2.SETSET协议是信用卡在互联网上进行支付的一种开放式标准,也是银行卡安全支付的具体规范。目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。SET的制定与推广既为业务相互渗透的各家信用卡公司提供了统一的安全通信标准,也促进了信用卡在互联网上作为支付工具的应用。,1.3.3电子商务安全法律要素,1.保障交易各方身份认证的法律电子交易的各方都需要拥有和证明自己的合法身份,通过设立在交易参与方之外的,第三方的公正机构(CA中心)可以达成这样的目标,即取得
21、由数字证书认证中心签发的数字化的证书,在交易的各个环节,交易的各方都可以检验对方数字证书的有效性。,1.3.3电子商务安全法律要素,2.电子合同的法律地位电子商务活动中,电子合同的有效性、电子签章和数字签名的有效性是各国共同关注的法律问题。需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认;需要对电子商务凭证、电子支付数据的伪造、变更、涂销做出相应的法律规定。,1.3.3电子商务安全法律要素,3.电子商务的消费者权益保护的法律 网络环境下,消费者的保护问题更主要地表现为要赢得消费者的信任。消费者权益保护的另一个重要内容是保护个人隐私、秘密。,1.3.3电子商务安全法律要素,4.网络知识产权保护的法律由于在互联网上知识产权的主要表现是信息,保护的难度相对比较大。网络对知识产权的保护提出了新的挑战,在研究技术保护措施时,还必须建立适当的法律框架,以便侦测仿冒或欺诈行为,并在上述行为发生时提供有效的法律援助。,实践项目,使用互联网查找有关信息安全及其商业过程的关系的案例,进行分析。 新的法律会对商业有什么影响?以小组为单位讨论你查找到的结果。 你认为电子商务企业中最大的安全隐患是什么?应该如何解决?,
