1、第十章电子商务应用安全,10.1网上购物安全 10.2网络营销安全 10.3网络营销安全,10.1网上购物安全,随着因特网的广泛普及,电子商务在全世界得到飞速发展,网上购物普遍受到欢迎。 在当今世界上,任何国家、任何地区的任何计算机网络只要在技术上执行互联网协议,就可以连入互联网;任何商家企业(或公司)只要缴纳一定的注册费,就可获得自己专用的域名,建立自己的网站,制作自己的网页,在网上自主从事电子商务活动和广泛进行信息交流; 任何一个人只要拥有一台计算机、一只“猫”(调制解调器Modem)和一根电话线,就可以获得因特网电子商务服务供应商提供的服务,就可以参与网上交易。 网上营销和网上购物的安全
2、问题也随之产生,越来越受到人们的重视。,10.1网上购物安全,10.1.1顾客跟踪系统与顾客密码 10.1.2电子现金与安全零钱 10.1.3电子商务活动安全软件,10.1.1顾客跟踪系统与顾客密码,1.顾客跟踪系统 2.顾客密码 3.个人识别码 4.保护好顾客的隐私,1.顾客跟踪系统,顾客跟踪系统(CTS,Customer Tracking System)。购物网站可以通过CIS了解顾客的需求。 同时,大多数购物网站都将其服务体系和商品价格等信息公开,关注竞争者的价格变动,可以及时调整自己的竞争策略。,2顾客密码,顾客密码(CS,CustomerSercret)。它是由对顾客身份与另一密码的
3、Hash算法产生的。 在电子商务和电子支付活动中,为防止凭单被盗,防止偷听者从交易中得到信息,网络连接需要加密。 协议的安全与保密,可以通过在顾客与商家(卖主)之间使用一个叫作顾客密码的对称密钥来实现。顾客密码用来保证通信通道的安全。 顾客密码可以使用有效的对称算法如DES、IDEA或RC4。,3个人识别码,个人识别码(PIC,Personal ldentification Code)也称为用户识别码(ESN)。 用户识别码(ESN)是厂商内置于移动电话内的识别号码,用以分辨用户,避免诈欺行为。 ESN不同于移动电话网络中用以辨识使用者的移动识别码。如果在PIN口令中含有字母和数字时,则叫做个
4、人识别码(PIC)。 个人识别码(PIC)和用户识别码(ESN)在电子商务活动中,尤其在电子商务安全方面具有重要作用。,4.保护好顾客的隐私,隐私(PRIVACY,Privacy)包括私人机密、个人隐私、隐私权、顾客机密(PRIVACY)等。在网上营销中,商家使用“代理人(Agent)”收集顾客的有关信息,例如顾客的姓名、住址、年龄、爱好等。顾客保护好自己的隐私是合情合理的。 顾客要确定自己访问的网站,清楚询问商家将如何使用收集到的顾客信息。 顾客要求商家保守顾客机密,决不泄露。否则,商家将失去顾客,顾客也会再去找另一个网站。,10.2网络营销安全,电子商务完全建立在一个虚拟的市场上,商家企业
5、的电子商务的一切活动完全在网上进行,不再需要原有的固定营业场所、代理商等有形机构或组织, 大多数产品、服务或劳务的提供并不需要商家企业实际出现,而仅需一个网站和能够从事相关交易的软件或者服务器和服务系统就可以了, 而且互联网上的网址、EMAIL地址、身份(m)等与产品、服务或劳务的,提供者并没有必然的联系,仅凭这些信息是无法判断商家企业机构所在地的。 网上电子营销的安全已经是人们最关心的问题。 10.2.1电子贸易与安全 10.2.2网络营销安全,10.2.1电子贸易与安全,1.电子贸易与安全 2.数据通信是最容易受攻击的目标 3.对存储在服务器中的数据加强保护,1电子贸易与安全,电子贸易(E
6、trade,IntemetEtrade)也称为电子交易、电子商务交易、网上电子交易、因特网电子交易、利用电子技术和数字化技术进行商务贸易。 电子交易是电子商务中一种最常用的形式。以信用卡交易为例,Visa和MasterCard公司的调查报告表明,担心信用卡号被窃取已经成为影响人们通过网络进行交易中存在的最大问题。 这个结果应该是我们能够理解的,人们都很担心保密的信息(如信用卡和个人信息等)在Intemet上进行传输时被不法分子截取。 因此,在Intemet上发送和接收信息时要保证:,1电子贸易与安全,(1)除发送方和接收方外,不得被其他人知悉(隐私性); (2)传输过程中不被篡改(真实性);
7、(3)发送方能确信接收方不是假冒的(非伪装性); (4)发送方不能否认自己的发送行为非否认)。,2.数据通信是最容易受攻击的目标,在实际电子商务通信过程中,如果没有专门的软件对数据进行控制,所有的Internet通信都将不受限制地进行传输,任何一个对通信进行监测的人都可以对数据进行截取。 如果你从一个连网的UNIX工作站上使用“跟踪路由”命令,就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统,所有这些都是最容易受黑客攻击的目标。,2.数据通信是最容易受攻击的目标,一般地,一个监听攻击只需通过在传输数据的末尾获取本地ISP的信息即可以完成,并不需要特别的物理访问。 如果对网络具有直
8、接的物理访问权的话,还可以使用网络诊断软件进行窃听。 黑客们只需使用简单的匹配算法就可以将口令字和信用卡号与其他部分区别开来。 对付这类攻击的办法就是对传输的信息进行加密,至少要对包含敏感数据的部分信息进行加密。,3对存储在服务器中的数据加强保护,对传输的信息进行加密会增加通信的费用,并且需要通信各方的配合。 这种配合需要具有用于安全电子商务的开放标准,1997年5月批准的SET(安全电子交易)协议是在Internet上进行电子商务的一个通用的标准。 然而,在交易过程中对数据进行保护只是保证交易安全的一个方面。 由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在
9、服务器中的数据进行保护。,3对存储在服务器中的数据加强保护,目前,Web服务器也是黑客们最喜欢攻击的目标。因此,专家建议尽量不要将Web服务器连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。 当然,这毕竟有些不大现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。 虽然防火墙技术有助于对Web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护。,10.2.2网络营销安全,1网络营销要以满足
10、客户需求为中心 2网络营销功能的实现 3市场营销的“4p”策略 4电子化服务,1网络营销要以满足客户需求为中心,网络营销(NM,NetworkMarket网上销售)。它是以现代营销理论为基础,由以推销产品为中心的传统营销的“4P”(Product、Price、Place、Promotion,即产品、价格、渠道、促销)转向以满足客户需求为中心的“4C(Customer、Cost、Convenience、Cormnunication,即客户、客户愿出的花费、对客户的方便性、与客户的沟通)。 网络营销贯穿在企业经营的整个过程中,包括市场调查、客户分析、产品开发、生产流程、销售策略、售后服务、反馈改进
11、等环节。 在各个环节都要考虑安全问题。以满足客户需求为中心还要加强零余额管理(ZeroBalance)和安全管理。 零余额管理是在每日营业结束时,系统自动将所有账户上的余额集中至主账户计息。根据客户的需要,还可代其在通知存款市场上拆出该资金以获更高的利息收人。安全管理是为客户创造良好市场交易环境的可靠保证。,2网络营销功能的实现,网络营销功能的实现可由浅入深,由简到全: 从做一个主页到经营网站,从做广告到建立客户关系管理系统(CRM) 从发电子邮件到建立供应链管理系统(SCM)。 网络营销的优势从传统直接市场营销发展到数据库营销,再到网络营销,网络营销是直接市场营销的最新形式。 网络营销具备其
12、他直接市场营销形式的一切优点,诸如直接面向客户、可定向服务、可获得反馈信息、无地域限制、相对成本较低等。,2网络营销功能的实现,网络营销具有如下特有的优点: (1)网络营销的广域性:网络营销的突出特点是覆盖全球,交流通畅; (2)实时性强:网络营销是在线交易,能够作到即刻送达,即刻反馈,在线进行跟踪; (3)互动性好:网络营销保证客户参与,商家与客户关系密切,能够充分及时进行沟通,及时协商和处理交易中的问题; 4)成本低廉:网络营销的建设费少,维护费用低; 5)可扩展性:网络营销能支持其他营销方式,可从许多方面向电子商务发展。,3市场营销的“4p”策略,市场营销的“41”(PPPP,Produ
13、ctPricePlacehDmod01)策略, 即产品(Product)的研制与开发 价格(Price)的制定与调整 地点(Place)是指商家与企业的位置与地点的选定 宣传(Promotion)是指产品或商品的促销宣传与广告等。,4电子化服务,网络营销加强电子化服务。电子化服务也称为电子服务(Eservices)。它是网络时代的一种新型业务模式,采用先进的第二代因特网(Internet2)技术和概念并结合网络上的开放式服务模块为商家企业、个人和网络上的事物提供个性化及开放式服务。 电子化服务具有智能化和开放的特性,能够让网络 “为我服务(Do it for Me)”。 电子化服务彻底改变了传
14、统网络的概念,使网络由“我来做”转变为“为我做”的新阶段。 企业上网成为环球企业(GE,Global Enterprise)。企业上网参加和开展电子商务活动,不断增强开展电子化服务的能力,与全世界所有商家和企业连接起来,进入国际市场,使自己的购买、销售和企业运作走向全世界,成为国际型企业。,10.3网络银行安全,网络银行(IntemetBank或InternetBanking)主要是指因特网网上银行,因此也称为因特网网络银行、在线银行或网上电子银行。 银行金融机构利用因特网网络技术,在因特网上开设银行或银行利用因特网开展业务或提供因特网金融服务。 能够提供网上金融服务是银行国际化和现代化的重要
15、标志。 网络银行的组成主要有开户业务模块、授权业务模块、支付业务模块、清算业务模块和系统管理模块等。 通过网络银行系统,可以实现随时随地与任何账户采用任何方式进行安全电子支付和结算。,10.3网络银行安全,这是一种全新的银行客户服务提交渠道,使得客户可以不受时间、空间的限制,只要能够上网,无论在家里、办公室,还是在旅途中,都能够安全便捷地管理自己的资产和享受银行的服务。 网上银行是在因特网上的虚拟银行柜台。与传统的分支机构、自动柜员机ATM和电话银行服务等客户服务提交渠道相比,网上银行是一种全新的服务提交渠道,并且其出现完全得益于因特网网络的飞速发展。 网络银行安全十分重要。研究网络银行安全具
16、有重大现实意义。,10.3.1美国安全第一网络银行 10.3.2网络银行安全系统,10.3.1美国安全第一网络银行,美国第一联合国家银行(FUNBFirstUnionNationalBank),也称为美国安全第一网络银行(SFNB)。它是一个典型的网络银行。1994年4月美国的三家银行联合在因特网上创建了FUNB,它也称为美国证券第一网络银行(SFNBSecurityFirstNetworkBank),这是得到美国联邦银行管理机构批准,在因特网上提供银行金融服务的第一家银行,也是在因特网上提供大范围和多种银行服务的第一家银行。其前台业务在因特网上进行,后台处理只集中在一个地点进行。该银行可以保
17、证安全可靠的开办网kia行业务,业务处理速度快,服务质量高,服务范围极广。在获得美国联邦银行管理机构许可之前,安全第一网络银行必须使国家管理人员相信其操作的安全性,该银行采用了惠普虚拟保险箱安全技术,惠普虚拟保险箱安全技术已经在保护先进的美国国防部项目中得到了证实。,10.3.1美国安全第一网络银行,1996年初,美国第一联合国家银行全面在因特网上正式营业和开展银行金融服务,用户可以采用电子方式开出支票和支付账单,可以上网了解当前货币汇率和升值信息,而且由于该银行提供的是一种联机服务,因此用户的账户始终是平衡的。 该行最近已经完成了对Newark银行和费城FirstFidelity银行的兼并,
18、从而成为美国第六大银行,拥有1260亿美元资产,具有近2000家分行;该行有1100万用户,分布在美国沿佛罗里达州、康涅狄格州及华盛顿地区等12个州内。 美国第一联合国家银行面向美国的中低收人家庭提供多种服务,其中包括低现付抵押和无低现额支票账户服务等。,10.3.2网络银行安全系统,1.信用卡欺诈估测系统 2.金融交易识别系统 3.网络银行的5W服务 4.银行密押系统,1.信用卡欺诈估测系统,信用卡欺诈估测系统(FAIONsystem)是网络银行的重要安全系统。银行或商业上经常发生诈骗行为,如恶性透支、诈骗或故意破坏行为等,这些犯罪或破坏行为给银行和商业单位带来了巨大损失。 对这类诈骗行为进
19、行预测,哪怕正确率很低的预测,都会减少发生诈骗、犯罪或者破坏行为的机会,从而减少损失。 进行诈骗甄别主要是通过总结正常行为和诈骗行为之间的关系,得到诈骗行为的一些特性,这样当某项业务符合这些特征时,可以向决策人员提出警告。,2.金融交易识别系统,金融交易识别系统一般指在金融交易过程中,识别金融交易可疑行为或金融交易诈骗行为的识别系统趾赌system),简称为FAIS系统。 FAIS系统是一个用于发现、识别和制止与洗钱有关的非法金融交易的系统,通常它使用的是政府一般使用的数据表单,用于识别银行或商业上经常发生的诈骗行为。 金融交易识别系统是网络银行的重要保安系统,一旦出现银行或商业上的诈骗行为,
20、金融交易识别系统通过政府使用的数据表单、身份认证系统和电子识别系统,经过对大量数据进行反复对照处理,能立即发现可疑的金融交易行为或金融交易诈骗行为的身份和来源,记录这种可疑的金融交易行为或金融交易诈骗行为的出现和发生过程,及时制止这种金融交易的发生,同时,立即向负责人员发出警报。,3网络银行的5W服务,网络银行的5W服务(5W服务)是网络银行的服务目标。网络银行的客户对网络银行安全支付和结算的期望和需求很高. 网络银行的5W服务主要是实现能够为任何人(Whoever)随时(Whenever)随地(Wherever)与任何账户(Whanever)用任何方式(Whatever)进行安全支付和结算。
21、 为广大客户提供满意和高质量的服务是商业银行和网络银行的生存与发展的关键。 网络银行能够满足客户很高的期望与需求,能够朝着更加及时、安全、满意的方向为客户服务。,4银行密押系统,(1)第一代密押系统 (2)第二代密押系统 (3)第二代密押系统的专用终端,(1)第一代密押系统,银行密押系统是指银行在不同地区、不同机构之间传递票据时,为确保数据的安全保密而采取的加密解密过程。 传统的票据传递采用人工方式进行,效率极低,安全性极差。 当计算机进人银行后,中国工商银行自行开发了第一代密押系统,采用人工填写票据、人工核对、交密押员、人工录入、加密运算、手工记录结果、人工录入密押、传递的工作流程,虽然提高
22、了安全性,但工作效率仍然很低。,(2)第二代密押系统,随着IC卡技术的广泛应用,中国工商银行与湖南计算机公司联合开发了第二代密押系统。 在这种系统下,原始数据可由终端直接输入计算机系统,并通过连接在终端上的IC卡读写设备完成密押操作形成加密数据,然后通过公用线路进行数据传输。 第二代密押系统实现了全流程的电算化操作,大幅度提高了工作效率和可靠性。 由于第二代密押系统采用IC卡进密和解密,因此从根本上解决了数据的安全性问题。,(3)第二代密押系统的专用终端,由于GW600M终端硬件采用ASIC技术和SMT工艺,软件系统吸取了国内外终端软件的精华,工作稳定可靠、处理速度快捷、用户界面友好。 此外,这种终端带有符合国际标准的IC卡设备接口,可直接操作标准的IC卡。 产品一经推出,很快就被指定为工商银行第二代密押系统的专用终端,在全国工商银行系统推广使用。,
