1、电子商务安全,主讲:陈传红,博士讲师,E-MAIL: 中南民族大学 管理学院,课前导语,思考两个问题:1、Education is what remains after one has forgotten everything he learned in school.Albert Einstein教育就是忘记了在学校中所学的一切之后剩下的东西爱因斯坦剩下的东西是什么?,2、a=b ,b=c,c=d,d=e,e=f.y=z a=z? 45=45?,第1章 电子商务安全概述,主要内容,E-Business包含E-Commerce和M-Commerce,知识回顾,电子商务在计算机网络七层结构中属于
2、那一层?,1 电子商务安全重要性,电子商务安全事件,一厘钱引发的血案,电子商务安全事件,事件一:信息被盗事件 2012 年,当当网、 1 号店、亚马逊中国、国美在线、易迅网、库巴网等多家电商网站,先后遭遇 “ 盗号门 ” ,被曝用户账户信息泄露、账户资金被盗用。其中当当网在半年内就遭遇了三次信息被盗事件, 1 号店网上商城员工与离职、外部人员内外勾结,叫卖用户信息,造成部分客户信息泄露。此外,窝窝团、拉手网、糯米网等多家团购网站也被爆出用户账户资金被盗用。,隐私泄露,财产损失,电子商务安全事件,事件二: 在网络交易中,一个差评可能引发的严重后果。因为给卖家差评,武汉女大学生收到了一件寿衣,北京
3、买家收到删差评师的短信恐吓,成都女大学生更遭遇连续一个月的电话骚扰,对方甚至致电学校举报她作风不正、从事不正当兼职 另一方面专业给网上卖家差评,以此来敲诈和勒索,迫使卖家屈服,并要求你提供相应的“ 赔偿 ” 以此来获利的职业差评师也浮出水面, “ 网上碰瓷 ”让不少卖家心有余悸。2012 年月以来,淘宝网频频接到卖家遭遇 “ 恶意差评师 ” 的投诉举报。 2012 年 11 月 29 日,杭州市公安局和淘宝网联合宣布,经过跨省区联手侦查追捕,淘宝网首例 “ 恶意差评师 ” 案的名犯罪嫌疑人已被抓获获,并以涉嫌敲诈勒索罪被逮捕。,名誉受到侵害、人身安全受到威胁,电子商务安全事件,事件三:顾客在淘
4、宝网站给差评 遭店主雇凶乱刀砍伤ttp:/ 陈婕 通讯员 陈恨绵 曾书琼就因给了个差评,珠海段某被从深圳奔赴而来的四名凶手砍伤。新快报记者昨日了解到,珠海警方近日成功侦破一起因网上购物退货不成给差评而被人砍伤案件,抓获嫌疑人3名。据悉,伤者段某是珠海某小区物业公司普通员工,之前其帮女友在淘宝网向卖家深圳某电讯公司购买了一台三星手机,收货人是段某。段某在收到卖家发来的手机后发现手机是水货,货不对板,于是通过QQ与卖家联系退货事宜但多次交涉未果,段某就在淘宝网上给予卖家“差”的评价。但这个“差”评激怒了卖家,卖家在回复中称“三个小时到珠海砍你!”段某以为该卖家只是口头上吓唬。3月5日9时许,珠海拱
5、北口岸公安分局吉大派出所接报称,在吉大某小区管理处上班的段某被4名持刀男子砍伤头部、肩膀及背部,4名男子砍人后乘坐一辆遮挡车牌的别克小车逃离现场。随即,拱北禁毒大队与吉大派出所成立专案小组,展开调查。被砍伤者就是段某。,人身安全受到伤害,电子商务安全事件,事件四:快递单号信息被大面积泄露 2012 年 11 月, “ 三通一达 ” 等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。这些交易网站显示,被交易的快递单号来自包括申通、圆通、中通及韵达在内的多个快递公司, “ 淘单 114 ” 还写着 “ 单号来源于各地快递员 ” 。此外,一些个人用户
6、缺乏个人信息安全保护意识,随意将载有个人信息的快件包装盒和包装袋丢弃,也是造成快递信息泄露的重要原因。 调查发现,泄露个人信息已成为滋生违法犯罪活动的“ 温床 ” ,轻则引发非法调查等不法行为,重则导致电信诈骗、金融诈骗、入户盗窃等刑事犯罪,有的甚至成为敲诈勒索、绑架、暴力追债等恶性犯罪的 “ 帮凶”。,私泄露导致消费者成受害者,电子商务安全事件,事件五:快递丢件索取赔偿 朱姓网友向中国电子商务投诉与维权公共服务平台发来求助称北京的同事于 12 月 25 日通过中通快递发了 4 台 IPAD到江西公司,作为年会奖品,快递单号为 701034921053 。之后得到中通方面快递丢件的回复,由于没
7、有保价,中通最多赔偿 1000 人民币,双方未达成一致,丢件方表示可能会通过法律途径维权。(详见案例: 中通速递丢件四台IPAD 或监守自盗 仅以 3000 元赔偿了之 http:/ ),财产损失,电子商务安全事件,事件六:淘宝网 “ 一元宝贝 ” 陷阱 “ 品牌运动鞋 1 元包邮。 ”“ 加厚 T 恤秒杀,一元包邮,只限今天。 ”“ 原价 426 元,参加促销限时打折后成了 1.28 元 ” 不少消费者在网购时都收到过这样的促销消息。当你以为抢到了便宜货时,却被卖家告知 “ 价格标错了 ” 、 “ 没货了 ” ,让申请退款。 网购 “ 一元宝贝 ” 暗藏陷阱: 1 、部分卖家利用超低价虚假销
8、售来虚增销量,造成热销假象,诱使消费者购买;2 、部分卖家套取买家真实姓名、地址、手机号码、固定电话、支付宝邮箱、家庭住址或者单位地,隐私泄露,电子商务安全事件后果,对消费者个人隐私、财产甚至人身安全是否选择网上购物、交易对行业影响电子商务行业健康发展消费者对电子商务的信任,网络中,我如何能相信你?,网络特点 开放性及匿名性,在因特网上, 谁也不知道你是一条狗!,安全威胁-信任-购买意愿,1 电子商务安全重要性,消费者在购买决策中往往都会感知到不同程度的风险。关于直销的相关研究认为,相对于传统商店购买决策,消费者在无店铺购买决策时感受到的风险水平往往更高1。 传统交易买者对商品的信息(外观、颜
9、色、质地、性能等)有真实全面的了解,交易发生时商品的所有权随即发生转移。网络交易由于空间的分隔,造成信息掌握的不对称性:卖家掌握商品的全部真实信息处于优势地位;买家对商品的信息了解仅限于网站上卖者描述性的文字及图像2,提交订单时还必须填写个人信息(姓名,住址,电话等),网上支付和获取商品之间存在时间差,买家无法制约卖家的行为。消费者对隐私泄漏和被卖家欺诈的担忧,导致买者对卖家和电子商务本身有着本能的怀疑感,消费者认为网上购物比在商店购物的风险较高,感知风险被证实为影响其网络购物决策的重要因素。大量实证研究指出消费者的风险感知负向影响其网络购物意愿12-16。只有让消费者能放心地在网络上交易时,
10、电子商务被广泛认可的潜在发展前景才能实现。,电子商务安全内涵,基于互联网的电子商务已逐渐成为人类进行商务活动的新模式。越来越多的人通过Internet进行商务活动,电子商务的前景非常诱人,但随之而来的安全问题却变得越来越突出。如何建立一个安全,可靠,便捷的电子商务应用环境,保证其交易过程中信息的安全性,使基于互联网的电子交易和传统交易方式一样安全,可靠,已经成为关乎今后电子商务健康持续发展的重要问题。,1 电子商务安全重要性,2 电子商务安全威胁,知识回顾:电子商务基本组成与交易流程,电子商务系统的基本组成与交易流程,电子商务流程各阶段的内容,信息共享,它为商家提供了网上信息发布功能,商家可将
11、数据库内存储的数据通过互联网向访问其站点的客户发布,可以通过网络上的聊天室、多方会议、电子公告牌和新闻组等提供自己公司和产品的介绍。,电子订购,客户通过互联网订购公司的产品和服务。最简单的订购方式可以通过电子邮件来实现,客户可以采用自己方便的方式,填写要购买货物的订货单,然后将其发给商家。,电子支付,电子交易中使用的支付工具和现实购物中使用的支付工具的功能在许多方面是相似的,我们习惯使用的工具如现金、支票,都可以用电子化的手段来表示。,订单执行,货物的形态可以是有形的,也可以是无形的。无形产品可以直接在网络上进行在线供货。有形产品无法通过网络直接供货,但可在网上完成除送货以外的其他业务活动,即
12、实现“在线交易、离线供货”,售后服务,销售只是建立与客户长远关系的开始,商家不仅要提供客户需要的与产品和服务有关的帮助,商家也需要与客户进行合作以改进产品和服务,以便将来更好地为别的客户服务。这一点在传统交易中和电子交易中都是适用的,信息流,资金流,物流,1)电子商务的不确定性与风险,风险在网络交易中是客观存在的,网络购物中主要存在三类不确定性:买卖双方行为不确定性(人行为的不确定性),网络环境不确定性(IT互联网技术不确定性),商品本身不确定性(物流运输不确定性和质量不确定性)。从电子商务的交易实施过程的角度来看,存在以下风险: (1)产品识别风险 (2)信息传递风险 (3)网上支付风险 (
13、4)物权转移中的风险 (5)质量控制风险 (6)买卖双方行为风险,人,IT互联网 技术,商品,电子商务全流程风险分析,产品安全物流安全支付安全数据库安全商务网站安全计算机网络安全计算机安全: -硬件安全,软件安全,买家,仓储、物流,电子商务信息系统与交易安全,网络安全,计算机安全,3 电子商务安全与对策,电子商务的一个主要特征是利用IT技术来传输和处理商业信息。因此,电子商务的安全问题主要有计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全等。其特征是针对计算机网络系统本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的
14、安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保证电子商务交易的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可抵赖性。,1)电子商务安全基本内涵,1)电子商务安全基本内涵,电子商务安全需求电子商务威胁的出现,导致了对电子商务安全的需求,为真正实现一个安全电子商务系统,保证交易的安全可靠,要求电子商务能做到机密性,完整性,认证性和不可抵赖性。(1) 机密性。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性
15、一般通过密码技术对传输的信息进行加密处理来实现。(2) 完整性。电子商务过程中,由于数据输入时的差错或欺诈行为,以及数据传输过程中信息的丢失,信息重复或信息传送的次序差异将导致贸易各方信息的差异,从而影响到贸易各方的交易和经营策略,保证贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成,修改和删除,同时要防止数据传输过程中的丢失和重复,保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得。,3.1电子商务的安全需求,(3) 认证性。电子商务交易系统中,企业或个人的交易通常都是在虚拟的网络环境中进行,双方可能从未谋面,所以对个人或企业实体进行身份认证成了电子商
16、务中十分重要的一环。这就要做到,当某人或实体声称具有某个特定身份时,鉴别服务将提供一种方法来验明其声明的正确性,一般都通过证书机构CA和数字证书来实现。(4)不可抵赖性。电子商务关系到贸易双方的商业交易,关乎双方的商业利益,但由于它不同于传统的贸易方式,如何确定要进行交易的贸易方就是合作伙伴,并且确定合同,契约,单据的可靠性,预防抵赖行为的发生,这就要求在交易信息的过程中,为参与的个人,企业或国家提供可靠的标识。不可抵赖性可通过对发送的信息进行数字签名来获取。(5)有效性。电子商务以电子的形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为一种贸易形式
17、,其信息的有效性将直接关系到个人,企业或国家的利益和声誉。因此,要对网络故障,操作错误,应用程序错误,硬件故障,系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。,2)电子商务安全问题,电子商务的安全问题主要涉及技术安全问题、信用安全问题、安全管理问题以及电子商务安全的法律保障问题。 (1)技术安全问题 a)信息安全: 信息泄密、信息篡改 、信息丢失 、信息破坏 b)软件安全 c)网络安全 d)网站安全 e)数据库安全 f)硬件设备安全,2)电子商务安全问题,(2)信用安全问题 a)来自买方的信用安全问题 b)来自卖方的信用安全问题 c)买
18、卖双方的抵赖行为 (3)安全管理问题 严格管理是降低电子商务风险的重要保证,安全管理的目的其实就是提供从事商务活动的可信的运行环境,需要有完善的管理制度和相关的技术支持。 (4)法律保障问题 电子商务的技术设计是先进的、超前的、具有强大的生命力,但同时也必须清楚地认识到,在目前的法律上是没有现成的条文来保护电子商务交易中的交易方式的,在网上交易可能会承担由于法律滞后而带来的安全风险。,3) 电子商务安全应对策略,立法、法律,制度、规章、管理措施,安全技术,电子商务安全威胁来源,电子商务安全应对层级,中南民族大学管理学院,陈传红,(1)电子商务技术安全体系,电子商务技术安全体系: 系统应用层、安
19、全协议层、安全认证层、加密技术层、网络安全层,(1)电子商务技术安全,加密解密技术加密技术是信息安全技术中的一个重要的组成部分。它可以保护传送的信息安全。但是加密系统不能区分拥有同样加密密钥的用户是合法用户还是攻击者。所以,从某种程度上说,加密本身能提供安全保障,还必须完善加密密钥和系统的一个整体控制 数字签名技术在现实生活里,书信或文件是根据亲笔签名或印章来证明具真实性的,在网络世界里,我们希望产生出能够代表签名者和文件之间关联性的数字代号。通过数字签名技术可以确认当事人的身份,起到了签名或盖章的作用,签字方不能够抵赖。以后我们还会学习到,通过数字签名技术也能够帮助我们鉴别信息自签发后到收到
20、为止是否被篡改过。这就使得他人通过伪造而达到改变信息的内容 数字时间戳在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用。由DTS(Digital Time-Stamp)服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间,验证技术验证是在远程通信中获得信任的手段,是安全服务中最为基本的内容,因为必须通过可靠的验证来进行访问控制,决定谁有权接受或修改信息,增强责任性以及实现不可否认服务。验证常用的三种基本方式是口令方式、标记方式、人体生物学特征方式 数字证书技术数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其
21、公钥的合法性的一种权威性的电子文档。它由权威公正的第三方机构,即CA中心签发,类似于现实生活中的身份证 防火墙技术防火墙是软件、硬件的结合,在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立一层保护,防火墙是边界安全产品,防火墙内的网络叫可信网络;以外的网络叫不可信网络。经过合理设置的防火墙是一种必需的安全设备。防火墙对于以下几个方面不能起到“防火”的作用:不能阻止攻击者使用一个允许的连接攻击;不能保证不受内部用户的攻击,(1)电子商务技术安全,(1)电子商务技术安全,智能卡技术人们利用智能卡(即你所拥有的)来降低攻击者猜出密码的风险。但是智能卡也有其漏洞,即不能防止对系统漏洞进行攻
22、击,而且成本问题也成为制约其发展的关键的因素 防病毒技术防病毒软件如果设置合理,那么可以降低系统遭受恶意攻击的机会。不过,防病毒只能保护系统免受恶意程序攻击,却不能避免使用合法程序访问系统的攻击者的攻击。同时也不能防护一些用户对不应该访问的文件进行访问的越权攻击。 入侵检测技术入侵检测是对防火墙的一个合理补充,帮助系统对付网络攻击,扩展管理员的安全管理能力和范围,提高信息安全基础结构的完整性。但是没有哪种入侵检测系统是百分百安全的,毕竟他们不能取代优秀的安全程序和操作,也不能检测出合法用户对信息的非正常访问,(1)电子商务技术安全,生物统计系统生物统计是利用你所具备的来认证,其中包括多种类型的
23、验证:如指纹、眼膜、语音等。每种方法都需要特定的设备,而且设备必须非常精确才可以检测出是否假冒。同时,这些读取仪器的费用和相关人员的接受问题也需要考虑,2)电子商务安全管理与安全教育,安全管理: 硬件设施管理 交易网站安全管理 从业人员管理 交易监督管理 在线信誉管理安全教育从业人员安全管理教育消费者安全知识普及, 安全担忧成阻碍用户使用网上支付的重要原因。30.4%的非网上支付用户是因为感觉不安全、担心资金被盗而不使用网上支付,还有 11.8%的非网上支付用户是担心账户信息泄漏。 用户安全意识不足,仅一半网上支付用户关注网上支付安全问题。52.8%的网上支付用户关注网上支付的安全问题,还有
24、47.2%的用户对网上支付安全问题表示非常不关注或较不关注。此外,有57.6%的用户表示不知道保障网上支付安全的办法。 用户对透露个人信息警惕性高,对即时通信链接防范意识不强。当接到电话称退款,需要告知自己的姓名、账户或手机验证码信息时,只有 2.9%的用户愿意透露信息。当用户使用即时通信工具遇到对方发来的不明链接时,有5%的用户会直接点击。 中国网络支付安全状况报告 (2012 年10月) 中国互联网络信息中心 (CNNIC),3)电子商务安全立法,(1).保障交易各方身份认证的法律 电子交易的各方都需要拥有和证明自己的合法身份,通过设立在交易参与方之外的,第三方的公正机构(CA中心)可以达
25、成这样的目标,即取得由数字证书认证中心签发的数字化的证书,在交易的各个环节,交易的各方都可以检验对方数字证书的有效性。 (2).电子合同的法律地位 电子商务活动中,电子合同的有效性、电子签章和数字签名的有效性是各国共同关注的法律问题。需要制定有关法律对电子合同的法律效力、数字签名、电子商务凭证的合法性予以确认;需要对电子商务凭证、电子支付数据的伪造、变更、涂销做出相应的法律规定。 (3).电子商务的消费者权益保护的法律 网络环境下,消费者的保护问题更主要地表现为要赢得消费者的信任。 消费者权益保护的另一个重要内容是保护个人隐私、秘密。 (4).网络知识产权保护的法律 由于在互联网上知识产权的主要表现是信息,保护的难度相对比较大。 网络对知识产权的保护提出了新的挑战,在研究技术保护措施时,还必须建立适当的法律框架,以便侦测仿冒或欺诈行为,并在上述行为发生时提供有效的法律援助。,3)电子商务安全立法,4 课程整体介绍与内容安排,实践项目,总结近两年来的国内外电子商务安全事件,理解电子商务安全的重要性以及消费者和行业发展的影响。你认为目前B2C、C2C中最大的安全隐患是什么?应该如何解决?,
