电子商务实验7EC安全.doc

实验七 EC 安全一、实验目的• 了解电子商务需要包括哪些安全因素• 掌握数据加密技术的实现思想和基本原理• 了解我国关于电子商务安全的相关法律法规二、实验内容1.电子商务中会存在哪些安全隐患？产生的原因有哪些？1.电子商务面临的网络系统安全问题 电子商务系统是依赖网络实现的商务系统，需要利用 Internet 基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务电子商务网络系统安全问题包括以下几个方面:(1)网络部件的不安全因素2)软件不安全因素3)工作人员的不安全因素4)自然环境因素2.电子商务面临的电子支付系统安全问题 众所周知，基于 Internet 平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构，以及它们之间可能的资金划拨，所以客户和商家在进行网上交易时必须充分考虑其系统的安全目前网上支付中面临的主要安全问题有以下几方面: (1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用 (2)支付金额被更改 (3)不能有效验证收款人的身份。

3. 信息的完整性：敏感信息和交易数据在传输过程中有可能被恶意篡改信息的不可抵赖性：网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据针对这些安全隐患，很多科技公司提出了一套实用的、易于实施的电子商务安全认证解决方案，通过为交易的各方发放数字证书来对交易的各方进行身份标识，并且在交易的过程中通过使用数字证书对交易的双方进行身份验证和签名验证，最终满足电子商务的安全需求，有效地防止各种电子商务安全隐患4. 计算机电脑病毒计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码随着互联网的发展,病毒利用互联网,传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的严重安全威胁随着计算机技术的不断发展,计算机病毒的破坏性也随之增强,电子商务环境也将收到严重威胁 5.窃取信息在电子商务中主要表现为交易信息的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用 6.窜改资料电子商务交易非常重视信息的真实性和完整性的问题交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。

7.假冒通过假冒交易平台,用有利的条件吸引用户到平台进行消费,骗取支付款项由于在虚拟的网络平台,用户一般难以判断2.我国电子商务安全的现状如何？电子商务是通过信息技术将企业、用户、供应商及其他商贸活动涉及的相关机构结合起来的一种信息技术的应用,是完成信息流、物流和资金流转移的一种行之有效的方法近几年，中国的因特网用户激增，至今用户数已超过 130万，在因特网上拥有自己域名的中国企业也已达到 48 万个就因特网商务而言，已建立的中国国际电子商务网为全国外经贸企业提供了面向全球的电子商务网络环境从行业应用看，证券公司、金融结算机构、民航订票中心、信用卡发放等已成功进入电子商务领域，并进行了大量可靠的交易经权威机构调查，我国信息产业总规模已超过 14000 亿元人民币，电信业务年均增长率为 33％，信息产品制造业年均增长率已大于 30％中国电子商务正迈入繁荣阶段但由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还可能受到计算机病毒感染几乎所有的网站在建站开始及发展过程中,都似乎朝向便利性、实用性目标,往往忽略网络安全环节,给网络发展埋下了深深的隐患。

据公安部的资料,利用计算机网络进行的各类违法行为在中国正以每年30%的速度递增黑客的攻击方法已超过计算机病毒的种类,总数达近千种目前已发现的黑客攻击案约占安全事件总数的 15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光有媒介报道,中国 95%的与 Internet 相连的网络管理中心遭到过境内外黑客的攻击或侵入,其中,银行、金融和证券机构是黑客攻击的重点,金融领域的黑客犯罪案件涉案金额已高达数亿元故随着电子商务日益普及,网络安全问题显得异常突出,解决安全问题已成为我国电子商务正常发展的当务之急3.电子商务需要具备哪些安全因素？信息的真实性信息的保密性（信息的保密性是指网络信息通过加密技术进行的加密处理 保证其在传输活存储过程中不被他人窃取 ）信息的完整性（不因意外或人为因素而遭到破坏，保证信息的完整和统一）信息的有效性（具有传统口头协议 书面协议的一样效力，不能加以反悔或抵赖） 、信息的不可否任性、可靠性、及时性、不可拒绝性实体的认证性（通过 CA 认证机构和其发放的数字证书来实现的）系统的可靠性（在一定时段内连续工作的时间长度） 4.如何保证电子商务的安全性？1、不可修改性交易的文件是不可被修改的，电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

例如：订购黄金在供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数 1 吨改为 1 克，则可大幅受益，那么订货单位可能就会因此而蒙受损失2、信息保密性　交易中的电子商务信息均有保密原则例如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机因此在电子商务的信息传播中一般均有加密的要求3、不可否认性商情每天都是千变万化，交易一旦达成是不能被否认的，否则必然会损害一方的利益例如上面提到的订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能滞认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失因此电子商务交易通信过程的各个环节都必须是不可否认的4、交易者身份的确定性还有很重要的一点就是，网上交易的双方很可能素昧平生，相隔千里要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店因此能方便而可靠地确认对方身份是交易的前提5.,加密技术 加密技术是认证技术及其他许多安全技术的基础. "加密",简单地说,就是使用数学的方法将原始信息 (明文)重新组织与变换成只有授权用户才能解读的密码形式(密文).而"解密"就是将密文重新恢复成明文 . 对称密码体制 非对称密码体制 加密密钥与解密密钥是相同的.密钥必须通过安全可靠的途径传递.由于密钥管理成为影响系统安全的关键性因素,使它难以满足系统的开放性要求. 把加密过程和解密过程设计成不同的途径,当算法公开时,在计算上不可能由加密密钥求得解密密钥,因而加密密钥可以公开,而只需秘密保存解密密钥即可. 6.认证技术 认证的功能 采用认证技术可以直接满足身份认证,信息完整性,不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒,篡改,抵赖,伪造等种种威胁. 用户所知道的某种秘密信息 用户持有的某种秘密信息(硬件 ) 用户所具有的某些生物学特征 身份认证:用于鉴别用户身份 报文认证:用于保证通信双方的不可抵赖性和信息完整性 实现方式 验证内容 证实报文是由指定的发送方产生的 证实报文的内容没有被修改过 确认报文的序号和时间是正确的 数字签名 数字摘要 数字证书 CA 安全认证体系 广泛使用的认证技术 7.安全电子交易协议 目前有两种安全支付协议被广泛采用 SSL 协议 (Secure Sockets Layer,安全套接层) SET 协议(Secure Electronic Transaction,安全电子交易) 8.黑客防范技术 (1)安全评估技术 通过扫描器发现远程或本地主机所存在的安全问题. 扫描器的一般功能: 发现一个主机或网络 发现什么服务正运行在这台主机上 通过测试这些服务,发现漏洞 扫描器的种类 基于服务器的扫描器 基于网络的扫描器 (2)防火墙 防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查,从而决定网络之间的通信是否被允许. 防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的. (3)入侵检测技术 入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统.包括来自系统外部的入侵行为和来自内部用户的非授权行为. 它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象.在发现入侵后,会及时作出响应,包括切断网络连接,记录事件和报警等. 9．虚拟专用网技术 虚拟专用网(VPN)技术是一种在公用互联网络上构造专用网络的技术.将物理上分布在不同地点的专用网络,通过公共网络构造成逻辑上的虚拟子网,进行安全的通信. VPN 具体实现是采用隧道技术,将企业内的数据封装在隧道中进行传输. 10.反病毒技术 主要包括预防病毒,检测病毒和消毒等 3 种技术: 预防病毒技术,它通过自身常驻系统内存优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏.这类技术有加密可执行程序,引导区保护,系统监控与读写控制(如防病毒卡) 等; 检测病毒技术,它是通过对计算机病毒的特征来进行判断的技术,如自身校验,关键字,文件长度的变化等; 消毒技术,它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件. 2,电子商务安全机制 1 ,数据完整性机制 2 ,加密机制 3 ,数字签名机制 4 ,访问控制机制5.你曾经遇到的电子商务购物过程存在的不安全情况？搜集典型的 5 类不安全事件。

网上购物作为电子商务中一个重要的组成部分，也正随着电子商务的不断发展而壮大着但由于我国电子商务兴起以及发展的时间较晚，使得现今网上购物在零售业占的比重还微不足道，即使是经常参与网上购物的网民中间，也大多以小金额交易为主，而网上购物的安全性则是影响网上交易量的主要因素之一网上购物以一种和以往面对面交易完全不同的形式出现在消费者面前，消费者最先考虑到的必然是这个新兴事物的安全性一旦安全性让他们觉得有了保障，消费者便会很快的接受这种方式但实际的情况是，据调查，在有别于传统购物形式的网上购物中，消费者往往只能通过图片文字等虚拟手段感知产品，这种方式带给消费者的体验感不够强烈，无法使消费者产生牢靠的感觉和购买的决心而且，一半以上的消费者对上网购物产生产品质量、售后服务、交易安全等方面的疑虑，除了和传统购物观念相冲突从而导致信任上的缺乏之外消费者往往还会觉得上网购物的欺诈问题十分严重因此，安全问题很大程度上制约了网上购物的发展针对日益火热的网上购物的安全问题，各大购物网站都作出了积极的努力在这里，针对国内现在最具代表性的两家 c2c 网上购物平台 ebay 易趣和淘宝的安全性因素作了调查研究，如下表：安全因素 信用评价系统 欺诈方式 网站平台收费 第三方交易易趣 有 欺诈邮件、 安付通假网址或假链接盗用注册 向卖家收费 淘宝 有 不收费 支付宝案例一、资深股民被骗百万资深股民高先生在浏览股市信息时，无意中发现了一个名为“国金证券”的网站，该网站每天推荐 3 只包涨停的股票。

为了提前看到推荐的股票，高先生按网站的要求，汇去了 9888 元“入会费”，正式。