1、電子商務(wù)支付與安全主講：周偉一、課程介紹 學(xué)完本課程需要掌握電子商務(wù)支付方式的工作流程，了解在支付過程中產(chǎn)生的安全問題和解決支付安全的問題。熟悉第三方支付平臺操作、網(wǎng)上銀行業(yè)務(wù)基本流程及其安全操作，掌握網(wǎng)絡(luò)安全防范策略和防火墻的應(yīng)用、常用數(shù)據(jù)加密方法和數(shù)字證書實現(xiàn)的方法、數(shù)字證書和身份認證的使用方法，熟悉電子支付協(xié)議的概念及內(nèi)容，了解電子支付的法律問題。課程目標：知識目標 1、了解電商支付的發(fā)展概況，掌握電商支付的概念； 2、了解電子支付系統(tǒng)的組成和我國第三方電子支付平臺的產(chǎn)生和發(fā)展、第三方支付平臺的運作機制；熟悉第三方支付平臺的優(yōu)點、國內(nèi)主要使用的第三方支付產(chǎn)品；熟悉并掌握支付寶的實際操作；

2、了解其他第三方支付工具。 3、熟知常見的電子支付工具，電子貨幣（游戲幣、比特幣）、銀行卡的優(yōu)缺點以及使用模式。 4、了解網(wǎng)絡(luò)交易中常見的一些問題以及解決辦法。課程目標：能力目標1、學(xué)會熟知電子商務(wù)支付中各種平臺的使用，以及可能出現(xiàn)的漏洞。2、學(xué)會計算機安全設(shè)置，例如：防火墻、數(shù)字證書、局域網(wǎng)等等3、識別日常生活中可能出現(xiàn)的支付陷阱或漏洞。電子商務(wù)支付與安全電商支付與安全概述1電子支付工具32電子支付系統(tǒng)4567電子商務(wù)系統(tǒng)的安全認證中心CA網(wǎng)上金融網(wǎng)絡(luò)支付安全技術(shù)課程大綱8電子支付安全協(xié)議9電商支付的法律協(xié)議本章內(nèi)容：1、網(wǎng)絡(luò)電子支付的產(chǎn)生和發(fā)展2、網(wǎng)絡(luò)電子支付流程 3、電子支付面臨的問題4、

3、電子商務(wù)的安全5、安全電子支付 本章學(xué)習(xí)要點：電子商務(wù)支付的產(chǎn)生和發(fā)展、網(wǎng)絡(luò)電子支付的流程以及如何才能做到安全電子支付。電子商務(wù)支付的產(chǎn)生和發(fā)展、網(wǎng)絡(luò)電子支付的流程。如何才能做到安全電子支付的電子商務(wù)環(huán)境。重點難點重點掌握 了解難點一、網(wǎng)絡(luò)電子支付的產(chǎn)生和發(fā)展支付方式的演變01傳統(tǒng)支付主要方式02互聯(lián)網(wǎng)數(shù)據(jù)03電子商務(wù)支付發(fā)展04電子交易05內(nèi)容大綱電子支付06情景案例中國內(nèi)地第一筆因特網(wǎng)電子交易2019年3月18日，北京友誼賓館，世紀互聯(lián)通信技術(shù)有限公司向首都各新聞單位的記者宣布：中國內(nèi)地第一筆因特網(wǎng)電子交易成功。為本次交易提供網(wǎng)上銀行服務(wù)的是中國銀行，扮演網(wǎng)上商家的是世紀互聯(lián)通信技術(shù)有限公

4、司。中國內(nèi)地第一筆因特網(wǎng)電子交易的時間是2019年3月18日下午3點30分。第一位網(wǎng)上交易的支付者是浙江電視臺播送中心的王軻平先生；第一筆費用的支付手段是中國銀行長城卡；第一筆支付費用是100元；第一筆認購物品是世紀互聯(lián)通信技術(shù)有限公司的100元上網(wǎng)機時。中國銀行開展網(wǎng)上銀行服務(wù)的最早時間是2019年。2019年底，王軻平先生發(fā)現(xiàn)了這個站點，并填寫了申請書。在接到王軻平先生的申請后，世紀互聯(lián)通信技術(shù)有限公司開始著手進行這次交易的內(nèi)容，實質(zhì)性的時間大約為15天。王軻平先生成為第一個在中國因特網(wǎng)上進行電子交易的人。這次交易也是國內(nèi)企業(yè)與消費者在網(wǎng)上的“第一次親密接觸”【案例討論與思考】 1、如果王

5、先生沒有長城卡，該如何完成這次交易？2、如果現(xiàn)在要完成這樣的交易，你有哪些結(jié)算手段？3、怎樣確保世紀互聯(lián)通信技術(shù)有限公司安全收到他支付的100元？4、王先生的其他信息會泄露給第三者嗎？5、目前電子交易的支付安全嗎？6、當前進行這樣一筆電子商務(wù)交易還需要15天時間嗎？7、你進行過電子商務(wù)和電子支付活動嗎？原始社會的支付方式自然經(jīng)濟社會的支付方式工業(yè)化經(jīng)濟社會的支付系統(tǒng) 信息經(jīng)濟社會的支付方式 思考：支付方式的演變？支付活動發(fā)展階段一物物交換方式 （1）支付方式的演變14貨幣支付方式支付活動發(fā)展階段二 （1）支付方式的演變支付活動發(fā)展階段三信用配送銀 行銀行轉(zhuǎn)賬支付方式 （1）支付方式的演變支付活

6、動發(fā)展階段四電子支付方式網(wǎng)上商店BANK （1）支付方式的演變1現(xiàn)金支付：現(xiàn)金（cash）有兩種形式，即紙幣和硬幣，由國家組織或政府授權(quán)的銀行發(fā)行。 買 方賣 方現(xiàn) 金 商 品 現(xiàn)金交易流程圖缺陷：第一，受時間和空間限制；第二，受不同發(fā)行主體的限制 ；第三，不利于大宗交易。 （2）傳統(tǒng)支付主要的方式2票據(jù)支付：廣義的票據(jù)包括各種記載一定文字、代表一定權(quán)利的文書憑證，如車船票、匯票、股票、債券、貨單等。狹義的票據(jù)是一個專有名詞，專指票據(jù)法所規(guī)定的匯票、本票和支票等票據(jù)。付款方收款方銀 行 商品 簽章支票 現(xiàn)金或入帳 背書支票 支票交易流程缺陷：易于偽造、容易丟失，商業(yè)承兌匯票甚至存在拒絕付款和到

7、期無力支付的風險。 （2）傳統(tǒng)支付主要的方式3信用卡支付：持卡人用卡購物或消費并在購簽單上簽字。 商家向持卡人提供商品或服務(wù)。 商家向發(fā)卡人提交購簽單。 發(fā)卡人向商家付款。 發(fā)卡人向持卡人發(fā)出付款通知。 持卡人向發(fā)卡人歸還貸款。 缺陷：第一，交易費用較高。 第二，信用卡具有一定的有效期，過期失效。 第三，有可能遺失而給持卡人帶來風險和麻煩。（2）傳統(tǒng)支付主要的方式局限性成本問題便捷程度功能種類效率問題安全問題商業(yè)角度傳統(tǒng)支付方式的局限性項目任務(wù)張麗艷同學(xué)產(chǎn)生的哪些疑問，實際上就是和電子支付相關(guān)的一系列問題。電子商務(wù)經(jīng)過多年的快速發(fā)展，電子支付也就是網(wǎng)絡(luò)支付已經(jīng)越來越被人們所知所用。網(wǎng)上購買火車

8、票、飛機票、網(wǎng)上繳納水電煤氣費、電話費已經(jīng)非常普遍，支付寶、財付通和手機的移動支付等電子支付平臺紛紛爭奪電子支付市場，電子支付逐漸成為人們關(guān)注的熱點。除了購買商品使用網(wǎng)上支付外，現(xiàn)在許多學(xué)校的大學(xué)生繳納學(xué)費都是使用銀行卡了。網(wǎng)絡(luò)支付促進了電子商務(wù)的發(fā)展，方便了人們的生活。那么，網(wǎng)絡(luò)電子支付的運行需要什么環(huán)境？網(wǎng)絡(luò)電子支付的具體操作流程是什么呢？如何才能安全進行網(wǎng)上支付結(jié)算呢？（3）互聯(lián)網(wǎng)數(shù)據(jù)用戶對當前互聯(lián)網(wǎng)在如下幾方面表現(xiàn)的滿意程度及總體滿意度：數(shù)據(jù)來源：第26次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告 中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）非常滿意比較滿意一般不太滿意很不滿意網(wǎng)絡(luò)速度4.3%37.3%37.

9、6%15.3%5.5%費用及收費規(guī)則2.8%15.2%47.1%26.5%8.4%安全性2.3%15.0%49.5%25.1%8.1%中文信息的豐富性9.4%43.8%38.9%6.2%1.7%內(nèi)容的真實性3.0%28.4%45.8%18.0%4.8%內(nèi)容的健康性2.8%27.3%46.2%18.1%5.6%對個人隱私的保護3.0%18.2%50.1%22.0%6.7%操作簡便10.3%50.6%32.8%5.0%1.3%總體滿意度2.9%42.2%47.6%6.4%0.9% 用戶一般選擇什么送貨方式：其它快遞： 50.8%普通郵寄： 39.0% EMS： 28.2%航空、鐵路發(fā)運： 2.4%

10、 其它： 5.4% 數(shù)據(jù)來源：第26次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告 中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）用戶一般采取哪種付款方式：網(wǎng)上支付： 73.8%貨到付款（現(xiàn)金結(jié)算）： 28.1%銀行匯款： 15.2%郵局匯款： 12.4%手機支付： 2.4%其它： 2.0% 數(shù)據(jù)來源：第26次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告 中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC） 未來電子商務(wù)支付將會：“全能化”“3A服務(wù)” 1、Anytime （任何時間） 2、Anywhere （任何地點） 3、Anyhow （任何方式）（4）電子商務(wù)支付發(fā)展提問：你認為電子支付為什么會產(chǎn)生？ 其產(chǎn)生根本原因源于電子交易。所謂電子交易就是指

11、在網(wǎng)上進行買賣交易。28需求調(diào)查 材料采購 生 產(chǎn)商品銷售收 款貨幣結(jié)算 商品交割 傳統(tǒng)商務(wù)交易流程（4）電子商務(wù)支付發(fā)展傳統(tǒng)商務(wù)交易流程以電子查詢形式進行需求調(diào)查以電子單證形式調(diào)查信息確定采購方案通過電子廣告促進商品銷售以電子貨幣形式進行資金接收同電子銀行進行貨幣結(jié)算 商品交割引入電子商務(wù)之后（4）電子商務(wù)支付發(fā)展電子商務(wù)的交易流程1、交易前的準備主要是指買賣雙方和參加交易的各方在簽約前的準備活動。2、貿(mào)易磋商和簽訂合同當商品的供需雙方都了解了有關(guān)商品的供需信息后，具體的商品貿(mào)易磋商過程就開始了。 3、支付與發(fā)運過程基本流程： （4）電子商務(wù)支付發(fā)展電子商務(wù)的交易流程【實例鏈接】從68張機票

12、到在家等生意劉明大學(xué)畢業(yè)后開始了自己的創(chuàng)業(yè)，選中了帽子加工。在一個完全不了解的行業(yè)，沒有上游供應(yīng)商和客戶，2019年他在國內(nèi)外密集參加各種展會，坐了68趟飛機，然而那一年他的收益卻只有20多萬元，都不夠他坐飛機跑展會的費用。2019年，他第一次接觸到了網(wǎng)絡(luò)這個虛擬的商務(wù)平臺，在阿里巴巴上他發(fā)現(xiàn)了有很多同類型的企業(yè)，同行的存在讓他看到了產(chǎn)業(yè)集中的優(yōu)勢，這樣就更容易能讓客商發(fā)現(xiàn)我的企業(yè)，他加入了阿里巴巴。他在網(wǎng)上發(fā)布自己的帽子的商品信息，并配有實物圖片。1個月后，他就收到了俄羅斯一位客商的第一筆訂單2.78萬美金。劉明的公司在采用電子商務(wù)以后，很多客戶都是網(wǎng)上進行的業(yè)務(wù)洽談，基本上是無紙化辦公，合

13、同的磋商簽訂、貨款的結(jié)算都是利用網(wǎng)絡(luò)實現(xiàn)的，而且市場也由單純的國內(nèi)擴大到全球。32電子商務(wù)、電子交易與電子支付的關(guān)系：商務(wù)必定引起交易 交易必將進行支付電子商務(wù) (e-Business)企業(yè)資源計劃 管理信息系統(tǒng)客戶關(guān)系管理 供應(yīng)鏈管理人力資源管理 網(wǎng)上市場調(diào)研戰(zhàn)略管理 財務(wù)管理電子交易（e-Commerce）網(wǎng)絡(luò)營銷 物流配送電子支付網(wǎng)上支付、電話支付、移動支付等（5）電子交易電子交易就是指電子化的買賣交易（5）電子交易1信息共享2電子訂單3電子支付4訂單的執(zhí)行5售后服務(wù)電子交易的內(nèi)容 不同類型的電子商務(wù)交易，雖然都包括交易前的準備、貿(mào)易磋商和簽訂合同、支付與發(fā)運過程三個階段，但業(yè)務(wù)流程卻有

14、所不同。目前，電子商務(wù)的基本業(yè)務(wù)流程可以歸納為三種： （1）網(wǎng)絡(luò)商品直銷流程 （2）企業(yè)間網(wǎng)絡(luò)交易流程（3）網(wǎng)絡(luò)商品中介交易流程網(wǎng)絡(luò)商品直銷，是消費者和廠家或者需求方和供應(yīng)方，直接利用網(wǎng)絡(luò)形式所開展的商品或服務(wù)買賣活動。 BtoC型電子商務(wù)大多數(shù)屬于網(wǎng)絡(luò)商品直銷的范疇。例如：Dell公司的網(wǎng)絡(luò)直銷、聯(lián)眾公司的網(wǎng)絡(luò)游戲、人大的網(wǎng)絡(luò)遠程教育。 企業(yè)與企業(yè)間基于網(wǎng)絡(luò)進行的直接交易，屬于BtoB電子商務(wù)，也可看作網(wǎng)絡(luò)商品直銷的交易模式。例如，海爾公司借助網(wǎng)絡(luò)采購平臺與九百多家物品供應(yīng)商的交易。優(yōu)點：供需直接見面，環(huán)節(jié)少，交易速度快，費用低。有效地減少售后服務(wù)的技術(shù)支持費用。缺點：從網(wǎng)絡(luò)廣告判斷商品，容

15、易產(chǎn)生錯誤判斷。虛假廣告、竊取消費者信息。5.1 網(wǎng)絡(luò)商品直銷交易模式信用卡公司 消費者 廠 家 銀 行訂單發(fā)貨轉(zhuǎn)賬通知轉(zhuǎn)賬 回執(zhí) 支付 清單 認證中心網(wǎng)絡(luò)商品直銷流程38企業(yè)間網(wǎng)絡(luò)交易是B2B電子商務(wù)的一種基本形式。交易從尋找和發(fā)現(xiàn)客戶出發(fā)，企業(yè)利用自己的網(wǎng)站或網(wǎng)絡(luò)服務(wù)商的信息發(fā)布平臺發(fā)布買賣、合作、招投標等商業(yè)信息。通過商業(yè)信用調(diào)查平臺，買賣雙方可以進入信用調(diào)查機構(gòu)申請對方的信用調(diào)查；通過產(chǎn)品質(zhì)量認證平臺，可以對賣方的產(chǎn)品質(zhì)量進行認證。然后在信息交流平臺上簽訂合同，進而實現(xiàn)電子支付和物流配送。最后是銷售信息的反饋，完成整個B2B的電子商務(wù)交易流程。5.2 企業(yè)間網(wǎng)絡(luò)交易模式企業(yè)間網(wǎng)絡(luò)交易流

16、程企業(yè)內(nèi)部數(shù)據(jù)庫信息分析處理信息發(fā)布平臺發(fā)布買賣 合作 投招標信息 CA認證中心商業(yè)信用認證信息交流平臺簽訂電子合同電子支付結(jié)算物流配送信息反饋網(wǎng)絡(luò)商品中介交易是指交易實體通過專業(yè)的網(wǎng)絡(luò)商品交易中心，即通過虛擬網(wǎng)絡(luò)市場進行的商品交易，而非交易雙方直接溝通的交易。案例：A1ibaba（阿里巴巴）；美國的eBay；國內(nèi)的Sina商城與Sohu商城。通過網(wǎng)絡(luò)商品中介進行交易具有許多突出的優(yōu)點: 網(wǎng)絡(luò)商品中介為企業(yè)提供了無形的巨大市場；網(wǎng)絡(luò)交易中心提供的認證服務(wù)和交易流程可以降低買賣雙方的交易風險；網(wǎng)絡(luò)交易中心的統(tǒng)一結(jié)算模式，可以提高資金的風險防范能力，避免資金的截留、占用及挪用。5.3 網(wǎng)絡(luò)商品中介

17、交易模式轉(zhuǎn)賬轉(zhuǎn)賬撮合信息結(jié)算匯款信息傳遞信息傳遞用戶信用信息撮合銀 行賣 方認證中心買 方結(jié)算配送部門網(wǎng)絡(luò)商品交易中心網(wǎng)絡(luò)商品中介交易流程無障礙減少交通壓力減少中間環(huán)節(jié)降低互動成本便于企業(yè)經(jīng)濟管理電子交易具有以下的優(yōu)點： （6）電子支付所謂電子支付（Electronic Payment）是指進行電子商務(wù)交易的當事人（包括消費者、廠商和金融機構(gòu)）使用安全手段和密碼技術(shù)通過電子信息化手段進行的貨幣支付和資金流轉(zhuǎn)。 6.1 電子支付與傳統(tǒng)支付的區(qū)別傳統(tǒng)支付：現(xiàn)金交易；票據(jù)交流（支票、本票、匯票）電子支付傳統(tǒng)支付款項支付方式電子、數(shù)字化方式流轉(zhuǎn)現(xiàn)金流轉(zhuǎn)、票據(jù)轉(zhuǎn)讓、銀行匯兌等物理實體的流轉(zhuǎn)工作環(huán)境開放的

18、系統(tǒng)平臺封閉的系統(tǒng)通信手段先進的現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)，對軟/硬件要求高傳統(tǒng)的通信媒介優(yōu)勢方便、快捷、高效、經(jīng)濟使用、流通比較方便 6.2 電子支付的優(yōu)勢：電子支付適應(yīng)了整個社會向信息化、數(shù)字化發(fā)展的趨勢。 電子支付系統(tǒng)更加方便快捷，沒有障礙。 電子支付是跨時空的電子化支付，能夠真正實現(xiàn)全球7天24小時的服務(wù)保證。 電子支付有助于降低交易成本，最終為消費者帶來更低的價格。6.3 電子支付的發(fā)展第一階段：銀行利用計算機處理銀行之間的業(yè)務(wù)，辦理結(jié)算。第二階段：銀行與其他機構(gòu)之間的資金結(jié)算（如代發(fā)工資）第三階段：利用網(wǎng)絡(luò)終端向客戶提供各項銀行服務(wù)。 如ATM（Automated Teller Machi

19、ne，自動取款機）第四階段：利用銀行銷售終端（POS：Point of Sales，銷售點終端）向客戶提供自動扣款服務(wù)，這也是目前電子支付的主要手段。第五階段：是最新發(fā)展階段，此時可隨時隨地通過互聯(lián)網(wǎng)直接轉(zhuǎn)帳結(jié)算，形成電子商務(wù)環(huán)境。返回 電子支付的要求：（1）安全性：允許在開放網(wǎng)絡(luò)上進行金融事務(wù)，并有安全保障（2）靈活性：應(yīng)支持多種支付方式（3）可兌換性：電子貨幣能夠兌換成其它類型的貨幣（4）可伸縮性：系統(tǒng)加入新的貿(mào)易時不會結(jié)構(gòu)崩潰（5）隱私權(quán)：若顧客想要匿名，他們的身份和隱私可以受到保護（6）實用性（7）低成本（8）合法性（完整認證）（9）無拒付支付（10）有效的查賬機制（1

20、1）普遍性技術(shù)（12）交易模式的一般性（13）可度量操作返回 目前的支付方式 目前我國的現(xiàn)狀是多種支付方式的并存，主要是以下幾種：（1）電子支付：完全用信息流取代傳統(tǒng)貨幣（如：電子錢包、信用卡、網(wǎng)上支付、數(shù)字現(xiàn)金、電子支票等）（2）半電子支付：部分支付過程借助網(wǎng)絡(luò)完成（如：銀行轉(zhuǎn)賬、銀行匯款等）（3）非電子支付：完全采用傳統(tǒng)的支付方式（如：支票付款、現(xiàn)金交易、郵局匯款等） 返回 電子支付面臨的問題（1）安全性和支付信息私密性問題。（2）對軟硬件要求很高。（3）電子支付工具需要相應(yīng)的系統(tǒng)支持。 6.7 網(wǎng)絡(luò)電子支付的運行環(huán)境 電子支付的常見網(wǎng)絡(luò)平臺有電話交換網(wǎng)PS

21、TN，公用數(shù)據(jù)網(wǎng)，專用數(shù)據(jù)網(wǎng)，電子數(shù)據(jù)交換EDI專用網(wǎng)絡(luò)平臺以及近年發(fā)展起來的Internet等。二、網(wǎng)絡(luò)電子支付的流程6.8 網(wǎng)絡(luò)電子支付流程（1）網(wǎng)絡(luò)支付結(jié)構(gòu) Internet網(wǎng)絡(luò)支付平臺主要由Internet、支付網(wǎng)關(guān)、銀行內(nèi)部專用業(yè)務(wù)網(wǎng)絡(luò)三個部分組成。（2）電子支付流程基于互聯(lián)網(wǎng)平臺的電子支付的基本流程如圖1-3所示。根據(jù)工作流程圖，可將整個電子支付工作程序分為下面七個步驟：三、電子支付面臨的問題電商交易安全問題和風險1電商安全要素和策略2電子商務(wù)安全技術(shù)3安全電子支付的方法4Table of Contents內(nèi)容大綱互聯(lián)網(wǎng)安全事件全世界傳媒關(guān)注的美國著名網(wǎng)站被襲事件雅虎、亞馬遜書店、

22、eBay、ZDNet；在2019年內(nèi)試圖闖入五角大樓計算機網(wǎng)絡(luò)的嘗試達25萬次之多，其中60%的嘗試達到了目的；每年美國政府的計算機系統(tǒng)遭非法入侵的次數(shù)至少有30萬次之多；微軟公司承認，有黑客闖入了該公司的內(nèi)部計算機網(wǎng)絡(luò)，并獲取了正在開發(fā)中的軟件藍圖，這起攻擊對微軟影響重大。我國的歷史數(shù)據(jù)2019年9月22日，黑客入侵某銀行電腦系統(tǒng)，將72萬元注入其戶頭，提出26萬元。為國內(nèi)首例利用計算機盜竊銀行巨款案件。2019年11月14日至17日：新疆烏魯木齊市發(fā)生首起針對銀行自動提款機的黑客案件，被盜用戶的信用卡被盜1.799萬元。2000年3月8日：山西日報國際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊，被迫關(guān)機，這

23、是國內(nèi)首例黑客攻擊省級黨報網(wǎng)站事件我國的歷史數(shù)據(jù)2000年3月25日：重慶某銀行儲戶的個人帳戶被非法提走5萬余元。2000年6月7日：ISS安氏(中國)有限公司在國內(nèi)以及ISP的虛擬主機上的網(wǎng)站被中國黑客所攻擊，該公司總裁為克林頓網(wǎng)絡(luò)安全顧問，而ISS為全球最大的網(wǎng)絡(luò)安全公司。2000年6月11、12日：中國香港特區(qū)政府互聯(lián)網(wǎng)服務(wù)指南主頁遭到黑客入侵，服務(wù)被迫暫停。凱文 米特尼克凱文 米特尼克“頭號電腦黑客” Kevin Mitnick1964年出生。3歲父母離異，致性格內(nèi)向、沉默寡言。4歲玩游戲達到專家水平。13歲喜歡上無線電活動，開始與世界各地愛好者聯(lián)絡(luò)。編寫的電腦程序簡潔實用、傾倒教師。

24、15歲闖入“北美空中防務(wù)指揮系統(tǒng)”主機，翻閱了美國所有的核彈頭資料、令大人不可置信。不久破譯了美國“太平洋電話公司”某地的客戶密碼，隨意更改用戶的電話號碼。并與中央聯(lián)邦調(diào)查局的特工惡作劇。被電腦信息跟蹤機發(fā)現(xiàn)第一次被逮捕凱文 米特尼克出獄后，又連續(xù)非法修改多家公司電腦的財務(wù)帳單。1988年再次入獄，被判一年徒刑。1993年（29歲）逃脫聯(lián)邦調(diào)查局圈套。1994年向圣地亞哥超級計算機中心發(fā)動攻擊，該中心安全專家下村勉決心將其捉拿歸案。期間米特尼克還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數(shù)據(jù)（價4億美金）。下村勉用“電子隱形化”技術(shù)跟蹤，最后準確

25、地從無線電話中找到行跡，并抄獲其住處電腦。 2019年2月被送上法庭，“到底還是輸了”。 2000年1月出獄，3年內(nèi)被禁止使用電腦、手機及互聯(lián)網(wǎng)電子商務(wù)的安全問題 1賣方面臨的問題(1)中央系統(tǒng)安全性被破壞(2)競爭對手檢索商品遞送狀況(3)被他人假冒而損害公司的信譽(4)買方提交訂單后不付款(5)獲取他人的機密數(shù)據(jù)2買方面臨的問題(1)付款后不能收到商品(2)機密性喪失(3)拒絕服務(wù)一、電子商務(wù)的安全威脅一、電子商務(wù)面臨的安全威脅 計算機病毒的侵襲、黑客非法侵入、線路竊聽等很容易使重要數(shù)據(jù)在傳遞過程中泄露，威脅電子商務(wù)交易的安全。主要分為2種：（1）電子商務(wù)安全（2）支付安全一、電子商務(wù)的安

26、全威脅截獲(interception)中斷(interruption)篡改(modification)偽造(fabrication)（1）電子商務(wù)安全一、電子商務(wù)的安全威脅網(wǎng)絡(luò)安全攻擊的形式一、電子商務(wù)的安全威脅 截獲以保密性作為攻擊目標，表現(xiàn)為非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問，如搭線竊聽、非法拷貝等 中斷以可用性作為攻擊目標，表現(xiàn)為毀壞系統(tǒng)資源，切斷通信線路等（1）電子商務(wù)安全一、電子商務(wù)的安全威脅 修改以完整性作為攻擊目標，非授權(quán)用戶通過某種手段獲得系統(tǒng)資源后，還對文件進行竄改，然后再把篡改過的文件發(fā)送給用戶。 偽造以完整性作為攻擊目標，非授權(quán)用戶將一些偽造的、虛假的數(shù)據(jù)插入到正

27、常系統(tǒng)中。（1）電子商務(wù)安全一、電子商務(wù)的安全威脅被動攻擊：目的是竊聽、監(jiān)視、存儲數(shù)據(jù)，但是不修改數(shù)據(jù)。很難被檢測出來，通常采用預(yù)防手段來防止被動攻擊，如數(shù)據(jù)加密。主動攻擊：修改數(shù)據(jù)流或創(chuàng)建一些虛假數(shù)據(jù)流。常采用數(shù)據(jù)加密技術(shù)和適當?shù)纳矸蓁b別技術(shù)。（1）電子商務(wù)安全一、電子商務(wù)的安全威脅安全威脅的后果安全漏洞危害在增大信息對抗的威脅在增加電力交通醫(yī)療金融工業(yè)廣播控制通訊因特網(wǎng)一、電子商務(wù)的安全威脅信息的截獲和竊取 信息的篡改: 篡改 刪除 插入信息假冒： 偽造電子郵件和用戶，虛開網(wǎng)站和商店 假冒他人身份 惡意破壞 交易抵賴 （2）網(wǎng)絡(luò)支付安全一、電子商務(wù)的安全威脅（2）網(wǎng)絡(luò)支付的主要安全隱患支付

28、賬號和密碼等隱私支付信息被盜取或盜用。支付金額被更改。無法有效驗證收款方的身份。對支付行為進行抵賴、修改或否認。網(wǎng)絡(luò)支付系統(tǒng)癱瘓 。 一、電子商務(wù)的安全威脅【實例鏈接】安全問題影響電子商務(wù)的發(fā)展2019年11月23日，來自上海的張小姐的網(wǎng)絡(luò)購物密碼被盜，有人利用該賬戶的良好信用記錄，在國際網(wǎng)站上發(fā)布了5臺筆記本電腦的出售信息，詐騙了1300多歐元。之后的1個多月，張小姐的郵箱頻頻收到來自巴西的“催款、催貨最后通牒”，巴西買家萊昂納多還用中文翻譯軟件將自己的意思翻譯成蹩腳的中文，以此傳遞憤怒。這是一起國內(nèi)罕見的跨國電子商務(wù)詐騙事件。對此，國內(nèi)的網(wǎng)絡(luò)購物公司已展開調(diào)查，認定騙子來自北京。一、電子商

29、務(wù)的安全威脅電子支付系統(tǒng)安全要素保密性可靠性完整性可用性抗否認性二、電商安全需求和策略（1）電子商務(wù)安全要素貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的有效性接發(fā)收方的身份是真實的 真實性保密性保證只有發(fā)送者和接收可以接觸到信息。二、電商安全需求和策略信息在傳輸過程中未經(jīng)任何改動 完整性在交易數(shù)據(jù)發(fā)送完成以后，雙方都不能否認自己曾經(jīng)發(fā)出或接收過信息。不可否認性（2）電商安全策略制定的目的、涵義和原則電商安全策略制定的目的：保障相關(guān)支付結(jié)算信息的機密性、完整性、認證性、不可否認性、不可拒絕性和訪問控制性不被破壞；能夠有序地、經(jīng)常地鑒別和測試安全狀態(tài)；能夠?qū)赡艿娘L險做基本評估；系統(tǒng)的安全被破壞后的恢

30、復(fù)工作。應(yīng)用相應(yīng)法律法規(guī)來保護安全利益 二、電商安全需求和策略電商安全策略的涵義：安全策略必須包含對安全問題的多方面考慮因素。安全策略一般要包含以下內(nèi)容： 認證；訪問控制：保密；數(shù)據(jù)完整性；法律法規(guī)等審計。（2）電商安全策略制定的目的、涵義和原則二、電商安全需求和策略（2）電商安全策略制定的目的、涵義和原則電商安全策略的涵義：(1)預(yù)防為主； (2)必須根據(jù)網(wǎng)絡(luò)支付結(jié)算的安全需要和目標來制定安全策略； (3)根據(jù)掌握的實際信息分析；二、電商安全需求和策略金融機構(gòu)公正第三方稅務(wù)等政府機構(gòu)安全的通信通道交易方A：機密支付信息交易方B：機密支付信息安全的網(wǎng)絡(luò)支付系統(tǒng)組成示意圖（2）電商安全策略制定的

31、目的、涵義和原則網(wǎng)絡(luò)支付安全策略的主要內(nèi)容：安全策略具體內(nèi)容中要定義保護的資源，要定義保護的風險，要吃透電子商務(wù)安全的法律法規(guī)，最后要建立安全策略和確定一套安全機制。二、電商安全需求和策略（2）電商安全策略制定的目的、涵義和原則保證網(wǎng)絡(luò)支付安全的解決方法 a 交易方身份認證； b 網(wǎng)絡(luò)支付數(shù)據(jù)流內(nèi)容保密； c 網(wǎng)絡(luò)支付數(shù)據(jù)流內(nèi)容完整性； d 保證對網(wǎng)絡(luò)支付行為內(nèi)容的不可否認性； e 處理多方貿(mào)易業(yè)務(wù)的多邊支付問題； f 網(wǎng)絡(luò)支付系統(tǒng)軟件、支撐網(wǎng)絡(luò)平臺的正常運行； g 政府支持相關(guān)管理機構(gòu)的建立和電子商務(wù)法律的制定； 二、電商安全需求和策略通過防火墻等網(wǎng)絡(luò)安全機制來控制惡性數(shù)據(jù)攻擊和服務(wù)攻擊；通

32、過身份認證機制來實現(xiàn)數(shù)據(jù)通信雙方的真實性；通過加密機制來防止數(shù)據(jù)傳輸被竊聽；通過數(shù)字摘要機制來防止數(shù)據(jù)在傳輸過程中被篡改；通過數(shù)字簽名機制來實現(xiàn)抗否認性，從而避免交易抵賴；最后還要加入數(shù)字證書和CA來監(jiān)控。咱們來看在支付過程中防范安全的環(huán)節(jié)有哪些？二、電商安全需求和策略 網(wǎng)絡(luò)平臺系統(tǒng)的構(gòu)成Intranet 電子商務(wù)服務(wù)器銀行專網(wǎng)Internet客戶機 支付網(wǎng)關(guān)三、電子商務(wù)安全技術(shù)網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，一個完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。二、電商安全需求和策略Internet網(wǎng)絡(luò)平臺上安全措施主要從保護網(wǎng)絡(luò)安全、保護應(yīng)用的安全和保護系統(tǒng)安全三個方面來敘述。（1）保護網(wǎng)絡(luò)

33、安全全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略制定網(wǎng)絡(luò)安全管理措施 使用防火墻。盡量記錄網(wǎng)絡(luò)上的一切活動注意對設(shè)備的物理保護檢查網(wǎng)絡(luò)平臺系統(tǒng)脆弱性可靠的識別和鑒別 1、Internet網(wǎng)絡(luò)平臺系統(tǒng)的安全措施二、電商安全需求和策略2網(wǎng)絡(luò)安全技術(shù) 所謂防火墻就是指綜合采用適當技術(shù)在被保護網(wǎng)絡(luò)周邊建立的用于隔離被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。 (1)防火墻的定義二、電商安全需求和策略同時，防火墻還可以提供一些附加功能，例如：為網(wǎng)絡(luò)管理提供安全參考、為整個網(wǎng)絡(luò)的安全運行提供完善的狀態(tài)監(jiān)控機制。(1)誰在使用網(wǎng)絡(luò)(訪問者的源IP)? (2)他們在網(wǎng)上做什么(所訪問的服務(wù)類型)? (3)他們什么時間使用過網(wǎng)絡(luò)(訪問時間)?(

34、4)他們在哪個網(wǎng)絡(luò)節(jié)點得到了服務(wù) (所訪問的目的地址)?(5)哪些流入或流出地數(shù)據(jù)請求沒有發(fā)送成功 (過濾以后的日志記錄)? (1)防火墻的定義二、電商安全需求和策略 (2)防火墻的組成Internet網(wǎng)關(guān)外部過濾器內(nèi)部過濾器不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)防火墻的基本組成框架二、電商安全需求和策略 (3)電子商務(wù)中防火墻與Web服務(wù)器的配置方式Internet不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)業(yè)務(wù)Web服務(wù)器放在防火墻之內(nèi)的配置圖防火墻+路由器Web服務(wù)器二、電商安全需求和策略 (3)電子商務(wù)中防火墻與Web服務(wù)器的配置方式Internet不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)業(yè)務(wù)Web服務(wù)器放在防火墻之外的配置圖防火墻+路由器Web服務(wù)器

35、二、電商安全需求和策略 (4)防火墻的優(yōu)缺點優(yōu)點:遏制來自Internet各種路線的攻擊借助網(wǎng)絡(luò)服務(wù)選擇，保護網(wǎng)絡(luò)中脆弱的易受攻擊的服務(wù)監(jiān)視整個網(wǎng)絡(luò)的安全性，具有實時報警提醒功能作為部署NAT的邏輯地址增強內(nèi)部網(wǎng)中資源的保密性，強化私有權(quán)二、電商安全需求和策略缺點：限制了一些有用的網(wǎng)絡(luò)服務(wù)的使用，降低了網(wǎng)絡(luò)性能。只能限制內(nèi)部用戶對外的訪問，無法防護來自內(nèi)部網(wǎng)絡(luò)用戶的攻擊。不能完全防止傳送感染病毒的軟件或文件，特別是一些數(shù)據(jù)驅(qū)動型的攻擊數(shù)據(jù)。被動防守，不能防備新的網(wǎng)絡(luò)安全問題。 (4)防火墻的優(yōu)缺點二、電商安全需求和策略3、密碼技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主

36、要包括加密、簽名認證和密鑰管理三大技術(shù)。 加密技術(shù)是保證電子商務(wù)安全的重要手段； 密鑰管理技術(shù)； 數(shù)字簽名； 電子支付協(xié)議 安全HTTP（SHTTP）協(xié)議。安全協(xié)議 安全電子郵件協(xié)議（如PEM、S/MIME等）。 EDI PKI技術(shù)。三、電子商務(wù)安全技術(shù) (1)加密技術(shù)加密技術(shù)分為：私有密鑰加密法和公開密鑰加密法，用且只用同一個密鑰對信息進行加密和解密。密鑰密碼體系的優(yōu)點是：加密、解密速度很快(高效)，但缺點也很明顯：密鑰難于共享，需太多密鑰。目前比較著名的密碼加密算法有：DES和IDEA（2）私用密鑰加密法的定義與應(yīng)用原理信息發(fā)送方用一個密鑰對要發(fā)送的數(shù)據(jù)進行加密，信息的接收方能用同樣的密鑰

37、解密，而且只能用這一密鑰解密。由于雙方所用加密和解密的密鑰相同，所以叫作對稱密鑰加密法。比較著名的私有密鑰加密算法有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA以及RC4,RC5等乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 甲銀行乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 甲銀行密鑰A密鑰A加密解密信息明文信息明文信息密文信息密文網(wǎng)絡(luò)傳輸(2)私用密鑰加密法的使用過程（3）公開密鑰加密法的定義與應(yīng)用原理原理：共用2個密鑰，在數(shù)學(xué)上相關(guān)，稱作密鑰對。用密鑰對中任何一個密鑰加密，可以用另一個密鑰解密，而且只能用此密鑰對中的另一個密鑰解密。商家采用某種算法（秘鑰生

38、成程序）生成了這2個密鑰后，將其中一個保存好，叫做私人密鑰(Private Key)，將另一個密鑰公開散發(fā)出去，叫做公開密鑰(Public Key)。（3）公開密鑰加密法的使用過程乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 客戶甲乙銀行：有一筆20 000元資金轉(zhuǎn)帳至貴行12345賬號上 客戶甲加密解密支付通知明文支付通知明文支付通知密文支付通知密文網(wǎng)絡(luò)傳輸客戶甲乙銀行公鑰私鑰 BA實現(xiàn)了定點保密通知（3）公開密鑰加密法的使用過程客戶甲：本行已將20 000元資金從你賬號轉(zhuǎn)移至12345賬號上 乙銀行解密加密支付確認明文支付確認明文支付確認密文支付確認密文網(wǎng)絡(luò)傳輸客戶甲乙銀行公

39、鑰私鑰 BA網(wǎng)絡(luò)銀行不能否認或抵賴客戶甲：本行已將20 000元資金從你賬號轉(zhuǎn)移至12345賬號上 乙銀行 （1）數(shù)字摘要技術(shù)用某種算法對被傳送的數(shù)據(jù)生成一個完整性值，將此完整性值與原始數(shù)據(jù)一起傳送給接收者，接收者用此完整性值來檢驗消息在傳送過程中有沒有發(fā)生改變。這個值由原始數(shù)據(jù)通過某一加密算法產(chǎn)生的一個特殊的數(shù)字信息串，比原始數(shù)據(jù)短小，能代表原始數(shù)據(jù)，所以稱作數(shù)字摘要。又稱數(shù)字指紋、Hash編碼法（保證消息的真實性，類似于簽名的真實，數(shù)字簽名技術(shù)之二，主要的算法如RSA公司提出的MD5和SHA1等，是以Hash函數(shù)算法為基礎(chǔ)）4、數(shù)字簽名的定義和應(yīng)用原理（1）數(shù)字摘要的產(chǎn)生示例銀行乙：請將2

40、00元資金從本帳號轉(zhuǎn)移至12345賬號上。 客戶甲Hash算法：數(shù)字摘要生成器Abcddabc347698jdf74.kxs支付通知支付通知的數(shù)字摘要（2）數(shù)字簽名技術(shù)在傳統(tǒng)商務(wù)的合同或支付信件中平時人們用筆簽名，這個簽名通常有兩個作用：（1）可以證明信件是由簽名者發(fā)送并認可的 （不可抵賴）（2）保證信件的真實性 （非偽造、非篡改） 數(shù)字簽名及原理：就是指利用數(shù)字加密技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳送信息文件時，附加個人標記，完成傳統(tǒng)上手書簽名或印章的作用，以表示確認、負責、經(jīng)手、真實等；或 數(shù)字簽名就是在要發(fā)送的消息上附加一小段只有消息發(fā)送者才能產(chǎn)生而別人無法偽造的特殊數(shù)據(jù)（個人標記），而且這段數(shù)據(jù)是原消息

41、數(shù)據(jù)加密轉(zhuǎn)換生成的，用來證明消息是由發(fā)送者發(fā)來的。 數(shù)字簽名（信息報文M）=發(fā)送方私人秘鑰加密（Hash（信息報文M）數(shù)字簽名的應(yīng)用示例客戶甲銀行乙發(fā)送的支付通知M收到的的支付通知M銀行乙：將200元資金345北交帳號上。 客戶甲銀行乙：將元資金北交帳號上。 客戶甲0F812DDF64DBABFF45ADIAA0F812DDF64DBABFF45ADIAAABFF45DBAD數(shù)字摘要D數(shù)字摘要D數(shù)字摘要D數(shù)字簽名加密客戶甲的私鑰B網(wǎng)絡(luò)傳送客戶甲的公鑰SHAR1SHAR1比較（2）數(shù)字簽名的作用與常見類型 數(shù)字簽名可以解決下述網(wǎng)絡(luò)支付中的安全鑒別問題：接收方偽造：接收方偽造一份文件，并聲稱這是發(fā)

42、送方發(fā)送的：付款單據(jù)等。發(fā)送者或接收者否認：發(fā)送者或接收者事后不承認自己曾經(jīng)發(fā)送或接收過支付單據(jù)。第三方冒充：網(wǎng)上的第三方用戶冒充發(fā)送或接收消息如信用卡密碼；接收方篡改：接收方對收到的文件如支付金額進行改動。5、數(shù)字證書（1）數(shù)字證書的定義和應(yīng)用原理數(shù)字證書：指用數(shù)字技術(shù)手段確認、鑒定、認證Internet上信息交流參與者身份或服務(wù)器身份，是一個擔保個人、計算機系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。工作原理：接收方在網(wǎng)上收到發(fā)送方業(yè)務(wù)信息的同時，還收到發(fā)送方的數(shù)字證書，通過對其數(shù)字證書的驗證，可以確認發(fā)送方的身份。在交換數(shù)字證書的同時，雙方都得到了對方的公開密鑰，由于公開密鑰是包含在數(shù)字證

43、書中的，可以確信收到的公開密鑰肯定是對方的。從而完成數(shù)據(jù)傳送中的加解密工作。數(shù)字證書證書的版號證書的序列號證書擁有者的姓名證書擁有者的公共密鑰公共密鑰的有效期證書的有效期頒發(fā)證書的單位CCTTT.509國際標準， X.509數(shù)字證書包含 （2）數(shù)字證書的內(nèi)容 (3)數(shù)字證書的有效性與使用數(shù)字證書必須同時滿足以下三個條件，才是有效的： 1.證書沒有過期 2.密鑰沒有被修改 3.有可信任的相應(yīng)的頒發(fā)機構(gòu)CA及時管理與回收無效證書，并且發(fā)行無效證書清單(1)認證中心CA的定義認證中心，簡稱CA，即 Certification Authority，是一個公正的、有權(quán)威性的、獨立的（第三方的）、廣受信賴

44、的組織，負責電子商務(wù)中數(shù)字證書的發(fā)行和管理以及認證服務(wù)。(2)認證中心CA的主要功能生成密鑰對及CA證書驗證申請人身份頒發(fā)數(shù)字證書證書以及持有者身份認證查詢吊銷證書證書管理與更新制定相關(guān)政策有能力保護數(shù)字證書服務(wù)器的安全Certificate Authority6、認證中心CA7、什么是PKI技術(shù)Public Key Infrastructure (PKI) . . .是硬件、軟件、人員、策略和操作規(guī)程的總和，它們要完成創(chuàng)建、管理、保存、發(fā)放和廢止證書的功能。PKI 基于公開密鑰加密算法來保證網(wǎng)絡(luò)通訊安全。PKI的核心是數(shù)字證書，其核心執(zhí)行者是認證機構(gòu)。 （1）PKI的組成 一個典型的PKI系

45、統(tǒng)中包括PKI策略、軟硬件系統(tǒng)、證書機構(gòu)CA、注冊機構(gòu)RA、證書發(fā)布系統(tǒng)和PKI應(yīng)用等。PKI應(yīng)用證書機構(gòu)CA注冊機構(gòu)RA證書發(fā)布系統(tǒng)PKI策略軟硬件系統(tǒng)8、電子商務(wù)安全體系結(jié)構(gòu)電子商務(wù)的安全體系應(yīng)包括：安全可靠的通信網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸?shù)目煽客暾?，防止病毒、黑客入侵；電子簽名和其他身份認證系統(tǒng)：完備的數(shù)據(jù)加密系統(tǒng)等。（1）支持服務(wù)層（2）傳輸層（3）交換層（4）商務(wù)層 9、電子商務(wù)安全法律要素有關(guān)電子合同的法律 有關(guān)CA中心的法律 有關(guān)保護個人隱私個人秘密的法律 有關(guān)消費者權(quán)益保護法 網(wǎng)絡(luò)知識產(chǎn)權(quán)保護的法律 四、安全電子支付計算機病毒 黑客攻擊 系統(tǒng)漏洞 （1）電子支付的安全問題 電子支付面臨的安全問題技術(shù)原因 安全意識 法律因素 安全管理 信用體系 （2）電子支付安全問題產(chǎn)生的原因 技術(shù)保障。 加強宏觀管理。 建立健全法律法規(guī)。 （3）安全電子支付的途徑（4）安全電子支付的意義是安全的電子支付發(fā)