移動電子商務(wù)安全ANNUALCONVENTION20XX第8章目錄CONTENTS移動電子商務(wù)安全基礎(chǔ)知識8.1移動電子商務(wù)安全技術(shù)8.2移動電子商務(wù)安全管理措施8.3手機病毒及其防治8.4移動電子商務(wù)安全基礎(chǔ)知識8.1移動電子商務(wù)安全基礎(chǔ)知識知識目標（1）了解移動電子商務(wù)安全的概念。（2）了解移動電子商務(wù)的安全問題。（3）熟悉移動電子商務(wù)主要的安全威脅形態(tài)。技能目標（1）能夠描述移動電子商務(wù)的安全問題。（2）能夠說出移動電子商務(wù)主要的安全威脅形態(tài)。8.1.1移動電子商務(wù)安全的概念移動電子商務(wù)安全的概念可以從廣義和狹義兩個方面理解。從廣義上講，移動電子商務(wù)安全包括移動電子商務(wù)運行環(huán)境中的各種安全問題，如移動電子商務(wù)的軟硬件安全、運行和管理安全、支付安全等內(nèi)容。從狹義上講，移動電子商務(wù)安全是指移動電子商務(wù)信息的安全，即信息的存儲和傳輸安全。移動電子商務(wù)安全基礎(chǔ)知識1.移動電子商務(wù)技術(shù)上的安全問題移動電子商務(wù)技術(shù)上的安全問題如右圖所示。8.1.2移動電子商務(wù)的安全問題移動電子商務(wù)安全基礎(chǔ)知識2.移動電子商務(wù)管理上的安全問題（1）手機短信的安全管理問題。（2）服務(wù)提供商的安全管理問題。（3）移動終端的安全管理問題。（4）工作人員的安全管理問題。（5）信息安全管理的標準化問題。8.1.2移動電子商務(wù)的安全問題移動電子商務(wù)安全基礎(chǔ)知識1.手機病毒手機病毒也是一種計算機程序，與其他計算機病毒一樣具有傳播性、破壞性。手機病毒可通過短信、彩信、電子郵件、瀏覽網(wǎng)站等方式傳播，導致用戶手機死機、關(guān)機、資料被刪除，甚至損毀SIM卡、芯片等硬件。國內(nèi)普遍認為，手機病毒和計算機病毒差不多，不同的是，手機病毒以手機為感染對象，以手機和手機網(wǎng)絡(luò)為傳播平臺，通過短信、電子郵件等方式，對手機或手機網(wǎng)絡(luò)進行攻擊，從而造成手機或手機網(wǎng)絡(luò)異常。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識2.手機木馬木馬（Trojan）這個名字來源于《荷馬史詩》中木馬計的故事，“Trojan”一詞的本意是“特洛伊的”，代指特洛伊木馬。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它既不自我繁殖，也不“刻意”地感染其他文件。它通過偽裝自身以吸引用戶下載執(zhí)行，向施種木馬者提供打開被種手機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種手機。手機木馬嚴重危害現(xiàn)代網(wǎng)絡(luò)的安全運行。木馬與移動網(wǎng)絡(luò)中常常用到的遠程控制軟件相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性；木馬則完全相反，木馬要實現(xiàn)的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性，就是“毫無價值”的。木馬的遠程控制是指通過一段特定的木馬程序控制另一個移動端。木馬程序一旦運行，控制端將享有服務(wù)端的大部分操作權(quán)限，如給移動設(shè)備增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改移動端配置等。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識2.手機木馬（1）手機木馬的原理。一套完整的木馬程序包含兩個部分：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。被種者是服務(wù)端，而黑客利用控制端進入運行了木馬程序的移動設(shè)備。運行了木馬程序的服務(wù)端會有一個或兩個端口被打開，黑客可以利用這些打開的端口向指定地點發(fā)送數(shù)據(jù)，如網(wǎng)絡(luò)游戲、即時通信軟件密碼和用戶上網(wǎng)密碼等。黑客利用木馬程序打開的端口進入移動設(shè)備系統(tǒng)，那么系統(tǒng)安全和個人隱私也就毫無保障了。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識2.手機木馬（2）手機木馬的特征。手機木馬程序不經(jīng)手機用戶準許就可獲得手機的使用權(quán)，程序容量十分小，運行時不會耗費太多資源，因此若沒有使用殺毒軟件，是難以發(fā)覺的。手機程序運行時很難阻止它的啟動，運行后，它會立刻自動登錄在系統(tǒng)引導區(qū)，之后每次在系統(tǒng)加載時自動運行，或者立刻自動變更文件名，甚至隱形，或者馬上自動復制到其他文件夾中。8.1.3移動電子商務(wù)主要的安全威脅形態(tài)移動電子商務(wù)安全基礎(chǔ)知識移動電子商務(wù)安全技術(shù)8.2移動電子商務(wù)安全技術(shù)知識目標（1）了解生物特征識別技術(shù)的概念和熱點技術(shù)。（2）了解加密技術(shù)的概念。（3）熟悉常用的加密技術(shù)。（4）了解WPKI技術(shù)的基礎(chǔ)知識。（5）掌握防火墻技術(shù)的相關(guān)知識。（6）了解數(shù)字簽名技術(shù)和身份認證技術(shù)。技能目標能夠利用各種移動電子商務(wù)安全技術(shù)維護移動電子商務(wù)安全。8.2.1生物特征識別技術(shù)生物特征識別技術(shù)是指通過個體生理特征或行為特征對個體身份進行識別認證的技術(shù)。從應(yīng)用流程看，生物特征識別通常分為注冊和識別兩個階段。注冊階段通過傳感器對人體的生物表征信息進行采集，如利用圖像傳感器對指紋和人臉等光學信息、利用麥克風對說話聲等聲學信息進行采集，利用數(shù)據(jù)預處理及特征提取技術(shù)對采集的數(shù)據(jù)進行處理，得到相應(yīng)的特征并存儲。識別階段采用與注冊階段一致的信息采集方式對待識別人進行信息采集、數(shù)據(jù)預處理和特征提取，然后將提取的特征與存儲的特征進行比對分析，完成識別。生物特征識別技術(shù)涉及的內(nèi)容十分廣泛，包括指紋、掌紋、人臉、虹膜、靜脈、聲音、步態(tài)等多種生物特征，識別過程涉及圖像處理、計算機視覺、語音識別、機器學習等多項技術(shù)。目前，生物特征識別技術(shù)作為重要的智能化身份認證技術(shù)，在金融、公共安全、教育、交通等眾多領(lǐng)域得到廣泛應(yīng)用。移動電子商務(wù)安全技術(shù)1.生物特征識別技術(shù)的概念行業(yè)PPT模板/hangye/1指紋識別2人臉識別3皮膚芯片4步態(tài)識別8.2.1生物特征識別技術(shù)移動電子商務(wù)安全技術(shù)2.生物特征識別的熱點技術(shù)6靜脈識別7視網(wǎng)膜識別8手掌幾何學識別9DNA識別5虹膜識別10聲音和簽字識別8.2.2加密技術(shù)加密技術(shù)是指利用技術(shù)手段將原始信息變?yōu)殡y以識別的亂碼字符（加密后的信息）進行傳送，到達目的地后再使用相同或不同的手段還原信息（解密）。加密技術(shù)包括兩個基本元素，即算法和密鑰。（1）算法是指將明文與一串字符（密鑰）結(jié)合起來進行加密運算后形成密文。（2）密鑰是在明文轉(zhuǎn)換為密文或密文轉(zhuǎn)換為明文的算法中輸入的一串字符，它可以是數(shù)字、字母、詞匯或語句。移動電子商務(wù)安全技術(shù)1.加密技術(shù)的概念8.2.2加密技術(shù)常用的加密技術(shù)有兩種，即非對稱加密技術(shù)和對稱加密技術(shù)。（1）非對稱加密技術(shù)。1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通信雙方交換信息，安全地達成一致的密鑰，這就是公開密鑰系統(tǒng)。相對于對稱加密算法，這種方法也叫非對稱加密算法。（2）對稱加密技術(shù)。對稱加密技術(shù)在加密和解密的過程中采用同一密鑰，雙方通信時，首先分發(fā)要采用的密鑰，然后信息發(fā)送方使用該密鑰和加密算法將明文轉(zhuǎn)換為密文，接收方收到密文后使用對稱密鑰和解密算法將密文轉(zhuǎn)換為明文。對稱加密的特點是加解密速度快，而且如果密鑰長度合適，則具有較高的保密性。移動電子商務(wù)安全技術(shù)2.常用的加密技術(shù)8.2.3WPKI技術(shù)無線公開密鑰體系（WirelessPublicKeyInfrastructure，WPKI）技術(shù)是根據(jù)無線網(wǎng)絡(luò)連接的特點設(shè)計的一種算法。它是將互聯(lián)網(wǎng)電子商務(wù)中PKI安全機制引入無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標準的密鑰及證書管理平臺體系，用它管理在移動網(wǎng)絡(luò)環(huán)境中使用的公開密鑰和數(shù)字證書，可以有效地建立安全和值得信賴的無線網(wǎng)絡(luò)環(huán)境。WPKI并不是一個全新的PKI標準，而是傳統(tǒng)的PKI技術(shù)應(yīng)用于無線網(wǎng)絡(luò)環(huán)境的優(yōu)化擴展。它采用了優(yōu)化的橢圓曲線加密和壓縮的X.509數(shù)字證書。它同樣采用證書管理公開密鑰，通過第三方的可信任機構(gòu)—CA驗證用戶的身份，從而實現(xiàn)信息的安全傳輸。移動電子商務(wù)安全技術(shù)1.WPKI技術(shù)的概念行業(yè)PPT模板/hangye/1WPKI客戶端2CA3RA8.2.3WPKI技術(shù)移動電子商務(wù)安全技術(shù)4數(shù)字證書庫5應(yīng)用接口2.WPKI的組成部分8.2.4防火墻技術(shù)網(wǎng)絡(luò)防火墻是一個硬件和軟件的結(jié)合體，它將一個機構(gòu)的內(nèi)部網(wǎng)絡(luò)和整個互聯(lián)網(wǎng)隔離，允許一些數(shù)據(jù)分組通過，而阻止另外一些數(shù)據(jù)分組通過。網(wǎng)絡(luò)防火墻允許網(wǎng)絡(luò)管理員控制外部世界和被管理網(wǎng)絡(luò)內(nèi)部資源之間的訪問，這種控制是通過管理流入和流出這些資源的流量實現(xiàn)的。移動電子商務(wù)安全技術(shù)1.網(wǎng)絡(luò)防火墻的基本概念8.2.4防火墻技術(shù)（1）按照組成結(jié)構(gòu)分類。按照組成結(jié)構(gòu)，防火墻可分為以下3類。①軟件防火墻。②硬件防火墻。③芯片級防火墻。（2）按照體系結(jié)構(gòu)分類。按照體系結(jié)構(gòu)，防火墻可分為以下兩類。①分組過濾型防火墻。②應(yīng)用程序網(wǎng)關(guān)防火墻。移動電子商務(wù)安全技術(shù)2.防火墻的分類8.2.5數(shù)字簽名技術(shù)數(shù)字簽名是密碼學中的重要問題之一，手寫簽名的每項業(yè)務(wù)都是數(shù)字簽名的潛在應(yīng)用。數(shù)字簽名可以提供以下基本的密碼服務(wù)：數(shù)據(jù)完整性（確保數(shù)據(jù)沒有未授權(quán)的更改）、真實性（數(shù)據(jù)來源于其聲明的地方）及不可抵賴性。因而，當需要對某一實體認證、傳輸具有有效性的密鑰及進行密鑰分配時，便可以借助數(shù)字簽名來完成這些任務(wù)。文件的制造者可以在電子文件上簽一個可信、不可偽造、不可改變、不可抵賴的數(shù)字簽名，數(shù)字簽名具有法律效力，簽名者一旦簽名便需要對自己的簽名負責。接收者通過驗證簽名來確認信息來源正確、內(nèi)容完整并可靠。數(shù)字簽名技術(shù)是非對稱加密技術(shù)的應(yīng)用。使用時，報文發(fā)送方在報文中生成128位的單項Hash值，即報文摘要；報文發(fā)送方用私有密鑰對此摘要進行加密，形成數(shù)字簽名；報文發(fā)送方將數(shù)字簽名和原始報文一起發(fā)送給報文接收方；報文接收方從接收到的原始報文中計算出128位的Hash值，用報文發(fā)送方的公開密鑰對數(shù)字簽名解密。若計算出的兩個Hash值相同，則報文接收方就能確認此報文是簽名者發(fā)送的，并且報文在傳輸中保持了完整。移動電子商務(wù)安全技術(shù)8.2.6身份認證技術(shù)身份認證技術(shù)是指網(wǎng)絡(luò)設(shè)備系統(tǒng)及計算機系統(tǒng)通過有效利用各種技術(shù)手段來識別用戶的身份信息，包括數(shù)字證書身份認證、隨機口令身份認證及生物特征身份認證等技術(shù)。隨機口令身份認證主要包括靜態(tài)口令認證、USBKEY（USB接口的硬件設(shè)備）認證及動態(tài)口令認證等幾種認證方式；由證書發(fā)行機構(gòu)頒發(fā)的數(shù)字證書可以對各個用戶的身份信息進行標記；生物特征身份認證指的是通過人臉、掌紋、指紋、視網(wǎng)膜、虹膜等進行用戶身份信息的識別。相同，則報文接收方就能確認此報文是簽名者發(fā)送的，并且報文在傳輸中保持了完整。移動電子商務(wù)安全技術(shù)1.身份認證技術(shù)的概念8.2.6身份認證技術(shù)根據(jù)被認證對象的屬性不同，移動電子商務(wù)中的身份認證方案可以分為以下3類。（1）口令認證。（2）智能卡認證。（3）生物特征認證。移動電子商務(wù)安全技術(shù)2.身份認證方案移動電子商務(wù)安全管理措施8.3移動電子商務(wù)安全管理措施知識目標（1）了解移動電子商務(wù)安全管理的技術(shù)措施。（2）了解移動電子商務(wù)安全管理的管理措施。（3）熟悉移動電子商務(wù)安全管理的法律措施。技能目標能夠依據(jù)移動電子商務(wù)安全管理措施維護移動電子商務(wù)安全。8.3.1技術(shù)措施在維護移動電子商務(wù)企業(yè)內(nèi)部安全的技術(shù)方面，可以更新和改進傳統(tǒng)的用戶權(quán)限管理技術(shù)，積極引進新的身份識別技術(shù)，如生物特征方面的指紋鎖、聲音鎖和面部特征識別等，以此提升安全性。在基于云計算的互聯(lián)網(wǎng)時代，企業(yè)在維護交易數(shù)據(jù)安全傳輸?shù)募夹g(shù)方面，可以充分利用虛擬服務(wù)器中的實用計算架構(gòu)和管理服務(wù)提供商（ManagedServiceProvider，MSP）架構(gòu)優(yōu)化改良傳統(tǒng)企業(yè)安全防范模式。另外，為了保障移動電子商務(wù)交易活動中最關(guān)鍵的資金流動，特別是移動支付的安全，可以通過透明安裝和智能監(jiān)控機制保證App支付接口安全。移動電子商務(wù)安全管理措施8.3.2管理措施高層管理人員要提高對移動互聯(lián)網(wǎng)安全的重視程度，改變過去重技術(shù)、輕管理的局面，然后與技術(shù)開發(fā)人員一起商定企業(yè)安全防御方案，制定企業(yè)安全標準和條例；技術(shù)開發(fā)人員要培訓或深造，學習掌握更多、更全面的安全技術(shù)，從而應(yīng)對新的病毒程序和惡意攻擊；普通員工的企業(yè)信息安全意識培訓也不能忽視，培養(yǎng)員工安全意識不僅有利于平時防范企業(yè)機密泄露，而且有利于企業(yè)危機突發(fā)時快速、有效地進行處理。此外，要特別注意企業(yè)安全防御方案執(zhí)行保障，只有企業(yè)從管理人員到普通員工都樹立了危機與安全意識，整個企業(yè)的安全水平才能有效提升。移動電子商務(wù)安全管理措施8.3.3法律措施移動電子商務(wù)的安全不是技術(shù)創(chuàng)新和增強管理就能解決的，更需要技術(shù)、管理、法律等方面多管齊下，共同解決。移動電子商務(wù)安全涉及的主要法律要素如下。（1）有關(guān)移動電子商務(wù)交易各方合法身份認證的法律。（2）有關(guān)保護交易者個人及交易數(shù)據(jù)的法律。（3）有關(guān)移動電子商務(wù)合同合法性及如何認證的法律。（4）有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護的法律。移動電子商務(wù)安全管理措施手機病毒及其防治8.4手機病毒及其防治知識目標（1）了解手機病毒的概念與特點。（2）了解手機病毒的分類。（3）熟悉手機病毒的危害。（4）掌握手機病毒的防范。技能目標（1）能夠說出手機病毒的危害。（2）能夠采取措施防范手機病毒。36%11%22%9%4%1%3%6%20272028202920208.4.1手機病毒的概念與特點手機病毒是指可以破壞手機軟硬件功能的惡意程序。手機病毒是以手機為感染對象，以手機和手機網(wǎng)絡(luò)為傳播平臺，通過短信、電子郵件、程序等多種方式，對手機或手機網(wǎng)絡(luò)進行攻擊，從而造成手機或手機網(wǎng)絡(luò)異常的程序。手機病毒往往抓住手機的安全漏洞實施攻擊，或者通過假冒騙取手機用戶執(zhí)行相應(yīng)病毒程序，并且利用手機網(wǎng)絡(luò)進行快速傳播。手機病毒及其防治1.手機病毒的概念手機病毒的特點如右圖所示。2.手機病毒的特點手機病毒及其防治36%11%22%9%4%1%3%6%20272028202920208.4.2手機病毒的分類根據(jù)手機病毒工作原理劃分，手機病毒可以分為以下5類。（1）引導型病毒。（2）宏病毒。（3）文件型病毒。（