第八章電子商務(wù)安全

一、電子商務(wù)安全的內(nèi)涵

教學(xué)內(nèi)容

二、電子商務(wù)安全技術(shù)

【知識目標(biāo)】

1.了解電子商務(wù)面臨的威肋、明確電子商務(wù)的安全性內(nèi)涵

2.熟悉保障電子商務(wù)安全的方法與技術(shù)應(yīng)用

3.培養(yǎng)及提升電子商務(wù)安全意識，熟知電子商務(wù)安全管理制度

教學(xué)要求

【技能目標(biāo)】

1.掌握文件的加密保護

2.利用數(shù)字證書，實現(xiàn)安全電子支付和安全移動支付

3.掌握電子商務(wù)中，商家、客戶的日常安全防范措施

教學(xué)重點1.電子商務(wù)安全性要求

2.電子商務(wù)安全的相關(guān)技術(shù)

教學(xué)難點1.電子商務(wù)安全的相關(guān)技術(shù)

教學(xué)方法講授法、探究法、案例法

課時數(shù)2課時（講授2）

第一節(jié)電子商務(wù)安全的內(nèi)涵

一、常見的網(wǎng)絡(luò)安全威脅

（-）個人計算機受到的威脅

1.計算機病毒

2.流氓軟件

3.木馬程序

4.網(wǎng)絡(luò)釣魚

（-）移動端受到的威脅

I.手機病毒

2.手機系統(tǒng)漏洞

3.無線網(wǎng)絡(luò)釣魚

二、電子商務(wù)面臨的安全威脅

電子商務(wù)安全的威脅主要有以下幾種：

（1）信息的截獲和竊取；（2）信息的篡改；（3）信息偽造；（4）交易

抵賴。

三、電子商務(wù)的安全性要求

電子商務(wù)的安全性包括信息的機密性、完整性、可用性、不可否認性,

交易者身份的真實性和網(wǎng)絡(luò)環(huán)境的可靠性等。

四、電子商務(wù)安全防范

（-）電子商務(wù)網(wǎng)站的安全防范

1.選擇合適的虛擬主機服務(wù)

2.不斷更新系統(tǒng)應(yīng)用軟件

3.配置安裝Web防火墻

4.強制使用強密碼

5.不要存儲客戶的敏感信息

6.定期備份數(shù)據(jù)

7.加強員工數(shù)據(jù)安全意識培訓(xùn)

（-）手機用戶的安全防范

1.增強安全防護意識

2.安全使用Wi-Fi網(wǎng)絡(luò)

3.增強手機保密意識

第二節(jié)電子商務(wù)安全技術(shù)及應(yīng)用

電子商務(wù)系統(tǒng)的安全應(yīng)該建立在網(wǎng)絡(luò)安全的基礎(chǔ)之上，通過信息安全

技術(shù)的保障及安全協(xié)議的應(yīng)用才能實現(xiàn)。

一、加密技術(shù)w

加密技術(shù)是利用技術(shù)手段把原始信息變?yōu)閬y碼（加密）傳送，到達目

的地后再用相同或不同的手段還原（解密）信息。原始信息通常被稱為“明

文”，加密后的信息通常被稱為“密文”。

加密技術(shù)涉及兩個元素：算法和密鑰。

常用的現(xiàn)代加密體制有對稱加密體制和非對稱加密體制兩種。

1.對稱加密體制

對稱加密體制是指發(fā)送方和接收方使用同樣密鑰的加密體制，即文件

加密和解密使用相同的密鑰。經(jīng)典的對稱加密體制算法為數(shù)據(jù)加密標(biāo)準(zhǔn)

非對稱加密體制使用的是密鑰對.，即公鑰(PublicKey)和私鑰(Private

Key)o在非對稱加密體制的算法中，使用最多的是RSA算法。

報收方的|嬴加

發(fā)送方公的私例接收方B

圖非對稱加密體制的工作過程

在實際應(yīng)用中，通常將對稱加密算法和非對稱加密算法結(jié)合使用。

二、認證技術(shù)

常見的信息保護手段除了加密技術(shù)以外，還有認證技術(shù)。目前，認證

技術(shù)有身份認證和消息認證兩種方式。

(-)身份認證

身份認證的基本思想是通過驗證被認證對象的屬性來確保被認證對象

的真實性。

實現(xiàn)身份認證的物理基礎(chǔ)主要有以下三種：

(1)用戶所知道的；

(2)用戶所擁有的；

(3)用戶所具有的特征。

(-)消息認證

消息認證是指驗證消息的完整性，當(dāng)接收方收到發(fā)送方的消息時，接

收方能夠驗證收到的消息是真實的和未被篡改的。消息認證常用的方法就

是消息摘要。

1.數(shù)字簽名

消息摘要能保護收發(fā)雙方之間的數(shù)據(jù)交換不被第三方侵犯，但并不能

規(guī)避雙方之間的相互欺騙。這需要數(shù)字簽名技術(shù)來保記。

2.數(shù)字時間戳

在電子商務(wù)交易中，需對交易文件的時間信息采取安全措施。數(shù)字時

間戳是一個經(jīng)加密后形成的憑證文檔，包括以下三個部分：①附有時間戳

的電子文件。②數(shù)字時間戳發(fā)送和接收文件的時間。③數(shù)字時間戳服務(wù)的

數(shù)字簽名。

三、數(shù)字證書

（一）數(shù)字證書認證中心

數(shù)字證書認證中心也稱CA認證中心（CA認證機構(gòu)），是承擔(dān)網(wǎng)上安

全電子交易認證服務(wù)、簽發(fā)數(shù)字證書并確認用戶身份的服務(wù)機構(gòu)。

認證中心的主要功能有以下幾項：

（1）數(shù)字證書的頒發(fā)；（2）數(shù)字證書的查詢；（3）數(shù)字證書的更新；

（4）數(shù)字證書的作廢；（5）數(shù)字證書的歸檔。

國內(nèi)的電子商務(wù)認證中心主要分為行業(yè)性認證中心、區(qū)域性認證中心、

商業(yè)性認證中心，如中國金融認證中心（CFCA）屬于行業(yè)認證中心；上

海數(shù)字證書認證中心和山西數(shù)字證書認證中心等屬于區(qū)域性認證中心；天

威誠信（ITRUS）、沃通（WOSIGN）等屬于商業(yè)性認證中心。

（-）數(shù)字證書的定義

數(shù)字證書又稱為數(shù)字憑證或數(shù)字標(biāo)識，類似于現(xiàn)實生活中的身份證，

所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是經(jīng)過電子商務(wù)認證中心（CA

認證中心）審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運用在電子商務(wù)和

電子政務(wù)中。

（三）數(shù)字證書的結(jié)構(gòu)

數(shù)字證書的詳細信息至少包含以下幾項：①證書擁有者的姓名；②證

書的版本信息；③證書的序列號；④證書所使用的簽名算法；⑤證書發(fā)行

機構(gòu)的名稱；@證書的有效期限；⑦證內(nèi)所有人的公鑰；⑧證書發(fā)行者對

記書的簽名。

（四）數(shù)字證書的類型

數(shù)字證書依照證書的持有者類型可以分為個人證書、單位證書（包含

商家、銀行等企業(yè)）、服務(wù)器證書等，用來在電子商務(wù)中識別各方的身份，

井保證交易過程中信息的機密性、完整性、真實性、不可否認性等。

數(shù)字證書根據(jù)適用支付的平臺來分類有支付寶數(shù)字證書、微信支付數(shù)

字證書等。

數(shù)字證書按照安全協(xié)議的不同可以分為SSL證書和SET證書等。

（五）數(shù)字證書的應(yīng)用

（1）用戶在需要使用證書的網(wǎng)站上進行操作時，必須準(zhǔn)備好裝有證書

的存儲介質(zhì)。

（2）用戶在使用自己的數(shù)字證書之前必須先下載根證書。

（3）操作時，系統(tǒng)會自動提示用戶載入數(shù)字證書或者插入證書存儲介

質(zhì)。

（4）使用完畢后，取出證書存儲介質(zhì)，并妥善保管。

網(wǎng)站安裝了SSL數(shù)字證書，就使網(wǎng)站的域名轉(zhuǎn)換為以“https”開頭的

方式，瀏覽器地址欄顯示鎖形狀的標(biāo)識。

巨/歸納與提高

通過本章的學(xué)習(xí)，使我們明白在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務(wù)交

易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。

一個完善的電子商務(wù)系統(tǒng)