A good beginning is half done! 祝同学们在新学期健康快乐! 电子商务安全与支付
本学期计划 这学期你要制定的目标? 这学期你要做完哪些事情? 如何做完这些事情?(如何掌控自己的时间)
七十二小时网络生存
知识点 电子商务概念 电子商务交易模式 电子商务交易流程 电子商务安全
电子商务概念 电子方式:计算机网络平台 商贸行为
电子商务交易模式 企业对企业(B2B) 企业对消费者(B2C) 消费者对消费者(C2C) 政府与企业(G2B) 阿里巴巴 8848网上超市 淘宝 中国商品交易
电子商务交易流程 交易前的准备 交易协商和签订合同 结算付款和索赔
B2C模式交易流程 订单 消费者 厂家 发货 清单 支付 认证中心 转账 回执 转账 信用卡公司 银行 通知
电子商务安全 案例一 淘宝网 案例二 全球黑客大赛苹果和微软操作系统均被攻破 案例三 台官方网站被黑 案例四 震撼世界的“蠕虫”病毒案 案例一 淘宝网 案例二 全球黑客大赛苹果和微软操作系统均被攻破 案例三 台官方网站被黑 案例四 震撼世界的“蠕虫”病毒案 案例五 中国首例域名抢注案 案例六 用电子邮件订立合同引起的合同纠纷案
电子商务安全面临的威胁 一、计算机网络风险 二、电子商务交易风险 三、管理风险 四、政策法律风险
一、计算机网络风险 (一)物理安全问题 (二)网络安全问题 (三)网络病毒的威胁 (四)黑客攻击 (五)操作系统的缺陷 (六)电子商务网站自身的安全问题
一、计算机网络风险 (一)物理安全问题: 电磁干扰,信息截获与通信技术 设备安全 环境安全 媒介安全
一、计算机网络风险 (二)网络安全问题: 内部网与外部网之间的访问控制 内部网不同网络安全域的访问控制
一、计算机网络风险 (三)网络病毒的威胁:如 QQ尾巴; ARP病毒; Autorun.inf等
(三)网络病毒的威胁 2008年上半年,计算机病毒、木马的数量呈爆炸式增长,其总数已经超过了近五年的病毒数量的总和。金山毒霸全球反病毒监测中心监测数据显示,截止到6月30日,2008年上半年,金山毒霸共截获新增病毒、木马1242244个,较07年全年病毒、木马总数增长了338%。
近几年来的新增病毒、木马数量对比
(三)网络病毒的威胁 在新增的病毒、木马中,其中新增木马数为640873个,占上半年新增病毒、木马总数的51.59%。而下载器类病毒占上半年新增病毒、木马总数的20.3%,成为增长速度最快的一类病毒。从08年上半年十大病毒、木马的统计数据中显示,十大病毒中有六大病毒为下载器病毒。
(三)网络病毒的威胁 2008年上半年,据金山毒霸全球反病毒监测中心统计数据,全国共有22367994 台计算机感染病毒,与07年同期相比增长了194% 。全国各省的计算机病毒感染量如下表1。 2007年上半年,全国感染病毒的计算机超过759台,与06年同期相比增长了12.2%。
表1
2008年上半年十大病毒/木马 根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出十大病毒/木马为2008年上半年最危险的病毒/木马。 危害程度:分5级,最高级为5。我们将危害的种类分为:A破坏或感染用户系统\终止杀毒软件,B盗取用户信息,C能进行自我传播 ,D广告行为 ,E下载其它木马
2008年上半年十大病毒/木马 5级:具有上述四种及以上行为的病毒/木马 4级:具有述任意三种行为的病毒/木马 3级:具有C行为加任意一种行为的病毒/木马 2级:具有A B C任意一种行为的病毒/木马 1级:具D E任意一种行为的病毒/木马
表2 2008年上半年十大病毒/木马
2008年上半年十大病毒/木马 病毒感染:对于广义的病毒定义来讲,以上所指感染包括病毒感染或木马入侵。 病毒感染率:该病毒感染或入侵的计算机台数占总感染(或入侵)台数的比率,为方便统计,统称为感染率,下同。 用户关注度:我们收集用户对病毒的关注数据,如:论坛讨论热度的评估,新闻及病毒分析报告的点击率或关键字热度,将其分为3级,热门、高度、普通。
一、计算机网络风险 (四)黑客攻击 攻击手段和方法大致分为两种: 主动攻击; 被动攻击。
一、计算机网络风险 (五)操作系统的缺陷 微软:应用广,容易死机,不适合做服务器 思考:操作系统盗版的背后?
一、计算机网络风险 (六)电子商务网站自身的安全问题 如:陕西省地震局网站遭黑客短时攻击 原因:注重网站结构和内容建设,忽略网站安全防护措施,投资过少 我国网站所用安全投资不足企业信息系统建设总成本的2%,而国外占15~20%
二、电子商务交易风险 1、在线交易主体的准入 在现行法律体制下,任何长期固定从事营利性事业的主体必须进行工商登记; 在电子商务环境下,任何人不经过登记就可以借助计算机网络发出或接收网络信息,并通过一定程序与他人达成交易。
二、电子商务交易风险 2、信息风险 信息不真实,虚假夸大
二、电子商务交易风险 3、信用风险 买方:用信用卡进行支付时恶意透支,用伪造信用卡骗取卖方的货物行为; 集团购买:拖延货款; 卖方:不能按质、按量、按时寄送消费者购买的货物,或不能完全履行与集团购买者签订的合同,造成买方损失; 买卖双方都存在抵赖的情况。
二、电子商务交易风险 4、网上欺诈犯罪 网上购机,被骗万元; 购物网站 子虚乌有;
二、电子商务交易风险 5、电子合同问题 案例分析:电子签名案
二、电子商务交易风险 6、电子支付问题 7、在线消费者保护问题 一方面,涉及到网络购物索赔、退货没有完善的法律约束; 另一方面,消费者提供给购物网站的信息很难不被商家有意出售或无意泄漏。 案例:电子商务中消费者权利案
二、电子商务交易风险 8、产品交付问题 有形货物 无形货物 9、电子商务中虚拟财产的保护问题 案例:全国首例网络游戏玩家联手起诉网游运营商案开庭
三、管理风险 交易中,管理问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。 在线商店安全管理上最薄弱的环节常常是人员管理: 人员职业道德不高,一些竞争对手利用企业招募新人的方式潜入该企业,利用不正当方式收买企业网关。
三、管理风险 密码设置比较简单; 无意中泄漏机密; 网络交易技术管理的漏洞
四、政策法律风险 在网上交易可能会承担由于法律滞后而造成的风险。 电子商务网站、电子支付、电子合同、网络交易行为、数字认证等电子商务的重要方面,还没有形成具有最高法律效力并符合电子商务规律的法律法规。
电子商务安全要素 1、真实性(认证性):交易双方的身份不能被假冒 2、保密性:信息保密 3、有效性:贸易数据在确定的时刻、确定的地点是有效的; 4、完整性 5、不可抵赖性:“白纸黑字” 6、访问控制性
电子商务安全体系结构 单纯通过技术来保障网络交易的安全事实上是不可靠的,操作系统本身往往就是威胁交易安全的最大隐患。 在保证网络安全方面,最大的问题不是技术而是我们的“安全思维”; 安全问题实际上是人的问题。——信息安全专家。
电子商务安全体系结构 1、电子商务交易安全保障体系是一个复合型系统 电子商务交易安全是一个系统工程,不是几个防火墙、密码器就可以解决的。需要根据商品交易的特点来制定整个过程的安全策略,在安全策略指导下,制定哪些相应的安全机制,开发哪些有关的产品或者加强有关的产品,来满足整体需要,保证安全策略实施。
电子商务安全体系结构 一个完整的网络交易安全体系,至少包括三类措施: 一是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通道、身份认证、授权等。
电子商务安全体系结构 二是管理方面的措施,包括交易的安全制度、交易安全的实时控制、提供实时改变安全策略的能力、对现在安全系统漏洞的检查以及安全教育等。 三是社会的法律政策与法律保障
电子商务安全体系结构 2、人网结合是电子商务安全保障的本质特征 人是网络的建设者和使用者; 电子商务交易安全的保障起码需要三个层次: 第一,人的因素是基础,因此,人需要培训和教育,从而提高安全意识;
电子商务安全体系结构 第二个层次是技术上的层次,具体涉及到安全产品的开发和实施,比如防火墙,不是买一个防火墙按上去就能起作用,能不能与企业的自身情况适合,是否满足动态的、发展的需要都要考虑; 第三个层次需要管理机关制定相应的法规和政策。
电子商务安全体系结构 从实践看,人为因素造成的网络信息安全问题尤其值得重视,包括: (1)工作失误:如误操作; (2)心里不健康 (3)有意报复
电子商务安全体系结构 3、电子商务交易安全是一个动态过程 “保护——反馈——修正——再保护”的过程
电子商务安全技术 1、加密技术 2、认证技术 3、安全电子交易协议 4、黑客防范技术 5、虚拟专网技术 6、反病毒技术
1、加密技术 加密技术是认证技术及其他许多安全技术的基础。 “加密”,简单地说,就是使用数学的方法将原始信息(明文)重新组织与变换成只有授权用户才能解读的密码形式(密文),而“解密”就是将密文重新恢复成明文。
2、认证技术 认证的功能 采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。
2、认证技术 广泛使用的认证技术 数字签名 数字摘要 数字证书 CA安全认证体系
3、安全电子交易协议 目前有两种安全在线支付协议被广泛采用 SSL(Secure Sockets Layer,安全套接层)协议 SET(Secure Elecronic Transaction,安全电子交易)协议
4、黑客防范技术 (1)安全评估技术 通过扫描器发现远程或本地主机所存在的安 全问题。 扫描器的一般功能: 发现一个主机或网络的能力 发现什么服务正运行在这台主机上的能力 通过测试这些服务,发现漏洞的能力
4、黑客防范技术 扫描器的种类 基于服务器的扫描器 基于网络的扫描器
4、黑客防范技术 (2)防火墙 防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查,从而决定网络之间的通信是否被允许。
4、黑客防范技术 防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。
4、黑客防范技术 (3)入侵检测技术 入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括来自系统外部的入侵行为和来自内部用户的非授权行为。
4、黑客防范技术 它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
5、虚拟专用网技术 虚拟专用网(VPN)技术是一种在公用互联网络上构造专用网络的技术。将物理上分布在不同地点的专用网络,通过公共网络构造成逻辑上的虚拟子网,进行安全的通信。
6、反病毒技术 反病毒技术主要包括预防病毒、检测病毒和消毒等3种技术: 预防病毒技术,它通过自身常驻系统内存优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等;
6、反病毒技术 检测病毒技术,它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等; 消毒技术,它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
电子支付 一、电子支付应用现状 二、电子支付基本概念 三、电子支付存在的问题
一、电子支付应用现状 中国网络银行的排头兵——招商银行
二、电子支付基本概念 所谓电子支付,是指进行电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。
电子支付与传统支付手段的区别 电子支付 传统支付手段 在开放的网络中系统中以先进的数字流转技术来完成信息传输,并采用数字化的方式进行款项支付 以传统通信媒介通过现金流转、票据转让和银行的汇兑等物理实体来完成款项支付 基于开放的系统平台 较为封闭的系统中运作 对软硬件实施要求高 对实施无特殊要求 方便、快捷、高效、经济 与之相反 无形化、虚拟化 面对面
三、电子支付存在的问题 (1)银行支付系统互联互通有待时日; (2)对更有效安全机制的探讨; (3)支付机制的标准化有待提高; (4)社会诚信体系尚未建立。
THE END