新电子商务概论 第2版 教学课件 白东蕊 岳云康 第7章201308.ppt

《电子商务概论》（第2版）人民邮电出版社 白东蕊 岳云康主编 第七章 电子商务安全 引例： 如何避免“网络钓鱼”的攻击 电子商务已成为人们经济生活中的重要组成部分，而电子商务安全则是保证电子商务健康、有序发展的关键因素，也是网民十分关注的话题。每个网民只有提升自身免疫力，增强安全防范意识，了解和学习必要的网络安全常识，这样才能避免遇到不必要的麻烦。例如，注意观察下面的网站名“1”与“”、“”与“”是否一致？这就是当前“网络钓鱼”的典型手段之一，诈骗者利用“障眼法”来诱惑和欺骗用户输入自己的账户密码。其中，“”是真正的中国工商银行网站，仅仅是小写字母i和数字1的不同；“”与“”前者是“钓鱼网站”，后者是真正的中国银行网站域名。 目前，“钓鱼网站”主要集中在两个方面：一种是模仿中央电视台等设立抽奖网站，以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息；另一种是模仿淘宝网、中国工商银行等在线支付网页，骗取网民银行卡信息或支付宝账户。如何避免或者减少钓鱼攻击所造成的危害呢？ 第一节 电子商务的安全需求 一、电子商务面临的威胁 二、电子商务安全的目标 一、电子商务面临的威胁 （一）个人电脑面临的威胁 在个人上网时，通常会遇到的威胁有以下几种：被他人盗取用户密码、信用卡账号等；计算机系统被木马攻击；用户在浏览网页时，被恶意程序进行攻击；个人计算机受计算机病毒感染；被黑客攻击等。 （二）网络安全威胁 1．黑客攻击 2．搭线窃听 3．伪装身份 4．信息泄密、篡改、销毁 5．间谍软件袭击 6．网络钓鱼 小贴士:网络钓鱼攻击 网络钓鱼（phishing）是“fishing”和“phone”的综合体，由于黑客始祖起初是以电话作案，所以用“ph”来取代“f”，创造了“phishing”。 “钓鱼攻击”是指利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。“钓鱼攻击”技术多种多样，目前三大网络“钓鱼攻击”是木马攻击（利用木马和黑客技术等手段窃取用户信息后实施盗窃活动）、假冒网站（建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃）、邮件诈骗（发送电子邮件，以虚假信息引诱用户中圈套）。 “钓鱼攻击”威胁的预防措施如下。 （1）尽量不要在网吧等公用计算机上做在线交易或转账。 （2）访问所属银行的网站应该通过输入网址的方式进行。 （3）对来路不明的电子邮件及文件，一般不要随意开启，更不要随意单击陌生邮件的链接网址或回复邮件。若要核实电子邮件信息，可以通过网站的客服电话咨询。 二、电子商务的安全性要求 第二节 电子商务安全技术 一、加密技术 二、认证技术 三、安全协议 四、防火墙技术 一、加密技术 加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加密后的信息通常称为“密文”。 加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。 由此可见，在加密和解密过程中，都涉及信息（明文、密文）、密钥（加密密钥、解密密钥）和算法（加密算法、解密算法）这3项内容。 常用的现代加密体制有两种：对称加密体制和非对称加密体制。 对称加密体制是指发送方和接收方使用同样密钥的密码体制，即文件加密和解密使用相同的密钥。这类算法要求发送者和接收者在安全通信之前，商定一个密钥。由于对称算法的安全性依赖于密钥，因此，只要通信过程采用了对称加密，密钥就必须保密。 非对称加密体制使用的是密钥对，即加密密钥和解密密钥不同。公钥（public key）是公开的，可以像电话簿一样，存储于文件中，文件保存在密钥中心；私钥（private key）是用户自己保存，只有自己才能知道。通常用公钥加密，私钥解密来保证信息的机密性；用私钥加密，公钥解密来保证身份的认证性。 对称加密体制的工作过程中，主要由5个部分组成：明文、加密算法、密钥、密文、解密算法。发送方用对称密钥K和加密算法E对明文P加密，得到密文C，然后传输密文C。接收方用对称密钥K和解密算法D对密文解密，得到原来的明文P。 2. 对称加密体制的优点与缺点 对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实现数字签名和身份验证； 3．对称加密体制的算法 目前，比较常用的对称密钥算法有DES（data encrypti