第三章电子商务安全..docx

第三章 电子商务安全【学习目标】1．掌握电子商务安全的要素；2．了解防火墙的应用，熟悉防火墙的原理；3．掌握对称加密和非对称加密的基本原理，以及两种加密的结合使用；4．了解数字证书技术及身份认证技术；5．理解电子商务安全协议。【技能要求】1．能够使用相关安全软件，熟悉防火墙的配置；2．能够申请数字证书，安装、使用数字证书。【核心概念】防火墙 对称加密 非对称加密 CA认证 数字签名 SSL SET【开篇案例】“棱镜门”敲响了网络安全的警钟2013年6月，前中情局（CIA）职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》，并告之媒体何时发表。按照设定的计划，2013年6月5日，英国《卫报》先扔出了第一颗舆论炸弹：美国国家安全局有一项代号为“棱镜”的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日，美国《华盛顿邮报》披露称，过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。2013年9月28日，美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。美国国家安全局2010年起即用收集到的资料，分析部分美国公民的“社交连结，辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。该文件显示，“国安局官员解禁之后，2010年11月起开始准许以海外情报意图来分析电话以及电邮记录，监视美国公民交友网络”。根据美国国安局2011年1月的备忘录，政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。该文件指出，美国国安局获得授权，可在不检查每个电邮地址、电话号码或任何指针的“外来性”情况下，“大规模以图表分析通讯原数据”。美国决策者意识到，互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。2011年，以“脸谱网”（facebook）和“推特”（twitter）为代表的新媒体，贯穿埃及危机从酝酿、爆发、升级到转折的全过程，成为事件发展的“催化剂”及反对派力量的“放大器”。同样，类似的事件也在突尼斯和伊朗等国都上演过。这项代号为“棱镜”（PRISM）的高度机密的行动此前从未对外公开。《华盛顿邮报》获得的文件显示，美国总统的日常简报内容部分来源于此项目，该工具被称作是获得此类信息的最全面方式。一份文件指出，“国家安全局的报告越来越依赖‘棱镜’项目。该项目是其原始材料的主要来源。报道刊出后外界哗然。保护公民隐私组织予以强烈谴责，表示不管奥巴马政府如何以反恐之名进行申辩，不管多少国会议员或政府部门支持监视民众，这些项目都侵犯了公民基本权利。这是一起美国有史以来最大的监控事件，其侵犯的人群之广、程度之深让人咋舌。第一节 电子商务安全概述随着互联网的飞速发展与广泛应用，电子商务的应用前景越来越广阔，然而它的安全问题也变得日益严重，在互联网环境下开展电子商务，客户、商家、银行等参与者都对自身安全能否得到保障存在担心。如何创造安全的电子商务应用环境，已经成为社会、企业和消费者共同关注的问题。电子商务安全是一个多层次、多方位的系统的概念：广义上讲，它不仅与计算机系统结构有关，还与电子商务应用的环境、操作人员素质和社会因素有关，包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法；狭义上讲，它是指电子商务信息的安全，主要包括信息的存储安全和信息的传输安全。一、电子商务安全要素电子商务安全是一个复杂的系统问题，在开展电子商务的过程中会涉及以下几个安全性方面的要素：可靠性、真实性、机密性、完整性、不可否认性。（一）可靠性电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。电子商务系统的安全是保证数据传输与存储以及电子商务完整性检查的基础。系统的可靠性可以通过网络安全技术来实现。（二）真实性交易的真实性是指商务活动中交易者身份是真实有效的，也就是要确定交易双方是真实存在的。网上交易的双方可能素昧平生、相隔千里，要进行成功交易的前提条件是要能确认对方的身份是否真实可信。身份认证通常采用电子签名技术、数字证书来实现。（三）机密性信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获，就可能被盗用；企业的订货和付款信息如被竞争对手获悉，该企业就可能贻误商机。电子商务则建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广应用的重要障碍。因此要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数