第1章電子商務(wù)安全的現(xiàn)狀和趨勢(shì)11.1電子商務(wù)安全問題1.2觸發(fā)電子商務(wù)安全問題的原因1.3電子商務(wù)安全的概念與基本要求1.4電子商務(wù)安全的現(xiàn)狀1.5網(wǎng)絡(luò)安全的十大不穩(wěn)定因素1.6電子商務(wù)安全防治措施1.7電子商務(wù)安全舉措21.1電子商務(wù)安全問題電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性1.1.1技術(shù)威脅信息的截獲和竊取信息的篡改信息的假冒交易抵賴1.1.2黑客攻擊1.1.3病毒1.1.4網(wǎng)絡(luò)仿冒31.1.3病毒蠕蟲病毒蠕蟲主要是利用系統(tǒng)的漏洞進(jìn)行自動(dòng)傳播復(fù)制，由于傳播過程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡(luò)流量急劇上升，造成網(wǎng)絡(luò)訪問速度變慢甚至癱瘓。1.1電子商務(wù)安全問題51.1.4黑客攻擊網(wǎng)頁篡改耐克網(wǎng)站被黑客篡改1.1電子商務(wù)安全問題61.1.3黑客攻擊網(wǎng)頁篡改2004年中國大陸網(wǎng)頁篡改情況（單位：件）1.1電子商務(wù)安全問題71.1.4網(wǎng)絡(luò)仿冒2004年網(wǎng)絡(luò)仿冒事件報(bào)告（單位：起）1.1電子商務(wù)安全問題91.1.2、對(duì)電子商務(wù)交易各方的威脅

對(duì)商家的威脅對(duì)消費(fèi)者的威脅101.1.3、中國電子商務(wù)面臨的安全威脅

國內(nèi)幾乎所有的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來自國外。進(jìn)入我國的電子商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品均只能提供較短密鑰長度的弱加密算法。111.2.1先天原因網(wǎng)絡(luò)的全球性、開放性和共享性使得電子商務(wù)傳輸過程中的信息安全存在先天不足。1.2.2后天原因管理——美國90%的IT企業(yè)對(duì)黑客的攻擊準(zhǔn)備不足。人——黑客攻擊技術(shù)——軟件漏洞、后門1.2觸發(fā)電子商務(wù)安全問題的原因131.3電子商務(wù)安全的概念與基本要求1.3.1電子商務(wù)系統(tǒng)安全的構(gòu)成1.系統(tǒng)實(shí)體安全2.系統(tǒng)運(yùn)行安全3.信息安全1.3.2電子商務(wù)安全的需求14電子商務(wù)交易示意圖1.3電子商務(wù)安全的概念與基本要求151.3.1電子商務(wù)系統(tǒng)安全的構(gòu)成1.3電子商務(wù)安全的概念與基本要求171.3.1電子商務(wù)系統(tǒng)安全的構(gòu)成1.系統(tǒng)實(shí)體安全2.系統(tǒng)運(yùn)行安全3.信息安全1.3電子商務(wù)安全的概念與基本要求181.3電子商務(wù)安全的概念與基本要求1.3.2電子商務(wù)安全的需求電子商務(wù)安全的中心內(nèi)容機(jī)密性完整性認(rèn)證性訪問控制性不可拒絕性不可否認(rèn)性19商務(wù)數(shù)據(jù)的完整性（Integrity）保護(hù)數(shù)據(jù)不被未授權(quán)者修改、刪除、重復(fù)傳送、建立、嵌入或由于其他原因使原始數(shù)據(jù)被更改。在傳輸過程中，如果接收端收到的信息與發(fā)送的信息完全一樣，則說明在傳輸過程中信息具有完整性。注意：加密的信息在傳輸過程中，完整性也可能遭到破壞。21商務(wù)對(duì)象的認(rèn)證性（Authentication）商務(wù)對(duì)象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對(duì)方的身份。認(rèn)證性用數(shù)字簽名和身份認(rèn)證技術(shù)實(shí)現(xiàn)商務(wù)服務(wù)的不可否認(rèn)性（Non-repudiation）

商務(wù)服務(wù)的不可否認(rèn)性（Non-repudiation）信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息。不可否認(rèn)性主要用于對(duì)付來自其他合法用戶的威脅。22商務(wù)服務(wù)的不可拒絕性（Denialofservice）商務(wù)服務(wù)的不可拒絕性，也稱可用性，是保證授權(quán)用戶在正常訪問信息和資源時(shí)不被拒絕或延遲，即保證為用戶提供穩(wěn)定的服務(wù)。訪問的控制性（Accesscontrol）訪問控制性用于保護(hù)計(jì)算機(jī)系統(tǒng)的資源不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、破壞、發(fā)出指令或植入程序等。231.4電子商務(wù)安全的現(xiàn)狀1.4.1涉密計(jì)算機(jī)網(wǎng)絡(luò)的六大隱患1）網(wǎng)絡(luò)建設(shè)中重應(yīng)用輕安全保密；2）涉密網(wǎng)與互聯(lián)網(wǎng)聯(lián)接3）兩網(wǎng)一機(jī)隱患多4）注重防范外部入侵，忽視內(nèi)部控制5）涉密移動(dòng)存儲(chǔ)介質(zhì)管理混亂6）筆記本電腦使用管理缺少監(jiān)督251.4電子商務(wù)安全的現(xiàn)狀1.4.2信息安全與十大關(guān)系1、信息安全的三個(gè)發(fā)展階段（1）數(shù)據(jù)安全（2）網(wǎng)絡(luò)安全（3）交易安全2、交易安全的三個(gè)主要方面（1）可信計(jì)算（2）可信連接（3）可信交易261.4.3國內(nèi)外現(xiàn)狀與發(fā)展趨勢(shì)

美國

1998年5月22日總統(tǒng)令(PDD-63)：《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》

圍繞“信息保障”成立了多個(gè)組織，包括：全國信息保障委員會(huì)、全國信息保障同盟、關(guān)鍵基礎(chǔ)設(shè)施保障辦公室、首席信息官委員會(huì)、聯(lián)邦計(jì)算機(jī)事件響應(yīng)行動(dòng)組等十多個(gè)全國性機(jī)構(gòu)

1998年美國國家安全局（NSA）制定了《信息保障技術(shù)框架》（IATF）,提出了“深度防御策略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施防御、區(qū)域邊界防御、計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施的深度防御目標(biāo)

2000年1月，發(fā)布《保衛(wèi)美國計(jì)算機(jī)空間—保護(hù)信息系統(tǒng)的國家計(jì)劃》。分析了美國關(guān)鍵基礎(chǔ)設(shè)施所面臨的威脅，確定了計(jì)劃的目標(biāo)和范圍，制定出聯(lián)邦政府關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃（民用機(jī)構(gòu)和國防部），以及私營部門、洲和地方政府的關(guān)鍵基礎(chǔ)設(shè)施保障框架。29

俄羅斯

1995年頒布《聯(lián)邦信息、信息化和信息保護(hù)法》，為提供高效益、高質(zhì)量的信息保障創(chuàng)造條件，明確界定了信息資源開放和保密的范疇，提出了保護(hù)信息的法律責(zé)任。

1997年出臺(tái)《俄羅斯國家安全構(gòu)想》。明確提出“保障國家安全應(yīng)把保障經(jīng)濟(jì)安全放在第一位”，而“信息安全又是經(jīng)濟(jì)安全的重中之重。

2000年普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》，明確了聯(lián)邦信息安全建設(shè)的任務(wù)、原則和主要內(nèi)容。第一次明確了俄羅斯在信息領(lǐng)域的利益是什么，受到的威脅是什么，以及為確保信息安全首先要采取的措施等。國內(nèi)外現(xiàn)狀與發(fā)展趨勢(shì)30

日本：

出臺(tái)《21世紀(jì)信息通信構(gòu)想》和《信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》，強(qiáng)調(diào)“信息安全保障是日本綜合安全保障體系的核心”。

加緊建立與信安全相關(guān)的政策和法律法規(guī)，發(fā)布了《信息通信網(wǎng)絡(luò)安全可靠性基準(zhǔn)》和《IT安全政策指南》。

成立了信息安全措施促進(jìn)辦公室，綜合安全保障閣僚會(huì)議、IT安全專家委員會(huì)和內(nèi)閣辦公室下的IT安全分局。國內(nèi)外現(xiàn)狀與發(fā)展趨勢(shì)31

中國：

制定了一系列基本管理辦法

“中華人民共和國計(jì)算機(jī)安全保護(hù)條例”

“中華人民共和國商用密碼管理?xiàng)l例”

“計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行辦法”

“計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法”

“計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分標(biāo)準(zhǔn)”等

《刑法》修訂中，增加了有關(guān)計(jì)算機(jī)犯罪的條款

尚未形成完整的體系國內(nèi)外現(xiàn)狀與發(fā)展趨勢(shì)321.5網(wǎng)絡(luò)安全的十大不穩(wěn)定因素1.Cookie2.CGI3.Java4.自由軟件5.電子郵件6.微軟7.認(rèn)證和授權(quán)8.Linux9.ICP10.網(wǎng)絡(luò)管理員331.6電子商務(wù)安全防治措施1.6.1技術(shù)措施1.6.2管理措施341.6電子商務(wù)安全防治措施1.6.1技術(shù)措施1.網(wǎng)絡(luò)安全檢測(cè)設(shè)備2.訪問設(shè)備3.防火墻4.瀏覽器/服務(wù)器軟件5.端口保護(hù)6.訪問控制7.數(shù)據(jù)加密8.數(shù)字證書9.保護(hù)傳輸線路安全10.路由選擇機(jī)制11.流量控制12.防入侵措施351.6電子商務(wù)安全防治措施1.6.2管理措施1.人員管理制度2.保密制度3.跟蹤、審計(jì)、稽核制度4.系統(tǒng)維護(hù)制度硬件的日常管理與維護(hù)軟件的日常管理與維護(hù)5.數(shù)據(jù)容災(zāi)制度6.病毒防范制度7.應(yīng)急措施361.7電子商務(wù)安全舉措1.7.1信息安全戰(zhàn)略與對(duì)策1.7.2加強(qiáng)網(wǎng)絡(luò)安全的十條建議371.7電子商務(wù)安全舉措1.7.1信息安全戰(zhàn)略與對(duì)策我國信息安全保障應(yīng)具備信息安全防護(hù)能力、安全隱患的發(fā)現(xiàn)能力、信息安全的應(yīng)急能力、信息安全的對(duì)抗能力。具備這四種能力是我國信息安全保障體系建設(shè)所要達(dá)到的目標(biāo)，要達(dá)到這一目標(biāo)，與支撐我國信息安全保障的六大要素密不分：一、組織管理二、標(biāo)準(zhǔn)規(guī)范和法律38三、技術(shù)保障四、產(chǎn)業(yè)支撐環(huán)境五、信息安全六類基礎(chǔ)設(shè)施六、人才教育和培養(yǎng)39組織管理組織管理體系建設(shè)已成為信息化建設(shè)保障環(huán)境中的重點(diǎn)，形成了一套從領(lǐng)導(dǎo)者到管理者再到技術(shù)人員的信息安全保障隊(duì)伍。40標(biāo)準(zhǔn)規(guī)范和法律

2002年，我國在國家標(biāo)準(zhǔn)化總局下設(shè)了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，該委員會(huì)下設(shè)十個(gè)標(biāo)準(zhǔn)化工作組，已經(jīng)或正在制定的信息安全標(biāo)準(zhǔn)多達(dá)100多項(xiàng)，參照ISO17799國際標(biāo)準(zhǔn)，我國已將保障信息系統(tǒng)及其服務(wù)所要具有的“新老三性”寫入即將出臺(tái)的國家信息安全管理標(biāo)準(zhǔn)，其中，老三性包括信息的保密性、完整性和可用性，而新三性則是指信息的真實(shí)性、可核查性和可靠性。法規(guī)則有《電子簽名法》、《保密法》、《國家信息安全法》等。41技術(shù)保障信息安全的技術(shù)保障是信息安全保障體系的重要環(huán)節(jié)，所以要實(shí)現(xiàn)信息安全技術(shù)的保障就要做到以下幾點(diǎn)：一是要通過技術(shù)創(chuàng)新在關(guān)鍵核心技術(shù)領(lǐng)域生產(chǎn)出擁有自主版權(quán)的產(chǎn)品；二是要做到信息安全關(guān)鍵技術(shù)可控；三是要強(qiáng)調(diào)建立基礎(chǔ)性技術(shù)體系；四是要重視系統(tǒng)的物理安全技術(shù)的研究；五是要關(guān)注具有前瞻性的高新技術(shù)的發(fā)展。42產(chǎn)業(yè)支撐環(huán)境建立信息安全保障體系，一定要明確這樣一個(gè)要求：我國的信息化及其他安全體系必須搭建在我國自主知識(shí)產(chǎn)權(quán)產(chǎn)品的基礎(chǔ)之上，強(qiáng)大的產(chǎn)業(yè)支撐是安全的根本保障。經(jīng)過多年發(fā)展，我國生產(chǎn)銷售信息安全產(chǎn)品的公司已有上千家，但企業(yè)競爭力不強(qiáng)，整體實(shí)力較弱弱，產(chǎn)業(yè)鏈上下不配套，龍頭產(chǎn)業(yè)還末形成。因此，如何發(fā)展壯大信息安全產(chǎn)業(yè)是非常重要的任務(wù)。43信息安全六類基礎(chǔ)設(shè)施（1）數(shù)字證書的認(rèn)證體系（2）信息安全產(chǎn)品和系統(tǒng)評(píng)測(cè)體系（3）信息安全的應(yīng)急支援體系（4）信息系統(tǒng)的災(zāi)難恢復(fù)（5）病毒防治體系（6）網(wǎng)絡(luò)監(jiān)控和預(yù)警系統(tǒng)44人才教育和培養(yǎng)保障信息安全，人才是關(guān)鍵，當(dāng)今世界信息安全對(duì)抗需要大批具備高技術(shù)的復(fù)合型人才，要培養(yǎng)這方面的人才，盡快在高校中信息安全學(xué)科列為國家的重點(diǎn)學(xué)科，進(jìn)一步加強(qiáng)普及在崗培訓(xùn)和各種安全資質(zhì)認(rèn)證教育，使社會(huì)上掌握信息安全知識(shí)的人越來越多，形成保障網(wǎng)絡(luò)信息安全的千軍萬馬，另外，還要重視對(duì)相關(guān)人員的普法教育和自律教育，規(guī)范他們的行為。451.7電子商務(wù)安全舉措1.7.2加強(qiáng)網(wǎng)絡(luò)安全的十條建議1.安裝操作系統(tǒng)和服務(wù)器所有的補(bǔ)丁程序。2.為網(wǎng)絡(luò)設(shè)備升級(jí)。3.如果是通過網(wǎng)絡(luò)服務(wù)商提供接入服務(wù)的，應(yīng)當(dāng)與網(wǎng)絡(luò)服務(wù)商保持聯(lián)系，不要讓自己無意中卷入了拒絕服務(wù)攻擊，時(shí)刻保證自己的設(shè)備安全無憂。4.通過使用防火墻等方式，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)則，對(duì)進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行嚴(yán)格限定。5.將網(wǎng)絡(luò)的TCP超時(shí)限制縮短至15分鐘（900秒），以減少黑客進(jìn)攻的窗口機(jī)會(huì)。6.擴(kuò)大連接表，增加黑客填充整個(gè)連接表的難度。7.時(shí)刻監(jiān)測(cè)系統(tǒng)的日志文件和網(wǎng)絡(luò)信息流向，以便及時(shí)發(fā)現(xiàn)任何異常之處。8.經(jīng)常對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行掃描，以發(fā)現(xiàn)任何安全隱患，如軟件漏洞等。9.盡量減少暴露在互聯(lián)網(wǎng)上的系統(tǒng)和服務(wù)的數(shù)量。10.路由器要安裝必要的過濾規(guī)則。46本章小結(jié)本章概述了電子商務(wù)安全的現(xiàn)狀和趨勢(shì)，提出了進(jìn)行電子商務(wù)安全技術(shù)研究的現(xiàn)實(shí)意義。電子商務(wù)安全主要核心是交易安全其次網(wǎng)絡(luò)安全信息安全。電子商務(wù)整個(gè)運(yùn)作過程中，會(huì)面臨各種安全問題。典型的安全問題包括：安全漏洞、病毒感染、黑客攻擊、網(wǎng)絡(luò)仿冒以及其他方面的各種不可預(yù)測(cè)的風(fēng)險(xiǎn)。從計(jì)算機(jī)信息系統(tǒng)的角度看，電子商務(wù)系統(tǒng)的安全是由系統(tǒng)實(shí)體安全、系統(tǒng)運(yùn)行安全和系統(tǒng)信息安全3個(gè)部分來組成的。只有提供了保密性、完整性、認(rèn)證性、可控性、不可否認(rèn)性5方面安全性，才滿足電子商務(wù)安全的基本需求。信息安全的發(fā)展及目前社會(huì)中十大關(guān)系。電子商務(wù)的安全發(fā)展必須依靠法律的保障。世界范圍內(nèi)已陸續(xù)有多個(gè)國家承認(rèn)電子合同、電子簽名、電子商務(wù)憑證等的法