电子商务第七版5课件.ppt

1、Copyright 2011 Pearson Education,Ltd.肯尼思肯尼思.劳东劳东卡罗尔卡罗尔.圭尔乔圭尔乔.特拉弗特拉弗商务商务.技术技术.社会社会第七版第七版E-commerce:business.technology.society.Copyright 2011 Pearson Education,Ltd.Copyright 2011 Pearson Education,Ltd.Copyright 2010 Pearson Education,Inc.Slide 5-2第四章第四章网络安全与支付系统网络安全与支付系统Copyright 2011 Pearson Educat

2、ion,ltd.Copyright 2011 Pearson Education,Ltd.网络战网络战:虚拟世界中的虚拟世界中的 2.0课堂讨论课堂讨论n黑客攻击和网络战之间的区别是什么？n在过去的十年中，为什么网络战越来越具有潜在的毁灭性？n全球有多少比例的电脑会被隐形恶意软件程序入侵?n政治方案能够有效解决MAD 2.0吗？Slide 5-3Copyright 2011 Pearson Education,Ltd.电子商务安全环境电子商务安全环境n网络犯罪的涉及的领域和造成的损失还难以估计v问题报告n2009 计算机安全协会的年度调查显示:49%的被调查组织发生过计算机安全事件v愿意公布的

3、公司中,平均每年损失$288,000n地下经济市场:v通过“地下经济服务者”将信息卖给他人Slide 5-4Copyright 2011 Pearson Education,Ltd.网络犯罪类型网络犯罪类型Slide 5-5Copyright 2011 Pearson Education,Ltd.什么是良好的电子商务安全什么是良好的电子商务安全?n尽可能实现最高级别的安全v新技术的应用v组织程序和策略v行业标准和政府法令n其他因素v货币的时间价值v安全成本vs.潜在损失v安全链断裂的地方往往在最薄弱的环节Slide 5-6Copyright 2011 Pearson Education,Ltd

4、.电子商务安全环境电子商务安全环境Figure 4.2Slide 5-7Copyright 2011 Pearson Education,Ltd.Table 4.2Slide 5-8Copyright 2011 Pearson Education,Ltd.在安全及其他价值间的取向在安全及其他价值间的取向n便于使用:v安全措施越多，就越难使用，而且速度也慢n公共安全与犯罪分子对安全的利用v犯罪分子利用技术犯罪或威胁公共安全Slide 5-9Copyright 2011 Pearson Education,Ltd.电子商务环境中的安全威胁电子商务环境中的安全威胁n三个关键的薄弱点:1.互联网通信信

5、道2.服务器端3.客户端Slide 5-10Copyright 2011 Pearson Education,Ltd.典型的电子商务交易典型的电子商务交易Figure 4.3Slide 5-11Copyright 2011 Pearson Education,Ltd.电子商务环境中的薄弱环节电子商务环境中的薄弱环节Figure 4.4Slide 5-12Copyright 2011 Pearson Education,Ltd.电子商务环境中的安全威胁电子商务环境中的安全威胁n恶意代码(malicious code)v病毒 virus v蠕虫 wormv特洛伊木马 Trojan horsev机器

6、人程序 botn不必要程序v浏览器寄生虫 browser parasitesv广告软件 ad softwarev间谍软件 spywareSlide 5-13Copyright 2011 Pearson Education,Ltd.常见的安全威胁常见的安全威胁(cont.)n网络钓鱼v第三方以任意欺骗性的网络行为获得用户的保密信息v社会工程技术,电子邮件诈骗,伪装成合法软件v点击链接后，就会进入诈骗者控制的网站，诱使受骗人泄露账号密码等个人信息n黑客行为与网络破坏行为v黑客vs.骇客v网络破坏行为:故意破坏网站,使企业名誉受损,甚至摧毁整个站点v黑客类型:白帽黑客,黑帽黑客,灰帽黑客lSlide

7、 5-14Copyright 2011 Pearson Education,Ltd.常见的安全威胁常见的安全威胁(cont.)n信用卡诈骗v黑客攻击目标商户服务器，盗刷信用卡进行诈骗n电子欺骗n网址嫁接n垃圾网站n拒绝服务攻击v黑客向网站大量发送无用的通信来淹没网络并使网络瘫痪v分布式拒绝服务攻击Slide 5-15Copyright 2011 Pearson Education,Ltd.常见的安全威胁常见的安全威胁(cont.)n网络窃听v一种可以监视通过网络传递的信息的窃听程序n内部攻击v最大的财务威胁n设计不当的服务器和客户端软件n移动平台的安全v和任何互联网所面临的风险一样v恶意软件,

8、僵尸网络,短信诈骗Slide 5-16Copyright 2011 Pearson Education,Ltd.技术解决方案技术解决方案n保护互联网的通信(加密)n保证信息传送渠道(SSL,S-HTTP,VPNs)n保护网络工作(防火墙)n保护服务机和客户机 Slide 5-17Copyright 2011 Pearson Education,Ltd.实现网络安全的可用工具实现网络安全的可用工具Figure 4.7Slide 5-18Copyright 2011 Pearson Education,Ltd.加密（加密（Encryption）n加密v将明文转化成除发送方和接收方以外任何人都无法读

9、取的密文的过程v保证存储信息和传送信息的安全v加密可以为电子商务6个关键方面提供4个方面的保障:1.信息完整性2.不可否认性3.真实性4.机密性Slide 5-19Copyright 2011 Pearson Education,Ltd.对称秘钥加密（对称秘钥加密（Symmetric key Encryption）n发送方和接收方使用同一把密钥来加密和解密信息n每次信息传输都有不同的密钥n 加密系统的安全保护强度v用二进制密钥的长度来加密信息n高级解密标准(AES)v最广泛的对称加密算法v提供128位,192位,and 256位的加密密钥n其他对称加密系统会使用高达2048位的密钥Slide

10、5-20Copyright 2011 Pearson Education,Ltd.公钥加密（公钥加密（Public Key Encryption）n两个算术上相关的数字密钥v公开密钥(广泛发布)v私有密钥(拥有者保存)n两种密钥都可以用来加密和解密信息n一旦某个密钥被用来加密信息，就不能再用它解密信息n发送方用接收方的公钥来加密信息，接收方用他的私钥来解密Slide 5-21Copyright 2011 Pearson Education,Ltd.公钥加密体系公钥加密体系 一个简单的例子一个简单的例子Figure 4.8Slide 5-22Copyright 2011 Pearson Educ

11、ation,Ltd.使用数字签名和散列摘要的公钥加密使用数字签名和散列摘要的公钥加密n散列函数（Hash Function）:v一种可以产生一个称为散列或者信息摘要的固定长度数字的算法n确保发送到接受者的信息在传输过程中没有被篡改n发送方用接收方的公钥对散列结果和原始信息加密n发送方用自己的私钥将整个密文块在加密一次 创建数字签名 保证真实性和不可否认性Slide 5-23Copyright 2011 Pearson Education,Ltd.具有数字签名的公钥加密体系具有数字签名的公钥加密体系Figure 4.9Slide 5-24Copyright 2011 Pearson Educat

12、ion,Ltd.数字信封数字信封n加密系统的缺点:v公钥加密n计算速度很慢,传输速度显著减慢,处理时间的显著增加v对称密钥加密n传输线难以保证n用对称密钥加密来加密大型文件 n用公钥加密方法来加密和传送这把对称密钥Slide 5-25Copyright 2011 Pearson Education,Ltd.公钥加密体系：建立数字信封公钥加密体系：建立数字信封Figure 4.10Slide 5-26Copyright 2011 Pearson Education,Ltd.数字证书和公开密钥基础设施数字证书和公开密钥基础设施n数字证书包括:v主题或公司的名称v主题的公钥v数字证书的额序列号v截止

13、日期、发放日期v认证中心得数字签名n公开密钥基础设施(PKI):v认证中心和数字证书规程v良好隐私（PGP）Slide 5-27Copyright 2011 Pearson Education,Ltd.数字证书和认证中心数字证书和认证中心Figure 4.11Slide 5-28Copyright 2011 Pearson Education,Ltd.加密解决方案的局限性加密解决方案的局限性n大部分电子商务网站并没有用加密的形式来存储消费者的隐私vPKI 无法保护内部人员及能访问企业系统的人的信息n个人私钥保护也可能会丢失n无法保证商家用来做验证的电脑是安全的nCA可能不是其认证的企业或者个人

14、所认定的权威机构Slide 5-29Copyright 2011 Pearson Education,Ltd.社会透视社会透视“网络狗网络狗”和匿名性和匿名性课堂讨论课堂讨论n互联网无期限的匿名性有哪些好处？n身份认证系统的缺点是什么？n身份认证系统除了安全还有其他优点吗？n身份认证系统应该由谁进行管理?Slide 5-30Copyright 2011 Pearson Education,Ltd.通信信道的安全通信信道的安全n安全套接层(SSL):v一种客户机/服务器之间的对话，其中所请求文档的URL，以及所交换的内容、表单的内容和cookies都进行了加密n安全超文本传输协议:v一种安全的以

15、信息为导向的通信协议，与HTTP联合使用n虚拟专用网(VPN):v一种使得某个本地网络可以利用互联网作为管道来和另一个网络连接的加密机制(PPTP)Slide 5-31Copyright 2011 Pearson Education,Ltd.利用利用SSL进行安全协商会话进行安全协商会话Figure 4.12Slide 5-32Copyright 2011 Pearson Education,Ltd.网络保护网络保护n防火墙（Firewall）：v硬件和软件v用安全政策来过滤通信数据包v两种主要方式:1.包过滤2.应用网关n代理服务器(proxies)v一种对于来自互联网或发送到互联网上的通信

16、信息进行处理的软件服务器Slide 5-33Copyright 2011 Pearson Education,Ltd.防火墙和代理服务器防火墙和代理服务器Figure 4.13Slide 5-34Copyright 2011 Pearson Education,Ltd.保护服务器和客户机保护服务器和客户机n提升操作系统安全v升级,修补n防病毒软件:v抵御系统完整性侵害最容易也最便宜的方法v需要每日更新Slide 5-35Copyright 2011 Pearson Education,Ltd.安全计划：管理政策安全计划：管理政策n进行风险评估n制定安全策略n制定实施计划v安全机构v访问控制v验

17、证机制,生物特征识别v授权策略,授权管理系统n进行安全审计Slide 5-36Copyright 2011 Pearson Education,Ltd.管理政策、企业流程和法律管理政策、企业流程和法律n美国政府和企业花费12%的信息技术预算用于硬件、软件和服务器安全，在2009年共计为1200亿美元n风险管理包括v科技v有效管理策略v法律和公共政策Slide 5-37Copyright 2011 Pearson Education,Ltd.制定电子商务安全计划制定电子商务安全计划Slide 5-38Figure 4.14Copyright 2011 Pearson Education,Ltd.

18、技术透视技术透视你的智能手机安全吗你的智能手机安全吗?课堂讨论课堂讨论n智能手机主要面临哪种威胁?n这种类型的设备有哪些特定的缺点吗？nNicolas Seriots的Spyphone说明了什么?n与传统个人电脑软件程序相比，app受到的威胁是更大还是更小？Slide 5-39Copyright 2011 Pearson Education,Ltd.法律及公共政策的作用法律及公共政策的作用n新的法律为地方和国家权力机构识别、跟踪并起诉网络犯罪分子提供了新的工具和机制:v国际信息基础设施保护法v美国爱国者法案v国土安全法n私人机构和公司合作做出的努力v美国计算机应急反应小组协调中心v美国计算机应

19、急反应小组（US-CERT）n政府对于加密软件的政策和控制nOECD 条约Slide 5-40Copyright 2011 Pearson Education,Ltd.支付系统类型支付系统类型n现金v从交易数量角度来说是最常见的支付形式v不需要任何机构作为中介就可以立即转化为其他价值形式n支票转账v从交易数量角度来说是第二种常见的支付形式n信用卡v信用卡组织v发卡银行v处理中心Slide 5-41Copyright 2011 Pearson Education,Ltd.支付系统类型支付系统类型n储值卡v通过存入资金建立的账户，所需资金也从此账户中提取或支付，例如借记卡、礼券以及智能卡v对等网络

20、支付系统n余额累计v可以累积支出费用让消费者定期付款的账户ve.g.公共事业费、电话费以及美国运通卡账户Slide 5-42Copyright 2011 Pearson Education,Ltd.Table 4.6Slide 5-43Copyright 2011 Pearson Education,Ltd.电子商务支付系统电子商务支付系统n信用卡v占美国网络交易的55%n借记卡v占美国网络交易的28%n网上信用卡支付的局限性v安全v成本v社会公平Slide 5-44Copyright 2011 Pearson Education,Ltd.网上信用卡交易的工作原理网上信用卡交易的工作原理Fig

21、ure 4.16Slide 5-45Copyright 2011 Pearson Education,Ltd.电子商务支付系统电子商务支付系统n数字钱包v模拟人们带在身边的钱包功能，存储和转移价值，并确保从消费者到商家支付过程的安全v早期努力推广失败v最新开发：Google Checkout v数字现金v在银行存入资金，并发行数字货币v大多数早期的数字现金已经消失，协议和时间太复杂Slide 5-46Copyright 2011 Pearson Education,Ltd.电子商务支付系统电子商务支付系统n在线储值支付系统v消费者可以利用存在网上账户的资金即时的向商家或其他个人进行网上支付vP

22、ayPal,智能卡，Alipay（支付宝），微信支付。n数字化余额累计支付系统v累计借方余额，给出月末账单 n数字支票支付系统:v扩展现有支票帐户的功能Slide 5-47Copyright 2011 Pearson Education,Ltd.移动支付系统移动支付系统n欧洲、日本和韩国已经将移动设备当做支付设备n日本移动支付系统v电子货币v移动借记卡v移动信用卡n美国的手机移动支付系统仍未普及v大部分购买都是应用于手机的数字内容Slide 5-48Copyright 2011 Pearson Education,Ltd.商务透视商务透视移动支付的未来：移动支付的未来：“刷机支付刷机支付”和短信支付和短信支付小组讨论小组讨论n什么技术使得移动支付比过去更为可行？n想象并描述一下有助于开发移动支付系统的新实验nPayPal 是如何回应的?n为什么移动支付系统没有增长更快？哪些因素会刺激他们成长？Slide 5-49Copyright 2011 Pearson Education,Ltd.电子账单的展示与支付电子账单的展示与支付n每月账单在线支付系统n 2010年，使用网上账单系统的家庭约为5200万户，占总数的65%，并持续增长nEBPP两种业务模式:v直接付款(Biller-direct)v合并付款nEBPP 软件供应商都支持两种模型Slide 5-50