第八章 電子商務(wù)安全與實(shí)現(xiàn)矛盾：資源共享與信息安全I(xiàn)nternet 是自由開放的媒體，從信息安全的角度看，這恰恰是它的弊端。正是由于這種開放性，使Internet 產(chǎn)生了嚴(yán)重的安全問題。電子商務(wù)通過網(wǎng)

第八章 電子商務(wù)安全與實(shí)現(xiàn)

矛盾：資源共享與信息安全

Internet 是自由開放的媒體，從信息安全的角度看，這恰恰是它的弊端。正是由于這種開放性，使Internet 產(chǎn)生了嚴(yán)重的安全問題。

電子商務(wù)通過網(wǎng)絡(luò)的信息交換實(shí)現(xiàn)，因此凡涉及到計(jì)算機(jī)網(wǎng)絡(luò)的安全問題無疑對于電子商務(wù)都有著重要的意義。

電子商務(wù)的安全有其自身的特點(diǎn)。

一、電子商務(wù)面臨的安全威脅

IT 系統(tǒng)存在物理安全（Physical security）和邏輯安全（Logical security ）隱患。表現(xiàn)在：

⑴ 開放性。到現(xiàn)在為止，Internet 還沒有一個(gè)主

控機(jī)構(gòu)，上網(wǎng)者的安全只能靠自己。

Cookie 、Java 、ActiveX 控件、瀏覽器插件等使客戶機(jī)面臨安全隱患；

黑客的攻擊使服務(wù)器的安全受到威脅。

⑵ 傳輸協(xié)議。TCP/IP協(xié)議沒有采取任何保護(hù)

傳輸內(nèi)容不被竊取。

1．來自技術(shù)方面的風(fēng)險(xiǎn)

ActiveX 控件

定義：是一個(gè)對象（控件），由頁面設(shè)計(jì)者放在頁里來執(zhí)行特定任務(wù)的程序?？捎啥喾N語言開發(fā)，但只能在 Windows 系統(tǒng)上運(yùn)行。

示例：日歷控件及各種游戲

安全威脅：一旦下載，可訪問客戶機(jī)的所有資源。

對服務(wù)器的安全威脅：通過CGI （公共網(wǎng)關(guān)接口）進(jìn)入服務(wù)器，實(shí)現(xiàn)對敏感區(qū)域，如數(shù)據(jù)庫、高權(quán)限文件存放區(qū)、郵件服務(wù)器（Mail bomb）、域名服務(wù)器的攻擊，包括：拒絕服務(wù)威脅DoS （Denial-of-service attacks ）（充斥性）攻擊造成緩存溢出（Buffer overflow）、延遲（Delay ）拒絕（Denial ）、故意破壞（vandalism ）和信息竊?。╥nformation theft）。

⑶ 操作系統(tǒng)。源代碼開放的UNIX （Internet 底層的OS ）很容易被發(fā)現(xiàn)漏洞，帶來安全問題。

⑷ 電子信息的弱點(diǎn)。電子信息很難鑒別其是否正確與完整，通過Internet 傳遞很難確認(rèn)信息發(fā)出者的身份，信息是否被正確無誤地傳遞給接收方，是否未被第三方截獲。

⑸ 技術(shù)本身的缺陷。IT 的發(fā)展，使病毒防范、加密、防火墻等技術(shù)始終存在被新技術(shù)攻擊的可能性。

1．來自技術(shù)方面的風(fēng)險(xiǎn)（續(xù)）

計(jì)算機(jī)網(wǎng)絡(luò)的潛在安全隱患

未進(jìn)行操作系統(tǒng)相關(guān)安全配置 不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門” 是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。

未進(jìn)行CGI 程序代碼審計(jì) 如果是通用的CGI 問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI 程序，很多存在嚴(yán)重的CGI 問題，對于電子商務(wù)站點(diǎn)來說，會出現(xiàn)惡意攻擊者冒用他人賬號進(jìn)行網(wǎng)上購物等嚴(yán)重后果。

拒絕服務(wù)（DoS ，Denial of Service）攻擊

隨著電子商務(wù)的興起，對網(wǎng)站的實(shí)時(shí)性要求越來越高，DoS 或DDoS 對網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風(fēng)險(xiǎn)卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點(diǎn)。

1

安全產(chǎn)品使用不當(dāng)

雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問題。

缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度 網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

2. 來自社會方面的風(fēng)險(xiǎn)

⑴ 商業(yè)信用。來自買賣雙方的信用風(fēng)險(xiǎn)。

⑵ 社會信用?；ヂ?lián)網(wǎng)的特性和法律的空白影響了網(wǎng)絡(luò)環(huán)境下的市場誠信行為。

Boo.com 、Toysmart.com 和CraftShop.com 在創(chuàng)立之初都曾承諾永不泄露用戶的信息。但它們在倒閉時(shí)均出賣了包括用戶住址、聯(lián)系電話、信用卡號碼、消費(fèi)習(xí)慣等注冊用戶的資料。

Fashionmall.com 在收購Boo.com 的部分資產(chǎn)時(shí)提出：要獲得Boo.com 的35萬用戶資料。

2. 來自社會方面的風(fēng)險(xiǎn)（續(xù)）

⑶ 司法信用。保護(hù)電子商務(wù)活動的法律體系的不健全，使開展電子商務(wù)要承擔(dān)一定的法律風(fēng)險(xiǎn)。 網(wǎng)絡(luò)范圍的經(jīng)濟(jì)糾紛。

知識產(chǎn)權(quán)（域名搶注、域名變異、域名竊?。?/p>

“虛擬空間”的罪行，難發(fā)現(xiàn)、難捕捉、難取證、難定罪。成為一個(gè)新的且不確定的領(lǐng)域。

3. 來自管理方面的風(fēng)險(xiǎn)

“75的信息安全問題來自內(nèi)部”。

嚴(yán)格管理是降低網(wǎng)上交易風(fēng)險(xiǎn)的重要保證。

二、實(shí)現(xiàn)電子商務(wù)交易的安全策略

1. 保密性（Secrecy ）

確保敏感的商業(yè)信息不被泄露。

電子商務(wù)中商業(yè)機(jī)密的泄露：

⑴ 雙方的交易內(nèi)容被第三方竊取。

⑵ 交易一方提供給另一方使用的文件被第三方非法使用。

安全策略（Security policy）主要解決的問題：

2. 信息的完整性（Integrity ）

克服人為和非人為因素的影響，確保信息的

完整與正確。

3. 信息的不可修改性與不可否認(rèn)性

確保信息的不可修改性與不可否認(rèn)性，實(shí)現(xiàn)“不可抵賴”，消除交易雙方的疑慮。

4. 訪問控制（Access Control）

采取認(rèn)證方式對交易者身份、交易工具等進(jìn)行授權(quán)和真實(shí)性的識別與確認(rèn)，防止未授權(quán)信息、資源被暴露、破壞和篡改。

5. 信息系統(tǒng)的可靠性（Reliability ）

⑴ 信息傳輸?shù)目煽啃?/p>

⑵ 信息存儲的可靠性

⑶ 抗干擾能力

三、電子商務(wù)安全的技術(shù)實(shí)現(xiàn)

（一）物理隔離

2

（二）虛擬專用網(wǎng)

（三）防火墻

（四）加密

（五）認(rèn)證

涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。

國家保密局《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》

第二章 保密制度 第六條

（一）網(wǎng)絡(luò)的物理隔離

不存在網(wǎng)絡(luò)間的物理連接，也就不存在來自網(wǎng)絡(luò)的安全威脅。

實(shí)現(xiàn)物理隔離的基本措施：

⑴ 在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷

⑵ 在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)

⑶ 在物理存儲上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境

（二） 虛擬專用網(wǎng)（VPN ）技術(shù)

1. VPN （V irtual Private Network）

采用隧道技術(shù)在公用網(wǎng)絡(luò)上建立的點(diǎn)到點(diǎn)的連接，提供數(shù)據(jù)分組通過網(wǎng)絡(luò)的專用隧道；

隧道技術(shù)——將原始數(shù)據(jù)加密封裝后放在另一種協(xié)議（PPTP 、L2F 、L2TP ）的數(shù)據(jù)包中在公網(wǎng)中傳輸。

2. 基本功能

加密數(shù)據(jù)。保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄密；

數(shù)據(jù)驗(yàn)證和身份認(rèn)證。保證信息的完整性，并能鑒別用戶的身份；

提供訪問控制。不同用戶有不同的訪問權(quán)限和安全等級。

虛擬專網(wǎng)（VPN-Virtual Private Network ）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN 網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(如Internet, ATM, Frame Relay等) 之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。

（三）防火墻技術(shù)（Firewall ）

防火墻——在需保護(hù)的網(wǎng)絡(luò)與可能帶來安全威脅的互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間建立的一層保護(hù)。

1．特性

一種過濾設(shè)備（隔離技術(shù)），允許特定的信息流入或流出被保護(hù)的網(wǎng)絡(luò)。

⑴ 雙向流通的信息必須經(jīng)過它；

⑵ 只有被本地安全策略授權(quán)的信息流才允許通過；

⑶ 該系統(tǒng)本身具有很高的抗攻擊能力。

防火墻是在本地網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，是一個(gè)或一組網(wǎng)絡(luò)設(shè)備，保護(hù)內(nèi)部網(wǎng)不受外部非法用戶的侵害。

防火墻實(shí)際上是一種隔離技術(shù)。在內(nèi)部網(wǎng)與外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層，并強(qiáng)制所有的連接都必須經(jīng)過此保護(hù)層，在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵。

防火墻技術(shù)作為實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的最有效的工具之一，在Internet 上被廣泛地應(yīng)用。 ⑴ 保護(hù)那些易受攻擊的服務(wù)

⑵ 控制對特殊服務(wù)器的訪問

一些能被外部網(wǎng)絡(luò)訪問主機(jī)（Mail 、FTP 、Web 服務(wù)器）要有權(quán)限控制，而有些（數(shù)據(jù)庫服務(wù)器）要 3

禁止訪問。

⑶ 集中化的安全管理

⑷ 對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計(jì)（審計(jì)）

2. 功能

從安全性角度考慮，第一種模型更可取一些。因?yàn)槿藗円话愫茈y找出網(wǎng)絡(luò)所有的漏洞，從而也就很難排除所有的非法服務(wù)。而從使用的方便性角度考慮，第二種模型更合適。

3. 防火墻技術(shù)的優(yōu)點(diǎn)

a 、保護(hù)那些易受攻擊的服務(wù)。防火墻能過濾那些不安全的服務(wù)（如NFS 等）。只有預(yù)先被允許的服務(wù)才能通過防火墻，b 、控制對特殊站點(diǎn)的訪問。如有些主機(jī)能被外部網(wǎng)絡(luò)訪問（Mail 、FTP 、WWW 服務(wù)器），而有些則要被保護(hù)起來。

c 、集中化的安全管理。使用防火墻比不使用防火墻可能更加經(jīng)濟(jì)一些。這是因?yàn)槿绻褂昧朔阑饓?，就可以將所有修改過的軟件和附加的安全軟件都放在防火墻上集中管理；而不使用防火墻，就必須將所有軟件分散到各個(gè)主機(jī)上。

d 、對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計(jì)。如果所有對Internet 的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。

3. 防火墻的主要類型

⑴ 包過濾型防火墻（Packet Filter）

檢查的范圍涉及可信網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)（源、目標(biāo)地址、端口、傳輸協(xié)議等），并設(shè)定規(guī)則。

路由器

報(bào)文包

報(bào)文包

報(bào)文包

報(bào)文包

⑵ 應(yīng)用級型防火墻（Proxy Service）

4

能夠檢查進(jìn)出的數(shù)據(jù)包，透視應(yīng)用層協(xié)議，與既定的安全策略進(jìn)行比較。有應(yīng)用網(wǎng)關(guān)型和代理服務(wù)型兩種。

網(wǎng)關(guān)服務(wù)器：根據(jù)所請求的應(yīng)用對訪問信息進(jìn)行過濾的防火墻。

代理服務(wù)器：代表某個(gè)專用網(wǎng)絡(luò)與Internet 進(jìn)行通訊的防火墻。

防火墻

代理服務(wù)器

外部網(wǎng)

內(nèi)部網(wǎng)

防火墻

服務(wù)器

外部網(wǎng)

內(nèi)部網(wǎng)

4. 防火墻的缺陷

5

一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。

不能防范繞過防火墻的攻擊。

用戶

Modem

電話線

1．信息加密的概念

采用數(shù)學(xué)方法對原始信息（明文）進(jìn)行再組織，使加密后在公開信道中傳輸?shù)膬?nèi)容（密文）對于非法接收者來說成為無意義的字符；而合法的接收者，因掌握正確的密鑰，可通過解密過程得到原始數(shù)據(jù)。

（四）加密技術(shù)

信息（明文/密文）

密鑰（加密密鑰/解密密鑰）

算法（加密算法/解密算法）

A B C D E F ..........U V W X Y Z

4

A B C D E F .........U V W X Y Z A B C D

HOW ARE YOU

明文

密文

算法

密鑰

LSA EVI FSB

（四）加密技術(shù)（續(xù)）

密鑰（key ）

密鑰是一組數(shù)字，它與加密算法一起生成特別的密文。密鑰是一個(gè)非常大的數(shù)，密鑰的尺寸用位（bit ）來衡量，尺寸越大，密文越安全。

Win98系統(tǒng)支持40位密鑰，WinXP/2000系統(tǒng)支持128位密鑰。

加密程序：明文→密文；

6

解密程序：密文→明文

加/解密算法：加/解密程序的運(yùn)算規(guī)則。

按加/解密密鑰是否相同，密碼體制分三種：

散列編碼

對稱（私鑰或單鑰）密碼體制

非對稱（公鑰）密碼體制

2. 加密技術(shù)與應(yīng)用

⑴ 散列編碼（Hash algorithm）及其應(yīng)用

原理：用散列算法（Hash 函數(shù)）求出某個(gè)消息的散列值（消息摘要）的過程。

用途：判斷傳輸?shù)男畔⑹欠窀淖儭?/p>

特點(diǎn)：所生成的消息摘要無法還原成原始信息，其算法和信息都是公開的，極少發(fā)生散列沖突。 散列編碼的應(yīng)用——消息摘要（message digest）

利用安全散列編碼（Hash 函數(shù)）（Secure Hash Algorithm）將傳送的信息“摘要”成一串128～1024bit 的密文（數(shù)字指紋 Finger Print）。

◆ 目 的： 驗(yàn)證所傳送信息的完整性

◆ 特 點(diǎn)：

“一致”性 —— 同樣的信息其“摘要”必定一致。

“單向”性 —— “摘要”只能被加密，不能被解密。

◆ 工作原理：

7

⑴ 散列編碼及其應(yīng)用（續(xù)）

⑵ 對稱加密（Private-key encryption）及應(yīng)用

原理：使用同一密鑰對信息進(jìn)行加密和解密（從其中一個(gè)很容易地推出另一個(gè)）。

用途：對傳輸?shù)男畔⒓用堋?/p>

優(yōu)點(diǎn)：加解密速度快

缺點(diǎn)：密鑰管理難度大，難以滿足開放式網(wǎng)絡(luò)信息傳遞的要求。

⑶ 非對稱加密（Public-key encryption）及應(yīng)用

原理：加密和解密分離，各用一個(gè)密鑰：

公鑰（Public Key） 對外公開;

私鑰（Private Key）秘密保管。

用途：可實(shí)現(xiàn)對所傳送信息的加密，或?qū)Πl(fā)送信息者身份的確認(rèn)（認(rèn)證）。

優(yōu)點(diǎn)：密鑰管理能適應(yīng)開放式網(wǎng)絡(luò)的需求，可實(shí)現(xiàn)數(shù)字簽名

缺點(diǎn)：加、解密算法復(fù)雜，速度慢。

非對稱加密體系的兩種應(yīng)用模式：

⑷ 加密技術(shù)的應(yīng)用——數(shù)字簽名（digital signature）

原 理：散列編碼和非對稱加密技術(shù)的綜合應(yīng)用。

目 的：解決所傳送信息的完整性與不可否認(rèn)性。

證明數(shù)據(jù)來源

接收者能核實(shí)發(fā)送者對報(bào)文的簽名，但只能證明具有此私鑰的用戶發(fā)來的數(shù)據(jù)，不能證明私鑰擁有者 8

的合法性。

數(shù)據(jù)是否被篡改

接收者不能偽造對報(bào)文的簽名

數(shù)據(jù)發(fā)出者無法否認(rèn)發(fā)送過數(shù)據(jù)

數(shù)字簽名、數(shù)字時(shí)間戳

《中華人民共和國電子簽名法》

2004年8月28日

第十屆全國人民代表大會

常務(wù)委員會第11次會議通過

原 理：散列編碼和非對稱加密技術(shù)的綜合使用。

DTS 是一個(gè)經(jīng)加密后形成的憑證文檔，由三部分組成：

需加時(shí)間戳的文件的摘要；

DTS收到文件的日期和時(shí)間；

DTS的數(shù)字簽名。

目 的：提供所傳送信息的時(shí)間信息。

Internet 上有專門提供對電子文件發(fā)布時(shí)間安全保護(hù)的機(jī)構(gòu)提供DTS 服務(wù)。⑸加密技術(shù)應(yīng)用—數(shù)字時(shí)間戳DTS (digital time-stamp)

9

3. 加密技術(shù)的應(yīng)用風(fēng)險(xiǎn)

兼容性問題：加密標(biāo)準(zhǔn)太多。

技術(shù)受制于人：在美國屬國家控制的技術(shù)，出口受限。

美國計(jì)算機(jī)安全產(chǎn)品分級：

D ，C1，C2，B1，B2，B3，A1，超A1

密碼的安全性：網(wǎng)上所用密碼大多屬靜態(tài)密碼，容易被破譯。

（五）認(rèn)證技術(shù)

認(rèn)證的目的：

確認(rèn)信息發(fā)送者的身份；

確認(rèn)信息發(fā)送工具的真?zhèn)危?/p>

確認(rèn)信息的完整性，即確認(rèn)信息在傳送或存儲過程中未被竄改過。

1. 身份識別技術(shù)

電子商務(wù)活動，需采取一定措施確認(rèn)雙方身份。只有合法用戶才允許使用網(wǎng)絡(luò)資源，因此，網(wǎng)絡(luò)資源管理要求識別用戶的身份。

⑴ 口令方式

應(yīng)用最廣的方式之一。大多數(shù)系統(tǒng)都以“用戶名/口令”作為用戶身份識別模式。

口令選擇一般應(yīng)滿足以下幾個(gè)原則：

容易記憶；不易猜中；不易分析

例：工行“電子銀行口令卡”、中行動態(tài)密碼牌、建行“網(wǎng)銀盾”。

⑵ 標(biāo)記方式（token ）

標(biāo)記是一種個(gè)人持有物，作用類似于鑰匙，用于啟動電子設(shè)備。標(biāo)記上記錄著用于機(jī)器識別的個(gè)人信息。 常用的標(biāo)記物有磁介質(zhì)、智能卡。

常用的識別方法：

怎樣確保一對密鑰只屬于某一個(gè)人呢？

用數(shù)字證書驗(yàn)證使用系統(tǒng)者的身份(認(rèn)證) 。

需要一個(gè)權(quán)威機(jī)構(gòu)，頒發(fā)證書證明密鑰的有效性，并對密鑰進(jìn)行有效地管理，將公開密鑰同某一個(gè)實(shí)體（消費(fèi)者、商戶、銀行）聯(lián)系在一起。

10