《电子商务安全与支付》教案教材

I《电子商务安全与支付》教案（电子商务专业）任课教师：授课班级：10级电子商务总学时数：64周学时数：4上课周次：18II目录第一章电子商务安全导论……………………………………第二章电子商务安全管理……………………………………第三章信息安全技术…………………………………………第四章数字证书………………………………………………第五章公钥基础设施PKI……………………………………第六章Internet安全…………………………………………1第一章电子商务安全第一节电子商务面临安全问题第二节电子商务系统安全构成课时4学时教学方法讲授、启发式进程第1次课教学目的1．理解电子商务面临的安全问题2．掌握电子商务系统的安全需求重点电子商务系统的安全需求难点电子商务系统的安全需求实施步骤：一、组织教学、熟悉学生情况（5ˊ）二、课程简介、前期知识储备要求（10ˊ）三、进入本次课讲授内容（包括课堂练习）（80ˊ）四、小结巩固（重申教学目的、重点、难点）（5ˊ）讲授内容：第一章电子商务安全导论第一节电子商务面临的安全问题一、安全问题的提出引入当前的最新案例二、电子商务的安全问题1．信息的安全问题主要来自以下几个方面：（1）冒名偷窃：hacker为了获得一些商业机密资源和信息，通常采用源IP地址欺骗攻击。（2）篡改数据：攻击者未经授权进入EC系统，使用非法手段删除、修改、重发某些重要信息，破坏数据的完整性，损害他人利益。例：hacker在截获某些信息（如从银行转帐的信息）后，重复向银行服务器发出这条信息，这样将导致银行的经济遭受损失，实现自己的非法目的。（3）信息丢失：三种情况下可能丢失信息，一是由于线路问题造成信息丢失，如电源断电、通信线路断开等；二是安全措施不录导致丢失数据信息，如信息在传递过程中未加密，被hacker修改、删除了；三是不同的操作平台上转换操作从而丢失信息。教学提示：【课程介绍、课程地位、总体概论】【以日常上网遇到的安全问题及互联网上安全问题实例引入】2（4）信息传递出问题：信息在传递的过程中，可能由于线路质量较差，水灾、火灾等问题而出现问题，或者被hacker搭线窃听致使重要数据泄露。2．信用的安全问题（1）来自买方的信用安全问题消费者使用信用卡恶意透支或提交订单后不付款、提供虚假订单。（2）来自卖方的信用安全问题不能按质、按量、按时送寄消费者购买的货物，或者生成虚假的订单，将虚假的信息输入系统。（3）双方都存在抵赖的情况当交易一方发现交易行为对自己不利时，否认电子交易行为。例：某人以12元/股购买1000股后，行情发生变化，每股降到10元，于是该股民就有可能否认以前的购买行为。3．安全的管理问题交易过程中的管理、人员管理如：交易过程中，要监督买方按时付款、卖方按时提供符合合同要求的货物。在人员管理方面，主要是工作人员职业道德不高，或是离职人员在系统中没有及时清除。4．安全的法律保障问题主要涉及的法律有：CA中心的法律、保护个人隐私、个人秘密的法律、电子合同法、EC的消费者权益保护法、网络知识产权保护法用户hacker服务器①请示信息②截断请示③黑客以用户IP请示④响应请示⑤黑客以服务器IP响应IP欺骗：图1.1IP欺骗3第二节电子商务系统安全的构成一、EC的安全需求1．有效性、真实性即对信息、实体的有效性、真实性进行鉴别。2．机密性即能保证信息不被泄露给非授权的人/实体。3．数据的完整性即既要保证数据的一致性，又要防止数据被非法授权建立、修改和破坏。4．可靠性、不可否认性和可控性（1）可靠性：即能保证合法用户对信息和资源的使用不会被不正当地拒绝。（2）不可否认性：即能建立有效的责任机制，防止实体否认其行为。（3）可控性：即能控制使用资源的人/实体的使用方式。5．可审查性小结巩固一、电子商务安全问题的提出二、电子商务存在的安全问题三、电子商务的安全需求课堂练习重点概念：信息的安全、信用的安全、安全需求课后作业思考：举例说明什么是信息安全？参考资料教材1、2章等相关章节；“互联网”及期刊杂志的相关内容。4第一章电子商务安全第二节电子商务系统安全的构成课时4学时教学方法讲授、启发式进程第2次课教学目的1．掌握电子商务系统安全的构成；2．掌握电子商务系统安全的实体安全和信息安全，了解运行安全。重点掌握电子商务系统安全的构成、信息安全。难点信息安全实施步骤：一、组织教学、课前提问（5ˊ）二、教学引导（5ˊ）三、进入本次课讲授内容（包括课堂练习）（85ˊ）四、小结巩固（重申教学目的、重点、难点）（5ˊ）讲授内容：第二节电子商务系统安全的构成二、EC系统的安全构成1．实体安全（即物理安全）即保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。实体安全是EC安全的最基本保障，是整个安全系统不可缺少或忽视的组成部分。A．实体安全主要内容（1）环境安全：主要是对EC系统所在的环境实施安全保护。如区域保护和灾难保护。（2）设备安全：对EC系统的设备进行安全保护，主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。（3）媒体安全：包括媒体数据的安全和媒体本身的安全。媒体的安全：提供对媒体的安全保管。如防霉变。媒体数据的安全：指提供对媒体数据的保护，实施对媒体数据的安全删除和媒体的安全销毁。如防止媒体数据被非法拷贝。B．实体安全常见的不安全因素（1）自然灾害（比如地震、火灾、水灾等）、物理损坏（如硬盘损坏、设备使用寿命到期、外力破损等）、设备故障（如停电断电、电教学提示：5磁干扰等）。特点：突发性、自然性、非针对性破坏性：对EC信息的完整性和可用性威胁最大解决方法：采取各种防护措施、随时数据备份等。（2）电磁辐射（监听微机操作过程）、乘机而入（如合法用户进入安全进程之后半途离开）、痕迹泄露（如口令密钥等保管不善，被非法用户获得）等。特点：隐蔽性、人为实施的故意性、信息的无意泄露性破坏性：破坏EC信息的保密性解决方法：采取辐射防护、屏幕口令、隐藏销毁等手段。（3）操作失误（如偶然删除文件、格式化硬盘、线路拆毁等）、意外疏漏（如系统掉电、“死机”等）。特点：人为实施的无意性、非针对性破坏性：破坏EC信息的完整性和可用性解决方法：状态检测、报警确认、应急恢复等。电子商务系统安全实体安全运行安全信息安全环境安全设备安全媒体安全风险分析审计跟踪备份与恢复应急操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别图1.2EC系统安全结构图6C．防止信息在空间上扩散的措施（1）对机房及重要信息存储、收发部门进行屏蔽处理（2）对本地网、局域网传输线路传导辐射的抑制。（3）对终端设备辐射的防范。（4）一般采取的措施是：①订购设备上昼选取低辐射产品；②采取主动式的干扰设备，用干扰机来破坏对应信息的窃取。2．运行安全即为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。主要由四个部分组成：风险分析、审计跟踪、备份与恢复、应急措施。（1）风险分析对系统进行动态的分析、测试、跟踪并记录系统的运行，以发现系统运行期的安全漏洞；对系统进行静态分析，以发现系统潜在的威胁，并对系统的脆弱性做出分析报告。（2）审计跟踪即记录和跟踪系统各种状态的变化，保存、维护和管理审计日志。如记录对系统故意入侵的行为。（3）备份与恢复对系统设备和系统数据的备份和恢复。（4）应急措施在紧急事件或安全事故发生时，提供保障EC系统继续运行或紧急恢复所需要的策略。3．信息安全即指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，也就是要确保信息的完整性、保密性、可用性和可控性。主要由七部分组成：OS安全、DB安全、网络安全、病毒防护安全、访问控制安全、加密、鉴别（1）操作系统（OS）安全7即对EC系统的硬件和软件资源衽有效的控制，为能管理的资源提供相应的安全保护。包括2个部分：安全的OS，OS安全部件安全OS：指从系统设计，实现和使用等各个阶段都遵循的一套完整的安全策略的OS。根据“可信任计算机系统评估准则（TCSEC）”的要求，将计算机系统的安全性分为4个等级ABCD、8个级别。D级：最低的安全保护等级，如DOS。C级：是自主型保护，按安全的高低分为C1、C22个安全等级，如Linux居于C1级；UNIX；WindowsNT居于C2级。C1特点：用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和作息拥有什么样的访问权。如：让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其它用户以读的权力。C2特点：系统对发生的事件加以审计，并写入日志当中；如：用户在什么时候开机，哪个用户在什么时候从哪里登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以推测出可能有人想强行闯入系统，审计可以记录下Administrator执行的活动，审计加上身份验证，就可以知道谁在执行这些命令。B级：强制式保护，安全级别较高。如Unix、Security-enhancedLinux安全性达到B1级A级：可验证保护，最高级别。安全性高低级别：（由低到高的顺序）D→C1→C2→B1→B2→B3→A其它的安全评价标准：8操作系统安全部件，增强现有OS的安全性（2）数据库安全DB安全的涵义（包括两层）第一层：指系统运行安全第二层：系统作息安全（3）网络安全指网络系统的硬件、软件及其系统中的data受到保护，不受偶然的/恶意的原因而遭到破坏，更改泄漏，确保系统能够连续、可靠正常地运行，网络服务不中断如：①通过身份认证来登录过程进行保护，以防止hacker对网络资源的访问；②利用Firewall来保护企业的内部网络（4）计算机病毒防护①定义：（国外）：是一段附着在其它程序上的可以实现自我繁殖的程序代码。（国内）：指编制/插入计算机程序中的破坏计算机功能/毁坏数据影响计算机使用，并能自我复制的一组计算机指令/程序代码②计算机病毒防护：通过建立系统保护机制，来预防、检测和消除计算机病毒。③分为单机系统，网络系统的防护，都包括预防病毒侵入系统、检测已侵入系统的病毒、定位已侵入系统的病毒、防止系统中病毒的传染、清除系统中已发现的病毒的安全功能。（5）访问控制定义：对主体访问客体的权限/能力以及进入物理区域的限制（即出入控制）和对计算机存储数据过程的限制（即存取控制）。主体：计算机中凡是实施操作的作主体，如用户/进程等。客体：被操作的对象，如文件、设备、内存等。访问控制主要是阻止非授权用户进入。具体控制方法包括：物理通道的控制，如控制进入机房的人；门的控制：如双重门、陷阱门等；提供对口令字的管理和控制功能，如提供一个弱口令字库，禁止用户使用弱口令字，强制用户更换口令字等；防止入侵者对口令字的探测；9监测用户对某一分区或域的存取；提供系统中主体对客体访问权限的控制。（6）加密信息安全中的加密主要涉及数据的加密和密钥的管理。其安全功能包括：对数据的加密（如对文字、语音、图像图形等的加密）；密钥的管理（密钥的分发、更新、回收、归档、恢复、审计）。（7）鉴别身份鉴别：对信息的收发方（用户、设备、进程）真实身份的鉴别。主要用于阻止非授权用户对系统资源的访问。信息鉴别：即对信息的正确性、完整性、不可否认性的鉴别。主要功能是证实信息内容末被非法被修改或遗漏。第三节电子商务安全保障首先，信息技术方面的措施，如信息加密、Firewall、计算机病毒、身份认证、授权等。其次，信息安全管理制度的保障（如人员、设备日常维护，保密等）。第三、社会的法律政策、法律保障（如个隐私权，CA中心认证法等）。小结巩固电子商务系统安全的构成；电子商务安全的保障课堂练习重点概念：实体安全、信息安全课后作业思考：结合学院实验室具体情况分析其实体安全。参考资料教材1章相关章节；“互联网”及期刊杂志的相关内容。10第二章电子商务安全管理第一节安全标准与组织课时4学时教学方法讲授、自学、启发式进程第3次课教学目的1．了解标准化组织；2．掌握安全标准。重点OSI参考模型提供的5种安全服务、8种安全机制