中南民族大学陈传红老师电子商务安全讲义第1章电子

电子商务安全主讲：陈传红博士讲师E-MAIL:phdchen@126.com中南民族大学管理学院中南民族大学管理学院陈传红课前导语•思考两个问题:1、Educationiswhatremainsafteronehasforgotteneverythinghelearnedinschool.——AlbertEinstein•教育就是忘记了在学校中所学的一切之后剩下的东西——爱因斯坦•剩下的东西是什么？2、a=b,b=c,c=d,d=e,e=f….y=z•a=z?45=45？第1章电子商务安全概述中南民族大学管理学院陈传红主要内容电子商务安全重要性1电子商务安全威胁2电子商务安全与对策3课程整体介绍与内容安排4电子商务•E-Business，被定义为使用电子的方法处理组织的内、外部活动。电子交易•E-Commerce用来简化交易，通过互联网和其他通信网络来销售产品和提供在线服务。它包含交易物理的和数字化的商品，通常包括所有的交易步骤移动电子商务•MobileE-Commerce或者M-Commerce,限定于移动通信网络，它是通过无线手持设备例如移动电话、掌上电脑和个人商务助理(PDAs)等从事商务活动。E-Business包含E-Commerce和M-Commerce知识回顾电子商务在计算机网络七层结构中属于那一层？1电子商务安全重要性中南民族大学管理学院陈传红电子商务安全事件一厘钱引发的血案中南民族大学管理学院陈传红电子商务安全事件事件一：信息被盗事件2012年，当当网、1号店、亚马逊中国、国美在线、易迅网、库巴网等多家电商网站，先后遭遇“盗号门”，被曝用户账户信息泄露、账户资金被盗用。其中当当网在半年内就遭遇了三次信息被盗事件，1号店网上商城员工与离职、外部人员内外勾结，叫卖用户信息，造成部分客户信息泄露。此外，窝窝团、拉手网、糯米网等多家团购网站也被爆出用户账户资金被盗用。隐私泄露,财产损失中南民族大学管理学院陈传红电子商务安全事件事件二：在网络交易中，一个差评可能引发的严重后果。因为给卖家差评，武汉女大学生收到了一件寿衣，北京买家收到删差评师的短信恐吓，成都女大学生更遭遇连续一个月的电话骚扰，对方甚至致电学校举报她作风不正、从事不正当兼职……另一方面专业给网上卖家差评，以此来敲诈和勒索，迫使卖家屈服，并要求你提供相应的“赔偿”以此来获利的职业差评师也浮出水面，“网上碰瓷”让不少卖家心有余悸。2012年６月以来，淘宝网频频接到卖家遭遇“恶意差评师”的投诉举报。2012年11月29日，杭州市公安局和淘宝网联合宣布，经过跨省区联手侦查追捕，淘宝网首例“恶意差评师”案的７名犯罪嫌疑人已被抓获获，并以涉嫌敲诈勒索罪被逮捕。名誉受到侵害、人身安全受到威胁中南民族大学管理学院陈传红电子商务安全事件事件三：顾客在淘宝网站给差评遭店主雇凶乱刀砍伤ttp://news.xkb.com.cn/guangdong/2012/0712/211171.html■新快报记者陈婕通讯员陈恨绵曾书琼就因给了个差评，珠海段某被从深圳奔赴而来的四名凶手砍伤。新快报记者昨日了解到，珠海警方近日成功侦破一起因网上购物退货不成给差评而被人砍伤案件，抓获嫌疑人3名。据悉，伤者段某是珠海某小区物业公司普通员工，之前其帮女友在淘宝网向卖家深圳某电讯公司购买了一台三星手机，收货人是段某。段某在收到卖家发来的手机后发现手机是水货，货不对板，于是通过QQ与卖家联系退货事宜但多次交涉未果，段某就在淘宝网上给予卖家“差”的评价。但这个“差”评激怒了卖家，卖家在回复中称“三个小时到珠海砍你！”段某以为该卖家只是口头上吓唬。3月5日9时许，珠海拱北口岸公安分局吉大派出所接报称，在吉大某小区管理处上班的段某被4名持刀男子砍伤头部、肩膀及背部，4名男子砍人后乘坐一辆遮挡车牌的别克小车逃离现场。随即，拱北禁毒大队与吉大派出所成立专案小组，展开调查。被砍伤者就是段某。人身安全受到伤害中南民族大学管理学院陈传红电子商务安全事件事件四：快递单号信息被大面积泄露2012年11月，“三通一达”等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露，甚至衍生出多个专门交易快递单号信息的网站。这些交易网站显示，被交易的快递单号来自包括申通、圆通、中通及韵达在内的多个快递公司，“淘单114”还写着“单号来源于各地快递员”。此外，一些个人用户缺乏个人信息安全保护意识，随意将载有个人信息的快件包装盒和包装袋丢弃，也是造成快递信息泄露的重要原因。调查发现，泄露个人信息已成为滋生违法犯罪活动的“温床”，轻则引发非法调查等不法行为，重则导致电信诈骗、金融诈骗、入户盗窃等刑事犯罪，有的甚至成为敲诈勒索、绑架、暴力追债等恶性犯罪的“帮凶”。私泄露导致消费者成受害者中南民族大学管理学院陈传红电子商务安全事件事件五：快递丢件索取赔偿朱姓网友向中国电子商务投诉与维权公共服务平台发来求助称北京的同事于12月25日通过中通快递发了4台IPAD到江西公司，作为年会奖品，快递单号为701034921053。之后得到中通方面快递丢件的回复，由于没有保价，中通最多赔偿1000人民币，双方未达成一致，丢件方表示可能会通过法律途径维权。（详见案例：《中通速递丢件四台IPAD或监守自盗仅以3000元赔偿了之》）财产损失中南民族大学管理学院陈传红电子商务安全事件事件六：淘宝网“一元宝贝”陷阱“品牌运动鞋1元包邮。”“加厚T恤秒杀，一元包邮，只限今天。”“原价426元，参加促销限时打折后成了1.28元”……不少消费者在网购时都收到过这样的促销消息。当你以为抢到了便宜货时，却被卖家告知“价格标错了”、“没货了”，让申请退款。网购“一元宝贝”暗藏陷阱：1、部分卖家利用超低价虚假销售来虚增销量，造成热销假象，诱使消费者购买；2、部分卖家套取买家真实姓名、地址、手机号码、固定电话、支付宝邮箱、家庭住址或者单位地隐私泄露中南民族大学管理学院陈传红电子商务安全事件后果•对消费者–个人隐私、财产甚至人身安全–是否选择网上购物、交易•对行业–影响电子商务行业健康发展–消费者对电子商务的信任网络中，我如何能相信你?网络特点——开放性及匿名性在因特网上，谁也不知道你是一条狗！安全威胁---信任---购买意愿中南民族大学管理学院陈传红1电子商务安全重要性消费者在购买决策中往往都会感知到不同程度的风险。关于直销的相关研究认为，相对于传统商店购买决策，消费者在无店铺购买决策时感受到的风险水平往往更高[1]。传统交易买者对商品的信息（外观、颜色、质地、性能等）有真实全面的了解，交易发生时商品的所有权随即发生转移。网络交易由于空间的分隔，造成信息掌握的不对称性：卖家掌握商品的全部真实信息处于优势地位；买家对商品的信息了解仅限于网站上卖者描述性的文字及图像[2]，提交订单时还必须填写个人信息（姓名，住址，电话等），网上支付和获取商品之间存在时间差，买家无法制约卖家的行为。消费者对隐私泄漏和被卖家欺诈的担忧，导致买者对卖家和电子商务本身有着本能的怀疑感，消费者认为网上购物比在商店购物的风险较高，感知风险被证实为影响其网络购物决策的重要因素。大量实证研究指出消费者的风险感知负向影响其网络购物意愿[12-16]。只有让消费者能放心地在网络上交易时，电子商务被广泛认可的潜在发展前景才能实现。中南民族大学管理学院陈传红电子商务安全内涵•基于互联网的电子商务已逐渐成为人类进行商务活动的新模式。越来越多的人通过Internet进行商务活动，电子商务的前景非常诱人，但随之而来的安全问题却变得越来越突出。如何建立一个安全，可靠，便捷的电子商务应用环境，保证其交易过程中信息的安全性，使基于互联网的电子交易和传统交易方式一样安全，可靠，已经成为关乎今后电子商务健康持续发展的重要问题。1电子商务安全重要性2电子商务安全威胁中南民族大学管理学院陈传红知识回顾：电子商务基本组成与交易流程电子商务系统的基本组成与交易流程电子商务流程各阶段的内容信息共享•它为商家提供了网上信息发布功能，商家可将数据库内存储的数据通过互联网向访问其站点的客户发布，可以通过网络上的聊天室、多方会议、电子公告牌和新闻组等提供自己公司和产品的介绍。电子订购•客户通过互联网订购公司的产品和服务。最简单的订购方式可以通过电子邮件来实现，客户可以采用自己方便的方式，填写要购买货物的订货单，然后将其发给商家。电子支付•电子交易中使用的支付工具和现实购物中使用的支付工具的功能在许多方面是相似的，我们习惯使用的工具如现金、支票，都可以用电子化的手段来表示。订单执行•货物的形态可以是有形的，也可以是无形的。无形产品可以直接在网络上进行在线供货。有形产品无法通过网络直接供货，但可在网上完成除送货以外的其他业务活动，即实现“在线交易、离线供货”售后服务•销售只是建立与客户长远关系的开始，商家不仅要提供客户需要的与产品和服务有关的帮助，商家也需要与客户进行合作以改进产品和服务，以便将来更好地为别的客户服务。这一点在传统交易中和电子交易中都是适用的信息流资金流物流1）电子商务的不确定性与风险风险在网络交易中是客观存在的，网络购物中主要存在三类不确定性：买卖双方行为不确定性（人行为的不确定性），网络环境不确定性（IT互联网技术不确定性），商品本身不确定性(物流运输不确定性和质量不确定性)。从电子商务的交易实施过程的角度来看，存在以下风险：（1）产品识别风险（2）信息传递风险（3）网上支付风险（4）物权转移中的风险（5）质量控制风险（6）买卖双方行为风险人IT互联网技术商品电子商务全流程风险分析Internet卖家产品安全物流安全支付安全数据库安全商务网站安全计算机网络安全计算机安全:--硬件安全，软件安全买家仓储、物流电子商务信息系统与交易安全网络安全计算机安全3电子商务安全与对策中南民族大学管理学院陈传红•电子商务的一个主要特征是利用IT技术来传输和处理商业信息。因此,电子商务的安全问题主要有计算机网络安全和商务交易安全。•计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全等。其特征是针对计算机网络系统本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。•商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保证电子商务交易的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可抵赖性。1)电子商务安全基本内涵中南民族大学管理学院陈传红1)电子商务安全基本内涵电子商务安全需求•电子商务威胁的出现，导致了对电子商务安全的需求，为真正实现一个安全电子商务系统，保证交易的安全可靠，要求电子商务能做到机密性，完整性，认证性和不可抵赖性。•(1)机密性。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理来实现。•(2)完整性。电子商务过程中，由于数据输入时的差错或欺诈行为，以及数据传输过程中信息的丢失，信息重复或信息传送的次序差异将导致贸易各方信息的差异，从而影响到贸易各方的交易和经营策略，保证贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成，修改和删除，同时要防止数据传输过程中的丢失和重复，保证信息传送次序的统一。完整性一般可通过提取信息的数据摘要方式来获得。中南民族大学管理学院陈传红3.1电子商务的安全需求(3)认证性。电子商务交易系统中，企业或个人的交易通常都是在虚拟的网络环境中进行，双方可能从未谋面，所以对个人或企业实体进行身份认证成了电子商务中十分重要的一环。这就要做到，当某人或实体声称具有某个特定身份时，鉴别服务将提供一种方法来验明其声明的正确性，一般都通过证书机构CA和数字证书来实现。（4）不可抵赖性。电子商务关系到贸易双方的商业交易，关乎双方的商业利益，但由于它不同于传统的贸易