项目10电子商务安全技术

项目十电子商务安全技术10.1任务一了解电子商务安全问题任务引导大连富伸服装有限公司是一家从事服装生产与销售的公司。公司拥有德国杜克普，日本重机、兄弟、百福等国际一流特种设备和最先进整烫设备，主要从事国外品牌西装贴牌加工生产和“卡落佳（KALLCA）”品牌男装系列服饰产品的设计、生产和销售。产品主要外销北美、南美、西欧、东亚等国家和地区。公司一直坚持品牌经营发展战略和走国内高级精品男装服饰的发展方向。自从2008年全球金融危机发生后，在看到同行企业纷纷试水电子商务并获得了竞争优势，为了扩大企业影响和降低销售成本，大连富伸服装有限公司决定开展电子商务。在企业拓展一系列电子商务业务中，相关人员因电子商务的安全问题产生了忧虑.10.1任务一了解电子商务安全问题任务说明随着Internet的发展，电子商务已经逐渐成为人们进行商务活动的新模式。相对于传统商务模式，电子商务具有便捷、高效等特点。但目前全球通过电子商务渠道完成的贸易额只是同期全球贸易额中的一小部分。究其原因，电子商务是一个复杂的系统工程，它的实现还依赖众多从社会问题到技术问题的逐步解决与完善。其中，电子商务安全是制约电子商务发展的一个核心和关键问题，电子商务安全技术也成为各界关注和研究的热点。通过本次任务主要了解电子商务的安全问题；掌握电子商务对安全的要求；掌握电子商务的信息安全协议。10.1任务一了解电子商务安全问题10.1.1电子商务系统安全的概念电子商务系统硬件安全。硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。电子商务系统软件安全。软件安全是指保护软件（系统软件、应用软件）和数据不被篡改、破坏和非法复制。系统软件安全的目的是使计算机系统逻辑上安全，主要是使系统中信息存取、处理和传输满足系统安全策略的要求。电子商务系统运行安全。运行安全是指保护系统能连续和正常地运行。电子商务安全立法。电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪行为斗争的国家意志。10.1任务一了解电子商务安全问题10.1.2电子商务安全技术⒈防火墙技术⒉数字证书⒊信息加密技术10.1任务一了解电子商务安全问题10.1.3电子商务安全协议⒈安全套接层协议⑴安全套接层协议的概念安全套接层协议（SecureSocketsLayer，SSL）是由网景(Netscape)公司1994年推出的一种安全通信协议，其主要目的就是要解决Internet上信息传输的安全问题。它是在Internet基础上提供的一种保证私密性的安全协议，保证客户/服务器之间通信信息的真实性、完整性和保密性。SSL协议包括SSL记录协议和SSL握手协议。该协议位于TCP/IP协议与各种应用层协议之间，在应用层协议通信之前就已经完成加密算法、通信密钥和认证工作，在此之后应用层协议所传送的数据都会被加密。10.1任务一了解电子商务安全问题10.1.3电子商务安全协议⒈安全套接层协议⑵SSL协议提供的安全服务①认证性。②保密性③完整性⑶SSL的应用SSL的典型应用主要有两个方面：一是客户端，如浏览器等；一个是服务器端，如Web服务器和应用服务器等。10.1任务一了解电子商务安全问题10.1.3电子商务安全协议⒈安全套接层协议⑷SSL的优缺点首先，SSL可保证信息的真实性、完整性和保密性，但由于SSL不对应用层的消息进行数字签名，因此，不能提供交易的不可否认性。所以SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。其次，在电子商务交易过程中，按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。在流程中可以看到，SSL协议有利于商家而不利于客户，客户资料的安全性受到威胁。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，SSL协议的缺点完全暴露出来。10.1任务一了解电子商务安全问题10.1.3电子商务安全协议⒉安全电子交易协议⑴安全电子交易协议的概念安全电子交易（SecureElectronicTransaction，SET）协议是由Visa和MasterCard两大信用卡公司联合多家网络公司共同制定的应用于Internet上的以银行卡为基础进行在线交易安全标准。SET协议是在应用层的网络标准协议，它采用公钥密码体制和X.509数字证书标准，主要使用的技术包括：对称密钥加密、公共密钥加密、Hash算法、数字签名以及公共密钥授权机制等。它同时兼顾了顾客、商家、银行等多方面的利益，具有安全的网络支付功能，保障网上购物信息的安全性。在电子商务应用中，由于SET提供了消费者、商家和银行之间的认证，商家只能得到消费者的订购信息而银行只能获得有关支付信息，确保了交易数据的安全、完整和可靠。它是目前公认的信用卡/借记卡网上交易的国际安全标准。它与SSL协议相比，在最大的优点是不向无关人员泄露任何信息。10.1任务一了解电子商务安全问题10.1.3电子商务安全协议⒉安全电子交易协议⑵SET协议运行的目标①信息在Internet上的安全传输，防止被黑客或被内部人员窃取。②订单信息与个人账号信息的隔离。将包括消费者账号信息的订单送到商家时，商家只能看到订货信息，而看不到消费者的账号信息。③解决多方认证问题，确保交易数据的安全性、完整可靠性和交易的不可否认性。④保证网上交易的实时性，使所有支付都是在线的。⑤规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作性，并且可以运行于不同的硬件和操作系统平台上。10.1任务一了解电子商务安全问题10.1.3电子商务安全协议⒉安全电子交易协议⑶采用安全电子交易协议交易的流程10.1任务一了解电子商务安全问题10.1.4正确看待企业开展电子商务业务的安全问题⑴安全是一个系统的概念。⑵安全是相对的。⑶安全是有成本和代价的。⑷安全是发展的、动态的。10.1任务一了解电子商务安全问题任务实施：大连富伸服装有限公司开展电子商务业务的安全策略分析10.1任务一了解电子商务安全问题拓展练习⒈问答题⑴通过互联网开展电子商务存在的安全问题有哪些？⑵哪些技术手段可以保证电子商务的安全？⑶比较SSL协议与SET协议的优缺点？⒉操作题⑴自2011年4月份以来，包括索尼、任天堂、美国中情局等一系列的重要企业和机构遭遇攻击。2011年6月21日，台湾明基企业旗下的网站，其服务器被植入了一个文本文件。这意味着黑客已经取得了明基服务器的权限，可以进行诸如：植入木马病毒、窃取储存在服务器上的用户资料等危险操作。根据瑞星公司发布的《企业安全报告》，在中国大陆，有高达90%的企业内网（仅计算与互联网连通的企业网络）被成功侵入过至少一次。其中遇到恶意代码（病毒和木马等）侵入的比例占50%，黑客攻击和渗透占43%，钓鱼网站攻击和其它形式安全事件占7%。上网查找资料，了解是什么原因导致了这类事件的屡屡发生，如何防范这类事件的发生？10.2任务二防火墙技术(Firewall)的应用任务引导小张经常在网上购物，情人节马上要到了，打算给正在热恋中的女友买份厚礼，可一直迟迟没有购买，为什么？因为他在某杂志上看到最近有一些木马特别厉害，竟然可以盗取个人网上银行的账号和密码，他怕自己的账号和密码也被盗呀。“IP、IC、IQ卡，统统告诉我密码”这句经典的台词，不再是一句玩笑的话了，QQ密码、网游账号，特别是我们上网购物时需要输入的银行卡号和密码，都已经成为黑客窃取的目标。如2010年出现的木马“尖峰洞”及其变种，就可以盗取个人网上银行账号和密码；还有“密码结巴”这款国内有名的专业盗号木马，就可以轻松获取用户的密码，并自动发送到指定的邮箱里。面对日益猖獗的木马，我们应该怎么办呢?10.2任务二防火墙技术(Firewall)的应用任务说明作为普通的电脑用户，我们除了提高防范意识外，最主要的还是要安装一款病毒防火墙，它可以防止各种网络攻击，彻底阻断病毒、木马、后门程序以及间谍软件对用户账号、密码及隐私信息的窃取，对网上办公、上网娱乐、网络购物时的安全，提供非常大的保障。本次实训通过安装和配置瑞星防火墙，了解防火墙的功能，掌握其安装和配置的方法。10.2任务二防火墙技术(Firewall)的应用10.2.1防火墙的概念10.2任务二防火墙技术(Firewall)的应用10.2.2防火墙的功能⒈保护数据的完整性⒉保护网络的有效性⒊保护数据的机密性10.2任务二防火墙技术(Firewall)的应用10.2.3防火墙的主要类型⒈包过滤防火墙⒉代理服务防火墙⒊应用网关防火墙10.2任务二防火墙技术(Firewall)的应用10.2.4防火墙的优点⒈防火墙是网络安全的屏障。⒉在防火墙上可以很方便地监视网络的安全性，并产生报警。⒊防火墙是审计和记录互联网使用量的一个最佳地方。⒋防火墙可以强化网络安全策略。10.2任务二防火墙技术(Firewall)的应用10.2.5防火墙的缺点⒈限制有用的网络服务。⒉防火墙无法防范那些不通过防火墙的攻击。⒊防火墙一般无法解决内部人员的攻击问题。⒋防火墙无法完全防止新出现的网络威胁。⒌防火墙不能防范病毒。10.2任务二防火墙技术(Firewall)的应用任务实施瑞星防火墙的安装与配置10.2任务二防火墙技术(Firewall)的应用拓展练习⒈问答题⑴防火墙设置在何处？防火墙技术有哪些类型？⑵防火墙的功能有哪些？⑶简述防火墙的优缺点？⒉操作题⑴上网了解目前市场上比较流行的防火墙软件，下载其中一款免费软件，在计算机上进行安装与设置。⑵上网查询哪些端口是常见木马所默认开放的端口，根据具体情况采取相应的操作。10.3任务三防病毒技术的应用任务引导小于是一家知名门户网站的维护人员，最近用户反映访问该网站，杀毒软件总是提示有病毒。经排查，排除了黑客攻破网站，上传病毒文件；查出是小于用于维护网站的计算机中病毒。小于在维护网站的时候，上传文件将病毒传到服务器中，导致部分用户感染病毒，影响了网站的正常访问，造成用户流失。小张是一名大学教师，这段时间他遇到了一件离奇的怪事。打开Word文件时，常用的Word文件怎么打也打不开，双击弹出提示框：“版本冲突：无法打开高版本的Word文档”。再仔细看时，文件夹里竟然有两个名字一模一样的Word文件。后经查实，小张的电脑中了“Word文档杀手”病毒。当用户误点了经过伪装的病毒后，病毒就开始发作，先是将硬盘里面所有的Word文档建立一个列表，然后逐一将这些Word文件删除，导致所有Word文档神秘失踪。小于、小张该如何防范这些不安全风险？10.3任务三防病毒技术的应用任务说明我们在享受互联网带来最大利益的同时，也承受来自互联网的安全风险，许多病毒都是通过Internet文件下载和电子邮件文件传播的。经常相互使用的U盘、光盘复制文件，这些存储介质都可能成为病毒传播的载体。通过本次任务熟悉在计算机上安装和配置防病毒软件，熟悉防病毒软件的使用技巧，提高使用防病毒软件的水平，减少计算机感染病毒的机会。10.3任务三防病毒技术的应用10.3.1计算机病毒的特征⒈感染性⒉可触发性⒊欺骗性⒋破坏性⒌潜伏性⒍隐蔽性10.3任务三防病毒技术的应用10.3.2计算机病毒的分类⒈按照计算机病毒的寄生部位或传染对象分类⑴磁盘引导区传染的计算机病毒⑵操作系统传染的计算机病毒⑶可执行程序传染的计算机病毒⒉按照寄生方式分类⑴引导型病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区（BOOTSECTOR）的内容，U盘或硬盘都有可能感染病毒。⑵文件型病毒主要以感染文件扩展名为.com、.exe等可执行程序为主。10.3任务三防病毒技术的应用10.3.3计算机病毒传播途径⒈通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。⒉通过