电子商务第七版5课件.ppt

Copyright 2011 Pearson Education, Ltd.,电子商务,肯尼思.劳东卡罗尔.圭尔乔.特拉弗,商务. 技术.社会,第七版,E-commerce: business. technology. society.,Copyright 2011 Pearson Education, Ltd.,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,Copyright 2010 Pearson Education, Inc.,Slide 5-2,第四章,网络安全与支付系统,Copyright 2011 Pearson Education, ltd.,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,网络战: 虚拟世界中的 2.0课堂讨论,黑客攻击和网络战之间的区别是什么？在过去的十年中，为什么网络战越来越具有潜在的毁灭性？全球有多少比例的电脑会被隐形恶意软件程序入侵?政治方案能够有效解决MAD 2.0吗？,Slide 5-3,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务安全环境,网络犯罪的涉及的领域和造成的损失还难以估计问题报告2009 计算机安全协会的年度调查显示: 49% 的被调查组织发生过计算机安全事件愿意公布的公司中, 平均每年损失$288,000地下经济市场:通过“地下经济服务者”将信息卖给他人,Slide 5-4,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,网络犯罪类型,Slide 5-5,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,什么是良好的电子商务安全?,尽可能实现最高级别的安全新技术的应用组织程序和策略行业标准和政府法令其他因素货币的时间价值安全成本vs. 潜在损失安全链断裂的地方往往在最薄弱的环节,Slide 5-6,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务安全环境,Figure 4.2,Slide 5-7,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,Table 4.2,Slide 5-8,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,在安全及其他价值间的取向,便于使用:安全措施越多，就越难使用，而且速度也慢公共安全与犯罪分子对安全的利用犯罪分子利用技术犯罪或威胁公共安全,Slide 5-9,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务环境中的安全威胁,三个关键的薄弱点:互联网通信信道服务器端客户端,Slide 5-10,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,典型的电子商务交易,Figure 4.3,Slide 5-11,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务环境中的薄弱环节,Figure 4.4,Slide 5-12,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务环境中的安全威胁,恶意代码(malicious code)病毒 virus 蠕虫 worm特洛伊木马 Trojan horse机器人程序 bot不必要程序浏览器寄生虫 browser parasites广告软件 ad software间谍软件 spyware,Slide 5-13,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,常见的安全威胁 (cont.),网络钓鱼第三方以任意欺骗性的网络行为获得用户的保密信息社会工程技术, 电子邮件诈骗, 伪装成合法软件点击链接后，就会进入诈骗者控制的网站，诱使受骗人泄露账号密码等个人信息黑客行为与网络破坏行为黑客vs. 骇客网络破坏行为: 故意破坏网站, 使企业名誉受损, 甚至摧毁整个站点黑客类型: 白帽黑客, 黑帽黑客, 灰帽黑客l,Slide 5-14,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,常见的安全威胁 (cont.),信用卡诈骗黑客攻击目标商户服务器，盗刷信用卡进行诈骗电子欺骗网址嫁接垃圾网站拒绝服务攻击黑客向网站大量发送无用的通信来淹没网络并使网络瘫痪分布式拒绝服务攻击,Slide 5-15,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,常见的安全威胁 (cont.),网络窃听一种可以监视通过网络传递的信息的窃听程序内部攻击最大的财务威胁设计不当的服务器和客户端软件移动平台的安全和任何互联网所面临的风险一样恶意软件, 僵尸网络, 短信诈骗,Slide 5-16,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,技术解决方案,保护互联网的通信(加密)保证信息传送渠道(SSL, S-HTTP, VPNs)保护网络工作 (防火墙)保护服务机和客户机,Slide 5-17,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,实现网络安全的可用工具,Figure 4.7,Slide 5-18,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,加密（Encryption）,加密将明文转化成除发送方和接收方以外任何人都无法读取的密文的过程保证存储信息和传送信息的安全加密可以为电子商务6个关键方面提供4个方面的保障: 信息完整性不可否认性真实性机密性,Slide 5-19,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,对称秘钥加密（Symmetric key Encryption）,发送方和接收方使用同一把密钥来加密和解密信息每次信息传输都有不同的密钥 加密系统的安全保护强度用二进制密钥的长度来加密信息高级解密标准 (AES)最广泛的对称加密算法提供128位, 192位, and 256位的加密密钥其他对称加密系统会使用高达2048位的密钥,Slide 5-20,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,公钥加密（Public Key Encryption）,两个算术上相关的数字密钥公开密钥(广泛发布) 私有密钥 (拥有者保存)两种密钥都可以用来加密和解密信息一旦某个密钥被用来加密信息，就不能再用它解密信息发送方用接收方的公钥来加密信息，接收方用他的私钥来解密,Slide 5-21,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,公钥加密体系 一个简单的例子,Figure 4.8,Slide 5-22,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,使用数字签名和散列摘要的公钥加密,散列函数（Hash Function）:一种可以产生一个称为散列或者信息摘要的固定长度数字的算法确保发送到接受者的信息在传输过程中没有被篡改发送方用接收方的公钥对散列结果和原始信息加密发送方用自己的私钥将整个密文块在加密一次 创建数字签名 保证真实性和不可否认性,Slide 5-23,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,具有数字签名的公钥加密体系,Figure 4.9,Slide 5-24,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,数字信封,加密系统的缺点:公钥加密计算速度很慢, 传输速度显著减慢, 处理时间的显著增加对称密钥加密传输线难以保证用对称密钥加密来加密大型文件 用公钥加密方法来加密和传送这把对称密钥,Slide 5-25,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,公钥加密体系：建立数字信封,Figure 4.10,Slide 5-26,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,数字证书和公开密钥基础设施,数字证书包括:主题或公司的名称主题的公钥数字证书的额序列号截止日期、发放日期认证中心得数字签名公开密钥基础设施 (PKI): 认证中心和数字证书规程良好隐私（PGP）,Slide 5-27,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,数字证书和认证中心,Figure 4.11,Slide 5-28,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,加密解决方案的局限性,大部分电子商务网站并没有用加密的形式来存储消费者的隐私PKI 无法保护内部人员及能访问企业系统的人的信息个人私钥保护也可能会丢失无法保证商家用来做验证的电脑是安全的CA可能不是其认证的企业或者个人所认定的权威机构,Slide 5-29,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,社会透视“网络狗”和匿名性课堂讨论,互联网无期限的匿名性有哪些好处？身份认证系统的缺点是什么？身份认证系统除了安全还有其他优点吗？身份认证系统应该由谁进行管理?,Slide 5-30,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,通信信道的安全,安全套接层 (SSL): 一种客户机/服务器之间的对话，其中所请求文档的URL，以及所交换的内容、表单的内容和cookies都进行了加密安全超文本传输协议: 一种安全的以信息为导向的通信协议，与HTTP联合使用虚拟专用网 (VPN): 一种使得某个本地网络可以利用互联网作为管道来和另一个网络连接的加密机制(PPTP),Slide 5-31,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,利用SSL进行安全协商会话,Figure 4.12,Slide 5-32,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,网络保护,防火墙（Firewall）：硬件和软件用安全政策来过滤通信数据包两种主要方式:包过滤应用网关代理服务器(proxies)一种对于来自互联网或发送到互联网上的通信信息进行处理的软件服务器,Slide 5-33,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,防火墙和代理服务器,Figure 4.13,Slide 5-34,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,保护服务器和客户机,提升操作系统安全升级, 修补防病毒软件: 抵御系统完整性侵害最容易也最便宜的方法需要每日更新,Slide 5-35,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,安全计划：管理政策,进行风险评估制定安全策略制定实施计划安全机构访问控制验证机制, 生物特征识别授权策略, 授权管理系统进行安全审计,Slide 5-36,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,管理政策、企业流程和法律,美国政府和企业花费12%的信息技术预算用于硬件、软件和服务器安全，在2009年共计为1200亿美元风险管理包括科技有效管理策略法律和公共政策,Slide 5-37,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,制定电子商务安全计划,Slide 5-38,Figure 4.14,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,技术透视你的智能手机安全吗?课堂讨论,智能手机主要面临哪种威胁?这种类型的设备有哪些特定的缺点吗？Nicolas Seriots的Spyphone说明了什么?与传统个人电脑软件程序相比，app受到的威胁是更大还是更小？,Slide 5-39,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,法律及公共政策的作用,新的法律为地方和国家权力机构识别、跟踪并起诉网络犯罪分子提供了新的工具和机制:国际信息基础设施保护法美国爱国者法案国土安全法私人机构和公司合作做出的努力美国计算机应急反应小组协调中心美国计算机应急反应小组（US-CERT）政府对于加密软件的政策和控制OECD 条约,Slide 5-40,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,支付系统类型,现金从交易数量角度来说是最常见的支付形式不需要任何机构作为中介就可以立即转化为其他价值形式支票转账从交易数量角度来说是第二种常见的支付形式信用卡信用卡组织发卡银行处理中心,Slide 5-41,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,支付系统类型,储值卡通过存入资金建立的账户，所需资金也从此账户中提取或支付，例如借记卡、礼券以及智能卡对等网络支付系统余额累计可以累积支出费用让消费者定期付款的账户e.g. 公共事业费、电话费以及美国运通卡账户,Slide 5-42,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,Table 4.6,Slide 5-43,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务支付系统,信用卡占美国网络交易的55 % 借记卡占美国网络交易的28 % 网上信用卡支付的局限性安全成本社会公平,Slide 5-44,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,网上信用卡交易的工作原理,Figure 4.16,Slide 5-45,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务支付系统,数字钱包模拟人们带在身边的钱包功能，存储和转移价值，并确保从消费者到商家支付过程的安全早期努力推广失败最新开发：Google Checkout 数字现金在银行存入资金，并发行数字货币大多数早期的数字现金已经消失，协议和时间太复杂,Slide 5-46,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子商务支付系统,在线储值支付系统消费者可以利用存在网上账户的资金即时的向商家或其他个人进行网上支付PayPal, 智能卡，Alipay（支付宝），微信支付。数字化余额累计支付系统累计借方余额，给出月末账单 数字支票支付系统:扩展现有支票帐户的功能,Slide 5-47,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,移动支付系统,欧洲、日本和韩国已经将移动设备当做支付设备日本移动支付系统电子货币移动借记卡移动信用卡美国的手机移动支付系统仍未普及大部分购买都是应用于手机的数字内容,Slide 5-48,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,商务透视移动支付的未来：“刷机支付”和短信支付小组讨论,什么技术使得移动支付比过去更为可行？想象并描述一下有助于开发移动支付系统的新实验PayPal 是如何回应的?为什么移动支付系统没有增长更快？哪些因素会刺激他们成长？,Slide 5-49,Copyright 2011 Pearson Educa,Copyright 2011 Pearson Education, Ltd.,电子账单的展示与支付,每月账单在线支付系统 2010年，使用网上账单系统的家庭约为5200万户，占总数的65%，并持续增长EBPP两种业务模式 :直接付款(Biller-direct )合并付款EBPP 软件供应商都支持两种模型,Slide 5-50,Copyright 2011 Pearson Educa,