第三章 电子商务安全

第三章电子商务安全

【学习目标】

1．掌握电子商务安全的要素；

2．了解防火墙的应用，熟悉防火墙的原理；

3．掌握对称加密和非对称加密的基本原理，以及两种加密的结合使用；

4．了解数字证书技术及身份认证技术；

5．理解电子商务安全协议。

【技能要求】

1．能够使用相关安全软件，熟悉防火墙的配置；

2．能够申请数字证书，安装、使用数字证书。

【核心概念】

防火墙对称加密非对称加密 CA认证数字签名 SSL SET

【开篇案例】

“棱镜门”敲响了网络安全的警钟

2013年6月，前中情局（CIA）职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》，并告之媒体何时发表。按照设定的计划，2013年6月5日，英国《卫报》先扔出了第一颗舆论炸弹：美国国家安全局有一项代号为“棱镜”的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日，美国《华盛顿邮报》披露称，过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。

2013年9月28日，美国“棱镜”项目揭秘者斯诺登提供的文件让美国国安局活动再度曝光。美国国家安全局2010年起即用收集到的资料，分析部分美国公民的“社交连结，辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。该文件显示，“国安局官员解禁之后，2010年11月起开始准许以海外情报意图来分析电话以及电邮记录，监视美国公民交友网络”。根据美国国安局2011年1月的备忘录，政策转向目的是在帮助该局“发现并追踪”海外情报目标和美国人民之间的关联。该文件指出，美国国安局获得授权，可在不检查每个电邮地址、电话号码或任何指针的“外来性”情况下，“大规模以图表分析通讯原数据”。

美国决策者意识到，互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。2011年，以“脸谱网”（facebook）和“推特”（twitter）为代表的新媒体，贯穿埃及危机从酝酿、爆发、升级到转折的全过程，成为事件发展的“催化剂”及反对派力量的“放大器”。同样，类似的事件也在突尼斯和伊朗等国都上演过。

这项代号为“棱镜”（PRISM）的高度机密的行动此前从未对外公开。《华盛顿邮报》获得的文件显示，美国总统的日常简报内容部分来源于此项目，该工具被称作是获得此类信息的最全面方式。一份文件指出，“国家安全局的报告越来越依赖‘棱镜’项目。该项目是其原始材料的主要来源。报道刊出后外界哗然。保护公民隐私组织予以强烈谴责，表示不管奥巴马政府如何以反恐之名进行申辩，不管多少国会议员或政府部门支持监视民众，这些项目都

侵犯了公民基本权利。

这是一起美国有史以来最大的监控事件，其侵犯的人群之广、程度之深让人咋舌。

第一节电子商务安全概述

随着互联网的飞速发展与广泛应用，电子商务的应用前景越来越广阔，然而它的安全问题也变得日益严重，在互联网环境下开展电子商务，客户、商家、银行等参与者都对自身安全能否得到保障存在担心。如何创造安全的电子商务应用环境，已经成为社会、企业和消费者共同关注的问题。

电子商务安全是一个多层次、多方位的系统的概念：广义上讲，它不仅与计算机系统结构有关，还与电子商务应用的环境、操作人员素质和社会因素有关，包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法；狭义上讲，它是指电子商务信息的安全，主要包括信息的存储安全和信息的传输安全。

一、电子商务安全要素

电子商务安全是一个复杂的系统问题，在开展电子商务的过程中会涉及以下几个安全性方面的要素：可靠性、真实性、机密性、完整性、不可否认性。

（一）可靠性

电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。电子商务系统的安全是保证数据传输与存储以及电子商务完整性检查的基础。系统的可靠性可以通过网络安全技术来实现。

（二）真实性

交易的真实性是指商务活动中交易者身份是真实有效的，也就是要确定交易双方是真实存在的。网上交易的双方可能素昧平生、相隔千里，要进行成功交易的前提条件是要能确认对方的身份是否真实可信。身份认证通常采用电子签名技术、数字证书来实现。

（三）机密性

信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获，就可能被盗用；企业的订货和付款信息如被竞争对手获悉，该企业就可能贻误商机。电子商务则建立在一个较为开放的网络环境上，商业保密就成为电子商务全面推广应用的重要障碍。因此要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止泄密事件。信息的机密性的保护一般通过数据加密技术来实现。

（四）完整性

信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放，以确保信息的顺序完整性和内容完整性。电子商务简化了传统的贸易过程，减少了人为的干预，但却需要维护商业信息的完整与一致。由于数据输入时的意外差错或欺诈行为以及数据传输过程中信息丢失、重复或传送的次序差异，都有可能导致贸易各方收到的信息不一致。信息的完整性将影响到贸易各方的交易与经营策略，保持这种完整性是电子商务应用的基础。数据完整性的保护通过安全散列函数（如数字摘要）与电子签名技术来实现。

（五）不可否认性

交易的不可否认性是指保证发送方不能否认自己发送了信息，同时接收方也不能否认自己接收的信息。在传统的纸面贸易方式中，贸易双方通过在交易合同、契约等书面文件上签

名，或是通过盖上印章来鉴别贸易伙伴，以确定合同、契约、交易的可靠性，并能预防可能的否认行为的发生。在电子商务的应用环境中，通过手写签名与印章鉴别已不可能，就需要其他方法实现交易的不可否认。因此，电子商务交易的各方在进行数据信息传输时，必须带有自身特有的，无法被别人复制的信息，以防发送方否认曾经发生过的信息，或接收方否认曾经接收到的信息，确保在交易发生纠纷时可以拿出证据。交易的不可否认性是通过电子签名技术来实现的。

二、电子商务安全体系

电子商务的核心是通过网络技术来传递商业信息并开展交易，所以解决电子商务系统的硬件安全、软件安全和系统运行安全等实体安全问题成为电子商务安全的基础。

电子商务系统硬件（物理）安全是指保护计算机系统硬件的安全，包括计算机的电器特性、防电防磁以及计算机网络设备的安全、受到物理保护而免于破坏、丢失等，保证其自身的可靠性和为系统提供基本安全机制。电子商务系统软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。根据计算机软件系统的组成，软件安全可分为操作系统安全、数据库安全、网络软件安全、通信软件安全和应用软件安全。

电子商务系统运行安全是指保护系统能连续正常地运行。

对企事业单位来说，为了保证电子商务中计算机与网络实体自身的安全，实际应用中一般选择并综合各类实体安全技术形成一个综合安全体系。这些技术包括数据备份、系统（或者数据库、服务）用户权限管理、服务器配置、VPN、防火墙、入侵检测系统（IDS）、病毒防范等。一般的电子商务客户端使用防火墙、杀毒软件、用户管理等技术来保证安全，而服务器端则会采用代理服务型防火墙、入侵检测技术、双机热备份、数据库与服务的用户权限管理等技术来防止黑客攻击，实现服务器安全。

实现了实体安全，电子商务系统的可靠性就得到了较好的保证，但交易的真实性、机密性、完整性和不可否认性并未能实现，这就需要使用加密技术、电子签名技术和数字认证技术等来构建一个科学、合理的电子商务安全体系。

第二节电子商务安全技术

一、防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境中，尤其是在连接到互联网的内部网络中，防火墙技术使用最普遍。网络防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在内部网和外部网之间的保护层，强制所有的连接都必须经过此保护层，并在此进行安全检查和连接（如图3-1所示）。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。