《旅游电子商务信息安全问题》由会员分享,可在线阅读,更多相关《旅游电子商务信息安全问题(68页珍藏版)》请在金锄头文库上搜索。
1、第一讲第一讲旅游电子商务信息安全旅游电子商务信息安全n n一、电子商务信息安全问题一、电子商务信息安全问题一、电子商务信息安全问题一、电子商务信息安全问题n n二、电子商务信息安全技术二、电子商务信息安全技术二、电子商务信息安全技术二、电子商务信息安全技术听说最近又冒出来一个新计算机病毒,听说最近又冒出来一个新计算机病毒,我们单位很多机子一上网就中毒了,我们单位很多机子一上网就中毒了,很厉害啊!你可要小心!很厉害啊!你可要小心!我没什么可担心的,我只在我没什么可担心的,我只在家里用家里用ADSL上网,谁会知上网,谁会知道我的电脑啊!道我的电脑啊!二、电子支付技术【引题】2.1电子支付概述200
2、8年4月起,携程发现“去哪儿”网站酒店栏目内,有数万个页面均转载有携程酒店点评文章,许多甚至是原封不动地复制携程酒店点评页面。携程方面表示,携程一直鼓励携程会员发表酒店点评文章,这些文章再通过携程系统组织和整理,汇集成携程的酒店点评页面,这些耗费大量心血原创所得的酒店点评已成为携程会员预订酒店的重要参考及衡量标准,是属于携程的珍贵信息资源。在发现“去哪儿”网站的侵权行为后,携程于2008年6月19日、7月4日、7月11日三次发函给“去哪儿”要求其停止侵权行为,“去哪儿”在2008年6月23日向携程回函,对转载内容做了部分修改外,未做其他任何改正措施并一直持续至今。因此,携程只好通过法律手段维权
3、。2008年12月,法院依据中华人民共和国著作权法的相关规定,对此案做出判决:在判决生效之日起十日内,“去哪儿”停止对携程公司的侵权行为;同时,“去哪儿”在其网站主页上连续24小时刊登声明,向携程道歉,法院还判决“去哪儿”公司赔偿携程公证费1000元,并承担诉讼费用。 随着互联网的发展,电子商务成为了目前最时髦最吸引随着互联网的发展,电子商务成为了目前最时髦最吸引随着互联网的发展,电子商务成为了目前最时髦最吸引随着互联网的发展,电子商务成为了目前最时髦最吸引力的事物,同时由于电子商务具有传统商务不具有的优势,力的事物,同时由于电子商务具有传统商务不具有的优势,力的事物,同时由于电子商务具有传统
4、商务不具有的优势,力的事物,同时由于电子商务具有传统商务不具有的优势,电子商务被越来越多的企业利用,电子商务也成为促进国家电子商务被越来越多的企业利用,电子商务也成为促进国家电子商务被越来越多的企业利用,电子商务也成为促进国家电子商务被越来越多的企业利用,电子商务也成为促进国家经济发展的一种重要力量。在电子商务的发展过程,很多问经济发展的一种重要力量。在电子商务的发展过程,很多问经济发展的一种重要力量。在电子商务的发展过程,很多问经济发展的一种重要力量。在电子商务的发展过程,很多问题也逐渐暴露出来,成为制约电子商务发展的重要原因,其题也逐渐暴露出来,成为制约电子商务发展的重要原因,其题也逐渐暴
5、露出来,成为制约电子商务发展的重要原因,其题也逐渐暴露出来,成为制约电子商务发展的重要原因,其中中中中安全问题安全问题安全问题安全问题成为了众多问题中最重要成为了众多问题中最重要成为了众多问题中最重要成为了众多问题中最重要最核心的问题最核心的问题最核心的问题最核心的问题。为了促。为了促。为了促。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解进电子商务更好的发展,更好的为国民经济的发展服务,解进电子商务更好的发展,更好的为国民经济的发展服务,解进电子商务更好的发展,更好的为国民经济的发展服务,解决电子商务中的安全问题就成了关键性的问题。决电子商务中的安全问题就成了关键性的问题。决电子
6、商务中的安全问题就成了关键性的问题。决电子商务中的安全问题就成了关键性的问题。一、电子商务交易带来的安全威胁一、电子商务交易带来的安全威胁在传统交易过程中,买卖双方在传统交易过程中,买卖双方在传统交易过程中,买卖双方在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程是面对面的,因此很容易保证交易过程是面对面的,因此很容易保证交易过程是面对面的,因此很容易保证交易过程的安全性和建立起信任关系。但在电子的安全性和建立起信任关系。但在电子的安全性和建立起信任关系。但在电子的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联商务过程中,买卖双方是通过网络来联商务过程中,买卖双
7、方是通过网络来联商务过程中,买卖双方是通过网络来联系的,而且彼此远隔千山万水。因而建系的,而且彼此远隔千山万水。因而建系的,而且彼此远隔千山万水。因而建系的,而且彼此远隔千山万水。因而建立交易双方的安全和信任关系比较困难。立交易双方的安全和信任关系比较困难。立交易双方的安全和信任关系比较困难。立交易双方的安全和信任关系比较困难。电子商务交易双方(销售者和购买者)电子商务交易双方(销售者和购买者)电子商务交易双方(销售者和购买者)电子商务交易双方(销售者和购买者)都面临不同的安全威胁。都面临不同的安全威胁。都面临不同的安全威胁。都面临不同的安全威胁。1 1销售者面临威胁销售者面临威胁销售者面临威
8、胁销售者面临威胁对销售者而言,他面临的安全威胁主要有:对销售者而言,他面临的安全威胁主要有:对销售者而言,他面临的安全威胁主要有:对销售者而言,他面临的安全威胁主要有:(1 1)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户)中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。数据(如商品送达地址)、解除用户订单或生成虚假订单。数据(如商品送达地址)、解除用户订单或生成虚假订单。数据(如商品送达地址)、解除用户订单或生成虚假订单。
9、(2 2)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购)竞争者检索商品递送状况:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。商品,从而了解有关商品的递送状况和货物的库存情况。商品,从而了解有关商品的递送状况和货物的库存情况。商品,从而了解有关商品的递送状况和货物的库存情况。(3 3)客户资料被竞争者获悉。)客户资料被竞争者获悉。)客户资料被竞争者获悉。)客户资料被竞争者获悉。(4 4)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服)被他人假
10、冒而损害公司的信誉:不诚实的人建立与销售者服)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服)被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。务器名字相同的另一个服务器来假冒销售者。务器名字相同的另一个服务器来假冒销售者。务器名字相同的另一个服务器来假冒销售者。(5 5)消费者提交订单后不付款。)消费者提交订单后不付款。)消费者提交订单后不付款。)消费者提交订单后不付款。(6 6)虚假订单。)虚假订单。)虚假订单。)虚假订单。(7 7)获取他人的机密数据:比如,某人想要了解另一人在销售商)获取他人的机密数据:比如,某人想要了解另一人在销售商)获
11、取他人的机密数据:比如,某人想要了解另一人在销售商)获取他人的机密数据:比如,某人想要了解另一人在销售商处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销处的信誉时,他以另一人的名字向销售商订购昂贵的商品,然后观察销售商的行动。假如销售商认可该定单,则说明被观察者的信誉高,否则,售商的行动。假如销售商认可该定单,则说明被观察者的信誉高,否则,售商的行动。假如销售商认可该定单,则说明被观察者的信誉高,否则,售商的行动。假如销售商认可该定单,则说明被观察者的信誉高
12、,否则,则说明被观察者的信誉不高。则说明被观察者的信誉不高。则说明被观察者的信誉不高。则说明被观察者的信誉不高。2 2购买者面临威胁购买者面临威胁购买者面临威胁购买者面临威胁对购买者而言,他面临的安全威胁主要有:对购买者而言,他面临的安全威胁主要有:对购买者而言,他面临的安全威胁主要有:对购买者而言,他面临的安全威胁主要有:(1 1)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收)虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能收到商品,而
13、此时客户却被要求付款或返还商品。到商品,而此时客户却被要求付款或返还商品。到商品,而此时客户却被要求付款或返还商品。到商品,而此时客户却被要求付款或返还商品。(2 2)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定)付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将定单和钱转发给执行部门,因而使客户不能收到商品。单和钱转发给执行部门,因而使客户不能收到商品。单和钱转发给执行部门,因而使客户不能收到商品。单和钱转发给执行部门,因而使客户不能收到
14、商品。(3 3)机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、)机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、)机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、)机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如帐号、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃取。(4 4)拒绝服务:攻击者可能向销售商的服务器发送
15、大量的虚假定单来穷竭它)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源,从而使合法用户不能得到正常的服务。的资源,从而使合法用户不能得到正常的服务。的资源,从而使合法用户不能得到正常的服务。的资源,从而使合法用户不能得到正常的服务。二、二、电子商务的安全风险来源电子商务的安全风险来源上面从交易双方分析了电子商务交易的安全威胁。如上面从交易双方分析了电子商务交易的安全威胁。如上面从交易双方分析了电子商务交易的安全威胁。如上面从交易双方分析了电子商务
16、交易的安全威胁。如果从整个电子商务系统着手分析,可以将电子商务的安全问果从整个电子商务系统着手分析,可以将电子商务的安全问果从整个电子商务系统着手分析,可以将电子商务的安全问果从整个电子商务系统着手分析,可以将电子商务的安全问题,归类为下面五类风险,即题,归类为下面五类风险,即题,归类为下面五类风险,即题,归类为下面五类风险,即网络系统自身的安全风险、信网络系统自身的安全风险、信网络系统自身的安全风险、信网络系统自身的安全风险、信息传输风险、信用风险、管理风险以及法律方面风险。息传输风险、信用风险、管理风险以及法律方面风险。息传输风险、信用风险、管理风险以及法律方面风险。息传输风险、信用风险、
17、管理风险以及法律方面风险。1、网络系统自身的安全风险、网络系统自身的安全风险(1)物理实体的安全风险)物理实体的安全风险设备故障设备故障电源故障电源故障电磁泄漏导致信息失密电磁泄漏导致信息失密搭线窃听搭线窃听自然灾害自然灾害(2)计算机软件系统风)计算机软件系统风险(电子扒手)险(电子扒手)一些被称为一些被称为一些被称为一些被称为“ “电子扒手电子扒手电子扒手电子扒手” ”的银行偷窃者专门窃的银行偷窃者专门窃的银行偷窃者专门窃的银行偷窃者专门窃取别人网络地址,这类窃案近年呈迅速上升趋势。取别人网络地址,这类窃案近年呈迅速上升趋势。取别人网络地址,这类窃案近年呈迅速上升趋势。取别人网络地址,这类
18、窃案近年呈迅速上升趋势。一些窃贼或因商业利益,或因对所在银行或企业不一些窃贼或因商业利益,或因对所在银行或企业不一些窃贼或因商业利益,或因对所在银行或企业不一些窃贼或因商业利益,或因对所在银行或企业不满,甚至因好奇盗取银行和企业密码,浏览企业核满,甚至因好奇盗取银行和企业密码,浏览企业核满,甚至因好奇盗取银行和企业密码,浏览企业核满,甚至因好奇盗取银行和企业密码,浏览企业核心机密,甚至将盗取的秘密卖给竞争对手。美国的心机密,甚至将盗取的秘密卖给竞争对手。美国的心机密,甚至将盗取的秘密卖给竞争对手。美国的心机密,甚至将盗取的秘密卖给竞争对手。美国的银行每年在网络上被偷窃的资金达银行每年在网络上被
19、偷窃的资金达银行每年在网络上被偷窃的资金达银行每年在网络上被偷窃的资金达60006000万美元,而万美元,而万美元,而万美元,而每年在网络上企图电子盗窃作案的总数高达每年在网络上企图电子盗窃作案的总数高达每年在网络上企图电子盗窃作案的总数高达每年在网络上企图电子盗窃作案的总数高达5 5100100亿美元之间,持枪抢劫银行的平均作案值是亿美元之间,持枪抢劫银行的平均作案值是亿美元之间,持枪抢劫银行的平均作案值是亿美元之间,持枪抢劫银行的平均作案值是75007500美美美美元,而元,而元,而元,而“ “电子扒手电子扒手电子扒手电子扒手” ”平均作案值是平均作案值是平均作案值是平均作案值是2525万
20、美元。万美元。万美元。万美元。“ “电电电电子扒手子扒手子扒手子扒手” ”多数为解读密码的高手,作案手段隐蔽,多数为解读密码的高手,作案手段隐蔽,多数为解读密码的高手,作案手段隐蔽,多数为解读密码的高手,作案手段隐蔽,不易被抓获。不易被抓获。不易被抓获。不易被抓获。(3)网络协议的安全漏洞)网络协议的安全漏洞网络服务是通过各种各样的协议完成的,协议的安全性是网络服务是通过各种各样的协议完成的,协议的安全性是网络服务是通过各种各样的协议完成的,协议的安全性是网络服务是通过各种各样的协议完成的,协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全上的网络安全的一个重要方面。如果网络通信协
21、议存在安全上的网络安全的一个重要方面。如果网络通信协议存在安全上的网络安全的一个重要方面。如果网络通信协议存在安全上的缺陷,攻击者不必攻破密码体制即可获得所要的信息或服务。缺陷,攻击者不必攻破密码体制即可获得所要的信息或服务。缺陷,攻击者不必攻破密码体制即可获得所要的信息或服务。缺陷,攻击者不必攻破密码体制即可获得所要的信息或服务。而且网络协议的安全性很难得到绝对保证。目前而且网络协议的安全性很难得到绝对保证。目前而且网络协议的安全性很难得到绝对保证。目前而且网络协议的安全性很难得到绝对保证。目前InternetInternet提提提提供常用服务所使用的协议,如供常用服务所使用的协议,如供常用
22、服务所使用的协议,如供常用服务所使用的协议,如TelnetTelnet、FTPFTP和和和和HTTPHTTP,在安,在安,在安,在安全方面都存在一定的缺陷,许多黑客攻击都是利用这些协议全方面都存在一定的缺陷,许多黑客攻击都是利用这些协议全方面都存在一定的缺陷,许多黑客攻击都是利用这些协议全方面都存在一定的缺陷,许多黑客攻击都是利用这些协议的安全漏洞得逞的。的安全漏洞得逞的。的安全漏洞得逞的。的安全漏洞得逞的。(4)黑客的恶意攻击)黑客的恶意攻击即所谓非法入侵电脑系统者,网上黑客攻击对国家金融即所谓非法入侵电脑系统者,网上黑客攻击对国家金融即所谓非法入侵电脑系统者,网上黑客攻击对国家金融即所谓非
23、法入侵电脑系统者,网上黑客攻击对国家金融安全的潜在风险极大。目前,黑客行动几乎涉及了所有的操安全的潜在风险极大。目前,黑客行动几乎涉及了所有的操安全的潜在风险极大。目前,黑客行动几乎涉及了所有的操安全的潜在风险极大。目前,黑客行动几乎涉及了所有的操作系统,包括作系统,包括作系统,包括作系统,包括UNIXUNIX与与与与windowsNTwindowsNT。因为许多网络系统都有因为许多网络系统都有因为许多网络系统都有因为许多网络系统都有着各种各样的安全漏洞,其中某些是操作系统本身的,有些着各种各样的安全漏洞,其中某些是操作系统本身的,有些着各种各样的安全漏洞,其中某些是操作系统本身的,有些着各种
24、各样的安全漏洞,其中某些是操作系统本身的,有些是管理员配置错误引起的。黑客利用网上的任何漏洞和缺陷是管理员配置错误引起的。黑客利用网上的任何漏洞和缺陷是管理员配置错误引起的。黑客利用网上的任何漏洞和缺陷是管理员配置错误引起的。黑客利用网上的任何漏洞和缺陷修改网页,非法进人主机,进入银行盗取和转移资金、窃取修改网页,非法进人主机,进入银行盗取和转移资金、窃取修改网页,非法进人主机,进入银行盗取和转移资金、窃取修改网页,非法进人主机,进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等。信息、发送假冒的电子邮件等。信息、发送假冒的电子邮件等。信息、发送假冒的电子邮件等。(5)计算机病毒攻击)计算
25、机病毒攻击电脑网络病毒破坏性极强。一旦文件服务器的硬盘被病毒感染,就电脑网络病毒破坏性极强。一旦文件服务器的硬盘被病毒感染,就电脑网络病毒破坏性极强。一旦文件服务器的硬盘被病毒感染,就电脑网络病毒破坏性极强。一旦文件服务器的硬盘被病毒感染,就可能造成网络服务器无法启动,导致整个网络瘫痪,这对电子支付系统可能造成网络服务器无法启动,导致整个网络瘫痪,这对电子支付系统可能造成网络服务器无法启动,导致整个网络瘫痪,这对电子支付系统可能造成网络服务器无法启动,导致整个网络瘫痪,这对电子支付系统来说无疑是灭顶之灾。电脑网络病毒普遍具有较强的再生功能,一接触来说无疑是灭顶之灾。电脑网络病毒普遍具有较强的再
26、生功能,一接触来说无疑是灭顶之灾。电脑网络病毒普遍具有较强的再生功能,一接触来说无疑是灭顶之灾。电脑网络病毒普遍具有较强的再生功能,一接触就可通过网络进行扩散与传染。一旦某个程序被感染了,很快整台机器、就可通过网络进行扩散与传染。一旦某个程序被感染了,很快整台机器、就可通过网络进行扩散与传染。一旦某个程序被感染了,很快整台机器、就可通过网络进行扩散与传染。一旦某个程序被感染了,很快整台机器、整个网络也会被感染的。据有关资料介绍,在网络上病毒传播的速度是整个网络也会被感染的。据有关资料介绍,在网络上病毒传播的速度是整个网络也会被感染的。据有关资料介绍,在网络上病毒传播的速度是整个网络也会被感染的
27、。据有关资料介绍,在网络上病毒传播的速度是单机的几十倍,这对于电子支付的威胁同样也是致命的。鉴于电脑网络单机的几十倍,这对于电子支付的威胁同样也是致命的。鉴于电脑网络单机的几十倍,这对于电子支付的威胁同样也是致命的。鉴于电脑网络单机的几十倍,这对于电子支付的威胁同样也是致命的。鉴于电脑网络病毒破坏性极强、再生机制十分发达、扩散面非常广的特点,如何解决病毒破坏性极强、再生机制十分发达、扩散面非常广的特点,如何解决病毒破坏性极强、再生机制十分发达、扩散面非常广的特点,如何解决病毒破坏性极强、再生机制十分发达、扩散面非常广的特点,如何解决电脑网络病毒是当前电子支付监管要解决的首要问题之一。电脑网络病
28、毒是当前电子支付监管要解决的首要问题之一。电脑网络病毒是当前电子支付监管要解决的首要问题之一。电脑网络病毒是当前电子支付监管要解决的首要问题之一。2信息传输风险信息传输风险信息传输风险是指进行网上交易时,因传输的信息失信息传输风险是指进行网上交易时,因传输的信息失信息传输风险是指进行网上交易时,因传输的信息失信息传输风险是指进行网上交易时,因传输的信息失真或者信息被非法的窃取、篡改和丢失,而导致网上交易的真或者信息被非法的窃取、篡改和丢失,而导致网上交易的真或者信息被非法的窃取、篡改和丢失,而导致网上交易的真或者信息被非法的窃取、篡改和丢失,而导致网上交易的不必要损失。从技术上看,网上交易的信
29、息传输风险主要来不必要损失。从技术上看,网上交易的信息传输风险主要来不必要损失。从技术上看,网上交易的信息传输风险主要来不必要损失。从技术上看,网上交易的信息传输风险主要来自三方面:自三方面:自三方面:自三方面:(1 1)冒名偷窃。)冒名偷窃。)冒名偷窃。)冒名偷窃。如如如如 黑客黑客黑客黑客 为了获取重要的商业秘为了获取重要的商业秘为了获取重要的商业秘为了获取重要的商业秘密、资源和信息,常常采用源密、资源和信息,常常采用源密、资源和信息,常常采用源密、资源和信息,常常采用源IPIP地址欺骗攻击。地址欺骗攻击。地址欺骗攻击。地址欺骗攻击。(2 2)篡改数据。)篡改数据。)篡改数据。)篡改数据。
30、攻击者未经授权进入网络交易系统,使用攻击者未经授权进入网络交易系统,使用攻击者未经授权进入网络交易系统,使用攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风他人的经济利益,或干扰
31、对方的正确决策,造成网上交易的信息传输风险。险。险。险。(3 3)信息丢失。)信息丢失。)信息丢失。)信息丢失。交易信息的丢失,可能有三种情况:一是交易信息的丢失,可能有三种情况:一是交易信息的丢失,可能有三种情况:一是交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。在不同的操作平台上转换操作不当而丢失信息。在不同的操作
32、平台上转换操作不当而丢失信息。在不同的操作平台上转换操作不当而丢失信息。(4 4)信息传递过程中的破坏。)信息传递过程中的破坏。)信息传递过程中的破坏。)信息传递过程中的破坏。 信息在网络上传递时,要经过多个环节和渠道。由于计算机技术发展信息在网络上传递时,要经过多个环节和渠道。由于计算机技术发展信息在网络上传递时,要经过多个环节和渠道。由于计算机技术发展信息在网络上传递时,要经过多个环节和渠道。由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着
33、被新迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、技术攻击的可能性。计算机病毒的侵袭、技术攻击的可能性。计算机病毒的侵袭、技术攻击的可能性。计算机病毒的侵袭、“ “黑客黑客黑客黑客” ”非法侵入、线路窃听等非法侵入、线路窃听等非法侵入、线路窃听等非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。此外,各种外界的物理性干扰,如通
34、信线路质量较差、地理位置复杂、自然灾各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。害等,都可能影响到数据的真实性和完整性。害等,都可能影响到数据的真实性和完整性。害等,都可能影响到数据的真实性和完整性。(5 5)虚假信息。)虚假信息。)虚假信息。)虚假信息。从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源从买卖双方自身的角度观察,网上交易中的信息
35、传输风险还可能来源从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。现信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。现信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。现信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。现在还没有很好的解决信息鉴别
36、的办法。在还没有很好的解决信息鉴别的办法。在还没有很好的解决信息鉴别的办法。在还没有很好的解决信息鉴别的办法。3信用风险信用风险信用风险主要来自三个方面:信用风险主要来自三个方面:信用风险主要来自三个方面:信用风险主要来自三个方面:(1 1)来自买方的信用风险。对于个人消费者来说,可)来自买方的信用风险。对于个人消费者来说,可)来自买方的信用风险。对于个人消费者来说,可)来自买方的信用风险。对于个人消费者来说,可能在网络上使用信用卡进行支付时恶意透支,或使用伪造的能在网络上使用信用卡进行支付时恶意透支,或使用伪造的能在网络上使用信用卡进行支付时恶意透支,或使用伪造的能在网络上使用信用卡进行支付
37、时恶意透支,或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延货款的可能,卖方需要为此承担风险。延货款的可能,卖方需要为此承担风险。延货款的可能,卖方需要为此承担风险。延货款的可能,卖方需要为此承担风险。(2 2)来自卖方的信用风险。卖方不能按质、按量、按)来自卖方的信用风险。卖方不能按质、按量、按)来自卖方的信用风险。卖方不能按质、按量、按)来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行
38、与集团购买者时寄送消费者购买的货物,或者不能完全履行与集团购买者时寄送消费者购买的货物,或者不能完全履行与集团购买者时寄送消费者购买的货物,或者不能完全履行与集团购买者签定的合同,造成买方的风险。签定的合同,造成买方的风险。签定的合同,造成买方的风险。签定的合同,造成买方的风险。(3)买卖双方都存在)买卖双方都存在抵赖的情况。抵赖的情况。传统交易时,交易双方可传统交易时,交易双方可传统交易时,交易双方可传统交易时,交易双方可以直接面对面进行,信用风险以直接面对面进行,信用风险以直接面对面进行,信用风险以直接面对面进行,信用风险比较容易控制。由于网上交易比较容易控制。由于网上交易比较容易控制。由
39、于网上交易比较容易控制。由于网上交易时,物流与资金流在空间上和时,物流与资金流在空间上和时,物流与资金流在空间上和时,物流与资金流在空间上和时间上是分离的,因此如果没时间上是分离的,因此如果没时间上是分离的,因此如果没时间上是分离的,因此如果没有信用保证网上交易是很难进有信用保证网上交易是很难进有信用保证网上交易是很难进有信用保证网上交易是很难进行的。再加上网上交易一般是行的。再加上网上交易一般是行的。再加上网上交易一般是行的。再加上网上交易一般是跨越时空的,交易双方很难面跨越时空的,交易双方很难面跨越时空的,交易双方很难面跨越时空的,交易双方很难面对面交流,信用的风险就很难对面交流,信用的风
40、险就很难对面交流,信用的风险就很难对面交流,信用的风险就很难控制。这就要求网上交易双方控制。这就要求网上交易双方控制。这就要求网上交易双方控制。这就要求网上交易双方必须有良好的信用,而且有一必须有良好的信用,而且有一必须有良好的信用,而且有一必须有良好的信用,而且有一套有效的信用机制降低信用风套有效的信用机制降低信用风套有效的信用机制降低信用风套有效的信用机制降低信用风险。险。险。险。4管理方面的风险管理方面的风险网上交易管理风险是指由于交易流程管理、网上交易管理风险是指由于交易流程管理、网上交易管理风险是指由于交易流程管理、网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善
41、所带来的风险。人员管理、交易技术管理的不完善所带来的风险。人员管理、交易技术管理的不完善所带来的风险。人员管理、交易技术管理的不完善所带来的风险。(1)交易流程管理风险。)交易流程管理风险。在网络商品中介交易的过程在网络商品中介交易的过程在网络商品中介交易的过程在网络商品中介交易的过程中,客户进入交易中心,买卖双方签定合同,交易中心不仅要监督买方中,客户进入交易中心,买卖双方签定合同,交易中心不仅要监督买方中,客户进入交易中心,买卖双方签定合同,交易中心不仅要监督买方中,客户进入交易中心,买卖双方签定合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,按
42、时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,按时付款,还要监督卖方按时提供符合合同要求的货物。在这些环节上,都存在着大量的管理问题,如果管理不善势必造成巨大的潜在风险。为都存在着大量的管理问题,如果管理不善势必造成巨大的潜在风险。为都存在着大量的管理问题,如果管理不善势必造成巨大的潜在风险。为都存在着大量的管理问题,如果管理不善势必造成巨大的潜在风险。为防止此类问题的风险需要有完善的制度设计,形成一套相互关联、相互防止此类问题的风险需要有完善的制度设计,形成一套相互关联、相互防止此类问题的风险需要有完善的制度设计
43、,形成一套相互关联、相互防止此类问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。制约的制度群。制约的制度群。制约的制度群。(2)人员管理风险。)人员管理风险。人员管理常常是网上交易安全管理上的最薄弱的环节,近人员管理常常是网上交易安全管理上的最薄弱的环节,近人员管理常常是网上交易安全管理上的最薄弱的环节,近人员管理常常是网上交易安全管理上的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是因工作人员职
44、业道德修养不高,安全教育和管理松懈所致。是因工作人员职业道德修养不高,安全教育和管理松懈所致。是因工作人员职业道德修养不高,安全教育和管理松懈所致。是因工作人员职业道德修养不高,安全教育和管理松懈所致。一些竞争对手还利用企业招募新人的方式潜入该企业,或利一些竞争对手还利用企业招募新人的方式潜入该企业,或利一些竞争对手还利用企业招募新人的方式潜入该企业,或利一些竞争对手还利用企业招募新人的方式潜入该企业,或利用不正当的方式收买企业网络交易管理人员,窃取企业的用用不正当的方式收买企业网络交易管理人员,窃取企业的用用不正当的方式收买企业网络交易管理人员,窃取企业的用用不正当的方式收买企业网络交易管理
45、人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。户识别码、密码、传递方式以及相关的机密文件资料。户识别码、密码、传递方式以及相关的机密文件资料。户识别码、密码、传递方式以及相关的机密文件资料。5法律方面的风险法律方面的风险网上交易信息系统的技术设计是先进的、超前的,具网上交易信息系统的技术设计是先进的、超前的,具网上交易信息系统的技术设计是先进的、超前的,具网上交易信息系统的技术设计是先进的、超前的,具有强大的生命力。但必须清楚地认识到,在目前的法律上还有强大的生命力。但必须清楚地认识到,在目前的法律上还有强大的生命力。但必须清楚地认识到,在目前的法律上还有强大的生命力。但必
46、须清楚地认识到,在目前的法律上还是存在网络无法保护交易中的交易方式的缺漏,因此还存在是存在网络无法保护交易中的交易方式的缺漏,因此还存在是存在网络无法保护交易中的交易方式的缺漏,因此还存在是存在网络无法保护交易中的交易方式的缺漏,因此还存在法律方面的风险。法律方面的风险。法律方面的风险。法律方面的风险。一方面,在网上交易可能会承担由于法律滞后而无法保一方面,在网上交易可能会承担由于法律滞后而无法保一方面,在网上交易可能会承担由于法律滞后而无法保一方面,在网上交易可能会承担由于法律滞后而无法保证合法交易的权益所造成的风险,如通过网络达成交易合同,证合法交易的权益所造成的风险,如通过网络达成交易合
47、同,证合法交易的权益所造成的风险,如通过网络达成交易合同,证合法交易的权益所造成的风险,如通过网络达成交易合同,可能因为法律条文还没有承认数字化合同的法律效力而面临可能因为法律条文还没有承认数字化合同的法律效力而面临可能因为法律条文还没有承认数字化合同的法律效力而面临可能因为法律条文还没有承认数字化合同的法律效力而面临失去法律保护的危险。失去法律保护的危险。失去法律保护的危险。失去法律保护的危险。二、电子商务的安全要求二、电子商务的安全要求正是由于电子商务的开展过程中存在着很正是由于电子商务的开展过程中存在着很多安全问题,我们要使得电子商务正常有序多安全问题,我们要使得电子商务正常有序的进行,
48、就必须保证电子商务的安全,解决的进行,就必须保证电子商务的安全,解决以上的安全问题,营造一个安全的电子商务以上的安全问题,营造一个安全的电子商务环境,那么这样一个安全的电子商务环境又环境,那么这样一个安全的电子商务环境又有哪些安全要求,成为我们解决电子商务存有哪些安全要求,成为我们解决电子商务存在的安全问题接下来要解决的问题:在的安全问题接下来要解决的问题:( (一一一一) )信息的保密性信息的保密性信息的保密性信息的保密性 交易中的商务信息一般都有保密的要求,信息内容不交易中的商务信息一般都有保密的要求,信息内容不交易中的商务信息一般都有保密的要求,信息内容不交易中的商务信息一般都有保密的要
49、求,信息内容不能随便被他人获取,尤其是涉及到一些商业机密及有支付等能随便被他人获取,尤其是涉及到一些商业机密及有支付等能随便被他人获取,尤其是涉及到一些商业机密及有支付等能随便被他人获取,尤其是涉及到一些商业机密及有支付等敏感信息时,信息的保密性就显得更为重要了。敏感信息时,信息的保密性就显得更为重要了。敏感信息时,信息的保密性就显得更为重要了。敏感信息时,信息的保密性就显得更为重要了。 ( (二二二二) )信息的完整性信息的完整性信息的完整性信息的完整性 信息的完整性包括电子商务中的信息不被篡改、不被信息的完整性包括电子商务中的信息不被篡改、不被信息的完整性包括电子商务中的信息不被篡改、不被
50、信息的完整性包括电子商务中的信息不被篡改、不被遗漏。遗漏。遗漏。遗漏。 三三三三) )通信的不可抵赖、不可否认通信的不可抵赖、不可否认通信的不可抵赖、不可否认通信的不可抵赖、不可否认 在电子商务活动中一条信息被发送或被接收后,应该在电子商务活动中一条信息被发送或被接收后,应该在电子商务活动中一条信息被发送或被接收后,应该在电子商务活动中一条信息被发送或被接收后,应该通过一定的方式,保证信息的各方有足够的证据证明接收或通过一定的方式,保证信息的各方有足够的证据证明接收或通过一定的方式,保证信息的各方有足够的证据证明接收或通过一定的方式,保证信息的各方有足够的证据证明接收或发送的操作已经发生。发送
51、的操作已经发生。发送的操作已经发生。发送的操作已经发生。( (四四四四) )交易各方身份的认证交易各方身份的认证交易各方身份的认证交易各方身份的认证 要使网上交易成功,参与交易的人首先要能确认对方的身份,要使网上交易成功,参与交易的人首先要能确认对方的身份,要使网上交易成功,参与交易的人首先要能确认对方的身份,要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方所声称的是否一致。确定对方的真实身份与对方所声称的是否一致。确定对方的真实身份与对方所声称的是否一致。确定对方的真实身份与对方所声称的是否一致。 ( (五五五五) )信息的有效性信息的有效性信息的有效性信息的有
52、效性 电子商务以电子形式取代了纸张,那么如何保证这种电子形电子商务以电子形式取代了纸张,那么如何保证这种电子形电子商务以电子形式取代了纸张,那么如何保证这种电子形电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。式的贸易信息的有效性则是开展电子商务的前提。式的贸易信息的有效性则是开展电子商务的前提。式的贸易信息的有效性则是开展电子商务的前提。 ( (六六六六) )个人隐私权的保护个人隐私权的保护个人隐私权的保护个人隐私权的保护 电子商务中是否可以保护个人隐私权,势必影响到个人消者电子商务中是否可以保护个人隐私权,势必影响到个人消者电子商务中是否可以
53、保护个人隐私权,势必影响到个人消者电子商务中是否可以保护个人隐私权,势必影响到个人消者者参与电子商务的积极性。者参与电子商务的积极性。者参与电子商务的积极性。者参与电子商务的积极性。安全性问题总结安全性问题总结互联网开放性成员多样性位置分散性信息信息失窃失窃信息信息篡改改系系统抗抗攻攻击性性消消费者者隐私保私保护性性交易抵交易抵赖信息假冒性信息假冒性推推推推动动动动电子子商商务安安全全技技术24二、旅游电子商务的安全要求二、旅游电子商务的安全要求信息信息传输的保密性的保密性 交易文件的完整性交易文件的完整性 信息的不可否信息的不可否认性性 交易者身份的真交易者身份的真实性性图图3-1 3-1
54、密密码系系统的构成的构成三、旅游电子商务的安全技术三、旅游电子商务的安全技术一)、加密技术:一)、加密技术:数据加密:数据加密:是电子商务采取的主要安全保密措施,是最常用是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用密码算法把明文数据变换成密文数据的安全保密手段,利用密码算法把明文数据变换成密文数据乱码乱码传送,到达目的地后再用相同或不同的手段还原(解密)传送,到达目的地后再用相同或不同的手段还原(解密)。对称加密技术对称加密技术n n对称加密算法是数据发信方将明文(原始数据)和加密密钥一起经过特殊加对称加密算法是数据发信方将明文(原始数据)和加密密钥一起经过特殊加对称加密算法
55、是数据发信方将明文(原始数据)和加密密钥一起经过特殊加对称加密算法是数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解想解读原文,则需要
56、使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。密,才能使其恢复成可读明文。密,才能使其恢复成可读明文。密,才能使其恢复成可读明文。关于算法对称加密通常用关于算法对称加密通常用关于算法对称加密通常用关于算法对称加密通常用DESDES,AESAES,IDEAIDEA。n nDESDES:5656位的密钥,位的密钥,位的密钥,位的密钥,19971997年年年年RSARSA数据安全公司发起了一项数据安全公司发起了一项数据安全公司发起了一项数据安全公司发起了一项“DESDES挑战赛挑战赛挑战赛挑战赛”的活动,志愿者四次分别用四个月、的活动,志愿者四次分别用四个月、的活动,志
57、愿者四次分别用四个月、的活动,志愿者四次分别用四个月、4141天、天、天、天、5656个小时和个小时和个小时和个小时和2222个小时破解了其用个小时破解了其用个小时破解了其用个小时破解了其用5656位密钥位密钥位密钥位密钥DESDES算法加密的密文。即算法加密的密文。即算法加密的密文。即算法加密的密文。即DESDES加密算法在计算机速度提升后的今天加密算法在计算机速度提升后的今天加密算法在计算机速度提升后的今天加密算法在计算机速度提升后的今天被认为是不安全的。被认为是不安全的。被认为是不安全的。被认为是不安全的。n nAESAES:AESAES提供提供提供提供128128位密钥,因此,位密钥,
58、因此,位密钥,因此,位密钥,因此,128128位位位位AESAES的加密强度是的加密强度是的加密强度是的加密强度是5656位位位位DESDES加密加密加密加密强度的强度的强度的强度的10211021倍还多。假设可以制造一部可以在倍还多。假设可以制造一部可以在倍还多。假设可以制造一部可以在倍还多。假设可以制造一部可以在1 1秒内破解秒内破解秒内破解秒内破解DESDES密码的机器,密码的机器,密码的机器,密码的机器,那么使用这台机器破解一个那么使用这台机器破解一个那么使用这台机器破解一个那么使用这台机器破解一个128128位位位位AESAES密码需要大约密码需要大约密码需要大约密码需要大约1491
59、49亿万年的时间。亿万年的时间。亿万年的时间。亿万年的时间。对称密钥对称密钥DES信息信息明文明文信息信息密文密文加密加密信息信息密文密文信息信息明文明文解密解密SR网络网络n n加密和解密的示范加密和解密的示范 以一个简单实例来看看加密和解密的过程。一个简以一个简单实例来看看加密和解密的过程。一个简以一个简单实例来看看加密和解密的过程。一个简以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明单的加密方法是把英文字母按字母表的顺序编号作为明单的加密方法是把英文字母按字母表的顺序编号作为明单的加密方法是把英文字母按字母表的顺序编号作为明文,将密钥定为文,
60、将密钥定为文,将密钥定为文,将密钥定为1717,加密算法为将明文加上密钥,加密算法为将明文加上密钥,加密算法为将明文加上密钥,加密算法为将明文加上密钥1717,就,就,就,就得到一个密码表得到一个密码表得到一个密码表得到一个密码表 一个简单的密码表一个简单的密码表一个简单的密码表一个简单的密码表 字母 ABCZ空格,./:?明文 010203 26272829303132密文 18192043444546474849非对称加密技术非对称加密技术n n非对称加密算法使用两把完全不同但又是完全匹配的一对非对称加密算法使用两把完全不同但又是完全匹配的一对非对称加密算法使用两把完全不同但又是完全匹配的
61、一对非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙钥匙钥匙钥匙公钥和私钥公钥和私钥公钥和私钥公钥和私钥。在使用不对称加密算法加密文件时,。在使用不对称加密算法加密文件时,。在使用不对称加密算法加密文件时,。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密只有使用匹配的一对公钥和私钥,才能完成对明文的加密只有使用匹配的一对公钥和私钥,才能完成对明文的加密只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。和解密过程。和解密过程。和解密过程。加密明文时采用公钥加密加密明文时采用公钥加密加密明文时采用公钥加密加密明文时采用公钥加密,解密密文时使用解
62、密密文时使用解密密文时使用解密密文时使用私钥才私钥才私钥才私钥才能完成,而且发信方(加密者)知道收信方的公钥,能完成,而且发信方(加密者)知道收信方的公钥,能完成,而且发信方(加密者)知道收信方的公钥,能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。只有收信方(解密者)才是唯一知道自己私钥的人。只有收信方(解密者)才是唯一知道自己私钥的人。只有收信方(解密者)才是唯一知道自己私钥的人。n n不对称加密算法不对称加密算法RSA 解密的密钥不同于不同于用于加密的密钥,而且解密密钥不能不能根据加密密钥推算推算出来。31二)安全认证二)安全认证n n1 1、
63、数字签名技术、数字签名技术、数字签名技术、数字签名技术n n发送方和接收方之间存在欺骗和抵赖,因此除了加密、认发送方和接收方之间存在欺骗和抵赖,因此除了加密、认证之外,还需要其他机制,最吸引人的解决方案是证之外,还需要其他机制,最吸引人的解决方案是数字签数字签数字签数字签名名名名。n n数字签名是手写签名的模拟。因此必须具有如下的性质:数字签名是手写签名的模拟。因此必须具有如下的性质:l l 必须能证实作者签名和签名的必须能证实作者签名和签名的日期和时间日期和时间日期和时间日期和时间。l l 在签名是必须能对在签名是必须能对内容进行鉴别内容进行鉴别内容进行鉴别内容进行鉴别。l l 签名必须能签
64、名必须能被第被第被第被第3 3方证实方证实方证实方证实以便解决争端以便解决争端n n散列技术与散列技术与HASHHASH运算(座位分配问题)运算(座位分配问题)l l检验码与消息摘要。检验码与消息摘要。32数据签名技术数据签名技术33数字签名技术数字签名技术n n数字签名的概念数字签名的概念数字签名的概念数字签名的概念 数数数数字字字字签签签签名名名名(Digital Digital SignatureSignature)技技技技术术术术是是是是将将将将摘摘摘摘要要要要用用用用发发发发送送送送者者者者的的的的私私私私钥钥钥钥加加加加密密密密,与与与与原原原原文文文文一一一一起起起起传传传传送送
65、送送给给给给接接接接收收收收者者者者。接接接接收收收收者者者者只只只只有有有有用发送者的公钥才能解密被加密的摘要。用发送者的公钥才能解密被加密的摘要。用发送者的公钥才能解密被加密的摘要。用发送者的公钥才能解密被加密的摘要。数字签名的使用方法数字签名的使用方法(1 1)发发发发送送送送方方方方首首首首先先先先用用用用哈哈哈哈希希希希函函函函数数数数从从从从明明明明文文文文文文文文件件件件中中中中生生生生成成成成一一一一个个个个数数数数字字字字摘摘摘摘要要要要,用用用用自自自自己己己己的的的的私私私私钥钥钥钥对对对对这这这这个个个个数数数数字字字字摘摘摘摘要要要要进进进进行行行行加加加加密密密密来
66、来来来形形形形成成成成发发发发送送送送方方方方的的的的数数数数字签名。字签名。字签名。字签名。(2 2)发发发发送送送送方方方方选选选选择择择择一一一一个个个个对对对对称称称称密密密密钥钥钥钥对对对对文文文文件件件件加加加加密密密密,然然然然后后后后通通通通过过过过网网网网络络络络传传传传输输输输到到到到接接接接收收收收方方方方,最最最最后后后后通通通通过过过过网网网网络络络络将将将将该该该该数数数数字字字字签签签签名名名名作作作作为为为为附附附附件件件件和和和和报报报报文文文文密文一起发送给接收方。密文一起发送给接收方。密文一起发送给接收方。密文一起发送给接收方。(3 3)发发发发送送送送方
67、方方方用用用用接接接接收收收收方方方方的的的的公公公公钥钥钥钥给给给给对对对对称称称称密密密密钥钥钥钥加加加加密密密密,并并并并通通通通过过过过网网网网络络络络把把把把加密后的对称密钥传输到接收方。加密后的对称密钥传输到接收方。加密后的对称密钥传输到接收方。加密后的对称密钥传输到接收方。(4 4)接接接接收收收收方方方方使使使使用用用用自自自自己己己己的的的的私私私私钥钥钥钥对对对对密密密密钥钥钥钥信信信信息息息息进进进进行行行行解解解解密密密密,得得得得到到到到对对对对称称称称密钥。密钥。密钥。密钥。(5 5)接接接接收收收收方方方方用用用用对对对对称称称称密密密密钥钥钥钥对对对对文文文文件
68、件件件进进进进行行行行解解解解密密密密,得得得得到到到到经经经经过过过过加加加加密密密密的的的的数数数数字签名。字签名。字签名。字签名。(6 6 6 6)接收方用发送方的公钥对数字签名进行解密,得到数字)接收方用发送方的公钥对数字签名进行解密,得到数字)接收方用发送方的公钥对数字签名进行解密,得到数字)接收方用发送方的公钥对数字签名进行解密,得到数字签名的明文。签名的明文。签名的明文。签名的明文。 数字签名过程数字签名过程36数字签名数字签名数字签名数字签名 2、数字证书、数字证书(1 1 1 1)数字证书的概念数字证书的概念数字证书的概念数字证书的概念 数数数数字字字字证证证证书书书书是是是
69、是一一一一个个个个担担担担保保保保个个个个人人人人、计计计计算算算算机机机机系系系系统统统统或或或或者组者组者组者组织的身份和密钥所有权的电子文档。织的身份和密钥所有权的电子文档。织的身份和密钥所有权的电子文档。织的身份和密钥所有权的电子文档。(2 2 2 2)数字证书的类型数字证书的类型数字证书的类型数字证书的类型客户证书证实客户身份和密钥所有权。客户证书证实客户身份和密钥所有权。客户证书证实客户身份和密钥所有权。客户证书证实客户身份和密钥所有权。服务器证书证实服务器的身份和公钥。服务器证书证实服务器的身份和公钥。服务器证书证实服务器的身份和公钥。服务器证书证实服务器的身份和公钥。安全邮件证
70、书证实电子邮件用户的身份和公钥。安全邮件证书证实电子邮件用户的身份和公钥。安全邮件证书证实电子邮件用户的身份和公钥。安全邮件证书证实电子邮件用户的身份和公钥。CACA机构证书证实认证中心身份和认证中心的签机构证书证实认证中心身份和认证中心的签机构证书证实认证中心身份和认证中心的签机构证书证实认证中心身份和认证中心的签名密钥。名密钥。名密钥。名密钥。CA认证中心认证中心 由由由由于于于于电电电电子子子子商商商商务务务务是是是是在在在在网网网网络络络络中中中中完完完完成成成成,交交交交易易易易双双双双方方方方互互互互相相相相之之之之间间间间不不不不见见见见面面面面,为为为为了了了了保保保保证证证证
71、每每每每个个个个人人人人及及及及机机机机构构构构(如如如如银银银银行行行行、商商商商家家家家)都都都都能能能能唯一而且被无误地识别,这就需要进行身份认证。唯一而且被无误地识别,这就需要进行身份认证。唯一而且被无误地识别,这就需要进行身份认证。唯一而且被无误地识别,这就需要进行身份认证。认证中心(认证中心(认证中心(认证中心(CACA)电子商务认证授权机构也称为电子商务认证电子商务认证授权机构也称为电子商务认证电子商务认证授权机构也称为电子商务认证电子商务认证授权机构也称为电子商务认证中心(中心(中心(中心(Certificate AuthorityCertificate Authority,C
72、ACA)。)。)。)。CACA就是承担网上就是承担网上就是承担网上就是承担网上安全电子交易的认证服务,它能签发数字证书,并能确安全电子交易的认证服务,它能签发数字证书,并能确安全电子交易的认证服务,它能签发数字证书,并能确安全电子交易的认证服务,它能签发数字证书,并能确认用户身份的服务机构。认用户身份的服务机构。认用户身份的服务机构。认用户身份的服务机构。CACA通常是一个服务性机构,通常是一个服务性机构,通常是一个服务性机构,通常是一个服务性机构,主要任务是受理数字证书的申请,签发及管理数字证书。主要任务是受理数字证书的申请,签发及管理数字证书。主要任务是受理数字证书的申请,签发及管理数字证
73、书。主要任务是受理数字证书的申请,签发及管理数字证书。认证中心的职能认证中心的职能 认证中心具有下列认证中心具有下列认证中心具有下列认证中心具有下列4 4大职能:大职能:大职能:大职能:(1 1 1 1)证证证证书书书书发发发发放放放放 可可可可以以以以有有有有多多多多种种种种方方方方法法法法向向向向申申申申请请请请者者者者发发发发放放放放证证证证书书书书,可可可可以以以以发发发发放给最终用户签名的或加密的证书。放给最终用户签名的或加密的证书。放给最终用户签名的或加密的证书。放给最终用户签名的或加密的证书。(2 2 2 2)证证证证书书书书更更更更新新新新 持持持持卡卡卡卡人人人人证证证证书书
74、书书、商商商商户户户户和和和和支支支支付付付付网网网网关关关关证证证证书书书书应应应应定定定定期期期期更更更更新,更新过程与证书发放过程是一样的。新,更新过程与证书发放过程是一样的。新,更新过程与证书发放过程是一样的。新,更新过程与证书发放过程是一样的。(3 3 3 3)证证证证书书书书撤撤撤撤消消消消 证证证证书书书书的的的的撤撤撤撤消消消消可可可可以以以以有有有有许许许许多多多多理理理理由由由由,如如如如私私私私钥钥钥钥被被被被泄泄泄泄密密密密,身份信息的更新或终止使用等。身份信息的更新或终止使用等。身份信息的更新或终止使用等。身份信息的更新或终止使用等。(4 4 4 4)证书验证)证书验
75、证)证书验证)证书验证认证证书是通过信任分级体系来验证的,每认证证书是通过信任分级体系来验证的,每认证证书是通过信任分级体系来验证的,每认证证书是通过信任分级体系来验证的,每一种证书与签发它的单位相联系,沿着该信任树直接到一一种证书与签发它的单位相联系,沿着该信任树直接到一一种证书与签发它的单位相联系,沿着该信任树直接到一一种证书与签发它的单位相联系,沿着该信任树直接到一个认可信赖的组织,就可以确定证书的有效性。个认可信赖的组织,就可以确定证书的有效性。个认可信赖的组织,就可以确定证书的有效性。个认可信赖的组织,就可以确定证书的有效性。 数字证书的内容数字证书的内容 证书数据证书数据证书数据证
76、书数据 版本信息;版本信息;版本信息;版本信息;证书序列号;证书序列号;证书序列号;证书序列号;CACA所使用的签名算法;所使用的签名算法;所使用的签名算法;所使用的签名算法;发行证书发行证书发行证书发行证书CACA的名称;的名称;的名称;的名称;证书的有效期限;证书的有效期限;证书的有效期限;证书的有效期限;证书主题名称;证书主题名称;证书主题名称;证书主题名称;被证明的公钥信息的特别被证明的公钥信息的特别被证明的公钥信息的特别被证明的公钥信息的特别扩展。扩展。扩展。扩展。发行证书的发行证书的发行证书的发行证书的CACA签名签名签名签名数字证书的有效性数字证书的有效性 只有下列条件为真时,数
77、字证书才有效。只有下列条件为真时,数字证书才有效。证书没有过期证书没有过期密钥没有修改密钥没有修改用户有权使用这个密钥用户有权使用这个密钥 证书必须不在无效证书清单中证书必须不在无效证书清单中中国知名的认证中心中国知名的认证中心 中国数字认证网(中国数字认证网(中国数字认证网(中国数字认证网( )中国金融认证中心(中国金融认证中心(中国金融认证中心(中国金融认证中心( )中中中中国国国国电电电电子子子子邮邮邮邮政政政政安安安安全全全全证证证证书书书书管管管管理理理理中中中中心心心心( )北京数字证书认证中心(北京数字证书认证中心(北京数字证书认证中心(北京数字证书认证中心()广东省电子商
78、务认证中心(广东省电子商务认证中心(广东省电子商务认证中心(广东省电子商务认证中心() 上上上上 海海海海 市市市市 电电电电 子子子子 商商商商 务务务务 安安安安 全全全全 证证证证 书书书书 管管管管 理理理理 中中中中 心心心心 有有有有 限限限限 公公公公 司司司司()海南省电子商务认证中心(海南省电子商务认证中心(海南省电子商务认证中心(海南省电子商务认证中心()天津天津天津天津CACA认证中心(认证中心(认证中心(认证中心( 山东省山东省山东省山东省CACA认证中心(认证中心(认证中心(认证中心()三)、安全协议三)、安全协议1 1、SSLSSL(Secure Socket La
79、yerSecure Socket Layer): :安全套接层协议。安全套接层协议。n nSSLSSL协议是美国协议是美国NetscapeNetscape公司推出的。国际上公司推出的。国际上最早应用最早应用最早应用最早应用于电子商务的一种有消费者和商家参加的信用卡于电子商务的一种有消费者和商家参加的信用卡/ /借记卡借记卡协议。协议。极不安全的网络471、SSL协议协议SSLSSL协议概述协议概述协议概述协议概述n n安全套接层安全套接层安全套接层安全套接层(Secure Sockets Layer(Secure Sockets Layer,SSL)SSL)是一种传输层是一种传输层是一种传输层
80、是一种传输层技术,可以实现兼容浏览器和服务器之间的安全通信。技术,可以实现兼容浏览器和服务器之间的安全通信。技术,可以实现兼容浏览器和服务器之间的安全通信。技术,可以实现兼容浏览器和服务器之间的安全通信。SSLSSL协议是目前网上购物网站中常使用的一种安全协议。协议是目前网上购物网站中常使用的一种安全协议。协议是目前网上购物网站中常使用的一种安全协议。协议是目前网上购物网站中常使用的一种安全协议。 n n所谓所谓所谓所谓SSLSSL就是在和另一方通信前先讲好的一套方就是在和另一方通信前先讲好的一套方就是在和另一方通信前先讲好的一套方就是在和另一方通信前先讲好的一套方法,这个方法能够在它们之间建
81、立一个电子商务的安全性法,这个方法能够在它们之间建立一个电子商务的安全性法,这个方法能够在它们之间建立一个电子商务的安全性法,这个方法能够在它们之间建立一个电子商务的安全性秘密信道,确保电子商务的安全性,凡是不希望被别人看秘密信道,确保电子商务的安全性,凡是不希望被别人看秘密信道,确保电子商务的安全性,凡是不希望被别人看秘密信道,确保电子商务的安全性,凡是不希望被别人看到的机密数据,都可通过这个秘密信道传送给对方,即使到的机密数据,都可通过这个秘密信道传送给对方,即使到的机密数据,都可通过这个秘密信道传送给对方,即使到的机密数据,都可通过这个秘密信道传送给对方,即使通过公共线路传输,也不必担心
82、别人的偷窥。通过公共线路传输,也不必担心别人的偷窥。通过公共线路传输,也不必担心别人的偷窥。通过公共线路传输,也不必担心别人的偷窥。 49SSL服务内容服务内容n nSSL协议使用公开密钥体制和X.509数字证书技术n n提供用户和服务器的认证n n对传输数据进行加密和隐藏n n确保数据在传送中不被改变n n使客户和服务器之间通信不被攻击者窃听不被攻击者窃听50安全套接层协议的工作原理安全套接层协议的工作原理n n SSLSSL需需需需要要要要认认认认证证证证服服服服务务务务器器器器,并并并并对对对对两两两两台台台台计计计计算算算算机机机机之之之之间间间间所所所所有有有有的传输进行加密。的传输
83、进行加密。的传输进行加密。的传输进行加密。n n Http Http和和和和httpshttps登陆的区别(认证服务器)登陆的区别(认证服务器)登陆的区别(认证服务器)登陆的区别(认证服务器)n nSSLSSL用公开密钥(非对称)加密和私有密钥用公开密钥(非对称)加密和私有密钥用公开密钥(非对称)加密和私有密钥用公开密钥(非对称)加密和私有密钥(对称)加密来实现信息的保密。(对称)加密来实现信息的保密。(对称)加密来实现信息的保密。(对称)加密来实现信息的保密。n n 虽然公开密钥非常方便,但速度较慢。虽然公开密钥非常方便,但速度较慢。虽然公开密钥非常方便,但速度较慢。虽然公开密钥非常方便,但
84、速度较慢。SSL协议的电子交易过程协议的电子交易过程n n1 基于SSL的网上购物支付交易流程如下:流程如下:收收单单银银行行持持卡卡人人网网上上商商家家发发卡卡银银行行1购买清单及单价购买清单及单价2购买请求购买请求7购物应答购物应答5支付授权应答支付授权应答4支付授权请求支付授权请求3支付授权请求支付授权请求6支付授权应答支付授权应答通过通过SSL协议进行网上交易可能遇到的风险:协议进行网上交易可能遇到的风险:n n商家服务器证书的信任问题商家服务器证书的信任问题n n商家服务器端系统遭黑客攻击商家服务器端系统遭黑客攻击n n不法分子伪造商家网站不法分子伪造商家网站n n缺少第三方权威机构
85、来认证缺少第三方权威机构来认证n n 2、SET:安全电子交易协议安全电子交易协议n nSETSET是是是是一一一一种种种种以以以以信信信信用用用用卡卡卡卡为为为为基基基基础础础础的的的的、在在在在因因因因特特特特网网网网上上上上交交交交易易易易的的的的付付付付款款款款协协协协议议议议书书书书,是是是是授授授授权权权权业业业业务务务务信信信信息息息息传传传传输输输输安安安安全全全全的的的的标标标标准准准准,它它它它采采采采用用用用RSARSA密密密密码码码码算算算算法法法法,利利利利用用用用公公公公钥钥钥钥体体体体系系系系对对对对通通通通信信信信双双双双方方方方进进进进行行行行认认认认证证证证
86、,用用用用DESDES等等等等标标标标准准准准加加加加密密密密算算算算法法法法对对对对信信信信息息息息加加加加密密密密传传传传输输输输,并并并并用散列函数来鉴别信息的完整性。用散列函数来鉴别信息的完整性。用散列函数来鉴别信息的完整性。用散列函数来鉴别信息的完整性。n n在在在在SETSET的的的的交交交交易易易易环环环环境境境境中中中中,比比比比现现现现实实实实社社社社会会会会中中中中多多多多一一一一个个个个电电电电子子子子商商商商务务务务的的的的安安安安全全全全性性性性认认认认证证证证中中中中心心心心电电电电子子子子商商商商务务务务的的的的安安安安全全全全性性性性CACA参参参参与与与与其中
87、,在其中,在其中,在其中,在SETSET交易中认证是很关键的。交易中认证是很关键的。交易中认证是很关键的。交易中认证是很关键的。 SETSET的相关成员的相关成员的相关成员的相关成员(1) (1) 持卡人持卡人持卡人持卡人消费者:持信用卡购买商品的人,包括个人消费者和消费者:持信用卡购买商品的人,包括个人消费者和消费者:持信用卡购买商品的人,包括个人消费者和消费者:持信用卡购买商品的人,包括个人消费者和团体消费者,按照网上商店的表单填写,通过由发卡银行发行的团体消费者,按照网上商店的表单填写,通过由发卡银行发行的团体消费者,按照网上商店的表单填写,通过由发卡银行发行的团体消费者,按照网上商店的
88、表单填写,通过由发卡银行发行的信用卡进行付费。信用卡进行付费。信用卡进行付费。信用卡进行付费。 (2) (2) 网上商家网上商家网上商家网上商家:在网上的符合:在网上的符合:在网上的符合:在网上的符合SETSET规格的电子商店,提供商品或服务,规格的电子商店,提供商品或服务,规格的电子商店,提供商品或服务,规格的电子商店,提供商品或服务,它必须是具备相应电子货币使用的条件,从事商业交易的公司组它必须是具备相应电子货币使用的条件,从事商业交易的公司组它必须是具备相应电子货币使用的条件,从事商业交易的公司组它必须是具备相应电子货币使用的条件,从事商业交易的公司组织。织。织。织。(3) (3) 收单
89、银行:收单银行:收单银行:收单银行:通过支付网关处理持卡人和商店之间的交易付款问题通过支付网关处理持卡人和商店之间的交易付款问题通过支付网关处理持卡人和商店之间的交易付款问题通过支付网关处理持卡人和商店之间的交易付款问题事务。接受来自商店端送来的交易付款数据,向发卡银行验证无事务。接受来自商店端送来的交易付款数据,向发卡银行验证无事务。接受来自商店端送来的交易付款数据,向发卡银行验证无事务。接受来自商店端送来的交易付款数据,向发卡银行验证无误后,取得信用卡付款授权以供商店清算。误后,取得信用卡付款授权以供商店清算。误后,取得信用卡付款授权以供商店清算。误后,取得信用卡付款授权以供商店清算。 (
90、4) (4) 支付网关:支付网关:支付网关:支付网关:这是由支付者或指定的第三方完成的功能。这是由支付者或指定的第三方完成的功能。这是由支付者或指定的第三方完成的功能。这是由支付者或指定的第三方完成的功能。为了实现授权或支付功能,支付网关将为了实现授权或支付功能,支付网关将为了实现授权或支付功能,支付网关将为了实现授权或支付功能,支付网关将SETSET和现有的和现有的和现有的和现有的银行卡支付的网络系统作为接口。银行卡支付的网络系统作为接口。银行卡支付的网络系统作为接口。银行卡支付的网络系统作为接口。(5) (5) 发卡银行发卡银行发卡银行发卡银行在交易过程开始前,发卡银行负责查验在交易过程开
91、始前,发卡银行负责查验在交易过程开始前,发卡银行负责查验在交易过程开始前,发卡银行负责查验持卡人的数据,如果查验有效,整个交易才能成立。持卡人的数据,如果查验有效,整个交易才能成立。持卡人的数据,如果查验有效,整个交易才能成立。持卡人的数据,如果查验有效,整个交易才能成立。在交易过程中负责处理电子货币的审核和支付工作。在交易过程中负责处理电子货币的审核和支付工作。在交易过程中负责处理电子货币的审核和支付工作。在交易过程中负责处理电子货币的审核和支付工作。(6) (6) 认证中心认证中心认证中心认证中心CACA可信赖、公正的组织:接受持卡人、可信赖、公正的组织:接受持卡人、可信赖、公正的组织:接
92、受持卡人、可信赖、公正的组织:接受持卡人、商店、银行以及支付网关的数字认证申请书,并管理商店、银行以及支付网关的数字认证申请书,并管理商店、银行以及支付网关的数字认证申请书,并管理商店、银行以及支付网关的数字认证申请书,并管理数字证书的相关事宜。数字证书的相关事宜。数字证书的相关事宜。数字证书的相关事宜。SETSET购物流程:购物流程:购物流程:购物流程:n n1 1 持卡人浏览商品持卡人浏览商品持卡人浏览商品持卡人浏览商品n n2 2 持卡人选择商品持卡人选择商品持卡人选择商品持卡人选择商品n n3 3持卡人填写订单持卡人填写订单持卡人填写订单持卡人填写订单n n4 4 持卡人选择支付方式持
93、卡人选择支付方式持卡人选择支付方式持卡人选择支付方式n n5 5 持卡人给商家发送订单及支付请求持卡人给商家发送订单及支付请求持卡人给商家发送订单及支付请求持卡人给商家发送订单及支付请求n n6 6 商家收到订单,向持卡人所在银行发出信号请求。支付商家收到订单,向持卡人所在银行发出信号请求。支付商家收到订单,向持卡人所在银行发出信号请求。支付商家收到订单,向持卡人所在银行发出信号请求。支付消息通过支付网关到收单银行,再到发卡银行。消息通过支付网关到收单银行,再到发卡银行。消息通过支付网关到收单银行,再到发卡银行。消息通过支付网关到收单银行,再到发卡银行。n n7 7 商家将订单确认信息通知持卡
94、人,同时商家开始准备发商家将订单确认信息通知持卡人,同时商家开始准备发商家将订单确认信息通知持卡人,同时商家开始准备发商家将订单确认信息通知持卡人,同时商家开始准备发货货货货n n8 8 持卡人终端软件记录交易日志持卡人终端软件记录交易日志持卡人终端软件记录交易日志持卡人终端软件记录交易日志SET的购物流程的购物流程SET的的优点点qqSETSETSETSET保保保保证证证证了了了了商商商商家家家家的的的的合合合合法法法法性性性性,并并并并且且且且用用用用户户户户的的的的信信信信用用用用卡卡卡卡号号号号不会被窃取。不会被窃取。不会被窃取。不会被窃取。qqSETSETSETSET对对对对于于于于
95、参参参参与与与与交交交交易易易易的的的的各各各各方方方方定定定定义义义义了了了了互互互互操操操操作作作作接接接接口口口口,一一一一个系统可以由不同厂商的产品构筑。个系统可以由不同厂商的产品构筑。个系统可以由不同厂商的产品构筑。个系统可以由不同厂商的产品构筑。qqSETSETSETSET可以用在系统的一部分或者全部。可以用在系统的一部分或者全部。可以用在系统的一部分或者全部。可以用在系统的一部分或者全部。四)防护检查四)防护检查四)防护检查四)防护检查1 1、防火墙技术、防火墙技术、防火墙技术、防火墙技术防火墙60防火墙定义防火墙定义n n防火墙是指位于两个或多个网络之间,执行防火墙是指位于两个
96、或多个网络之间,执行访问控制策访问控制策访问控制策访问控制策略略略略的一个或一组系统,该系统具备以下属性:的一个或一组系统,该系统具备以下属性:不同网络之间的所有数据流都不同网络之间的所有数据流都必须经过必须经过必须经过必须经过防火墙;防火墙;只有符合安全策略的数据才只有符合安全策略的数据才可以通过可以通过可以通过可以通过防火墙;防火墙;自身应对渗透免疫自身应对渗透免疫具有具有抗攻击能力抗攻击能力抗攻击能力抗攻击能力。n n防火墙通常安装在内部网络和外部网络的防火墙通常安装在内部网络和外部网络的连接点连接点连接点连接点上。上。61防火墙不足和缺陷防火墙不足和缺陷n n防火墙虽并非万能,防火墙还
97、存在一些不足和缺陷:防火墙对来自内网的攻击内网的攻击无能为力;防火墙不能防范不经过不经过防火墙的攻击;防火墙可能带来瓶颈瓶颈、单点失效;防火墙不能完全防范不能完全防范病毒文件等。62代理型防火代理型防火墙n n代代理理服服务务器器,这种防火墙通过代理技术参与了TCP连接的全过程,它具有2个网卡,连接内网和外网,可以与2个网络通信。n n优点:安全性高,可以识别高层协议,提供透明服务,有日志记录,提供审计。n n缺点:速度较慢,是内网和外网之间的瓶颈,也不能处理即时通信。代理服代理服务63四、旅游电子商务法律保障四、旅游电子商务法律保障n n一)我国电子商务相关法律法规:n n电子商子商务法:法
98、:是指调整电子商务活动中所产生的社会关系的法律规范的总称,是一个新兴的综合法律领域。n n1.1.1.1.刑法的相关规定刑法的相关规定刑法的相关规定刑法的相关规定 n n(1 1)确立了计算机信息系统安全秩序是公共秩序中)确立了计算机信息系统安全秩序是公共秩序中的一类独立对象。的一类独立对象。 n n(2 2)明确了根据行为人与计算机系统功能、程序和)明确了根据行为人与计算机系统功能、程序和数据发生关系的行为方式来区分此罪与彼罪的原则。数据发生关系的行为方式来区分此罪与彼罪的原则。 n n(3 3)明确了以计算机为犯罪工具或手段进行的犯罪)明确了以计算机为犯罪工具或手段进行的犯罪行为的处理原则
99、。行为的处理原则。 n n(4 4)根据计算机犯罪的发生规律和危害特点,规定)根据计算机犯罪的发生规律和危害特点,规定了相应的罚则。了相应的罚则。n n第第285285条即非法侵入计算机系统罪:条即非法侵入计算机系统罪:违反国家规定,侵违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。信息系统的,处三年以下有期徒刑或者拘役。n n第第286286条即破坏计算机信息系统罪:条即破坏计算机信息系统罪:违反国家规定,对违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,计算机信息系统功能进行删
100、除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严
101、重的,依照第一款的规计算机系统正常运行,后果严重的,依照第一款的规定处罚。定处罚。n n第第287287条即利用计算机实施金融诈骗、盗窃、贪污、挪条即利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。关规定定罪处罚。 n n2 .2 .新合同法(新合同法( 19991999年年3 3月)月) 对对电电子子证证据据和和电电子子合合同同的的法法律律效效力力问问题题已已有所涉及。有所涉及。 n n3 3、电子签名法的基本内容、电子签名法的基本内容20042004年年8 8月月2828日,十届全国人大常委会第十一次日,十届全国人大常委会第十一次会议表决通过中华人民共和国电子签名法,会议表决通过中华人民共和国电子签名法, 20052005年年4 4月月1 1日实施,日实施,首次赋予可靠的电子签名首次赋予可靠的电子签名与手写签名或盖章具有同等的法律效力,并明与手写签名或盖章具有同等的法律效力,并明确了电子认证服务的市场准入制度。确了电子认证服务的市场准入制度。20152015年草年草拟拟的的电电子商子商务务法法旅游电子商务相关法律旅游电子商务相关法律n n旅游法关于旅游电子商务相关内容(阅读教材)(阅读教材)
