第31章 电子商务安全(7)

4.方案特点

①整合性强：对已建成的系统不做改造，方便与已建系统的整合，提供原系统不具备的安全性。良好的二次开发接口，与新建系统完美整合。

②安全性高：平台无论对于业务系统的保护还是对于自身的安全性都提供了完善的解决方案，全面地解决了企业或组织的应用系统、用户、管理策略的安全问题。

③标准化：系统遵循标准的技术手段，如PKI、X509等，不仅可与自己的CA进行结合，也可与第三方的认证系统进行集成。并提供多种标准的开发接口，以备新建业务系统使用，为企事业单位的应用系统开发提供了一个标准的安全平台。

④技术先进：对于用户、权限、策略等的管理采用LDAP技术，既保证了技术的先进性，又保证了技术与国际技术标准一致，确保了未来可以与合作伙伴业务有效接轨。

小结

本章介绍了电子商务所面临的安全问题，提出了电子商务安全体系。重点介绍了电子商务安全相关技术，包括数据加密技术、认证技术和网络安全技术等，并重点分析了保障电子商务安全交易的基础安全措施PKI，最后介绍了保证安全支付的SSL协议机制和SET协议机制。电子商务安全建设是一个不断发展永无止境的过程，它会在业界人士的努力下，不断趋于成熟和完善。

一、选择题

1.计算机病毒的特点不具有。

A.破坏性B.针对性

C.可触发性D.强制性

2.防火墙的作用是。

A.可限制对Internet特殊站点的访问

B.对整个网络系统的防火方面起安全作用

C.内部网主机无法访问外部网

D.可防止计算机因电压过高而引起的起火

3.在非对称加密体制中，是最着名和实用的一种非对称加密方法。

A.RSAB.PGP

C.SETD.SSL

4.数字证书的内容不包含有。

A.签名算法B.证书拥有者的信用等级

C.数字证书的序列号D.颁发数字证书单位的数字签名

5.在下列计算机系统安全隐患中，属于电子商务系统所独有的是。

A.硬件的安全B.软件的安全

C.数据的安全D.交易的安全

二、复习思考

1．电子商务对安全的要求主要体现在哪些方面？

2．对称加密和非对称加密技术的基本原理是什么，它们有哪些区别？

3．简述数字签名的工作原理。

4．简述PKI系统的组成及各部分的功能。

5．试比较SSL与SET的区别。

6．登录淘宝网（taobao），分析该网站网上交易安全策略。

三、商务实战

2011年度中国互联网十大安全事件

2月20日，国内专业互联网安全公司金山网络正式发布了《2011—2012年中国互联网安全研究报告》。金山网络在报告中公布了包括“个人隐私非法泄露”等在内的2011年度十大最具影响力的中国互联网安全事件。

1.个人隐私非法泄露

2011年年末，中国公众经历了一次大规模个人信息泄露事件的洗礼，几乎人人自危。CSDN、天涯等众多互联网公司的账户和密码信息被公开下载。截至12月29日，CNCERT通过公开渠道获得疑似泄露的数据库有26个，涉及账号、密码2.78亿条。这些信息均为黑客攻击商业网站后窃取并泄露到公众面前，而黑客手中掌握的公众信息到底有多少，恐怕没人能说得清楚。公众熟悉的杀毒软件只能保护用户端的计算机，而存储在网络运营商服务器上的数据是否安全，却无从知晓。

2.网购木马抢劫案

2011年3月，知名互联网交互设计专家“一叶千鸟”网购被骗5万余元。互联网行业老兵网上购物尚且被骗，普通网民在线购物面对猖獗的网购木马、钓鱼网站，已成待宰羔羊。

在大量同类案例中，许多受害者向警方报案时，无法清晰描述受骗经过。大多数案件只骗几百元，甚至几十元。受害者投诉维权的成本太高，最后往往自认倒霉。

杀毒软件纷纷强化了网购的保护，网购保镖的多层防御对付钓鱼网站和网购木马的联合攻击，避免更多网络诈骗案的发生。遗憾的是，到目前为止，众多网购木马作者并未落网，网购木马变种仍然层出不穷。

3.商业银行动态口令升级群发短信诈骗

2011年2月农历春节前后，多家全国性的商业银行和地方城市银行客户遭遇大批量诈骗。骗子群发短信称银行动态口令升级，请储户访问指定网站更新。许多储户信以为真，上网登录了这些网站后将自己的银行卡、手机号等信息提交。并随后按网站提示，将银行系统返回的手机验证码也一并提交。结果导致大量储户资金被盗，损失数千元至数百万元不等。

4.首个QQ群蠕虫被截获

QQ号称有5亿以上的用户群，QQ号已经成为事实上的网络通行证，QQ群功能更是深受喜爱。2011年9月，首个自动通过QQ群功能传播的蠕虫病毒被截获。该病毒伪装成电视棒破解程序欺骗网民下载，盗取魔兽、邮箱及社交网络账号。

中毒后病毒会自动访问QQ群共享空间，将病毒程序提交到群共享空间快速传播，病毒的最终目的是下载更多盗号木马，窃取虚拟财产。

该病毒独特的传播方式令安全研究人员吃惊，金山毒霸安全中心连夜和QQ安全中心协作，避免了大规模的蠕虫病毒传播。

5.新浪微博遭遇XSS蠕虫攻击

2011年6月28日晚8点，新浪微博突然遭遇蠕虫式的“病毒”攻击，众多加V认证的名人微博自动发布带攻击链接的私信或微博。后查明，这是攻击者利用新浪微博的XSS(跨站)漏洞攻击，点击某个微博地址链接后，会自动加好友，自动发微博并同时传播攻击链接。结果在短短半小时左右，数万人受波及。幸运的是，攻击者事实上并无恶意，只是一次恶作剧，但XSS蠕虫攻击的威力已被公众领教。

6.“我的照片”QQ病毒传播广泛

病毒传播者利用QQ聊天工具传送伪装成“我的照片”，接收方在打开美女照片的同时，后门程序运行。该木马主要用来盗取QQ号，与其他盗号木马不同的是，这些窃贼只是趁QQ号主人不在线时向QQ好友借钱购买虚拟点卡或代付购物，该病毒集团以骗取钱财为最终目的。

7.Android手机恶意软件迅猛增长

随着Android手机以越来越快的速度被用户接受，寄生于Android操作系统的手机后门程序渐渐高发。

2011年，金山毒霸手机安全中心就先后捕获了伪装成打地鼠游戏、老虎机游戏、美女拼图游戏的手机病毒，这些病毒的主要目的是偷偷定制扣费服务、盗打电话、窃取手机隐私信息、截取手机短信内容、监听手机通话录音和获取位置信息。手机恶意程序对智能手机用户的信息安全构成严重威胁。

8.两高院通过关于办理危害计算机信息安全刑事案件司法解释

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》于2011年6月20日通过。司法解释进一步对非法获取计算机信息系统数据、非法控制计算机信息系统相关的条款作了具体规定。新司法解释的出台对保护计算机系统安全、限制非法入侵行为、阻止病毒产业链的漫延具有重要意义。

9.“淘宝客欺骗者”病毒干扰淘宝店经营

“淘宝客欺骗者”病毒专门劫持淘宝网搜索结果。当用户在淘宝网搜索商品时，会自动跳转到淘宝客搜索推广站点。此后，任意交易卖家就要付出佣金，淘宝也会因此多支付佣金，增加了网店经营成本，而淘宝买家也因浏览器被强行劫持而丧失了自由选择商品的权利。

10.社交网站风生水起，安全威胁与之伴行

微博成为2011年最火热的网络应用，微博传播消息迅速快捷，成为钓鱼网站传播者的天堂。特别在2011年底出现大量网民个人信息被泄露之后，微博成为事件的重灾区，每天有数千乃至上万人的ID被盗，盗号者利用偷来的微博账号发布大量商业广告或钓鱼网站链接。好在公众对中奖之类的钓鱼已经习以为常，微博账号被盗后，再被骗钱的案例较少。

根据上述案例回答以下问题：

(1)根据上述案例，你认为当前电子商务遭遇的安全问题主要有哪些？

(2)试分析企业在制定电子商务安全策略时应考虑哪些问题？

(3)从事件八，你可以得到什么启示？