電子商務(wù)安全教學(xué)教案

1、 電子商務(wù)安全教學(xué)教案教學(xué)內(nèi)容電子商務(wù)安全需求電子商務(wù)安全技術(shù)電子商務(wù)安全管理教學(xué)要求【知識(shí)目標(biāo)】1了解電子商務(wù)面臨的安全威脅，明確電子商務(wù)對(duì)安全性的要求。2熟悉保障電子商務(wù)安全的方法與技術(shù)。3熟知電子商務(wù)安全方面不斷完善的管理制度與法律法規(guī)。【技能目標(biāo)】1能夠?qū)ffice文檔加密，實(shí)現(xiàn)文件保護(hù)。2學(xué)會(huì)應(yīng)用計(jì)算機(jī)端和移動(dòng)端的日常安全防范措施。教學(xué)重點(diǎn)1. 電子商務(wù)安全的目標(biāo)2. 實(shí)現(xiàn)電子商務(wù)安全的相關(guān)技術(shù)教學(xué)難點(diǎn)1. 實(shí)現(xiàn)電子商務(wù)安全的相關(guān)技術(shù)教學(xué)方法講授法、探究法、案例法課時(shí)數(shù)6課時(shí)（講授4+實(shí)訓(xùn)2）第一節(jié) 電子商務(wù)的安全目標(biāo)電子商務(wù)的安全問題主要體現(xiàn)在安全技術(shù)問題、法律問題、復(fù)雜的管理問

2、題這三方面。一、電子商務(wù)面臨的威脅（一）個(gè)人電腦面臨的威脅在個(gè)人上網(wǎng)時(shí)，通常會(huì)遇到的威脅有以下幾種：病毒感染、流氓軟件、木馬程序植入和網(wǎng)絡(luò)釣魚等。（二）移動(dòng)端威脅1手機(jī)病毒2手機(jī)系統(tǒng)漏洞3虛假釣魚無線網(wǎng)（三）服務(wù)器威脅二、電子商務(wù)安全性要求1信息的保密性2信息的完整性3信息的不可否認(rèn)性4交易者身份的真實(shí)性5系統(tǒng)的可靠性第二節(jié) 電子商務(wù)安全技術(shù)加密技術(shù) 加密技術(shù)是利用技術(shù)手段把原始信息變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）信息。原始信息通常稱為“明文”，加密后的信息通常稱為“密文”。加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將明文與一串字符（密鑰）結(jié)合起來，進(jìn)行加密運(yùn)算

3、后形成密文。密鑰是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的一串字符，它可以是數(shù)字、字母、詞匯或語句。由此可見，在加密和解密過程中，都涉及信息（明文、密文）、密鑰（加密密鑰、解密密鑰）和算法（加密算法、解密算法）這3項(xiàng)內(nèi)容。常用的現(xiàn)代加密體制有兩種：對(duì)稱加密體制和非對(duì)稱加密體制。（一）對(duì)稱加密體制 1對(duì)稱加密體制的工作過程圖 對(duì)稱加密體制的工作過程2對(duì)稱加密體制的算法目前，比較常用的對(duì)稱密鑰算法有DES（data encryption standard，數(shù)據(jù)加密標(biāo)準(zhǔn)）。DES算法是一個(gè)對(duì)稱的分組加密算法。（二）非對(duì)稱加密體制 1非對(duì)稱加密體制的工作過程圖 非對(duì)稱加密體制的工作過程2非對(duì)稱

4、加密體制的算法目前，非對(duì)稱加密體制的算法使用最多的是RSA。RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman設(shè)計(jì)的非對(duì)稱加密方法，算法以發(fā)明者名字的首字母來命名。它是第一個(gè)既可用于加密，也可用于數(shù)字簽名的算法。一般來說，RSA只用于少量數(shù)據(jù)加密，在互聯(lián)網(wǎng)中廣泛使用的電子郵件和文件加密軟件PGP（pretty good privacy）就是將RSA作為傳送會(huì)話密鑰和數(shù)字簽名的標(biāo)準(zhǔn)算法。（三）對(duì)稱加密體系與非對(duì)稱加密體系的對(duì)比 表 對(duì)稱加密體系和非對(duì)稱加密體系的對(duì)比比 較 項(xiàng) 目對(duì)稱加密體制非對(duì)稱加密體制代表算法DESRSA密鑰數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘

5、密的一個(gè)私有，一個(gè)公開密鑰管理簡單，但不好管理需要數(shù)字證書及可靠的第三者相對(duì)速度非?？炻饕猛敬罅繑?shù)據(jù)加密數(shù)字簽名或密鑰分配的加密二、認(rèn)證技術(shù) （一）身份認(rèn)證概述 實(shí)現(xiàn)身份認(rèn)證的物理基礎(chǔ)主要有以下3種。 用戶所知道的（something the user knows）。 用戶所擁有的（something the user possesses）。 用戶的特征（something the user is or how he/she behaves）。（二）消息認(rèn)證概述 1消息摘要2數(shù)字簽名圖 數(shù)字簽名原理示意圖3數(shù)字時(shí)間戳三、安全協(xié)議 （一）傳輸層安全協(xié)議SSL SSL將對(duì)稱密碼技術(shù)和公開密碼技

6、術(shù)相結(jié)合，可以實(shí)現(xiàn)如下3個(gè)通信目標(biāo)：秘密性、完整性、認(rèn)證性。圖 支持SSL協(xié)議的鎖形安全標(biāo)志（二）應(yīng)用層安全協(xié)議SET 圖 SET協(xié)議的交易流程（三）SSL協(xié)議與SET協(xié)議的比較表 SSL協(xié)議和SET協(xié)議的對(duì)比對(duì)比項(xiàng)SSL協(xié)議SEL協(xié)議參與方客戶、商家和網(wǎng)上銀行客戶、商家、支付網(wǎng)關(guān)、認(rèn)證中心和網(wǎng)上銀行軟件費(fèi)用已被大部分瀏覽器和服務(wù)器所內(nèi)置，因此可直接投入使用，無需額外的附加軟件費(fèi)用必須在銀行網(wǎng)絡(luò)、商家服務(wù)器、客戶機(jī)上安裝相應(yīng)的軟件，因此增加了許多附加軟件費(fèi)用便捷性SSL在使用過程中無需在客戶端安裝電子錢包，因此操作簡單；每天交易有限額規(guī)定，因此不利于購買大宗商品；支付迅速，幾秒鐘便可完成支付S

7、ET協(xié)議在使用中必須使用電子錢包等進(jìn)行付款，因此在使用前，必須先下載電子錢包等軟件，因此操作復(fù)雜，耗費(fèi)時(shí)間；每天交易無限額，利于購買大宗商品；由于存在著驗(yàn)證過程，因此支付緩慢，有時(shí)還不能完成交易安全性只有商家的服務(wù)器需要認(rèn)證，客戶端認(rèn)證則是有選擇的；缺少對(duì)商家的認(rèn)證，因此客戶的信用卡號(hào)等支付信息有可能被商家泄露安全需求高，因此所有參與交易的成員客戶、商家、支付網(wǎng)關(guān)、網(wǎng)上銀行都必須先申請(qǐng)數(shù)字證書來認(rèn)證身份；保證了商家的合法性，并且客戶的信用卡號(hào)不會(huì)被竊取，替消費(fèi)者保守了更多的秘密，使其購物和支付更加放心四、防火墻技術(shù) 防火墻實(shí)際上是一種隔離技術(shù)，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如互聯(lián)網(wǎng)）分開的方法

8、。第三節(jié) 電子商務(wù)的安全管理一、機(jī)構(gòu)制度管理 （一）認(rèn)證機(jī)構(gòu) 1認(rèn)證機(jī)構(gòu)的功能2CA的國內(nèi)外發(fā)展?fàn)顩r （二）數(shù)字證書 1數(shù)字證書的定義2數(shù)字證書的分類從數(shù)字證書的應(yīng)用角度來看，數(shù)字證書可以分為以下幾種：服務(wù)器證書、電子郵件證書、客戶端證書。3數(shù)字證書的應(yīng)用二、風(fēng)險(xiǎn)制度管理 電子商務(wù)風(fēng)險(xiǎn)管理就是跟蹤、評(píng)估、監(jiān)測和管理商務(wù)整個(gè)過程中所形成的電子商務(wù)風(fēng)險(xiǎn)，盡力避免電子商務(wù)風(fēng)險(xiǎn)給企業(yè)造成的經(jīng)濟(jì)損失、商業(yè)干擾以及商業(yè)信譽(yù)喪失等，以確保企業(yè)電子商務(wù)的順利進(jìn)行。三、法律制度管理 2004年8月28日全國人大常委會(huì)第十一次會(huì)議通過了中華人民共和國電子簽名法。簽名法是我國推進(jìn)電子商務(wù)發(fā)展，掃除電子商務(wù)發(fā)展障礙的

9、重要步驟。該法被認(rèn)為是中國首部真正電子商務(wù)法意義上的立法。2005年1月28日中華人民共和國信息產(chǎn)業(yè)部第十二次部務(wù)會(huì)議審議通過電子認(rèn)證服務(wù)管理辦法，自2005年4月1日起施行。2009年4月，央行、銀監(jiān)會(huì)、公安部和國家工商總局聯(lián)合發(fā)布關(guān)于加強(qiáng)銀行卡安全管理預(yù)防和打擊銀行卡犯罪的通知，國家監(jiān)管部門開始真正著手加強(qiáng)第三方支付企業(yè)的監(jiān)管。2010年6月1日國家工商總局出臺(tái)的網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為管理暫行辦法明確規(guī)定，通過網(wǎng)絡(luò)從事商品交易及有關(guān)服務(wù)行為的自然人，應(yīng)提交其姓名和地址等真實(shí)身份信息。2010年6月21日中國人民銀行出臺(tái)了非金融機(jī)構(gòu)支付服務(wù)管理辦法，要求第三方支付公司必須在2011年9月

10、1日前申請(qǐng)取得支付業(yè)務(wù)許可證，且全國性公司注冊資本最低為1億元。該辦法的出臺(tái)意在規(guī)范當(dāng)前發(fā)展迅猛的第三方支付行業(yè)。四、日常安全防范1電腦用戶日常安全防范（1）個(gè)人電腦應(yīng)該安裝適當(dāng)?shù)姆阑饓εc殺毒軟件。（2）創(chuàng)造一個(gè)偽造的、無實(shí)際權(quán)利的管理員（administrator）用戶。（3）禁止所有磁盤自動(dòng)運(yùn)行。（4）不雙擊U盤。（5）經(jīng)常檢查開機(jī)啟動(dòng)項(xiàng)。（6）經(jīng)常備份重要數(shù)據(jù)。（7）隱私文件要加密。（8）使用復(fù)雜的密碼。（9）不要隨便接收文件。2移動(dòng)端日常安全防范（1）謹(jǐn)慎下載無認(rèn)證手機(jī)軟件（App）。（2）不要隨便打開短信中的鏈接。（3）在公共場合，避免隨意連接免費(fèi)無密碼WiFi（4）不要隨便掃二維碼（5）不要對(duì)手機(jī)刷機(jī)獲取超級(jí)用戶（root）權(quán)限或越獄。（6）及時(shí)更新系統(tǒng)。（7）手機(jī)開機(jī)和關(guān)鍵應(yīng)用程序如理財(cái)通、支付寶等設(shè)置較復(fù)雜密碼。（8）安裝較為可靠的手機(jī)安全軟件。歸納與提高 通過本章的學(xué)習(xí)，使我們明白在計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)上實(shí)現(xiàn)的電子商務(wù)交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個(gè)完善的電子商務(wù)系統(tǒng)在保證其計(jì)算機(jī)網(wǎng)絡(luò)