《电子商务安全（第2版）》张波，朱艳娜编著|(epub+azw3+mobi+pdf)电子书下载

安小刚

2023-2-8

好书推荐

图书名称：《电子商务安全（第2版）》

【作　者】张波，朱艳娜编著

【丛书名】普通高等教育系列教材

【页数】 297

【出版社】北京：机械工业出版社 , 2020.03

【ISBN号】978-7-111-65306-6

【价格】59.00

【分类】电子商务-安全技术-高等学校-教材

【参考文献】张波，朱艳娜编著. 电子商务安全（第2版）. 北京：机械工业出版社, 2020.03.

图书封面：

电子商务安全（第2版）

图书目录：

电子商务安全（第2版）

《电子商务安全（第2版）》内容提要：

《电子商务安全（第二版）》基本保留了第一版的体系结构，但对其中一些陈旧内容和错漏之处进行了修改、补充和完善，同时根据电子商务发展态势涉及到的安全问题、知识与技术等，增补了一些新的知识内容。主要内容包括电子商务安全导论、数据加密与密钥管理技术、公钥基础设施PKI与数字证书、数字签名与身份认证技术、安全协议与安全标准、网络安全技术、数据库系统安全、云安全技术、大数据安全技术和电子商务安全评估与管理等十个方面的内容。其中云安全技术和大数据安全技术属于新增章节，其结构跟第一版各章结构相同，并根据每章具体内容也安排了相应的思考题、实战题等实践模块。本书内容新颖，结构严谨，深入浅出，实用性强，突出对基本理论和业务技能的掌握以及对技术应用能力的培养和训练。其可作为高等学校电子商务专业、信息管理与信息系统专业、经济管理类相关专业、计算机类相关专业等的教学用书，也可作为电子商务培训用书、电子商务从业人员以及企业管理人员安全管理参考用书等。

《电子商务安全（第2版）》内容试读

第1章电子商务安全导论

本章要点

·了解电子商务安全的基本概念与安全现状。

·掌握电子商务面临的安全威胁及安全需求。

·了解电子商务中常用的安全技术。

·掌握电子商务安全体系结构。

·了解电子商务的安全服务及相关安全协议。

引例

电商Gearbest被曝泄露信息：含数百万用户信息和订单数据

2019年3月l5日，美国科技媒体TechCrunch报道，安全研究员Noam Rotem在进行网络扫描时，发现一个没有密码保护的Elasticsearch服务器，可直接访问，每周都会暴露数百万条记录，包括客户数据、订单和付款记录。由于没有密码保护，任何人都可通过这个服务器搜索数据。调查显示，这个数据库来自Gearbest,是中国环球易购(Globalegrow)旗下的自营网站。

Rotem在VPNMentor上发布了其调查报告。报告称，该数据库泄露的数据包括：

·订单数据：购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码。

·支付与收据信息：订单号、支付类型、支付详情、电子邮件地址、名称、P地址。

·用户信息：姓名、地址、生日、电话号码、电子邮件地址、P地址、身份证号码及

护照信息、账户密码等。

Rotem在报告中声称其在3月初发现这个不安全的数据库，泄露的记录约有150万条。这些数据并没有什么加密措施，有些甚至完全没有加密。他表示，这些泄露的信息不仅侵犯了客户隐私，还可能危及世界上特定地区的客户。例如，购买一些私密产品，可能会在某些国家引起法律问题，甚至可能会被判刑。

此外，Rotem还在同一P地址上发现了一个单独的基于Web的数据库管理系统，利用这个系统，可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest总部位于深圳，位列全球250强网站之一，服务于华硕、华为、英特尔和联想等顶级品牌。该公司在欧洲也拥有大量业务，在西班牙、波兰、捷克等国设有仓库，而这些国家都适用欧盟数据保护和隐私法。任何违反欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)的企业都有可能面临最多相当于全球年营收4%的罚款。

事实上，这已经是Gearbest近年来发生的第二起安全事故了。2017年12月，Gearbest也曾因为撞库攻击而导致账号信息泄露。

电子商务(Electronic Commerce)是指政府、企业和个人利用现代电子计算机与网络技术实现商业交换的全过程。它是一种基于互联网，以交易双方为主体，以银行电子支付结算

为手段，以客户数据为依托的全新商务模式。电子商务的参与者包括企业、消费者和中介机构等。它的本质是建立一种全社会的“网络计算环境”或“数字化神经系统”，以实现资源在国民经济和大众生活中的全方位应用。

时至今日，电子商务已经逐渐深人人们的日常生活中，越来越多的人通过互联网进行电子商务活动。电子商务的发展给人们的工作和生活带来了新的体验和更多便利，前景十分诱人，也为人们带来了无限商机。但仍有许多商业机构对电子商务持观望态度，主要原因是对网上运作的安全问题存有疑虑。在竞争激烈的市场环境下，电子商务的一些信息属于商业机密，一旦信息失窃，企业的损失将不可估量。因此，在运用电子商务模式进行贸易的过程中，安全问题就成为电子商务最核心的问题。电子商务安全包括有效保障通信网络和信息系统的安全，确保信息的真实性、保密性、完整性、不可否认性和不可更改性等方面

本章主要介绍电子商务安全概念，以及电子商务面临的安全威胁、安全特点、安全环境、安全技术、安全体系结构和安全服务及安全协议等。

1.1电子商务安全概况

近年来，网络技术和电子商务迅猛发展，人们在互联网上进行商务活动的范围和数量与日俱增，例如，日常生活用品、书籍的购买，家具、汽车、房产交易，股票、期货、资金运作。在这一过程中，电子商务赖以运行的互联网的安全问题，成为人们持续关注的话题，电子商务安全的重要性已不言而喻。网络安全问题是电子商务推进中的关键因素，营造信誉良好、安全可靠的网络交易环境才能让众多的企业和消费者支持电子商务，否则消费者不信任网上交易，企业没有把握在网上营销，电子商务便只能是“水中花、镜中月”。尽管政府以及一些企业已意识到这一问题，但因为一直缺乏一个网络安全保护的完整概念，所以很多人在安全认知上仅限于对网络“防火墙”的了解，而网络防火墙只是网络安全保护的一个方面，绝不是全部，这也正是很多个人或企业在实施了防火墙后网络仍有漏洞存在的原因

网络安全事件在国内外时有发生。2000年2月7日、8日、9日这三天，美国许多著名的网站先后遭到互联网历史上最严重的计算机黑客攻击，在美国社会引起了强烈震动

当时，黑客三天的袭击造成的直接和间接经济损失达10亿美元。2月7日，除了免费电子邮件和三个站点未受影响外，雅虎的大部分网络服务及站点陷于瘫痪。雅虎是当时全球第二大搜索引擎网站，每天被浏览页次达465亿次，其股市价值达930亿美元：8日上午，先是当天股票交易公司网站瘫痪，再接着是网上电子拍卖网站电子港湾(bay)和网上书店及商品销售网站亚马逊(Amazon)告急。ebay的注册用户达1000万，是每月浏览达15亿次的网上拍卖网站，8日下午6时，该网站的商品买卖一度停止数小时。当晚，美国有线

电视新闻网(CNN)宣布，其网站因负荷超载，从下午7时至8时45分信息传送被阻断：2

月9日，一些电子交易类网站再度遭袭，在股市开市前遭到持续1小时的攻击，科技新闻网站ZDNt约有70%的内容中断2小时，上网者无法接触到包括网站新闻和产品浏览等内容的信息。

引人注目的是，这也是互联网历史上第一次有黑客大规模、有目的地袭击商业网站。美国联邦计算机案件处理中心主任大卫·加诺说：“全美至少有数百台计算机受到袭击。所幸的是，黑客并未进入这些网络内部，窃取业务和客户资料。如此众多的大型网站，特别是新2

兴的电子商务网站，在三天的短时间内连续遭到黑客攻击，这在互联网历史上还是第

一次。”

2006年12月初，我国互联网上大规模爆发了“熊猫烧香”计算机病毒及其变种。一只憨态可掬、额首敬香的“熊猫”在互联网上疯狂“作案”，在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。

作为高科技犯罪的典型代表之一，银行网络安全事故近十年来在国内频频发生。2010年年末，互联网上连续出现的假银行网站事件曾经轰动一时。一个行标、栏目、新闻、图片样样齐全的假冒中国银行网站，竟然成功划走了呼和浩特一名市民银行卡里的2.5万元。且随后不久，假工行、假农行、假银联网站也相继跟风出现。而早在2003年下半年，我国香港地区也曾出现不法分子伪冒东亚、花旗、汇丰、宝源投资及中银国际网站骗取用户钱财。

有一些黑客，专门盗窃大量的游戏装备、账号，虽然这些游戏装备、账号并不能马上兑

换成各种货币，但通过网上交易，这些盗来的游戏装备、QQ账号甚至银行卡号资料被中间

批发商全部放在网上游戏交易平台公开叫卖，一番讨价还价后，虚拟货币得以兑现，网友们通过网上银行将现金转账，就能获得那些盗来的网络虚拟货币

在我们身边也时常发生一些网络安全问题，例如，不断有用户抱怨QQ密码被更改，邮

箱邮件被别人收走，网站栏目信息被入侵者修改。

2014年4月8日，安全协议OpenSSL(Open Secure Sockets Layer)被曝出现严重安全漏洞，这个漏洞被黑客命名为“heartbleed”,意思是“心脏流血”一表示最致命的内伤。黑客利用该漏洞，坐在自己家里的计算机前，就可以实时获取约30%以HTTPS(Hypertext

Transfer Protocol over Secure Socket Layer)开头网址的用户登录账号和密码，包括大批网银、购物网站、电子邮件等。这个事件更加引起了全球对网络安全问题的极大关注

2017年2月，谷歌破解了广泛应用于文件数字证书中的SHA-1算法。以至于有人说

“人们怀疑，以人类的才智无法构造人类自身不可破解的密码”。而早在1999年，传统加密

算法RSA512被破解：2009年，RSA768被破解：“尚未被破解”的RSA1024,也被认为

“被破解是早晚的事”。至于所谓下一代标准密码一“配对密码”，则在2012年就已经被破解。

由以上案例可见，电子商务安全是一个不容忽视、涉及范围极广的社会问题，这些问题将长期存在，并时刻干扰电子商务的正常健康运行。

1.1.1电子商务安全概慨念与特点

1.电子商务安全的定义

电子商务的一个重要技术特征是利用计算机网络来传输和处理商业信息，因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全

计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标

商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商

务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。

计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网安全作为基础，商务交易安全就犹如空中楼阁，无从谈起：没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求

电子商务安全以网络安全为基础，但是，电子商务安全与网络安全又是有区别的。首先，网络不可能绝对安全，在这种情况下，还需要在其之上运行安全的电子商务；其次，即使网络绝对安全，也不能保障电子商务的安全。所以，电子商务安全除了基础要求之外，还有特殊要求。

从安全等级来说，由下至上有密码安全、局域网安全、互联网安全和信息安全之分，而电子商务安全属于信息安全的范畴，涉及信息的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图1-1所示。同时，电子商务安全又有它自身的特殊性，即以电子交易安全和电子支付安全为核心，有更复杂的机密性概念，更严格的身份认证功能，对不可拒绝性有新的要求，有法律依据性和货币直接流通性特点，还有网络特有的其他服务功能(如数字时间戳服务)等。

信息安全

互联网安全

局域网安全

密码安全

图1-1电子商务安全基本关系示意图

2.电子商务安全特点

电子商务安全具有如下4大特点。

(1)电子商务安全是一个系统概念

电子商务安全问题不仅仅是个技术性的问题，更重要的是管理问题，而且它还与社会道德、行业管理以及人们的行为模式紧密地联系在一起。

(2)电子商务安全是相对的

就像家里的房子安上防盗门后，一般说来就相对安全了，但是小偷用专门的工具去破坏或打开，那防盗门也就不安全了，但人们不会因为防盗门能被小偷破坏或打开而怀疑它的安全性，防止小偷破坏或打开防盗门还需要相应的管理机制。同样，不能追求一个永远也攻不破的安全系统，安全与管理始终是联系在一起的。也就是说，安全是相对的，而不是绝对的，要想网站永远不受攻击、不遇到安全问题是不可能的。

(3)电子商务安全是有代价的

要维护电子商务安全，就必须有一定的资金投人，包括购买安全设备、安装安全软件等。作为一个电子商务应用者，应该综合考虑安全技术的成本；作为安全技术提供者，在研发技术时也要考虑到成本代价问题。4

(4)电子商务安全是发展的、动态的

今天安全，明天不一定安全，因为网络的攻防是此消彼长、道高一尺魔高一丈的事情，尤其是网络安全技术，它的敏感性、竞争性以及对抗性很强，需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的电子商务安全，也没有一蹴而就的电子商务安全。

1.1.2电子商务面临的安全威肋

要了解电子商务面临的安全威胁，需要考查从客户机到电子商务服务器的整个过程。在考查“电子商务链”上每个逻辑链条时，可以看出，必须保护的资产包括客户机、在通信信道上传输的消息、Wb和电子商务服务器（包括服务器端所有的硬件）等。

1.对客户机的安全威胁

在实时的、动态的、可交互的Web内容出现前，网页是静态的。静态页面是用Web标

准页面描述语言HTML编制的，其作用只是向客户机提供显示内容并链接到其他页面。为

了增加页面的生动性以及客户机与服务器之间的交互能力，同时也为了分担服务器端的负载，动态网页技术得以广泛应用，相应地网页的安全状态也随之发生了变化。，客户机面临的安全威胁主要是以动态页面形式从网上传来的活动内容带来的安全威胁，还有一些非法网站，伪装成合法网站，诱骗用户提供敏感信息，使得用户信息被盗取等。此外，一些其他的相关技术也成为威胁客户机安全的不确定性因素，如被Java、JavaScript、Active X等控件恶意利用，也会招致病毒、蠕虫等感染。

(1)动态网页内容

动态网页内容是指在页面上嵌入一段对用户透明的程序，它可实现一些动态的效果，例如显示动态图像、下载和播放音乐或实现基于Wb的电子表格程序、客户机中的表单数据

提交等交互操作。动态网页内容扩展了HTML的功能，使页面更为生动活泼。同时，动态

网页内容还将原来要在服务器上完成的某些辅助性处理任务转给在多数情况下处于闲置状态的客户机来完成，均衡了服务器的负载。

动态网页有多种形式，最著名的动态网页形式包括JavaScript和VBScript、Java Applet和ActiveX控件等。这些程序经常被企图破坏客户机的人伪装成无害的内容，一旦触发运行，就会对客户机带来安全威胁。这种隐藏在程序或页面里而掩盖其真实目的的程序统称为“特洛伊木马”。它可窃听计算机上的保密信息，并将这些信息传给它的远程Wb服务器，从而构成保密性侵害。而且，特洛伊木马还可改变或删除客户机上的信息，构成完整性和不可拒绝性侵害

(2)相关技术或机制

能够威胁客户机安全的因素，除了动态网页内容，还包括其他一些相关技术或机制。这些技术或机制和动态网页内容相呼应，使得其对客户机的安全威胁势态扩大，使得后果更加严重。

1)Cookie。因为互联网是无状态的连接，它不能记忆从一个页面到另一个页面间的响应，所以网站设计时利用Cookie进行服务器与客户机之间的连续连接（也称公开会话），目的是解决需要记忆关于顾客订单信息、用户名与口令、购物车与结算处理软件的公开会话等问题。Cookie的使用给有些恶意的动态内容提供了可乘之机，一些页面嵌人的恶意代码也使存放在Cookie里的信用卡号、用户名和口令等敏感信息容易暴露。

2)邮件通信簿。使用邮件客户端收发邮件的用户通常在电子邮件通信簿上存放联系人的信息，一些计算机病毒可以成功地检测到这些内容，并通过互联网把自己发给这些联系人，其传播难以得到有效的扼制。

3)信息隐蔽。一般情况下，计算机文件中都有冗余的或能为其他信息所替代的无关信息。黑客会利用信息隐蔽技术隐藏他们在网络上的活动，甚至能不被杀毒软件检测出来。信息隐蔽是指隐藏在另一段信息中的信息，它提供将加密的文件隐藏在另一个文件中的保护方式，粗心的观察者看不到其中含有的重要信息。

2.对通信信道的安全威胁

互联网是将客户机和电子商务服务器连接起来的电子通道。在已了解对客户机的安全威胁后，所要考虑的第二个环节就是将客户机连到服务器上的传输信道，即互联网。

虽然互联网起源于军事网络，但美国国防部高级研究项目中心建造这个网络的主要目的不是为了安全传输，而是为防止一个或多个通信线路被切断之后仍有通信信道可供使用，即提供冗余传输。互联网发展到今天，其不安全状态与最初相比并没有多大改观。在互联网上传输的信息，从起始节点经由若干中间节点到目标节点之间的路径是随机选择的。在同一起始节点和目标节点之间发送信息时，每次所用的路径也都是不同的，所以根本无法控制信息的传输路径，也不知道信息包曾到过哪里，因而无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。如果在信息包传递途中被任意一个中间节点窃取、篡改甚至删除了用户的信息，那么客户所遭受的损失将是无法弥补的。

(1)搭线窃听

电子商务的一个很大的安全威胁就是敏感信息或个人真实信息被窃。在互联网上，有种叫作“嗅探器”的特殊软件能够记录下通过某个网关或路由器的信息。它类似于在电话线上搭线并录下一段对话。嗅探器可以截获并阅读电子邮件信息，也可记录敏感信息或个人真实信息，或者用来攻击相邻的网络，并且能够做到不留痕迹。

(2)P欺骗

所谓P欺骗，就是伪装成合法主机的P地址与目标主机建立连接关系。通过这种欺骗

方法可以把某个服务器的访问者引到一个虚假网站，或者假冒合法用户主机名进入目标服务器。

当用户主机与目标服务器之间建立了传输控制协议(Transmission Control Protocol,

T℃P)连接后，通过双方信息包的不断交互取得用户主机或服务器的信息。入侵者猜测出信

息包的序列号，就能够向用户主机或服务器发出伪造的、看上去是来自合法主机的数据包，构成对完整性的威胁

此外，用户主机与服务器之间建立网络连接时经常需要某种形式的认证，发生在应用层上的认证是不透明的，如进行FTP或Telnet连接时需要用户输入密码和账号。P地址欺骗可以针对非应用层的、通常是自发的、无须用户参与的认证，从而达到非法入侵的目的。

(3)P源端路由选择

P数据包在互联网上传输到达最终目的主机之前通常要经过许多路由器。路由器动态

决定了P数据包的传输路线。允许源端路由选择就是允许P数据包向经过的路由器声明到