第3章电子商务安全14747.pptx

《第3章电子商务安全14747.pptx》由会员分享，可在线阅读，更多相关《第3章电子商务安全14747.pptx（83页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第3 3章章 电子商务安全电子商务安全电子商务安全概述电子商务的安全需求电子商务安全技术与措施电子商务安全认证机制案例本章学习目标：本章学习目标：3.1.1电子商务的安全威胁3.1.2国内电子商务安全现状3.1.3电子商务安全对策3.13.1电子商务安全概述电子商务安全概述 在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于因特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临不同的安全威胁。3.1.13.1.1电子商务的安全威胁电子商务的安全威胁电子

2、商务的运作环境时空的阻隔带来了一系列的安全问题管理不善带来了一系列的安全问题法律和制度等不可控因素带来安全问题电子商务存在安全威胁的主要原因：电子商务存在安全威胁的主要原因：系统中心安全性被破坏竞争者的威胁信用的威胁假冒的威胁卖方卖方(销售者销售者)面临的安全威胁面临的安全威胁 被人假冒付款后不能收到商品机密性丧失拒绝服务网络诈骗买方买方(消费者消费者)面临的安全威胁面临的安全威胁 中断(攻击系统的可用性)：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作；窃听(攻击系统的机密性)：通过搭线与电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报；篡改(攻击系统的完整性)：篡改

3、系统中数据内容，修正消息次序、时间(延时和重放)；伪造(攻击系统的真实性)：将伪造的假消息注入系统，假冒合法人介入系统、重放截获的合法消息实现非法目的,否认消息的接入和发送等。黑客攻击电子商务系统的手段黑客攻击电子商务系统的手段 近年来，国内电子商务得到了蓬勃发展，但由于技术不完善和管理不到位，安全隐患还很突出。3.1.2 3.1.2 国内电子商务安全现状国内电子商务安全现状计算机网络安全商品的品质商家的诚信货款的支付商品的递送买卖纠纷处理网站售后服务电子商务中存在的主要安全问题电子商务中存在的主要安全问题 以上问题可以归结为两大部分：计算机网络安全和商务交易安全。计算机网络安全与商务交易安全

4、实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。由于网络天生的不安全性，特别是其网上支付领域有着各种各样的交易风险。但无论是何种风险，其根本原因都是由于登录密码或支付密码泄露造成的。密码管理问题网络病毒、木马问题钓鱼平台硬件数字认证1.1.支付安全支付安全 2013年4月，金山网络公开发布了2012年度计算机病毒及钓鱼网站统计报告。金山毒霸安全中心统计2012年共捕获病毒样本总量超过4200万个，比上一年增长41.4%。病毒感染超过2.3亿台次，比

5、2011年下降14%。资料：资料：鬼影病毒AV终结者末日版网购木马456游戏木马连环木马（后门）QQ粘虫木马新淘宝客病毒浏览器劫持病毒传奇私服劫持者QQ群蠕虫病毒金山公布的金山公布的2012年度十大病毒：电子商务为了保证网络上传递信息的安全，通常采用加密的方法。但这是不够的，如何确定交易双方的身份，如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的，解决方法就是找一个大家共同信任的第三方，即认证中心(Certificate Authority，CA)颁发电子证书。用户之间利用证书来保证安全性和双方身份的合法性，只有确定身份后，交易的纠纷，才得到有效的裁决。2.2.认证安全认证安全

6、电子商务安全对策是为了应对电子商务交易中，面临的各种安全威胁而采取的管理和技术对策。3.1.3 3.1.3 电子商务安全对策电子商务安全对策人员管理制度保密制度跟踪审计制度系统维护制度病毒防范制度应急措施1.1.完善各项管理制度完善各项管理制度网络安全技术加密技术数字签名密钥管理技术认证技术防火墙技术2.2.技术对策技术对策3.2.1电子交易的安全需求3.2.2计算机网络系统的安全3.23.2 电子商务的安全需求电子商务的安全需求 电子商务安全问题的核心和关键是电子交易的安全性，因此，下面首先讨论在Internet上进行商务交易过程中的安全问题。由于Internet本身的开放性以及目前网络技术

7、发展的局限性，使网上交易面临着种种安全性威胁，也由此提出了相应的安全控制要求。3.2.13.2.1电子交易的安全需求电子交易的安全需求 身份的可认证性是指交易双方在进行交易前应能鉴别和确认对方的身份。在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认对方的身份。即使开始不熟悉、不能确信对方，也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别他的身份。另外，在传统的交易中如果是采用电话进行通信，也可以通过声音信号来识别对方身份。1.1.身份的可认证性身份的可认证性信息的保密性是指对交换的信息进行加密保护，使其在传输过程或存储过程中不被他人所识别。在传统的贸易中，一般都是通过

8、面对面的信息交换，或者通过邮寄封装的信件或可靠的通信渠道发送商业报文，达到保守商业机密的目的。电子商务是建立在一个开放的网络环境下，当交易双方通过Internet交换信息时，因为Internet是一个开放的公用互联网络，如果不采取适当的保密措施，那么其他人就有可能知道他们的通信内容；另外，存储在网络 的文件信息如果不加密的话，也有可能被黑客窃取。2.2.信息的保密性信息的保密性信息的完整性指确保信息在传输过程中的一致性，并且不被未经授权者所篡改，也称不可修改性。上面所讨论的信息保密性，是针对网络面临的被动攻击一类威胁而提出的安全需求，但它不能避免针对网络所采用的主动攻击一类的威胁。所谓被动攻击

9、，就是不修改任何交易信息，但通过截获、窃取、观察、监听、分析数据流和数据流式获得有价值的情报。而主动攻击就是篡改交易信息，破坏信息的完整性和有效性，以达到非法的目的。3.3.信息的完整性信息的完整性 例如，在电子贸易中，乙给甲发了如下一份报文：“请给丁汇100元钱。乙”。报文在报发过程中经过了丙之手，丙就把“丁”改为“丙”。这样甲收到后就成了“请给丙汇100元钱。乙”，结果是丙而不是丁得到了100元钱。当乙得知丁未收到钱时就去问甲，甲出示有乙签名的报文，乙发现报文被篡改了。信息完整性案例：信息完整性案例：交易的不可抵赖性是指交易双方在网上交易过程的每个环节都不可否认其所发送和收到的交易信息，又

10、称不可否认性。由于商情千变万化，交易合同一旦达成就不能抵赖。在传统的贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章，确定合同、契约、单据的可靠性并预防抵赖行为的发生，这也就是人们常说的“白纸黑字”。4.4.不可抵赖性不可抵赖性在商务活动中，交易的文件是不可被修改的。在传统的贸易中，可以通过合同字迹的技术鉴定等措施来防止交易过程中出现的伪造行为，但在电子交易中，由于没有书面的合同，因而无法采用字迹的技术鉴定等传统手段来裁决是否发生了伪造行为。3.3.不可伪造性不可伪造性物理实体的安全自然灾害的威胁黑客的恶意攻击软件的漏洞和“后门”网络协议的安全漏洞计算机病毒的攻击 3.

11、2.2 3.2.2 计算机网络系统的安全计算机网络系统的安全 恶意攻击示意图根据2007年美国网络安全企业赛门铁克(Symantec)公司发布的研究报告，美国是全球网络黑客的大本营，其每年产生的恶意电脑攻击行为远高于其他国家，占全球网络黑客攻击行为总数的约31。所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客攻击目前成为计算机网络所面临的最大威胁。图：微软ANI漏洞引发病毒危机熊猫烧香是一种经过多次变种的熊猫烧香是一种经过多次变种的“蠕虫病毒蠕虫病毒”变种，变种，2006年年10月月16日由日由25岁的中国湖北人李俊编写，岁的中国湖北人李俊编写，2007年年1月初肆虐网络，主要通过下载的

12、档案传染。能月初肆虐网络，主要通过下载的档案传染。能感染感染系统中系统中exe，com，pif，src，html，asp等文件，还能等文件，还能终止大量的反病毒软件进程并且会删除扩展名为终止大量的反病毒软件进程并且会删除扩展名为gho的的备份文件。被感染的用户系统中所有备份文件。被感染的用户系统中所有.exe可执行文件全可执行文件全部被改成熊猫举着三根香的模样。部被改成熊猫举着三根香的模样。图：熊猫烧香病毒3.3.1加密技术3.3.2防火墙技术3.3.3反病毒技术3.33.3 电子商务安全技术与措施电子商务安全技术与措施 电子商务信息的保密性、真实性和完整性可以通过加密技术来实现。加密技术是一

13、种主动的信息安全防范措施，其原理是将数据进行编码，使它成为一种难以识别的形式，从而阻止非法用户获取和理解原始数据。3.3.1 3.3.1 加密技术加密技术密码学是保密学的一个分支，是对存储和传送的信息加以隐藏和保护的一门学问。在密码学中，原始消息称为明文，加密结果称为密文。数据加密和解密是逆过程，加密是用加密算法和加密密钥，将明文变换成密文；解密是用解密算法和解密密钥将密文还原成明文。加密技术包括两个要素：算法和密钥。1.1.密码学基础知识密码学基础知识数据加密是数据加密是保护数据传输安全保护数据传输安全唯一实用的方法和唯一实用的方法和保护保护存储数据安全存储数据安全的有效方法。的有效方法。早

14、在公元前早在公元前3030年，古罗马的凯撒在高卢战争中就采年，古罗马的凯撒在高卢战争中就采用过加密方法。用过加密方法。例：使用凯撒密码的加密系统的构成例：使用凯撒密码的加密系统的构成原理：把每个英文字母向前推原理：把每个英文字母向前推x x位，如位，如x=3x=3，即字母，即字母a,b,c,a,b,c,d,d,x,y,z,x,y,z分别变为分别变为d,e,f,g,d,e,f,g,a,b,c,a,b,c。例如要发送的明文为例如要发送的明文为CaesarwasagreatsoliderCaesarwasagreatsolider，则对应的密文为则对应的密文为Fdhvduzdvdjuhdwvrogl

15、huFdhvduzdvdjuhdwvroglhu。这个简单的例子说明了加密技术的构成：明文被这个简单的例子说明了加密技术的构成：明文被character+3character+3算法转换成密文，解密的算法是反函算法转换成密文，解密的算法是反函数数character-3character-3，其中算法为，其中算法为character+x,xcharacter+x,x是起是起密钥作用的变量，此处密钥作用的变量，此处x x是是3 3。对称密钥也称私钥、单钥或专有密钥，在这种技术中，加密方和解密方使用同一种加密算法和同一个密钥。对称密钥加密技术特点是数据加密标准，速度较快，适用于加密大量数据的场合。2

16、.2.对称密钥加密技术对称密钥加密技术对称加密的算法是公开的，在前面的例子中，可以把算法character+x告诉所有要交换信息的对方，但要对每个消息使用不同的密钥，某一天这个密钥可能是3，而第二天则可能是9。优点：交换信息的双方采用相同的算法和同一个密钥，将简化加密解密的处理，加密解密速度快是对称加密技术的最大优势，缺点：双方要交换密钥，密钥管理是一个问题，密钥必须与加密的消息分开保存，并秘密发送给接收者。如果能够确保密钥在交换阶段未曾泄露，那么机密性和报文完整性就可以通过对称加密方法来实现。2.2.对称密钥加密技术对称密钥加密技术目前最具代表性的对称密钥加密算法是美国数据加密标准DES（D

17、ata Encryption Standard）。DES算法是IBM公司研制的，被美国国家标准局和国家安全局选为数据加密标准并于1977年颁布使用后被国际标准化组织ISO认定为数据加密的国际标准。2.2.对称密钥加密对称密钥加密技术技术DESDES算法算法非对称密钥加密技术也称为公开密钥加密技术需要使用一对密钥来分别完成加密和解密操作，每个用户都有一对密钥，一个私钥（Private Key）和一个公钥（Public Key），它们在数学上相关、在功能上不同。私钥由所有者秘密持有，而公钥则由所有者给出或者张贴在可以自由获取的公钥服务器上。如果其他用户希望与该用户通信，就可以使用该用户公开的密钥进

18、行加密，而只有该用户才能用自己的私钥解开此密文。当然，用户的私钥不能透露给自己不信任的任何人。3.3.非对称密钥加密技术非对称密钥加密技术图：非对称密钥加密过程用户生成一对密钥并将其中的一个作为公钥向其他用户公开；发送方使用该用户的公钥对信息进行加密后发送给接收方；接收方利用自己保存的私钥对加密信息进行解密，接收方只能用自己的私钥解密由其公钥加密后的任何信息。非对称密钥加密基本过程非对称密钥加密基本过程 目前最著名的公钥加密算法是RSA算法，它是由美国的三位科学家Rivest,Shemir和Adelman提出的，已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。优点

19、：信息发送方和接收方不使用同一密钥，不存在将“密钥”传送给接收方的问题，安全系数较高缺点：加密算法比较复杂，加密成本较高适用于“非电子传输方式”移交密钥者3.3.非对称密钥加密非对称密钥加密技术技术RSARSA算法算法防火墙是指设置在被保护网络(内联子网和局域网)与公共网络(如因特网)或其他网络之间并位于被保护网络边界的、对进出被保护网络信息实施“通过/阻断/丢弃”控制的硬件、软件部件或系统。3.3.2 3.3.2 防火墙技术防火墙技术图：企业防火墙配置样例防火墙的种类数据包过滤应用级网关代理服务3.3.2 3.3.2 防火墙技术防火墙技术3.3.3 3.3.3 反病毒技术反病毒技术 计算机病

20、毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。传染性隐蔽性触发性破坏性计算机病毒一般特征计算机病毒一般特征 图：病毒、木马恶意程序盗取密码过程3.4.1 安全认证技术概述3.4.2数字证书与认证中心3.43.4 电子商务安全认证机制电子商务安全认证机制电子商务交易安全在技术上要解决两大问题：安全传输和身份认证。数据加密能够解决网络通信中的信息保密问题，但是不能够验证网络通信对方身份的真实性。因此，数据加密仅解决了网络安全问题的一半，另一半需要身份认证解决。认证指的是证实被认证对象是否属实与是否有效的一个过程，其基本思想是

21、通过验证被认证对象的属性，达到确认被认证对象是否真实有效的目的。3.4.1 3.4.1 安全认证技术概述安全认证技术概述身份认证技术主要基于加密技术的公钥加密体制，目前普遍使用的是RSA算法。用户的一对密钥在使用的时候，用私钥加密的信息，只能用公钥才能解开；而用公钥加密的信息，只能用私钥才能解开。这种加密和解密的唯一性就构成了认证的基础。做法：信息发送者使用信息接收者的公钥进行加密，此信息则只有信息接收者使用私钥来解开阅读；信息接收者使用私钥将反馈信息加密，再传送给信息发送者，发送者也就知道信息接收者已经阅读了所传送的信息。数字摘要（Digital Digest）数字信封（Digital En

22、velop）数字签名（Digital Signature）数字时间戳（Digital Time-Stamp）数字证书（Digital Certificate，Digital ID）电子商务安全电子商务安全认证认证技术：技术：为了切实保障网上交易和支付的安全，世界各国在经过多年研究后，形成了一套完整的解决方案，其中最重要的内容就是建立完整的电子商务安全认证体系。电子商务安全认证体系的核心就是数字证书和认证中心。3.4.2 3.4.2 数字证书与认证中心数字证书与认证中心 数字证书（digitalID）又称为数字凭证、数字标识，是一个经证书认证机构数字签名的包含用户身份信息以及公开密钥信息的电子文

23、件。在网上交易中，若双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方的身份真伪担心。数字证书可用于安全电子邮件、网上缴费、网上炒股、网上招标、网上购物、网上企业购销、网上办公、软件产品、电子资金移动等安全电子商务活动。1.1.数字证书数字证书数字证书的类型数字证书的类型 1.1.个人数字证书个人数字证书2.2.单位证书单位证书3.3.服务器证书服务器证书4.4.代码签名证书代码签名证书 个人证书个人证书(客户证书客户证书)个人身份证书个人身份证书 个人身份证书是用来表明和验个人身份证书是用来表明和验证个人在网络上身份的证书，它确保了网上交易的证个人在网络上身份的证书，它确

24、保了网上交易的操作的安全性和可靠性。个人身份证书可以存储在操作的安全性和可靠性。个人身份证书可以存储在软盘或软盘或ICIC卡中。卡中。个人安全电子邮件证书个人安全电子邮件证书 个人安全电子邮件证个人安全电子邮件证书可以确保邮件的真实性和保密性。书可以确保邮件的真实性和保密性。单位证书单位证书单位证书单位证书单位（客户端）数字证书单位（客户端）数字证书 主要用于单位主要用于单位安全电子事务处理。具体应用如：安全电子邮件安全电子事务处理。具体应用如：安全电子邮件传送、网上公文传送、网上签约、网上招标投标、传送、网上公文传送、网上签约、网上招标投标、网上办公系统等。网上办公系统等。服务器证书服务器证

25、书服务器证书服务器证书服务器证书（站点证书）服务器证书（站点证书）服务器证书主要用服务器证书主要用于网站交易服务器的身份识别，使得连接到服务于网站交易服务器的身份识别，使得连接到服务器的用户确信服务器的真实身份。目的是保证客器的用户确信服务器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真户和服务器之间交易、支付时确保双方身份的真实性、安全性、可信任性等。实性、安全性、可信任性等。代码签名证书代码签名证书代码签名证书代码签名证书又称代码数字证书，代表软件开发者的身份，又称代码数字证书，代表软件开发者的身份，用于对其开发的软件进行数字签名，证明软件的用于对其开发的软件进行数字签

26、名，证明软件的合法性。合法性。（CA-Certificate AuthorityCA-Certificate Authority）。）。也也称称为为电电子子证证书书认认证证中中心心，是是承承担担网网上上安安全全电电子子交交易易认认证证服服务务，能能签签发发数数字字证证书书，确确认认用用户户身身份份的的、与与具具体交易行为无关的体交易行为无关的第三方第三方权威机构。权威机构。2.2.认证中心认证中心（1 1）认证）认证中心的职能中心的职能 认认证证机机构构的的核核心心职职能能是是发发放放和和管管理理用用户户的的数数字证书。字证书。认证中心的四大具体职能认证中心的四大具体职能认认证证中中心心接接受

27、受个个人人、单单位位的的数数字字证证书书申申请请，何何时时申申请请人人的的各各项项资资料料是是否否真真实实，根根据据核核实实情情况况决定是否颁发数字证书。决定是否颁发数字证书。a.a.核发证书核发证书证证书书使使用用总总是是有有期期限限的的，在在证证书书发发行行签签字字时时都都规规定定了了失效日期；失效日期；具体使用期长短由具体使用期长短由CACA根据安全策略来定。根据安全策略来定。更换过期证书，密钥对也需要定期更换。更换过期证书，密钥对也需要定期更换。b.b.证书更新证书更新证证书书的的撤撤消消可可以以有有许许多多理理由由，如如发发现现、怀怀疑疑私私钥钥被被泄泄露露或或检检测测出出证证书书已

28、已被被篡篡改改，则则CACA可可以以提提前前撤撤销销或或暂停使用该证书。暂停使用该证书。申请撤销。申请撤销。证书撤销表证书撤销表CRLCRL。c.c.证书撤销证书撤销d.d.证书证书验证验证证证书书是是通通过过信信任任分分级级层层次次体体系系（通通常常称称为为证证书书的的树树形形验验证证结结构构）来来验验证证的的。每每一一个个证证书书与与签签发数字证书的机构的发数字证书的机构的签名证书关联签名证书关联。在在两两方方通通信信时时，通通过过出出示示由由某某个个CACA签签发发的的证证书书来来证证明明自自己己的的身身份份，如如果果对对签签发发证证书书的的CACA本本身身不不信信任任，则则可可验验证证

29、CACA的的身身份份，依依次次类类推推，一一直直到到公认的权威公认的权威CACA处。就可确信证书的有效性。处。就可确信证书的有效性。(2)CA(2)CA的树型验证结构的树型验证结构 世世界界上上较较早早的的数数字字证证书书认认证证中中心心、处处于于领领导导地地 位位 和和 全全 球球 最最 大大 的的 PKIPKI CACA运运 营营 商商 是是 美美 国国VeriSignVeriSign公公司司，该该公公司司成成立立于于19951995年年4 4月月，位位于于美美国国的的加加利利福福尼尼亚亚州州。它它为为全全世世界界5050个个国国家家提提供供数数字字证证书书服服务务，有有超超过过45000

30、45000个个因因特特网网服服务务器器接接受受该该公公司司的的服服务务器器数数字字证证书书，使使用用它它提提供供的的个人数字凭证的人数也已经超过个人数字凭证的人数也已经超过200200万。万。另外一家著名的公司是加拿大的另外一家著名的公司是加拿大的ENTRUSTENTRUST。国外国外CACA中心介绍中心介绍(3)(3)我国我国认证中心现状认证中心现状我我国国安安全全认认证证体体系系(CA)(CA)可可分分为为金金融融CACA与与非非金金融融CACA两种类型来处理。两种类型来处理。在在金金融融CACA方方面面，根根证证书书由由中中国国人人民民银银行行管管理理，根根认认证证管管理理一一般般是是脱

31、脱机机管管理理；品品牌牌认认证证中中心心采采用用“统一品牌、联合建设统一品牌、联合建设”的方针进行。的方针进行。在在非非金金融融CACA方方面面，最最初初主主要要由由中中国国电电信信负负责责建建设。设。我国的我国的CACA又可分为行业性又可分为行业性CACA和区域性和区域性CACA两大类。两大类。行行业业性性CACA：中中国国金金融融认认证证中中心心（CFCACFCA）和和中中国国电电信认证中心（信认证中心（CTCACTCA）是行业性）是行业性CACA中影响最大的两家。中影响最大的两家。区区域域性性CACA大大多多以以地地方方政政府府为为背背景景，以以公公司司机机制制来来运运作作，如如广广东东

32、CACA中中心心（CNCACNCA）、上上海海CACA中中心心(SHECA)(SHECA)、深深圳圳CACA中中心心(SZCA)(SZCA)，其其中中影影响响最最大大的的是是广广东东CACA中中心心（CNCACNCA）和上海）和上海CACA中心中心(SHECA)(SHECA)。CFCA CFCA 是是全全国国惟惟一一的的金金融融根根认认证证中中心心，由由中中国国人人民民银银行行负负责责统统一一规规划划管管理理，中中国国工工商商银银行行、中中国国银银行行、中中国国农农业业银银行行、中中国国建建设设银银行行、交交通通银银行行、招招商商银银行行、中中信信实实业业银银行行、华华夏夏银银行行、广广东东发

33、发展展银银行行、深深圳圳发发展展银银行行、光光大大银银行行、民民生生银银行行和和福福建建兴兴业业银银行行共共十十三三家家商商业业银银行行联联合合建建设设，由由银银行行卡卡信信息息交交换换总总中中心心承承建建，建建立立了了SETCASETCA和和Non-SETCANon-SETCA两两套套系系统统，于于20002000年年6 6月月2929日正式开始为全国的用户提供证书服务。日正式开始为全国的用户提供证书服务。a.中国金融认证中心（CFCA）在在管管理理分分工工上上，中中国国人人民民银银行行负负责责管管理理根根认认证证中中心心CFCACFCA，并并负负责责审审批批、认认证证统统一一的的品品牌牌认

34、认证证中中心心。一般脱机进行。一般脱机进行。品品牌牌认认证证中中心心由由成成员员银银行行接接受受中中国国人人民民银银行行的的委委托托建建设设、运运行行和和管管理理，建建立立对对最最终终持持卡卡人人、商商业业用用户户和和支支付付网网关关认认证证证证书书的的审审批批、管管理理和和认认证证等等工工作作，其其中中管管理理包包括括证证书书申申请请、补补发发、重重发发和和注注销销等等内容。内容。b.b.广东广东CACA及及“网证通网证通”（NETCANETCA）系统）系统广广东东省省电电子子商商务务认认证证中中心心是是国国家家电电子子商商务务的的试试点点工工程程，其其前前身身是是中中国国电电信信南南方方电

35、电子子商商务务中中心心，创创立立于于19981998年年。20012001年年1 1月月，广广东东省省电电子子商商务务认认证证中中心心的的“网网证证通通”电电子子认认证证系系统统通通过过国国家家公公安安部部计计算算机机信信息息系系统统安安全全产产品品质质量量监监督督检检测测，被被认认定定为为安安全全可可信信的的产产品品。20012001年年8 8月月，国国家家密密码码管管理理委委员员会会办办公公室室批批准准广广东东省省电电子子商商务务认认证证中中心心使使用用密密码码和和建建立立密密钥钥管管理理中中心心，成成为为国内提供网络安全认证服务的重要力量。国内提供网络安全认证服务的重要力量。c.c.上海

36、上海CACA（SHECASHECA）上上海海市市CACA中中心心是是中中国国第第一一个个CACA认认证证中中心心，创创建建于于19981998年年,经经过过国国家家批批准准并并被被列列为为信信息息产产业业部部全全国国的示范工程。的示范工程。国内主要的电子商务认证中心国内主要的电子商务认证中心 网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了“Phishing”，Phishing 发音与 Fishing相同。“网络钓鱼”就其本身来说，称不上是一种独立的攻击手段，更多的只是诈骗方法，就像现实社会中的一些

37、诈骗一样。案例案例 攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者提供一些个人信息，如信用卡号、账户用和口令、社保编号等内容（通常主要是那些和财务，账号有关的信息，以获取不正当利益），受骗者往往会泄露自己的财务数据。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，因此来说，网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。图：网络钓鱼的工作原理图：某假冒银行网站根据2007年美国网络安全企业赛门铁克(Symantec)公司发布的研究报告，美国是全球网络黑客的大本营，是“网络钓鱼”诈骗最猖獗的地方。采用这一方法的黑客常引诱用户进入一个看似合法的网站，然后盗取其提供的个人金融密码或其他秘密信息。2006年下半年，“网络钓鱼”诈骗案比上半年增加了，而在目前所知晓的“网络钓鱼”网站中，约46的网站位于美国。实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。案例分析案例分析