“电子商务安全与管理”课程建设报告

黄　浩

(对外经济贸易大学信息学院，北京100029)

1　课程概述

1.1　课程意义

电子商务是指发生在开放网络上的商务活动，现在主要是指在Internet上完成的电子商务。基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式，电子商务的发展前景十分诱人。Internet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。这种新的完整的电子商务系统可以将内部网与Internet连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核心和关键问题。安全问题是制约其发展的重要因素，是关系到电子商务系统能否成功运行的最为重要的问题。如何建立一个安全、便捷的电子商务应用环境，保证整个商务活动中信息的安全性，使基于Internet的电子交易方式与传统交易方式一样安全可靠，已经成为大家十分关心的问题。

电子商务安全技术的应用极大的促进了电子商务的发展，无论在软件上还是硬件上都为电子商务的发展提供了良好的安全保证和发展环境。但是还没有一个有效的电子商务系统安全的评价体系，虽然一些电子商务的安全技术都制定了相应的安全标准，但是就整个系统而言，这还远远不够。在电子商务安全方面，人们往往从技术方面考虑，而往往忽略了安全管理，其实安全管理比技术更重要。制定和实施良好的安全策略比安全技术更有效更持久。技术的发展非常快，而且实施系统侵害的手段和方法不断在变化，因而制定良好的安全策略就显得尤其重要。因此，必须制定科学的安全策略和评价体系，重视管理和技术的运用，为电子商务的发展创造良好的环境。

由于Internet与生俱来的弱点：开放的网络体系，给电子商务的发展带来了挑战，那就是安全。安全问题一直是制约电子商务发展的瓶颈。人们担心自己的隐私泄漏，担心自己的信用卡信息被人盗用。从事电子商务的公司同样面临着巨大的交易风险。

电子商务的安全问题一直受到人们的关注和安全专家的重视，因而安全技术不断地得到发展的应用，如：加密技术、防火墙、安全认证协议等。这些技术的应用极大地促进了电子商务的发展。随着技术的发展，无论在软件上还是硬件上都为电子商务的发展提供了良好的安全保证和发展环境。但是还没有一个有效的电子商务系统安全的评价体系。虽然一些电子商务的安全技术都制定了相应的安全标准，但是就整个系统而言，这还远远不够。电子商务系统的安全要素包括：有效性、机密性、完整性、可靠性、审查能力等。因而衡量一个电子商务系统的安全性就要从这几个方面考察。

1.2　特色

本课程面向学院的电子商务专业以及信息管理专业特点，剖析各专业课程中信息系统的安全隐患与威胁，以此建立本课程的知识体系，形成了以密码学为基础，网络为背景，信息系统为核心，安全管理为目标的课程体系。

课程教学以学生应用能力培养为目标，鉴于课程本身的两个特点：(1)课程的技术特点比较突出，并且涉及的内容比较广泛；(2)安全是一个古老而又一直在迅速发展变化的主题。所以本课程教学比较注重突出两方面的特点：(1)课堂以理论讲解和实验演示为主，然后专门为本课程配备实验指导教材，指导学生课外进行相关的实验，并提交实验报告，通过自己动手实验，更好地理解和掌握相关理论和技术。(2)选择与课程内容相关的当前热点问题作为专题，以学生小组发言为引导，在一定范围进行讨论。

在课程的实验环节，目的是在完成实验部分的学习后，能够达到了解信息安全的体系结构和基本内容，了解信息安全的实体安全和运行安全，掌握和运用基本的信息安全技术，能够综合分析信息安全事件，解决信息安全问题，做好信息安全保障等要求。实验部分覆盖的知识面广，设计的实验类型比较丰富，目的是为学生提供充分的实践引导，激发学生主动探索的兴趣。实验包括——验证型实验、设计型实验、综合型实验，每章实验都会对实验类型、实验目的等进行说明。在每一章实验的相关知识部分，都会对本章实验涉及的背景知识给出尽量完备的介绍，使得每一章的实验无论是理论知识还是实验操作都有比较透彻的阐述。

专题讨论方面主要会设计一些与安全相关的热点问题，也有部分专题可以学生自主选择，比如今年课程设计的专题有物联网安全，云环境下的安全，移动支付安全，数据库中的安全技术等，在理解本课程的基础知识之后，再去理解上述热点中的安全问题应该不存在本质上的困难，主要目的是让学生了解目前很多热点问题都可以从所学课程的角度做出一些不同的理解，加深学生对知识点的理解的同时，也引导学生了解新技术和学科前沿。

1.3　师资队伍

蒋汉生：对外经贸大学副教授，硕士生导师。

黄浩：对外经贸大学讲师，硕士生导师，工学博士。博士毕业后一直从事计算机相关教学研究工作，主要讲授计算机应用基础、应用软件EXCEL、信息发布与网页设计、多媒体应用、电子商务安全与管理等本科课程，以及电子商务安全与管理、数据仓库与数据挖掘等研究生课程。

2　课程建设指导思想、定位、课程目标和建设历程

2.1　指导思想

学院目前的专业有电子商务和信息管理，本课程的建设目标是为相关专业提供支撑，所以课程是以应用为主，这也确定了本课程的三个基本建设原则：

(1)应用为主

为了保证课程的系统性和完整性，课程会涉及一些基础理论知识，这部分知识够用即可，更多的内容会针对常见的电子商务系统或一般的信息系统中的信息安全问题，更注意实际系统中的信息安全问题如何归结到理论和原理上，理论可以如何指导实际问题的解决。

(2)适应范围广

由于一个实际的电子商务系统中需要考虑的安全问题是全方位立体的，所以在课程的内容选择上也尽可能广的覆盖实际的需要，从基础的密码学知识到访问控制、防火墙、入侵检测、PKI/CA、VPN、网络安全协议、计算机病毒、网络攻防等，整体上比较偏重安全技术的讲解。

(3)重视实验

课程涉及的所有知识点都有对应的实验指导，通过实验能更好地理解理论，也能更好地掌握如何将理论运用于实践，解决实际问题。

2.2　课程定位

本课程主要是针对电子商务专业和信息管理专业开设的，更注重对应用层面问题的分析和讲解，强调学生掌握相关知识的广度和理论联系实际的能力，使学生对电子商务系统或一般信息系统可能面对的信息安全问题有一个全局的概念，并有一定的分析问题和系统安全规划的能力。

2.3　课程目标

本课程的教学目标是学生能正确理解信息安全的基本名词术语，理解对称密码体制、非对称密码体制以及常用的密码算法的基本原理；了解网络攻防技术的基本原理，加深对计算机网络知识的理解和应用；理解访问控制技术的基本原理，实现访问控制的三种基本策略以及使用范围；理解两种常用的网络系统安全技术——防火墙技术和入侵检测技术的工作原理；理解数字签名、身份认证的工作原理，了解PKI、CA的体系结构和工作流程；了解常用的网络安全协议——SSL、IPSec、PGP等的工作原理和应用领域。在对上述基本知识理解的基础上，能综合所学内容，分析实际问题，给出合理地解决方案。

2.4　课程建设历程

本课程在学院成立之初，就由蒋汉生老师负责建设，成为学院专业课程的一个重要组成部分，这期间如何根据学院设立的专业选择合适的内容，教材和讲义的编写，试题库的建设等，都在蒋老师的规划下得到落实。2006年黄浩老师参加了这门课程的教学，逐步加入了一些内容，比如入侵检测、网络攻防、信息隐藏等，丰富了密码学和PKI/CA的内容，并为本课程编写了两本实验指导教材，强调了实验在本课程中的地位，拓展了与本课程相关的热点问题的专题讨论环节。目前，这门课程仍然处于微调的状态，希望能更合理地分配各部分的比重。

3　教学内容、方法、手段，教学资源

3.1　课程内容

第1章　电子商务安全基础

1.1　介绍本门课程涉及的基本内容和要求；

1.2　信息系统的基本概念；

1.3　电子商务基本概念；

1.4　信息安全简介。

第2章　密码技术

2.1　传统加密技术；

2.2　对称密码技术；

2.3　非对称密码技术；

2.4　密钥管理；

2.5　消息认证；

2.6　数字签名。

第3章　PKICA

3.1　PKI的基本概念和内容；

3.2　PKI的理论基础；

3.3　PKI的体系和功能；

3.4　CA的基本概念和建设原则；

3.5　CA的系统目标和系统功能；

3.6　CA的系统结构；

3.7　CA的安全体系；

3.8　证书的运作声明。

第4章　访问控制

4.1　访问控制的基本概念；

4.2　访问控制的结构；

4.3　访问控制的基本策略；

4.4　访问控制的应用。

第5章　防火墙

5.1　防火墙的基本概念和结构；

5.2　堡垒主机的；

5.3　包过滤技术；

5.4　代理服务技术；

5.5　核检测防火墙技术；(www.daowen.com)

5.6　防火墙功能分析。

第6章　入侵检测

6.1　入侵检测的相关概念；

6.2　入侵检测技术的分类；

6.3　基于主机的入侵检测技术；

6.4　基于网络的入侵检测技术；

6.5　混合型的入侵检测技术；

6.6　入侵检测系统的设计。

第7章　计算机病毒

7.1　计算机病毒简介；

7.2　计算机病毒的分类；

7.3　计算机病毒原理；

7.4　计算机病毒的侦测与防治；

7.5　计算机病毒的发展趋势。

第8章　网络攻防技术

8.1　网络攻击案例；

8.2　网络攻击的一般过程；

8.3　端口扫描；

8.4　远程控制与木马原理；

8.5　拒绝服务攻击；

8.6　网络监听。

第9章　IPSec与VPN

9.1　IP安全综述；

9.2　IPSec体协结构；

9.3　封装安全载荷(ESP)；

9.4　验证头(AH)；

9.5　Internet密钥交换；

9.6　利用IPSec实现VPN。

第10章　SSL

10.1　SSL协议的工作原理；

10.2　SSL记录层协议；

10.3　SSL握手协议；

10.4　SSL协议的安全性分析；

10.5　SSL协议的应用分析。

3.2　教学方法及手段

本课程的课堂教学以讲授为主，结合部分的实验演示、案例教学、专题讨论，课外学生需要准备专题讨论的内容以及根据实验指导进行相关实验，并将最终的专题讨论和实验报告以文档形式提交，成绩将计入最后的期末考试成绩。

3.3　教学资源

教材：

(1) William Stallings，密码编码学与网络安全——原理与实践(第三版)，电子工业出版社，2004。

(2) Andrew Nash等，公钥基础设施(PKI)：实现和管理电子安全，清华大学出版社，2002。

自编实验教材：

(1)电子商务安全与管理综合实验教程，对外经济贸易大学出版社，2012。

(2)电子商务安全与管理——网络攻防，对外经济贸易大学出版社，2013。(编写中)

平时积累了大量的案例和网络资源，由于新的案例不断出现，所以案例的内容也一直在更新，也有部分经典案例基本固定。网络资源主要以URL的形式提供给学生，供课外参考。

实验部分的网络环境可以利用校园网环境，也可利用专门的实验室网络环境，比如博学楼15层的实验室，在实验指导上会针对每个实验详细描述实验需要的软硬件环境以及网络环境，部分实验需要搭建开发环境，自己编写代码完成实验。

四、取得的成果

4.1　教学特色方法及作用

(1)突出实验在课程中的地位，由于课堂授课时间有限，实验部分主要安排在课外，为了很好地引导学生完成实验，专门编写了两本实验指导教材，实验指导中详细描述了实验需要的软硬件环境，实验所需的理论知识，实验步骤以及截图，保证了学生在课外能很好地完成实验内容，加深对理论知识的理解，同时也提高了学习的积极性。

(2)与安全相关的新话题一直在不断出现，这些内容不可能都纳入课堂教学，而其背后的基本原理在课堂学习中已经掌握，学生完全有能力自己吸收和消化这些内容，所以本课程以专题报告的形式引导学生自己完成相关资料的收集、理解、整理的工作。使得学生能体会到课程所学内容并非只是枯燥的理论，而是能与现实问题紧密结合，提高学习兴趣。

4.2　学生的收获与评价

近五年学生课程的成绩分布比较理想，基本上呈正态分布。每次课程考试大约有15%左右的同学成绩不合格，经过调查发现主要原因还是这批同学主动性不够。有些同学存在“电子商务安全与管理比较难”的看法，也从一个侧面说明了本课程要求严格，但同时平均85%的合格率，15%的优秀率也表明学习者确实取得了较好的学习效果。

5　课程建设展望

5.1　课程建设体会

(1)内容庞杂：本课程涉及的学科内容广泛，工科院校都会开出几门课覆盖本门课程的内容，由于专业的不同，课程学时数的限制，要将多门课程的内容合并到一门课程里面，一开始就会遇到两个问题：第一，教师需要了解很多的相关知识，虽然讲解的深度要求不高，但涉及的内容比较庞杂。第二，如此多的内容如何取舍，取舍之后不同内容如何分配比重。目前课程应该涉及的内容都能涉及到，但不同内容的时间分配仍然需要调整。

(2)实验环节的完善是一个长期的过程，刚开始接触这门课程，就发现信息安全相关的理论和技术并不会让大部分学生感兴趣，于是想到用案例教学，但案例太多会直接影响上课进度，然后想到利用学生课后时间做一些工作，比如专题报告，但学生整体感觉课程内容还是比较晦涩，这样实验内容的加入就开始实施，最开始的实验内容主要集中在密码学部分，因为这部分内容比较抽象，自己动手编写简单的加密、解密算法后，就会对抽象的算法有一个具体的认识。然后是逐步扩展实验范围，加强实验内容和步骤的引导，通过实验报告规范实验结果的展示。

虽然这门课程的教学还有很多不足之处，总体而言还是在慢慢改进，只要能保持学生和教师之间畅通的反馈渠道，能及时发现问题，总会找到一些解决和提高的办法。

5.2　课程的不足

从教师角度来说，本课程的不足主要体现在以下几个方面：

(1)教师队伍建设急需加强。自从蒋老师退休后，只有一人承担这门课程的教学，不利于课程的健康发展。

(2)课程的教学时间不够。学院专门涉及信息安全的课程应该只有这一门，很多内容都要压缩到这门课程里面，有些课程设计的内容没有办法完全实施和开展。

(3)课程内容的分配仍然需要调整，需要更多压缩基础理论部分的内容，扩充应用层面的知识。

(4)希望将提高学生编程能力和本课程结合，但目前还没有明确的解决方案。

5.3　改革思路

加强本课程的师资队伍建设，为本课程提供发展的新动力和新思路；适当提高本课程的学时数，保证课程设计的内容能比较完整的实施；调整授课内容的比重，在兼顾全面的同时能突出重点。