电子商务安全-01

《电子商务安全-01》由会员分享，可在线阅读，更多相关《电子商务安全-01（90页珍藏版）》请在金锄头文库上搜索。

1、电子商务安全电子商务安全 （Electronic Commerce SecurityElectronic Commerce Security） 1 学习要求：学习要求： 教学目标：通过本章的学习，要求对电子商务安 全的概念有较全面的了解，掌握电子商务安全保 密的基础理论和实用技术，并能在实践中起指导 作用。 2 本章内容：电子商务安全的现状与趋势、信息加 密技术与应用、数字签名技术与应用、身份认证与访 问控制、密钥管理与数字证书、TCP/IP服务与WWW安 全、防火墙的构造与选择、计算机病毒及其防治技术 、安全通信协议与交易协议、系统入侵的鉴别与防御 、电子邮件安全协议与系统设计、计算机软件综

2、合保 护方法等。 3 2000年2月，互联网最为严重的黑客事件 “电子珍珠港”事件 v 2月7日，美国雅虎网站（Yahoo）遭到攻击，大部分 网络服务陷于瘫痪； v 2月8日，电子商务网站遭到攻击：当天股市的网络 销售公司购买网站死机，随后世界最著名的网络拍卖行 网站（eBay）、著名电子商务网站亚马逊（Amazon） 也被迫关闭多个小时。 v 2月9日，电子商务网站再度遭殃，电子交易网站遭 到攻击，科技新闻网站ZDNet中断2个小时。 4 相关的数据和统计：相关的数据和统计： 截至2002年底，全球Internet用户超过6.55亿。 CNNIC中国互联网络发展状况统计最新统计显示， 截至2

3、003年6月30日，我国上网计算机总数达到2572万 台，上网用户总数达到6800万人。 CNNIC统计指出，我国超过40%的网站存在严重的 安全漏洞。 美国金融时报报道，世界上平均每20秒就发生一起 黑客入侵事件。 2000年1月，黑客从CD Universe网站窃取了35万个 信用卡号码，这是向公众报道的最大规模的信用卡 失窃案件。 5 CERT公布的数据 CERT公布的1988-2002年攻击事件增长图 数据摘自http:/www.cert.org/stats/cert_stats.html 6 7 8 购电脑5600元汇款打“水漂” 2007年6月底，梁小姐在易趣网上浏览时，发现有一家

4、名 为“免费数码”的商店，由于其名字具有诱惑力，因此就 顺便进去看了看。由于自己正在考虑买一台笔记本电脑， 于是她就对sony的笔记本留心了一下，市场价为15000元的 笔记本电脑，在这家网上商店的售价仅为6000多元人民币 。 当时梁小姐对这个低价还是心存疑虑的，于是在汇款之 前，特意打电话给店主“free”，“free”则告诉梁小姐 ，自己的货是海关弄来的，质量没有问题，价钱比较便宜 。经过几次讨价还价后，7月1日，梁小姐将5600元汇入了 卖家的账户，并等待新电脑的到来。 7月4日是汇款后的第三天，梁小姐见笔记本电脑还没 有邮寄到家中，于是她上网又看了一下，竟然发现网上已 经有不少与自己

5、一样的用户汇款后没有收到货物。此时梁 小姐发现原先“free”留下的电话已经打不通了。 9 陕西地震信息网2008 年5月两次遭到黑客攻击（图） 10 11 美国安局网站瘫痪7小时 可能遭到黑客 攻击 u美国国家安全局网站2006年1月13日超过 小时无法访问。有专家认为，遭黑客攻 击是网站瘫痪可能原因之一。 12 域名服务商新网遭到黑客攻击，数万网 站访问瘫痪 2006年9月21日，国内著名的域名服务商“新网 ”的域名解析服务器下午下午5点10分左右受到 不明黑客攻击，凡在该公司注册的域名，从5点 10分起均不能访问。 经过新网公司的紧张抢修，截止到晚上21时 ，仍有约30%的客户受到影响，

6、网站仍无法访问 。 13 央视315晚会曝光黑客盗取用户银行资 金 u央视315晚会曝光了黑客及非法网站通过制造木 马程序盗取了大量个人信息，并且以低价在网 上大量兜售的现象。央视调查发现，黑客通过 侵入他人电脑或者网站窃取银行帐号、密码等 信息，并形成一套从制作、传播到偷窃、销售 牟取暴利的完整利益链。 14 网络安全犯罪直接损失10亿 公安机关发布的数据统计显示，2005年，国内 处理的网络安全犯罪近3万起，国内网民因为网 络安全犯罪而造成的直接损失超过1亿元。 银行等国内金融机构成为网络诈骗犯罪高发 的“重灾区”，按照GDP和我国网络应用水平计 算，国内金融系统全年因网络安全犯罪造成直

7、接经济损失约10亿元人民币。 15 电子商务顺利开展的核心和关键问题是 保证交易的安全性，这是网上交易的基础， 也是电子商务技术的难点所在。 1 1 电子商务安全的现状和趋势电子商务安全的现状和趋势 1.1电子商务安全概述 1.2电子商务安全隐患与防治措施 16 网络信息安全 u1991年，美国政府宣布因特网上可以进行商业 应用后，越来越多的企业、银行、个人利用互 联网进行商业活动。 TCP/IP协议没有考虑安全问题 它由于安全问题同时也给使用者带来了损失。 美国2005-2006年损失80亿美元。2000年，一个 叫“爱虫”的病毒泛滥，造成数十亿美元的损 失.2005年国内金融系统全年因网络

8、安全犯罪 造成经济损失约10亿元人民币。 网上进行商业活动并不是有百利而无一害。 1.1 1.1 电子商务安全概述电子商务安全概述 17 18 CNCERT/CC在2007年境内外木马控制端IP地址总数 为433429个，被控制端IP地址总数为2861621个。 据统计，目前全球平均每20秒就会发生一起 Internet主机被入侵的事件 19 安全事件简介 20 21 电子商务交易安全 u买家、卖家或网站身份是假的 u定单被篡改 l 帐号密码等信息泄密 l 交易过程中发生抵赖 l网上购物的基本流程面临的一般问题? 22 从事商业活动的单位 希望自己能在网上从 事正常的、安全的交 易 怀有各种目

9、的的上网者 有意的盗用数据，破坏 资源，制造事端。 矛 盾 在这种开放的 有着各种威胁的网络环境下 23 u有没有什么方法解决上述矛盾呢 电子商务安全理论和方法 24 电子商务系统安全层次 网络系 统安全 电子商 务系统 安全 实体 安全 数据 安全 计算机 通信设备 路由器、交换 机、集线器等 服务器安全： WWW,FTP, EMAIL服务器 客户机安全 信息流、资金流 网上交易 网上身份认证 25 安全性的术语 密码安全通信安全的最核心部分。 计算机安全一种确定的状态，使计算机化数 据和程序文件不致被非授权人员、计算机或其程序 访问、获取或修改。 网络安全包括所有保护网络的措施。 信息安全

10、保护信息财富，使之免遭偶发的或 有意的非授权泄露、修改、破坏或处理能力的丧失 。 26 密码安全、计算机安全、网络安全和 信息安全之间的关系： 27 电子商务安全的基本要求 术语定义 保密性 认证性 完整性 可访问性 防御性 不可否认性 合法性 保持个人的、专用的和高度敏感数据的机密 确认通信双方的合法身份 保证所有存储和管理的信息不被篡改 保证系统、数据和服务能由合法的人员访问 能够阻挡不希望的信息或黑客 防止通信或交易双方对已进行业务的否认 保证各方的业务符合可适用的法律和法规 28 触发安全问题的原因 1黑客的攻击目前，世界上有20多万个黑客网站，攻击 方法成千上万。 2管理的欠缺网站或

11、系统的严格管理是企业、机构及用 户免受攻击的重要措施。 3网络的缺陷因特网的共享性和开放性使网上信息安全 存在先天不足。 4软件的漏洞或“后门”操作系统和应用软件往往存在 漏洞或“后门”。 5人为的触发基于信息战和对他国监控的考虑，个别国 家或组织有意识触发网络信息安全问题。 “海湾战争” 29 1.2 电子商务安全隐患与防治措施 安全隐患 网络的安全因素是多方面的。从网络组成结构上分有计 算机信息系统的，有通信设备设施的；从内容上分有技 术上的和管理上的；从管理上分又有内部的和外部的等 。具体来说主要有五个方面的问题： 30 网络系统软件自身的安全问题 网络系统软件的自身安全与否，网络系统软

12、件 的安全功能较少或不全，以及系统设计时的疏忽或 考虑不周等，都直接关系网络安全。 1. 操作系统的体系结构造成其本身的不安全性 2操作系统的一些功能带来的不安全因素。 3操作系统支持在网络的节点上进行远程进程的创建。 4操作系统运行时一些系统进程一旦满足条件即可运行。 5操作系统安排的无口令入口 6. TCP/IP等协议包含许多不安全的因素。 31 网络系统中数据库的安全设计问题 对数据的保护安全性、完整性和并发控制。 数据的安全性：防止数据库被故意的破坏和非法的存取。 数据的完整性：防止数据库中存在不符合语义的数据，防止 由于错误信息的输入、输出而造成无效操作和错误结果。 并发控制：数据库

13、是一个共享资源，在多个用户程序并行地 存取数据库时，就可能会产生多个用户程序通过网络并发地存 取同一数据的情况，若不进行并发控制就会产生使取出和存入 的数据不正确，破坏了数据库的一致性。 安全策略存取控制、作业授权 32 传输线路安全与质量问题 从安全的角度来说，没有绝对安全的通信线路。 当线路的通信质量不好时，将直接影响联网效果， 严重的时候甚至导致网络中断。 为保证好的通信质量和网络效果，就必须要有合格 的传输线路，如尽量挑选最好的线作为计算机联网专 线，以得到最佳的效果。 33 网络安全管理问题 从加强安全管理的角度出发，网络安全首先是个管理 问题，然后才是技术问题。 现有的信息系统绝大

14、多数缺少安全管理员。 网络由各种服务器、工作站、终端等集群而成，所 以整个网络天然地继承了他们各自的安全隐患。 安全管理的两类要求： 安全管理 管理安全（security of management） 34 其他威胁网络安全的典型因素 l 计算机黑客。 l 计算机病毒。 l 窃听。 l 部分对整体的安全威胁。 l 内部人员作案。 l 程序共享造成的冲突。 l 互联网的潜在威胁。 其他威胁网络安全的典型因素有： 35 防治措施 1.网络安全检测设备。SAFEsuite、SSS、Retina 2.访问设备。智能卡 3. 安全浏览器/服务器软件。加密和认证 4.证书（Certificate）。Ver

15、iSign 5.防火墙。CheckPoint、Netscreen、SamSung 安全工具包。RSA的BSAFE、Terisa的SecureWeb 1.保护传输线路安全。 一、技术措施 36 8.防入侵措施。IDS 9.数据加密。链路加密、节点加密、端-端加密 10.访问控制。文件、数据库 11.鉴别机制。报文鉴别、数字签名 12.路由选择机制。 数据完整性。 端口保护。 一、技术措施（续） 37 企业在参与电子商务的一开始，就应当形成一套完 整的、适应于网络环境的安全管理制度。 二、管理措施 l 人员管理制度。 l 保密制度。 l 跟踪、审计、稽核制度。 l 网络系统的日常维护制度。 l 病毒防范制度。 l 应急措施。 38 必须具有传统市场营销的知识和经验 必须具有相应的计算机网络知识和操作技能 多人负责原则、任期有限原则、最小权限原则 l 人员管理制度 l 保密制度 安全级别一般分为三级 ： 绝密级 机密级 敏感级 39 跟踪制度日志机制 审计制度日志的检查审核 稽核制度稽核业务应用软件 l 跟踪、审计、稽核制度 l 网络系统的日常维护制度 硬件的日常管理和维护 软件的日常管理和维护 数据备份制度