《电子商务第5章电子商务安全机制v2》由会员分享,可在线阅读,更多相关《电子商务第5章电子商务安全机制v2(64页珍藏版)》请在金锄头文库上搜索。
1、第五章 电子商务安全机制,王乐鹏 博士 副教授信息管理与信息系统教研室上海电力学院,视频案例:“3.15 晚会”曝光,一家叫“海量信息科技网”公开叫卖个人信息。全国各地的车主信息,各大银行用户数据,甚至股民信息等等,这个网站一应俱全,价格极其低廉。花100元就能买到1000条信息,详细记录了姓名、手机号码、身份证号码等。为了验证出售信息的真实性,网站给记者发来了一个文件,接收后不到5秒钟,电脑里的鼠标自己在屏幕上移动起来,并点击打开了电脑中的各个文件夹,直到自动关机。,视频案例: 3.15 晚会曝光,这家网上商店表面上卖的是各种各样不同的手机,实际上出售全国各地的身份证原件和配套的银行卡。店主
2、答应卖给记者一套身份证和银行卡,价格300元。我们首先在他的网店里申请购买任何一款手机,他立刻把手机的标价调整为300元,这样交易记录上显示记者购买的是价格300元的手机。第二天,我们果然收到了店主寄过来的一套身份证和银行卡,记者发现它可以在柜员机上随意操作。店主告诉我们这些银行卡可以用来洗钱。,视频案例: 3.15 晚会曝光,身份证件的买卖让一些图谋不轨的人看到了生财之道。福建龙岩某人就从网上购买的50多个信息,骗取银行的信任,从银行办理出各种各样信用卡,短短四个月时间内恶意透支消费14万现金。利用了网上随意买卖的身份证信息,轻而易举从银行办理了信用卡,银行即使发现了也找不到他。,第五章 电
3、子商务安全机制,5.1 电子商务安全概述5.2 电子商务平台安全5.3 电子商务信息安全5.4 电子商务软环境安全,5.1.1 电子商务安全威胁,1.网络平台故障导致的安全威胁指电子商务平台在运营过程中,因自身设计缺陷、寿命终止或者外界条件触发而出现异常或崩溃,从而导致电子商务活动不能正常、有序进行的情况。案例:东方航空网络交易平台遭入侵 黑客骗得两百万元,2.信息安全威胁的种类,(1).信息泄露 由于没有采取加密措施或加密强度不够,攻击者可能通过互联网上安装截收装置或在数据包通过网关和路由器时截获数据等方式,获取诸如交易内容、支付信息和重要商业文件等。(2).信息失真 表现在对交易双方商务信
4、息的恶意编辑,从而严重影响正常的电子商务活动,直至使其中断。1) 篡改-更改信息的内容,如购买商品的交货地点、时间、收货人等以获取不正当利益;2) 删除-删除某个消息或消息的某些部分;3) 插入-插入一些误导信息,让接收方读不懂。,(3).信息仿冒 身份仿冒。仿冒合法商务主体身份发送虚假商务信息,以获取非法利益。例如,冒充合法商务主体发送商务指令,欺骗商务顾客、套取商务机密等。 站点仿冒。仿冒者通过建立与合法电子商务服务器域名极其相近的另一非法服务器,引诱电子商务顾客访问,以骗取其账号与密码等重要信息。又称“网络钓鱼”、“域名欺骗”等。(4). 交易抵赖 事后否认曾经发送过某条消息或内容,如采
5、购商订货不承认;供应商不承认原有的交易协议等。 事后否认曾经收到过某条消息或内容;,2.信息安全威胁的种类,案例:前7月近2万钓鱼网站被举报,截至2010年7月,中国反钓鱼网站联盟累计收到19817个钓鱼网站举报,处理了19688个钓鱼网站,其中电子商务网站为钓鱼网站重灾区。按国内有8788万名活跃网购用户计算,每人损失86.5元。 据介绍,前7个月的举报量,是2009年全年的一倍多。打着淘宝网、腾讯网、工行旗号的钓鱼网站举报量位列前三位,占9成以上。其中有4000余个仿冒淘宝网。,3. 软环境不健全导致的安全威胁,软环境包括电子商务行业规范、国家或地区电子商务司法环境、居民的道德素质与诚信状
6、况、人民的消费观念等。软环境不健全导致的安全威胁如下: 电子商务行业规范的不健全与不完善制约了行业的发展。电子商务司法环境不健全助长了电子商务领域欺诈诱骗之风。 部分网民的道德素质与诚信状况不佳,交易抵赖、商务欺诈等违法的行为时有发生。,案例:百度“阳光联盟”,树立行业规范,百度“阳光联盟”旨在引入行业协会、媒体舆论的监督力量,在政府主管部门的指导下共同构建打击网络欺诈,维护网络诚信的联动机制。百度 “阳光联盟”收集民众通过行业协会、媒体等渠道反馈的互联网虚假及不良信息,实现“限时回复”和“有问必复”,快速处理不良信息,并定期公示违规网站名单,保护公众及合法企业的利益。 通过与承担国内航空运输
7、销售代理市场监管工作的中国航空运输协会达成合作,百度将获得由中航协所提供的权威资质数据,从而能够更加精准、快速地对航空客票销售信息提供者进行甄别、筛选,剔除不符合行业资质的推广客户。,5.1.2 电子商务的安全框架,电子商务安全框架,软环境安全,交易信息安全,网络平台安全,5.2 电子商务网络平台安全,5.2.1 电子商务平台选型,案例:脉冲式订单,导致网站系统瘫痪,2012年2月14日,窝窝团网站系统出现瘫痪,消费者登录窝窝团,弹出的网页窗口却告知“目前网站访问量过大,请您稍后再试”。许多消费者团购付款后订单仍显示未付款状态。网友“章鱼八八”发微博称,他在窝窝团上团购了一份情人节鲜花团购券,
8、付款后一直都没收到账号和密码,等了1个小时后他查询发现,订单居然还处于未付款状态。事后,窝窝团客服称系统正在升级,再加上订单太多才导致网站一时瘫痪。,5.2.2 计算机病毒防范,同生物病毒一样,因其所具有的传播特性,使计算机病毒所造成的破坏具有明显的广域性、普遍性,且影响巨大。 1999年3月,“美丽杀手” 2001年12月, “求职信” 2003年1月,“2003蠕虫王” “红色代码”、尼姆达病毒等等 从实质上讲,计算机病毒是一段程序;这种程序具有类似生物病毒的一些特征,如自我复制、自动传播、寄生性和破坏性等。,5.2.2 计算机病毒防范,一般来说,计算机病毒的入侵途径包括如下方面:(1)从
9、U盘、光盘、移动硬盘等外来存储介质复制被病毒寄生的文件到硬盘。(2)通过计算机网络、红外线接口等复制被病毒寄生的文件到硬盘。(3)接收电子邮件时,邮件正文或附件带有病毒。(4)运行网络上以及外来存储介质上被病毒所寄生的程序。,5.2.3 电子邮件安全隐患及对策,电子商务运作中,会产生大量的电子商业信函,这些商业信函都要通过E-mail的形式在交易主体间传递。E-mail系统具有许多安全隐患,表现在: (1)邮件内容以明文(未加密)形式直接传输。E-mail采用“存储转发”方式传输,用户所发的邮件通过网络上的诸多邮件传输代理的接力转发,最终送到目的用户的电子邮箱。,(2)邮件内容缺乏完整性标识。
10、如果邮件的原本内容对接收者而言,毫不知情,则会引发 (3)邮件的收发双方缺少彼此间的身份辨识。这样,攻击者可以仿冒电子商务中的一方给另一方发送虚假邮件,以破坏正常的商务往来。另外,对于非诚信的电子商务交易实体,会利用这一缺陷,实施恶意抵赖行为。 (4)邮件发送时间缺乏客观性保障。通常,发送时间是商务信函的重要属性。,5.2.3 电子邮件安全隐患及对策,5.2.3 电子邮件安全隐患及对策,5.2.3 电子邮件安全隐患及对策,5.2.3 电子邮件安全隐患及对策,(1)对电子邮件内容进行加密(Encryption)与数字签名(Digital Signature),而后再放到计算机网络上传递。 (2)
11、增加对电子邮件头部信息(Head Information)的安全保密措施。 (3)通过数字时间戳(Digital Time Stamp)服务提高邮件发送时间的客观性。 (4)提升电子邮件服务器的安全性能。,5.2.3 电子邮件安全隐患及对策,5.2.4 防火墙技术,防火墙*(Firewall)是由软件和硬件设备组合而成,在不同网络(如Intranet和Internet)之间构筑的一道屏障,用于加强内部网络和公共网络之间安全防范的系统。它是不同网络信息的唯一出入口,能根据企业的安全政策控制(如允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。,防火墙是在两个网络之间设置障碍,以阻止
12、外界对内部资源的非法访问,也可以防止内部对外部的不安全访问。,防火墙的类型,主要可分为包过滤型、应用网关型两种类型。包过滤型(网络级防火墙):对源和目的IP地址及端口进行检查,拟定一个允许接收和服务对象的清单,一个拒绝访问或服务对象的清单,按照所定的安全政策实施允许或拒绝访问。应用网关型(代理服务器):在局域网和互联网之间建立一个单独的子网,将局域网屏蔽起来 。例如软件防火墙有CCProxy 、wingate、winproxy等。,防火墙的优点与限制,优点: 集中化的安全管理 保护那些易受攻击的服务 控制对特殊站点的访问 对网络访问进行记录和统计限制: 来自内部的攻击 局域网直接与互联网连接
13、病毒通过FTP、Email或其他工具传入,5.3 电子商务信息安全,电子商务信息安全指,针对电子商务信息在传递过程中可能发生的被窃取、被篡改、被仿冒、被抵赖等情况,通过技术手段提升其安全性能的方法策略。包括密码技术、信息摘要技术、数字签名技术、时间戳以及相关的安全协议等。,5.3.1 密码技术,对原始信息加密使其变成不能理解的形式后在网上公开传输,接收方再通过事先约定的解密方式进行解密还原始信息的一种技术。值得注意的是,它并不能够确保信息被第三方截获,而是要保证第三方在得到该信息后,对信息内容无法理解和识读,即实现了信息内容的保密性。,(1). 几个术语,明文:人或机器容易读懂和理解的信息。密
14、文:通过数据加密的手段,将明文变换成的晦涩难懂的信息。加密:将明文变成密文。解密:加密的逆过程,将密文变成明文。加密算法:对明文加密时所采用的一组规则。解密算法:对密文解密时所采用的一组规则。密钥:加密或解密操作时所涉及到的一些参数。,中国古代军事上的例子,前方将领与大本营之间共同制定了军事代码如下:1-前进;2-固守;3-撤兵;4-求援。密钥为唐诗一首,“夜来风雨声,花落知多少”。一日,军情紧急,前方将领派快骑到大本营请示,从大本营带回密文“风”。,(2)加密技术之一对称加密,1)加密与解密过程都采用同一把密钥。2)在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。3)对称加密是
15、建立在共同保守秘密的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失效。典型的应用有DES (数据加密标准)算法。,DES算法,DES的发展历程ANSI: DES(1980), ISO: DEA-1(1984)美国国家标准局(NBS)于1973年5月到1974年8月两次发布通告,公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳了IBM公司Lucifer的算法。标准化:DES算法1975年3月公开发表,1977年1月15日由美国国家标准局颁布为数据加密标准(Data Encryption Standard),于1977年7月15日生效。1976年11月23日,DES被
16、采纳作为美国联邦的一个标准,并授权在非密级政府通信中使用。1979年,美国银行协会批准使用DES。,分组加密算法,以64-位为分组,为一对称算法,加密和解密用的是同一种算法,但加密和解密时所采用的密钥并不相同。密钥长度:56位,密钥通常表示为64位的数,但每个字节的第8位都用作奇偶校验,可以忽略。由于算法的所有细节公开,其保密性有赖于密钥。算法是替代和换位两种基本技术的组合。一次加密或解密总共有16轮,也就是要完成一次加密(解密)过程,必须在明文(密文)分组上实施16次相同的组合技术。,DES算法描述,总体过程描述:初始置换(IP)- 16轮完全相同的运算-初始置换的逆(IP-1) 每一轮DES: Li = Ri-1, Ri = Li-1 XOR f(Ri-1,Ki) 函数f的细节:数据右半部分通过扩展(expansion permutation)由32位扩展为48位,并通过一个异或操作与经过移位和置换的48位密钥结合,其结果通过8个S-盒(substitution box)将这48位替代成新的32位数据,再将其置换一次,
