《电子商务安全防范》由会员分享,可在线阅读,更多相关《电子商务安全防范(56页珍藏版)》请在金锄头文库上搜索。
1、第9章 電子商務安全防範,9-1電子商務的安全現狀 9-1-1電子商務面臨的安全威脅 9-1-2電子商務的安全要素 9-1-3 Internet上的電子商務安全範圍 9-2威脅範圍與安全對策 9-2-1威脅的種類 9-2-2加密、解密和數位簽名 9-2-3金鑰的安全對策 9-2-4硬體的安全設備 9-2-5駭客攻擊模式,9-3防火牆 9-3-1防火牆的概念 9-3-2防火牆的原理 9-3-3防火牆的技術 9-3-4防火牆的局限性 9-4虛擬私有網路 9-4-1認識虛擬私有網路 9-4-2虛擬私有網路的技術 9-4-3虛擬私有網路的優勢 9-5非法入侵的防範 9-5-1防止入侵和詐騙 9-5-2
2、資訊安全政策 9-5-3安全檢測,9-1電子商務的安全現狀,在電子商務的發展過程中,各産業對網路技術的依賴越來越深。軍事、經濟、社會、文化各方面都越來越依賴於網路。這種高度依賴性使社會變得十分“脆弱”,一旦電腦網路受到攻擊不能正常運作時,整個社會就會陷入危機的泥沼,甚至比電影中描述的情節還要恐怖。因此,電子商務安全日益受到各國的高度重視。,我國網際網路用戶數,9-1-1電子商務面臨的安全威脅,惡意使用者(駭客)會採用各種攻擊手段進行破壞活動,往往造成經濟上的重大損失。他們對電子商務系統的主要威脅有: (1)系統穿透(2)違反授權原則 (3)植入 (4)通信監視 (5)通信干擾(6)中斷 (7)
3、拒絕服務 (8)否認,2001年CSI/FBI電腦犯罪與安全調查,電子商務的交易威脅,在電子商務過程中,買賣雙方透過網路來連繫,受到距離的限制,因而産生安全感和建立信任關係相當困難。電子商務交易雙方(銷售者和消費者)都面臨安全威脅。,賣方面臨的安全威脅,1.系統的安全性被破壞 2.競爭者的威脅 3.商業機密的安全 4.假冒的威脅 5.信用的威脅,買方面臨的安全威脅,1.虛假訂單 2.付款後不能收到商品 3.機密性喪失 4.拒絕服務,9-1-2 電子商務的安全要素,電子商務安全是一個複雜的系統問題,在使用電子商務的過程中會涉及到以下幾個有關安全方面的因素。 (一)可靠性(二)真實性 (三)機密性
4、 (四)完整性 (五)有效性(六)不可否認性 (七)內部網路的嚴密性,9-1-3 Internet上的電子商務安全範圍,電子商務的安全問題對商家和客戶同樣重要。但是,儘管有各種各樣的安全産品和服務,大多數都不適用於電子商務應用。例如防火牆可以提供網路安全,但對於商業夥伴之間的事務產生不到任何保護作用。爲此,網路管理員應該開發一種新的安全架構,充分考慮電子商務問題,而不是只考慮一個點的問題。,電子商務的安全技術,要想在Internet上安全地進行電子商務活動,人們就需要在Internet上增加一些安全措施,以彌補Internet本身帶來的安全缺陷,如資訊加密、防火牆、數位簽名、身份認證等技術,它
5、們主要用於解決在Internet上進行電子商務存在的以下安全問題。,(1)保密性,保密性主要是指保證一些敏感的商業資訊不被洩露。資訊加密主要就是解決這方面的問題。事實上,現存的任何一種加密方法在理論上都是可以破譯的,只是時間長短的問題。尤其是硬體設備的快速發展,給密碼破譯帶來越來越多的便利。,(2)個人隱私,隱私與保密性相關,但並不是同一個概念。如果沒有保密性可能會損害到隱私,但並不是絕對的。因爲個人可以選擇不與他人分享自己的隱私,從而保全自己的隱私。但參與到電子商務中的個人卻無法進行後一種選擇,因爲想在不提供個人資訊的前提下參與電子商務活動幾乎是不可能的事。而這些個人資訊如果被洩露,就必然破
6、壞個人隱私。,(3)資訊的正確性和完整性,資訊的正確性和完整性問題要從兩方面來考慮。一是非人爲因素,如因傳輸介質損壞而引起的資訊丟失、錯誤等。這個問題通常透過校驗來解決,一旦校驗出錯誤,接收方可向發送方請求重發。另一方面則是人爲因素,主要是指非法用戶對資訊的惡意篡改。這方面的安全性也是由資訊加密來保證的,因爲如果無法破譯資訊,也就很難篡改資訊了。,(4)商業欺詐,在網際網路上賣槍販毒,固然危害重大,但是對市井小民而言,網路詐欺事件對它們卻更切身相關。因為每一個網路使用者都知道網路購物、線上銀行等電子交易行為的好處,使得以往在郵購、電話推銷上常見的詐欺花招,都被搬到網路上。而這些網路金光黨比傳統
7、金光黨更為可怕,因為它們潛藏在高科技的網路裡,讓你在不知不覺中受騙。,十種常見詐欺行為,1、網路拍賣: 賣方要求用戶在網路上競標,得標付款後未收到產品;價實而貨不真;標價造假;得標後加價。 2、網路服務: 提供原本免費的服務而收取費用;支付線上或網路服務費用,但未提供服務,或提供不實服務等。 3、一般商品: 由玩具到衣服,付款後未收到商品,或收到的商品與原先購買的商品不同。 4、電腦硬體和軟體: 電腦產品從未送達,或送達者為不實商品。 5、金字塔式銷售: 透過介紹他人加入促銷網獲得利潤,而非真正銷售產品給用戶。,6、商業機會與加盟: 虛偽承諾高利潤而不必工作或少量工作,利用早已包裝好的聯盟,要
8、求當事人投資。 7、在家工作計畫: 虛偽承諾買方在家工作可以獲得薪資,實際只為了銷售材料和設備。 8、輕易獲得信用卡: 欺騙信用不佳的人承諾發給信用卡,要求先付頭期款。 9、中獎與獎品: 要求中獎者先付款再領獎,但事實上根本未有獎品。 10、書籍銷售: 訂購的一般性書籍、自修書籍和其它出版品,從未送達,或不符。,(5)不可否認性,網路上的行為有非常嚴肅的部分,這部分的行為牽涉到政府公權力的行使,政府與私人部門的權利義務關係,甚至影響個人的生命財產。爲了防止電子商務的欺詐行爲,就必須確認對方的身份。利用數位簽名和身份認證技術可以解決這個問題。一旦身份被確認,被確認方就不能對其行爲否認、抵賴。,9
9、-2 威脅範圍與安全對策,9-2-1威脅的種類,(1)惡意程式,惡意的程式是指那些不請自來的軟體,它們可能會在Intranet及與之相連的系統上做出任何事情。它們可以攻擊個人主機及更複雜的系統,包括Intranet上的伺服器。常見的惡意程式包括: 病毒(Virus) 特洛伊木馬 蠕蟲 (Worm),特洛伊木馬入侵方式,惡意程式比較,(2)實體的和基礎構造上的威脅,實體的和基礎構造上的威脅有能量損耗及自然災難等,如水災、閃電及雷擊。此外,實體上篡改及硬體上的破壞也當屬此範圍。系統備份是一條簡單的解決途徑,它可使Internet上的資料不會受損於這種不可逆料的威脅。,(3)駭客的威脅,近年來經常發
10、生的駭客事件是企業網頁被塗鴉、竄改、損毀。網上“駭客”經常會出於某種目的,光顧一些網頁“駭”它一把。如不及時發現,及時恢復,“駭客”留下的不堪入目的垃圾就會對企業形象造成損害。,(4)公司間諜,當公司將其專有秘密從檔案轉到Internet上時,電子間諜就隨之出現。請務必注意放在Internet上的資訊價值,一旦公司的競爭對手和敵人從Internet發現任何秘密,他們都會獲益很多。,(5)不高興的職員,不高興的職員可能會在電腦系統上搞個惡作劇或從事破壞活動。公司員工是最熟悉企業的電腦與應用程式,他們清楚地知道何種操作會造成最大的危害。如果一個職員要離開公司,請及時地使其密碼失效,並刪除其所有的系
11、統帳戶。,(6)詐騙與盜竊,據統計網路上最常見的詐欺花招約可分為以下幾類: 不實網路付費資訊服務(例如部分色情網站的收費)。 叫價的網路拍賣會。 破損、缺陷、錯誤標示或根本收不到商品的網路購物。 網路老鼠會如違法的多層次傳銷(國內著名的例子如傳銷幸運信)。 索費的不實網路營業機會或加盟權。 在家創業或家庭代工的騙局。 不實的網路贈獎活動(藉此來詐騙金錢或個人資料)。 不實的信用卡贈獎活動。 不實的雜誌訂閱。 不實的雜誌、軟體推銷。 利用網路偽造不實之身分,用以遂行其詐騙的目的(例如冒用台大研究生的身份騙財騙色)。,(7)安全性弱點,在資訊技術的精密和功能日益增加的同時,為各種規模的商業帶來前所
12、未見的機會。 新的機會也伴隨新的風險。隨著永遠連線、永遠啟動的電腦基礎結構的本質不斷演進,所以安全性弱點的本質也會破壞,企業將會在資料、系統和資源的整合上,無可避免地面臨許多威脅。,9-2-2 加密、解密和數位簽名,幾世紀以來,兩地之間傳遞機密性文件時,已習慣用密碼方式來加以保護。 現在,密碼方式已發展來保護網路使用者的機密性、完整性以及可靠性。使用訊息加密的方式,以確保機密性。用公鑰密碼(public key cryptosyems)來啟動數位簽章,則可確保完整性和可靠性。,9-2-3 金鑰的安全對策,在一個Intranet環境下,管理員可以選擇各種不同的方法來管理公司職員所持有的私密金鑰。
13、每個公司都是根據公司政策來決定使用何種方法管理資訊。目前使用金鑰進行簽名和加密的操作有以下兩種方式: (1)單金鑰的系統:利用這種方法,同時把密鑰用於簽名和加密。 (2)雙金鑰系統:使用不同金鑰分別進行簽名和加密。也就是公開金鑰系統。,9-2-4 硬體的安全設備,在多數應用程式中,公開金鑰的簽名操作和資料的加密是用軟體進行的,軟體可以是簡單而又便宜的,因爲它不需要另外的硬體。然而正如我們已經指出的,它有一些潛在的缺陷,因此產生了硬體的安全解決方案。硬體的安全設備有以下優點: (1)增加了安全性 (2)個人資訊的可攜性,9-2-5 駭客攻擊模式,沒有單獨一套技術或產品可以涵蓋所有的網路安全,隨著
14、駭客攻擊模式的日益複雜,網路安全的技術與服務也在與日俱進。由於現今多是處於長期連線狀態(always-on)的寬頻使用者,很容易招來駭客及病毒的隨時侵害,掌握駭客攻擊模式,並時時加以更新網路防衛系統,才能有效確保一定程度的網路安全。,阻斷服務(Denial of Service),Denial of Service是一種常見的駭客攻擊手法,它讓用戶端或其他使用者無法從受害電腦上存取資料。其方法通常是由傳送毀損的或大量的資料 requests 來中斷或超載受害電腦,而使正規的連線變慢或完全癱瘓。Denial of service 攻擊會阻礙網路服務一段時間,但不會對資料庫造成重大損害。,9-3
15、防火牆,美國昇陽公司(SUN)和CheckPoint公司分別研發的一種網路 (Network) 安全保護系統,通常安裝在網路中的代理程式 (Agent) 伺服器上,透過識別和篩選,以阻擋外界的入侵與內部非正當的使用者。 發生森林大火時,為預防火場蔓延,並控制火勢範圍,消防人員會闢出一到防火牆。網路上的防火牆概念也是一樣,可以防止外來的危險潛入網路。,防火牆的連接位置,防火牆建置方式,傳統防火牆建置方式,是將系統建置於企業對外的唯一閘道上,這種方式較節省成本也較簡單,但也存在著潛在的危險。一旦防火牆被突破,透過封包 (Packet) 截取的動作,即可輕易取得其它網路資源的網際網路通訊協定 (IP
16、 ) 位址。 比較好的做法是利用兩台防火牆,區隔出一段與內部網路分離的防禦區,在這段防禦區,不做任何封包,並透過防火牆位址轉譯功能,讓駭客 (Hacker) 無從窺視內部網路的IP位址。,9-3-1防火牆的概念,防火牆是一種硬體和軟體的結合,透過在內部網路(Intranet)和外部網路(Internet)之間建立閘道,執行指定的安全控制策略,從而把內外網路分開,達到保護內部網路免受外部非法用戶侵入的目的。設計防火牆産品時,有兩種基本的設計策略: (1)一切未被允許的就是禁止的 (2)一切未被禁止的就是允許的,9-3-2 防火牆的原理,防火牆最重要的功能就是封包過濾(Packet Filter),而發揮封包過濾功能的方式就是訂定網路存取規則(ACL)。,9-3-3 防火牆的技術,在衆多影響防火牆安全性的因素中,有些是管理人員可以控制的,有些卻是在選擇了防火牆之後便無法改變的特性,其中很重要的一點在於防火牆所使用的存取控制技術。 目前防火牆的控制技術可分爲:封包過濾型(Packet Filter)、狀態檢視型(Stateful Inspection Packet Filter
