《网络订票系统》由会员分享,可在线阅读,更多相关《网络订票系统(25页珍藏版)》请在金锄头文库上搜索。
1、研究网络订票系统安全问题研究网络订票系统安全问题研究网络订票系统安全问题研究网络订票系统安全问题2010年年1月月30日日,网站开通运行。每天网站开通运行。每天23:00至次日至次日7:00维护。维护。2013年年12月,网站改版月,网站改版,增加了自动查询、自动提交订单、有票增加了自动查询、自动提交订单、有票 提醒等功能,手机客户端正式开放提醒等功能,手机客户端正式开放。2015年年 1 月,余票查询系统迁移至阿里云计算平台。月,余票查询系统迁移至阿里云计算平台。2016年年 8 月,每天售票时间由原来的月,每天售票时间由原来的7:00提前到提前到6:00。2017年年12月,月,微信小程序
2、微信小程序上线。上线。支付方式由最初的支付方式由最初的银行卡支付,银行卡支付,到先后增加到先后增加支付宝支付宝和和微信支付微信支付。1230612306网络订票系统的发展历程网络订票系统的发展历程一、了解网络订票系统的工作过程一、了解网络订票系统的工作过程一、了解网络订票系统的工作过程一、了解网络订票系统的工作过程手机手机12306中国铁路购票流程:中国铁路购票流程:一、了解网络订票系统的工作过程一、了解网络订票系统的工作过程一、了解网络订票系统的工作过程一、了解网络订票系统的工作过程手机手机12306中国铁路购票流程:中国铁路购票流程:一、了解网络订票系统的工作过程一、了解网络订票系统的工作
3、过程二、分析网络订票系统存在的安全风险二、分析网络订票系统存在的安全风险 由由硬件硬件、软件软件、网络网络、数据数据和和人员人员五要素构成的五要素构成的网络订票系统,如果任何一台硬件、一个软件、一条网络线路、一个数网络订票系统,如果任何一台硬件、一个软件、一条网络线路、一个数据出现问题据出现问题、用户操作不当或者遇到恶意攻击,都会使网络订票系统陷用户操作不当或者遇到恶意攻击,都会使网络订票系统陷入极大的信息安全风险中,导致出现用户购票出错、不能顺利取票、网入极大的信息安全风险中,导致出现用户购票出错、不能顺利取票、网银账号被盗等现象。银账号被盗等现象。真的像官方所说,是由于真的像官方所说,是由
4、于“机房机房空调系统故障空调系统故障”吗?吗?你信吗?你信吗?你信吗?你信吗?如果空调能说话了,它的如果空调能说话了,它的第一句肯定会是:原来,第一句肯定会是:原来,不动,也中枪。不动,也中枪。网络订票系统瘫痪的真正原因:网络订票系统瘫痪的真正原因:网络订票系统瘫痪的真正原因:网络订票系统瘫痪的真正原因:2010年年1月月30日日,网站开通运行。每天网站开通运行。每天23:00至次日至次日7:00维护。维护。2013年年12月,网站改版月,网站改版,增加了自动查询、自动提交订单、有票增加了自动查询、自动提交订单、有票 提醒等功能,手机客户端正式开放提醒等功能,手机客户端正式开放。2015年年
5、1 月,余票查询系统迁移至阿里云计算平台。月,余票查询系统迁移至阿里云计算平台。2016年年 8 月,每天售票时间由原来的月,每天售票时间由原来的7:00提前到提前到6:00。2017年年12月,月,微信小程序微信小程序上线。上线。支付方式由最初的支付方式由最初的银行卡支付,银行卡支付,到先后增加到先后增加支付宝支付宝和和微信支付微信支付。1230612306网络订票系统的发展历程网络订票系统的发展历程 分析网络订票系统存在的安全风险分析网络订票系统存在的安全风险 小组交流,通过上网查阅资料或参照教师提供的知识链接,分析网络订票小组交流,通过上网查阅资料或参照教师提供的知识链接,分析网络订票系
6、统可能存在的风险和原因,并从主观风险和客观风险两个方面对上述风险进系统可能存在的风险和原因,并从主观风险和客观风险两个方面对上述风险进行归类,填写下表。行归类,填写下表。活动一:活动一:活动一:活动一:要素要素风风 险险原原 因因主观风险主观风险/客观风险客观风险导致的问题导致的问题硬件硬件软件软件网络网络数据数据要素要素风风 险险原原 因因主观风险主观风险/客客观风险观风险导致的问题导致的问题建议建议硬件硬件软件软件网络网络数据数据服务器运服务器运行故障行故障停电停电客观客观黑客、病毒黑客、病毒恶意网站或恶意网站或不安全站点不安全站点下载文件下载文件人为误删改、人为误删改、病毒、黑客病毒、黑
7、客网络购票网络购票出错出错订票系统订票系统崩溃崩溃未授权访问未授权访问或网络被攻或网络被攻击击信息系统故信息系统故障障主观主观/客观客观主观主观数据丢失数据丢失网络设备或网络设备或资源不能用资源不能用主观主观/客观客观网络购票网络购票出错出错数据备份,防火数据备份,防火墙,系统升级墙,系统升级UPSUPS不间断电源,或者不间断电源,或者两套备用关键硬件部件两套备用关键硬件部件(电源、内存、网络设(电源、内存、网络设备、通信线路等)备、通信线路等)硬件防火墙、杀硬件防火墙、杀毒软件、及时更毒软件、及时更新升级新升级除上述建议外,数据除上述建议外,数据加密技术加密,指纹加密技术加密,指纹或语音验证
8、登陆或语音验证登陆三、三、探寻探寻网络订票系统安全风险网络订票系统安全风险防范防范的基本方法的基本方法降低信息系统的安全风险主要有两大类措施:降低信息系统的安全风险主要有两大类措施:一、技术防范一、技术防范 设置防火墙设置防火墙数据加密数据加密病毒监控与防范病毒监控与防范对称密匙加密技术(如网站地址开对称密匙加密技术(如网站地址开头为头为https)https)软件防火墙(安装在服务器或个人软件防火墙(安装在服务器或个人计算机上的安全防护软件)计算机上的安全防护软件)硬件防火墙硬件防火墙(内置了防火墙功能的内置了防火墙功能的网络设备比如路由器)网络设备比如路由器)非对称密匙加密技术非对称密匙加
9、密技术(数字签名数字签名)三、三、探寻探寻网络订票系统安全风险网络订票系统安全风险防范防范的基本方法的基本方法降低信息系统的安全风险主要有两大类措施:降低信息系统的安全风险主要有两大类措施:二、人为防范二、人为防范制定相关法律法规、加强内部管理、对系统的制定相关法律法规、加强内部管理、对系统的使用者和管理者进行教育使用者和管理者进行教育养成规范的信息系统操作习惯,定期数据备份。养成规范的信息系统操作习惯,定期数据备份。备份可选择专用备份工具,如操作系统自带的备备份可选择专用备份工具,如操作系统自带的备份程序、开源备份工具、云备份文件等,也用光份程序、开源备份工具、云备份文件等,也用光盘或移动硬
10、盘等备份介质。盘或移动硬盘等备份介质。案案例例1:有有一一天天,小小文文的的邮邮箱箱中中发发现现了了几几百百封封陌陌生生人人发发来来的的邮邮件件,于于是是就就删删除除,可可还不等删完,机器就死了还不等删完,机器就死了注意!注意!注意!注意!邮箱轰炸是一种杀伤力极其强大的网络武器。会干扰用户的电子邮箱轰炸是一种杀伤力极其强大的网络武器。会干扰用户的电子邮件系统的正常使用,甚至邮件系统服务器的安全,造成网络系统瘫痪。邮件系统的正常使用,甚至邮件系统服务器的安全,造成网络系统瘫痪。不随意公开自己的信箱地址,隐藏自己的电子邮件地址,谨慎使用自动回信功能;或者利用一些邮件工具软件如PoP-It来清除这些
11、垃圾信息。【案例案例】案例案例2:QQ聊天的时候,有一个消息自动发过来,如下文的文字及链接,不要轻聊天的时候,有一个消息自动发过来,如下文的文字及链接,不要轻易打开易打开。1.HoHohttp:/www.mm*.com刚才朋友给我发来的这个东东。你不看看刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。就后悔哦,嘿嘿。也给你的朋友吧。2.呵呵,其实我觉得这个网站真的不错,你看看呵呵,其实我觉得这个网站真的不错,你看看http:/www.ktv*.com/3.http:/ni*看看啊看看啊.我最近照的照片我最近照的照片才扫描到网上的。看看我是才扫描到网上的。看看我是不是变了样不
12、是变了样?注意!注意!注意!注意!千万不要点击不明来源的网站链接、电子邮件链千万不要点击不明来源的网站链接、电子邮件链接,其中很可能隐藏着大量的病毒、木马。接,其中很可能隐藏着大量的病毒、木马。【案例案例】案例案例3:远程协助远程协助骗!骗!去年6月14日,陈某在一家淘宝网店购买一台42寸标价2003元的电视机,但因操作失误多付了2003元。因退款心切,在客服的要求下,陈某加了对方QQ,让对方远程操控自己的电脑“帮助退款”,结果被对方分7次转走6万余元。注意!注意!注意!注意!千万不要让陌生人远程操作你的电脑。因为一旦千万不要让陌生人远程操作你的电脑。因为一旦启动远程操控,任何人都可以在异地通
13、过网络控制你的电脑。启动远程操控,任何人都可以在异地通过网络控制你的电脑。另外,淘宝交易需要加另外,淘宝交易需要加QQ沟通的,往往是诈骗。沟通的,往往是诈骗。【案例案例】【案例案例】案例案例4:在星巴克用手机无线上网时的小静,正惬意地发着微博,屏幕上突然跳出一个网页,打开后手机就出现了故障。去修理时才知道,手机被安装了木马程序,很可能遭到了黑客入侵。注意!注意!注意!注意!在公共场合连接免费在公共场合连接免费WiFi,最好不要使用网,最好不要使用网银、支付宝等,不要把自己的移动设备设成自动连接银、支付宝等,不要把自己的移动设备设成自动连接WiFi。活动活动活动活动二二二二:以小组为单位查阅资料
14、,收集案例,整理分析以小组为单位查阅资料,收集案例,整理分析信息系信息系统组成要素统组成要素可采取的可采取的安全防范措施安全防范措施,最后汇总形成,最后汇总形成网络订票系统网络订票系统安全风险防范报告安全风险防范报告。要求:要求:1、在活动一收集的素材基础上进一步查阅相关资料。、在活动一收集的素材基础上进一步查阅相关资料。2、各小组从、各小组从“硬件硬件”、“软件软件”、“网络网络”、“数据数据”和和“人员人员”五要素任选其一,五要素任选其一,确定确定 主题并上报教师。主题并上报教师。3、利用、利用Word文字处理软件制作报告并上传到教师机,样式可自由发挥,要求有文文字处理软件制作报告并上传到
15、教师机,样式可自由发挥,要求有文 和图片,主题鲜明。和图片,主题鲜明。(1)(1)对于信息系统关键的硬件损坏,或遇到突发意外事件等不可抗力因素造成的故障,采对于信息系统关键的硬件损坏,或遇到突发意外事件等不可抗力因素造成的故障,采用什么方法来防范比较好?用什么方法来防范比较好?(2)(2)病毒会对信息系统进行破坏病毒会对信息系统进行破坏,木马会窃取用户的重要信息木马会窃取用户的重要信息.对此对此,可采用哪些方法来防范可采用哪些方法来防范?(3)(3)信息系统如果有漏洞,容易遭黑客的攻击,如何防范?信息系统如果有漏洞,容易遭黑客的攻击,如何防范?(4)(4)购票者过多易造成信息系统瘫痪,可采取哪
16、些技术手段解决?购票者过多易造成信息系统瘫痪,可采取哪些技术手段解决?(5)(5)工作人员账户密码或者管理人员账户密码是否会泄露?有哪些泄露的途径?如何防范工作人员账户密码或者管理人员账户密码是否会泄露?有哪些泄露的途径?如何防范?(6)(6)公用免费公用免费Wi-Fi是否能窃取用户信息?若能,如何窃取的?用户需要如何防范?是否能窃取用户信息?若能,如何窃取的?用户需要如何防范?(7)(7)如何遵守相关法律法规,保证信息系统安全?如何遵守相关法律法规,保证信息系统安全?硬件硬件硬件硬件软件软件软件软件人员人员人员人员数据数据数据数据人员人员人员人员网络网络网络网络项目活动问题项目活动问题项目活动问题项目活动问题:思维导图思维导图思维导图思维导图:分分 类评 价价 标 准准评价价结果或等果或等级基本基本项主题明确,作品完整。体现出积极向上,正确的信息社会责任意识。能基本完成方案中预设的目标,条理清晰。加分加分项能呈现有别于其它成员的成果,有一定的创新思想。主动探索、学习并合适地应用新知识和操作能较好的解决现实中的问题,具有一定的推广价值。项目活动作品评价得分表项目活动作品评价得分表项目活
