《電子商務(wù)安全第1章電子商務(wù)安全概述》由會員分享，可在線閱讀，更多相關(guān)《電子商務(wù)安全第1章電子商務(wù)安全概述（33頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 ,Bussiness College of Shanxi,University,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,?電子商務(wù)平安?,1,第1章 電子商務(wù)平安概述,本章教學(xué)目標,1.電子商務(wù)存在的一些平安威脅，及其可能遭受的攻擊。,2.掌握對電子商務(wù)平安的目標。,3.了解實現(xiàn)電子商務(wù)平安手段、技術(shù)、方法,4.了解電子商務(wù)平安方面的動態(tài)、開展。,2,2,案例1：黃群威編造、成心傳播虛假恐怖信息案,2003年4月，注冊名為“zzzzxxxxzz的用戶，在“西

2、路網(wǎng)論壇海闊天空發(fā)表標題為“絕對可靠內(nèi)部消息，上海隱瞞了大量非典病例一文，IP地址為，西路平安監(jiān)控員刪除該文章時，點擊率為945次；,注冊名為hushuoya的用戶，在“西路網(wǎng)論壇海闊天空發(fā)表標題為“中國已因非典而真正進入了經(jīng)濟危機一文，IP地址為，西路平安監(jiān)控員刪除該文章時，點擊率為386次。,3,案例,2,：利用漏洞兩人一個月騙游戲點卡獲利,36,萬 獲刑十三年,網(wǎng)易一卡通點卡是為預(yù)付費卡。曾經(jīng)網(wǎng)易與網(wǎng)通公司推出贈送點卡活動，但未對ADSL用戶是否申領(lǐng)過點卡進行核實。一天，丁某在申請時輸入賬號和密碼并提交后，網(wǎng)頁無法顯示，就點擊后退，再提交。發(fā)現(xiàn)已獲得了兩張卡。由此可知，發(fā)現(xiàn)無論賬號信息是

3、否提交成功，只要在10分鐘之內(nèi)，反復(fù)點提交、后退，就能得到多張點卡，沒有次數(shù)限制。于是，丁某伙同他人一起大肆騙卡。,兩名被揭發(fā)現(xiàn)程序漏洞后，在2005年9月至10月間，反復(fù)申領(lǐng)，騙取100點一卡通點卡57331張，并通過網(wǎng)絡(luò)將點卡賣出，共獲利36.7939萬元。,4,25.7%的用戶認為對互聯(lián)網(wǎng)的平安問題不太滿意；,61.5%的網(wǎng)民是因為擔(dān)憂交易平安性不進行網(wǎng)上交易。,上海是網(wǎng)絡(luò)購物使用率到達45.2%；其次是北京，為38.9%。,美國網(wǎng)民的66%，韓國網(wǎng)民的57.3%，中國25%的網(wǎng)絡(luò)購物使用率,以上數(shù)據(jù)源自：?中國互聯(lián)網(wǎng)絡(luò)開展狀況統(tǒng)計報告?,5,1.1 電子商務(wù)面臨的平安威脅,Intern

4、et,的四個特點：國際化、社會化、開放化、個人化。,電子商務(wù)、電子政務(wù)、電子稅務(wù)、電子海關(guān)、網(wǎng)上銀行、電子證券、網(wǎng)絡(luò)書店、網(wǎng)上拍賣、網(wǎng)絡(luò)防偽、網(wǎng)上選舉等等，,網(wǎng)絡(luò)信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。,6,6,平安隱患(一,a)硬件的平安隱患；,CPU、一些交換機和路由器具有遠程診斷和效勞功能，既遠程進入系統(tǒng)效勞、維修故障，也可遠程進入系統(tǒng)了解情報、越權(quán)控制。例國外一著名網(wǎng)絡(luò)公司以“跟蹤效勞為由，在路由器中設(shè)下“機關(guān)、可以將網(wǎng)絡(luò)中用戶的包信息同時送一份到其公司總部。,b)操作系統(tǒng)平安隱患；“后門,c)網(wǎng)絡(luò)協(xié)議的平安隱患；,d)數(shù)據(jù)庫系統(tǒng)平安隱患；,e)計

5、算機病毒；,f)管理疏漏，內(nèi)部作案；,g)重應(yīng)用，輕平安。,7,7,平安隱患(二,由于非法用戶可以偽造、假冒電子商務(wù)網(wǎng)站和用戶的身份。,敏感信息和交易數(shù)據(jù)在傳輸過程中有可能被惡意篡改。,網(wǎng)上交易行為一旦被進行交易的一方所否認，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。,8,“網(wǎng)絡(luò)釣魚式攻擊,目前威脅最大的三種網(wǎng)絡(luò)釣魚攻擊方式為：,假冒網(wǎng)站,郵件欺騙,木馬病毒,9,中國銀行網(wǎng)站,中國銀行的假冒域名是，多一個英文字母f；,中國工商銀行網(wǎng)站,中國工商銀行域名是，與，也只是“1和“i一字之差；,中國農(nóng)業(yè)銀行網(wǎng)站,中國農(nóng)業(yè)銀行域名是,10,以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎、參謀、對賬等

6、內(nèi)容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。,國內(nèi)第一例中文混合型病毒“重要文件冒充一家購物網(wǎng)站郵件迷惑用戶，危害僅是可能將盜取個別用戶網(wǎng)絡(luò)銀行賬號和網(wǎng)絡(luò)游戲密碼等敏感信息。,11,黑客攻擊的分類,被動攻擊,主動攻擊,12,源點,終點,攻擊者,偽造,篡改,中斷,截獲,被動攻擊,主動攻擊,主動攻擊,主動攻擊,13,13,1.2 平安的一些概念,物理平安通信平安輻射平安電傳打印機,計算機平安,網(wǎng)絡(luò)平安,信息平安,電子商務(wù)平安加密技術(shù)、認證技術(shù)、平安認證技術(shù),它們之間的關(guān)系如何？,綜合、交叉的學(xué)科：密碼

7、學(xué)理論、計算機網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫技術(shù)、平安協(xié)議、通信技術(shù)、電子技術(shù)。在眾多的應(yīng)用中準確把握分析問題、解決問題的思路。,14,14,信息平安的含義,通信保密COMSEC：60-70年代,信息保密,信息平安INFOSEC：80-90年代,機密性、完整性、可用性、不可否認性 等,信息保障IA：90年代-,15,15,電子商務(wù)平安,計算機網(wǎng)絡(luò)平安,計算機網(wǎng)絡(luò)設(shè)備平安,計算機網(wǎng)絡(luò)系統(tǒng)平安,數(shù)據(jù)庫平安,商務(wù)交易平安,在計算機網(wǎng)絡(luò)平安的根底上，保障電子商務(wù)過程的順利進行。,16,橙皮書；CC通用準那么，80年代初期，TCSEC可信計算機系統(tǒng)評估準那么。,白皮書：是由官方制定發(fā)布的說明及執(zhí)行的標準報告。,

8、藍皮書：是由第三方完成的綜合研究報告。,綠皮書：是關(guān)于樂觀前景的研究報告。,紅皮書：是關(guān)于危機敏示的研究報告 80年代后期，TNI可信網(wǎng)絡(luò)說明，紅皮書,17,PDRR網(wǎng)絡(luò)平安模型,一個中心，四個根本點,18,1.3 信息平安的目標,實例：,A向B傳送支付工資的記錄，這些數(shù)據(jù)必須加以保護以防泄密。C是沒有被授權(quán)卻想讀取文件的用戶，可能監(jiān)視該傳送過程，并在傳送過程中截獲了該文件的副本。(截獲機密性,某網(wǎng)絡(luò)管理員D向用戶E傳送消息，用戶F中途截取，并且改變消息的內(nèi)容，然后發(fā)送E，E以為該信息是由D發(fā)送的。篡改完整性,用戶F構(gòu)造了自己希望的內(nèi)容，然后發(fā)送E，E以為該信息是由D發(fā)送的。偽造鑒別性,一個客

9、戶向一個股票代理商發(fā)出交易指示信息。隨后，股票跌值，該客戶不成認發(fā)出交易信息。否認抗否認性,19,19,信息平安的目標,1 保護信息的機密性Confidentiality),即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。,2 保護信息的完整性(Integrity),數(shù)據(jù)完整性：未被未授權(quán)篡改或者損壞,系統(tǒng)完整性：系統(tǒng)未被非授權(quán)操縱，按既定的功能運行,3 保護信息的可用性(Availability),即保證信息和信息系統(tǒng)隨時為授權(quán)者提供效勞，而不要出現(xiàn)非授權(quán)者濫用卻對授權(quán)者拒絕效勞的情況。,4 保護信息的抗否認性(Non-repudiation),要求無論發(fā)送方還是接收方都不能抵賴所進行的傳輸,5

10、 保護信息的可控性(Controllability),指對信息傳播及內(nèi)容具有控制能力的特性。,20,20,信息平安的五種效勞,認證Authentication,保密 Encryption,數(shù)據(jù)完整Integrity,不可否認Non-repudiation,訪問控制Access Control,信息平安的目標的另一表述是CIA,21,1.4 信息平安的研究內(nèi)容,信息平安三分靠技術(shù)，七分靠管理。,信息平安的實現(xiàn)依靠：,根底理論知識,應(yīng)用技術(shù)手段,平安管理方法：,政府策略、法律法規(guī)、平安核心問題、產(chǎn)品技術(shù)與企業(yè)需求、電子商務(wù)平安措施及技術(shù)開展現(xiàn)狀、產(chǎn)品市場策略等。,22,22,主要研究內(nèi)容,加密技術(shù)

11、,防火墻技術(shù),虛擬專用網(wǎng)技術(shù),VPN,入侵檢測技術(shù),IDS,訪問控制技術(shù),.,23,23,開展熱點,無線加密與電子商務(wù),認證中心,平安系統(tǒng)根底設(shè)施,平安風(fēng)險評估與分析,版權(quán)信息控制,24,24,我國信息平安現(xiàn)狀,用戶認為目前網(wǎng)上交易存在的最大問題是：,平安性得不到保障：33.4%,付款不方便：11.5%,產(chǎn)品質(zhì)量、售后效勞及廠商信用得不到保障：33.0%,送貨耗時、渠道不暢：8.7%,價格不夠誘人：6.6%,網(wǎng)上提供的信息不可靠：6.0%,其它：0.8%,25,25,在一年內(nèi)用戶計算機被入侵的情況：,被入侵過：,47.1%,沒有被入侵過：,43.0%,不知道：,9.9%,對于電子郵件帳號，用戶

12、多久換一次密碼：,1,個月：,8.8%,3,個月,-,半年：,21.4%,半年,-1,年：,19.7%,一直不換：,50.1%,26,26,在網(wǎng)上用戶主要采取什么平安措施：,密碼加密：36.9%,防病毒軟件：74.5%,防火墻：67.6%,電子簽名：7.3%,不清楚，由系統(tǒng)管理員負責(zé)：7.4%,什么措施都不采用：3.6%,27,27,開展為“攻攻擊、防防范、測檢測、控控制、管管理、評評估等多方面的根底理論和實施技術(shù),關(guān)注的焦點主要有：1 密碼理論與技術(shù)；2 平安協(xié)議理論與技術(shù)；3 平安體系結(jié)構(gòu)理論與技術(shù)；4 信息對抗理論與技術(shù)；5 網(wǎng)絡(luò)平安與平安產(chǎn)品。,國外信息平安開展趨勢,28,國家信息平安

13、技術(shù)開展戰(zhàn)略,政府不應(yīng)什么都管，也不應(yīng)管得太死，應(yīng)通過制定符合實際情況的法律法規(guī)，制定技術(shù)標準來引導(dǎo)產(chǎn)業(yè)開展。,信息平安政策必須在公民隱私權(quán)和政府平安需求方面找到平衡點。,產(chǎn)品開發(fā)應(yīng)該遵循現(xiàn)行平安法規(guī)和平安標準。,在制訂平安政策時，從一開始就應(yīng)吸收技術(shù)人員參與高層工作，更好地兼顧產(chǎn)業(yè)需求和政府需求。,29,29,國家信息平安技術(shù)開展戰(zhàn)略,沒有100的信息平安，要作好風(fēng)險評估以得到最好的選擇。,平安要和應(yīng)用緊密結(jié)合，不能讓用戶感到增加平安功能是大的負擔(dān)，才能獲得成功。,在進入WTO后，交易平安方面重點是B to B的平安。,大國應(yīng)有自己的平安產(chǎn)業(yè)，同時要充分考慮國際兼容問題。,30,30,全方位的平安體系,平安管理原那么 防范內(nèi)部作案,多人負責(zé)原那么 相互制約,任期有限原那么 防作弊，不定期輪換,職責(zé)別離原那么 防止利用職務(wù)之便,31,31,小結(jié),網(wǎng)絡(luò)系統(tǒng)面臨的威脅和分類,電子商務(wù)平安的目標,TCSEC對OS的平安級別分類,一種常見的網(wǎng)絡(luò)平安模型,32,地址：北京市朝陽區(qū)惠新東街10號,：100029,：,謝謝！,33,