《電子商務(wù)安全第1章電子商務(wù)安全概述》由會(huì)員分享，可在線閱讀，更多相關(guān)《電子商務(wù)安全第1章電子商務(wù)安全概述（33頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、 ,Bussiness College of Shanxi,University,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,?電子商務(wù)平安?,1,第1章 電子商務(wù)平安概述,本章教學(xué)目標(biāo),1.電子商務(wù)存在的一些平安威脅，及其可能遭受的攻擊。,2.掌握對電子商務(wù)平安的目標(biāo)。,3.了解實(shí)現(xiàn)電子商務(wù)平安手段、技術(shù)、方法,4.了解電子商務(wù)平安方面的動(dòng)態(tài)、開展。,2,2,案例1：黃群威編造、成心傳播虛假恐怖信息案,2003年4月，注冊名為“zzzzxxxxzz的用戶，在“西

2、路網(wǎng)論壇海闊天空發(fā)表標(biāo)題為“絕對可靠內(nèi)部消息，上海隱瞞了大量非典病例一文，IP地址為，西路平安監(jiān)控員刪除該文章時(shí)，點(diǎn)擊率為945次；,注冊名為hushuoya的用戶，在“西路網(wǎng)論壇海闊天空發(fā)表標(biāo)題為“中國已因非典而真正進(jìn)入了經(jīng)濟(jì)危機(jī)一文，IP地址為，西路平安監(jiān)控員刪除該文章時(shí)，點(diǎn)擊率為386次。,3,案例,2,：利用漏洞兩人一個(gè)月騙游戲點(diǎn)卡獲利,36,萬 獲刑十三年,網(wǎng)易一卡通點(diǎn)卡是為預(yù)付費(fèi)卡。曾經(jīng)網(wǎng)易與網(wǎng)通公司推出贈(zèng)送點(diǎn)卡活動(dòng)，但未對ADSL用戶是否申領(lǐng)過點(diǎn)卡進(jìn)行核實(shí)。一天，丁某在申請時(shí)輸入賬號和密碼并提交后，網(wǎng)頁無法顯示，就點(diǎn)擊后退，再提交。發(fā)現(xiàn)已獲得了兩張卡。由此可知，發(fā)現(xiàn)無論賬號信息是

3、否提交成功，只要在10分鐘之內(nèi)，反復(fù)點(diǎn)提交、后退，就能得到多張點(diǎn)卡，沒有次數(shù)限制。于是，丁某伙同他人一起大肆騙卡。,兩名被揭發(fā)現(xiàn)程序漏洞后，在2005年9月至10月間，反復(fù)申領(lǐng)，騙取100點(diǎn)一卡通點(diǎn)卡57331張，并通過網(wǎng)絡(luò)將點(diǎn)卡賣出，共獲利36.7939萬元。,4,25.7%的用戶認(rèn)為對互聯(lián)網(wǎng)的平安問題不太滿意；,61.5%的網(wǎng)民是因?yàn)閾?dān)憂交易平安性不進(jìn)行網(wǎng)上交易。,上海是網(wǎng)絡(luò)購物使用率到達(dá)45.2%；其次是北京，為38.9%。,美國網(wǎng)民的66%，韓國網(wǎng)民的57.3%，中國25%的網(wǎng)絡(luò)購物使用率,以上數(shù)據(jù)源自：?中國互聯(lián)網(wǎng)絡(luò)開展?fàn)顩r統(tǒng)計(jì)報(bào)告?,5,1.1 電子商務(wù)面臨的平安威脅,Intern

4、et,的四個(gè)特點(diǎn)：國際化、社會(huì)化、開放化、個(gè)人化。,電子商務(wù)、電子政務(wù)、電子稅務(wù)、電子海關(guān)、網(wǎng)上銀行、電子證券、網(wǎng)絡(luò)書店、網(wǎng)上拍賣、網(wǎng)絡(luò)防偽、網(wǎng)上選舉等等，,網(wǎng)絡(luò)信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。,6,6,平安隱患(一,a)硬件的平安隱患；,CPU、一些交換機(jī)和路由器具有遠(yuǎn)程診斷和效勞功能，既遠(yuǎn)程進(jìn)入系統(tǒng)效勞、維修故障，也可遠(yuǎn)程進(jìn)入系統(tǒng)了解情報(bào)、越權(quán)控制。例國外一著名網(wǎng)絡(luò)公司以“跟蹤效勞為由，在路由器中設(shè)下“機(jī)關(guān)、可以將網(wǎng)絡(luò)中用戶的包信息同時(shí)送一份到其公司總部。,b)操作系統(tǒng)平安隱患；“后門,c)網(wǎng)絡(luò)協(xié)議的平安隱患；,d)數(shù)據(jù)庫系統(tǒng)平安隱患；,e)計(jì)

5、算機(jī)病毒；,f)管理疏漏，內(nèi)部作案；,g)重應(yīng)用，輕平安。,7,7,平安隱患(二,由于非法用戶可以偽造、假冒電子商務(wù)網(wǎng)站和用戶的身份。,敏感信息和交易數(shù)據(jù)在傳輸過程中有可能被惡意篡改。,網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否認(rèn)，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。,8,“網(wǎng)絡(luò)釣魚式攻擊,目前威脅最大的三種網(wǎng)絡(luò)釣魚攻擊方式為：,假冒網(wǎng)站,郵件欺騙,木馬病毒,9,中國銀行網(wǎng)站,中國銀行的假冒域名是，多一個(gè)英文字母f；,中國工商銀行網(wǎng)站,中國工商銀行域名是，與，也只是“1和“i一字之差；,中國農(nóng)業(yè)銀行網(wǎng)站,中國農(nóng)業(yè)銀行域名是,10,以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、參謀、對賬等

6、內(nèi)容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。,國內(nèi)第一例中文混合型病毒“重要文件冒充一家購物網(wǎng)站郵件迷惑用戶，危害僅是可能將盜取個(gè)別用戶網(wǎng)絡(luò)銀行賬號和網(wǎng)絡(luò)游戲密碼等敏感信息。,11,黑客攻擊的分類,被動(dòng)攻擊,主動(dòng)攻擊,12,源點(diǎn),終點(diǎn),攻擊者,偽造,篡改,中斷,截獲,被動(dòng)攻擊,主動(dòng)攻擊,主動(dòng)攻擊,主動(dòng)攻擊,13,13,1.2 平安的一些概念,物理平安通信平安輻射平安電傳打印機(jī),計(jì)算機(jī)平安,網(wǎng)絡(luò)平安,信息平安,電子商務(wù)平安加密技術(shù)、認(rèn)證技術(shù)、平安認(rèn)證技術(shù),它們之間的關(guān)系如何？,綜合、交叉的學(xué)科：密碼

7、學(xué)理論、計(jì)算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫技術(shù)、平安協(xié)議、通信技術(shù)、電子技術(shù)。在眾多的應(yīng)用中準(zhǔn)確把握分析問題、解決問題的思路。,14,14,信息平安的含義,通信保密COMSEC：60-70年代,信息保密,信息平安INFOSEC：80-90年代,機(jī)密性、完整性、可用性、不可否認(rèn)性 等,信息保障IA：90年代-,15,15,電子商務(wù)平安,計(jì)算機(jī)網(wǎng)絡(luò)平安,計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備平安,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安,數(shù)據(jù)庫平安,商務(wù)交易平安,在計(jì)算機(jī)網(wǎng)絡(luò)平安的根底上，保障電子商務(wù)過程的順利進(jìn)行。,16,橙皮書；CC通用準(zhǔn)那么，80年代初期，TCSEC可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)那么。,白皮書：是由官方制定發(fā)布的說明及執(zhí)行的標(biāo)準(zhǔn)報(bào)告。,

8、藍(lán)皮書：是由第三方完成的綜合研究報(bào)告。,綠皮書：是關(guān)于樂觀前景的研究報(bào)告。,紅皮書：是關(guān)于危機(jī)敏示的研究報(bào)告 80年代后期，TNI可信網(wǎng)絡(luò)說明，紅皮書,17,PDRR網(wǎng)絡(luò)平安模型,一個(gè)中心，四個(gè)根本點(diǎn),18,1.3 信息平安的目標(biāo),實(shí)例：,A向B傳送支付工資的記錄，這些數(shù)據(jù)必須加以保護(hù)以防泄密。C是沒有被授權(quán)卻想讀取文件的用戶，可能監(jiān)視該傳送過程，并在傳送過程中截獲了該文件的副本。(截獲機(jī)密性,某網(wǎng)絡(luò)管理員D向用戶E傳送消息，用戶F中途截取，并且改變消息的內(nèi)容，然后發(fā)送E，E以為該信息是由D發(fā)送的。篡改完整性,用戶F構(gòu)造了自己希望的內(nèi)容，然后發(fā)送E，E以為該信息是由D發(fā)送的。偽造鑒別性,一個(gè)客

9、戶向一個(gè)股票代理商發(fā)出交易指示信息。隨后，股票跌值，該客戶不成認(rèn)發(fā)出交易信息。否認(rèn)抗否認(rèn)性,19,19,信息平安的目標(biāo),1 保護(hù)信息的機(jī)密性Confidentiality),即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。,2 保護(hù)信息的完整性(Integrity),數(shù)據(jù)完整性：未被未授權(quán)篡改或者損壞,系統(tǒng)完整性：系統(tǒng)未被非授權(quán)操縱，按既定的功能運(yùn)行,3 保護(hù)信息的可用性(Availability),即保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供效勞，而不要出現(xiàn)非授權(quán)者濫用卻對授權(quán)者拒絕效勞的情況。,4 保護(hù)信息的抗否認(rèn)性(Non-repudiation),要求無論發(fā)送方還是接收方都不能抵賴所進(jìn)行的傳輸,5

10、 保護(hù)信息的可控性(Controllability),指對信息傳播及內(nèi)容具有控制能力的特性。,20,20,信息平安的五種效勞,認(rèn)證Authentication,保密 Encryption,數(shù)據(jù)完整Integrity,不可否認(rèn)Non-repudiation,訪問控制Access Control,信息平安的目標(biāo)的另一表述是CIA,21,1.4 信息平安的研究內(nèi)容,信息平安三分靠技術(shù)，七分靠管理。,信息平安的實(shí)現(xiàn)依靠：,根底理論知識(shí),應(yīng)用技術(shù)手段,平安管理方法：,政府策略、法律法規(guī)、平安核心問題、產(chǎn)品技術(shù)與企業(yè)需求、電子商務(wù)平安措施及技術(shù)開展現(xiàn)狀、產(chǎn)品市場策略等。,22,22,主要研究內(nèi)容,加密技術(shù)

11、,防火墻技術(shù),虛擬專用網(wǎng)技術(shù),VPN,入侵檢測技術(shù),IDS,訪問控制技術(shù),.,23,23,開展熱點(diǎn),無線加密與電子商務(wù),認(rèn)證中心,平安系統(tǒng)根底設(shè)施,平安風(fēng)險(xiǎn)評估與分析,版權(quán)信息控制,24,24,我國信息平安現(xiàn)狀,用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是：,平安性得不到保障：33.4%,付款不方便：11.5%,產(chǎn)品質(zhì)量、售后效勞及廠商信用得不到保障：33.0%,送貨耗時(shí)、渠道不暢：8.7%,價(jià)格不夠誘人：6.6%,網(wǎng)上提供的信息不可靠：6.0%,其它：0.8%,25,25,在一年內(nèi)用戶計(jì)算機(jī)被入侵的情況：,被入侵過：,47.1%,沒有被入侵過：,43.0%,不知道：,9.9%,對于電子郵件帳號，用戶

12、多久換一次密碼：,1,個(gè)月：,8.8%,3,個(gè)月,-,半年：,21.4%,半年,-1,年：,19.7%,一直不換：,50.1%,26,26,在網(wǎng)上用戶主要采取什么平安措施：,密碼加密：36.9%,防病毒軟件：74.5%,防火墻：67.6%,電子簽名：7.3%,不清楚，由系統(tǒng)管理員負(fù)責(zé)：7.4%,什么措施都不采用：3.6%,27,27,開展為“攻攻擊、防防范、測檢測、控控制、管管理、評評估等多方面的根底理論和實(shí)施技術(shù),關(guān)注的焦點(diǎn)主要有：1 密碼理論與技術(shù)；2 平安協(xié)議理論與技術(shù)；3 平安體系結(jié)構(gòu)理論與技術(shù)；4 信息對抗理論與技術(shù)；5 網(wǎng)絡(luò)平安與平安產(chǎn)品。,國外信息平安開展趨勢,28,國家信息平安

13、技術(shù)開展戰(zhàn)略,政府不應(yīng)什么都管，也不應(yīng)管得太死，應(yīng)通過制定符合實(shí)際情況的法律法規(guī)，制定技術(shù)標(biāo)準(zhǔn)來引導(dǎo)產(chǎn)業(yè)開展。,信息平安政策必須在公民隱私權(quán)和政府平安需求方面找到平衡點(diǎn)。,產(chǎn)品開發(fā)應(yīng)該遵循現(xiàn)行平安法規(guī)和平安標(biāo)準(zhǔn)。,在制訂平安政策時(shí)，從一開始就應(yīng)吸收技術(shù)人員參與高層工作，更好地兼顧產(chǎn)業(yè)需求和政府需求。,29,29,國家信息平安技術(shù)開展戰(zhàn)略,沒有100的信息平安，要作好風(fēng)險(xiǎn)評估以得到最好的選擇。,平安要和應(yīng)用緊密結(jié)合，不能讓用戶感到增加平安功能是大的負(fù)擔(dān)，才能獲得成功。,在進(jìn)入WTO后，交易平安方面重點(diǎn)是B to B的平安。,大國應(yīng)有自己的平安產(chǎn)業(yè)，同時(shí)要充分考慮國際兼容問題。,30,30,全方位的平安體系,平安管理原那么 防范內(nèi)部作案,多人負(fù)責(zé)原那么 相互制約,任期有限原那么 防作弊，不定期輪換,職責(zé)別離原那么 防止利用職務(wù)之便,31,31,小結(jié),網(wǎng)絡(luò)系統(tǒng)面臨的威脅和分類,電子商務(wù)平安的目標(biāo),TCSEC對OS的平安級別分類,一種常見的網(wǎng)絡(luò)平安模型,32,地址：北京市朝陽區(qū)惠新東街10號,：100029,：,謝謝！,33,