電子商務安全第1章電子商務安全概述

《電子商務安全第1章電子商務安全概述》由會員分享，可在線閱讀，更多相關《電子商務安全第1章電子商務安全概述（33頁珍藏版）》請在裝配圖網上搜索。

1、 ,Bussiness College of Shanxi,University,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,?電子商務平安?,1,第1章 電子商務平安概述,本章教學目標,1.電子商務存在的一些平安威脅，及其可能遭受的攻擊。,2.掌握對電子商務平安的目標。,3.了解實現電子商務平安手段、技術、方法,4.了解電子商務平安方面的動態、開展。,2,2,案例1：黃群威編造、成心傳播虛假恐怖信息案,2003年4月，注冊名為“zzzzxxxxzz的用戶，在“西

2、路網論壇海闊天空發表標題為“絕對可靠內部消息，上海隱瞞了大量非典病例一文，IP地址為，西路平安監控員刪除該文章時，點擊率為945次；,注冊名為hushuoya的用戶，在“西路網論壇海闊天空發表標題為“中國已因非典而真正進入了經濟危機一文，IP地址為，西路平安監控員刪除該文章時，點擊率為386次。,3,案例,2,：利用漏洞兩人一個月騙游戲點卡獲利,36,萬 獲刑十三年,網易一卡通點卡是為預付費卡。曾經網易與網通公司推出贈送點卡活動，但未對ADSL用戶是否申領過點卡進行核實。一天，丁某在申請時輸入賬號和密碼并提交后，網頁無法顯示，就點擊后退，再提交。發現已獲得了兩張卡。由此可知，發現無論賬號信息是

3、否提交成功，只要在10分鐘之內，反復點提交、后退，就能得到多張點卡，沒有次數限制。于是，丁某伙同他人一起大肆騙卡。,兩名被揭發現程序漏洞后，在2005年9月至10月間，反復申領，騙取100點一卡通點卡57331張，并通過網絡將點卡賣出，共獲利36.7939萬元。,4,25.7%的用戶認為對互聯網的平安問題不太滿意；,61.5%的網民是因為擔憂交易平安性不進行網上交易。,上海是網絡購物使用率到達45.2%；其次是北京，為38.9%。,美國網民的66%，韓國網民的57.3%，中國25%的網絡購物使用率,以上數據源自：?中國互聯網絡開展狀況統計報告?,5,1.1 電子商務面臨的平安威脅,Intern

4、et,的四個特點：國際化、社會化、開放化、個人化。,電子商務、電子政務、電子稅務、電子海關、網上銀行、電子證券、網絡書店、網上拍賣、網絡防偽、網上選舉等等，,網絡信息系統將在政治、軍事、金融、商業、交通、電信、文教等方面發揮越來越大的作用。,6,6,平安隱患(一,a)硬件的平安隱患；,CPU、一些交換機和路由器具有遠程診斷和效勞功能，既遠程進入系統效勞、維修故障，也可遠程進入系統了解情報、越權控制。例國外一著名網絡公司以“跟蹤效勞為由，在路由器中設下“機關、可以將網絡中用戶的包信息同時送一份到其公司總部。,b)操作系統平安隱患；“后門,c)網絡協議的平安隱患；,d)數據庫系統平安隱患；,e)計

5、算機病毒；,f)管理疏漏，內部作案；,g)重應用，輕平安。,7,7,平安隱患(二,由于非法用戶可以偽造、假冒電子商務網站和用戶的身份。,敏感信息和交易數據在傳輸過程中有可能被惡意篡改。,網上交易行為一旦被進行交易的一方所否認，另一方沒有已簽名的記錄來作為仲裁的依據。,8,“網絡釣魚式攻擊,目前威脅最大的三種網絡釣魚攻擊方式為：,假冒網站,郵件欺騙,木馬病毒,9,中國銀行網站,中國銀行的假冒域名是，多一個英文字母f；,中國工商銀行網站,中國工商銀行域名是，與，也只是“1和“i一字之差；,中國農業銀行網站,中國農業銀行域名是,10,以垃圾郵件的形式大量發送欺詐性郵件，這些郵件多以中獎、參謀、對賬等

6、內容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。,國內第一例中文混合型病毒“重要文件冒充一家購物網站郵件迷惑用戶，危害僅是可能將盜取個別用戶網絡銀行賬號和網絡游戲密碼等敏感信息。,11,黑客攻擊的分類,被動攻擊,主動攻擊,12,源點,終點,攻擊者,偽造,篡改,中斷,截獲,被動攻擊,主動攻擊,主動攻擊,主動攻擊,13,13,1.2 平安的一些概念,物理平安通信平安輻射平安電傳打印機,計算機平安,網絡平安,信息平安,電子商務平安加密技術、認證技術、平安認證技術,它們之間的關系如何？,綜合、交叉的學科：密碼

7、學理論、計算機網絡、操作系統、數據庫技術、平安協議、通信技術、電子技術。在眾多的應用中準確把握分析問題、解決問題的思路。,14,14,信息平安的含義,通信保密COMSEC：60-70年代,信息保密,信息平安INFOSEC：80-90年代,機密性、完整性、可用性、不可否認性 等,信息保障IA：90年代-,15,15,電子商務平安,計算機網絡平安,計算機網絡設備平安,計算機網絡系統平安,數據庫平安,商務交易平安,在計算機網絡平安的根底上，保障電子商務過程的順利進行。,16,橙皮書；CC通用準那么，80年代初期，TCSEC可信計算機系統評估準那么。,白皮書：是由官方制定發布的說明及執行的標準報告。,

8、藍皮書：是由第三方完成的綜合研究報告。,綠皮書：是關于樂觀前景的研究報告。,紅皮書：是關于危機敏示的研究報告 80年代后期，TNI可信網絡說明，紅皮書,17,PDRR網絡平安模型,一個中心，四個根本點,18,1.3 信息平安的目標,實例：,A向B傳送支付工資的記錄，這些數據必須加以保護以防泄密。C是沒有被授權卻想讀取文件的用戶，可能監視該傳送過程，并在傳送過程中截獲了該文件的副本。(截獲機密性,某網絡管理員D向用戶E傳送消息，用戶F中途截取，并且改變消息的內容，然后發送E，E以為該信息是由D發送的。篡改完整性,用戶F構造了自己希望的內容，然后發送E，E以為該信息是由D發送的。偽造鑒別性,一個客

9、戶向一個股票代理商發出交易指示信息。隨后，股票跌值，該客戶不成認發出交易信息。否認抗否認性,19,19,信息平安的目標,1 保護信息的機密性Confidentiality),即保證信息為授權者享用而不泄漏給未經授權者。,2 保護信息的完整性(Integrity),數據完整性：未被未授權篡改或者損壞,系統完整性：系統未被非授權操縱，按既定的功能運行,3 保護信息的可用性(Availability),即保證信息和信息系統隨時為授權者提供效勞，而不要出現非授權者濫用卻對授權者拒絕效勞的情況。,4 保護信息的抗否認性(Non-repudiation),要求無論發送方還是接收方都不能抵賴所進行的傳輸,5

10、 保護信息的可控性(Controllability),指對信息傳播及內容具有控制能力的特性。,20,20,信息平安的五種效勞,認證Authentication,保密 Encryption,數據完整Integrity,不可否認Non-repudiation,訪問控制Access Control,信息平安的目標的另一表述是CIA,21,1.4 信息平安的研究內容,信息平安三分靠技術，七分靠管理。,信息平安的實現依靠：,根底理論知識,應用技術手段,平安管理方法：,政府策略、法律法規、平安核心問題、產品技術與企業需求、電子商務平安措施及技術開展現狀、產品市場策略等。,22,22,主要研究內容,加密技術

11、,防火墻技術,虛擬專用網技術,VPN,入侵檢測技術,IDS,訪問控制技術,.,23,23,開展熱點,無線加密與電子商務,認證中心,平安系統根底設施,平安風險評估與分析,版權信息控制,24,24,我國信息平安現狀,用戶認為目前網上交易存在的最大問題是：,平安性得不到保障：33.4%,付款不方便：11.5%,產品質量、售后效勞及廠商信用得不到保障：33.0%,送貨耗時、渠道不暢：8.7%,價格不夠誘人：6.6%,網上提供的信息不可靠：6.0%,其它：0.8%,25,25,在一年內用戶計算機被入侵的情況：,被入侵過：,47.1%,沒有被入侵過：,43.0%,不知道：,9.9%,對于電子郵件帳號，用戶

12、多久換一次密碼：,1,個月：,8.8%,3,個月,-,半年：,21.4%,半年,-1,年：,19.7%,一直不換：,50.1%,26,26,在網上用戶主要采取什么平安措施：,密碼加密：36.9%,防病毒軟件：74.5%,防火墻：67.6%,電子簽名：7.3%,不清楚，由系統管理員負責：7.4%,什么措施都不采用：3.6%,27,27,開展為“攻攻擊、防防范、測檢測、控控制、管管理、評評估等多方面的根底理論和實施技術,關注的焦點主要有：1 密碼理論與技術；2 平安協議理論與技術；3 平安體系結構理論與技術；4 信息對抗理論與技術；5 網絡平安與平安產品。,國外信息平安開展趨勢,28,國家信息平安

13、技術開展戰略,政府不應什么都管，也不應管得太死，應通過制定符合實際情況的法律法規，制定技術標準來引導產業開展。,信息平安政策必須在公民隱私權和政府平安需求方面找到平衡點。,產品開發應該遵循現行平安法規和平安標準。,在制訂平安政策時，從一開始就應吸收技術人員參與高層工作，更好地兼顧產業需求和政府需求。,29,29,國家信息平安技術開展戰略,沒有100的信息平安，要作好風險評估以得到最好的選擇。,平安要和應用緊密結合，不能讓用戶感到增加平安功能是大的負擔，才能獲得成功。,在進入WTO后，交易平安方面重點是B to B的平安。,大國應有自己的平安產業，同時要充分考慮國際兼容問題。,30,30,全方位的平安體系,平安管理原那么 防范內部作案,多人負責原那么 相互制約,任期有限原那么 防作弊，不定期輪換,職責別離原那么 防止利用職務之便,31,31,小結,網絡系統面臨的威脅和分類,電子商務平安的目標,TCSEC對OS的平安級別分類,一種常見的網絡平安模型,32,地址：北京市朝陽區惠新東街10號,：100029,：,謝謝！,33,