搜索
电子商务·安全第一节电子商务安全概述第二节计算机病毒及其防范第三节电子商务交易风险的识别与防范电子商务安全•思考:•1、在日常生活中是否也经常遇到各种各样的网络交易安全问题?请举例说明。•2、在遭遇各种安全问题时,你采用了哪些方法来应对?淘宝网1元“错价门”引发的争议盘点:电商行业八大信息泄露典型案例•事件一:5173中国网络服务网数次被“盗钱”。•事件二:当当网账户遭盗刷。•事件三:“1号店”员工内外勾结泄露客户信息。•事件四:支付宝漏洞致信息泄露,官方回应都是买家的错。•事件五:如家、七天开房信息泄密。•事件六:腾讯7000多万QQ群遭泄露,全隐患危及微信支付。•事件七:携程技术漏洞导致用户个人信息、银行卡信息等泄露。•事件八、快递单贩卖称灰色产业链。学会这5招,避免网投简历信息被泄露•1、去正规网站求职•2、信息分清必填和可不填–学历、实习经历、工作经历以及个人业绩–尽量不要填写身份证号、家庭住址和家庭电话等个人信息,避免隐私外泄。•3、找工作不宜海投•4、重视简历的日常管理•5、适当警醒网银被盗用,6万剩500块U盾、银行卡均在手,账户还绑定了手机短信,密码也没丢失……银行卡上的钱却不翼而飞了。近日市民小明(化名)就遭遇了这么一件蹊跷事。69笔“隐形”交易记录,让他账户上的6万多元,在两天内仅剩500块。由于平时做生意需要,小明的手机上装有某银行的手机终端软件,也开通了相关的短信提示服务。1月27日当天,小明去银行取钱,一查余额却大吃一惊:自己卡上原本有6万多元,此时却只剩下了500多块。小明当即报了警。警方调取的银行资料显示,从25日到26日下午,小明的这笔钱分69笔被人盗刷。经调查,小明的钱是通过3个第三方交易平台“溜走”的,其中最大的一笔消费记录为4000多元。银行的工作人员发现,小明的手机还被骗子做了手脚,收短信的功能被屏蔽,因此这两天里的所有交易记录,他压根都没有收到短信提示。在与第三方交易平台客服联系后,警方得知,小明的钱大多被用来充话费、购买游戏点卡等虚拟消费。目前警方已对此立案调查,初步怀疑可能与小明使用公共场所的免费WiFi有关。•国外–2000年2月7日-9日,Yahoo,ebay,Amazon等著名网站被黑客攻击,直接和间接损失10亿美元。–2003年,易趣用户收到“网络钓鱼”邮件……•国内–2000年春天,有人利用普通的技术,从电子商务网站窃取到8万个信用卡号和密码,标价26万元出售。–2009年QQ交谈中以网上购物打折为诱饵……其他一电子商务安全概述1.电子商务的安全,从整体上可分为两部分:(1)计算机网络安全:包括计算机网络设备、网络系统、数据库等的安全。(2)商务交易安全:即实现电子商务的保密性、信息的完整性、可鉴别性、不可伪造性和不可抵赖性,保证电子商务过程的顺利进行。CNNIC调查结果用户认为目前网上交易存在的最大问题是:1、安全性得不到保障23.4%2、产品质量和服务欠缺15.2%3、商家信用得不到保障14.1%4、付款不方便10.8%5、价格不够诱人10.8%6、送货不及时8.6%7、网上提供的信息不可靠6.4%8、其它0.7%一、电子商务安全概述(1)•1998年一名黑客(仅16岁)侵入美国空军的专用电脑网络,将一个有关空军战机统计图表的数字和战机图像删去,换成了一幅鲜血直滴的一对红眼球画面,上面写着“欢迎进入真相”。引言是“你可以在这里了解美国政府的一切腐败丑闻,知道他们不希望你知道的秘密……”被更改过的网页中有一张淫秽图像,文字说明是“这就是美国政府每天都在做的事……”•1999年岁末,一位神秘的黑客向位于旧金山的CD宇宙公司办事处发出一份传真,声称他已盗用了该公司客户的绝密信用卡档案,如果满足他索取10万美元的要求,他愿意立即销毁这些保密资料。CD宇宙公司没有把威吓信当作一回事。•圣诞节那天,电脑黑客把所盗的30万个该公司的客户帐号张贴了出来,只要网民轻轻点一下鼠标,就能获得免费的客户信用卡号码、姓名及地址,谁使用了这些资料,便能享受免费购物了。•至此,宇宙公司才意识到问题的严重性,立即向联邦调查局报案。此时黑客竟向联邦调查和新闻媒体发出一份电子邮件,吹嘘自己多年来屡屡擅闯他人电脑的“辉煌历史”,声称:“如果不付我10万美元,我就要出售你们的全部信用卡。”买方面临的安全威胁虚假订单:假冒者以客户的名字订购商品,客户收到商品被要求付款或返还商品。付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如PIN,口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听。拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源,从而使合法用户不能得到正常的服务。卖方面临的安全威胁系统中心安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。竞争者的威胁:恶意竞争者以他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。商业机密的安全:客户资料被竞争者获悉。假冒的威胁:不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者、虚假订单,获取他人的机密数据。信用的威胁:买方提交订单后不付款电子商务安全构架网络安全技术病毒防范身份识别技术分组过滤和代理技术防火墙技术交易安全技术电子商务业务系统电子商务支付系统安全应用协议SET、SSL、S/HTTP、S/MIME基本加密算法非对称密钥加密、对称密钥加密DES、RSA安全认证手段消息摘要、数字签名、数字信封、CA体系安全管理体系法律、法规和政策案例导引近10万用户资料可能被黑客曝光位于美国马萨诸塞州的沃尔瑟姆美的Bibliofind.com是一家电子商务网站,该网站向用户提供稀有的或者已经绝版的书籍。上周他发现一个黑客自去年10月就攻破了公司的一个服务器,自此以后,该黑客曾多次光顾他的服务器。该公司发言人称,黑客从公司网站上下载了用户的资料,包括用户姓名、地址及信用卡号码。该公司为了查找黑客,短时间关闭整个网站,并把用户的信用卡信息和地址从那个服务器上移走。但公司发言人未透露是否查到了黑客。只是说已经通知了美国联邦调查局,请求他来协助调查此事。黑客(Hacker)源于英语动词Hack,意为“劈、砍”,引申的意思是“干了一件非常漂亮的事”。黑客则有“恶作剧”之意,尤其是指手法巧妙、技术高明的恶作剧。黑客与木马的防范•黑客不黑:–真正的黑客有自己的行规,不会随意攻击普通网友的电脑。–我们可能遇到的攻击,绝大多数是来自那些只会使用几个攻击软件的低级黑客,只要我们做好防范,完全可以有效的避免。今天的黑客可分为两类:骇客:他们想引人注目,千方百计入侵计算机网络系统,轻则做一些无伤大雅的恶作剧,重则删除、修改网页及摧毁网站;窃客:他们的行为带有强烈的目的性,这些窃客的目标往往瞄准了银行的漏洞和电子交易的账号,试图盗窃他人的资金和虚拟财产。黑客行为已对经济秩序、经济建设、国家信息安全构成严重威胁。第一节电子商务安全概述第二节计算机病毒及其防范第三节电子商务交易风险的识别与防范电子商务安全1983年美国科学家佛雷德·科恩最先证实电脑病毒的存在。计算机病毒是一种人为制造的寄生于计算机应用程序或操作系统中的可执行、可自行复制、具有传染性和破坏性的恶性程序。从1987年发现第一类流行电脑病毒起,病毒数每年正以40%的比率增加。一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络系统处于瘫痪。计算机病毒及其防范网络入侵典型案例〖案例分析〗电子邮件炸弹袭击网站2001年2月7日到9日,黑客们采用名为DDOS(分布式拒绝服务)的入侵方式,袭击了美国YAHOO(雅虎公司)、eBay(电子海湾公司)、CNN(美国有线新闻网)等互联网上的著名网站。在铺天盖地的邮包炸弹攻势下,被袭击者不得不关闭网站入口,致其瘫痪数小时,造成重大损失。网络入侵典型案例〖案例分析〗网络病毒传播2001年,计算机病毒在我国感染情况严重,特别是“红色代码”二型、“尼姆达(Nimda)等恶性病毒在我国大面积传播,造成一些政府机构、教育科研单位等行业的网络通讯阻塞,甚至出现服务器瘫痪。2002年,以电子邮件、特洛伊木马、文件共享等为传播途径的混合性病毒肆虐,影响最大的“求职信”病毒持续六个月高居感染率第一。网络入侵典型案例〖案例分析〗网络病毒传播2003年8月11日,一种名为“冲击波”(WORMMSBLAST.A)的新型蠕虫病毒在国内互联网和部分专用信息网络上传播。全国有上万台电脑遭感染。其变种病毒WORM-MSBLAST.D在全球感染数百家企业。1)常见的计算机网络病毒可分为以下几种:(1)蠕虫它是一种短小的程序,通过在网络中连续高速地复制自己,长时间的占用系统资源,使系统因负担过重而瘫痪。如震荡波、冲击波、尼姆达、恶邮差等。(2)逻辑炸弹这是一个由满足某些条件(如时间、地点、特定名字的出现等)时,受激发而引起破坏的程序。逻辑炸弹是由编写程序的人有意设置的,它有一个定时器,由编写程序的人安装,不到时间不爆炸,一旦爆炸,将造成致命性的破坏。如欢乐时光,时间逻辑炸弹。(3)特洛伊木马当使用者通过网络引入自己的计算机后,它能将系统的私有信息泄露给程序的制造者,以便他能够控制该系统。如Ortyc.Trojan木马病毒,木马Backdoor.Palukka,酷狼,IE枭雄,腾讯QQ木马病毒。(4)陷阱入口陷阱入口是由程序开发者有意安排的。当应用程序开发完毕时,放入计算机中,实际运行后只有他自己掌握操作的秘密,使程序能正常完成某种事情,而别人则往往会进入死循环或其他歧路。(5)核心大战这是允许两个程序互相破坏的游戏程序,它能造成对计算机系统安全的威胁。2)计算机病毒的防范A、正确安装和使用杀毒软件;B、安装防火墙,防范病毒,阻止黑客攻击;C、修改系统配置,增强系统自身安全性来提高抵抗能力(卸载和删除系统不必要的系统功能和服务);D、及时修补系统漏洞;E、高度警惕网络陷阱F、不打开陌生地址的电子邮件G、加强数据备份和恢复措施H、对敏感设备和数据要建立物理或逻辑隔离措施等黑客与木马的防范•木马防范的工具:–病毒防火墙:病毒防火墙能发现和控制部分木马程序;–网络安全防火墙:有效的网络安全防火墙能够在程序进行有威胁的操作时进行提醒,能相对比较有效控制木马类程序的运行;–系统升级:一些木马针对系统漏洞进行攻击,及时升级我们的操作系统可增强对此类情况的免疫Internet与Intranet•Interneta)全球性的网络,唯一;b)资源共享,开放;c)安全机制松散,没有统一的管理。•Intraneta)企业内部网络;b)大量单位内容敏感信息,安全保密至关重要;c)集中管理。如何解决Internet与Intranet之间的连通,为用户提供应有的服务,同时又能保证内部资源和信息的安全性,这是网络中一个非常关键的技术,也是一个难点。防火墙的基本概念:防火墙(Firewall)是在Internet与Intranet之间构筑的一道屏障,用以保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯。黑客与木马的防范•养成良好的网络使用习惯:–定期升级操作系统和病毒防火墙;–最好学会使用至少一种网络安全防火墙;–不从陌生网站下载软件;–不在聊天工具或邮件中接收和运行来历不明的文件;–不妨问有安全隐患的网站;–有意识的学习常用的网络安全知识;第一节电子商务安全概述第二节计算机病毒及其防范第三节电子商务交易风险的识别与防范电子商务安全•与不安全通信网络相关的风险–商家所面临的风险•客户假冒•拒绝服务袭击•故意性的破坏网站•数据的失窃•产品或者服务出现问题的赔偿•侵犯版权、商标、专利引起的诉讼•……电子商务中存在的安全风险•与企业内部网相关的风险–离职员工的破坏活动–在职员工的威胁•不适当地使用电子邮件和互联网•……电子商务中存在的安全风险•贸易伙伴间商业交易数据传输中的风险–企