第七章电子商务安全.

19891113cx1
0 ℃
2019-12-19

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

第七章电子商务安全目录7.1电子商务安全认知7.2电子商务安全体系结构7.3电子商务的安全技术7.4安全协议一、电子商务安全威胁1.网络攻击（1）电脑病毒：网络蠕虫、特洛伊木马、CIH（2）黑客攻击：更改首页、拒绝服务、盗取帐号、网上炸弹、IP欺骗（3）流氓软件：强迫安装、无法卸载2.硬件破坏3.交易抵赖7.1电子商务安全问题及主要内容蠕虫病毒造成的危害病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台电脑停机，经济损失达9600万美元美丽杀手1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!爱虫病毒2000年5月众多用户电脑被感染，损失超过100亿美元以上红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元冲击波2003年7月大量网络瘫痪，造成了数十亿美金的损失MyDoom2004年1月起大量的垃圾邮件，攻击SCO和微软网站，给全球经济造成了300多亿美元的损失熊猫烧香2006年网银安全问题凸现时间网上银行事故危害2002年7月一名中国黑客洗劫新加坡DBS网上银行损失6.2万美元2003年12月至2004年2月初湖南长沙木马病毒盗窃招商银行和民生银行网络银行资金案损失8万余元2004年3月哈尔滨三名大学生假名开户非法支取网上银行资金损失53万2005年工行网银被盗窃取客户账号和密码等信息二、主要内容：1.计算机网络安全：①物理安全分析②结构安全分析③操作系统安全分析④应用系统安全分析⑤网络管理安全风险分析关于黑客2012年网络安全大事件源代码被盗事件赛门铁克两款企业级产品源代码被盗VMware确认源代码被窃信息泄密事件美国电子商务网站Zappos，2400万用户的电子邮件和密码等信息被窃取全球支付信息被盗LinkedIn（商业社交网）用户密码泄露雅虎服务器被黑45.3万份用户信息遭泄露全球百所大学近12万账户信息被窃关于黑客三、安全隐患1.常见的安全隐患：①信息的截获和窃取②信息的篡改③信息假冒④交易抵赖⑤信息的中断网购安全案例2.消费者面临的安全问题：①虚假订单②在要求客户付款后，销售内部人员不得将订单发给其他人员③机密性丧失。客户有可能将秘密的个人数据送给冒充的机构④拒绝服务。⑤电子货币丢失。虚假订单和电子货币案例3.电子商务企业可能面临的问题①系统中心被破坏②竞争者的威胁③商业机密的泄漏④假冒的威胁⑤信用的威胁三、电子商务的安全需求1.有效性2.机密性3.完整性4.可靠性5.交易者身份的真实性7.2、电子商务安全体系结构电子商务安全不仅仅是技术层面问题，而且是包含预防、检测、管理和制度层面在内的一整套体系的建设问题。法律、规范、道德、纪律管理细则、保护措施物理实体安全网络系统安全网络交易安全网络信息安全社会层面管理层面技术层面应用层面电子商务的安全体系主要体现在3个方面：法律环境保障安全管理保障技术保障一、技术保障实现电子商务所需要的设备、技术等能稳定、安全的提供所需功能。包括：实体的安全和网络技术的安全。1.实体安全包括环境安全和设备安全2.网络技术的安全包括网络安全检测设备，证书，防火墙，防入侵的措施，数据加密，访问控制等。二、安全管理保障1.人员的保障：要求加强电子商务交易中员工的管理。2.制度的保障：保密制度，跟踪审计制度，数据容灾制度，病毒防范制度三、法律环境保障1.身份标识2.身份验证7.3网络系统安全技术一、网络安全策略网络安全策略就是指构筑网络时考虑怎样采用网络安全措施的基本原则。具有通用性的原则：◆最小特权◆纵深防御◆阻塞点◆最薄弱环节◆失效保护状态◆普遍参与◆防御多样化◆简单化电子商务业务系统电子商务支付系统安全交易协议SET、SSL、S/HTTP、S/MIME、PKI•••安全认证技术数字摘要、数字签名、数字信封、CA证书•••加密技术非对称密钥加密、对称密钥加密、DES、RSA•••安全策略、防火墙、查杀病毒、虚拟专用网安全应用信息安全网络安全电子商务安全技术结构示意图二、查杀病毒据瑞星病毒样本统计，约有90％以上的病毒文件进行过“加壳”处理。所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。一、加密技术1.加密和解密：数据加密是计算机安全的重要组成部分。目前有2种加密技术：①对称加密双方具有共享的密钥，只有在双方都知道的情况下才能使用。非对称加密由公开密钥和私有密钥组成，用私有密钥加密，由公开密钥解密。2.算法和密钥主要是加密和解密的函数范围。通常情况下，有2个相关函数一个是加密函数一个是解密函数二、认证技术1.身份认证内容：分为身份证实和身份识别2类。身份证实：对个人身份进行肯定和否定身份识别：输入个人信息，经处理提取成模版信息。而后得出结论，确定一个人是否真实身份。2.信息认证基于公钥体制的信息认证加入数字签名的验证3.通过认证机构认证数字证书认证机构个人证书三、签名技术四、公钥基础设施五、防火墙技术防火墙概念：防火墙是一种隔离控制技术，通过在内部网络（可信赖的网络）和外部网络（不可信赖的网络）之间设置一个或多个电子屏障，提供安全的网络环境。因特网防火墙防火墙具有五大基本功能①过滤进出网络的数据包；②管理进出网络的访问行为；③封堵某些禁止的访问行为；④记录通过防火墙的信息内容和活动；⑤对网络攻击进行检测和告警。