桂林电子科技大学计算机控制学院第六章电子商务安全(ElectronicCommerceSecurity)桂林电子科技大学计算机控制学院案例1国外–2000年2月7日-9日,Yahoo,ebay,Amazon等著名网站被黑客攻击,直接和间接损失10亿美元。国内–2000年春天,有人利用普通的技术,从电子商务网站窃取到8万个信用卡号和密码,标价26万元出售。桂林电子科技大学计算机控制学院案例22月8日到10日,一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有线新闻等在内的五个最热门的网站,并且造成这些网站瘫痪长达数个小时。接二连三的大规模网络袭击行动现在已经引起世界各大网络公司和网站主持者的高度警觉,就连美国司法部、美国联邦调查局也被惊动了,现已决定介入对这几起网络袭击事件的调查。桂林电子科技大学计算机控制学院网络袭击导致世界五大网站连连瘫痪。美国东部时间2月7日上午9时15分(北京时间2月8日),全世界各地成千上万的国际互联网用户跟平常一样打开电脑,准备登录雅虎网站。雅虎网站是继美国在线之后排名第二的大网站,现有注册用户1亿个,平均每天传送的资料多达4.65亿页,每月吸引的访问者多达4200万人。遭到袭击后,“雅虎”的技术人员大惊失色,赶紧采取紧急措施一边查明黑客的袭击手段,一边立即进行紧急补救。技术人员们知道,现在正是一年中网上购物最活跃的时候,如果不能及时恢复服务的话,那么就意味着数百万美元的交易将落空。桂林电子科技大学计算机控制学院技术人员很快发现,黑客使用了一种名为“拒绝服务”的入侵方式,在不同的计算机上同时用连续不断的服务器电子请求来轰炸雅虎网站。说白了,这种方式类似于某人通过不停拨打某个公司的电话来阻止其他电话打进,从而导致公司通信瘫痪。在袭击进行最高峰的时候,网站平均每秒钟要遭受一千兆字节数据的猛烈攻击,这一数据量相当于普通网站一年的数据量!面对如此猛烈的攻击,雅虎的技术人员却束手无策,只能眼睁睁地看着泛滥成灾的电子邮件垃圾死死地堵住了雅虎用户们上网所需的路由器。桂林电子科技大学计算机控制学院10时15分,汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点所有的路由器,雅虎公司大部分网络服务均陷入瘫痪,公司不得不将网站入口关闭。此时,美国的雅虎用户根本无法登录雅虎的任何站点,而世界各地其他的用户也只能登录雅虎59%的站点。13时25分,雅虎公司的技术人员终于设法识别出了电子请求的数据类型,并且加上新的邮件过滤器将其滤去,这才部分恢复了正常的服务,有70%的网站重新为用户提供服务。桂林电子科技大学计算机控制学院美国东部时间2月8日,也就是雅虎网站遭袭后第二天,尽管世界各著名网站已经高度警惕,但还是再次遭到这些神秘黑客的袭击。世界最著名的网络拍卖行eBay因神秘黑客袭击而瘫痪了整整两个小时,以致任何的用户都无法登录该站点;赫赫有名的美国有线新闻网CNN随后也因遭神秘黑客的袭击而瘫痪近两个小时;风头最劲的购物网站Amazon.com也被迫关闭一个多小时!桂林电子科技大学计算机控制学院eBay网站发言人罗宾·佐恩在接受记者采访时透露说,该网站实际上瘫痪了整整3个小时零10分钟,跟“雅虎”的瘫痪时间一模一样。当时,神秘的袭击者以每秒钟800兆字节的数据猛攻网站,这一数据量相当于正常数据量的24倍,不堪重负的网站终于在美国东部时间下午5时45分彻底瘫痪。网络公司赶紧向其客户发了一份紧急通知,坦言网站正在遭受黑客的袭击,但有关客户的机密数据却丝毫未损。桂林电子科技大学计算机控制学院这份紧急通知还给其客户吃定心丸说:“我们正在采取多种措施反击黑客们的袭击,并且与当地和联邦政府有关部门、互联网服务商以及我们的合作伙伴们紧密协作。”CNN网站也在长达1小时零45分钟的时间内无法登录,不过,该网站后来由服务商提供了一道“防火墙”,之后用户们才可以重新登录;而Amazon.com网站也有一个小时不能为顾客提供购物服务。桂林电子科技大学计算机控制学院对于这五起袭击事件造成的损失,各大网络公司都讳莫如深。尽管所有遭袭击的网络公司都一再强调这次袭击没有损害用户的利益,但公司本身的损失却相当惨重。雅虎公司发言人在袭击事件发生后一再强调说,由于雅虎公司使用先进保密技术,所以数据库没有受到侵袭,用户的机密数据没有被破坏或者丢失,公司的损失也不算大。从表面上看,雅虎的损失确实不大,袭击事件发生的当天,华尔街股市上雅虎的股值并没有下跌。然而,网络专家却认为,由于现在正是网上购物的活跃时期,3小时的无法服务就意味着数百万美元的交易落空。此外,对于给广告用户造成的损失,雅虎表示会在今后的几天时间里设法加排广告以示补偿。桂林电子科技大学计算机控制学院对于eBay公司来说,这次袭击事件无疑是雪上加霜。1999年6月,eBay网站因遭黑客袭击而瘫痪了整整22个小时,从而使公司的股值在五天的时间内损失了26%!去年11月,该网站在三天的时间内因遭黑客袭击再次瘫痪4个多小时。此后,公司被迫投资1800万美元用于改善网络的安全运作。即便如此,eBay网站在此次袭击中仍未能逃脱瘫痪的厄运。桂林电子科技大学计算机控制学院CNNIC调查结果(2003年1月)用户认为目前网上交易存在的最大问题是:安全性得不到保障:23.4%付款不方便:10.8%产品质量、售后服务及厂商信用得不到保障:39.3%送货不及时:8.6%价格不够诱人:10.8%网上提供的信息不可靠:6.4%其它:0.7%桂林电子科技大学计算机控制学院6.1电子商务面临的安全问题●信息泄露●信息篡改●信息破坏:丢失、中断●信息假造:假冒、抵赖●计算机病毒桂林电子科技大学计算机控制学院电脑犯罪:50个国家有信息恐怖组织,计算机犯罪年增长率152%。每次计算机犯罪损失46万美元,而每次抢劫平均损失仅24美元。美国每年因电子商务安全问题所造成的经济损失达75亿美元,电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。桂林电子科技大学计算机控制学院网络部件的不安全因素●电磁泄漏●搭线窃听●非法终端●非法入侵●注入非法信息●线路干扰●意外原因●病毒入侵桂林电子科技大学计算机控制学院软件的不安全因素●安全功能不健全●特洛伊木马●要害程序非法使用或破坏●用户未分类标识●处理错误●程序变更无记录桂林电子科技大学计算机控制学院工作人员的不安全因素●保密观念不强或不懂保密规则●业务不熟练●规章制度不健全●素质差、缺乏责任心●故意非法访问●超越权限操作●窃取系统或用户信息桂林电子科技大学计算机控制学院●自然灾害:地震、台风、洪水●人为灾害:火灾、盗窃…...环境的不安全因素为什么网络安全如此重要WebServerTheInternetEncryption线路安全客户安全连接安全TheIntranetWebServerWeakness:Externalaccessnowgranted.Areapplicationsandnetworksecure?信息资本EnterpriseNetwork没有边界没有中央管理是开放的、标准的没有审计记录INTERNET桂林电子科技大学计算机控制学院网络侵袭的主要种类外部与内部入侵非授权访问、冒充合法用户等。拒绝服务部分或彻底地阻止计算机或网络正常工作。盗窃信息指无须利用你的计算机就可获取数据信息。桂林电子科技大学计算机控制学院网络侵袭者的主要种类间谍(商业间谍及其他间谍)。盗窃犯。破坏者。寻求刺激者。“记录”追求者。低级失误和偶然事件。桂林电子科技大学计算机控制学院网络安全不单是技术问题机构与管理法律与法规经济实力技术与人才桂林电子科技大学计算机控制学院6.2电子商务安全的对策1、电子商务的安全要求信息的保密性:电子商务系统应该对主要信息进行保护,阻止非法用户获取和理解原始数据。数据完整性:电子商务系统应该提供对数据进行完整性认证的手段,确保网络上的数据在传输过程中没有被篡改。桂林电子科技大学计算机控制学院用户身份验证:电子商务系统应该提供通讯双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证,证实他就是他所声称的那个人。数字证书应该由可靠的证书认证机构签发,用户申请数字证书时应提供足够的身份信息,证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。桂林电子科技大学计算机控制学院授权:电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作。数据原发者鉴别:电子商务系统应能提供对数据原发者的鉴别,确保所收到的数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。桂林电子科技大学计算机控制学院数据原发者的不可抵赖和不可否认性:电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息,这在交易系统中十分重要。合法用户的安全性:合法用户的安全性是指合法用户的安全性不受到危害和侵犯,电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密匙和口令的有效保护、对非法攻击的有效防范等,桂林电子科技大学计算机控制学院网络和数据的安全性:电子商务系统应能提供网络和数据的安全,保护硬件资源不被非法占有,软件资源免受病毒的侵害。桂林电子科技大学计算机控制学院2、技术对策:●数据加密●CA认证、数字签名●防火墙●安全工具包/软件●访问控制●数据完整性控制●网络安全检测设备桂林电子科技大学计算机控制学院3、管理对策:●人员管理制度电子商务安全运作基本原则:双人负责原则、任期有限原则、最小权限原则。●保密制度●跟踪、审计、稽核制度●网络系统的日常维护制度●病毒防范制度桂林电子科技大学计算机控制学院1、数据加密模型2、数据加密算法3、数据加密的应用4.3数据加密技术桂林电子科技大学计算机控制学院什么是加密?加密:加密是指对数据进行编码使其看起来毫无意义,同时仍保持可恢复的形式。桂林电子科技大学计算机控制学院1、数据加密模型E加密D解密明文X明文X密文C密文C截取者解密密钥Kd加密密钥Ke桂林电子科技大学计算机控制学院●对称加密对称加密,它用且只用一个密钥对信息进行加密和解密。明文消息密匙A加密加密消息明文消息密匙A解密桂林电子科技大学计算机控制学院●非对称加密1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)发明了RSA公开密钥密码系统。在此系统中有一对密码,给别人用的就叫公钥,给自己用的就叫私钥。用公钥加密后的密文,只有私钥能解。桂林电子科技大学计算机控制学院非对称加密技术示意图桂林电子科技大学计算机控制学院3、数据加密的应用●数据的保密性与完整性●数字签名●数字认证桂林电子科技大学计算机控制学院4.4数据签名技术1、数字签名的概念数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。数字签名主要有3种应用广泛的方法:RSA签名、DSS签名和Hash签名。桂林电子科技大学计算机控制学院Hash签名是最主要的数字签名方法:报文的发送方从明文中生成一个128比特的散列值(数字摘要)。发送方用自己的私钥对这个散列值进行加密,形成发送方的数字签名。该数字签名将作为附件和报文一起发送给接收方。报文的接收方从接收到的原始报文中计算出128比特的散列值(数字摘要),接着用发送方的公钥对报文附加的数字签名解密。桂林电子科技大学计算机控制学院图9.3.3数字签名桂林电子科技大学计算机控制学院2、数字签名的使用方法(1)发送方首先用哈希函数从明文文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。然后选择一个对称密钥对文件加密,通过网络传输到接收方,并将该数字签名作为附件和报文密文一起发送给接收方。用接收方的公钥将对称密钥加密,并通过网络传输到接收方。桂林电子科技大学计算机控制学院(2)接收方首先,使用自己的私钥对密钥信息进行解密