第1章 电子商务安全的现状和趋势

第1章电子商务安全的现状和趋势21.1电子商务安全问题1.2触发电子商务安全问题的原因1.3电子商务安全的概念与基本要求1.4电子商务安全的现状1.5网络安全的十大不稳定因素1.6电子商务安全防治措施1.7电子商务安全举措31.1电子商务安全问题1.1.1漏洞1.1.2病毒1.1.3黑客攻击1.网页篡改2.僵尸网络1.1.4网络仿冒41.1.1漏洞1995到2004年漏洞公布数量（单位：个）1.1电子商务安全问题171345311262417109024374129378437800500100015002000250030003500400045001995年1996年1997年1998年1999年2000年2001年2002年2003年2004年51.1.1漏洞典型的安全漏洞•1.Windows惊现高危漏洞，新图片病毒能攻击所有用户•2.WinXPSP2发现迄今最严重的安全漏洞•3.采用SP2的系统发现10个严重安全漏洞。•4.苹果的漏洞补丁程序不起作用•5.Solaris现致命漏洞，补丁迟迟不发布•6.IE惊现最新地址欺骗漏洞•7.IE和Mozilla等浏览器发现cookie漏洞•8.Firefox和电子邮件客户端出现三个安全漏洞•9.黑客可以利用PHP“危急”漏洞控制Web服务器•10.Java插件安全漏洞可能致使Windows和Linux受攻击•11.Real系列播放器发现危险级漏洞1.1电子商务安全问题61.1.2病毒蠕虫病毒•蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。1.1电子商务安全问题71.1.3黑客攻击网页篡改•耐克网站被黑客篡改1.1电子商务安全问题81.1.3黑客攻击网页篡改•2004年中国大陆网页篡改情况（单位：件）1.1电子商务安全问题12896150671172011052351822063781940501001502002503003504001月2月3月4月5月6月7月8月9月10月11月12月91.1.3黑客攻击僵尸网络•僵尸网络也称为BotNet。Bot是robot的简写，通常是指可以自动地执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。1.1电子商务安全问题101.1.4网络仿冒2004年网络仿冒事件报告（单位：起）1.1电子商务安全问题111.2触发电子商务安全问题的原因1.2.1先天原因1.2.2后天原因1.管理2.人3.技术121.2.1先天原因网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。1.2.2后天原因管理——美国90%的IT企业对黑客的攻击准备不足。人——黑客攻击技术——软件漏洞、后门1.2触发电子商务安全问题的原因131.3电子商务安全的概念与基本要求1.3.1电子商务系统安全的构成1.系统实体安全2.系统运行安全3.信息安全1.3.2电子商务安全的需求14电子商务交易示意图1.3电子商务安全的概念与基本要求151.3.1电子商务系统安全的构成计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。1.3电子商务安全的概念与基本要求161.3.1电子商务系统安全的构成1.系统实体安全2.系统运行安全3.信息安全1.3电子商务安全的概念与基本要求171.3.1电子商务系统安全的构成1.3电子商务安全的概念与基本要求环境安全设备安全媒体安全实体安全风险分析审计跟踪备份与恢复应急运行安全操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别信息安全电子商务系统安全181.3电子商务安全的概念与基本要求术语定义保密性（security）保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。完整性（integrity）防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。认证性（authenticity）确保交易信息的真实性和交易双方身份的合法性可控性（accesscontrol）保证系统、数据和服务能由合法人员访问不可否认性（non-repudiation）有效防止通信或交易双方对已进行的业务的否认1.3.2电子商务安全的需求191.4电子商务安全的现状1.4.1法律法规建设1.电脑犯罪立法2.有关计算机安全的法律法规3.有关保护个人隐私的法律法规4.有关网络知识产权保护的法律法规5.有关电子合同的法律法规1.4.2理论研究和技术开发201.4电子商务安全的现状1.4.1法律法规建设1.电脑犯罪立法犯罪行为美国英国澳大利亚中国香港黑客攻击尝试性（如口令猜测）成功攻击，但不造成损失成功攻击，且造成损失有进一步犯罪动机无有无有无有有有有有有有有有有有篡改行为未经授权访问并篡改电脑数据经授权访问电脑但擅自篡改电脑数据干预和破坏正常的电脑运行有有有有无无有有有无有有其他方面买卖口令跨国界适用涉及所有电脑有无无无无有无无无有无有最长刑期黑客行为篡改行为20年5年2年5年20年5年10年12年211.4电子商务安全的现状1.4.1法律法规建设2.有关计算机安全的法律法规国家/组织法律法规说明欧盟2001年《关于网络犯罪的公约》加强社会防卫，打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪美国1970年《金融秘密权利法》1984年《伪造存取手段以及计算机诈骗与滥用法》1986年《计算机诈骗与滥用法》《国家信息基础保护法》1987年《联邦计算机安全处罚条例》对金融业计算机存储数据的保护作了规定明确了对网络犯罪的处罚中国1994年《中华人民共和国计算机信息系统安全保护条例》1996年《中华人民共和国计算机信息网络国际联网暂行规定》1997年《计算机信息网络安全保护管理办法》、《计算机信息系统安全专用产品分类原则》2000年《互联网信息服务管理办法》、《关于维护互联网安全的决定》221.4电子商务安全的现状1.4.1法律法规建设3.有关保护个人隐私的法律法规国家法律法规说明美国1980年《隐私保护法》1986年《电子通信隐私法》1988年《视频隐私保护法》1997年《消费者因特网隐私保护法》1997年《联邦因特网隐私保护法》1997年《通信隐私和消费者权利法》1997年《资料隐私法》1999年《因特网保护个人隐私的政策》1999年《金融服务现代化法》为计算机形式的文件提供隐私保护禁止个人在没有获权的情况下截取通信资料保护图片传输的隐私要求计算机服务在公布用户信息时必须事先得到用户的书面同意禁止联邦结构在因特网上公布个人信息保护在线交易中的隐私权限制使用关于个人的信息禁止未经消费者同意传播消费者的信息英国1998年7月《数据保护法》澳大利亚“个人数据保护十原则”日本《个人数据保护法》231.4电子商务安全的现状1.4.1法律法规建设4.有关网络知识产权保护的法律法规国家/组织法律法规说明世界知识产权组织1996年12月《世界知识产权组织版权保护条约》对信息网络环境下的软件、数据库的著作权保护和信息数字化、网络传输、技术措施、版本信息等问题进行了解释欧盟2001年《关于网络犯罪的公约》加强社会防卫，打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪美国1997年《禁止电子盗窃法》是保护网络知识产权方面最重大的进步《数字版权净化和技术教育法》通过豁免远程教学的版权，限制了数字版权侵犯的范围《在线版权有限责任法》保护因特网服务提供商，使他们在无法控制或不知侵害结果的特殊情况下直接或间接违法时免予承担责任1998年《数字版权法》侵权行为即使不带有营利性的动机，达到一定条件亦可被判定为犯罪241.4电子商务安全的现状1.4.1法律法规建设5.有关电子合同的法律法规•我国2005年4月1日出台的《中华人民共和国电子签名法》承认了电子签名的法律效力，它是我国电子商务领域的第一部国家法，具有划时代的意义。251.4电子商务安全的现状1.4.2理论研究和技术开发•在提供保密性的加密算法里，有基于分组加密的DES算法，有基于大数因子分解的RSA算法，还有基于NP完全理论的背包加密算法，基于离散对数的ElGamal加密算法等等；•在提供完整性和不可否认性的数字签名里，不仅有RSA签名和ElGamal签名，还有盲签名、多重签名和定向签名、代理签名等；•在提供认证性领域里，有目前流行的公钥基础设施（PKI）；•更有防火墙、授权服务器等产品来提供可控性。261.5网络安全的十大不稳定因素1.Cookie2.CGI(通用网关接口)3.Java4.自由软件5.电子邮件6.微软7.认证和授权8.Linux9.ICP10.网络管理员271.6电子商务安全防治措施1.6.1技术措施1.6.2管理措施281.6电子商务安全防治措施1.6.1技术措施1.网络安全检测设备2.访问设备3.防火墙4.浏览器/服务器软件5.端口保护6.访问控制7.数据加密8.数字证书9.保护传输线路安全10.路由选择机制11.流量控制12.防入侵措施291.6电子商务安全防治措施1.6.2管理措施1.人员管理制度2.保密制度3.跟踪、审计、稽核制度4.系统维护制度•硬件的日常管理与维护•软件的日常管理与维护5.数据容灾制度6.病毒防范制度7.应急措施301.7电子商务安全举措1.7.1未来电子商务安全工作1.7.2加强网络安全的十条建议311.7电子商务安全举措1.7.1未来电子商务安全工作加强立法，参照先进国家已有的有效法律，不断创新，完善保护电子商务安全和打击网络犯罪的法律保障体系。建立相关机构，采取实际措施打击网络犯罪。加大对网络安全技术的投入，提高网络安全技术水平。鼓励企业加强自我保护，防范网络犯罪侵害。加强国际合作，增强全球范围内打击网络犯罪的力度。加强对国民的网络安全教育，注重对优秀计算机人才的培养。321.7电子商务安全举措1.7.2加强网络安全的十条建议1.安装操作系统和服务器所有的补丁程序。2.为网络设备升级。3.如果是通过网络服务商提供接入服务的，应当与网络服务商保持联系，不要让自己无意中卷入了拒绝服务攻击，时刻保证自己的设备安全无忧。4.通过使用防火墙等方式，制定严格的网络安全规则，对进出网络的信息进行严格限定。5.将网络的TCP超时限制缩短至15分钟（900秒），以减少黑客进攻的窗口机会。6.扩大连接表，增加黑客填充整个连接表的难度。7.时刻监测系统的日志文件和网络信息流向，以便及时发现任何异常之处。8.经常对整个网络进行扫描，以发现任何安全隐患，如软件漏洞等。9.尽量减少暴露在互联网上的系统和服务的数量。10.路由器要安装必要的过滤规则。33本章小结本章概述了电子商务安全的现状和趋势，提出了进行电子商务安全技术研究的现实意义。电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及其他方面的各种不可预测的风险。从计算机信息系统的角度看，电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全3个部分来组成的。只有提供了保密性、完整性、认证性、可控性、不可否认性5方面安全性，才满足电子商务安全的基本需求。电子商务的安全发展必须依靠法律的保障。世界范围内已陆续有多个国家承认电子合同、电子签名、电子商务凭证等的法律效力，为电子商务提供了一个数据完整性、不可否认性的安全环境。电子商务的安全防制措施包括技术措施和管理措施。安全管理的措施通常是以制度的形式出现。