第六章电子商务安全技术授课教师:丁尧前言•截止到2011年12月,中国电子商务市场交易额达6万亿元,同比增长33%,该中心预测未来几年我国电子商务服务产业将迎来其发展的“黄金年代”。早在国际金融危机之时,电子商务便展现出了其顽强的市场生命力。如今,从电器到家具、从衣服到图书,网购已经突破信用和支付瓶颈,进入快速扩张阶段。此外,大型企业网上采购和销售的比重逐年上升,电子商务在中小企业中的应用普及率也在迅速提高。在发展环境改善、技术支撑提高的作用下,网络零售和企业应用仍将前景无限。《电子商务“十二五”发展规划》提出,到2016年,企业间电子商务交易规模将超过16万亿元,经常性应用电子商务的中小企业达到中小企业总数的60%以上;网络零售交易额突破3万亿元,占社会消费品零售总额的比例超过9%。第六章电子商务安全技术•信息安全技术在电子商务系统中的作用非常重要,它守护着商家和客户的重要机密,维护着商务系统的信誉和财产,同时为服务方和被服务方提供极大的方便,因此,只有采取了必要和恰当的技术手段才能充分提高电子商务系统的可用性和可推广性。电子商务系统中使用的安全技术包括网络安全技术、加密技术、数字签名、密钥管理技术、认证技术、防火墙技术以及相关的一些安全协议标准等。第六章电子商务安全技术目前,阻碍电子商务广泛应用的首要问题就是安全问题。从整体上看,电子商务安全包括计算机网络安全和商务交易安全两大部分。计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。对网络安全技术的研究,始于20世纪70年代中后期,由于出现了较严重的计算机犯罪和其他网络安全问题,(才有)因此少数国家开始研究和采取一些措施。所以,网络安全技术远远落后于网络应用技术的发展水平。第六章电子商务安全技术•6.1电子银行的安全问题概述•6.2传统银行与电子银行安全案例解析•6.3数字证书•6.4计算机信息安全技术•6.6防火墙以及安全技术协议•如果为一小笔汇款或转账而去银行营业厅排上几十分钟甚至几小时的长队,显然是在谋杀自己的时间和生命。而开通网上银行之后就可以足不出户地完成这些操作,整个过程仅需要短短几分钟。然而当网上银行的方便之门大开的时候,网络犯罪的黑手也伸了进来。宁波一女子深夜取钱遭割喉一、北京某老人被骗案今年2月4日上午,北京一位退休老人在家中接到一女子来电,自称是韩国三星公司上海分公司业务员,称该公司正在举办进中国十周年庆祝活动,其中一项是电话号码抽奖,此电话中了二等奖,奖品是三星笔记本电脑和三星43寸彩电各1台,价值2万元人民币,让该老人与上海浦东会展中心的张先生联系,并留下了手机号。老人与张联系,被告知将把奖品运到北京交给中奖者,让老人先汇去860元手续费,并索要了老人的地址、姓名。待老人的汇款到账后,张先生马上打来电话,说还要加收20%的个人所得税,老人当天就汇入。下午4点,张又来电话,称其已到机场,机场要收2000元的保险,老人深信不疑。几分钟后,张又称机场电脑出了故障,第二天才能办。2月10日8时,张来电话,称自己已在机场,公司通知老人的奖项搞错了,需要复查。稍后,张来电告知是一等奖,奖品为价值23万元的现代轿车。经双方协商,由公司代为拍卖后,将款汇给来人,但需要补缴1.4万元的个人所得税。老人按要求将钱汇入指定账户。之后,张又多次打电话与老人进行联系,要求再交公证费2万余元、增值税3.4万元、异地存款手续费1万多元等。老人先后8次一共汇去了14.6万元。后又说因用公款存入私人账户,需要交10万元保证金,让老人继续汇款。老人产生了怀疑,向公安机关报案。经北京、福建两地公安机关联手侦破,此案已于2009年3月11日破获,龚坤清(男,44岁,福建省泉州安溪县人)等3名犯罪嫌疑人被抓获。•2009年2月16日,广州增城市私营企业协会出纳罗某(女)上网时点击到一个自称是香港“六合彩”公司的内部网站,可提供内部信息,并有联系电话。罗此前曾买过地下“六合彩”,但一直没有中过奖,平日经常向中奖的人讨教“秘诀”、学习“经验”。•看到此网站后,罗心中窃喜,以为可以发大财便打电话进行联系。对方承诺为其提供准确的“六合彩特码”信息,前提是需先交20万元的注册费。罗按指定账户汇入钱款,成为会员。对方又以信息费和好处费名目多次要求罗汇款。罗发财心切,全部予以照办,终于得到特码,并通过地下“六合彩”庄家买码,但未中。罗打电话责问对方,得到的答复是交20元万只能注册为普通会员,中奖率低,要想中特等奖,必须再交40万元。罗按要求汇了钱,又按规矩缴纳了好处费和信息费,再次得到特码信息,据此下注,血本无归。至此,罗某先后被这家网站诈骗近100万元。•几天后,罗又查找到另外一个“六合彩”网站,并与这家网站自称曾先生的业务员进行联系,向其诉说了被上一网站诈骗百万元的经历。曾先生在通话中炫耀自己关系广,那个网站的老板是自己“兄弟”,最近资金周转有点小困难。承诺可以帮罗女士将钱要回来。罗信以为真,即按曾的要求分3次汇了16万元给对方作为活动经费。一星期后,一自称曾先生老板的男士先后几次与罗联系,说为了维护本网站的信誉,自己将亲自到北京为罗女士追款,让罗再提供活动经费。罗急于追回被骗钱款,一次次满足了对方的要求,直至汇出72万余元后方觉上当。•此时,罗共向2个所谓的“六合彩”网站汇了187万元。其中属罗个人的只有10万元,其余177万元系挪用单位公款。为了尽快补上财务漏洞,防止事情败露,罗决心作最后一搏,又从网上查找到另一“六合彩”网站,挪用了自己能支配的最后60余万元公款,交钱注册会员、买码、下注,结果毫无所获。•最后,罗女士在丈夫的陪同下向公安机关报案。目前,此案已破获,14名犯罪嫌疑人已被公安机关抓获,大部分赃款被追回。(完)网上银行安全•“传统的商业银行是要在21世纪灭绝的一群恐龙。”这曾是比尔·盖茨的预言。然而,各种伸向网上银行的黑手,使得“恐龙”的灭绝似乎成为一个预想的神话。•如同在真实的社会中一样,欺骗、病毒、入侵、盗窃甚至抢劫,在虚拟的网络环境中不仅始终存在,防不胜防,还呈愈演愈烈之势。不仅银行业如此,在其他严重依赖信息化的行业同样如此。6.1电子银行的安全问题概述电子银行的难言之隐•“世界上没有百分之百的安全,但对安全的要求却是百分之百的。”•“迄今为止,国内还没有某家银行网站被黑客人侵的案例发生。”•公正地说,目前,全球银行业的网络安全意识和网络安全应用水平应当是居各行业之首。首先,银行内部基本采用的是封闭的系统,通常采用大型机,它不像微软的Windows操作系统具有广泛的公开性,用户多,了解它的人也多,专门研究它的漏洞的人也多,从而攻击技术也很泛滥。而大型机环境本身就很少,研究它直至精通它的人就更少,再加上其超乎寻常的复杂性,无形中形成了封闭的特点,不是说它没有漏洞,而是说它的漏洞很难公开或很难被人利用。因此,银行的业务系统、主机、操作系统基本都是封闭的,为了有意造成封闭氛围,目前许多银行还使用私有IP地址来构筑网络,因此,金融业基于互联网的入侵率远远低于别的行业。其次,银行的管理要比一般的企业规范得多,经过多年的磨练,其计算机人员一般素质较高,有机会接触一流的应用流程和框架。第三,银行在计算机网络方面投入的资本雄厚,能吸引最顶级的服务商、厂商来做相对完善的安全方案。•网络安全不在于入侵。“家里防盗一般怎么防?首先安装门窗(防火墙),其次是看有没有上锁(应用程序的加密),什么时候才请便衣(IDS)呢?当你家里实在有钱而且很危险时,你才会请便衣在家呆着。有了保安还请便衣,傻子才干呢!”其二,入侵检测的环境和技术难度远远高于其他安全产品,大部分产品是有其名而无其实,结果是花费昂贵的代价却买了不管用的东西,造成资源浪费。“花国家和企业的钱,责任比回报更重要,上级领导也许并不明白世界上没有100%的安全的概念,你用了这东西却还要出事,肯定要抓你渎职,从这个角度上来看,采用IDS的风险很大。”其三,有了防火墙、加密等基本工具以后,80%以上的安全问题都解决了,剩下的20%安全问题,却要花80%的投资,这种投资效率是非常低的,所以很多单位在选购IDS时,都非常慎重.•那么,剩下20%的安全问题怎么解决呢?绝不是靠产品来解决的,靠的是银行自身封闭的物理环境和管理,但也只能解决10%左右的问题。6.2传统银行与电子银行安全案例解析•随着网络技术的普及,越来越多的普通百姓开始利用网上的虚拟银行来处理个人资产,查询、转账、支付或交易。但是,网络安全性又成了不少人的担忧。中国银行专家提醒,网上银行的安全使用有七大“诀窍”。•一、核对网址•要开通网上银行功能,通常事先要与银行签订协议。客户在登录网上银行时,应留意核对所登录的网址与协议书中的法定网址是否相符,谨防一些不法分子恶意模仿银行网站,骗取账户信息。•二、妥善选择和保管密码•密码应避免与个人资料有关系,不要选用诸如身份证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式,以提高密码破解难度。密码应妥善保管,避免将密码写在纸上。尽量避免在不同的系统使用同一密码,否则密码一旦遗失,后果将不堪设想。•三、做好交易记录•客户应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”、定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。•四、管好数字证书•网上银行用户应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。•五、对异常动态提高警惕•以中行网上银行为例,在系统运行稳定的情况下不会出现“系统维护”的提示。若遇重大事件,系统必须暂停服务,中行会提前公告客户。客户如不当心在陌生的“中行网址”上输入了银行卡号和密码,并遇到类似“系统维护”之类的提示,应立即拨打中行客服热线96666进行确认。万一发现资料被盗,应立即修改相关交易密码或进行银行卡挂失。•六、安装防毒软件•为电脑安装防火墙程序,防止个人账户信息遭到黑客窃取。建议安装防病毒软件,并经常升级。••七、堵住软件漏洞•为防止他人利用软件漏洞进入计算机窃取资料,客户应及时更新相关软件,下载补丁程序。6.2传统银行与电子银行安全案例解析实训任务•用自己的网上银行做一次网上交易•比如团购•除了银行采取的防范措施外,市民在使用网上银行时,也须注意自身的安全防范,其中包括:●应熟记开户银行的网上银行网址,如建设银行的网上银行是不要登陆不熟悉的网上银行,输入自己的银行卡号和密码。●应妥善保管自己的卡号、密码、身份证件号、开卡日期等资料,不要随手丢弃银行回单。●不要使用连续数字、电话号码、生日等作为密码,设置的银行密码最好与证券等非银行用密码不同。●不要在网吧等公共场合使用网上银行。●在自己的计算机上安装防火墙及防病毒软件,并定期更新病毒库及检测病毒。•●定期更新操作系统和互联网浏览器。●切勿打开可疑电邮内含的超级链接或附件,切勿浏览可疑网站。●切勿向任何人透露自己银行卡的密码。谨记,当致电交通银行客户服务热线96669时,如有需要交通银行工作人员会请客户通过电话按键输入查询密码以确认身份。切勿在电话中口头说出您的密码,银行工作人员亦不会通过电话提出此类要求。●如收到可疑电子邮件或电话要求提供客户资料时,请避免任何操作,并立即通知开户银行,即使该电子邮件或电话看似由银行发出。●如有疑问,或想举报可疑的电子邮件,请与开户银行的客户服务中心联络,如交通银行的24小时客户服务热线是96669转0。6.3什么是数字证书•数字证书是一个(经)由证书认证中心(CA)发行的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.604V3标准。6.3什么是数字证书•数字证书主要由以下两部分组成:•1.证书数据•2.发行证书的CA签名。•该签名是由证书发行机构所签,具有法律效力。6.3数字证书的三种类型•1、个人证书(Persona