电子商务安全概述.ppt

网络及电子商务安全,jason,课程说明,课程学时安排 总学时：48,成绩比例： 考试成绩 70% 考勤 20% 平时成绩 10%,本课程对学生的要求,1.了解和掌握网络及电子商务安全的基本原理和相关技术 2.关注国内外最新研究成果和发展动态 3.具有网络及电子商务安全的理论基础和实践能力,本书目录,第1章 网络及电子商务安全概述 第2章 网络安全技术 第3章 加密，数字签名和身份认证技术 第4章 pki技术和数字证书的实践应用 第5章 电子商务安全的协议与安全标准 其中：第一章和第二章主要介绍网络安全的概述涉及到概念一般网络的维护和常见的网络攻击 第三章到第五章主要介绍是电子商务安全,网络改变生活 安全改变网络,据美国FBI统计，全球平均每20秒发生一Internet入侵事件，internet上防火墙有1/3以上被突破,美因网络安全一年损失达170亿美元。 另据中国互联网络信息中心（CNNIC）发布的“中国互联网络发展状况统计报告（2004/1）“，在电子商务方面，72.26的用户最关心的是交易的安全可靠性。由此可见，电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。,因特网上常见的不稳定因素,1、cookie： 这种“网络小甜饼”是一些自动运行的小程序，网络设计师用他们来提供方便高效的服务，但同时通过使用这些小程序，商业公司和网络入侵者能够轻易获得他人机器上信息。 2、JAVA：a.wshom.ocx-m-software-classes-clsid-58aob b.vbs.vee.js.jse.wsh.wsf c.g-jsj-gl-wc-ie-stop JAVA作为一种技术，到底现在是否成功，一直备受争议，但至少有一点可以肯定，有很多利用JAVA的漏洞成功入侵提供网络服务的案例。 3、CGI： 它是运行在Web服务器上的一个程序，并由来自于浏览者的输人触发。CGI是在HTTP服务器下运行外部程序（或网关）的一个接口，它能让网络用户访问远程系统上的使用类型程序，就好像他们在实际使用那些远程计算机一样。 Gpedit.msc-用户配置-管理模板-系统-不运行指定的window程序,4、认证和授权： 在用户浏览网页时,网站设计者为了尊重个人意愿,通常会跳出一个窗口来询问用户是否使用某种服务,但绝大多数人回按下YES,他们都不会考虑选择YES后产生的后果. 5、电子邮件病毒： 世界上有85%的人都使用过E-MAIL，但没有人统计过有多少人在电子邮件上中了病毒，例如，当”爱虫“病毒发作的时候，不管你机子上有多少文件，都会被删除。 6、微软： 现在的微软公司越做越大，随之而来的漏洞也就越来越多，但很少有人从网上下载补丁。（远程注册表服务） Machine-system-currentcontralset-services-(remoteregistry)删除 7、网络管理员: 网络管理员拥有在网络中查看个人资料(如信用卡帐号),邮件内容,聊天记录等权限,这样的高级权限使他们能够更好的管理网络,但如果他们滥用职权的话,就可能给用户带来较大的威胁.,因特网上常见的不稳定因素,第一章：电子商务安全概述,教学目标： 主要使学生了解电子商务安全的概念，以及为什么要加强安全防范，并且对电子商务面临的威胁有清楚的认识，了解电子商务安全的要素和保证这些安全的四大安全技术，为学习以后章节打下基础。,重难点介绍： 电子商务安全的概念和特点（了解） 电子商务面临的安全威胁（熟悉） 电子商务安全的要素（熟悉）,任务一：电子商务安全概述,电子商务：网络是基础，安全是关键,安全问题是电子商务的核心问题。是电子商务得以正确进行的保障，没有安全保障的的电子商务应用只是虚伪的抄作或欺诈，任何电子商务交易方都不会让自己的敏感信息在不安全的网络中传输。只有安全得到了保障，电子商务才能蓬勃发展。,电子商务安 全的特点：,电子商务安全的特点,1 社会工程学攻击,社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email 打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。,伪造Email 使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。,任务二：电子商务发展面临的威胁,1、卖方（销售者）面临的安全威胁 ： （1）系统中心安全性被破坏：入侵者假冒成合法用户来改变用户 数据（如商品送达地址）、解除用户订单或生成虚假订单。 （2）商业机密的安全：客户资料被竞争者获悉。 （3）假冒的威胁：不诚实的人建立与商家服务器名字相同的另外 一个服务器，以欺骗消费者（附案例2） （4）信用的威胁：买方提交订单后不付款。 （5）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定 单来挤占它的资源，从而使合法用户不能得到正常的服务。,2、买方（消费者）面临的安全威胁 买方（消费者）面临的安全威胁主要有： （1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时真正客户却被要求付款或返还商品。 （2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。 （3）机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如PIN，口令等）发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。,电子商务中的安全可分为如下几类,1. 信息的截获和窃取。如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输的机密信息，如消费者的银行帐号、密码以及企业的商业机密等。 2. 信息的篡改:当攻击者熟悉了网络信息格式以后，通过各种技术方法对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面：篡改更改信息的内容，如购买商品的出货地址；删除删除某个消息或消息的某些部分；插入在消息中插入一些信息，让收方读不懂或接收错误的信息。,3. 信息假冒。当攻击者掌握了某些特定的用户信息之后，可以假冒合法用户或发送假冒信息来欺骗商家，主要有两种方式。一是伪造电子邮件，给商家发电子邮件，收定货单；二是伪造大量用户，发电子邮件，穷尽商家资源。若掌握部分商家信息之后，攻击者可以虚开网站和商店，欺骗消费者。 4. 交易抵赖。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。,2、信息的完整性： 1）数据输入时的意外差错或者欺诈行为，可能导致贸易各方信息的差异。 2）数据传输过程中的信息丢失，可能会导致贸易各方信息不同。 3）黑客对信息的篡改和假冒等。 注：任何对系统信息的应用特性或状态的中断，窃取，篡改和伪造都是破坏信息系统完整性的 行为。,1、信息的机密性： 指信息在存储或者在传输过程中不被他人窃取。机密性一般通过密码技术来对信息加密处理来实现。在网上信息传输过程中，只有合法用户才能看到信息（数据加密，访问控制，计算机电磁辐射的安全保障）,任务三：电子商务安全要素：,3、认证性：主要是是身份认证，在网络安全中，认证主要提供了关于某个实体身份的保证，如口令技术是一种简单常用的认证方法。而电子商务中客户 商家相互认证，一般是通过交易第三方或安全加密协议来实现，如数字证书。,4、信息的不可抵赖：是指交易双方一旦发生了交易的实体行为，就不能相互否认，即发方在发送数据后不能抵赖，接方在接受数据后也不能否认（如通过数字签名）,网络不安全的原因,自身缺陷+开放性+黑客攻击,攻击技术,如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面： 网络监听：自己不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 又叫欺骗攻击包括ip欺骗和假消息欺骗攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配置或设置一些假消息来实施欺骗攻击 主要包括：arp缓存虚构，和伪造电子邮件,攻击技术,网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 网络安全扫描技术：其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它即可用于对本地网络进行安全怎强，也可被网络攻击者用来进行网络攻击 注意：信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,漏洞类攻击：针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。 漏洞（hole）:系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高访问权限。 要找到某种平台或者某类安全漏洞也是比较简单的。在internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引。,攻击技术,网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。 破坏类攻击：指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒，逻辑炸弹等攻击 逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内 注意：由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该使用自己的软件为主。,攻击技术,网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。（或者又叫控制类攻击）对目标机器控制权的攻击 常见的有三种：口令攻击，特洛伊木马，和缓冲区溢出攻击 口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常见的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。,攻击技术,拒绝服务：企图通过强制占用信道资源，网络链接资源，存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 常见攻击方法：ddos（分布式攻击）网络攻击，网络最强攻击；tcp syn洪水攻击，死亡之ping ，电子邮件爆炸等方式。 注意：在一次网络攻击中，并非只使用上面的六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。,防御技术,防御技术包括四大方面： 操作系统的安全配置：操作系统的安全是整个网络安全的关键。 加密技术：为了防止被监听和盗取数据，将所有的数据进行加密。 防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。,案例：研究网络安全的社会意义,目前研究网络安全已经不只为了信息和数据的安全性。 网络安全已经渗透到国家的经济、军事等领域。,网络安全与政治,目前政府上网已经大规模的发展起来，电子政务工程已经在全国启动并在北京试点。政府网络的安全直接代表了国家的形象。1999年到2001年，一些政府网站，遭受了四次大的黑客攻击事件。 第一次在99年1月份左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织，有组织地对我们国家的政府网站进行了攻击。 第二次，99年7月份，当台湾李登辉提出了两国论的时候。,第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。 第四次是在2001年4月到5月，美机撞毁王伟战机侵入我海南机场。,2001年南海撞机事件引发中美黑客大战,网络安全与经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起，涉及的金额几个亿。,2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。 1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录。,网上不良信息腐蚀人们灵魂，色情资讯业日益猖獗。1997年5月去过色情网站浏览过的美国人，占了美国网民的28.2%。河南郑州刚刚大专毕业的杨某和何某，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站、100多部小说和小电影。不到54天的时间，访问他的人到了30万。,网络安全与军事,在第二次世界大战中，美国破译了日本人的密码，将山本的舰队几乎全歼，重创了日本海军。目前的军事战争更是信息化战争，下面是美国三位知名人士对目前网络的描述。,美国著名未来学家阿尔温 托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界。 美国前总统克林顿说过“今后的