电子商务安全概述.ppt

山西大学商务学院电子商务系,1,电子商务安全,信息安全、网络安全,山西大学商务学院电子商务系,2,学习方法,其他教材与本课程有关的扩充性杂志电子商务、中国电子商务、电子商务世界、市场周刊商务、网络安全技术与应用、信息网络安全、计算机应用研究、计算机安全、计算机网络等。（粗中有细、略后又精）术业有专攻、厚积薄发,山西大学商务学院电子商务系,3,第1章概述,本章教学目标1.电子商务存在的一些安全威胁，及其可能遭受的攻击。2.掌握对电子商务安全的目标。3.了解实现电子商务安全手段、技术、方法4.了解电子商务安全方面的法律、动态、发展。,2020/5/20,3,山西大学商务学院电子商务系,4,案例一：,一名网络管理员自行开设了一家订票网站“长春铁路在线”的网站，以定票的名义从事网络欺骗。免费赠送QQ币：登陆该网站，发现该网站从网页布局到域名，都仿冒腾讯公司的QQ网站设立，让用户以为是腾讯官方进行的市场促销活动。当用户按照该网站的提示填入自己的QQ号码后，该网站甚至会弹出一个假冒的QQ软件系统信息窗口，让用户误以为自己真获得了腾讯公司赠送的QQ币。同时，该网站还提示说：“恭喜您！您成功获得5个QQ币，但是还没有被激活。马上把下面这个地址发给您QQ上的五位朋友点击来激活吧。诱骗用户把这个虚假信息传递给自己的QQ好友。目的：该网站为了提高自己的网络全球排名、获取商业利益的伎俩。ALEXA提供的资料，一个星期内，该骗子网站的全球排名从80000多位上升到了2000多位。根据业内权威人士分析，每天受骗登陆该网站的人数可达数十万。类似的网络诈骗行为在西方欧美国家已经成为威胁用户安全的一种主流诈骗手段，单单信用卡用户每年遭受的损失就有数十亿美元，因此用户一定不能掉以轻心。,山西大学商务学院电子商务系,5,案例二：黄群威编造、故意传播虚假恐怖信息案,2003年4月，注册名为“zzzzxxxxzz”的用户，在“西路网”论坛发表标题为“绝对可靠内部消息，上海隐瞒了大量非典病例”一文，IP地址为54。西路当值安全监控员删除该文章时，点击率为945次；,山西大学商务学院电子商务系,6,案例3：证券大盗,2004年11月，四川广汉的投资者陈先生，在毫不知情的情况下，其账户中的股票“动力源”被卖掉，并以8.33元买入了阳光发展，给他造成了上万元的损失。陈先生询问开户营业部华西证券广汉营业部，才知道原来这是网络病毒“证券大盗”搞的鬼。,山西大学商务学院电子商务系,7,参见：中国互联网络发展状况统计报告（2010/6）半年有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击，遇到该类不安全事件的网民规模达到2.5亿人。2010年上半年，有30.9%的网民账号或密码被盗过，网络安全的问题仍然制约着中国网民深层次的网络应用发展。89.2%的电子商务网站访问者担心访问假冒网站；而他们如果无法获得该网站进一步的确认信息，86.9%的人会选择退出交易。互联网向商务交易型应用的发展，急需建立更加可信、可靠的网络环境。,山西大学商务学院电子商务系,8,1.1安全隐患与攻击,国际化、社会化、开放化、个人化的Internet。电子商务、电子政务、电子税务、电子海关、网上银行、电子证券、网络书店、网上拍卖、网络防伪、网上选举等等，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。,8,山西大学商务学院电子商务系,9,计算机网络安全计算机网络设备安全计算机网络系统安全数据库安全商务交易安全销售者的安全消费者的安全电子商务的风险,山西大学商务学院电子商务系,10,安全隐患(一）,硬件的安全隐患；操作系统安全隐患；“后门”网络协议的安全隐患；数据库系统安全隐患；计算机病毒；管理疏漏，内部作案；重应用，轻安全。,2020/5/20,10,山西大学商务学院电子商务系,11,安全隐患(二）,由于非法用户可以伪造、假冒电子商务网站和用户的身份。敏感信息和交易数据在传输过程中有可能被恶意篡改。网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。,山西大学商务学院电子商务系,12,威胁最大的“网络钓鱼”式攻击,假冒网站邮件欺骗木马病毒,山西大学商务学院电子商务系,13,中国银行网站www.bank-of-中国银行的假冒域名是www.bank-off-，多一个英文字母f；中国工商银行网站中国工商银行域名是，与，也只是“1”和“i”一字之差；中国农业银行网站中国农业银行域名是,山西大学商务学院电子商务系,14,以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。国内第一例中文混合型病毒“重要文件”冒充一家购物网站邮件迷惑用户，危害仅是可能将盗取个别用户网络银行账号和网络游戏密码等敏感信息。,山西大学商务学院电子商务系,15,黑客攻击的分类,被动攻击主动攻击,攻、防、测、控、管、评,山西大学商务学院电子商务系,16,源点,终点,正常状态,攻击者,伪造,篡改,中断,截获,被动攻击,主动攻击,主动攻击,主动攻击,16,山西大学商务学院电子商务系,17,攻击对象,网络恐怖分子（黑客）、信息战部队现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。黑客(hacker)：对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并公开他们的发现，与其他人分享；主观上没有破坏数据的企图。骇客（cracker）：以破坏系统为目标。“红客”honker：中国的一些黑客自称“红客”honker。美国警方：把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。,17,山西大学商务学院电子商务系,18,计算机网络犯罪,计算机网络犯罪与传统的犯罪相比有许多不同的特点：危害性：犯罪后果严重。成本低，传播快，范围广。知识性：智慧型白领犯罪，年轻、专业化。隐蔽性：侦破与取证困难；证据的可修改性。广域性、跨国性：作案场所不受地理区域的限制。集中在机密信息系统和金融系统两方面。,18,山西大学商务学院电子商务系,19,1.2信息安全的目标,实例：1A向B传送支付工资的记录，这些数据必须加以保护以防泄密。C是没有被授权却想读取文件的用户，可能监视该传送过程，并在传送过程中截获了该文件的副本。(截获）机密性2某网络管理员D向用户E传送消息，用户F中途截取，并且改变消息的内容，然后发送E，E以为该信息是由D发送的。（篡改）完整性3用户F构造了自己希望的内容，然后发送E，E以为该信息是由D发送的。（伪造）鉴别性4一个客户向一个股票代理商发出交易指示信息。随后，股票跌值，该客户不承认发出交易信息。（否认）抗否认性,19,山西大学商务学院电子商务系,20,信息安全的目标1保护信息的机密性（Confidentiality)即保证信息为授权者享用而不泄漏给未经授权者。2保护信息的完整性(Integrity)数据完整性：未被未授权篡改或者损坏系统完整性：系统未被非授权操纵，按既定的功能运行3保护信息的可用性(Availability)即保证信息和信息系统随时为授权者提供服务，而不要出现非授权者滥用却对授权者拒绝服务的情况。4保护信息的抗否认性(Non-repudiation)要求无论发送方还是接收方都不能抵赖所进行的传输5保护信息的鉴别性(Distinguish)确认实体是它所声明的。适用于用户、进程、系统、信息等6保护信息的可靠性(Reliability)指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。7保护信息的可控性(Controllability)指对信息传播及内容具有控制能力的特性。,20,山西大学商务学院电子商务系,21,信息安全的五种服务,认证（Authentication）保密（Encryption）数据完整（Integrity）不可否认（Non-repudiation）访问控制（AccessControl）,信息安全的目标的另一表述是CIACentralIntelligenceAgency,山西大学商务学院电子商务系,22,1.3安全的一些概念,物理安全通信安全辐射安全（电传打印机）计算机安全网络安全信息安全电子商务安全（加密技术、认证技术、安全认证技术）（它们之间的关系如何？）但由此我们可以看出在安全领域的共性问题.综合、交叉的学科：密码学理论、计算机网络、操作系统、数据库技术、安全协议、通信技术、电子技术。在众多的应用中准确把握分析问题、解决问题的思路。,22,山西大学商务学院电子商务系,23,白皮书：是由官方制定发布的阐明及执行的规范报告。蓝皮书：是由第三方完成的综合研究报告。绿皮书：是关于乐观前景的研究报告。红皮书：是关于危机警示的研究报告（80年代后期，TNI可信网络说明，红皮书）橙皮书；CC通用准则橘皮书：TCSEC可信计算机系统评估准则,安全技术评估标准,山西大学商务学院电子商务系,24,课堂作业：,国外安全技术评估标准美国、欧洲、加拿大、日本、韩国、芬兰等国内电子商务安全法律法规要求：完成作业的方法？查阅了那些资料？涉及到哪些国家？有哪些立法与标准？这些立法与标准对电子商务、电子政务的发展有什么影响？,山西大学商务学院电子商务系,25,1.4信息安全的研究内容,信息安全三分靠技术，七分靠管理。信息安全的实现依靠：基础理论知识应用技术手段安全管理方法：政府策略、法律法规、安全核心问题、产品技术与企业需求、电子商务安全措施及技术发展现状、产品市场策略等。,2020/5/20,25,山西大学商务学院电子商务系,26,PDRR网络安全模型,一个中心，四个基本点,山西大学商务学院电子商务系,27,主要研究内容,加密技术防火墙技术虚拟专用网技术VPN入侵检测技术IDS访问控制技术.,2020/5/20,27,山西大学商务学院电子商务系,28,发展热点,无线加密与电子商务认证中心安全系统基础设施安全风险评估与分析版权信息控制,2020/5/20,28,山西大学商务学院电子商务系,29,在网上用户主要采取什么安全措施：密码加密：36.9%防病毒软件：74.5%防火墙：67.6%电子签名：7.3%不清楚，由系统管理员负责：7.4%什么措施都不采用：3.6%,返回,2020/5/20,29,山西大学商务学院电子商务系,30,关注的焦点主要有：1）密码理论与技术；2）安全协议理论与技术；3）安全体系结构理论与技术；4）信息对抗理论与技术；5）网络安全与安全产品。,国外信息安全发展趋势,山西大学商务学院电子商务系,31,国家信息安全技术发展战略,政府不应什么都管，也不应管得太死，应通过制定符合实际情况的法律法规，制定技术标准来引导产业发展。信息安全政策必须在公民隐私权和政府安全需求方面找到平衡点。产品开发应该遵循现行安全法规和安全标准。在制订安全政策时，从一开始就应吸收技术人员参与高层工作，更好地兼顾产业需求和政府需求。,2020/5/20,31,山西大学商务学院电子商务系,32,国家信息安全技术发展战略,没有100的信息安全，要作好风险评估以得到最好的选择。安全要和应用紧密结合，不能让用户感到增加安全功能是大的负担，才能获得成功。在进入WTO后，交易安全方面重点是BtoB的安全。大国应有自己的安全产业，同时要充分考虑国际兼容问题。,2020/5/20,32,山西大学商务学院电子商务系,33,全方位的安全体系,安全管理原则防范内部作案多人负责原则相互制约任期有限原则防作弊，不定期轮换职责分离原则避免利用职务之便,返回,2020/5/20,33,山西大学商务学院电子商务系,34,涉及网络与商务安全的相关法规,1.电子商务法律法规汇编2.中华人民共和国电子签名法3.中国互联网协会反垃圾邮件规范4.中国互联网络信息中心域名争议解决办法程序规则5.商用密码管理条例6.国务院办公厅关于加快电子商务发展的若干意见7.国际电子商务认证法律8.我国电子商务认证法律,山西大学商务学院电子商务系,35,电子商务信用认证规则,2010年11月，商务部中国国际电子商务中心组织制定的我国首个电子商务信用认证规则正式发布，该规则将主要针对团购网站、零售