电子商务技术第四章第一节

1、第四章第四章 电子商务安全基础知识电子商务安全基础知识案例一：o一名网络管理员自行开设了一家订票网站“长春铁路在线”的网站，以定票的名义从事网络欺骗。o免费赠送QQ币：登陆该网站，发现该网站从网页布局到域名，都仿冒腾讯公司的QQ网站设立，让用户以为是腾讯官方进行的市场促销活动。当用户按照该网站的提示填入自己的QQ号码后，该网站甚至会弹出一个假冒的QQ软件系统信息窗口，让用户误以为自己真获得了腾讯公司赠送的QQ币。同时，该网站还提示说：“恭喜您！您成功获得5个QQ币，但是还没有被激活。马上把下面这个地址发给您QQ上的五位朋友点击来激活吧。诱骗用户把这个虚假信息传递给自己的QQ好友。o目的：该网站

2、为了提高自己的网络全球排名、获取商业利益的伎俩。 ALEXA提供的资料，一个星期内，该骗子网站的全球排名从80000多位上升到了2000多位。根据业内权威人士分析，每天受骗登陆该网站的人数可达数十万。 类似的网络诈骗行为在西方欧美国家已经成为威胁用户安全的一种主流诈骗手段，单单信用卡用户每年遭受的损失就有数十亿美元，因此用户一定不能掉以轻心。案例二： 黄群威编造、故意传播虚假恐怖信息案o 2003年4月，注册名为“zzzzxxxxzz”的用户，在“西路网”论坛发表标题为“绝对可靠内部消息，上海隐瞒了大量非典病例”一文，IP地址为54。西路当值安全监控员删除该文章时，点

3、击率为945次；案例三：证券大盗o 2004年11月，四川广汉的投资者陈先生，在毫不知情的情况下，其账户中的股票“动力源”被卖掉，并以8.33元买入了阳光发展，给他造成了上万元的损失。陈先生询问开户营业部华西证券广汉营业部，才知道原来这是网络病毒“证券大盗”搞的鬼。o 参见：中国互联网络发展状况统计报告（2010/6） 半年有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击，遇到该类不安全事件的网民规模达到2.5亿人。 2010年上半年，有30.9%的网民账号或密码被盗过，网络安全的问题仍然制约着中国网民深层次的网络应用发展。 89.2%的电子商务网站访问者担心访问假冒网站；而他们如果无

4、法获得该网站进一步的确认信息，86.9%的人会选择退出交易。互联网向商务交易型应用的发展，急需建立更加可信、可靠的网络环境。电子商务安全问题的原因o 先天原因先天原因n 网络的全球性、开放性和共享性使得电子商务网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。传输过程中的信息安全存在先天不足。o 后天原因后天原因n 管理管理美国美国90%的的IT企业对黑客的攻击准企业对黑客的攻击准备不足。备不足。n 人人黑客攻击黑客攻击n 技术技术软件漏洞、后门软件漏洞、后门耐克网站被黑客篡改一一、电子商务安全的重要性1.保证商务信息的安全是进行电子商务的前提2.保障网上购物、交易、结

5、算等电子商务各环节的安全问题是促进电子商务更快发展的关键。一、电子商务安全的重要性3.电子商务的安全问题集中在：信息泄露、篡改、身份识别、信息破坏。主要来自以下几个方面：（1）冒名偷窃冒名偷窃：hacker为了获得一些商业机密资源和信息，通常采用源IP地址欺骗攻击。（2）篡改数据篡改数据：攻击者未经授权进入EC系统，使用非法手段删除、修改、重发某些重要信息，破坏数据的完整性，损害他人利益。一、电子商务安全的重要性主要来自以下几个方面：（3）信息丢失信息丢失：三种情况下可能丢失信息，一是由于线路问题造成信息丢失，如电源断电、通信线路断开等；二是安全措施不录导致丢失数据信息，如信息在传递过程中未加

6、密，被hacker修改、删除了；三是不同的操作平台上转换操作从而丢失信息。（4）信息传递出问题信息传递出问题：信息在传递的过程中，可能由于线路质量较差，水灾、火灾等问题而出现问题，或者被hacker搭线窃听致使重要数据泄露。二二、电子商务安全的内容1电子商务系统硬件安全2. 电子商务系统软件安全3. 电子商务系统运行安全4. 电子商务安全立法5. 电子商务信息的安全三电子商务安全概念与特点电子商务安全概念与特点o电子商务的一个重要技术特征是利用IT技术来传输和处理商业 信息，因此，电子商务安全从整体上可分为两大部分：计算机网络安 全和商务交易安全。n 计算机网络安全计算机网络安全 计算机网络安

7、全的内容包括：计算机网络设备安全、计算机计算机网络设备安全、计算机网络系统安全、数据库安全网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全为目标。n 商务交易安全商务交易安全 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务保密电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性性、完整性、可鉴别性、不可伪造性和不可抵赖性等。 同时，电子商务安全又有它自身的特殊性，即以电子交易安全电子交易安全和电子支付安全

8、为核心和电子支付安全为核心，有更复杂的机密性概念，更严格的身份认证功能，对不可拒绝性有新的要求，需要有法律依据性和货币直接流通性特点，还要网络设有的其他服务(如数字时间戳服务)等。电子商务安全与网络安全电子商务安全与网络安全信息安全互联网安全网络安全密码安全电子商务安全四大特性 1电子商务安全是一个系统概念电子商务安全是一个系统概念 电子商务安全问题不仅仅是个技术性的问题，更重要的是管理问题，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。2电子商务安全是相对的电子商务安全是相对的 安全是相对的，而不是绝对的，要想以后的网站永远不受攻击、不出安全问题是不可能的。3电子商务安全

9、是有代价的电子商务安全是有代价的 如果只注重速度，就必定要以牺牲安全来作为代价；如果要考虑到安全，速度就得慢一点, 如果不直接牵涉到支付等敏感问题，对安全的要求就可以低一些；如果牵涉到支付问题，对安全的要求就要高一些，所以安全是有成本和代价的。4电子商务安全是发展的、动态的电子商务安全是发展的、动态的 今天安全，明天就不一定安全，没有一劳永逸的安全，也没有一蹴而就的安全。三、电子商务面临的安全威胁1. 计算机网络风险（开放性、传输协议、操作系统、信息电子化）（1）物理安全问题通信安全辐射安全（电传打印机）（2）网络安全问题（3）网络病毒的威胁（4）黑客攻击（5）电子商务网站自身的安全问题（加密

10、技术、认证技术、安全认证技术）电子商务面临的安全威胁 对客户机的安全威胁对客户机的安全威胁 1、动态内容2、相关技术或机制 (1)cookie (2)邮件通讯簿 (3)信息隐蔽对通信信道的安全威胁 对通信信道的安全威胁对通信信道的安全威胁1、搭线窃听 2、 IP欺骗3、 IP源端路由选择 4、目标扫描 对服务器的安全威胁对服务器的安全威胁1 、WWW服务器 2 、数据库服务器 3 、 CGI 4 、 ASP5 、邮件炸弹 6 、溢出攻击 7 、口令破译安全隐患(一）o 硬件的安全隐患；o 操作系统安全隐患；“后门”o 网络协议的安全隐患；o 数据库系统安全隐患；o 计算机病毒；o 管理疏漏，内

11、部作案；o 重应用，轻安全。安全隐患(二）o 由于非法用户可以伪造、假冒电子商务网站和用户的身份。o 敏感信息和交易数据在传输过程中有可能被恶意篡改。o 网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。威胁最大的“网络钓鱼”式攻击o 假冒网站o 邮件欺骗o 木马病毒o 中国银行网站www.bank-of- 中国银行的假冒域名是www.bank-off-，多一个英文字母f；o 中国工商银行网站 中国工商银行域名是，与，也只是“1”和“i”一字之差；o 中国农业银行网站 中国农业银行域名是 以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用

12、户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。 国内第一例中文混合型病毒“重要文件”冒充一家购物网站邮件迷惑用户，危害仅是可能将盗取个别用户网络银行账号和网络游戏密码等敏感信息。 黑客攻击的分类o被动攻击o主动攻击攻、防、测、控、管、评源点终点正常状态攻击者伪造篡改中断截获被动攻击主动攻击主动攻击主动攻击攻击对象网络恐怖分子（黑客）、信息战部队 现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。 黑客(hacker)：对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，热衷编

13、程，查找漏洞，表现自我。他们不断追求更深的知识，并公开他们的发现，与其他人分享；主观上没有破坏数据的企图。 骇客（骇客（crackercracker）：）：以破坏系统为目标。 “红客红客”honkerhonker：中国的一些黑客自称“红客”honker。 美国警方：把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。计算机网络犯罪计算机网络犯罪与传统的犯罪相比有许多不同的特点：o 危害性：犯罪后果严重。成本低，传播快，范围广。o 知识性：智慧型白领犯罪，年轻、专业化 。o 隐蔽性：侦破与取证困难；证据的可修改性。 o 广域性、跨国性：作案场所不受地理区域的限制。 集中在机密

14、信息系统和金融系统两方面。三、电子商务面临的安全威胁2. 电子商务交易风险（1）在线交易主体的市场准入；（2）信息风险；（3）信用风险；（4）网上欺诈犯罪；（5）电子合同问题；（6）电子支付问题；（7）在线消费者保护问题；（8）电子商务中产品交付问题；（9）电子商务中虚拟财产的保护问题三、电子商务面临的安全威胁3. 管理风险（1）人员管理；（2）网络交易技术管理o在人员管理方面，主要是工作人员职业道德不高，或是离职人员在系统中没有及时清除。o交易过程中的管理、人员管理如：交易过程中，要监督买方按时付款、卖方按时提供符合合同要求的货物。三、电子商务面临的安全威胁4. 政策法律风险主要涉及的法律有

15、：CA中心的法律、保护个人隐私、个人秘密的法律、电子合同法、EC的消费者权益保护法、网络知识产权保护法我国电子商务安全现状o 在我国在我国, 电子商务安全方面的基础设施也比较薄弱。电电子商务安全方面的基础设施也比较薄弱。电子商务安全技术及手段还不完善和规范化子商务安全技术及手段还不完善和规范化, 兼容性和实兼容性和实用性存在许多不足。很多的电子商务网站用性存在许多不足。很多的电子商务网站( 包括电子支包括电子支付付) 的安全机制还依赖于浏览器和的安全机制还依赖于浏览器和Web 服务器提供的服务器提供的SSL 安全协议安全协议, 使得电子商务中和电子交易和支付系统使得电子商务中和电子交易和支付系统成为网络犯罪活动的新目标。成为网络犯罪活动的新目标。o 同时同时, 信息安全的立法仍然跟不上信息技术的快速发展。信息安全的立法仍然跟不上信息技术的快速发展。建立一套法律政策体系建立一套法律政策体系, 保证电子交易双方能按照共同保证电子交易双方能按照共同的规则进行交易的规则进行交易, 对发展电