模式八电子商务安全及实操案例答案

电子商务案例分析《电子商务案例分析》教材编写组模块八

电子商务安全项目17网络安全案例项目任务项目案例零售行业网络安全知识点一黑客攻击安全问题零售行业网络安全案例分析知识拓展智能安全分析知识点二WEB应用程序安全问题知识点三协议欺骗攻击问题知识点四内网安全问题项目17电子商务安全案例项目任务：能说出电子商务网络安全的相关技术与防范措施，会分析案例中为保障网络安全所采用的相关软硬件以及技术解决方案，能够为企业电子商务网络安全建设提供合理化建议。战略目标目标用户产品与服务赢利模式核心能力项目案例零售行业网络安全全球范围内，零售行业是属于排名头三个容易被网络攻击者定位为攻击目标的行业之一，原因是几乎全部的商户均接受支付卡支付、相对较低的安全防御、存在不少可用的攻击载体。移动设备与近场通信(NFC：NearFieldCommunication)无线技术的集合以及应用的激增，例如增强实现技术(augmentedreality)等等这些更加剧了问题。一些来自美国被高度曝光的发生在零售行业的网络窃取案例包括THX、赛百味与巴诺书店。店内无线网络、POS机系统与信用卡读卡器被攻击导致除了给这些商家带来的经济损失外，还有持信用卡支付用户数千万美元窃取、以及个人信息丢失。这些大规模的网络窃取事件的发生无一昭示着零售行业需要在安全方面投入更多的注意力来保障业务的顺畅。项目案例零售行业网络安全按照传统方式来讲，零售店使用基于店内的具有基础安全功能路由器或在店内网络的基础上覆盖端点保护的解决方案或一个私有的WAN使所有的流量都回到数据中心进行检测。这些方法都存在各自的缺陷，无论在功能性方面，还是可扩展性或是成本方面。零售行业在打造安全的分布式环境上应聚焦在以下四个主要的方面，并采取相应的措施解决其面临的问题。1、访问层。2、店铺层。3、数据的聚合之所。4、管理。项目案例零售行业网络安全提出问题：针对零售行业的基本情况和业务需求，为了保障其网络安全，应采用哪些方法可以解决零售店的网络安全问题呢？知识点1黑客攻击安全问题一、黑客攻击安全问题1、网络不安全因素2、黑客攻击网络的一般过程（1）信息的收集（2）系统安全弱点的探测（3）建立模拟环境，进行模拟攻击（4）具体实施网络攻击知识点2WEB应用程序安全问题Web应用系统是由操作系统和Web应用程序组成的。Web应用的大多数安全问题都属于下面三种类型之一：1、服务器向公众提供了不应该提供的服务，导致存在安全隐患。2、服务器把本应私有的数据放到了公开访问的区域，导致敏感信息泄露。3、服务器信赖了来自不可信赖数据源的数据，导致受到攻击。许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。Web应用程序攻击包括对应用程序本身的DoS(拒绝服务)攻击、改变网页内容、SQL注入、上传Webshell以及获取对Web服务的控制权限等。知识点3协议欺骗攻击问题1、源IP地址欺骗攻击要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：（1）抛弃基于地址的信任策略（2）进行包过滤

2、路由欺骗攻击为了防范源路由欺骗攻击，一般采用下面两种措施：一是：对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。二是：在路由器上关闭源路由。知识点4内网安全问题内网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使得内部信息网络具备了以下三个特点：1、随着ERP、OA和CAD等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。2、内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。3、由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产权的主要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手段成为关注的焦点。一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。零售行业网络安全案例分析一、高性能网络以满足消费者的体验二、店内无线LAN的深度防护三、到低成本的公共网络的迁移四、店内创新服务的采用五、PCI-DSS法案合规支持知识拓展智能安全分析

2012年Verizon调查报告指出，99%的违规会导致数据在几天甚至更短时间内受损，而85%的违规需要几星期甚至更长时间才会发现。利用大数据进行分析已成为安全领域的黄金标准：越来越多的组织正在将大数据用于安全领域。有74%的企业正在或计划在一年内为安全目的搜集和分析“大数据”；56%的企业已经或正在建立及运作安全营运中心，15%的企业2年内有此计划。大数据改变了安全分析方式：利用大数据检测高级威胁的企业有50%，进行安全分析的有46%，进行内部审计的有45%，进行合规操作的有45%，评估现有安全状况的有40%，进行安全取证的有38%，保留及分析记录的有37%。知识拓展智能安全分析但在目前，大数据尚未得到充分利用：40%的企业所收集的安全数据都会被淹没；35%的企业缺乏足够时间及专业水平来分析所收集的数据；38%的企业表示，存储或数据管理成本阻碍他们搜集更多安全数据；73%的企业表示，如果数据能被好好利用,他们愿意搜集更多数据用于安全分析。把正确信息在正确时间提供给正确人员，从而将攻击活动与风险管理给业务带来的影响降至最低，这样企业就能够对数字风险获得控制能力。模块八

电子商务安全项目18信息安全案例项目任务项目案例信息泄露事件知识点一网络信息安全信息泄露事件案例分析知识拓展云服务的数据安全问题项目18信息安全案例项目任务：能说出电子商务信息安全的需求与防范措施，会分析目前主要的成功案例所采用的技术解决方案，能够为企业电子商务信息安全建设提供合理化建议。战略目标目标用户产品与服务赢利模式核心能力项目案例信息泄漏事件校园网在为广大师生提供便捷、高效的学习、工作环境的同时，也在宽带管理、计费和安全等方面存在许多问题：（1）IP地址及用户账号的盗用（2）多人使用同一账号（3）网络计费管理功能的单一（4）对带宽资源的大量占用导致重要应用无法进行（5）访问权限难以控制（6）安全问题日益突出（7）异常网络事件的审计和追查（8）多个校区的管理和维护项目案例信息泄漏事件提出问题：根据该大学的网络信息问题，其应该怎么进行信息安全的管理呢？知识点1网络信息安全一、网络信息安全的定义国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。二、网络信息安全的特征1、保密性(Confidentiality)

2、完整性(Integrity)：3、可用性(Availability)4、可控性三、网络信息安全的攻防技术1、安全基础技术2、入侵及防范技术3、系统安全体系及策略4、内容安全分析及保障技术某大学信息安全案例分析针对这些问题，该大学进行了一套完整的校园网宽带管理、计费方案。该方案提供了一个融合防火墙、接入服务器、访问控制、认证、计费功能的强大系统，该系统针对该大学原存在的每个问题都能提供完全的应对策略。（1）客户账号与IP地址、MAC地址、NAS设备地址和NAS端口绑定（2）限定账号登录次数（3）完善计费管理功能（4）带宽的限定和业务优先级的设定（5）访问区域和访问时间的有效控制（6）内外网IP地址间的NAT功能（7）强大的事件追查功能（8）多校区远程管理功能知识拓展云服务的数据安全问题一、数据分类存储

二、闲时数据管理三、动态数据保护

四、密钥管理

五、访问控制

六、加密系统的长期性

模块八

电子商务安全项目19认证技术案例项目任务项目案例某银行USBKey身份认证应用

知识点一认证中心某银行USBKey身份认证应用案例分析知识拓展虹膜认证知识点二网上银行身份认证与交易的安全防范项目19认证技术案例项目任务：能讲清楚基本的认证技术的工作原理与功能作用，能说出网上银行身份认证与交易的安全防范措施，能够为企业应用认证技术进行初步规划，并配合企业认证技术的开展与应用。战略目标目标用户产品与服务赢利模式核心能力项目案例某银行USBKey身份认证应用

某国有银行始建于1908年，是中国早期四大银行之一，总行设在上海。为了适应激烈的市场竞争，近年来该银行大力开展网上银行业务。在短短的三年中，该银行完成了网上银行的整体框架构建，形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系，并实现了网上银行的功能完善和业务量的快速增长。通常国内网上银行都会分为大众版和企业版两个版本，它们的本质区别在于安全级别不同。用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行，操作简便，手续极为简单，但运行后安全保密性较差，唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码。项目案例某银行USBKey身份认证应用申请专业版网上银行就要复杂得多，首先需要用户本人到银行网点进行业务申请，通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移。数字证书是网上银行业务中确认用户身份的唯一标志，具有不可复制性和不可替代性，所有网上交易必须要事先通过数字证书进行安全认证，它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志，确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中，这种做法的危险性不言而喻。对于资金交易量较大的企业用户，为了确保其资金安全，该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后，他们选择SafeNetiKey2032作为其网上银行企业客户的身份验证工具。SafeNetiKey2032之所以在这样一家大型国有银行竞标中胜出的原因主要源于其突出的产品特性。iKey2032是一款基于USB接口的可移动身份认证设备，专门针对银行业或其它数字证书用户。项目案例某银行USBKey身份认证应用提出问题：该银行采用的数字签名和PKI体系，可生成并储存私钥和数字证书，可以满足个人身份认证安全级别要求，那么这些技术具体是如何实现其客户身份认证的呢？知识点1认证中心一、CA认证中心CA又称认证权威、认证中心、证书授予机构，是承担网上认证服务，能签发数字证书并能确认用户身份的受大家信任的第三方机构。CA通常是企业性的服务机构，其主要任务是受理数字证书的申请、签发及对数字证书进行管理。二、数字证书数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限。证书就是一份文档，记录了用户的公开密钥和其他身份信息。数字证书是由CA认证中心颁发的、包含了公开密钥持有者信息以及公开密钥的文件，证书上还有CA认证中心的数字签名。数字证书一般分为三种类型：个人数字证书、服务器证书、开发者证书。知识点1认证中心三、数字签名数字签名（DigitalSignature）技术是不对称加密算法的典型应用。数字签名的主要功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。四、PKI体系PKI（PublicKeyInfrastructure）即“公开密钥体系”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。知识点2网上银行身份认证与交易的安全防范防范网上银行支付安全应有两大保障：一、法律保障二、技术安全保障。某银行USBKey身份认证应用案例分析一、用双因素认证方式替代不可靠的口令分析二、硬件实现加密算法确保系统安全性三、支持多个CA和PKI应用四、应用简单，携带方便知识拓展虹膜认证

虹膜识别是基于人眼虹膜特征的生物识别技术。这种技术对人干扰较少。不需要人的直接接触就能够进行识别，并且虹膜与指纹一样是独一无二的。没有两个完全一样的虹膜，即使是一个人的左右眼也不会一样，因此虹膜识别技术有着公认的精确性和便捷性。有绝对唯一，虹膜纹理具有稳定性和不可变性。虹膜特征稳定性强，其结构特征外部可见，在人出生后八个月到两周岁左右基本发育完全。此外虹膜的活体和死体存在本质区别，想要造假是非常难的，而虹膜识别的识错率也是生物识别中最低的。因此，即使虹膜识别系统的造价相对较高但是其应用价值和普及性仍然在生物识别中处于备选状态。虹膜图像获取具有安全性。作为一种高安全级别的身份认证技术，生物识别的使命在于创建人类便捷、安全的沟通关系，网络经济环境下更是如此。实操案例1某省县电力公司网络安全某省电网作为中国最大的跨省联合电网——华东电网的重要组成部分，已发展成为以火电为主，水力发电为辅，500kv输电线路为骨干，220kv线路为网架、分层分区结构完整的全省统一电网。与生产网络的发展相匹配，该公司已经组建了全省的调度网络和OA网络，并正在发展和银行之间的互联，开展业务往来；而且随着信息化的深入发展，各个公司也有接入internet网的需求，这就对电力内部的各种信息构成威胁。某省电力县级对网络安全采取的主要措施有：利用操作系统、数据库、电子邮件、应用系统本身的安全性，对用户进行权限控制。在连接地级的广域网接口处，通过Cisco2600路由器的IP包过滤及访问控制列表（ACL）功能，做了一定的安全控制。实际上，仅靠以上几项安全措施，不能达到某省电力县级网络安全的要求。实操案例1某省县电力公司网络安全某省电力县级的主要网络安全威胁包括：各县级电力局与地市局之间目前主要采用星型拓扑结构，利用专用线路作为传输通道，与地市局相连；目前主要有办公网和调度网。由于某省电力县级的管理信息网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐渐由Intranet发展到Extranet，有的已经扩展到Internet，网络用户也已经不单单某省电力县级的内部用户，由于内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。对某省电力县级网络安全构成威胁的主要因素有：内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。来自内部网的病毒的破坏；内部用户的恶意攻击、误操作，但由于目前发生的概率较小，本部分暂不作考虑。如果调度网与办公网相联，调度网的安全将受到来自办公网的威胁。来自外部网络的攻击，具体有三条途径：Internet连接的部分；与同级单位或不同级单位连接的部分；与银行连接的部分。实操案例1某省县电力公司网络安全工作任务：结合该电力公司的实际情况，应从哪些方面解决网络安全问题，请你根据所学的网络安全方案的相关知识，为某省电力县级的网络设计网络安全的解决方案？某省县电力公司网络安全案例分析

一、内部网络、外部网络与互联网之间设置防火墙二、与同级或不同级单位之间设置防火墙及访问权限三、与银行连接的部分设置支付网关实操案例2某省电力公司身份认证系统应用某省电力公司设计身份认证技术体系，保证信息系统中用户身份的真实性，实现以数字证书技术为基础的统一身份认证和用户管理，并基于统一身份认证之上，实现对应用系统的统一应用安全支撑和单点登录。某省电力公司是某电网有限公司的全资子公司。承担着全省的电力生产、建设、调度、经营及电力规划研究等任务。现有所属单位38个，其中供电单位19个，发电单位3个，直属生产企业4个，施工修造企业15个，科研院校10个，其它单位5个。拥有资产585亿元。共有员工6万人。在企业目前建设的多个信息系统中，都是采用传统的用户名/密码方式来实现身份认证。但这种方式早已被证明是不安全的。新一代基于数字证书的智能卡身份认证系统目前已成为安全认证的标准，在国内各行业被广泛采用，建立数字证书认证体系，能够为用户网络访问、应用系统访问提供可信的身份识别方式。目前用户在业务系统中进行的关键数据交换和关键操作，非常可能被恶意用户进行窃听或非法篡改，无法保证数据的安全性、完整性和不可否认性，存在安全隐患。而采用安全传输等技术，即可解决相关安全问题。

实操案例2某省电力公司身份认证系统应用该电力公司所要建设的是能够解决以下问题的身份认证技术体系。（1）解决信息系统的身份鉴别问题（2）解决信息传输加密问题（3）解决基于证书的统一用户管理问题（4）解决跨域的单点登录问题由于目前的应用系统服务器都处于各自分散的环境中分别部署，因此身份验证系统必须支持跨域。针对如上需求，建设基于PKI