第一章电子商务安全概论.ppt.ppt

1、1,王文奇2,考核方式： 考试 成绩：平时 20% 考勤10% 作业实验10% 考查成绩：80%,3,学习本课程要求,教学目标： 通过本课程的学习，对电子商务的安全有全面地了解，掌握电子商务安全保密的基础理论和实用技术，并能在实践中起主导作用。 教材 电子商务安全技术 清华大学出版社 张爱菊主编。,4,讲课内容（方法）,专题+章节 攻击技术 网络安全技术 (理论（密码学）方法) 防御技术 常见的防御手段 防火墙、入侵检测、防御木马,5,第一章 电子商务安全概论,1.1 电子商务与安全 1.2 网络面临的威胁与攻击 1.3 电子商务的安全需求,6,电子商务与你？,据报道

2、2009年我国电子商务交易额达到3.8万亿元人民币，网络购物交易额达到2586亿元人民币，同比增长分别21.7%和105.8%。 目前我国发展电子商务存在四大瓶颈，一是安全，二是物流，三是信用，四是政策环境，其中安全和物流犹为显著。网络安全在任何时候都是比较严重，而且网络安全不是中国特有，它波及全世界 （证券日报 ,7,40488万亿元，其中个人网银交易额达到3853万亿元，占比952。 截至2009年第四季度末，中国网上银行注册用户数达到189亿。,8,制约电子商务发展的关键问题,安全问题就是影响电子商务健康发展的重要因素之一。 中国网民中有 82.4%的网民在最常用的电脑中安装了安全软件。

3、半年内有1.95亿网民在上网过程中遇到过病毒和木马的攻击，1.1亿网民遇到过账号或密码被盗的问题。,9,电子商务系统遭攻击实例,据统计，目前全球平均每20秒就会发生一起Internet主机被入侵的事件，美国75%-85%的网站抵挡不住黑客攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。 2005年，美国超过300万的信用卡用户资料外泄，导致用户财产损失严重。,10,央视315晚会曝光一名叫“顶狐”的黑客，通过自己制造木马程序，盗取大量用户的网上银行信息，用很低廉的价格在网上出售，危及大量

4、网银用户的安全。 “顶狐”已经被警方实抓捕。据警方透露，“顶狐”是一名黑客高手，2006年他编写了木马程序，从此开始了盗取个人信息的行当。顶狐还以免费下载的方式任由人下载和传播，顶狐偷偷给自己留了一手，黑客们盗取的所有信息都会自动回复到他的手中。每天存储在他电脑上的信息有3G 警惕木马布下网银陷阱,11,安全与战争,美国网络司令部内部,12,安全战争,美国网络司令部内部,13,世界的命根子都捏在美国手里,部队由世界顶级电脑专家和“黑客”组成，其人员组成包括美国中央情报局、国家安全局、联邦调查局以及其他部门的专家，甚至还可能包括盟国的顶级电脑天才，所有成员的平均智商都在140分以上，因此也被一些

5、媒体戏称为“140部队”。 今年6月伊朗大选的时候，美国各大网站在全球发布假新闻，宣布内贾德的对手穆萨维获胜。而随后伊朗官方却发布了内贾德获胜的消息。许多不明真相的伊朗民众(多数是穆萨维的支持者)发动了抗议行动，甚至爆发了强烈的冲突。（新华网）,14,美国很霸道,伊拉克战争期间，在美国政府的授意下，“.iq”(伊拉克顶级域名，相当于中文网址后缀的.cn)的申请和解析工作被终止，所有网址以“.iq”为后缀的网站全部从互联网蒸发，伊拉克这个活生生的国家竟然被美国在虚拟世界里干掉了。 09年5月30日，古巴、伊朗、叙利亚、苏丹和朝鲜5国用户在登陆MSN时出现了这样的提示：“810003c1：我们无法

6、为你提供NETMessenger服务”。是微软遵从美国的意志把这5个国家的聊天软件关闭了。,15,直接影响,商务交易类网络应用使用率水平较低，相对滞后。 网络购物下由7400万扩大到8788万， 旅游预订受经济现状影响，用户规模比08年底略有下降 网上支付半年增加达到2370万人。 84.3%的网民认为互联网是其最重要的信息渠道。 网民对网络交易的信任程度偏低，仅29.2%的网民认可网上交易安全。 对于网银安全性的担忧是受访者拒绝开通网银最重要的原因。在拒绝开通网银的受访者中间，将近70%的受访者都对网银的安全性表示担忧，另有43.2%的网银用户则认为使用网银可能导致个人信息的泄露。,16,第

7、一章 电子商务安全概论,1.1 电子商务与安全 1.2 网络面临的威胁与攻击 1.3 电子商务的安全需求,17,1.2.1 网络系统面临的威胁,非人为威胁 天灾 系统本身的脆弱性 操作系统的脆弱性 网络系统的脆弱性 数据库管理系统的脆弱性 人为威胁 各种攻击,18,为什么这么多的攻击,操作系统的脆弱性 操作系统越来越庞大，由于人的认知和实践能力的局限性，产生的缺陷、错误和漏洞越来越多。见下表 操作系统设计的缺陷，如远程主机可以登陆并拥有超级用户的权限、网络日志记录补完整等。 操作系统可以创建进程，这些进程可在远程节点上创建与激活，被创建的进程可以继续创建进程（蠕虫攻击）,19,微软操作系统的安

8、全性估计,20,网络协议的脆弱性 网络的开放性。由于早期的网络用户以科研人员为主，网络的设计主要以共享和开放为宗旨，对网络协议安全性考虑的较少，其中存在大量的缺陷。 数据处理的可访问性和资源共享的目的性之间是一对矛盾。造成了计算机系统保密性难。 使用TCP/IP协议的网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。,21,程序后门，关机时刻开启后门，造成不可估量的损失，因此我国坚决开发自己的操作系统，(如海湾战争的打印机后门) 操作系统安排的无口令入口或口令过短，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用。 没有对运行的程序进行检查，如程

9、序的拥有者、是否已经被改变，是否含有病毒等？ 尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞就会使系统所有安全控制毫无价值。并可能引发新的安全漏洞,22,常用攻击手段,信息收集 地址扫描、端口扫描、拓扑扫描、操作系统类型、漏洞 利用型攻击 口令猜测、木马、缓冲区溢出 网络欺骗、浏览器劫持、流氓软件 拒绝服务 死亡之ping、泪滴、SYN flooding、UDP flooding 、ICMP flooding、电子邮件炸弹、网络蠕虫,23,第一章 电子商务安全概论,1.1 电子商务与安全 1.2 网络面临的威胁与攻击 1.3 电子商务的安全需求,24,电子商务交易安全的

10、要求,电子商务顺利开展的核心和关键的保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。 保障数据信息的有效性、机密性、完整性、可靠性、不可否认性等。,25,电子商务安全要素-真实性,指网上交易双方身份信息和交易信息真实有效，双方交换通过数字签名、身份认证、数字证书等辨别交易者的身份。,26,电子商务安全要素-有效性,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。,27,电子商务安全要素-机密性,保证个人或专用的高度敏感数据的机密性主要技术，密码学 EC信息直接代表着个人、企

11、业或国家的商业机密。要预防非法的信息存取和信息在传输过程中被非法窃取。,28,电子商务安全要素-完整性,保证所存储、传输等管理的信息不被篡改。 由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。 贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。,29,电子商务安全要素-可靠性,可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。,30,电子商务安全要素-不可否认性,防止通信的双方对已进行业务的否认 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手

12、写签名或印章来鉴别贸易伙伴。 保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。,31,电子商务安全技术,常用的网络安全技术 密码学、安全协议、 防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。,32,电子商务安全技术,密码技术： 对称密码体制，非对称密码体制。（AES加密标准、RSA公钥密码体制和椭圆曲线密码系统），报文摘要技术(散列函数)。 公钥基础设施（PKI） 利用公钥理论和技术建立的提供信息安全服务的基础设施。,33,电子商务安全技术,电子安全交易协议(网络安全协议) 两个主要的交易协议： SSL（安全套接层协议）保证每次会话是加密安全的 SET（安全电子交易协议） 保证支付安全 虚拟专用网 虚拟专用网VPN(Virtual Private Networks) 通过在Internet上创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内