电子商务安全知识李文媛课件

1、电子商务安全技术,主讲教师：李文媛,电子商务安全与其他计算机应用系统的安全性一样，是一个完整的安全体系结构。它包含了从物理硬件到人员管理的各个方面，任何一个方面的缺陷都将在一定程度上影响整个电子商务系统的安全性。 电子商务的安全性体现在网络安全、信息加密技术以及交易安全上，其就是在计算机网络安全的基础上，保障电子商务交易过程顺利进行。,第2章 电子商务安全知识,3,电子商务安全存在的问题与威胁 电子商务安全体系结构 电子商务安全技术,主要知识点,2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施

2、 2.6 电子商务安全体系与安全技术 2.7 案例分析,本章目录,5,2.1.1 漏洞 1. 软件漏洞 Word =rand(100,2) Ctrl、Shift、Alt+? WinRAR Help-About WinRAR TXT 联通 Winmine.exe XYZZY-Shift,2.1 电子商务安全问题,6,2.1.1 漏洞 2001年初-2008年初软件漏洞的数量（单位：个）,2.1 电子商务安全问题,7,2.1.1 漏洞 2. 网络协议的安全漏洞 网络服务一般都是通过各种各样的协议完成的，如果网络通信协议存在安全上的缺陷，那么攻击者就有可能不必攻破密码体制即可获得所需要的信息或服务。

3、 保证协议安全性通常有两种方法： 用形式化方法来证明一个协议是安全的； 设计者用经验来分析协议的安全性。,2.1 电子商务安全问题,8,2.1.2 病毒,2.1 电子商务安全问题,“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。”,9,2.1.3 黑客攻击 黑客攻击是计算机面临的最大的威胁 ，2008年中国大陆网站篡改情况（单位：件）,2.1 电子商务安全问题,10,2.1.3 黑客攻击 黑客攻击分为： 网络攻击：破坏-主动攻击 网络侦探：截获、破译、窃取-被动攻击,2.1 电子商务安全问题,11,2.1.

4、4 网络仿冒 网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等，随后利用骗得的账号和密码窃取受骗者金钱。 ,2.1 电子商务安全问题,12,2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析,本章目录,13,1. 先天原因 电子商务是以具有全球性、开放性、无缝连通性、动态性和共享性并且任何人都可以自由接入的Internet网络环境为基础。 2. 后天原因 后

5、天的原因又可分为管理、人员和技术三类。 三分技术七分管理 缺乏对网络犯罪有效地反击和跟踪手段。 软件存在的安全漏洞 软件的“后门”,2.2 触发电子商务安全问题的原因,14,2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析,本章目录,15,2.3.1 电子商务系统安全的构成 电子商务系统安全主要包括三部分：系统实体安全、信息安全和运行安全。,2.3 电子商务安全的构成与需求,16,2.3.3 电子商务的安全需求 电子商务的安全需求是电子商务

6、系统的中心内容，所有的安全威胁都是针对“需求”而言的，所有的安全技术也都是为保证“需求”实现的。 “需求”是要保证“信息”的：保密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性（可控性）,2.3 电子商务安全的构成与需求,17,2.3.3 电子商务的安全需求 信息：就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。 包括三个属性：差异、特征、传递 信息自身不能独立存在，必须依附于某种物质载体， 信源、信宿、信道是信息的三大要素。,2.3 电子商务安全的构成与需求,18,2.3.3 电子商务的安全需求 保密性：是指严密控制各个可能泄

7、密的环节，使信息在产生、传输、处理和存储的各个环节不泄漏给非授权的个人和实体或者即使非授权用户得到信息也无法知晓信息的内容。 保密性还要求保护通信流特性，如信源与信宿地址、流量、频率等，以防止被分析，从而泄漏商业情报。 实现技术：加密技术,2.3 电子商务安全的构成与需求,19,2.3.3 电子商务的安全需求 完整性：指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。 保证完整性，必须： 保证信息传输完整传输协议 保证信息存储完整 存储介质 对电子商务报文进行完整性检查 实现技术 ：MAC认证、Hash函数,2.3 电子商务安全的构成与需求,20,2.3.

8、3 电子商务的安全需求 认证性：也称真实性，是指网络两端的使用者在通信之前相互确认对方的身份，保证交易方确实存在并非有人假冒。 传统认证：通过身份证、手写签名或盖章实现。 电子认证：借助可信任的第三方实现。 实现技术：数字签名、数字证书,2.3 电子商务安全的构成与需求,21,2.3.3 电子商务的安全需求 不可否认性：也称不可抵赖性，是指保证信息行为人不能否认自己的行为 。 包含两个方面： 信息的发送方不能否认已发送过消息； 信息的接收方不能否认已收到过消息。 实现技术 ：数字签名、数字时间戳,2.3 电子商务安全的构成与需求,22,2.3.3 电子商务的安全需求 不可拒绝性：是指保证信息确

9、实能为授权使用者所用，即保证合法用户在需要时可以使用所需信息，防止由于主客观因素造成系统拒绝服务。,2.3 电子商务安全的构成与需求,23,2.3.3 电子商务的安全需求 访问控制性：指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下 ，不被未授权的人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。 实现技术 ：防火墙技术,2.3 电子商务安全的构成与需求,24,2.3.2 电子商务安全威胁 电子商务面临着三大类威胁 信息通信过程中的威胁 信息加工处理中的威胁 信息存储过程中的威胁,2.3 电子商务安全的构成与需求,25,2.3.2 电子商务安全威胁, 信息通信过程中的

10、威胁,2.3 电子商务安全的构成与需求,26,2.3.2 电子商务安全威胁 截获(Interception) 中断(Interruption) 篡改(Modification) 伪造(Fabrication) 上述四种威胁可划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。,2.3 电子商务安全的构成与需求, 信息通信过程中的威胁,27,2.3.2 电子商务安全威胁,2.3 电子商务安全的构成与需求,主动攻击,中断,篡改,伪造, 信息通信过程中的威胁,28,数据的性质,截获 - 中断 - 篡改 - 伪造 -,2.3.2

11、 电子商务安全威胁,2.3 电子商务安全的构成与需求, 信息通信过程中的威胁,29,存储于计算机系统中的信息，易于受到与通信线路同样的威胁。非法用户在获取系统访问控制权后，浏览存储介质上的保密数据或专利软件，并且对有价值的信息进行统计分析，推断出所有的数据，这样就使信息的保密性、真实性、完整性遭到破坏。, 信息存储过程中的威胁,2.3.2 电子商务安全威胁,2.3 电子商务安全的构成与需求,30,信息系统对信息进行加工的过程中，通常以源码出现，加密保护对处理中的信息不起作用。因此，在这个期间有意攻击和意外操作都极易使系统遭受破坏，造成损失。除此之外，信息系统还会因为计算机硬件的缺陷、软件的脆弱

12、、电磁辐射和客观环境等原因造成损害，威胁计算机信息系统的安全。, 信息加工处理中的威胁,2.3.2 电子商务安全威胁,2.3 电子商务安全的构成与需求,归结起来，在电子商务发展的过程中，主要有以下几种常见的威胁： 1. 黑客攻击最大的威胁 网络攻击 网络侦探 2. 搭线窃听 将导线搭到无人值守的网络传输线路上进行监听，通过信号的处理和正确的协议分析可以掌握通信的全部内容。,2.3 电子商务安全的构成与需求,2.3.2 电子商务安全威胁,3. 伪装 入侵者通过窃取密码等手段伪装成合法用户。 嗅探： 口令猜测： 从废弃物中寻找： 社交手段：,2.3 电子商务安全的构成与需求,2.3.2 电子商务安

13、全威胁,4. 计算机病毒 第一阶段：捣乱 第二阶段：恶意倾向 第三阶段：以不正当获取利益为目的 5. 信息泄密 6. 信息丢失、篡改、销毁 7. 软件漏洞,2.3 电子商务安全的构成与需求,2.3.2 电子商务安全威胁,34,构成威胁的因素, 环境和灾害因素 (温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等 ),计算机硬件系统的故障 软件组件（漏洞） 网络和通信协议, 人为因素 无意（操作失误） 有意（黑客、犯罪、伪装）,系统自身的脆弱,2.3.2 电子商务安全威胁,2.3 电子商务安全的构成与需求,35,2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因

14、 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析,本章目录,36,几个不稳定因素 JAVA： 电子邮件病毒： 微软 盖茨 自由软件：结果公开、共查漏洞 CGI：公共网关接口，如网页留言。 ICP：网络内容服务器 网管,2.4 电子商务安全现状,37,2.4.1 法律法规建设 1. 计算机犯罪立法 2. 有关计算机安全的法律法规 3. 有关保护个人隐私的法律法规 4. 有关网络知识产权保护的法律法规 5. 有关电子合同的法律法规,2.4 电子商务安全现状,38,2.4.2 理论研究和技术开发 保密性领

15、域DES加密算法、RSA加密算法 完整性、不可否认性RSA算法、盲签名、多重签名 认证性-PKI 还有防火墙和授权服务器等,2.4 电子商务安全现状,39,2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析,本章目录,40,2.5.1 技术措施 电子商务安全防治所用到的技术措施主要包括：,2.5 电子商务安全防治措施,41,2.5.2 管理措施 管理措施主要有： 人员管理制度 保密制度：信息的安全级别-绝密、机密、敏感 跟踪、审计、稽核制度

16、网络系统维护制度 数据备份制度 病毒防范制度 应急措施,2.5 电子商务安全防治措施,42,2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析,本章目录,43,2.6.1 电子商务安全体系结构 1. 电子商务安全 计算机安全：保证处理的信息不被非授权人员、计算机或其他程序所访问、获取或修改。 网络安全：保证网络系统的软硬件及系统中的数据受到保护，系统连续可靠正常地运行，网络服务不中断。 信息安全：保证电子商务信息的有效性、完整性、不可否认性和

17、可用性。,2.6 电子商务安全体系与安全技术,44,2.6.1 电子商务安全体系结构 1. 电子商务安全 电子商务安全：包括信息安全和计算机网络安全。 信息安全是紧紧围绕传统商务在互联网上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行，即实现了电子商务的安全需求。 计算机网络安全与商务信息安全相辅相成，缺一不可。 网络安全是信息安全的基础，没有网络安全，信息安全无从谈起； 没有信息安全，无论计算机网络如何安全，也无法达到电子商务所特有的安全要求。,2.6 电子商务安全体系与安全技术,45,2.6.1 电子商务安全体系结构 1. 电子商务安全 因此，计算机网络安全

18、是实现电子商务安全的基础和保障，信息安全是实现安全技术的目标，而电子商务是这一目标的具体应用和体现。,2.6 电子商务安全体系与安全技术,46,2.6.1 电子商务安全体系结构 2. 电子商务安全体系结构,2.6 电子商务安全体系与安全技术,电子商务的安全体系结构是保证电子商务数据安全的一个完整的逻辑结构，它也为交易过程的安全提供了基本保障。,47,2.6.1 电子商务安全体系结构 2. 电子商务安全体系结构,2.6 电子商务安全体系与安全技术,48,2.6.1 电子商务安全体系结构 2. 电子商务安全体系结构,2.6 电子商务安全体系与安全技术,电子商务安全体系结构中各层通过控制技术的递进，

19、实现电子商务的安全。下层是上层的基础，为上层提供技术支持，上层还有密码技术和PKI技术。 这是一个完善的安全体系，上层是下层的扩展与递进，各层次之间相互信赖、相互关联构成统一整体。,49,2.6.2 电子商务安全技术 1. 网络安全,2.6 电子商务安全体系与安全技术,电子商务系统是通过网络实现的，因此构成电子商务安全体系结构的底层是网络服务层。,网络服务层是各种电子商务应用系统的基础，提供信息传输功能，用户接入方式和安全通信服务，并保证网络运行安全。,计算机网络安全主要包括计算机网络的物理安全、计算机网络的系统安全和数据库安全，采用的安全技术有防火墙技术、加密技术、漏洞扫描技术、入侵行为检测