《電子商務(wù)安全第1章電子商務(wù)安全概述》由會(huì)員分享,可在線閱讀,更多相關(guān)《電子商務(wù)安全第1章電子商務(wù)安全概述(33頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、 ,Bussiness College of Shanxi,University,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,?電子商務(wù)平安?,1,第1章 電子商務(wù)平安概述,本章教學(xué)目標(biāo),1.電子商務(wù)存在的一些平安威脅,及其可能遭受的攻擊。,2.掌握對(duì)電子商務(wù)平安的目標(biāo)。,3.了解實(shí)現(xiàn)電子商務(wù)平安手段、技術(shù)、方法,4.了解電子商務(wù)平安方面的動(dòng)態(tài)、開展。,2,2,案例1:黃群威編造、成心傳播虛假恐怖信息案,2003年4月,注冊(cè)名為“zzzzxxxxzz的用戶,在“西
2、路網(wǎng)論壇海闊天空發(fā)表標(biāo)題為“絕對(duì)可靠?jī)?nèi)部消息,上海隱瞞了大量非典病例一文,IP地址為,西路平安監(jiān)控員刪除該文章時(shí),點(diǎn)擊率為945次;,注冊(cè)名為hushuoya的用戶,在“西路網(wǎng)論壇海闊天空發(fā)表標(biāo)題為“中國(guó)已因非典而真正進(jìn)入了經(jīng)濟(jì)危機(jī)一文,IP地址為,西路平安監(jiān)控員刪除該文章時(shí),點(diǎn)擊率為386次。,3,案例,2,:利用漏洞兩人一個(gè)月騙游戲點(diǎn)卡獲利,36,萬 獲刑十三年,網(wǎng)易一卡通點(diǎn)卡是為預(yù)付費(fèi)卡。曾經(jīng)網(wǎng)易與網(wǎng)通公司推出贈(zèng)送點(diǎn)卡活動(dòng),但未對(duì)ADSL用戶是否申領(lǐng)過點(diǎn)卡進(jìn)行核實(shí)。一天,丁某在申請(qǐng)時(shí)輸入賬號(hào)和密碼并提交后,網(wǎng)頁無法顯示,就點(diǎn)擊后退,再提交。發(fā)現(xiàn)已獲得了兩張卡。由此可知,發(fā)現(xiàn)無論賬號(hào)信息是
3、否提交成功,只要在10分鐘之內(nèi),反復(fù)點(diǎn)提交、后退,就能得到多張點(diǎn)卡,沒有次數(shù)限制。于是,丁某伙同他人一起大肆騙卡。,兩名被揭發(fā)現(xiàn)程序漏洞后,在2005年9月至10月間,反復(fù)申領(lǐng),騙取100點(diǎn)一卡通點(diǎn)卡57331張,并通過網(wǎng)絡(luò)將點(diǎn)卡賣出,共獲利36.7939萬元。,4,25.7%的用戶認(rèn)為對(duì)互聯(lián)網(wǎng)的平安問題不太滿意;,61.5%的網(wǎng)民是因?yàn)閾?dān)憂交易平安性不進(jìn)行網(wǎng)上交易。,上海是網(wǎng)絡(luò)購(gòu)物使用率到達(dá)45.2%;其次是北京,為38.9%。,美國(guó)網(wǎng)民的66%,韓國(guó)網(wǎng)民的57.3%,中國(guó)25%的網(wǎng)絡(luò)購(gòu)物使用率,以上數(shù)據(jù)源自:?中國(guó)互聯(lián)網(wǎng)絡(luò)開展?fàn)顩r統(tǒng)計(jì)報(bào)告?,5,1.1 電子商務(wù)面臨的平安威脅,Intern
4、et,的四個(gè)特點(diǎn):國(guó)際化、社會(huì)化、開放化、個(gè)人化。,電子商務(wù)、電子政務(wù)、電子稅務(wù)、電子海關(guān)、網(wǎng)上銀行、電子證券、網(wǎng)絡(luò)書店、網(wǎng)上拍賣、網(wǎng)絡(luò)防偽、網(wǎng)上選舉等等,,網(wǎng)絡(luò)信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。,6,6,平安隱患(一,a)硬件的平安隱患;,CPU、一些交換機(jī)和路由器具有遠(yuǎn)程診斷和效勞功能,既遠(yuǎn)程進(jìn)入系統(tǒng)效勞、維修故障,也可遠(yuǎn)程進(jìn)入系統(tǒng)了解情報(bào)、越權(quán)控制。例國(guó)外一著名網(wǎng)絡(luò)公司以“跟蹤效勞為由,在路由器中設(shè)下“機(jī)關(guān)、可以將網(wǎng)絡(luò)中用戶的包信息同時(shí)送一份到其公司總部。,b)操作系統(tǒng)平安隱患;“后門,c)網(wǎng)絡(luò)協(xié)議的平安隱患;,d)數(shù)據(jù)庫系統(tǒng)平安隱患;,e)計(jì)
5、算機(jī)病毒;,f)管理疏漏,內(nèi)部作案;,g)重應(yīng)用,輕平安。,7,7,平安隱患(二,由于非法用戶可以偽造、假冒電子商務(wù)網(wǎng)站和用戶的身份。,敏感信息和交易數(shù)據(jù)在傳輸過程中有可能被惡意篡改。,網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否認(rèn),另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。,8,“網(wǎng)絡(luò)釣魚式攻擊,目前威脅最大的三種網(wǎng)絡(luò)釣魚攻擊方式為:,假冒網(wǎng)站,郵件欺騙,木馬病毒,9,中國(guó)銀行網(wǎng)站,中國(guó)銀行的假冒域名是,多一個(gè)英文字母f;,中國(guó)工商銀行網(wǎng)站,中國(guó)工商銀行域名是,與,也只是“1和“i一字之差;,中國(guó)農(nóng)業(yè)銀行網(wǎng)站,中國(guó)農(nóng)業(yè)銀行域名是,10,以垃圾郵件的形式大量發(fā)送欺詐性郵件,這些郵件多以中獎(jiǎng)、參謀、對(duì)賬等
6、內(nèi)容引誘用戶在郵件中填入金融賬號(hào)和密碼,或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息,繼而盜竊用戶資金。,國(guó)內(nèi)第一例中文混合型病毒“重要文件冒充一家購(gòu)物網(wǎng)站郵件迷惑用戶,危害僅是可能將盜取個(gè)別用戶網(wǎng)絡(luò)銀行賬號(hào)和網(wǎng)絡(luò)游戲密碼等敏感信息。,11,黑客攻擊的分類,被動(dòng)攻擊,主動(dòng)攻擊,12,源點(diǎn),終點(diǎn),攻擊者,偽造,篡改,中斷,截獲,被動(dòng)攻擊,主動(dòng)攻擊,主動(dòng)攻擊,主動(dòng)攻擊,13,13,1.2 平安的一些概念,物理平安通信平安輻射平安電傳打印機(jī),計(jì)算機(jī)平安,網(wǎng)絡(luò)平安,信息平安,電子商務(wù)平安加密技術(shù)、認(rèn)證技術(shù)、平安認(rèn)證技術(shù),它們之間的關(guān)系如何?,綜合、交叉的學(xué)科:密碼
7、學(xué)理論、計(jì)算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫技術(shù)、平安協(xié)議、通信技術(shù)、電子技術(shù)。在眾多的應(yīng)用中準(zhǔn)確把握分析問題、解決問題的思路。,14,14,信息平安的含義,通信保密COMSEC:60-70年代,信息保密,信息平安INFOSEC:80-90年代,機(jī)密性、完整性、可用性、不可否認(rèn)性 等,信息保障IA:90年代-,15,15,電子商務(wù)平安,計(jì)算機(jī)網(wǎng)絡(luò)平安,計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備平安,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安,數(shù)據(jù)庫平安,商務(wù)交易平安,在計(jì)算機(jī)網(wǎng)絡(luò)平安的根底上,保障電子商務(wù)過程的順利進(jìn)行。,16,橙皮書;CC通用準(zhǔn)那么,80年代初期,TCSEC可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么。,白皮書:是由官方制定發(fā)布的說明及執(zhí)行的標(biāo)準(zhǔn)報(bào)告。,
8、藍(lán)皮書:是由第三方完成的綜合研究報(bào)告。,綠皮書:是關(guān)于樂觀前景的研究報(bào)告。,紅皮書:是關(guān)于危機(jī)敏示的研究報(bào)告 80年代后期,TNI可信網(wǎng)絡(luò)說明,紅皮書,17,PDRR網(wǎng)絡(luò)平安模型,一個(gè)中心,四個(gè)根本點(diǎn),18,1.3 信息平安的目標(biāo),實(shí)例:,A向B傳送支付工資的記錄,這些數(shù)據(jù)必須加以保護(hù)以防泄密。C是沒有被授權(quán)卻想讀取文件的用戶,可能監(jiān)視該傳送過程,并在傳送過程中截獲了該文件的副本。(截獲機(jī)密性,某網(wǎng)絡(luò)管理員D向用戶E傳送消息,用戶F中途截取,并且改變消息的內(nèi)容,然后發(fā)送E,E以為該信息是由D發(fā)送的。篡改完整性,用戶F構(gòu)造了自己希望的內(nèi)容,然后發(fā)送E,E以為該信息是由D發(fā)送的。偽造鑒別性,一個(gè)客
9、戶向一個(gè)股票代理商發(fā)出交易指示信息。隨后,股票跌值,該客戶不成認(rèn)發(fā)出交易信息。否認(rèn)抗否認(rèn)性,19,19,信息平安的目標(biāo),1 保護(hù)信息的機(jī)密性Confidentiality),即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。,2 保護(hù)信息的完整性(Integrity),數(shù)據(jù)完整性:未被未授權(quán)篡改或者損壞,系統(tǒng)完整性:系統(tǒng)未被非授權(quán)操縱,按既定的功能運(yùn)行,3 保護(hù)信息的可用性(Availability),即保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供效勞,而不要出現(xiàn)非授權(quán)者濫用卻對(duì)授權(quán)者拒絕效勞的情況。,4 保護(hù)信息的抗否認(rèn)性(Non-repudiation),要求無論發(fā)送方還是接收方都不能抵賴所進(jìn)行的傳輸,5
10、 保護(hù)信息的可控性(Controllability),指對(duì)信息傳播及內(nèi)容具有控制能力的特性。,20,20,信息平安的五種效勞,認(rèn)證Authentication,保密 Encryption,數(shù)據(jù)完整Integrity,不可否認(rèn)Non-repudiation,訪問控制Access Control,信息平安的目標(biāo)的另一表述是CIA,21,1.4 信息平安的研究?jī)?nèi)容,信息平安三分靠技術(shù),七分靠管理。,信息平安的實(shí)現(xiàn)依靠:,根底理論知識(shí),應(yīng)用技術(shù)手段,平安管理方法:,政府策略、法律法規(guī)、平安核心問題、產(chǎn)品技術(shù)與企業(yè)需求、電子商務(wù)平安措施及技術(shù)開展現(xiàn)狀、產(chǎn)品市場(chǎng)策略等。,22,22,主要研究?jī)?nèi)容,加密技術(shù)
11、,防火墻技術(shù),虛擬專用網(wǎng)技術(shù),VPN,入侵檢測(cè)技術(shù),IDS,訪問控制技術(shù),.,23,23,開展熱點(diǎn),無線加密與電子商務(wù),認(rèn)證中心,平安系統(tǒng)根底設(shè)施,平安風(fēng)險(xiǎn)評(píng)估與分析,版權(quán)信息控制,24,24,我國(guó)信息平安現(xiàn)狀,用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是:,平安性得不到保障:33.4%,付款不方便:11.5%,產(chǎn)品質(zhì)量、售后效勞及廠商信用得不到保障:33.0%,送貨耗時(shí)、渠道不暢:8.7%,價(jià)格不夠誘人:6.6%,網(wǎng)上提供的信息不可靠:6.0%,其它:0.8%,25,25,在一年內(nèi)用戶計(jì)算機(jī)被入侵的情況:,被入侵過:,47.1%,沒有被入侵過:,43.0%,不知道:,9.9%,對(duì)于電子郵件帳號(hào),用戶
12、多久換一次密碼:,1,個(gè)月:,8.8%,3,個(gè)月,-,半年:,21.4%,半年,-1,年:,19.7%,一直不換:,50.1%,26,26,在網(wǎng)上用戶主要采取什么平安措施:,密碼加密:36.9%,防病毒軟件:74.5%,防火墻:67.6%,電子簽名:7.3%,不清楚,由系統(tǒng)管理員負(fù)責(zé):7.4%,什么措施都不采用:3.6%,27,27,開展為“攻攻擊、防防范、測(cè)檢測(cè)、控控制、管管理、評(píng)評(píng)估等多方面的根底理論和實(shí)施技術(shù),關(guān)注的焦點(diǎn)主要有:1 密碼理論與技術(shù);2 平安協(xié)議理論與技術(shù);3 平安體系結(jié)構(gòu)理論與技術(shù);4 信息對(duì)抗理論與技術(shù);5 網(wǎng)絡(luò)平安與平安產(chǎn)品。,國(guó)外信息平安開展趨勢(shì),28,國(guó)家信息平安
13、技術(shù)開展戰(zhàn)略,政府不應(yīng)什么都管,也不應(yīng)管得太死,應(yīng)通過制定符合實(shí)際情況的法律法規(guī),制定技術(shù)標(biāo)準(zhǔn)來引導(dǎo)產(chǎn)業(yè)開展。,信息平安政策必須在公民隱私權(quán)和政府平安需求方面找到平衡點(diǎn)。,產(chǎn)品開發(fā)應(yīng)該遵循現(xiàn)行平安法規(guī)和平安標(biāo)準(zhǔn)。,在制訂平安政策時(shí),從一開始就應(yīng)吸收技術(shù)人員參與高層工作,更好地兼顧產(chǎn)業(yè)需求和政府需求。,29,29,國(guó)家信息平安技術(shù)開展戰(zhàn)略,沒有100的信息平安,要作好風(fēng)險(xiǎn)評(píng)估以得到最好的選擇。,平安要和應(yīng)用緊密結(jié)合,不能讓用戶感到增加平安功能是大的負(fù)擔(dān),才能獲得成功。,在進(jìn)入WTO后,交易平安方面重點(diǎn)是B to B的平安。,大國(guó)應(yīng)有自己的平安產(chǎn)業(yè),同時(shí)要充分考慮國(guó)際兼容問題。,30,30,全方位的平安體系,平安管理原那么 防范內(nèi)部作案,多人負(fù)責(zé)原那么 相互制約,任期有限原那么 防作弊,不定期輪換,職責(zé)別離原那么 防止利用職務(wù)之便,31,31,小結(jié),網(wǎng)絡(luò)系統(tǒng)面臨的威脅和分類,電子商務(wù)平安的目標(biāo),TCSEC對(duì)OS的平安級(jí)別分類,一種常見的網(wǎng)絡(luò)平安模型,32,地址:北京市朝陽區(qū)惠新東街10號(hào),:100029,:,謝謝!,33,