电子商务安全和电子支付培训讲义课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电子商务安全和电子支付培训讲义,电子商务系统遭攻击实例,据统计，目前全球平均每,20,秒就会发生一起,Internet,主机被,入侵,的事件，美国,75%85%,的网站抵挡不住黑客攻击，约有,75%,的企业网上,信息失窃,，其中,25%,的企业损失在,25,万美元以上。而通过网络传播的,病毒,无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。,2005,年，美国超过,300,万的信用卡用户资料外泄，导致用户财产损失严重。,网络安全现状,2006,年,9,月,12,日,17,：,30,，百度遭受有史以来最大规模的不明身份黑客攻击；导致百度搜索服务在全国各地出现了近,30,分钟的故障。,2007,年,8,月,12,日，联合国官方网站被入侵，联合国秘书长潘基文的讲话和声明被换成了黑客的声明,在声明中他们对美国和以色列的中东政策进行了抨击。,土耳其的几名黑客声称对这些攻击行动负责，他们的网名是,m0sted,，,Kerem125,和,GsY,安全公司,iDefense,出资,10000,美元向黑客征集微软软件漏洞的行为，微软感到很愤怒。,2006,年,5,月,24,日，,ValenceMedia,公司却起诉美国电影协会，指出这一组织以,15000,美元雇佣了一名黑客入侵了公司的电脑系统，窃取了大量的私人信息，包括电子邮件、财政记录和商业机密等，收集,ValenceMedia,公司和公司的三位主管的信息。,2006,年,12,月,15,日,深圳晶报报道：,一伙平均年龄仅,21,岁的,“,网络大盗,”,一年内盗取,QQ,号、,Q,币数百万个,通过网络交易平台售卖,非法牟利,70,余万元,涉案人员有,44,名,盗窃肉鸡的商业价值,1.,盗窃,“,肉鸡,”,电脑的虚拟财产,网络游戏,ID,帐号装备、,QQ,号里的,Q,币、联众的虚拟荣誉值等等,2.,盗窃,“,肉鸡,”,电脑里的真实财产,网上银行的网银帐号,3.,盗窃他人的隐私数据,利用偷来的受害人隐私信息进行诈骗、勒索的案例不少。如果偷到受害人电脑上的商业信息，比如财务报表、人事档案，攻击者都可以谋取非法利益。,4.,可利用受害人的人脉关系获取非法利益,攻击者可以伪装成你的身份进行各种不法活动，每个人的人脉关系都是有商业价值的。,5.,在肉鸡电脑上种植流氓软件，自动点击广告获利,攻击者在控制大量肉鸡之后，可以通过强行弹出广告，从广告主那里收获广告费,6.,以肉鸡电脑为跳板（代理服务器）对其它电脑发起攻击,黑客的任何攻击行为要经过多次代理的跳转，肉鸡电脑充当了中介和替罪羊。,7.,“,肉鸡,”,电脑是发起,DDoS,攻击的马前卒,DDoS,攻击行为已经是网络毒瘤，,“,肉鸡,”,电脑，就是这些网络黑手里的棋子。,本章要点,电子商务面临的四大安全威胁：信息的截获和窃取、篡改交易信息、假冒商家或客户和商家抵赖交易。,电子商务的六大安全需求：机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性。,电子商务安全系统的结构体系,第一章 电子商务安全与电子支付概论,电子商务安全需求,资源共享、快速、便捷是电子商务迅速发展的原因，而这种开放性使电子商务在安全方面先天不足。,基于,Internet,技术的电子商务安全，很大程度上依赖于网络的安全性，然而，网络安全事故总是经常发生。,电子商务的重要性,目前,电子商务已经成为国家党政机关、企事业单位的基础设施之一,对发展社会经济、文化等方面具有很大的促进作用。但是,电子商务在发展的过程中还存在不少问题,其中安全问题就是影响电子商务健康发展的重要因素之一。基于网络环境的电子商务安全问题研究,显得非常迫切而意义重大。,什么是电子商务？,电子商务源于英文,ELECTRONIC COMMERCE,，简写为,EC,。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。,电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。,我们所探讨的电子商务主要是以,EDI,（电子数据交换）和,INTERNET,来完成的。所以也有人把电子商务简称为,IC,（,INTERNET COMMERCE,）。,较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用,INTENET,网络能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现。,电子商务涉及多个方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。,由于参与电子商务中的各方在物理上是互不谋面的，因此整个电子商务过程并不是物理世界商务活动的翻版，网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用，交易活动存在很大的风险。,安全概念基本关系,信息安全,（电子商务安全）,互联网安全,局域网安全,密码安全,电子商务安全包括：,计算机网络安全,的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是以保证计算机网络自身的安全性为目标。,商务交易安全,则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的,保密性,、,完整性、可鉴别性、不可伪造性和不可抵赖性。,电子商务安全要素,电子商务安全要素,认证性,（,Authentication,）是指网络两端的使用者在沟通之前相互确认对方的身份。,在电子商务中，认证性一般都通过证书机构,CA,和证书来实现。,访问控制性（,Access control,）是指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或值入程序等。,机密性,EC,作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。,EC,建立在开放的网络环境（如,Internet,）上，维护商业机密是,EC,全面推广应用的重要保障。因此，,要预防非法的信息存取和信息在传输过程中被非法窃取。,完整性,完整性（,Integrity,）又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。,完整性一般可通过提取信息消息摘要的方式来获得。,。,可靠性,可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。,不可否认性,在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据等的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的,E,电子商务模式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，这种标志信息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。,电子商务安全保障,电子商务安全从整体上可分为两大部分,一是计算机网络安全,二是电子商务交易安全。,计算机网络安全,计算机网络安全,其内容包括,:,计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施强大的网络安全监控方案,以保证计算机网络自身的安全性。,常用的网络安全技术,防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。,防火墙,防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于,防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。,即使企业内部网络与因特网相连，也可用防火墙管理用户对内部网中某些部分的访问，保护敏感信息或保密信息。,虚拟专用网,虚拟专用网,VPN(Virtual Private Networks),是企业内部网在,Internet,上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。,虚拟专用网是企业常用的一种安全解决方案，它利用不可靠的公用互联网作为信息传输媒介，通过附加的安全隧道，用户认证和访问控制等技术，实现与专用网相类似的安全性能。,对于商务网站来说，它是一种理想的性价比较高的安全防护手段，既可以为企业提供类似专用网的安全性，同时又可以为企业节约成本。,入侵检测技术,入侵检测是继防火墙之后的又一道防线。防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，而入侵检测系统则是针对这种情况而提出的又一道防线。,单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止网络内部攻击，而调查发现，,50,以上的攻击都来自内部；,不能提供实时入侵检测能力；,对于病毒等束手无策等。,电子商务交易安全的要求,概括起来说,主要是指保障数据信息的认证性、机密性、完整性、可靠性等。具体包括,:,如何确定通信中贸易伙伴的真实性,保证身份的可认证性,;,如何保证电子单证的机密性,防范电子单证的内容被第三方读取,;,如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失,;,如何保证电子单证内容的真实性、准确性和完整性,;,如何保证存储信息的安全性,;,如何对数据信息进行审查并将审查的结果进行记录。,信息加密技术,密码技术，对称密码体制，非对称密码体制。（,AES,加密标准、,RSA,公钥密码体制和椭圆曲线密码系统）,公钥基础设施（,PKI,）,技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。,电子安全交易协议,两个主要的交易协议：,SSL,（安全套接层协议）和,SET,（安全电子交易协议）,SSL,：安全套接层协议是美国网景公司（,Netscape,）在,1994,年提出的基于,WEB,应用的安全协议，它包括服务器认证、客户认证（可选）、,S S L,链路上的数据完整性和,SSL,链路上的数据保密性。,SSL,主要使用公开密钥体制和,X.509,数字证书技术保护信息传输的机密性和完整性，它不可保证信息的不可抵赖性，主要适用于点对点之间的信息传输。,SET,：,1996 年6 月，由IBM、MasterCard,International、Visa,International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET 发布公告，并于1997 年5 月底发布了SET,SpecificationVersion1.0，它涵盖了信用卡在电子交易中的交易协定、信息保密、资料完整及数据认证、,数据签名方面的描述等,。,对电子商务交易系统常用的攻击手段,第一类,是信息收集型攻击，主要采用刺探、扫描和监听技术。,第二类,是利用型攻击，利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。包括口令猜测、特洛伊木马、缓冲区溢出。,第三类,是拒绝服务攻击，拒绝服务目的在于使系统瘫痪，最基本的,DoS,攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。,电子商务面临的四大安全威胁,信息的截获和窃取,信息的篡改,信息假冒,交易抵赖,1.1.2,电子商务面临的安全威胁,信息的截获和窃取,如果没有采用加密措施或