电子商务安全第1章电子商务安全概述

,Bussiness College of Shanxi,University,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,?电子商务平安?,1,第1章 电子商务平安概述,本章教学目标,1.电子商务存在的一些平安威胁，及其可能遭受的攻击。,2.掌握对电子商务平安的目标。,3.了解实现电子商务平安手段、技术、方法,4.了解电子商务平安方面的动态、开展。,2,2,案例1：黄群威编造、成心传播虚假恐怖信息案,2003年4月，注册名为“zzzzxxxxzz的用户，在“西路网论坛海阔天空发表标题为“绝对可靠内部消息，上海隐瞒了大量非典病例一文，IP地址为，西路平安监控员删除该文章时，点击率为945次；,注册名为hushuoya的用户，在“西路网论坛海阔天空发表标题为“中国已因非典而真正进入了经济危机一文，IP地址为，西路平安监控员删除该文章时，点击率为386次。,3,案例,2,：利用漏洞两人一个月骗游戏点卡获利,36,万 获刑十三年,网易一卡通点卡是为预付费卡。曾经网易与网通公司推出赠送点卡活动，但未对ADSL用户是否申领过点卡进行核实。一天，丁某在申请时输入账号和密码并提交后，网页无法显示，就点击后退，再提交。发现已获得了两张卡。由此可知，发现无论账号信息是否提交成功，只要在10分钟之内，反复点提交、后退，就能得到多张点卡，没有次数限制。于是，丁某伙同他人一起大肆骗卡。,两名被揭发现程序漏洞后，在2005年9月至10月间，反复申领，骗取100点一卡通点卡57331张，并通过网络将点卡卖出，共获利36.7939万元。,4,25.7%的用户认为对互联网的平安问题不太满意；,61.5%的网民是因为担忧交易平安性不进行网上交易。,上海是网络购物使用率到达45.2%；其次是北京，为38.9%。,美国网民的66%，韩国网民的57.3%，中国25%的网络购物使用率,以上数据源自：?中国互联网络开展状况统计报告?,5,1.1 电子商务面临的平安威胁,Internet,的四个特点：国际化、社会化、开放化、个人化。,电子商务、电子政务、电子税务、电子海关、网上银行、电子证券、网络书店、网上拍卖、网络防伪、网上选举等等，,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。,6,6,平安隐患(一,a)硬件的平安隐患；,CPU、一些交换机和路由器具有远程诊断和效劳功能，既远程进入系统效劳、维修故障，也可远程进入系统了解情报、越权控制。例国外一著名网络公司以“跟踪效劳为由，在路由器中设下“机关、可以将网络中用户的包信息同时送一份到其公司总部。,b)操作系统平安隐患；“后门,c)网络协议的平安隐患；,d)数据库系统平安隐患；,e)计算机病毒；,f)管理疏漏，内部作案；,g)重应用，轻平安。,7,7,平安隐患(二,由于非法用户可以伪造、假冒电子商务网站和用户的身份。,敏感信息和交易数据在传输过程中有可能被恶意篡改。,网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。,8,“网络钓鱼式攻击,目前威胁最大的三种网络钓鱼攻击方式为：,假冒网站,邮件欺骗,木马病毒,9,中国银行网站,中国银行的假冒域名是，多一个英文字母f；,中国工商银行网站,中国工商银行域名是，与，也只是“1和“i一字之差；,中国农业银行网站,中国农业银行域名是,10,以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、参谋、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。,国内第一例中文混合型病毒“重要文件冒充一家购物网站邮件迷惑用户，危害仅是可能将盗取个别用户网络银行账号和网络游戏密码等敏感信息。,11,黑客攻击的分类,被动攻击,主动攻击,12,源点,终点,攻击者,伪造,篡改,中断,截获,被动攻击,主动攻击,主动攻击,主动攻击,13,13,1.2 平安的一些概念,物理平安通信平安辐射平安电传打印机,计算机平安,网络平安,信息平安,电子商务平安加密技术、认证技术、平安认证技术,它们之间的关系如何？,综合、交叉的学科：密码学理论、计算机网络、操作系统、数据库技术、平安协议、通信技术、电子技术。在众多的应用中准确把握分析问题、解决问题的思路。,14,14,信息平安的含义,通信保密COMSEC：60-70年代,信息保密,信息平安INFOSEC：80-90年代,机密性、完整性、可用性、不可否认性 等,信息保障IA：90年代-,15,15,电子商务平安,计算机网络平安,计算机网络设备平安,计算机网络系统平安,数据库平安,商务交易平安,在计算机网络平安的根底上，保障电子商务过程的顺利进行。,16,橙皮书；CC通用准那么，80年代初期，TCSEC可信计算机系统评估准那么。,白皮书：是由官方制定发布的说明及执行的标准报告。,蓝皮书：是由第三方完成的综合研究报告。,绿皮书：是关于乐观前景的研究报告。,红皮书：是关于危机敏示的研究报告 80年代后期，TNI可信网络说明，红皮书,17,PDRR网络平安模型,一个中心，四个根本点,18,1.3 信息平安的目标,实例：,A向B传送支付工资的记录，这些数据必须加以保护以防泄密。C是没有被授权却想读取文件的用户，可能监视该传送过程，并在传送过程中截获了该文件的副本。(截获机密性,某网络管理员D向用户E传送消息，用户F中途截取，并且改变消息的内容，然后发送E，E以为该信息是由D发送的。篡改完整性,用户F构造了自己希望的内容，然后发送E，E以为该信息是由D发送的。伪造鉴别性,一个客户向一个股票代理商发出交易指示信息。随后，股票跌值，该客户不成认发出交易信息。否认抗否认性,19,19,信息平安的目标,1 保护信息的机密性Confidentiality),即保证信息为授权者享用而不泄漏给未经授权者。,2 保护信息的完整性(Integrity),数据完整性：未被未授权篡改或者损坏,系统完整性：系统未被非授权操纵，按既定的功能运行,3 保护信息的可用性(Availability),即保证信息和信息系统随时为授权者提供效劳，而不要出现非授权者滥用却对授权者拒绝效劳的情况。,4 保护信息的抗否认性(Non-repudiation),要求无论发送方还是接收方都不能抵赖所进行的传输,5 保护信息的可控性(Controllability),指对信息传播及内容具有控制能力的特性。,20,20,信息平安的五种效劳,认证Authentication,保密 Encryption,数据完整Integrity,不可否认Non-repudiation,访问控制Access Control,信息平安的目标的另一表述是CIA,21,1.4 信息平安的研究内容,信息平安三分靠技术，七分靠管理。,信息平安的实现依靠：,根底理论知识,应用技术手段,平安管理方法：,政府策略、法律法规、平安核心问题、产品技术与企业需求、电子商务平安措施及技术开展现状、产品市场策略等。,22,22,主要研究内容,加密技术,防火墙技术,虚拟专用网技术,VPN,入侵检测技术,IDS,访问控制技术,.,23,23,开展热点,无线加密与电子商务,认证中心,平安系统根底设施,平安风险评估与分析,版权信息控制,24,24,我国信息平安现状,用户认为目前网上交易存在的最大问题是：,平安性得不到保障：33.4%,付款不方便：11.5%,产品质量、售后效劳及厂商信用得不到保障：33.0%,送货耗时、渠道不畅：8.7%,价格不够诱人：6.6%,网上提供的信息不可靠：6.0%,其它：0.8%,25,25,在一年内用户计算机被入侵的情况：,被入侵过：,47.1%,没有被入侵过：,43.0%,不知道：,9.9%,对于电子邮件帐号，用户多久换一次密码：,1,个月：,8.8%,3,个月,-,半年：,21.4%,半年,-1,年：,19.7%,一直不换：,50.1%,26,26,在网上用户主要采取什么平安措施：,密码加密：36.9%,防病毒软件：74.5%,防火墙：67.6%,电子签名：7.3%,不清楚，由系统管理员负责：7.4%,什么措施都不采用：3.6%,27,27,开展为“攻攻击、防防范、测检测、控控制、管管理、评评估等多方面的根底理论和实施技术,关注的焦点主要有：1 密码理论与技术；2 平安协议理论与技术；3 平安体系结构理论与技术；4 信息对抗理论与技术；5 网络平安与平安产品。,国外信息平安开展趋势,28,国家信息平安技术开展战略,政府不应什么都管，也不应管得太死，应通过制定符合实际情况的法律法规，制定技术标准来引导产业开展。,信息平安政策必须在公民隐私权和政府平安需求方面找到平衡点。,产品开发应该遵循现行平安法规和平安标准。,在制订平安政策时，从一开始就应吸收技术人员参与高层工作，更好地兼顾产业需求和政府需求。,29,29,国家信息平安技术开展战略,没有100的信息平安，要作好风险评估以得到最好的选择。,平安要和应用紧密结合，不能让用户感到增加平安功能是大的负担，才能获得成功。,在进入WTO后，交易平安方面重点是B to B的平安。,大国应有自己的平安产业，同时要充分考虑国际兼容问题。,30,30,全方位的平安体系,平安管理原那么 防范内部作案,多人负责原那么 相互制约,任期有限原那么 防作弊，不定期轮换,职责别离原那么 防止利用职务之便,31,31,小结,网络系统面临的威胁和分类,电子商务平安的目标,TCSEC对OS的平安级别分类,一种常见的网络平安模型,32,地址：北京市朝阳区惠新东街10号,：100029,：,谢谢！,33,