电子商务安全知识李文媛.ppt

电子商务安全技术 主讲教师 李文媛 电子商务安全与其他计算机应用系统的安全性一样 是一个完整的安全体系结构 它包含了从物理硬件到人员管理的各个方面 任何一个方面的缺陷都将在一定程度上影响整个电子商务系统的安全性 电子商务的安全性体现在网络安全 信息加密技术以及交易安全上 其就是在计算机网络安全的基础上 保障电子商务交易过程顺利进行 第2章电子商务安全知识 电子商务安全存在的问题与威胁电子商务安全体系结构电子商务安全技术 主要知识点 3 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 2 1 1漏洞1 软件漏洞Word rand 100 2 Ctrl Shift Alt WinRARHelp AboutWinRARTXT联通Winmine exeXYZZY Shift 2 1电子商务安全问题 5 2 1 1漏洞2001年初 2008年初软件漏洞的数量 单位 个 2 1电子商务安全问题 6 2 1 1漏洞2 网络协议的安全漏洞网络服务一般都是通过各种各样的协议完成的 如果网络通信协议存在安全上的缺陷 那么攻击者就有可能不必攻破密码体制即可获得所需要的信息或服务 保证协议安全性通常有两种方法 用形式化方法来证明一个协议是安全的 设计者用经验来分析协议的安全性 2 1电子商务安全问题 7 2 1 2病毒 2 1电子商务安全问题 8 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并且能够自我复制的一组计算机指令或者程序代码 2 1 3黑客攻击黑客攻击是计算机面临的最大的威胁 2008年中国大陆网站篡改情况 单位 件 2 1电子商务安全问题 9 2 1 3黑客攻击黑客攻击分为 网络攻击 破坏 主动攻击网络侦探 截获 破译 窃取 被动攻击 2 1电子商务安全问题 10 2 1 4网络仿冒网络仿冒又称网络欺诈 仿冒邮件或者钓鱼攻击等 是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号 用户名 密码 社会福利号码等 随后利用骗得的账号和密码窃取受骗者金钱 2 1电子商务安全问题 11 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 12 1 先天原因电子商务是以具有全球性 开放性 无缝连通性 动态性和共享性并且任何人都可以自由接入的Internet网络环境为基础 2 后天原因后天的原因又可分为管理 人员和技术三类 三分技术七分管理缺乏对网络犯罪有效地反击和跟踪手段 软件存在的安全漏洞软件的 后门 2 2触发电子商务安全问题的原因 13 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 14 2 3 1电子商务系统安全的构成电子商务系统安全主要包括三部分 系统实体安全 信息安全和运行安全 2 3电子商务安全的构成与需求 15 16 2 3 3电子商务的安全需求电子商务的安全需求是电子商务系统的中心内容 所有的安全威胁都是针对 需求 而言的 所有的安全技术也都是为保证 需求 实现的 需求 是要保证 信息 的 保密性 完整性 认证性 不可否认性 不可拒绝性 访问控制性 可控性 2 3电子商务安全的构成与需求 17 2 3 3电子商务的安全需求信息 就是客观世界中各种事物的变化和特征的最新反映 是客观事物之间联系的表征 也是客观事物状态经过传递后的再现 包括三个属性 差异 特征 传递信息自身不能独立存在 必须依附于某种物质载体 信源 信宿 信道是信息的三大要素 2 3电子商务安全的构成与需求 18 2 3 3电子商务的安全需求保密性 是指严密控制各个可能泄密的环节 使信息在产生 传输 处理和存储的各个环节不泄漏给非授权的个人和实体或者即使非授权用户得到信息也无法知晓信息的内容 保密性还要求保护通信流特性 如信源与信宿地址 流量 频率等 以防止被分析 从而泄漏商业情报 实现技术 加密技术 2 3电子商务安全的构成与需求 19 2 3 3电子商务的安全需求完整性 指信息在存储或传输过程中保持不被修改 不被破坏 不被插入 不延迟 不乱序和不丢失的特性 保证完整性 必须 保证信息传输完整 传输协议保证信息存储完整 存储介质对电子商务报文进行完整性检查实现技术 MAC认证 Hash函数 2 3电子商务安全的构成与需求 20 2 3 3电子商务的安全需求认证性 也称真实性 是指网络两端的使用者在通信之前相互确认对方的身份 保证交易方确实存在并非有人假冒 传统认证 通过身份证 手写签名或盖章实现 电子认证 借助可信任的第三方实现 实现技术 数字签名 数字证书 2 3电子商务安全的构成与需求 21 2 3 3电子商务的安全需求不可否认性 也称不可抵赖性 是指保证信息行为人不能否认自己的行为 包含两个方面 信息的发送方不能否认已发送过消息 信息的接收方不能否认已收到过消息 实现技术 数字签名 数字时间戳 2 3电子商务安全的构成与需求 22 2 3 3电子商务的安全需求不可拒绝性 是指保证信息确实能为授权使用者所用 即保证合法用户在需要时可以使用所需信息 防止由于主客观因素造成系统拒绝服务 2 3电子商务安全的构成与需求 23 2 3 3电子商务的安全需求访问控制性 指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下 不被未授权的人或以未授权方式接入 使用 修改 破坏 发出指令或植入程序等 实现技术 防火墙技术 2 3电子商务安全的构成与需求 2 3 2电子商务安全威胁电子商务面临着三大类威胁 信息通信过程中的威胁 信息加工处理中的威胁 信息存储过程中的威胁 2 3电子商务安全的构成与需求 24 2 3 2电子商务安全威胁 信息通信过程中的威胁 2 3电子商务安全的构成与需求 25 2 3 2电子商务安全威胁截获 Interception 中断 Interruption 篡改 Modification 伪造 Fabrication 上述四种威胁可划分为两大类 即被动攻击和主动攻击 在上述情况中 截获信息的攻击称为被动攻击 而更改信息和拒绝用户使用资源的攻击称为主动攻击 2 3电子商务安全的构成与需求 26 信息通信过程中的威胁 2 3 2电子商务安全威胁 2 3电子商务安全的构成与需求 27 主动攻击 中断 篡改 伪造 信息通信过程中的威胁 数据的性质 截获 中断 篡改 伪造 2 3 2电子商务安全威胁 2 3电子商务安全的构成与需求 信息通信过程中的威胁 28 存储于计算机系统中的信息 易于受到与通信线路同样的威胁 非法用户在获取系统访问控制权后 浏览存储介质上的保密数据或专利软件 并且对有价值的信息进行统计分析 推断出所有的数据 这样就使信息的保密性 真实性 完整性遭到破坏 信息存储过程中的威胁 2 3 2电子商务安全威胁 2 3电子商务安全的构成与需求 29 信息系统对信息进行加工的过程中 通常以源码出现 加密保护对处理中的信息不起作用 因此 在这个期间有意攻击和意外操作都极易使系统遭受破坏 造成损失 除此之外 信息系统还会因为计算机硬件的缺陷 软件的脆弱 电磁辐射和客观环境等原因造成损害 威胁计算机信息系统的安全 信息加工处理中的威胁 2 3 2电子商务安全威胁 2 3电子商务安全的构成与需求 30 归结起来 在电子商务发展的过程中 主要有以下几种常见的威胁 1 黑客攻击 最大的威胁网络攻击网络侦探2 搭线窃听将导线搭到无人值守的网络传输线路上进行监听 通过信号的处理和正确的协议分析可以掌握通信的全部内容 2 3电子商务安全的构成与需求 2 3 2电子商务安全威胁 3 伪装入侵者通过窃取密码等手段伪装成合法用户 嗅探 口令猜测 从废弃物中寻找 社交手段 2 3电子商务安全的构成与需求 2 3 2电子商务安全威胁 4 计算机病毒第一阶段 捣乱第二阶段 恶意倾向第三阶段 以不正当获取利益为目的5 信息泄密6 信息丢失 篡改 销毁7 软件漏洞 2 3电子商务安全的构成与需求 2 3 2电子商务安全威胁 构成威胁的因素 环境和灾害因素 温度 湿度 供电 火灾 水灾 地震 静电 灰尘 雷电 强电磁场 电磁脉冲等 计算机硬件系统的故障软件组件 漏洞 网络和通信协议 人为因素无意 操作失误 有意 黑客 犯罪 伪装 系统自身的脆弱 34 2 3 2电子商务安全威胁 2 3电子商务安全的构成与需求 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 35 几个不稳定因素JAVA 电子邮件病毒 微软盖茨自由软件 结果公开 共查漏洞CGI 公共网关接口 如网页留言 ICP 网络内容服务器网管 2 4电子商务安全现状 36 2 4 1法律法规建设1 计算机犯罪立法2 有关计算机安全的法律法规3 有关保护个人隐私的法律法规4 有关网络知识产权保护的法律法规5 有关电子合同的法律法规 2 4电子商务安全现状 37 2 4 2理论研究和技术开发保密性领域 DES加密算法 RSA加密算法完整性 不可否认性 RSA算法 盲签名 多重签名认证性 PKI还有防火墙和授权服务器等 2 4电子商务安全现状 38 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 39 2 5 1技术措施电子商务安全防治所用到的技术措施主要包括 2 5电子商务安全防治措施 40 2 5 2管理措施管理措施主要有 人员管理制度保密制度 信息的安全级别 绝密 机密 敏感跟踪 审计 稽核制度网络系统维护制度数据备份制度病毒防范制度应急措施 2 5电子商务安全防治措施 41 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 42 2 6 1电子商务安全体系结构1 电子商务安全计算机安全 保证处理的信息不被非授权人员 计算机或其他程序所访问 获取或修改 网络安全 保证网络系统的软硬件及系统中的数据受到保护 系统连续可靠正常地运行 网络服务不中断 信息安全 保证电子商务信息的有效性 完整性 不可否认性和可用性 2 6电子商务安全体系与安全技术 43 2 6 1电子商务安全体系结构1 电子商务安全电子商务安全 包括信息安全和计算机网络安全 信息安全是紧紧围绕传统商务在互联网上应用时产生的各种安全问题 在计算机网络安全的基础上 保障电子商务过程的顺利进行 即实现了电子商务的安全需求 计算机网络安全与商务信息安全相辅相成 缺一不可 网络安全是信息安全的基础 没有网络安全 信息安全无从谈起 没有信息安全 无论计算机网络如何安全 也无法达到电子商务所特有的安全要求 2 6电子商务安全体系与安全技术 44 2 6 1电子商务安全体系结构1 电子商务安全因此 计算机网络安全是实现电子商务安全的基础和保障 信息安全是实现安全技术的目标 而电子商务是这一目标的具体应用和体现 2 6电子商务安全体系与安全技术 45 2 6 1电子商务安全体系结构2 电子商务安全体系结构 2 6电子商务安全体系与安全技术 46 电子商务的安全体系结构是保证电子商务数据安全的一个完整的逻辑结构 它也为交易过程的安全提供了基本保障 2 6 1电子商务安全体系结构2 电子商务安全体系结构 2 6电子商务安全体系与安全技术 47 2 6 1电子商务安全体系结构2 电子商务安全体系结构 2 6电子商务安全体系与安全技术 48 电子商务安全体系结构中各层通过控制技术的递进 实现电子商务的安全 下层是上层的基础 为上层提供技术支持 上层还有密码技术和PKI技术 这是一个完善的安全体系 上层是下层的扩展与递进 各层次之间相互信赖 相互关联构成统一整体 2 6 2电子商务安全技术1 网络安全 2 6电子商务安全体系与安全技术 电子商务系统是通过网络实现的 因此构成电子商务安全体系结构的底层是网络服务层 49 网络服务层是各种电子商务应用系统的基础 提供信息传输功能 用户接入方式和安全通信服务 并保证网络运行安全 计算机网络安全主要包括计算机网络的物理安全 计算机网络的系统安全和数据库安全 采用的安全技术有防火墙技术 加密技术 漏洞扫描技术 入侵行为检测技术 反病毒技术和安全审计技术等 用以保证计算机网络自身的安全 2 6 2电子商务安全技术1 网络安全 1 防火墙技术 2 6电子商务安全体系与安全技术 50 防火墙是位于受保护的内部网络和外部网络之间的软硬件设备 它可以防止外部人员对内部网络的攻击 也可以防止内部人员非法访问外部网络 但是 它不能防止内部人员对自身网络的攻击 防火墙有很多种类 包过滤型防火墙 代理服务型防火墙 双宿主机防火墙 2 6 2电子商务安全技术1 网络安全 2 加密技术 2 6电子商务安全体系与安全技术 51 加密技术可以保护网络系统中所有数据流 信源处对信息进行加密 只有合法的信宿才可以解密 从而保证网络信息的完整性和可用性 2 6 2电子商务安全技术1 网络安全 3 漏洞扫描技术 2 6电子商务安全体系与安全技术 52 漏洞扫描是自动检测远端或本地主机安全漏洞的技术 它通过执行一些脚本文件对系统进行攻击并记录它的反应 从而发现其中的漏洞 漏洞是软硬件或策略上的缺陷 这些缺陷使得攻击者能够在未授权的情况下访问甚至控制系统 常用扫描技术包括PING扫描 端口扫描 操作系统识别等 2 6 2电子商务安全技术1 网络安全 4 入侵检测技术 2 6电子商务安全体系与安全技术 53 入侵检测技术通过获取网络上的所有报文 并对报文进行分析处理 报告异常和重要的数据模式和行为模式 使网络安全管理员清楚地了解网络上发生的事件 以便能够采取行动阻止潜在的破坏 入侵检测技术既检测来自外部的入侵行为 也能检测内部用户的未授权活动 提供追究入侵者法律责任的有效证据 该技术通过分析入侵过程的特征 条件 排列及事件间的关系 具体描述入侵行为的迹象 这些迹象不仅对分析已经发生的入侵行为有帮助 而且对可能发生的行为有警戒作用 2 6 2电子商务安全技术1 网络安全 5 反病毒技术 2 6电子商务安全体系与安全技术 54 反病毒技术大体可以分为病毒检测 病毒清除 病毒免疫和病毒预防 2 6 2电子商务安全技术1 网络安全 6 安全审计技术网络的审计系统由三个层次组成 网络层次的安全审计 利用防火墙的审计功能 网络监控与入侵检测系统实现 系统的安全审计 利用操作系统和应用软件系统的审计功能实现 对信息内容的安全审计 2 6电子商务安全体系与安全技术 55 审计是记录用户使用计算机网络系统进行所有活动的过程 是提高安全性的重要工具 它不仅能够识别是哪个用户访问了系统 还能指出系统正被使用的情况 2 6 2电子商务安全技术2 交易安全 2 6电子商务安全体系与安全技术 56 交易安全是针对传统商务在因特网上运用时产生的各种安全问题而设计的一套安全技术 目的是在计算机网络安全的基础上确保电子商务过程的顺利进行 即实现电子商务的保密性 完整性 可靠性等 加密技术层 安全认证层和交易协议层一起构成电子商务交易安全 2 6 2电子商务安全技术2 交易安全 1 加密技术层 2 6电子商务安全体系与安全技术 57 加密技术是电子商务最基本的安全措施 加密技术分为对称加密和非对称加密两类 2 6 2电子商务安全技术2 交易安全 2 安全认证层 报文摘要 Hash函数 数字签名 数字证书 用电子手段来标识用户的身份 数字证书的内部格式是ITU TX 509标准V3版 认证中心 CA 2 6电子商务安全体系与安全技术 58 认证的实现包括数字签名技术和数字证书技术等 2 6 2电子商务安全技术2 交易安全 2 安全认证层 数字时间戳 文件签署时间对于保证文件的真实性和有效方面也是非常重要的内容 数字时间戳服务 DTS 为电子商务活动所涉及文件的签署时间信息提供的安全保护服务 DTS是由网上专门的机构提供的一种安全服务项目 时间戳是一个经加密后形成的凭证文档 包括文件摘要 DTS机构接到文件的时间 DTS机构的数字签名等 2 6电子商务安全体系与安全技术 59 2 6 2电子商务安全技术2 交易安全数字时间戳产生的基本过程 用户首先将需要加时间戳的文件利用报文摘要技术生成摘要信息 然后将该摘要信息发送到DTS机构 DTS机构收到文件摘要后 在其中加入收到的日期和时间信息 并对该文件进行加密 然后发还用户 2 6电子商务安全体系与安全技术 60 2 6 2电子商务安全技术2 交易安全 3 交易协议层 安全套接层协议 SSL 位于传输层和应用层之间 由SSL记录协议 SSL握手协议 修改加密约定协议和报警协议组成 安全电子交易协议 SET 由VISA和MasterCard制定的标准 SET用于划分与界定电子商务活动中的消费者 网上商家 银行 信用卡组织之间的权利义务关系 给定交易信息传送流程标准 2 6电子商务安全体系与安全技术 61 2 6 2电子商务安全技术2 交易安全 3 交易协议层 公钥基础设施 PKI PKI是实现网络及其应用安全的一种体系 它能够为所有基于网络的应用透明地提供加密 数字签名和数字证书等密码服务所需要的密钥和证书管理 能够有效地解决公开密钥的发布 收发双方的身份认证 不可抵赖 完整性和有效性等安全问题 2 6电子商务安全体系与安全技术 62 2 1电子商务安全问题2 2触发电子商务安全问题的原因2 3电子商务安全的构成与需求2 4电子商务安全现状2 5电子商务安全防治措施2 6电子商务安全体系与安全技术2 7案例分析 本章目录 63 2 7 1小张的 包年卡 2 7 2黑客轻闯金融网络2 7 3黑客窃取用户账号2 7 4木马2 7 5网上拍卖 2 7案例分析 64 本章主要介绍了电子商务面临的安全问题 触发安全问题的原因 电子商务安全的构成与需求 电子商务安全的现状 电子商务安全的防治措施及电子商务安全体系结构和安全技术 65 本章小结