第七章 电子商务安全..ppt

1、第七章 电子商务安全,目录,7.1 电子商务安全认知 7.2 电子商务安全体系结构 7.3 电子商务的安全技术 7.4 安全协议,一、电子商务安全威胁1.网络攻击（1）电脑病毒：网络蠕虫、特洛伊木马、CIH（2）黑客攻击：更改首页、拒绝服务、盗取帐号、网上炸弹、IP欺骗（3）流氓软件：强迫安装、无法卸载 2.硬件破坏 3.交易抵赖,7.1 电子商务安全问题及主要内容,蠕虫病毒造成的危害,网银安全问题凸现,二、主要内容：计算机网络安全：物理安全分析结构安全分析操作系统安全分析应用系统安全分析网络管理安全风险分析,关于黑客,2012年网络安全大事件源代码被盗事件 赛门铁克两款企业级产品源代码被盗

2、VMware确认源代码被窃,信息泄密事件 美国电子商务网站Zappos，2400万用户的电子邮件和密码等信息被窃取 全球支付信息被盗 LinkedIn（商业社交网）用户密码泄露 雅虎服务器被黑 45.3万份用户信息遭泄露 全球百所大学近12万账户信息被窃,关于黑客,三、安全隐患常见的安全隐患：信息的截获和窃取信息的篡改信息假冒交易抵赖信息的中断,网购安全案例,2.消费者面临的安全问题：虚假订单在要求客户付款后，销售内部人员不得将订单发给其他人员机密性丧失。客户有可能将秘密的个人数据送给冒充的机构拒绝服务。电子货币丢失。,虚假订单和电子货币案例,3.电子商务企业可能面临的问题系统中心被破坏竞争者

3、的威胁商业机密的泄漏假冒的威胁信用的威胁,三、电子商务的安全需求有效性机密性完整性可靠性交易者身份的真实性,7.2、电子商务安全体系结构 电子商务安全不仅仅是技术层面问题，而且是包含预防、检测、管理和制度层面在内的一整套体系的建设问题。,法律、规范、道德、纪律,管理细则、保护措施,物理实体安全,网络系统安全,网络交易安全,网络信息安全,电子商务的安全体系主要体现在3个方面：,法律环境保障,安全管理保障,技术保障,一、技术保障,实现电子商务所需要的设备、技术等能稳定、安全的提供所需功能。包括：实体的安全和网络技术的安全。1.实体安全包括 环境安全 和 设备安全2.网络技术的安全包括 网络安全检测

4、设备，证书，防火墙，防入侵的措施，数据加密，访问控制等。,二、安全管理保障,1.人员的保障：要求加强电子商务交易中员工的管理。2.制度的保障：保密制度，跟踪审计制度，数据容灾制度，病毒防范制度,三、法律环境保障,1.身份标识2.身份验证,7.3 网络系统安全技术,一、网络安全策略 网络安全策略就是指构筑网络时考虑怎样采用网络安全措施的基本原则。具有通用性的原则：最小特权 纵深防御 阻塞点 最薄弱环节 失效保护状态 普遍参与 防御多样化 简单化,电子商务安全技术结构示意图,二、查杀病毒 据瑞星病毒样本统计，约有90以上的病毒文件进行过“加壳”处理。,所谓加壳，是一种通过一系列数学运算，将可执行程

5、序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。,一、加密技术,1.加密和解密：数据加密是计算机安全的重要组成部分。目前有2种加密技术：对称加密双方具有共享的密钥，只有在双方都知道的情况下才能使用。非对称加密由公开密钥和私有密钥组成，用私有密钥加密，由公开密钥解密。,2.算法和密钥主要是加密

6、和解密的函数范围。通常情况下，有2个相关函数一个是加密函数一个是解密函数,二、认证技术,1.身份认证内容：分为身份证实和身份识别2类。身份证实：对个人身份进行肯定和否定身份识别：输入个人信息，经处理提取成模版信息。而后得出结论，确定一个人是否真实身份。,2.信息认证基于公钥体制的信息认证加入数字签名的验证3.通过认证机构认证数字证书认证机构,个人证书,三、签名技术,四、公钥基础设施,五、防火墙技术 防火墙概念：防火墙是一种隔离控制技术，通过在内部网络（可信赖的网络）和外部网络（不可信赖的网络）之间设置一个或多个电子屏障，提供安全的网络环境。,防火墙具有五大基本功能,过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。,