电子商务安全(第1章).ppt
《电子商务安全(第1章).ppt》由会员分享,可在线阅读,更多相关《电子商务安全(第1章).ppt(27页珍藏版)》请在冰点文库上搜索。
电子商务安全,唐德权等主编,华中科技大学出版社2011.9,高等教育十二五规划系列教材、高等院校计算机系列教材,第1章电子商务安全概述,1.电子商务安全问题概述2.电子商务面临的安全威胁3.电子商务的安全需求4.构造电子商务的安全体系5.电子商务安全的现状,第一部分教学组织,一、目的要求1.了解电子商务安全问题,掌握电子商务存在的安全隐患和安全需求;2.了解电子商务安全现状。
二、工具器材与互联网连接的计算机系统,供相关资料查询。
三、学习方式建议1.了解电子商务流程,掌握电子商务系统开发过程;2.广泛查阅资料,了解当前电子商务面临的安全威胁;3.调查了解当前电子商务的安全漏洞及解决办法。
第二部分教学内容,1.1电子商务安全问题概述1.1.1安全漏洞,国家信息安全漏洞共享平台(英文简称为CNVD)自成立以来,共收集整理漏洞信息26044个。
其中,2010年新增漏洞信息3447个,包括高危漏洞649个(占19%)、中危漏洞987个(占29%)、低危漏洞1811个(占52%)。
各级别比例分布与月度数量统计如图1.1、图1.2所示。
图1.12010年CNVD收录漏洞的级别分布,图1.22010年CNVD收录漏洞数量的月度统计,1.1.2计算机病毒,2010年,CNCERT共接收了10433件非扫描类网络安全事件报告,其中,国外报告事件数量为5070件。
事件接收数量的月度变化情况如图1.3所示。
图1.32010年CNCERT网络安全事件接收月趋势图,1.1.3黑客攻击,2010年,CNCERT监测到境内被篡改网站月度统计情况如图1.4所示。
图1.42010年境内被篡改网站数量月度统计,1.1.3黑客攻击1.网页篡改,表1.12010年CNCERT监测到的篡改境内网站按数量排行TOP20的攻击者,上述攻击者发起网页篡改的攻击动机可以分为三类:
第一类是出于政治、宗教目的,如:
ZoRRoKiN和aGReSiF经常将境内政府部门网站作为重点攻击目标,攻击成功后通常会在网站留下宣扬其政治、宗教理念的文字或图片,相关示例如图1.5所示;第二类是出于技术炫耀目的,如图1.6所示,攻击者篡改网站成功后留下大名,并留有调侃风格的文字或图片;第三类则是在网站上留存后门页面,如图1.7所示,一是方便其以后再次进入,二则不排除其将该后门用于地下交易牟取非法利益的可能。
图1.5黑客篡改网站后留下的页面图例一(攻击者:
aGReSiF),图1.6黑客篡改网站后留下的页面图例二(攻击者:
卖火机的男孩),图1.7黑客篡改网站后留下的页面图例三(攻击者:
J0K),1.1.4网页挂马,网页挂马是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。
网络中一些搜索热词或社会热点事件的出现引发了网民大量搜索和点击,相关页面也容易被黑客利用来挂马,达到快速传播恶意代码并控制大量用户主机的目的。
2010年境内网页挂马情况呈现先扬后抑的趋势,4月或5月份间出现全年最高点,而在下半年数量逐渐下降,如图1.8所示。
图1.82010年挂马页面数量趋势(来源:
奇虎360),2010年9月6日,CNCERT监测发现某电视台网站存在挂马页面,当用户访问相关页面时,系统会自动执行黑客嵌入的恶意链接或恶意脚本。
在用户主机存在相关操作系统或应用软件漏洞,又没有做好安全防护的情况下,会感染黑客放置的恶意代码。
黑客借此可以控制用户主机,进而窃取用户私密信息。
黑客挂马的技术步骤如表1.2所示。
表1.2黑客挂马技术步骤,1.1.5网页仿冒,表1.32010年CNCERT接收到被仿冒网站,网页仿冒俗称网络钓鱼,这类事件是社会工程学欺骗原理结合网络技术的典型应用。
表1.3列出了CNCERT接收到的按事件次数排名前十位的被仿冒网站。
1.2电子商务面临的安全威胁,1.2.1安全威胁的类型安全威胁是指人、物或事件对某一资源的保密性、完整性或合法性等所造成的危险。
某种攻击就是某种威胁的具体实现。
在电子商务发展的过程中面临的主要威胁有以下几种:
如图1.9所示。
图1.9电子商务安全威胁,1.2.2交易过程中的安全威胁1销售者面临的威胁对销售者而言,面临的安全威胁主要有以下几个方面:
(1)中央系统安全性被破坏;
(2)竞争者检索商品递送状况;(3)客户资料被竞争者获悉;(4)被他人假冒而损害公司的信誉;(5)消费者提交订单后不付款;(6)虚假订单;(7)获取他人的机密数据。
2购买者面临的威胁对购买者而言,面临的安全威胁主要有以下几个方面:
(1)虚假订单;
(2)付款后不能收到商品;(3)机密性丧失;(4)拒绝服务。
1.3电子商务的安全需求,1.3.1电子交易的安全需求1机密性(Confidentiality)机密性是指保障个人的、专用的和高度敏感数据的机密。
2完整性(Integrity)数据的完整性有两层含义:
一是要求同一数据在不同地方是一致的;二是要求数据没有被非法修改或破坏。
3可用性(Availability)可用性是指保证信息和信息系统随时为授权者提供服务,而不会出现非授权者滥用却对授权者拒绝服务的情况。
4可认证性(Authenticity)认证是指提供对通信中对等实体和数据来源的鉴别。
5抗抵赖性(Non-repudiation),1.3.2计算机网络系统的安全1.物理实体的安全2自然灾害的威胁3黑客的恶意攻击4后门程序5网络协议的安全漏洞6计算机病毒的攻击,1.4构造电子商务的安全体系,1.4.1电子商务的安全框架体系,1.4.2电子商务安全技术1.网络服务层电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层。
2加密技术层加密技术是电子商务采取的主要安全技术手段,它不仅可以保证通信及存储数据的安全,还可以有效地用于报文认证、数字签名等,以防止种种电子欺骗。
3.安全认证层安全认证层中的认证技术是信息安全理论与技术的一个重要方面,也是保证电子商务安全的重要技术之一。
4.安全协议层除了各种安全控制技术之外,电子商务的运行还需要一套完善的安全交易协议。
1.5电子商务安全的现状,1.5.1法律法规建设1网络犯罪立法,2有关计算机安全的法律法规,3有关保护个人隐私的法律法规,4有关网络知识产权保护的法律法规,5有关电子合同的法律法规,1.5.2理论研究和技术研发,在提供保密性的加密算法里,既有传统的单表代换、多表代换、多字母代换、置换加密,还有现代的基于分组加密的DES算法、基于大多数因子分解的RSA算法,还有基于NP完全理论的背包加密算法,基于离散对数的EIGamal加密算法等等;在提供完整性和不可否认性的数字签名里,不仅有RSA签名和EIGamal签名,还有盲签名、多重签名和定向签名、代理签名等;在提供认证性领域里,有目前流行的公钥基础设施(PKI)、安全电子交易协议(SET、SSL等),更有防火墙、IPsec、VPN、授权服务器等产品来提供可控性。
本章小结,电子商务安全是一个复杂的系统工程,除了面向技术层面的研究和应用之外还包含社会人文环境的建设,包括相关法律、法规以及信息道德和伦理等网络文化的传播和构建。
本文给出了一个电子商务安全体系结构模型,揭示了各种安全机制间的逻辑层次关系,并详细介绍了目前业界用于电子商务的一些基本安全技术,并对其发展趋势做了探讨。
参考案例:
证券、期货公司行业系统,实训:
某网上书店电子商务系统开发,【实训目的】本实训在“某网上书店系统开发”的基础上,对要实现的安全电子商务系统开发进行需求调查、系统规划、系统设计、系统实施等步骤全面讲述,通过本实训要学会开发一般的电子商务系统,并掌握开发电子商务系的方法和技巧。
【实训准备】1.Windows2000Sever操作系统;2.RationalRose2003或以上版本;3.SQLServer2000;4.Tomcat5.5或以上版本;5.VC+6.0或其他程序开发软件;6.其他辅助软件【实训步骤】【实训总结】本实训着重介绍了网上书店电子商务系统的开发完整过程,详细介绍了系统的总体设计和服务器的配置,读者可以自行用某种程序设计语言实现。
本实训介绍都是主要步骤,如果需要本实训完整代码,可以与作者联系。
本章习题,1.在电子商务整个运作过程中,典型的安全问题包括几类?
分别是什么?
2.2010年蠕虫病毒出现了哪些新特点?
3.电子商务安全面临的威胁有哪些?
4.在网上进行电子商务的活动过程是怎样进行的?
5.电子商务安全需求包括哪几个方面?
6.各国政府应在未来电子商务安全中加强哪些工作?
7.通过搜索引擎,查找我国电子商务签名法和我国第一笔电子合同签订的情况,写出报告。
升级会员 