电子商务安全(第1章)PPT资料.ppt

1、其中，2010年新增漏洞信息3447个，包括高危漏洞649个（占19%）、中危漏洞987个（占29%）、低危漏洞1811个（占52%）。各级别比例分布与月度数量统计如图1.1、图1.2所示。图1.1 2010年CNVD收录漏洞的级别分布 图1.2 2010年CNVD收录漏洞数量的月度统计 1.1.2计算机病毒 2010 年，CNCERT 共接收了 10433 件非扫描类网络安全事件报告，其中，国外报告事件数量为 5070 件。事件接收数量的月度变化情况如图1.3 所示。图 1.3 2010 年 CNCERT 网络安全事件接收月趋势图 1.1.3 黑客攻击 v2010 年，CNCERT 监测到境

2、内被篡改网站月度统计情况如图1.4所示。图 1.4 2010年境内被篡改网站数量月度统计 1.1.3 黑客攻击黑客攻击 1.网页篡改表 1.1 2010 年 CNCERT 监测到的篡改境内网站按数量排行 TOP20的攻击者 v上述攻击者发起网页篡改的攻击动机可以分为三类：第一类是出于政治、宗教目的，如：ZoRRoKiN 和 aGReSiF 经常将境内政府部门网站作为重点攻击目标，攻击成功后通常会在网站留下宣扬其政治、宗教理念的文字或图片，相关示例如图1.5所示；第二类是出于技术炫耀目的，如图1.6 所示，攻击者篡改网站成功后留下大名，并留有调侃风格的文字或图片；第三类则是在网站上留存后门页面，

3、如图1.7所示，一是方便其以后再次进入，二则不排除其将该后门用于地下交易牟取非法利益的可能。图1.5 黑客篡改网站后留下的页面图例一（攻击者：aGReSiF）图1.6 黑客篡改网站后留下的页面图例二（攻击者：卖火机的男孩）图1.7 黑客篡改网站后留下的页面图例三（攻击者：J0K）1.1.4 网页挂马 网页挂马是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。网络中一些搜索 热词或社会热点事件的出现引发了网民大量搜索和点击，相关页面也容易被黑客利用来挂马，达到快速传播恶意代码并控制大量用户主机的目的。2010 年境内网页挂马情况呈现先扬后抑的趋势，4 月或 5月份间出

4、现全年最高点，而在下半年数量逐渐下降，如图1.8所示。图1.8 2010年挂马页面数量趋势（来源：奇虎 36 0）v2010年 9 月 6 日，CNCERT 监测发现某电视台网站存在挂马页面，当用户 访问相关页面时，系统 会自动执行黑客嵌入的恶意链接或恶意脚本。在用户主机存在相关操作系统或应用软件漏洞，又没有做好安全防护的情况下，会感染黑客放置的恶意代码。黑客借此可以控制用户主机，进而窃取用户私密信息。黑客挂马的技术步骤如表1.2所示。表1.2 黑客挂马技术步骤 1.1.5 网页仿冒 表1.3 2010年CNCERT接收到被仿冒网站 网页仿冒俗称网络钓鱼，这类事 件是社会工程学欺骗原理结合 网

5、络技术的典型应用。表1.3列出了 CNCERT 接收到的按事件次数排名前十位的被仿冒网站。1.2 电子商务面临的安全威胁 v1.2.1 安全威胁的类型 安全威胁是指人、物或事件对某一资源的保密性、完整性或合法性等所造成的危险。某种攻击就是某种威胁的具体实现。在电子商务发展的过程中面临的主要威胁有以下几种：如图1.9所示。图1.9 电子商务安全威胁 v1.2.2 交易过程中的安全威胁交易过程中的安全威胁 v1销售者面临的威胁对销售者而言，面临的安全威胁主要有以下几个方面：（1）中央系统安全性被破坏；（2）竞争者检索商品递送状况；（3）客户资料被竞争者获悉；（4）被他人假冒而损害公司的信誉；（5）

6、消费者提交订单后不付款；（6）虚假订单；（7）获取他人的机密数据。v2购买者面临的威胁对购买者而言，面临的安全威胁主要有以下几个方面：（1）虚假订单；（2）付款后不能收到商品；（3）机密性丧失；（4）拒绝服务。1.3 电子商务的安全需求 v1.3.1 电子交易的安全需求v1机密性（Confidentiality）v机密性是指保障个人的、专用的和高度敏感数据的机密。v2完整性（Integrity）v数据的完整性有两层含义：一是要求同一数据在不同地方是一致的；二是要求数据没有被非法修改或破坏。v3可用性（Availability）v可用性是指保证信息和信息系统随时为授权者提供服务，而不会出现非授权

7、者滥用却对授权者拒绝服务的情况。v4可认证性（Authenticity）v认证是指提供对通信中对等实体和数据来源的鉴别。v5抗抵赖性（Non-repudiation）v1.3.2 计算机网络系统的安全计算机网络系统的安全v1.物理实体的安全物理实体的安全 v2自然灾害的威胁自然灾害的威胁 v3黑客的恶意攻击黑客的恶意攻击 v4后门程序后门程序 v5网络协议的安全漏洞网络协议的安全漏洞 v6计算机病毒的攻击计算机病毒的攻击 1.4 构造电子商务的安全体系 v1.4.1 电子商务的安全框架体系 v1.4.2 电子商务安全技术 v1.网络服务层v电子商务系统是依赖网络实现的商务系统，需要利用Inte

8、rnet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层。v2 加密技术层v加密技术是电子商务采取的主要安全技术手段，它不仅可以保证通信及存储数据的安全，还可以有效地用于报文认证、数字签名等，以防止种种电子欺骗。v3.安全认证层v安全认证层中的认证技术是信息安全理论与技术的一个重要方面，也是保证电子商务安全的重要技术之一。v4.安全协议层v除了各种安全控制技术之外，电子商务的运行还需要一套完善的安全交易协议。1.5 电子商务安全的现状 v1.5.1 法律法规建设法律法规建设v1网络犯罪立法网络犯罪立法 v2有关计算机安全的法律法规v3有关保护个人隐私的法律法规 v4有关网络知识产权保

9、护的法律法规 v5有关电子合同的法律法规 1.5.2 理论研究和技术研发 v在提供保密性的加密算法里，既有传统的单表代换、多表代换、多字母代换、置换加密，还有现代的基于分组加密的DES算法、基于大多数因子分解的RSA算法，还有基于NP完全理论的背包加密算法，基于离散对数的EIGamal加密算法等等；在提供完整性和不可否认性的数字签名里，不仅有RSA签名和EIGamal签名，还有盲签名、多重签名和定向签名、代理签名等；在提供认证性领域里，有目前流行的公钥基础设施（PKI）、安全电子交易协议（SET、SSL等），更有防火墙、IPsec、VPN、授权服务器等产品来提供可控性。本章小结v电子商务安全是

10、一个复杂的系统工程，除了面向技术层面的研究和应用之外还包含社会人文环境的建设，包括相关法律、法规以及信息道德和伦理等网络文化的传播和构建。本文给出了一个电子商务安全体系结构模型，揭示了各种安全机制间的逻辑层次关系，并详细介绍了目前业界用于电子商务的一些基本安全技术，并对其发展趋势做了探讨。参考案例：证券、期货公司行业系统 实训：某网上书店电子商务系统开发 v【实训目的实训目的】本实训在“某网上书店系统开发”的基础上，对要实现的安全电子商务系统开发进行需求调查、系统规划、系统设计、系统实施等步骤全面讲述，通过本实训要学会开发一般的电子商务系统，并掌握开发电子商务系的方法和技巧。v【实训准备实训准

11、备】v1.Windows 2000 Sever操作系统；v2.Rational Rose2003或以上版本；v3.SQL Server 2000；v4.Tomcat5.5或以上版本；v5.VC+6.0或其他程序开发软件；v6.其他辅助软件v【实训步骤实训步骤】v【实训总结实训总结】本实训着重介绍了网上书店电子商务系统的开发完整过程，详细介绍了系统的总体设计和服务器的配置，读者可以自行用某种程序设计语言实现。本实训介绍都是主要步骤，如果需要本实训完整代码，可以与作者联系。本章习题 v1.在电子商务整个运作过程中，典型的安全问题包括几类？分别是什么？v2.2010年蠕虫病毒出现了哪些新特点？v3.电子商务安全面临的威胁有哪些？v4.在网上进行电子商务的活动过程是怎样进行的？v5.电子商务安全需求包括哪几个方面？v6.各国政府应在未来电子商务安全中加强哪些工作？v7.通过搜索引擎，查找我国电子商务签名法和我国第一笔电子合同签订的情况，写出报告。