模式八电子商务安全及实操案例答案.ppt

1、 电子商务案例分析电子商务案例分析 电子商务案例分析电子商务案例分析教材编写组教材编写组模块八模块八 电子商务安全电子商务安全项目1 7网络安全案例项目任务项目案例 零售行业网络安全知识点一 黑客攻击安全问题零售行业网络安全案例分析知识拓展 智能安全分析知识点二 WEB应用程序安全问题知识点三 协议欺骗攻击问题知识点四 内网安全问题项目项目17 电子商务安全案例电子商务安全案例u项项目目任任务务：能能说说出出电电子子商商务务网网络络安安全全的的相相关关技技术术与与防防范范措措施施，会会分分析析案案例例中中为为保保障障网网络络安安全全所所采采用用的的相相关关软软硬硬件件以以及及技技术术解解决决方

2、方案案，能能够够为为企企业业电电子子商商务务网网络安全建设提供合理化建议。络安全建设提供合理化建议。战略目标战略目标目标用户目标用户产品与服务产品与服务赢利模式赢利模式核心能力核心能力项目案例项目案例 零售行业网络安全零售行业网络安全全球范围内，零售行业是属于排名头三个容易被网络全球范围内，零售行业是属于排名头三个容易被网络攻击者定位为攻击目标的行业之一，原因是几乎全部攻击者定位为攻击目标的行业之一，原因是几乎全部的商户均接受支付卡支付、相对较低的安全防御、存的商户均接受支付卡支付、相对较低的安全防御、存在不少可用的攻击载体。移动设备与近场通信在不少可用的攻击载体。移动设备与近场通信(NFC：

3、NearFieldCommunication)无线技术的集合以及应无线技术的集合以及应用的激增，例如增强实现技术用的激增，例如增强实现技术(augmentedreality)等等等这些更加剧了问题。等这些更加剧了问题。一些来自美国被高度曝光的发生在零售行业的网络窃一些来自美国被高度曝光的发生在零售行业的网络窃取案例包括取案例包括THX、赛百味与巴诺书店。店内无线网络、赛百味与巴诺书店。店内无线网络、POS机系统与信用卡读卡器被攻击导致除了给这些商机系统与信用卡读卡器被攻击导致除了给这些商家带来的经济损失外，还有持信用卡支付用户数千万家带来的经济损失外，还有持信用卡支付用户数千万美元窃取、以及个

4、人信息丢失。这些大规模的网络窃美元窃取、以及个人信息丢失。这些大规模的网络窃取事件的发生无一昭示着零售行业需要在安全方面投取事件的发生无一昭示着零售行业需要在安全方面投入更多的注意力来保障业务的顺畅。入更多的注意力来保障业务的顺畅。项目案例项目案例 零售行业网络安全零售行业网络安全按照传统方式来讲，零售店使用基于店内的具有基础按照传统方式来讲，零售店使用基于店内的具有基础安全功能路由器或在店内网络的基础上覆盖端点保护安全功能路由器或在店内网络的基础上覆盖端点保护的解决方案或一个私有的的解决方案或一个私有的WAN使所有的流量都回到数使所有的流量都回到数据中心进行检测。这些方法都存在各自的缺陷，无

5、论据中心进行检测。这些方法都存在各自的缺陷，无论在功能性方面，还是可扩展性或是成本方面。在功能性方面，还是可扩展性或是成本方面。零售行业在打造安全的分布式环境上应聚焦在以下零售行业在打造安全的分布式环境上应聚焦在以下四个主要的方面，并采取相应的措施解决其面临的问四个主要的方面，并采取相应的措施解决其面临的问题。题。1、访问层。、访问层。2、店铺层。、店铺层。3、数据的聚合之所。、数据的聚合之所。4、管理。、管理。项目案例零售行业网络安全项目案例零售行业网络安全u提提出出问问题题：针针对对零零售售行行业业的的基基本本情情况况和和业业务务需需求求，为为了了保保障障其其网网络络安安全全，应应采采用用

6、哪哪些些方方法法可可以解决零售店的网络安全问题呢？以解决零售店的网络安全问题呢？知识点知识点1 1 黑客攻击安全问题黑客攻击安全问题一、黑客攻击安全问题一、黑客攻击安全问题1 1、网络不安全因素、网络不安全因素2、黑客攻击网络的一般过程、黑客攻击网络的一般过程（1）信息的收集）信息的收集（2）系统安全弱点的探测）系统安全弱点的探测（3）建立模拟环境，进行模拟攻击）建立模拟环境，进行模拟攻击（4）具体实施网络攻击）具体实施网络攻击知识点知识点2 WEB2 WEB应用程序安全问题应用程序安全问题Web应用系统是由操作系统和应用系统是由操作系统和Web应用程序组成的。应用程序组成的。Web应用的大多

7、数安全问题都属于下面三种类型之一：应用的大多数安全问题都属于下面三种类型之一：1、服务器向公众提供了不应该提供的服务，导致存在安、服务器向公众提供了不应该提供的服务，导致存在安全隐患。全隐患。2、服务器把本应私有的数据放到了公开访问的区域，导、服务器把本应私有的数据放到了公开访问的区域，导致敏感信息泄露。致敏感信息泄露。3、服务器信赖了来自不可信赖数据源的数据，导致受到、服务器信赖了来自不可信赖数据源的数据，导致受到攻击。攻击。许多许多Web应用程序容易受到通过服务器、应用程序和应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。内部已开发的代码进行的攻击。Web应用程序攻击包括

8、应用程序攻击包括对应用程序本身的对应用程序本身的DoS(拒绝服务拒绝服务)攻击、改变网页内容、攻击、改变网页内容、SQL注入、上传注入、上传Webshell以及获取对以及获取对Web服务的控制服务的控制权限等。权限等。知识点知识点3 3 协议欺骗攻击问题协议欺骗攻击问题1、源、源IP地址欺骗攻击地址欺骗攻击要防止源要防止源IP地址欺骗行为，可以采取以下措施来尽可地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：能地保护系统免受这类攻击：（1）抛弃基于地址的信任策略）抛弃基于地址的信任策略（2）进行包过滤）进行包过滤2、路由欺骗攻击、路由欺骗攻击为了防范源路由欺骗攻击，一般采用下面两

9、种措施：为了防范源路由欺骗攻击，一般采用下面两种措施：一是：对付这种攻击最好的办法是配置好路由器，使它抛一是：对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。弃那些由外部网进来的却声称是内部主机的报文。二是：在路由器上关闭源路由。二是：在路由器上关闭源路由。知识点知识点4 4 内网安全问题内网安全问题内网安全问题的提出跟国家信息化的进程息息相关，信息内网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使得内部信息网络具备了以下三个特点：化程度的提高，使得内部信息网络具备了以下三个特点：1、随着、随着ERP、OA和和CAD等生产和办公系统的普及

10、，单位等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。可控性提出高度的要求。2、内部信息网络由大量的终端、服务器和网络设备组成，内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量

11、巨大的终端可控性和可靠性提出前所未有的要求。量巨大的终端可控性和可靠性提出前所未有的要求。3、由于生产和办公系统的电子化，使得内部网络成为单位由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产权的主要载体，传统的对信息的控制管理手段信息和知识产权的主要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手段成为关注的焦点。不再使用，新的信息管理控制手段成为关注的焦点。一个整体一致的内网安全体系，应该包括身份认证、授权管一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应该理、数据保密和监控审计四个方面，并且，这四个方面应该是紧密

12、结合、相互联动的统一平台，才能达到构建可信、可是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。控和可管理的安全内网的效果。零售行业网络安全案例分析零售行业网络安全案例分析u一、一、高性能网络以满足消费者的体验高性能网络以满足消费者的体验u二、二、店内无线店内无线LAN的深度防护的深度防护u三、三、到低成本的公共网络的迁移到低成本的公共网络的迁移u四、店内创新服务的采用四、店内创新服务的采用u五、五、PCI-DSS法案合规支持法案合规支持 知识拓展知识拓展 智能安全分析智能安全分析2012年年Verizon调查报告指出，调查报告指出，99%的违规会导致数据的违规会

13、导致数据在几天甚至更短时间内受损，而在几天甚至更短时间内受损，而85%的违规需要几星期甚至更的违规需要几星期甚至更长时间才会发现。长时间才会发现。利用大数据进行分析已成为安全领域的黄金标准：越来利用大数据进行分析已成为安全领域的黄金标准：越来越多的组织正在将大数据用于安全领域。有越多的组织正在将大数据用于安全领域。有74%的企业正在或的企业正在或计划在一年内为安全目的搜集和分析计划在一年内为安全目的搜集和分析“大数据大数据”；56%的企业的企业已经或正在建立及运作安全营运中心，已经或正在建立及运作安全营运中心，15%的企业的企业2年内有此年内有此计划。计划。大数据改变了安全分析方式：利用大数据

14、检测高级威胁的大数据改变了安全分析方式：利用大数据检测高级威胁的企业有企业有50%，进行安全分析的有，进行安全分析的有46%，进行内部审计的有，进行内部审计的有45%，进行合规操作的有，进行合规操作的有45%，评估现有安全状况的有，评估现有安全状况的有40%，进行，进行安全取证的有安全取证的有38%，保留及分析记录的有，保留及分析记录的有37%。知识拓展知识拓展智能安全分析智能安全分析 但在目前，大数据尚未得到充分利用：但在目前，大数据尚未得到充分利用：40%40%的企业的企业所收集的安全数据都会被淹没；所收集的安全数据都会被淹没；35%35%的企业缺乏足够时间的企业缺乏足够时间及专业水平来分

15、析所收集的数据；及专业水平来分析所收集的数据；38%38%的企业表示，存储的企业表示，存储或数据管理成本阻碍他们搜集更多安全数据；或数据管理成本阻碍他们搜集更多安全数据；73%73%的企业的企业表示，如果数据能被好好利用表示，如果数据能被好好利用,他们愿意搜集更多数据用他们愿意搜集更多数据用于安全分析。于安全分析。把正确信息在正确时间提供给正确人员，从而将攻把正确信息在正确时间提供给正确人员，从而将攻击活动与风险管理给业务带来的影响降至最低，这样企业击活动与风险管理给业务带来的影响降至最低，这样企业就能够对数字风险获得控制能力。就能够对数字风险获得控制能力。模块八模块八 电子商务安全电子商务安

16、全项目18 信息安全案例项目任务项目案例 信息泄露事件知识点一 网络信息安全信息泄露事件案例分析知识拓展云服务的数据安全问题 项目项目18 信息安全案例信息安全案例u项项目目任任务务：能能说说出出电电子子商商务务信信息息安安全全的的需需求求与与防防范范措措施施，会会分分析析目目前前主主要要的的成成功功案案例例所所采采用用的的技技术术解解决决方方案案，能能够够为为企企业业电电子子商商务务信信息息安安全全建建设设提提供供合合理理化化建议。建议。战略目标战略目标目标用户目标用户产品与服务产品与服务赢利模式赢利模式核心能力核心能力项目案例项目案例 信息泄漏事件信息泄漏事件校园网在为广大师生提供便捷、高效的学习、工作校园网在为广大师生提供便捷、高效的学习、工作环境的同时，也在宽带管理、计费和安全等方面存在环境的同时，也在宽带管理、计费和安全等方面存在许多问题：许多问题：（1）IP地址及用户账号的盗用地址及用户账号的盗用（2）多人使用同一账号）多人使用同一账号（3）网络计费管理功能的单一）网络计费管理功能的单一（4）对带宽资源的大量占用导致重要应用无法进行）对带宽资源的大量占用导致重要应用无法进行