1、Bussiness College of Shanxi University 电子商务安全08电商B1,B2、08电政B1,B2主讲:冯小玲主讲:冯小玲Email: Email: 信息安全、网络安全1山西大学商务学院电子商务系Bussiness College of Shanxi University 学习方法其他教材与本课程有关的扩充性杂志其他教材与本课程有关的扩充性杂志 电子商务、中国电子商务、电子商务世界、市场周刊商务、网络安全技术与应用、信息网络安全、计算机应用研究、计算机安全、计算机网络等。(粗中有细、略后又精)术业有专攻、厚积薄发2山西大学商务学院电子商务系Bussiness Co
2、llege of Shanxi University 第1章概述本章教学目标1.电子商务存在的一些安全威胁,及其可能遭受的攻击。2.掌握对电子商务安全的目标。3.了解实现电子商务安全手段、技术、方法4.了解电子商务安全方面的法律、动态、发展。2022/11/63 3山西大学商务学院电子商务系Bussiness College of Shanxi University 案例一:一名网络管理员自行开设了一家订票网站“长春铁路在线”的网站,以定票的名义从事网络欺骗。免费赠送QQ币:登陆该网站,发现该网站从网页布局到域名,都仿冒腾讯公司的QQ网站设立,让用户以为是腾讯官方进行的市场促销活动。当用户按照
3、该网站的提示填入自己的QQ号码后,该网站甚至会弹出一个假冒的QQ软件系统信息窗口,让用户误以为自己真获得了腾讯公司赠送的QQ币。同时,该网站还提示说:“恭喜您!您成功获得5个QQ币,但是还没有被激活。马上把下面这个地址发给您QQ上的五位朋友点击来激活吧。诱骗用户把这个虚假信息传递给自己的QQ好友。目的:该网站为了提高自己的网络全球排名、获取商业利益的伎俩。ALEXA提供的资料,一个星期内,该骗子网站的全球排名从80000多位上升到了2000多位。根据业内权威人士分析,每天受骗登陆该网站的人数可达数十万。类似的网络诈骗行为在西方欧美国家已经成为威胁用户安全的一种主流诈骗手段,单单信用卡用户每年遭
4、受的损失就有数十亿美元,因此用户一定不能掉以轻心。4山西大学商务学院电子商务系Bussiness College of Shanxi University 案例二:黄群威编造、故意传播虚假恐怖信息案2003年4月,注册名为“zzzzxxxxzz”的用户,在“西路网”论坛发表标题为“绝对可靠内部消息,上海隐瞒了大量非典病例”一文,IP地址为202.108.136.154。西路当值安全监控员删除该文章时,点击率为945次;5山西大学商务学院电子商务系Bussiness College of Shanxi University 案例3:证券大盗2004年11月,四川广汉的投资者陈先生,在毫不知情的情
5、况下,其账户中的股票“动力源”被卖掉,并以8.33元买入了阳光发展,给他造成了上万元的损失。陈先生询问开户营业部华西证券广汉营业部,才知道原来这是网络病毒“证券大盗”搞的鬼。6山西大学商务学院电子商务系Bussiness College of Shanxi University 参见:中国互联网络发展状况统计报告(2010/6)半年有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击,遇到该类不安全事件的网民规模达到2.5亿人。2010年上半年,有30.9%的网民账号或密码被盗过,网络安全的问题仍然制约着中国网民深层次的网络应用发展。89.2%的电子商务网站访问者担心访问假冒网站;而他们如
6、果无法获得该网站进一步的确认信息,86.9%的人会选择退出交易。互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。7山西大学商务学院电子商务系Bussiness College of Shanxi University 1.1安全隐患与攻击 国际化、社会化、开放化、个人化的Internet。电子商务、电子政务、电子税务、电子海关、网上银行、电子证券、网络书店、网上拍卖、网络防伪、网上选举等等,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。8 8山西大学商务学院电子商务系Bussiness College of Shanxi University
7、 n计算机网络安全计算机网络设备安全计算机网络系统安全数据库安全 n商务交易安全销售者的安全消费者的安全电子商务的风险9山西大学商务学院电子商务系Bussiness College of Shanxi University 安全隐患(一)硬件的安全隐患;操作系统安全隐患;“后门”网络协议的安全隐患;数据库系统安全隐患;计算机病毒;管理疏漏,内部作案;重应用,轻安全。2022/11/610山西大学商务学院电子商务系Bussiness College of Shanxi University 安全隐患(二)由于非法用户可以伪造、假冒电子商务网站和用户的身份。敏感信息和交易数据在传输过程中有可能被恶
8、意篡改。网上交易行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据。11山西大学商务学院电子商务系Bussiness College of Shanxi University 威胁最大的“网络钓鱼”式攻击假冒网站邮件欺骗木马病毒12山西大学商务学院电子商务系Bussiness College of Shanxi University 中国银行网站www.bank-of- 中国银行的假冒域名是www.bank-off-,多一个英文字母f;中国工商银行网站 中国工商银行域名是,与,也只是“1”和“i”一字之差;中国农业银行网站 中国农业银行域名是13山西大学商务学院电子商务系B
9、ussiness College of Shanxi University 以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。国内第一例中文混合型病毒“重要文件”冒充一家购物网站邮件迷惑用户,危害仅是可能将盗取个别用户网络银行账号和网络游戏密码等敏感信息。14山西大学商务学院电子商务系Bussiness College of Shanxi University 黑客攻击的分类被动攻击主动攻击攻、防、测、控、管、评15山西大学商务学院电子商
10、务系Bussiness College of Shanxi University 源点终点正常状态攻击者伪造篡改中断截获被动攻击主动攻击主动攻击主动攻击16 16山西大学商务学院电子商务系Bussiness College of Shanxi University 攻击对象网络恐怖分子(黑客)、信息战部队现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。黑客(hacker):对技术的局限性有充分认识,具有操作系统和编程语言方面的高级知识,热衷编程,查找漏洞,表现自我。他们不断追求更深的知识,并公开他们的发现,与其他人分享;主观上没有破坏数据的企图。骇客(骇客(cracke
11、rcracker):):以破坏系统为目标。“红客红客”honkerhonker:中国的一些黑客自称“红客”honker。美国警方:把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。17 17山西大学商务学院电子商务系Bussiness College of Shanxi University 计算机网络犯罪计算机网络犯罪与传统的犯罪相比有许多不同的特点:危害性:犯罪后果严重。成本低,传播快,范围广。知识性:智慧型白领犯罪,年轻、专业化。隐蔽性:侦破与取证困难;证据的可修改性。广域性、跨国性:作案场所不受地理区域的限制。集中在机密信息系统和金融系统两方面。18山西大学商务学
12、院电子商务系Bussiness College of Shanxi University 1.2信息安全的目标实例:1 A向B传送支付工资的记录,这些数据必须加以保护以防泄密。C是没有被授权却想读取文件的用户,可能监视该传送过程,并在传送过程中截获了该文件的副本。(截获)机密性 2 某网络管理员D向用户E传送消息,用户F中途截取,并且改变消息的内容,然后发送E,E以为该信息是由D发送的。(篡改)完整性 3 用户F构造了自己希望的内容,然后发送E,E以为该信息是由D发送的。(伪造)鉴别性 4 一个客户向一个股票代理商发出交易指示信息。随后,股票跌值,该客户不承认发出交易信息。(否认)抗否认性19
13、山西大学商务学院电子商务系Bussiness College of Shanxi University 信息安全的目标 1 保护信息的机密性(Confidentiality)即保证信息为授权者享用而不泄漏给未经授权者。2 保护信息的完整性(Integrity)数据完整性:未被未授权篡改或者损坏 系统完整性:系统未被非授权操纵,按既定的功能运行 3 保护信息的可用性(Availability)即保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。4 保护信息的抗否认性(Non-repudiation)要求无论发送方还是接收方都不能抵赖所进行的传输 5 保护信息
14、的鉴别性(Distinguish)确认实体是它所声明的。适用于用户、进程、系统、信息等 6 保护信息的可靠性(Reliability)指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。7 保护信息的可控性(Controllability)指对信息传播及内容具有控制能力的特性。20 20山西大学商务学院电子商务系Bussiness College of Shanxi University 信息安全的五种服务认证(Authentication)保密(Encryption)数据完整(Integrity)不可否认(Non-repudiation)访问控制(Access Control)信息
15、安全的目标的另一表述是信息安全的目标的另一表述是CIACentral Intelligence Agency21山西大学商务学院电子商务系Bussiness College of Shanxi University 1.3安全的一些概念F物理安全通信安全辐射安全(电传打印机)F计算机安全F网络安全F信息安全F电子商务安全(加密技术、认证技术、安全认证技术)(它们之间的关系如何?)但由此我们可以看出在安全领域的共性问题.综合、交叉的学科:密码学理论、计算机网络、操作系统、数据库技术、安全协议、通信技术、电子技术。在众多的应用中准确把握分析问题、解决问题的思路。22山西大学商务学院电子商务系Bus
16、siness College of Shanxi University F白皮书:是由官方制定发布的阐明及执行的规范报告。F蓝皮书:是由第三方完成的综合研究报告。F绿皮书:是关于乐观前景的研究报告。F红皮书:是关于危机警示的研究报告(80年代后期,TNI可信网络说明,红皮书)F橙皮书;CC通用准则 橘皮书:TCSEC可信计算机系统评估准则安全技术评估标准23山西大学商务学院电子商务系Bussiness College of Shanxi University 课堂作业:国外安全技术评估标准 美国、欧洲、加拿大、日本、韩国、芬兰等国内电子商务安全法律法规要求:完成作业的方法?查阅了那些资料?涉及到哪些国家?有哪些立法与标准?这些立法与标准对电子商务、电子政务的发展有什么影响?24山西大学商务学院电子商务系Bussiness College of Shanxi University 1.4信息安全的研究内容信息安全三分靠技术,七分靠管理。信息安全的实现依靠:基础理论知识 应用技术手段 安全管理方法:政府策略、法律法规、安全核心问题、产品技术与企业需求、电子商务安全措施及技术发展现状、产品市
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1