第四章 电子商务安全总结

第四章电子商务安全电子商务安全电子商务的安全问题1．卖方面临的问题(1)中央系统安全性被破坏(2)竞争对手检索商品递送状况(3)被他人假冒而损害公司的信誉(4)买方提交订单后不付款(5)获取他人的机密数据2．买方面临的问题(1)付款后不能收到商品(2)机密性丧失(3)拒绝服务电子商务安全电子商务的安全问题3．信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4．信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况目录4.1.1电子商务安全的内涵4.1.2电子商务面临的威胁4.1.3电子商务安全需求4.1.4电子商务安全体系结构电子商务安全的概念电子商务安全-计算机系统、通信网络、应用环境等保证电子商务实现的要素不受危害的一个多层次、多方位的动态过程。广义：网络、环境、人狭义：信息存储安全；信息传输安全！电子商务安全的层次电子商务安全可分为两个层次:一是计算机网络的安全–系统实体安全–系统运行安全–系统软件安全二是电子交易安全没有计算机网络安全作为基础，电子交易安全无从谈起；没有电子交易安全，即使计算机网络本身很安全，也无法满足电子商务特有的安全需求电子商务安全的特点①系统性安全不仅是一个技术问题，也是管理问题②相对性没有绝对的安全③有代价性应考虑到安全的代价和成本问题④发展动态性没有一劳永逸的安全4.1.2电子商务面临的威胁1、电子商务面临的系统安全威胁（1）黑客攻击（hacker，骇客）利用操作系统和网络的漏洞、缺陷，从网络的外部非法侵入，进行不法行为。常用的手段：拒绝服务攻击、利用缺省账户、截取口令、IP地址欺骗等。（2）病毒攻击（3）系统漏洞盘点2014安全漏洞事件【携程信用卡泄露门】2014年3月22日，中国在线旅游巨头携程公司被爆出“支付漏洞”，用户信用卡信息有可能被黑客读取。一时间人心惶惶，还好携程方面快速响应，承认了这件事，并且改进此事，算是挽救了自己的信誉。【OpenSSL心脏出血】2014年4月7日，OpenSSL发布了安全公告，在OpenSSL1.0.1版本中存在严重漏洞。会让很多用户名、密码，包括用户登陆的操作，收发邮件等私密明文信息。全球有240多万服务器受影响，覆盖面甚广，全球很多黑客都行动起来，各种刷数据。不过好在应急也是非常及时，避免了损失的进一步扩大。盘点2014安全漏洞事件【Bash破壳（Shellshock）漏洞】转眼到了下半年，9月25号，继“心脏出血”漏洞之后，安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock漏洞。这个漏洞的危害程度比上述的OpenSSL漏洞更加厉害！基本全球的Linux服务器都受到了危害的波及。【索尼影业被黑】离我们还不是很遥远的11月27日，索尼公司被黑客攻击内网之后，宣布旗下5部电影遭到了泄密。全球都报道了此次事件，各种花边的消息，各种说法都有。有说朝鲜的，有说内鬼的，有说政治因素的，等等。盘点2014安全漏洞事件【12306遭撞库攻击】12月24日，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型是“用户资料大量泄漏”。据悉，此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。【BadUSB】一个BADUSB设备可以模仿登录用户的键盘或发出命令，例如exfiltrate文件或安装恶意软件。这样的恶意软件，反过来，可以感染的计算机连接的其他USB设备控制器芯片。该设备还可以欺骗网卡和更改计算机的DNS设置将流量重定向。电子商务面临的交易安全威胁（1）信息的截获和窃取（2）信息篡改（3）假冒他人身份（4）抵赖行为安全威胁的类型电子商务面临的安全威胁信息源信息目的a)正常流b)中断(c)截获d)篡改e)伪造电子商务面临的安全威胁篡改Modification针对完整性进行的攻击伪造Fabrication针对真实性进行的攻击。中断Interruption针对可用性进行的攻击截获Interception针对机密性进行的攻击抵赖repudiation针对不可否认性进行的攻击。我国电子商务安全现状从技术上看：首先是数据传输的速度太慢；第二是没有安全、可靠的结账方式，这严重制约着电子商务的发展；第三是IT技术的发展速度太快，商务模式的形成和人们使用习惯的养成都需要一定的时间，虽然技术不断发展，但社会对技术的认同是有阶段的，这使得用户和经营者都难以消化，难以跟上这种快速发展的步伐；第四是难以及时处理用户的有关问题，开通一个网站，如果一段时间以后用户的反馈多了，网络的速度就会慢下来，这也许是线路本身的问题，但也存在技术处理的问题，目前尚没有解决的良策。第五是在安全保障上，难以防范现在的网络犯罪，特别是黑客的攻击。我国电子商务安全现状从管理上看，存在的主要问题有：1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多；2)电子商务网站的经营收益远低于预期，有网络泡沫之嫌；3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的，在造势上不无奢华，但在收效上却无殷实，不充分考虑中国人的商业行为和方式，恐怕是难以成功的。4)网站运营成本太高。由于运行成本居高不下，再好的商业模式也不堪重负。5)收费困难。除B2B稍好一点外，B2C电子商务一直没有找到方便可行的收费方式。电子商务安全的要素要素含义机密性信息不被泄露给非授权用户完整性信息是未被篡改的不可抵赖性信息的收、发双方不能否认曾经收发过信息即时性在规定的时间内完成服务真实性确保对方的身份是真实的和信息的来源是真实的访问控制对访问者访问资源时的权限控制可用性访问者需要的时候，资源是可用的本课程将介绍的所有技术手段、管理措施，其根本目的，都是为了实现一种或多种安全要素的4.1.3电子商务的安全需求电子商务顺利开展的核心和关键的保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。保障数据信息的有效性、保密性、完整性、可靠性、不可否认性等。19电子商务安全要素-真实性指网上交易双方身份信息和交易信息真实有效，双方交换通过数字签名、身份认证、数字证书等辨别交易者的身份。20电子商务安全要素-有效性要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。21电子商务安全要素-保密性保证个人或专用的高度敏感数据的机密性主要技术，密码学EC信息直接代表着个人、企业或国家的商业机密。要预防非法的信息存取和信息在传输过程中被非法窃取。22电子商务安全要素-完整性保证所存储、传输等管理的信息不被篡改。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。23电子商务安全要素-可靠性可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。电子商务安全要素-匿名性24电子商务安全要素-不可抵赖性防止通信的双方对已进行业务的否认在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴。保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。4.1.4电子商务安全体系结构一个完整的电子商务安全体系应由安全技术保障、法律保障和管理制度保障组成。安全操作系统、安全数据库系统安全物理设备（安全网络设备、计算机和通信信道）加密技术（AES、RSA和ECC等）安全协议（SSL协议、S/MIME协议等）公钥基础设施PKI（数字签名、数字信封、CA认证等）安全电子商务支付机制安全电子商务交易协议SET电子商务政策法规安全管理电子商务安全电子商务安全体系结构4.2电子商务的网络安全技术防火墙技术入侵检测技术虚拟专用网技术反病毒技术防火墙概述防火墙是位于两个信任程度不同的网络间（如企业内部网和Internet），实施网络间访问控制保护本地系统或网络不受攻击的一组组件（包括软件和硬件设备）的集合。Internet防火墙企业内部网IntranetInternet防火墙具有如下特点①防火墙是不同安全级别的网络或安全域之间的唯一通道，如果把企业内部网看成是一个四周都有围墙的区域的话，防火墙就相当于企业内部网的大门，这个大门有门卫把守②只有被防火墙策略明确授权的通信才可以通过；③防火墙自身应具有高安全性和高可靠性。防火墙的性质①双向通信必须通过防火墙；②防火墙本身不会影响信息的流通；③只允许本地安全策略授权的通信信息通过。防火墙基本类型1．包过滤防火墙2．代理服务器防火墙3．状态检测防火墙4．三种防火墙技术的对比1.包过滤防火墙包过滤是防火墙的核心功能之一，防火墙的包过滤标准依赖于防火墙的安全策略，通常防火墙的安全策略由网络管理员预置在防火墙设备的ACL（AccessControlList，访问控制列表）中，防火墙根据ACL规则对网络数据流进行过滤，阻止不符合安全策略的通信。（1）包过滤原理网络通信的数据包分为报头和数据两个部分。报头的内容主要包括封装协议、IP源地址、IP目标地址、ICMP消息类型、TCP和UDP目标端口、TCP报头中的ACK位等。而数据的内容是各种网络应用的通信数据。网络通信系统中的路由器就是根据数据包的IP目标地址选择合适的路由，将数据包发送给目标机器。（2）包过滤防火墙的优点包过滤防火墙具有操作简单、运行高效、易于安装和使用等特点，通常包过滤防火墙内嵌在路由器中对通信数据包实施过滤。路由器是网络互联的关键节点设备，因此在路由器中内嵌包过滤功能几乎不需要任何额外的费用。包过滤防火墙的优点主要体现在下面几个方面：·包过滤防火墙不会影响到应用程序的正常运行。·包过滤防火墙可以保护整个内网安全。·包过滤防火墙对于用户是透明的。·包过滤防火墙具有良好的网络性能。（3）包过滤防火墙的缺点包过滤防火墙主要缺点是安全性较差、功能相对单一以及不能防止地址欺骗等。·包过滤防火墙的安全性较差。·包过滤防火墙对个别协议并不支持，例如UDP协议、RPC协议，并且包过滤防火墙缺乏审计和报警机制，另外，无法提供完整的安全策略服务，例如，数据包的报头信息只能说明数据包的来源主机，而不能确定用户、端口或应用程序。·包过滤防火墙不能防止地址欺骗。2.代理服务型防火墙（1）代理服务型防火墙概述代理服务型防火墙是利用代理服务器将内部网络和外部网络分开，在数据通过代理服务器时利用防火墙对进出网络的数据进行安全检测，并阻止各类网络攻击。代理服务器基于应用层实现代理服务，访问外网的用户首先向代理服务器发出连接请求，代理服务器对其进行验证，然后将验证后的请求转发给外网服务器，外网服务器将应答交给代理服务器，经代理服务器检测后发送给请求用户。（2）应用层网关防火墙应用层网关防火墙是典型的代理服务型防火墙，运行于网络协议的应用层，实现数据包的过滤和转发功能。应用层网关防火墙针对于特定的网络应用服务协议采用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成检测报告。应用层网关防火墙的核心是代理服务器，其主要功能是基于网络协议的应用层实现协议的过滤和转发。外部网络用户访问内部网络时，应用层网关防火墙首先会对数据包进行过滤，同时对数据包进行必要的分析、登记和统计，并形成检查报告。（3）电路级网关防火墙电路级网关防火墙，也称TCP通道防火墙。在电路级网关防火墙中，数据包被提交给用户的应用层进行处理，电路级网关用来在两个通信终端之间转换数据包。电路级网关防火墙与包过滤防火墙都是依靠特定的逻辑来判断是否允许数据包通过，但是两者之间存在明显的区别，即包过滤防火墙允许内、外网之间的计算机直接建立连接，而电路