电子商务实用教程-第四章

电子商务实用教程第4章电子商务安全第4章电子商务安全第一节电子商务的主要安全要素第二节电子商务安全体系结构第三节电子商务的安全管理需求第四节电子商务的安全威胁第五节电子商务的安全防护体系第六节数据安全第七节信息加密第八节数字签名与数字证书第九节电子商务安全交易协议第十节电子商务安全管理制度本章学习目标了解电子商务的主要安全要素了解电子商务安全体系结构了解电子商务的安全管理需求掌握电子商务中存在的安全威胁掌握电子商务的安全防护体系掌握数据安全中的访问控制技术和数据容灾技术理解信息加密技术掌握数字签名与数字证书的概念熟悉电子商务安全交易协议第一节电子商务的主要安全要素一、信息的保密性二、信息的完整性三、信息的有效性四、信息的不可抵赖性五、交易身份的真实性六、系统的可靠性一、电子商务的主要安全要素一、信息的保密性信息的保密性是指一些敏感的交易信息在存储和传输过程中不被非授权用户窃取。二、信息的完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异，此外，数据传输过程中信息的丢失、重复或传输次序的差异也会导致贸易各方信息的不同。因此，信息的完整性要求在信息的发送端和接收端的信息一致，以防止信息的丢失、出错以及非法用户对信息的恶意篡改。电子商务系统应该提供对信息进行完整性验证的手段，确保能够发现数据在传输过程中是否发生改变。三、信息的有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。一旦签订交易后，这项交易就应受到保护，防止被篡改或伪造。一、电子商务的主要安全要素四、信息的不可抵赖性在传统的纸张贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的交易方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，一旦交易开展后便不可撤销，交易中的任何一方都不得否认其在该交易中的作用，即对交易的约定不可抵赖。五、交易身份的真实性网上交易的双方很可能素昧平生，远隔千里甚至是跨国界的。要交易成功，首先要能确认交易双方身份的合法性以防假冒。因此，电子商务系统应该提供交易双方进行身份鉴别的机制。六、系统的可靠性电子商务系统是计算机系统，其可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，以确保系统的安全可靠。计算机系统安全是保证电子商务系统数据传输、存储及完整性的基础。二、电子商务安全体系结构电子商务安全体系结构第二节电子商务安全体系结构整个电子商务安全体系从下到上是由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成，各个层次之间相互依赖、相互关联从而构成统一整体。各个层次只有通过合理应用相应的控制技术，并进行有机结合，才能实现电子商务系统的安全，从而进一步确保电子商务活动的保密性、完整性、有效性、不可抵赖性、真实性和可靠性。第三节电子商务的安全管理需求一、信息传输具有保密性二、交易文件具有完整性三、信息具有不可否认性四、交易者身份具有真实性一、信息传输具有保密性信息的保密性是指信息在传输过程或存储中不被他人窃取，因此，信息需要加密以及在必要的结点上设置防火墙。例如，信用卡号在网上传输时，如果非持卡人从网上拦截，并知道了该号码，他也可以用这个号码在网上购物，因此，必须对要保密的信息进行加密，然后再放到网上传输。二、交易文件具有完整性信息的完整性是从信息传输和存储两个方面来看的。在存储时，要防止非法篡改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密，能保证第三方看不到真正的信息，但并不能保证信息不被修改。例如，如果发送的信用卡号码是“2012”，接收端收到的却是“2021”，这样，信息的完整性就遭到了破坏。三、信息具有不可否认性信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。由于商情的千变万化，交易达成后是不能否认的，否则，必然会损害一方的利益。例如，买方向卖方订购石油，订货时世界市场的价格较低，收到订单时价格上涨了，如果卖方否认收到的订单的时间，甚至否认收到订单，那么买方就会受到损失。四、交易者身份具有真实性交易者身份的真实性是指在虚拟市场中确定交易者的实际身份。网上交易的双方很可能素昧平生，相隔千里，要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份的认证工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等问题。第四节电子商务的安全威胁电子商务是基于因特网环境开展的，由于因特网的TCP/IP协议及源代码的开放和共享是为了更好地共享资源，但电子商务中的一些信息是不能共享的，比如个人隐私、商业机密等，这就出现了矛盾。每天都有成千上万的交易在因特网上进行，网络系统也面临着来自黑客攻击、计算机病毒、拒绝服务攻击、间谍软件和利用操作系统的网络的漏洞、缺陷从外部非法侵入，进行不法行为的安全隐患。这自然使得某些别有用心的人有机可乘，在电子商务交易中窃取商业机密，冒用他人信用卡、篡改订单等犯罪行为时有发生，因此，因特网的安全直接影响着电子商务的安全。网络安全是信息安全的基础，一个完整的电子商务系统应该建立在安全的网络基础设施之上。第四节电子商务的安全威胁一、黑客攻击二、病毒和蠕虫攻击三、通过建立欺骗性的网站攻击四、利用垃圾邮件及钓鱼方式进行攻击五、利用网络间谍活动和间谍软件进行攻击一、黑客攻击1.黑客的分类2.黑客入侵网络方式的基本分类一、黑客攻击1.黑客的分类根据其行为分析，黑客大致可分为以下几种类型：①恶作剧型：此种黑客喜欢进入他人网络的主机中，更改别人的网页内容，以显示自己高超的网络侵略技巧。②商业间谍型：由竞争对手派出，以各种应聘方式进入目标公司，在深入了解该公司网络运行状况后，窃取商业机密。③报复型：员工在职时对公司不满，在离职前将病毒或黑客软件放入原公司电脑系统中。待离职后，电脑病毒发作，破坏该公司的计算机系统，造成损失。④不正当竞争型：非法进入他人网络，修改其电子邮件内容或订单信息，窃取其报价，扰乱对方的经营策略，并乘机介入到其商品竞争中。一、黑客攻击2.黑客入侵网络方式的基本分类①被动式：入侵者仅仅窃听信息，希望收集一些有用的信息，并不修改通过网络传输的信息或数据。②主动式：入侵者与目标系统交互，试图影响目标系统的行为，一般会对数据进行修改。无论哪种进攻策略，最终的目的都是获得进入目标系统的一个入口，这个入口可以是口令、用户名甚至是一个主机地址，作为一个看上去“合法”的用户登录系统。3.电子商务黑客攻击的主要类型①猜测口令猜测口令也称为字典攻击，基本上是一种被动攻击方式。②木马攻击这是一种较为严重的主动攻击方式，也成“特洛伊木马”。③端口窃听端口窃听是通过隐蔽的方式或在网络的接口上接入一台主机，即使不登录到网络中，也能通过软件来截获其他计算机的数据包。二、病毒和蠕虫攻击1.利用计算机病毒进行攻击2.利用蠕虫进行攻击二、病毒和蠕虫攻击(1)利用计算机病毒进行攻击计算机病毒是一段附着在其它程序上的可以实现自我复制、自我扩散的程序代码。计算机病毒种类繁多，极易传播，影响范围广，它动辄删除、修改文件，导致程序运行出错、死机，甚至毁坏硬件，对计算机网络造成了严重的威胁。感染病毒的常见途径：①从互联网上下载含病毒程序的文件。②运行电子邮件中含病毒的附件。③通过磁盘等存储设备交换含病毒的文件。④将含病毒的文件在局域网中复制。二、病毒和蠕虫攻击(2)利用蠕虫进行攻击蠕虫(worm)也是病毒中的一种，但与普通病毒有很大的区别，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制，普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机。网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。三、通过建立欺骗性的网站攻击欺骗者建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，并且利用后台数据库把这些信息存储起来，欺骗者在取得这些信息后就可以通过真正的网上银行、网上证券系统盗窃资金。欺骗者可能会把假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上，或者通过电子邮件群发的方式发送给用户。四、利用垃圾邮件及钓鱼方式进行攻击1.利用垃圾邮件和手机短信进行网络钓鱼垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库，因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。2.利用病毒、木马网络钓鱼最早引起广泛关注的“网络钓鱼”事件，正是借助了一款名为“Mimail.J”的病毒，该病毒伪装成由Paypal网站寄出的信息，表示收件者的账户将在5个工作日后失效，要求用户更新个人信息，才能重新启动账户。有些恶意网站，如（www.1enovo.com）伪装成联想主页（www.lenovo.com），前者将数字1取代英文字母L，利用多种IE漏洞植入木马病毒。3.利用“鸡尾酒”钓鱼术这是一种比较巧妙的欺骗方法，通过发送一个包含链接的垃圾邮件，用户点击邮件中的链接，就会被带到一个正常网站，同时恶意脚本会在用户电脑上弹出一个小窗口，这样看起来小窗口就像是网站的一部分，用户往往就会在这个小窗口中填入登录账号和密码等。五、利用网络间谍活动和间谍软件进行攻击1.电子商务中网络间谍活动入侵手段多样化间谍活动的入侵手段是多种多样的，主要包括以下几点：通过软件捆绑下载安装。分享软件及免费软件下载是间谍软件最普遍的传播方式。通过恶意电子邮件。网站登录。一些间谍软件会通过网站登录被触发并自动下载安装到计算机当中。监视你的上网活动和截获你所发送的一切信息。操作系统的漏洞也是网络间谍的入侵方式之一。通过移动存储介质入侵。电子商务中网络间谍活动具有隐蔽性，它是通过互联网等电子渠道窃取电子商务企业组织和个人的机密数据。它不像病毒那样具有立竿见影的破坏性，网络间谍只是偷偷地窃取一些机密数据，并且不会留下任何痕迹，所以很难引起人们的注意。随着软件技术和网络技术的发展，电子商务中网络间谍活动的隐蔽性会越来越强，越来越难以被检测到。从破获的网络间谍案例来看，都是长期、多次作案后被偶尔发现的。近几年，网络间谍活动呈上升趋势，软件技术及信息技术的发展使得这一威胁的防御极其困难。商业驱动的网络间谍是这些秘密活动中增长最快的领域。5.利用网络间谍活动和间谍软件进行攻击2.电子商务中间谍软件种类随着间谍软件对企业网络基础设施的完整性及其所保护的数据造成威胁，了解这种类型的恶意软件显得至关重要。间谍软件具体可分为以下三类:①广告软件广告软件的破坏性主要是监控用户网页浏览行为，并基于此行为将目标广告发送至用户界面，并通过安装浏览器辅助工具栏改变用户工作方式和