网络安全与电子商务

12电商安全涉及的领域综合、交叉的学科：密码学理论、计算机网络、操作系统、数据库技术、安全协议、通信技术、电子技术。安全体系结构安全的策略与管理，安全风险分析与计算机安全有关的法律问题3课程内容电子商务安全概述物理安全网络平台安全加密技术数字签名认证访问控制4课程内容Web安全技术协议安全防火墙技术威胁与攻击病毒防治入侵检测安全管理与安全策略5网络安全与电子商务第一讲电子商务安全概述6电子商务安全概述计算机系统安全的现状计算机系统安全的概念安全威胁信息系统安全技术计算机系统安全应解决的问题安全的体系结构71、背景信息技术：成为信息时代的核心技术和中坚力量，它影响和决定着现代技术的走向，信息技术正是各科技术的领头羊。信息产业：电子商务、电子政务、电子税务、电子海关、网上银行、电子证券、网络书店、网上拍卖、网络防伪、网上选举等等,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。网上资源越来越丰富一、电子商务安全的现状81、背景网络的复杂性1.局域网联入广域企业网中。2.向商业伙伴（客户、供应商）开放自己的网络。3.外部网接入Internet。内部网络资源提供给日益增多的机构内部、外部人员。随着接触网络的人增加,保护网络资源免受侵犯成为最为关注的问题。网络越来越庞大一、电子商务安全的现状91、背景Internet的四个特点：国际化、社会化、开放化、个人化。国际化：网络的攻击不仅仅来自本地网络的用户，它可以来自Internet上的任何一个机器。社会化：全球信息化飞速发展，信息化系统已经成为国家关键基础设施，诸如电信、电子商务、金融网络等，社会对计算机网络的依赖日益增强。开放化：网络的技术是全开放的，任何一个人、团体都可能获得。开放性和资源共享是网络安全的根源。个人化：随着网络应用的深入，人类的生活越来越离不开网络，人们可以自由地访问网络，自由地使用和发布各种类型的信息，但同时也面临着来自网络的安全威胁一、电子商务安全的现状102、安全问题1986年Basit和Amjad两兄弟编写的Pakistan病毒（brain)。1988年美国康乃尔大学Morris编制的蠕虫病毒通过英特网传播1996年8月17日，美国司法部网页被改为“不公正部”，希特勒1996年9月18日，“中央情报局”“中央愚蠢局”1996年12月，黑客侵入美国空军的全球网网址并将其主页肆意改动，迫使美国国防部一度关闭了其他80多个军方网址。1998年10月27日，刚刚开通的“中国人权研究会”网页，被“黑客”严重纂改。2000年春节期间黑客攻击以Yahoo和新浪等为代表的国内外著名网站,造成重大经济损失。E-mail侵权案件、泄密事件不断一、电子商务安全的现状112、安全问题一、电子商务安全的现状2001年南海撞机事件引发中美黑客大战。122、安全问题一、电子商务安全的现状入侵者是谁？网络恐怖分子（黑客）、信息战部队现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。黑客(hacker)：对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并公开他们的发现，与其他人分享；主观上没有破坏数据的企图。骇客（cracker）：以破坏系统为目标。“红客”honker：中国的一些黑客自称“红客”honker。美国警方：把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。132、安全问题1、计算机犯罪的种类双重说：工具对象计算机犯罪是一种新的犯罪形态。归纳为四种：破坏计算机：是指以计算机作为犯罪行为客体，加以暴力或技术性的破坏。擅用信息系统：是指无权使用信息系统的人擅自使用。滥用信息系统：是指以计算机为工具，进行欺诈、侵占、散布非法信息等各种犯罪目的之行为。破坏安全系统：是指以技术性的方法破坏信息系统在安全方面所采取的措施。一、电子商务安全的现状142、安全问题2、计算机犯罪的特点计算机犯罪集中在机密信息系统和金融系统两方面。计算机犯罪与传统的犯罪相比有许多不同的特点：危害性：犯罪后果严重。成本低，传播快，范围广。知识性：智慧型白领犯罪，年轻、专业化。隐蔽性：侦破与取证困难。广域性：作案场所不受地理区域的限制。一、电子商务安全的现状153、安全隐患a)硬件的安全隐患；b)操作系统安全隐患；c)网络协议的安全隐患；d)数据库系统安全隐患；e)计算机病毒；f)管理疏漏，内部作案。一、电子商务安全的现状163、安全隐患a)硬件设备的安全隐患CPU:Intel公司在奔腾IIICPU中加入处理器序列号，因此Intel涉嫌干涉个人隐私，但要害问题则是政府机关、重要部门非常关心由这种CPU制造的计算机在处理信息或数据时所带来的信息安全问题，即这种CPU内含有一个全球唯一的序列号，计算机所产生的文件和数据都会附着此序列号，因而由此序列号可以追查到产生文件和数据的任何机器。一、电子商务安全的现状173、安全隐患网络设备：我国计算机网络使用的绝大部分网络设备，如路由器、集线器、交换机、服务器、以及网络软件等都是进口的，其安全隐患不容忽视。一些交换机和路由器具有远程诊断和服务功能，既然可以远程进入系统服务、维修故障，也就可以远程进入系统了解情报、越权控制。更有甚者，国外一著名网络公司以跟踪服务为由，在路由器中设下机关、可以将网络中用户的包信息同时送一份到其公司总部。一、电子商务安全的现状183、安全隐患b)操作系统安全隐患计算机操作系统历来被美国一些大公司所垄断，但这些操作系统的源程序都是不公开的，在安全机制方面存在着诸多漏洞和隐患。计算机黑客能轻而易举地从后门进入系统，取得系统控制权，并危及计算机处理或存储的重要数据。如Windows95存在两千多处缺陷。一、电子商务安全的现状193、安全隐患b)操作系统安全隐患——OS的体系结构造成其本身不安全1、I/O、系统服务程序等都可用打补丁方式进行动态连接。厂商用这种方式升级，而攻击者也用此方法。2、为了实现通用性、可裁剪性，能够安装其他公司的软件包，这些软件包往往是操作系统的一部分，需要与操作系统同样的访问特权，安装这些软件包的“抓钩”程序就是非法攻击者入侵操作系统的陷门。3、网络上进行文件传输、加载将带来安全隐患。另外，能进行远程进程的创建与激活，这为安装“间谍”软件提供了条件。4、操作系统存在隐蔽信道：进程间通过不受强制访问控制保护的通信途径。一、电子商务安全的现状203、安全隐患c)网络协议的安全隐患网络协议也都由美国等国家开发或制定标准。其安全机制也存在先天不足，协议还具有许多安全漏洞，为攻击者提供了方便，如地址欺骗等。Internet应用协议中缺乏认证、保密等措施，也使攻击者比较容易得手。TCP/IP协议安全漏洞：包监视、泄露、地址欺骗、序列号攻击、路由攻击、拒绝服务、鉴别攻击。应用层安全隐患：Finger、FTP、Telnet、E-mail、SNMP、RPC、NFS一、电子商务安全的现状213、安全隐患d)数据库系统安全隐患由于数据库平台全系引进，尽管厂商声称具有安全机制，但对国内用户犹如一个黑匣子。数据库的攻击分直接攻击和间接攻击两大类。直接攻击是通过查询以得到几个记录来直接搜索并确定敏感字段的值，最成功的技术是形成一种特定的查询它恰与一个数据项相匹配。间接攻击是依据一种或多种统计值推断出结果。统计攻击通过使用某些明显隐匿的统计量来推导出数据，例如使用求和等统计数据来得到某些数据。一、电子商务安全的现状223、安全隐患e)计算机病毒威胁计算机病毒是一种能够进行自我复制的程序，可以通过多种方式植入计算机中，通过Internet网植入病毒更容易。病毒运行后可能损坏文件、使系统瘫痪，造成各种难以预料的后果。由于在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。新的病毒不仅删除文件、使数据丢失，甚至破坏系统硬件，可以造成巨大损失。1998年美国莫里斯病毒发作，一天之内使6000多台计算机感染，损失达9000万美元。一、电子商务安全的现状233、安全隐患f)管理疏漏，内部作案。据权威资料片《筑起网上长城》介绍，互联网上的计算机犯罪、黑客攻击等非法行为７０％来自于内部网络。金融、证券、邮电、科研院所、设计院、政府机关等单位几乎是天生的受攻击者，内部人员对本单位局域网的熟悉又加剧了其作案和被外部人勾结引诱的可能性。一、电子商务安全的现状244、我国电商安全现状一、电子商务安全的现状统计数据2000/072001/12001/07上网计算机数（万台）6508921002上网用户人数（万人）169022502650CN下注册的域名总数（个）99734122099128362WWW站点数（个）27289265405242739我国国际线路的总容量（M）123427993257其中中国科技网（CSTNET）（M）105555中国公用计算机互联网（CHINANET）M71119532387中国教育和科研计算机网（CERNET）M12117117中国金桥信息网（CHINAGBN）（M）69148151中国联通互联网（UNINET）（M）5555100中国网通(CNCNET)（M）377377355中国国际经济贸易互联网（CIETNET）M42中国移动互联网（CMNET）（M）9090中国长城互联网（CGWNET）（建设中）中国卫星集团互联网（CSNET）（建设中）254、我国电商安全现状一、电子商务安全的现状用户认为目前网上交易存在的最大问题是：安全性得不到保障：33.4%付款不方便：11.5%产品质量、售后服务及厂商信用得不到保障：33.0%送货耗时、渠道不畅：8.7%价格不够诱人：6.6%网上提供的信息不可靠：6.0%其它：0.8%264、我国电商安全现状一、电子商务安全的现状在一年内用户计算机被入侵的情况：被入侵过：47.1%没有被入侵过：43.0%不知道：9.9%对于电子邮件帐号，用户多久换一次密码：1个月：8.8%3个月--半年：21.4%半年--1年：19.7%一直不换：50.1%274、我国电商安全现状一、电子商务安全的现状在网上用户主要采取什么安全措施：密码加密：36.9%防病毒软件：74.5%防火墙：67.6%电子签名：7.3%不清楚，由系统管理员负责：7.4%什么措施都不采用：3.6%284、我国电商安全现状2000年5月出版的《国家信息安全报告》指出，我国目前的信息安全度介于相对安全与轻度不安全之间。如按安全度满分为9分的话，我们的分值约在5.5分。1．信息与网络安全的防护能力较弱。对我国金融系统计算机网络现状，专家们有一形象的比喻：用不加锁的储柜存放资金（网络缺乏安全防护）；让“公共汽车”运送钞票（网络缺乏安全保障）；使用“邮寄”传送资金（转账支付缺乏安全渠道）；用“商店柜台”存取资金（授权缺乏安全措施）；拿“平信”邮寄机密信息（敏感信息缺乏保密措施）等。一、电子商务安全的现状294、我国电商安全现状2．对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。我国从发达国家和跨国公司引进和购买了大量的信息技术和设备。在这些关键设备如电脑硬件、软件中，有一部分可能隐藏着“特洛伊木马”，对我国政治、经济、军事等的安全存在着巨大的潜在威胁。但由于受技术水平等的限制，许多单位和部门对从国外，特别是美国等引进的关键信息设备可能预做手脚的情况却无从检测和排除，以致我们许多单位和部门几乎是在“抱着定时炸弹”工作。一、电子商务安全的现状304、我国电商安全现状3．基础信息产业薄弱，核心技术严重依赖国外。硬件：电脑制造业有很大的进步，但其中许多核心部件都是原始设备制造商的，我们对其的研发、生产能力很弱，关键部位完全处于受制于人的地位。软件：面临市场垄断和价格歧视的威胁。美国微软几乎垄断了我国电脑软件的基础和核心市场。离开了微软的操作系统，国产的大多软件都失去了操作平台。缺乏自主知识产权产品一、电子商务安全