第一章电子商务安全概论.ppt

第一章电子商务安全概论1王文奇13526827051第一章电子商务安全概论2考核方式：考试成绩：平时20%考勤10%作业实验10%考查成绩：80%第一章电子商务安全概论3学习本课程要求教学目标：通过本课程的学习，对电子商务的安全有全面地了解，掌握电子商务安全保密的基础理论和实用技术，并能在实践中起主导作用。教材《电子商务安全技术》清华大学出版社张爱菊主编。第一章电子商务安全概论4讲课内容（方法）专题+章节攻击技术网络安全技术(理论（密码学）＋方法)防御技术常见的防御手段防火墙、入侵检测、防御木马第一章电子商务安全概论5第一章电子商务安全概论1.1电子商务与安全1.2网络面临的威胁与攻击1.3电子商务的安全需求第一章电子商务安全概论6电子商务与你？据报道2009年我国电子商务交易额达到3.8万亿元人民币，网络购物交易额达到2586亿元人民币，同比增长分别21.7%和105.8%。目前我国发展电子商务存在四大瓶颈，一是安全，二是物流，三是信用，四是政策环境，其中安全和物流犹为显著。网络安全在任何时候都是比较严重，而且网络安全不是中国特有，它波及全世界（《证券日报》）第一章电子商务安全概论7404．88万亿元，其中个人网银交易额达到38．53万亿元，占比9．52％。截至2009年第四季度末，中国网上银行注册用户数达到1．89亿。第一章电子商务安全概论8制约电子商务发展的关键问题安全问题就是影响电子商务健康发展的重要因素之一。中国网民中有82.4%的网民在最常用的电脑中安装了安全软件。半年内有1.95亿网民在上网过程中遇到过病毒和木马的攻击，1.1亿网民遇到过账号或密码被盗的问题。第一章电子商务安全概论9电子商务系统遭攻击实例据统计，目前全球平均每20秒就会发生一起Internet主机被入侵的事件，美国75%-85%的网站抵挡不住黑客攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。2005年，美国超过300万的信用卡用户资料外泄，导致用户财产损失严重。第一章电子商务安全概论10央视315晚会曝光一名叫“顶狐”的黑客，通过自己制造木马程序，盗取大量用户的网上银行信息，用很低廉的价格在网上出售，危及大量网银用户的安全。“顶狐”已经被警方实抓捕。据警方透露，“顶狐”是一名黑客高手，2006年他编写了木马程序，从此开始了盗取个人信息的行当。顶狐还以免费下载的方式任由人下载和传播，顶狐偷偷给自己留了一手，黑客们盗取的所有信息都会自动回复到他的手中。每天存储在他电脑上的信息有3G警惕木马布下网银陷阱第一章电子商务安全概论11安全与战争美国网络司令部内部第一章电子商务安全概论12安全战争美国网络司令部内部第一章电子商务安全概论13世界的命根子都捏在美国手里部队由世界顶级电脑专家和“黑客”组成，其人员组成包括美国中央情报局、国家安全局、联邦调查局以及其他部门的专家，甚至还可能包括盟国的顶级电脑天才，所有成员的平均智商都在140分以上，因此也被一些媒体戏称为“140部队”。今年6月伊朗大选的时候，美国各大网站在全球发布假新闻，宣布内贾德的对手穆萨维获胜。而随后伊朗官方却发布了内贾德获胜的消息。许多不明真相的伊朗民众(多数是穆萨维的支持者)发动了抗议行动，甚至爆发了强烈的冲突。（新华网）第一章电子商务安全概论14美国很霸道伊拉克战争期间，在美国政府的授意下，“.iq”(伊拉克顶级域名，相当于中文网址后缀的.cn)的申请和解析工作被终止，所有网址以“.iq”为后缀的网站全部从互联网蒸发，伊拉克这个活生生的国家竟然被美国在虚拟世界里干掉了。09年5月30日，古巴、伊朗、叙利亚、苏丹和朝鲜5国用户在登陆MSN时出现了这样的提示：“810003c1：我们无法为你提供NETMessenger服务”。是微软遵从美国的意志把这5个国家的聊天软件关闭了。第一章电子商务安全概论15直接影响商务交易类网络应用使用率水平较低，相对滞后。网络购物下由7400万扩大到8788万，旅游预订受经济现状影响，用户规模比08年底略有下降网上支付半年增加达到2370万人。84.3%的网民认为互联网是其最重要的信息渠道。网民对网络交易的信任程度偏低，仅29.2%的网民认可网上交易安全。对于网银安全性的担忧是受访者拒绝开通网银最重要的原因。在拒绝开通网银的受访者中间，将近70%的受访者都对网银的安全性表示担忧，另有43.2%的网银用户则认为使用网银可能导致个人信息的泄露。第一章电子商务安全概论16第一章电子商务安全概论1.1电子商务与安全1.2网络面临的威胁与攻击1.3电子商务的安全需求第一章电子商务安全概论171.2.1网络系统面临的威胁非人为威胁天灾系统本身的脆弱性操作系统的脆弱性网络系统的脆弱性数据库管理系统的脆弱性人为威胁各种攻击第一章电子商务安全概论18为什么这么多的攻击操作系统的脆弱性操作系统越来越庞大，由于人的认知和实践能力的局限性，产生的缺陷、错误和漏洞越来越多。见下表操作系统设计的缺陷，如远程主机可以登陆并拥有超级用户的权限、网络日志记录补完整等。操作系统可以创建进程，这些进程可在远程节点上创建与激活，被创建的进程可以继续创建进程（蠕虫攻击）第一章电子商务安全概论19操作系统推出年份代码行数(万)估计缺陷数(万)Windows3.119923001.5~3Windows95199515002.5~5WindowsNT4.0199616508.25~16.5Windows98199818009~18Windows200020003500~500017.5~35WindowsXP3500vista5000微软操作系统的安全性估计第一章电子商务安全概论20网络协议的脆弱性网络的开放性。由于早期的网络用户以科研人员为主，网络的设计主要以共享和开放为宗旨，对网络协议安全性考虑的较少，其中存在大量的缺陷。数据处理的可访问性和资源共享的目的性之间是一对矛盾。造成了计算机系统保密性难。使用TCP/IP协议的网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。第一章电子商务安全概论21程序后门，关机时刻开启后门，造成不可估量的损失，因此我国坚决开发自己的操作系统，(如海湾战争的打印机后门)操作系统安排的无口令入口或口令过短，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用。没有对运行的程序进行检查，如程序的拥有者、是否已经被改变，是否含有病毒等？尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞就会使系统所有安全控制毫无价值。并可能引发新的安全漏洞第一章电子商务安全概论22常用攻击手段信息收集地址扫描、端口扫描、拓扑扫描、操作系统类型、漏洞利用型攻击口令猜测、木马、缓冲区溢出网络欺骗、浏览器劫持、流氓软件拒绝服务死亡之ping、泪滴、SYNflooding、UDPflooding、ICMPflooding、电子邮件炸弹、网络蠕虫第一章电子商务安全概论23第一章电子商务安全概论1.1电子商务与安全1.2网络面临的威胁与攻击1.3电子商务的安全需求第一章电子商务安全概论24电子商务交易安全的要求电子商务顺利开展的核心和关键的保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。保障数据信息的有效性、机密性、完整性、可靠性、不可否认性等。第一章电子商务安全概论25电子商务安全要素-真实性指网上交易双方身份信息和交易信息真实有效，双方交换通过数字签名、身份认证、数字证书等辨别交易者的身份。第一章电子商务安全概论26电子商务安全要素-有效性要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。第一章电子商务安全概论27电子商务安全要素-机密性保证个人或专用的高度敏感数据的机密性主要技术，密码学EC信息直接代表着个人、企业或国家的商业机密。要预防非法的信息存取和信息在传输过程中被非法窃取。第一章电子商务安全概论28电子商务安全要素-完整性保证所存储、传输等管理的信息不被篡改。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。第一章电子商务安全概论29电子商务安全要素-可靠性可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。第一章电子商务安全概论30电子商务安全要素-不可否认性防止通信的双方对已进行业务的否认在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴。保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。第一章电子商务安全概论31电子商务安全技术常用的网络安全技术密码学、安全协议、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。第一章电子商务安全概论32电子商务安全技术密码技术：对称密码体制，非对称密码体制。（AES加密标准、RSA公钥密码体制和椭圆曲线密码系统），报文摘要技术(散列函数)。公钥基础设施（PKI）利用公钥理论和技术建立的提供信息安全服务的基础设施。第一章电子商务安全概论33电子商务安全技术电子安全交易协议(网络安全协议)两个主要的交易协议：SSL（安全套接层协议）保证每次会话是加密安全的SET（安全电子交易协议）保证支付安全虚拟专用网虚拟专用网VPN(VirtualPrivateNetworks)通过在Internet上创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。第一章电子商务安全概论34电子商务安全技术防火墙保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。入侵检测技术检测黑客的攻击行为第一章电子商务安全概论35电子商务安全体系结构图安全操作系统、安全数据库系统安全物理设备（安全网络设备、计算机和通信信道）加密技术（AES、RSA和ECC等）安全协议（SSL协议、S/MIME协议等）公钥基础设施PKI（数字签名、数字信封、CA认证等）安全电子商务支付机制安全电子商务交易协议SET电子商务政策法规安全管理电子商务安全第一章电子商务安全概论36课程内容网络攻击技术、信息加密技术应用、计算机网络安全（防火墙）、公钥基础设施、计算机病毒的防治