项目二--电子商务网络安全

Companyname电子商务概论项目二电子商务网络安全2内容概要电子商务安全概述1网络安全技术2电子商务安全技术3学习目标知识目标：1了解电子商务的安全问题及需求。2熟悉电子商务安全对策。3掌握各种计算机网络安全技术。技能目标：1掌握防火墙、杀毒软件等的操作。2熟练掌握各种电子商务交易安全技术。情景写实有电脑就会有“病毒”，有网络就会有“木马”，有网购就会被“钓鱼”。因为某次消费、就医、看房、报名，你的个人信息就可能“不胫而走”，导致广告短信、诈骗电话不断，甚至传播电脑病毒、盗取用户网上账号。2011年著名的激进黑客组织Anonymous和LuizSec在全世界发动了一系列网络攻击，包括美国参议院、IMF以及索尼等都是深受其害。在国内方面，百合网、世纪佳缘和7天连锁酒店的数据库中的数据也被黑客获取，国内某知名微博的数据库也被黑客所窃取。2011年2月，众多中行网银客户先后经历“惊魂300秒”，账户内资金瞬间被钓鱼网站洗劫一空。全国范围内假冒中国银行的网站数量多达70个，涉案金额接近1个亿。据媒体公开披露，黑客实际掌握用户数据库的数量已超过1亿条，有2.57亿网民上网时遇到过病毒和木马的攻击，中国黑客的黑色产业链规模或高达上百亿元。网络安全问题视315晚会曝光二维码支付安全漏洞。不法分子通过在二维码中植入病毒，当消费者在购物扫描二维码时，病毒就扎根在手机中，不管手机发什么信息都可以被拦截，包括身份证号码、验证码等。免费WiFi是为了方便用户增强移动网络体验而推出的附加服务，然而这里却隐藏了诸多更令人意想不到的陷阱，在315晚会上，主持人向现场的观众们演示了黑客们是如何通过特殊的技术手段，获取用户的私人信息的。请用户切勿随意连接公共场合的免费WiFi，尤其是没有密码保护的，可选择那些商家提供的，安全有保障的无线信号，若您实在无法确定网络是否安全，可改为使用3G或4G网络登录。手机APP获取用户信息，位置，电话等电子商务概论电子商务概论7任务一电子商务安全概述电子商务是以开放的Internet网络环境为基础，其重要的技术特征是使用网络来传输和处理商业信息。Internet的全球性、开放性、虚拟性、无缝链接性和共事性，使得任何人都可以自由接入，这样，电子商务的技术基础就存在先天的缺陷。开放性、共享性是一柄双刃剑，使电子商务存在各种各样的安全隐患。因此，在这样的环境中，认识电子商务过程中的安全问题，并在此基础上对其进行全面防范是富有挑战性的工作。近日发布的《2014年全球社交、数字和移动》报告显示，中国有13.5亿人口，城市人口比例为51%，其中互联网网民比例为44%，达5.9亿人；QQ空间活跃用户达6.23亿，中国手机设备持有量超12亿台。中国互联网受到的外国威胁到底有多大？据美联社报道，中国国新办主任蔡名照2013年11月在一次国际会议上说，去年1月至8月，超过2万中国网站遭到黑客攻击，800多万服务器受到境外的僵尸和木马程序控制，僵尸和木马病毒攻击比2012年同期增长了14%。他估计，网络攻击让中国经济每年损失数百亿美元爱德华·斯诺登（EdwardSnowden），生于1983年，曾是CIA（美国中央情报局）技术分析员，后供职于国防项目承包商BoozAllenHamilton。2013年，因揭露美国国家安全局以及联邦调查局（FBI）收集民众信息引起公众哗然。2011年度互联网安全威胁四大特征1.钓鱼网站取代病毒木马成为首要安全威胁2.网购木马呈现增长趋势，网购攻击日益严重3.电脑病毒制造者向手机安卓平台转移4.社会化媒体成为诈骗传播新宠11电子商务面临的安全问题电子商务是一个社会与技术相结合的综合性系统，它不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关，它包括环境安全、网络安全、信息安全和交易安全四个层次环境安全1.机房环境安全计算机网络设备大多是易碎品，不能受重压、强烈震动或强力冲击。对机房环境要求较高，如温度，湿度，各种污染等，注意火灾、水灾、空气污染对设备所构成的威胁。2.电磁泄漏计算机和其他一些网络设备大多数都是电子设备，当它工作时会产生电磁泄漏。一台计算机就像一部电台，带有信息的电磁波向外辐射，尤其视频显示装置辐射的信息量最强，用先进的电子设备在1000米之外的地方就能接收下来。电子通信线路同样也有辐射，非法之徒就可以利用现金的接收设备窃取网络机密信息。3.行政管理安全缺乏相关的计算机网络、信息、电子商务安全管理的规章制度，如人员管理制度、保密制度、软件和数据的维护与备份制度等，缺乏对员工的相关法律制度教育，员工责任心、安全防范意识不强。如因保密观念不强或不懂保密规则而造成泄密、因业务不熟练操作失误使文件出错或误发等。4.社会环境安全缺乏计算机网络安全、信息安全、电子商务安全的相关法律法规，社会缺乏一个诚信可靠的网络环境等。安全的电子商务不能只靠单一的手段，还必须辅以法律、道德等手段，来最终保护参与电子商务各方的利益。网络安全计算机网络安全应保证信息系统资源的完整性、准确性，在有限的传播范围，能向所有的合法用户有选择地随时提供各自应得到的网络服务。从逻辑上来讲，计算机网络安全需要保证客户端、服务器、网络接入设备、传输通信设备和网络系统等的安全稳定运行。1.黑客的恶意攻击2.计算机病毒与木马3.软件漏洞与“后门”4.网络协议的安全漏洞黑客的恶意攻击黑客，一般繁殖计算机信息系统的非法入侵者。黑客攻击目前已经成为计算机网络面临的最大威胁。无论个人、企业还是政府机构，只要进入计算机网络，都会感受到黑客带来的网络安全威胁，大到国家机密，小到商业机密，乃至个人隐私都可能随时被黑客发现并公布。人人网斯诺登计算机病毒与木马计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者代码。木马是一类特殊病毒，通过木马，计算机可以被远程计算机监控与控制。病毒和木马具有隐蔽性，一单发作，便能够实现破坏数据、删除文件、格式化磁盘等操作。目前，互联网成为病毒和木马制造者、传播者散发病毒的目标场所，石刻威胁着计算机的安全。熊猫烧香软件漏洞与“后门”在软件开发过程中，总会留下某些缺陷和漏洞，这些漏洞可能一时不会被发现，而只能当被利用或某种条件得到满足时，才会显现出来。利用网络设计的缺陷或者漏洞是黑客突破网络的防护进入网络的主要手段之一。某些软件被软件公司的设计和编程人员为了自便而设置了“后门”一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。网络协议的安全漏洞互联网的服务都是通过各类网络协议完成的，如果协议存在安全上的缺陷，那么攻击者就不需要破解密码即可获得所需信息。时间证明，目前互联网常用的一些协议如HTTP,FTP等安全方面都存在一定的缺陷。当今许多黑客攻击都是利用了这些协议的安全问题。信息安全电子商务的运转过程可以看做信息的流动，则在正常情况下，信息从信源流向信宿的整个过程不收任何第三方的接入和影响。目前，电子商务面临的信息安全威胁可以归纳为：信息中断、信息窃取、信息篡改、假冒信息四种类型。信息中断指攻击者有意破坏和切断他人在网络上的通信；信息窃取是指非法用户使用通信数据窃听的手段获得敏感信息；信息篡改指非法用户对合法用户之间的通信信息进行修改，在发送给接受者；假冒信息指攻击者假冒发送者的身份伪造一份信息传递给接受者。交易安全由于网络的虚拟性，交易各方非面对面的交易特征，电子商务手段的安全性，使参与电子交易的各方都面临不同形式和不同程度的安全威胁。交易安全问题主要涉及隐私、商业数据、身份真是、商家诚信、货款支付、商品递达和买卖纠纷处理等方面。1.信用风险2.隐私问题3.网络诈骗1.信用风险交易双方信息的缺失造成的交易障碍，主要分为卖方信用风险、买房信用风险和否认交易风险，这种信任的缺失主要发生在充满不确定性和风险的环境中。网络交易环境的虚拟性，使得信任在网络交易过程中所起的作用超过了它在传统交易活动中所起的作用，人们对于交易双方的真实性更难判断。2.隐私问题客户个人人死或身份数据在传递过程中可能被窃取，而被卖方泄露。比如Cookies的使用，引入Cookies的初衷时为了网站可以通过记录客户的个人信息，访问偏好等信息，实现一些高级功能，例如电子商务身份验证的实施。可是，有的网站和机构滥用Cookies，未经访问者的许可，搜集他人的个人资料，达到构建用户数据库、发送广告等营利目的。和黑客问题相比，隐私保护问题离广大网民的距离更近一些。3.网络诈骗网络诈骗随着电子商务的发展而日益猖獗，可能使买房蒙受巨大损失。“网络钓鱼”是当前最为常见也较为隐蔽的网络诈骗形式。所谓“网络钓鱼“，是指犯罪分子通过使用“盗号木马”“网络监听”以及伪造的假网站或网页等手法，盗取用户的银行账号、证券账号、密码信息和其他个人信息，然后以转账盗款、网上购物或制作假卡等方式获取利益。25电子商务的安全需求保证交易数据的安全是电子商务系统的关键，由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁。因此，对电子商务的安全性提出了很高的要求。（一）认证性（二）保密性(三)完整性(四)不可抵赖性(五)可靠性和可用性26经典实例2011年末，中国公众经历了一次堪称中国互联网史上最大规模的用户信息泄密事件的洗礼，几乎人人自危。有黑客在网上公开CSDN网站的用户数据库，导致600余万个注册邮箱账号和与之对应的明文密码（即用户密码什么样，网站数据库就存成什么样）泄露，之后网上曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站的用户称密码遭网上公开泄露。监测数据发现，网上公开暴露的数据库有26个，涉及网络帐号密码2.78亿条。其中，广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。这些信息均为黑客攻击商业网站后窃取并泄露到公众面前，而黑客手中掌握的公众信息到底有多少，对公众还是个未知数。四、电子商务的安全对策电子商务安全问题是制约电子商务发展的关键所在，根据电子商务的安全需求，解决安全问题从技术、管理和法律等多方面来考虑。设置电子商务安全体系结构。该体系由6层构成：环境安全层、网络安全层、加密控制层、安全认证曾、安全协议层和电子商务应用层。28任务二网络安全技术电子商务系统的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术和漏洞扫描技术等。交易信息的安全是指保护交易双方的信息不被破坏、不被泄密和交易双方身份的确认，通常可以用数据加密、数字签名、数字证书、SSL和SET安全协议等技术来保护。29防火墙技术防火墙(Firewall)是目前一种最重要的网络防护设备，指一个由软件系统和硬件设备组合而成的企业内部网与外部网间的保护屏障。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，一个分析器，也是一个保护装置，能有效地监控Intranet和Internet之间的任何活动，保证内部网络的安全。防火墙的应用示意图为：Internet企业内部网络（如Intranet)防火墙系统（堡垒主机+路由器等）非安全网络安全网络防火墙具有五个基本功能(1)保护易受攻击的服务。(2)控制对特殊站点的访问。(3)集中化的安全管理。(4)集成了入侵检测功能，提供了监视互联网安全和预警的方便端点。(5)对网络访问进行日志记录和统计。防火墙的不足之处(1)不能防范恶意的知情者。(2)不能防范不通过它的连接(绕过防火墙)或者来自内部的攻击。(3)不能防备所有威胁，防火墙只能用来防备己知的威胁。(4)不能防止感