电子商务安全和电子支付培训讲义17612.pptx

《电子商务安全和电子支付培训讲义17612.pptx》由会员分享，可在线阅读，更多相关《电子商务安全和电子支付培训讲义17612.pptx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全与电子支付赵又霖E-mail：电子商务系统遭攻击实例 据统计，目前全球平均每20秒就会发生一起Internet主机被入侵的事件，美国75%85%的网站抵挡不住黑客攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。2005年，美国超过300万的信用卡用户资料外泄，导致用户财产损失严重。网络安全现状 2006年9月12日17：30，百度遭受有史以来最大规模的不明身份黑客攻击；导致百度搜索服务在全国各地出现了近30分钟的故障。2007年8月12日，联合国官方网站被入侵，联合国秘书长潘

2、基文的讲话和声明被换成了黑客的声明 在声明中他们对美国和以色列的中东政策进行了抨击。土耳其的几名黑客声称对这些攻击行动负责，他们的网名是m0sted，Kerem125和GsY 安全公司iDefense出资10000美元向黑客征集微软软件漏洞的行为，微软感到很愤怒。2006年5月24日，ValenceMedia公司却起诉美国电影协会，指出这一组织以15000美元雇佣了一名黑客入侵了公司的电脑系统，窃取了大量的私人信息，包括电子邮件、财政记录和商业机密等，收集ValenceMedia公司和公司的三位主管的信息。2006年12月15日,深圳晶报报道：一伙平均年龄仅21岁的“网络大盗”一年内盗取QQ号

3、、Q币数百万个,通过网络交易平台售卖,非法牟利70余万元,涉案人员有44名盗窃肉鸡的商业价值 1.盗窃“肉鸡”电脑的虚拟财产 网络游戏ID帐号装备、QQ号里的Q币、联众的虚拟荣誉值等等 2.盗窃“肉鸡”电脑里的真实财产 网上银行的网银帐号 3.盗窃他人的隐私数据 利用偷来的受害人隐私信息进行诈骗、勒索的案例不少。如果偷到受害人电脑上的商业信息，比如财务报表、人事档案，攻击者都可以谋取非法利益。4.可利用受害人的人脉关系获取非法利益 攻击者可以伪装成你的身份进行各种不法活动，每个人的人脉关系都是有商业价值的。5.在肉鸡电脑上种植流氓软件，自动点击广告获利 攻击者在控制大量肉鸡之后，可以通过强行弹

4、出广告，从广告主那里收获广告费 6.以肉鸡电脑为跳板（代理服务器）对其它电脑发起攻击 黑客的任何攻击行为要经过多次代理的跳转，肉鸡电脑充当了中介和替罪羊。7.“肉鸡”电脑是发起DDoS攻击的马前卒 DDoS攻击行为已经是网络毒瘤，“肉鸡”电脑，就是这些网络黑手里的棋子。本章要点 电子商务面临的四大安全威胁：信息的截获和窃取、篡改交易信息、假冒商家或客户和商家抵赖交易。电子商务的六大安全需求：机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性。电子商务安全系统的结构体系第一章 电子商务安全与电子支付概论u 电子商务安全需求 资源共享、快速、便捷是电子商务迅速发展的原因，而这种开放性使电子

5、商务在安全方面先天不足。基于Internet技术的电子商务安全，很大程度上依赖于网络的安全性，然而，网络安全事故总是经常发生。电子商务的重要性 目前,电子商务已经成为国家党政机关、企事业单位的基础设施之一,对发展社会经济、文化等方面具有很大的促进作用。但是,电子商务在发展的过程中还存在不少问题,其中安全问题就是影响电子商务健康发展的重要因素之一。基于网络环境的电子商务安全问题研究,显得非常迫切而意义重大。什么是电子商务？电子商务源于英文ELECTRONIC COMMERCE，简写为EC。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。电子商务指的是利用简单、快捷、低成本的电子通讯方式

6、，买卖双方不谋面地进行各种商贸活动。我们所探讨的电子商务主要是以EDI（电子数据交换）和INTERNET来完成的。所以也有人把电子商务简称为IC（INTERNET COMMERCE）。较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用INTENET网络能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现。电子商务涉及多个方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的，因此整个电子商务过程并不是物理世界商务活动的翻版，网上银行、在线电子支付等条

7、件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用，交易活动存在很大的风险。安全概念基本关系信息安全（电子商务安全）互联网安全 局域网安全 密码安全 电子商务安全包括：计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。电子商务安全要素电子商务安全要素 认证性（Authentication）

8、是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中，认证性一般都通过证书机构CA和证书来实现。访问控制性（Access control）是指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或值入程序等。机密性 EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。EC建立在开放的网络环境（如Internet）上，维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。完整性完整性（Integrity）又叫真确性，是保护数

9、据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。完整性一般可通过提取信息消息摘要的方式来获得。可靠性 可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。不可否认性 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据等的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的E电子商务模式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，这种标志信

10、息用来保证信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，身份的不可否认性常采用数字签名来实现。电子商务安全保障 电子商务安全从整体上可分为两大部分,一是计算机网络安全,二是电子商务交易安全。计算机网络安全 计算机网络安全,其内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施强大的网络安全监控方案,以保证计算机网络自身的安全性。常用的网络安全技术 防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。防火墙 防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防

11、止企业内部的保密数据未经授权而发出。即使企业内部网络与因特网相连，也可用防火墙管理用户对内部网中某些部分的访问，保护敏感信息或保密信息。虚拟专用网 虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。虚拟专用网是企业常用的一种安全解决方案，它利用不可靠的公用互联网作为信息传输媒介，通过附加的安全隧道，用户认证和访问控制等技术，实现与专用网相类似的安全性能。对于商务网站来说，它是一种理想的性价比较

12、高的安全防护手段，既可以为企业提供类似专用网的安全性，同时又可以为企业节约成本。入侵检测技术 入侵检测是继防火墙之后的又一道防线。防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，而入侵检测系统则是针对这种情况而提出的又一道防线。单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止网络内部攻击，而调查发现，50以上的攻击都来自内部；不能提供实时入侵检测能力；对于病毒等束手无策等。电子商务交易安全的要求,概括起来说,主要是指保障数据信息的认证性、机密性、完整性、可靠性等。具体包括:如何确定通信中贸易伙伴的真实性,保证身份的可认证性;如何保证电子单

13、证的机密性,防范电子单证的内容被第三方读取;如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失;如何保证电子单证内容的真实性、准确性和完整性;如何保证存储信息的安全性;如何对数据信息进行审查并将审查的结果进行记录。信息加密技术 密码技术，对称密码体制，非对称密码体制。（AES加密标准、RSA公钥密码体制和椭圆曲线密码系统）公钥基础设施（PKI）技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。电子安全交易协议 两个主要的交易协议：SSL（安全套接层协议）和SET（安全电子交易协议）SSL：安全套接层协议是美国网景公司（Netscape）在1994 年提出的基于WEB

14、应用的安全协议，它包括服务器认证、客户认证（可选）、S S L 链路上的数据完整性和SSL 链路上的数据保密性。SSL 主要使用公开密钥体制和X.509 数字证书技术保护信息传输的机密性和完整性，它不可保证信息的不可抵赖性，主要适用于点对点之间的信息传输。SET：1996 年6 月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET 发布公告，并于1997 年5 月底发布了SET SpecificationVersion1.0，它涵盖了信用

15、卡在电子交易中的交易协定、信息保密、资料完整及数据认证、数据签名方面的描述等。对电子商务交易系统常用的攻击手段 第一类是信息收集型攻击，主要采用刺探、扫描和监听技术。第二类是利用型攻击，利用操作系统、网络服务协议、系统软件、数据库的漏洞进行攻击。包括口令猜测、特洛伊木马、缓冲区溢出。第三类是拒绝服务攻击，拒绝服务目的在于使系统瘫痪，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。电子商务面临的四大安全威胁 信息的截获和窃取 信息的篡改 信息假冒 交易抵赖 1.1.2 电子商务面临的安全威胁 信息的截获和窃取 如果没有采用加密措施或加密强度不够，攻

16、击者可能通过互联网、公共电话网搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取传输的机密信息；或通过对信息流量和流问、通信频度和长度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业的商业机密 信息的篡改 当攻击者熟悉了网络信息格式后，通过各种技术方法和手段对网络传输的信息进行中途篡改，并发往目的地。从而破坏信息的完整性。这种破坏手段主要有三种：1）更改改变信息流的次序，更改信息的内容，如购买商品的出货地址。2）删除删除某个消息或消息的某些部分。3）插入在消息中插入些信息，让接收方读不懂或接收错误的信息。信息假冒 当攻击者掌握了网络信息数据规律或解

17、密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。主要有两种方式：1）伪造电子邮件。例如，虚开网站和商店，给客户发电子邮件，收订货单；伪造大量客户发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应或窃取商家的商品信息和用户信用等信息。（2）假冒他人身份。例如，冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、口令、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。交易抵赖 交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某

18、条消息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易等。电子商务安全体系结构 电子商务安全是一个系统工程，单纯的技术或者任何一个方面都无法达到理想的安全级别。电子商务安全既是计算机和网络的安全，又是管理的安全。电子商务安全体系结构。电子商务安全技术体系结构是保证电子商务中数据安全的一个完整的逻辑结构由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层五个部分组成;如 图所示。电子商务安全体系结构图安全操作系统、安全数据库系统安全物理设备（安全网络设备、计算机和通信信道）加密技术（AES、RSA和ECC等）安全协议（SSL协议、S/MIME协议等）公钥基础设施PKI（数字签名、数字信封、CA认证等）安全电子商务支付机制 安全电子商务交易协议SET电子商务政策法规安全管理电子商务安全思考题 以在网上购书为例，请你说说在网上购书过程中会面临哪些安全威胁。电子商务站点面临的安全威胁可能有黑客入侵、服务器感染病毒、数据丢失，请你结合一个电子商务站点的例子，看看他们采取了哪些安全措施？电子商务安全包含哪些基础技术？电子商务安全服务规范有哪些？各个网络层次分别有什么样的解决方案？