第四章电子务安全.ppt

第四章 电子商务安全 在电子商务交易过程中，交易数据与支付面临着安全威胁 企业在开放的网络上管理经营数据也面临着安全的威胁…… 一、电子商务安全概述 在电子商务活动中，安全的意义其实非常广泛，不安全的因素来自于多个层面。 有设备导致处理商业活动数据不正常的隐患， 也有网络设施运行不正常带来的威胁 更有电子商务交易活动参与者的诚信所带来的威胁 电子商务安全可以分成技术性的和非技术性的 （一）计算机系统安全 1、计算机系统安全的定义 计算机系统安全：是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。 2、计算机安全的分类 （1）必威体育官网网址：指防止未授权的数据暴露并确保数据源的可靠性； （2）完整：指防止未经授权的数据修改； （3）即需：指防止延迟或拒绝服务。 （二）电子商务的安全隐患 1、嵌入式页面破坏 在网络页面中，支持页面链接的动态模块是嵌入在WWW后面的，浏览者本身是看不见的。企图破坏客户机的人可将破坏性的活动页面放进表面看起来完全无害的WWW页面中。并且随时可以发作，形成破坏。 恶意代码种类 （1）病毒（Virus） （2）蠕虫（Worm） （3）宏病毒（Macro Virus）和宏蠕虫（Macro Worm） （4）“特洛伊木马”（Trojan Horse） “特洛伊木马” 是典型的嵌入式破坏程序，隐藏在程序或页面里而掩盖其真实目的程序，可窃听计算机上的必威体育官网网址信息，并将这些信息传给它的WWW服务器，从而构成必威体育官网网址性侵害。严重的可以改变或删除客户机上的信息，构成完整性侵害。 “熊猫烧香” 2、网络攻击 网络的电子攻击可分为三个层次： 低层次威胁：是局部的威胁，包括消遣性黑客、破坏公共财产者； 第二个层次：是有组织的威胁，包括一些机构“黑客”、有组织的犯罪、工业间谍； 最高层次：是国家规模上的威胁，包括敌对的外国政府、恐怖主义组织发起的全面信息战。 网络攻击的主要形式 1.拒绝服务攻击 2.非授权访问尝试 3.预探测攻击 4.可疑活动 5.协议解码 6.系统代理攻击 （四）服务器上的安全威胁 1、WWW带来的威胁 （1）安全漏洞 安全漏洞是指破坏者可因之进入系统的安全方面的缺陷。 由于系统设计的问题，访问者可能利用饶过一些安全设置进入系统进行操作，如果在网上，外部用户就可以非常方便地进入系统，形成安全威胁。 （2）对数据库的安全威胁 电子商务系统以数据库存储用户数据，并可从WWW服务器所连的数据库中检索产品信息。数据库除存储产品信息外，还可能保存有价值的信息或隐私信息，如果被更改或泄露会对公司带来无法弥补的损失。 （3）对公用网关接口（CGI） 的安全威胁 公用网关接口（CGI）可实现从WWW服务器到另一个程序（如数据库程序）的信息传输。 CGI和接收它所传输数据的程序为网页提供了活动内容。 如果滥用CGI程序就会带来安全威胁。 2、通讯信道的安全威胁 （1）交易的必威体育官网网址 交易的双方都要采取措施来保证交易过程及资料不会被未经许可的第三方获知。 保证交易秘密的最常见方法是对信息及其传递过程进行加密。 （2）保证交易的完整性 交易的完整指交易双方所发的信息没有被第三方修改，包括增加、减少或更改，以防止商业欺诈的发生。 常见的方法是采用密钥的方式进行的。没有密钥不可能打开信息，更不可能进行修改。 （3）保证交易传输 拒绝或延迟服务攻击会删掉或占用资源。如果系统拒绝或延迟服务，就意味着不能保证交易的正常传输。 攻击者通过向特定服务器发送大量指令来造成其瘫痪而无法继续提供交易服务；而网站为了拒绝攻击而删除因特网信息包，这意味着访问者再也无法继续访问，从而导致交易中断。 3、客户机的保护措施 在IE中进行安全设置 （2）Navigator的安全措施 （3）处理Cookie Cookie可能包含各种信息，如发布Cookie的网站名、用户在此网站上所访问的页面、用户名和口令、信用卡号和地址信息等，目的是让用户在下次可以快速实现访问。 Cookie所带来的问题是以不为人觉察的方式收集或存储信息，这就带来不安全的因素。如果希望安全地访问网络资源，可以在设置中限制 Cookie的使用。 IE中的Cookie处理 （4）使用防病毒软件 防病毒软件可以保护计算机不受已下载到计算机上的病毒攻击，是一种防卫策略。 计算机应该至少安装一种防病毒软件并保持定期扫描和病毒库的升级。 二、电子商务安全的内容 目前网络存在的主要安全问题： 网络实体不符合安全标准 网络非授权访问 信息泄漏和丢失 破坏数据完整性 非恶意的网络干扰 病毒侵害等 （一）网络实体安全 1、环境安全 2、设备安全 3、媒体安全 （二）网络安全