第七章电子商务安全选读.ppt

目录 7.1 电子商务安全认知 7.2 电子商务安全体系结构 7.3 电子商务的安全技术 7.4 安全协议 一、 电子商务安全威胁 1. 网络攻击 （1）电脑病毒：网络蠕虫、特洛伊木马、CIH （2）黑客攻击：更改首页、拒绝服务、盗取帐号、网上炸弹、IP欺骗 （3）流氓软件：强迫安装、无法卸载 2. 硬件破坏 3. 交易抵赖 网银安全问题凸现 二、主要内容： 计算机网络安全： 物理安全分析 结构安全分析 操作系统安全分析 应用系统安全分析 网络管理安全风险分析 关于黑客 2012年网络安全大事件 源代码被盗事件 赛门铁克两款企业级产品源代码被盗 VMware确认源代码被窃 关于黑客 信息泄密事件 美国电子商务网站Zappos，2400万用户的电子邮件和密码等信息被窃取 全球支付信息被盗 LinkedIn（商业社交网）用户密码泄露 雅虎服务器被黑 45.3万份用户信息遭泄露 全球百所大学近12万账户信息被窃 三、安全隐患 常见的安全隐患： 信息的截获和窃取 信息的篡改 信息假冒 交易抵赖 信息的中断 2. 消费者面临的安全问题： 虚假订单 在要求客户付款后，销售内部人员不得将订单发给其他人员 机密性丧失。客户有可能将秘密的个人数据送给冒充的机构 拒绝服务。 电子货币丢失。 3.电子商务企业可能面临的问题 系统中心被破坏 竞争者的威胁 商业机密的泄漏 假冒的威胁 信用的威胁 三、电子商务的安全需求 有效性 机密性 完整性 可靠性 交易者身份的真实性 7.2 、电子商务安全体系结构 电子商务安全不仅仅是技术层面问题，而且是包 含预防、检测、管理和制度层面在内的一整套体系的建 设问题。 电子商务的安全体系主要体现在3个方面： 一、 技术保障 实现电子商务所需要的设备、技术等能稳定、安全的提供所需功能。 包括：实体的安全和网络技术的安全。 1. 实体安全 包括 环境安全 和 设备安全 2. 网络技术的安全 包括 网络安全检测设备， 证书， 防火墙 ，防入侵的措施， 数据加密， 访问控制等。 二、 安全管理保障 1. 人员的保障： 要求加强电子商务交易中员工的管理。 2. 制度的保障： 必威体育官网网址制度， 跟踪审计制度 ， 数据容灾制度， 病毒防范制度 三、 法律环境保障 1. 身份标识 2. 身份验证 7.3 网络系统安全技术 一、网络安全策略 网络安全策略就是指构筑网络时考虑怎样采用网络 安全措施的基本原则。 具有通用性的原则： ◆最小特权 ◆纵深防御 ◆阻塞点 ◆最薄弱环节 ◆失效保护状态 ◆普遍参与 ◆防御多样化 ◆简单化 二、查杀病毒 据瑞星病毒样本统计，约有90％以上的病毒文件 进行过“加壳”处理。 所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。 我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。 一、加密技术 1.加密和解密： 数据加密是计算机安全的重要组成部分。 目前有2种加密技术： 对称加密 双方具有共享的密钥，只有在双方都知道的情况下才能使用。 ? 非对称加密 由公开密钥和私有密钥组成，用私有密钥加密，由公开密钥解密。 2. 算法和密钥 主要是加密和解密的函数范围。 通常情况下，有2个相关函数 一个是加密函数 一个是解密函数 二、认证技术 1.身份认证 内容：分为身份证实和身份识别2类。 身份证实：对个人身份进行肯定和否定 身份识别：输入个人信息，经处理提取成模版信息。而后得出结论，确定一个人是否真实身份。 2. 信息认证 基于公钥体制的信息认证 加入数字签名的验证 3. 通过认证机构认证 数字证书 认证机构 个人证书 三、 签名技术 四、 公钥基础设施 五、防火墙技术 防火墙概念：防火墙是一种隔离控制技术， 通过在内部网络（可信赖的网络）和外部网络（不可 信赖的网络）之间设置一个或多个电子屏障，提供安 全的网络环境。 防