电子商务安全教学资料-第1章电子商务安全概述.pptVIP

第1章电子商务安全概述 电子商务安全概念 1.1 电子商务安全问题 1.2 电子商务安全需求 1.3 电子商务安全体系结构 1.4 1.1电子商务安全概念 1.电子商务安全是一个系统概念 2.电子商务安全是相对的 3.电子商务安全是有代价的 4.电子商务安全是发展的、动态的 1.2 电子商务安全问题 1.2.1客户机安全问题 1.2.2通信信道的安全问题 1.2.3服务器的安全问题 1.2.4交易实施的安全问题 1.2.1客户机安全问题 1.动态内容 2.相关技术或机制 （1）cookie （2）邮件通讯簿 （3）信息隐蔽. 1.2.2通信信道的安全问题 1.搭线窃听 2. IP欺骗 3. IP源端路由选择 4.目标扫描 1.搭线窃听 开展电子商务的一个很大的安全威胁就是敏感信息或个人真实信息被窃。在互联网 上，有种叫做“嗅探器”的特殊软件能够记录下通过某个网关或路由器的信息。它类似于在 电话线上搭线并录下一段对话。嗅探器可以截获并阅读电子邮件信息，也可记录敏感信息 或个人真实信息，或者用来攻击相邻的网络，并且能够做到不留痕迹。 2. IP欺骗 所谓IP欺骗，就是伪装成合法主机的IP地址与目标主机建立连接关系。通过这种欺骗方法可以把某个服务器的访问者引到一个虚假网站，或者假冒合法用户主机名进入目标服务器。 3. IP源端路由选择 IP数据包在互联网上传输达到最终目的主机之前通常要经过许多路由器。路由器动态决定了IP数据包的传输路线。允许源端路由选择就是允许IP数据包向经过的路由器声明达到目标主机所希望经过的路由。 4.目标扫描 入侵者在确定扫描目标系统后，利用一些扫描程序和安全分析工具，如ISS扫描器、SATAN等，寻求该系统的安全漏洞或弱点，并试图找到安全性最弱的主机作为入侵的对象。如果目标主机的管理员系统配置不当，或者未能及时发现并更新针对产品或系统安全漏洞的补丁程序，就极易被攻破薄弱主机，继而造成对与本机建立了访问链接和信任关系的其他网络计算机被攻破的连锁反应，最终威胁到整个系统。 1.2.3服务器的安全问题 1. WWW服务器 2.数据库服务器 3.CGI 4.ASP 5.邮件炸弹 6.溢出攻击 7.口令破译 1. WWW服务器 WWW服务器软件是用来响应HTTP请求并传送HTML格式的页面的，其主要设计目标是支持WWW服务和方便使用。通常该类软件比较复杂，包含错误代码的概率也较高，因此含有许多已知的和未知的安全漏洞。这些漏洞经常被攻击者利用，加之系统管理员的一些不当管理行为，极易造成系统的瘫痪或信息的泄露等严重后果。 2.数据库服务器 电子商务系统用数据库存储用户数据，并可从WWW服务器所连的数据库中检索产品信息。数据库除存储产品信息外，还可能保存有价值的信息或隐私信息，如果这些信息被更改或泄露将会给公司带来无法弥补的损失。 3.CGI 通用网关接口CGI可实现从WWW服务器到另一个程序（如数据库程序）的信息传输。CGI和接收它所传输数据的程序为网页提供了动态内容。同WWW服务器一样，CGI脚本是能以高权限运行的程序，并且运行起来不受Java运行程序安全的限制，如果滥用就会带来安全威胁。因此，恶意的CGI程序能自由访问系统资源，使系统失效、调用删除文件的系统程序或查看顾客的必威体育官网网址信息。 4.ASP 活动服务器页面ASP(Active Server Pages)是微软推出的工具软件，可以在服务器端运行脚本语言VbScript和JavaScript编写的程序。ASP简单实用、灵活而强大，可实现与客户端交互信息和数据库访问等操作。但ASP也存在安全漏洞，通过ASP可以入侵WWW服务器，窃取服务器上的文件，捕获Web数据库等系统的用户口令，删除服务器上的文件，直到造成系统损坏。 5.邮件炸弹 邮件炸弹是将大量的消息发给同一个电子邮件地址，目标电子邮件地址收到的大量邮件超出了所允许的邮件区域限制，导致邮件系统堵塞或失效。邮件炸弹通常会导致邮件服务器拒绝服务 6.溢出攻击 通过客户机传输给WWW服务器或直接驻留在服务器上的Java或C++程序需要经常使用缓存。缓存中存放了从文件或数据库中读取的数据，是数据进出的临时存放区域。但是向缓存发送数据的程序如果出错，就会导致数据或指令替代了内存指定区域外的内容，即缓存溢出。 另一种溢出攻击就是将指令写在关键的内存位置上，使侵入的程序在完成了覆盖缓存内容后进入系统保留区 7.口令破译 用户所选的口令不当或者攻击者使用一些工具软件，也会构成安全威胁。有的用户所选的口令非常简单或者规律性很强．极易被猜出；再者是有人通过使用字典攻击程序，按电子字典里的每个单词