电子商务安全课件冯晓玲01.ppt

山西大学商务学院 《电子商务安全》 冯晓玲 案例1：黄群威编造、故意传播虚假恐怖信息案 2003年4月，注册名为“zzzzxxxxzz”的用户，在“西路网”［］论坛海阔天空［］发表标题为“绝对可靠内部消息，上海隐瞒了大量非典病例”一文，IP地址为［54］，西路安全监控员删除该文章时，点击率为945次； 注册名为［hushuoya］的用户，在“西路网”论坛海阔天空［］发表标题为“中国已因非典而真正进入了经济危机”一文，IP地址为［03］，西路安全监控员删除该文章时，点击率为386次。 案例2：利用漏洞两人一个月骗游戏点卡获利36万 获刑十三年 网易一卡通点卡是为预付费卡。曾经网易与网通公司推出赠送点卡活动，但未对ADSL用户是否申领过点卡进行核实。一天，丁某在申请时输入账号和密码并提交后，网页无法显示，就点击后退，再提交。发现已获得了两张卡。由此可知，发现无论账号信息是否提交成功，只要在10分钟之内，反复点提交、后退，就能得到多张点卡，没有次数限制。于是，丁某伙同他人一起大肆骗卡。 两名被告发现程序漏洞后，在2005年9月至10月间，反复申领，骗取100点一卡通点卡57331张，并通过网络将点卡卖出，共获利36.7939万元。 25.7%的用户认为对互联网的安全问题不太满意； 61.5%的网民是因为担心交易安全性不进行网上交易。 上海是网络购物使用率达到45.2%；其次是北京，为38.9%。 美国网民的66%，韩国网民的57.3% ，中国25%的网络购物使用率 以上数据源自：《中国互联网络发展状况统计报告》 安全隐患(二） 由于非法用户可以伪造、假冒电子商务网站和用户的身份。 敏感信息和交易数据在传输过程中有可能被恶意篡改。 网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。 “网络钓鱼”式攻击 目前威胁最大的三种网络钓鱼攻击方式为： 假冒网站 邮件欺骗 木马病毒 中国银行网站 中国银行的假冒域名是，多一个英文字母f； 中国工商银行网站 中国工商银行域名是，与，也只是“1”和“i”一字之差； 中国农业银行网站 中国农业银行域名是 以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。 国内第一例中文混合型病毒“重要文件”冒充一家购物网站邮件迷惑用户，危害仅是可能将盗取个别用户网络银行账号和网络游戏密码等敏感信息。 黑客攻击的分类 被动攻击 主动攻击 电子商务安全 计算机网络安全 计算机网络设备安全 计算机网络系统安全 数据库安全 商务交易安全　 在计算机网络安全的基础上，保障电子商务过程的顺利进行。  橙皮书；CC通用准则，80年代初期，TCSEC可信计算机系统评估准则。 白皮书：是由官方制定发布的阐明及执行的规范报告。 蓝皮书：是由第三方完成的综合研究报告。 绿皮书：是关于乐观前景的研究报告。 红皮书：是关于危机警示的研究报告（ 80年代后期，TNI可信网络说明，红皮书） PDRR网络安全模型 国外信息安全发展趋势 发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术 关注的焦点主要有：1） 密码理论与技术；2） 安全协议理论与技术；3） 安全体系结构理论与技术；4） 信息对抗理论与技术；5） 网络安全与安全产品。 小结 网络系统面临的威胁和分类 电子商务安全的目标 TCSEC对OS的安全级别分类 一种常见的网络安全模型 地址：北京市朝阳区惠新东街10号 邮编：100029 电话：010 E-mail: uibep@126.com 国家信息安全技术发展战略 没有100％的信息安全，要作好风险评估以得到最好的选择。 安全要和应用紧密结合，不能让用户感到增加安全功能是大的负担，才能获得成功。 在进入WTO后，交易安全方面重点是B to B的安全。 大国应有自己的安全产业，同时要充分考虑国际兼容问题。 * 全方位的安全体系 安全管理原则 防范内部作案 多人负责原则 相互制约 任期有限原则 防作弊，不定期轮换 职责分离原则 避免利用职务之便 * 谢谢！ Bussiness College of Shanxi University * 第1章 电子商务安全概述 本章教学目标 1. 电子商务存在的一些安全威胁，及其可能遭受的攻击。 2.掌握对电子商务安全的目标。 3.了解实现电子商务安全手段、技术、方法 4.了