1、电子商务1CHAP 9 电子商务的安全管理9.1电子商务的安全问题9.2电子商务的安全管理方法9.3非法入侵的防范2一、电子商务的安全威胁和风险类型电子商务的安全威胁 销售者面临的威胁 中央系统安全性被破坏IP欺骗;网络报文嗅探(sniffer).竞争者检索商品递送状况 客户资料被竞争者获悉 被他人假冒而损害公司的信誉 消费者递交订单后不付款 虚假订单 获取他人的机密数据 购买者面临的威胁 虚假订单 付款后不能收到货物 机密性丧失 拒绝服务3 DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有
2、效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。DDoS(分布式拒绝服务),它的英文全
3、称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。DoS攻击只要一台单机和一个modem就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。4电子商务的安全风险类型信息传输风险冒名偷窃篡改数据信息丢失信息传递过程中的破坏虚假信息信用风险来自买方的信用风险来自卖方的信用风险买卖双方都存在抵赖的情况管理风险交易流程管理风险人员管理风险交易技术管理风险法律风险5二、电子商务
4、的安全安全管理要求与思路电子商务的安全要求 有效性 机密性 完整性 真实性和不可抵赖性的鉴别电子商务的安全管理思路 技术方面的考虑 加强监管 社会的法律政策和法律保障6一、客户认证技术客户认证技术 概念:客户认证(Client Authentication,CA)是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。身份认证 认证的功能:可信性 完整性 不可抵赖性 访问控制7信息认证对敏感的文件进行加密,这样即使别人截获文件也无法得到其内容保证数据的完整性,防止截获人在文件中加入其他信息对数据和信息的来源进行验证,以确保发信人的身份认证机构
5、认证8二、安全管理制度人员管理制度 对有关人员进行上网培训 落实工作责任制 贯彻网上交易安全运作的基本规则 多人负责制,任期有限制,最小权限制保密制度 信息分级制度 密钥管理制度跟踪、审计、稽核制度网络系统的日常维护制度病毒防范制度9三、法律制度美国保证电子商务安全的相关法律 与网上交易相关法律调整的基本原则 电子支付的法律制度 信息安全的法律制度 消费者权益保护的法律制度我国保证电子商务安全的相关法律10一、网络“黑客”常用的攻击手段“黑客”的概念 黑客的类型 初级黑客 高水平黑客 职业黑客 黑客的危害 充当政治工具 用于战争 非法入侵金融、商业系统,盗取商业信息;在电子商务、金融证券系统中
6、进行诈骗、盗窃等违法犯罪活动,破坏正常的经济秩序 非法侵入他人的系统,获取个人隐私事件总数政府机构网络服务商业机构科研机构其他5.1大陆被攻击14714.9%7.2%47.2%22.3%8.4%5.1美国被攻击104312.9%5.6%66.2%3.7%11.7%1112NoImage13“黑客”的攻击手段 中断(攻击系统的可用性)窃听(攻击系统的机密性)窜改(攻击系统的完整性)伪造(攻击系统的真实性)轰炸(攻击系统的健壮性)14二、防范非法入侵的技术措施网络安全检测设备访问设备防火墙 防火墙定义:防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火
7、墙。防火墙的功能 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。为什么使用防火墙 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。防火墙的类型 防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。安全工具包15概念:拒绝服务(DOS)、客户认证技术、防火墙简答:1、销售者和购买者面临的安全威胁有哪些?2、电子商务的安全风险类型?3、黑客的危害?16