1、项目七项目七 电子商务安全技术电子商务安全技术 危害电子商务安全要素危害电子商务安全要素 32 2 1 电子商务的安全需求及防范对策电子商务的安全需求及防范对策 电子商务安全主要技术电子商务安全主要技术知识要点n任务数字证书的申请 1信息的截获和窃取信息的截获和窃取 2篡改信息篡改信息3假冒身份假冒身份4抵赖行为抵赖行为5拒绝服务拒绝服务(一一)危害电子商务安全要素危害电子商务安全要素 1信息的截获和窃取信息的截获和窃取 1信息的截获和窃取信息的截获和窃取 网上信息的窃听与数据的窃取网上信息的窃听与数据的窃取2.篡改信息篡改信息 数据篡改数据篡改客户银行请给丁汇请给丁汇100元元乙乙甲甲请给丁
2、汇请给丁汇100元元请给丙汇请给丙汇100元元丙丙请给丙汇请给丙汇100元元信息的重发信息的重发龅龅牙牙哥哥 茫茫然然弟弟3假冒身份假冒身份 对用户身份的仿冒对用户身份的仿冒“尊敬的用户,您被我们联众世界系统抽取为尊敬的用户,您被我们联众世界系统抽取为九九月金秋无限惊喜月金秋无限惊喜幸运玩家,您将获得由联众电脑幸运玩家,您将获得由联众电脑技术有限责任公司送出的奖金万元以及价值技术有限责任公司送出的奖金万元以及价值万元的时尚笔记本电脑一部。请登万元的时尚笔记本电脑一部。请登陆本公司网站陆本公司网站http:/按照提示办按照提示办理领取您的奖品,咨询热线:理领取您的奖品,咨询热线:”5拒绝服务拒绝
3、服务 拒绝服务拒绝服务(Deny of Service,DoS)分布式拒绝服务攻击分布式拒绝服务攻击(DDoS)n“一网打尽说:我再给你5分钟,不给我的话你们就等死吧!”去年12月5日,新浪网工作人员赵先生接到这样一条聊天记录。5分钟后该网站北京等地的多个UT服务器突然遭到海量信息攻击,在长达近500分钟内无法为用户提供服务。昨天,制造了这起黑客攻击新浪事件的张波在海淀法院受审。n据指控,2007年12月4日到2008年1月8日,张波通过拒绝服务的攻击方式,对新浪UT服务器进行攻击,造成新浪北京、天津、广州等地的UT服务器全面堵塞,损失达到近50万元。检方认为张波构成破坏计算机信息系统罪。1保
4、密性保密性2完整性完整性 3个体识别性个体识别性 4不可抵赖性不可抵赖性 5授权合法性授权合法性6数据有效性数据有效性 (二二)电子商务的安全需求及防范对策电子商务的安全需求及防范对策 网络安全的工作目的 防火墙技术防火墙技术 数据加密技术数据加密技术 数字签名数字签名 身份认证技术身份认证技术 防病毒技术防病毒技术 (三三)电子商务安全主要技术电子商务安全主要技术 网络安防的架构 防火墙是一种安全有效的防范技术。从狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上看,防火墙还包括了整个网络的安全策略和安全行为。防火墙是一种隔离控制技术,它通过在风险区域(即互联网或有一定风险的
5、网络)与安全区域(局域网)之间设置一个或多个电子屏障(包括包过滤、代理服务、电路网关和应用网关)来提供网络安全环境。其目的是阻止对信息资源的非法访问,过滤掉不安全服务和非法用户,也可以阻止内部人员从公司的网络上非法窃取机密信息。防火墙示意图1.企业内联网企业内联网2.部门子网部门子网3.分公司网络分公司网络保护网络中脆弱的服务 集中安全性 增强保密性、强化私有权 网络访问监控审计 限制有用的网络服务 不能有效防止内部网络用户的攻击 防火墙无法防范通过防火墙以外的其他途径的攻击 防火墙也不能完全防止传送已感染病毒的软件或文件 防火墙无法防范新的网络安全问题 包过滤防火墙 代理服务防火墙,也称作应
6、用级防火墙 (1)加密系统的组成)加密系统的组成明文明文 密文 加密解密算法 密钥 明文密文明文加密解密发送者接收者(2)加密的类型加密的类型 对称加密,又称私钥加密,即信息的发送方和接收方用相同的密钥去加密和解密数据非对称加密,又称公钥密钥加密。双重加密 对称加密,又称私钥加密,即信息的发送方和接收方用相同的密钥对称加密,又称私钥加密,即信息的发送方和接收方用相同的密钥去加密和解密数据去加密和解密数据 甲方:甲方:乙方:乙方:(甲密钥)(甲密钥)(乙密钥)(乙密钥)用甲密用甲密钥加密钥加密用甲用甲密密钥钥解密解密用乙密密钥钥加密用乙密钥解密 非对称算法研制的最初理念与目标是旨在解决对称加密算
7、法中密钥的分发问题,实际上它不但很好的解决了这个问题,还利用非对称加密算法来完成对电子信息的识别签名,以防止对信息的否认和抵赖,同时还可以利用数字签名,较容易地发现攻击者对信息的非法修改,以保护数据信息的完整性。发送者自动生成对称密钥,用对称密钥加密发送的信息,将生成的密文连同用接收方的公开密钥加密后的对称密钥起传送出去。收信者用其私有密钥解密被加密的密钥来得到对称密钥,然后用这把对称密钥来解密密文。如何保证口令的安全呢?注意口令的组合 防止口令被监听 防止穷举法和字典法攻击 加强管理。经常更改口令 数字证书也叫CA证书,是网络通讯中标志通信各方身份信息的一系列数据。它是一个经证书授权中心数字
8、签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循ITU X509国际标准。口令口令+密码密码 n认证中心又称为证书授权(Certificate Authority)中心,简称CA中心,是一个负责发放和管理数字证书的,具有权威性和公正性的买卖双方都信任的第三方机构。nCA中心是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理数字证书,以此认证所有参与网上交易实体的身份。n目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。认证机构的外部机构 各认证机构的关系 商家认证机构商家认证机构品牌认证机构品牌认证机构持卡认证机构持卡认证机构根认证机构根认证机构地方
9、认证机构地方认证机构n 我国较大的认证机构我国较大的认证机构中国金融认证中心(中国金融认证中心(CFCA)建设:中国人民银行组织,建设:中国人民银行组织,1212家商业银行共建家商业银行共建时间:今年底或明年初建成时间:今年底或明年初建成构成:构成:SET CA SET CA 与与 Non-SET CA(Non-SET CA(如支持如支持SSLSSL)承包商:承包商:Non-SET CANon-SET CA:Entrust/SUN/Entrust/SUN/德达德达 SET CASET CA:IBMIBM应用:为首都电子商城服务,为网上银行应用:为首都电子商城服务,为网上银行 服务,并推广至全国
10、。服务,并推广至全国。BJCA北京认证中心(北京认证中心(BJCA)性质:权威的、可信赖的、公正的第三方信任机构。服务内容:制订PKI系统的相关政策;证书用户审核、登记注册;身份认证、权限控制;颁发证书;公布证书目录;证书的废止、更新等管理;保护CA签名密钥。服务对象:从事电子商务、电子政务、网上金融、网上证券、网上办公的政府机关、企事业单位、个人、网站 和软件代码开发者等。证书的更新 证书的查询 证书验证 证书的作废 证书的存储和归档 中华人民共和国计算机信息系统安全保护条例对计算机病毒进行了明确定义:“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一
11、组计算机指令或者程序代码”。感染性 非授权性 欺骗性。危害性。潜伏性。隐蔽性。不可预见性。1)申请、下载、安装数字证书 登录http:/ 2)管理数字证书 本项目为了建立数字证书的申请人与CA认证中心的信任关系,保证申请数字证书时信息传输的安全。通过申请并下载数字证书,加深对电子商务安全认证的了解,掌握数字证书的申请和使用过程,了解数字证书的工作原理。通过登陆数字证书认证中心网站,学习数字证书的申请、下载、使用等过程,并在Windows中对证书进行有关管理。案例案例酒仙网遭攻击瘫痪超酒仙网遭攻击瘫痪超10小时小时 悬赏百万擒黑客悬赏百万擒黑客 n【案例简介案例简介】n酒仙网2012年1月两度遭
12、遇恶意网络攻击,导致网站共计瘫痪超过10个小时。从1月9日晚上10点30分开始,酒仙网遭遇DDoS模式的恶意攻击,导致网络瘫痪6小时以上。由于网络瘫痪导致的售后服务电话暴增,酒仙网的售后系统随之瘫痪,经过6小时的艰苦维修后,系统才得以恢复。次日,酒仙网再次遭遇类似攻击,网站再度瘫痪近4个小时。n一位IT专业人士告诉记者,DDoS是一种很简单但又很有效的进攻方式。通过大量的垃圾信息进行攻击,导致网站瘫痪,使得消费者无法进行正常浏览购买。但是这种模式耗费惊人。每次攻击费用超过20万元。n“这种需要花大钱、破坏性极强的做法,我们认为除了是竞争对手的恶意攻击外,不可能是普通消费者所为,”酒仙网CEO郝
13、鸿峰称,“酒仙网的竞争对手主要有两类,一是酒类电商同行,二是传统酒类经销商。目前其他酒类电商规模还较小,没有与酒仙网形成直接竞争关系。同时,酒类电商的市场有赖于酒仙网作为领军企业来推动,酒类电商同行不太可能进行直接攻击。而传统酒类经销商则直接感受到了酒仙网的巨大威胁。”n酒仙网在日前发布的公开声明中透露,已经第一时间报案,公安机关正在立案侦查。“黑客攻击事件”导致酒仙网商业信誉、经济利益的损失,酒仙网已经留存此次黑客攻击的所有数据,并将会同相关专家提取证据,并保留以法律手段进行追诉的权利。酒仙网表示,“对任何不负责任和别有用心的手段绝不姑息。”为此,该公司许诺对于前10位提供有效信息协助公关机关进行破案的组织或个人,每抓获一名犯罪嫌疑分子,酒仙网将酬谢10万元,共计酬谢100万元。讨讨 论论 时时 间间Bye ByeBye Bye谢谢!谢谢!
