電子商務(wù)技術(shù)第四章第一節(jié)

1、第四章第四章 電子商務(wù)安全基礎(chǔ)知識(shí)電子商務(wù)安全基礎(chǔ)知識(shí) 案例一： o一名網(wǎng)絡(luò)管理員自行開(kāi)設(shè)了一家訂票網(wǎng)站“長(zhǎng)春鐵路在線”的網(wǎng)站， 以定票的名義從事網(wǎng)絡(luò)欺騙。 o免費(fèi)贈(zèng)送QQ幣：登陸該網(wǎng)站，發(fā)現(xiàn)該網(wǎng)站從網(wǎng)頁(yè)布局到域名，都仿冒 騰訊公司的QQ網(wǎng)站設(shè)立，讓用戶以為是騰訊官方進(jìn)行的市場(chǎng)促銷活動(dòng) 。當(dāng)用戶按照該網(wǎng)站的提示填入自己的QQ號(hào)碼后，該網(wǎng)站甚至?xí)棾?一個(gè)假冒的QQ軟件系統(tǒng)信息窗口，讓用戶誤以為自己真獲得了騰訊公 司贈(zèng)送的QQ幣。同時(shí)，該網(wǎng)站還提示說(shuō)：“恭喜您！您成功獲得5個(gè) QQ幣，但是還沒(méi)有被激活。馬上把下面這個(gè)地址發(fā)給您QQ上的五位 朋友點(diǎn)擊來(lái)激活吧。誘騙用戶把這個(gè)虛假信息傳遞給自己的QQ

2、好友。 o目的：該網(wǎng)站為了提高自己的網(wǎng)絡(luò)全球排名、獲取商業(yè)利益的伎倆。 ALEXA提供的資料，一個(gè)星期內(nèi)，該騙子網(wǎng)站的全球排名從80000 多位上升到了2000多位。根據(jù)業(yè)內(nèi)權(quán)威人士分析，每天受騙登陸該網(wǎng) 站的人數(shù)可達(dá)數(shù)十萬(wàn)。 類似的網(wǎng)絡(luò)詐騙行為在西方歐美國(guó)家已經(jīng)成為 威脅用戶安全的一種主流詐騙手段，單單信用卡用戶每年遭受的損失 就有數(shù)十億美元，因此用戶一定不能掉以輕心。 案例二： 黃群威編造、故意傳播虛假恐怖信息案 o 2003年4月，注冊(cè)名為“zzzzxxxxzz” 的用戶，在“西路網(wǎng)” 論壇發(fā)表標(biāo)題為“絕 對(duì)可靠?jī)?nèi)部消息，上海隱瞞了大量非典 病例”一文，IP地址為 202.108.136

3、.154。西路當(dāng)值安全 監(jiān)控員刪除該文章時(shí)，點(diǎn)擊率為945次 ； 案例三：證券大盜 o 2004年11月，四川廣漢的投資者陳先生 ，在毫不知情的情況下，其賬戶中的股票“ 動(dòng)力源”被賣掉，并以8.33元買入了陽(yáng)光發(fā) 展，給他造成了上萬(wàn)元的損失。陳先生詢問(wèn) 開(kāi)戶營(yíng)業(yè)部華西證券廣漢營(yíng)業(yè)部，才知 道原來(lái)這是網(wǎng)絡(luò)病毒“證券大盜”搞的鬼。 o 參見(jiàn)：中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（2010/6） 半年有59.2%的網(wǎng)民在使用互聯(lián)網(wǎng)過(guò)程中遇 到過(guò)病毒或木馬攻擊，遇到該類不安全事件的 網(wǎng)民規(guī)模達(dá)到2.5億人。 2010年上半年，有30.9%的網(wǎng)民賬號(hào)或密碼 被盜過(guò)，網(wǎng)絡(luò)安全的問(wèn)題仍然制約著中國(guó)網(wǎng)民 深層次的網(wǎng)絡(luò)

4、應(yīng)用發(fā)展。 89.2%的電子商務(wù)網(wǎng)站訪問(wèn)者擔(dān)心訪問(wèn)假冒 網(wǎng)站；而他們?nèi)绻麩o(wú)法獲得該網(wǎng)站進(jìn)一步的確 認(rèn)信息，86.9%的人會(huì)選擇退出交易?；ヂ?lián)網(wǎng) 向商務(wù)交易型應(yīng)用的發(fā)展，急需建立更加可信 、可靠的網(wǎng)絡(luò)環(huán)境。 電子商務(wù)安全問(wèn)題的原因 o 先天原因先天原因 n 網(wǎng)絡(luò)的全球性、開(kāi)放性和共享性使得電子商務(wù)網(wǎng)絡(luò)的全球性、開(kāi)放性和共享性使得電子商務(wù) 傳輸過(guò)程中的信息安全存在先天不足。傳輸過(guò)程中的信息安全存在先天不足。 o 后天原因后天原因 n 管理管理美國(guó)美國(guó)90%的的IT企業(yè)對(duì)黑客的攻擊準(zhǔn)企業(yè)對(duì)黑客的攻擊準(zhǔn) 備不足。備不足。 n 人人黑客攻擊黑客攻擊 n 技術(shù)技術(shù)軟件漏洞、后門軟件漏洞、后門 耐克網(wǎng)站被黑

5、客篡改 一 一、電子商務(wù)安全的重要性 1.保證商務(wù)信息的安全是進(jìn)行電子商務(wù)的前提 2.保障網(wǎng)上購(gòu)物、交易、結(jié)算等電子商務(wù)各環(huán)節(jié)的安全問(wèn) 題是促進(jìn)電子商務(wù)更快發(fā)展的關(guān)鍵。 一、電子商務(wù)安全的重要性 3.電子商務(wù)的安全問(wèn)題集中在：信息泄露、篡改、身份識(shí) 別、信息破壞。 主要來(lái)自以下幾個(gè)方面： （1）冒名偷竊冒名偷竊： hacker為了獲得一些商業(yè)機(jī)密資源和信息，通常采用源 IP地址欺騙攻擊。 （2）篡改數(shù)據(jù)篡改數(shù)據(jù)： 攻擊者未經(jīng)授權(quán)進(jìn)入EC系統(tǒng)，使用非法手段刪除、修改、 重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人利益。 一、電子商務(wù)安全的重要性 主要來(lái)自以下幾個(gè)方面： （3）信息丟失信息丟失：三

6、種情況下可能丟失信息，一是由于線 路問(wèn)題造成信息丟失，如電源斷電、通信線路斷開(kāi)等； 二是安全措施不錄導(dǎo)致丟失數(shù)據(jù)信息，如信息在傳遞過(guò) 程中未加密，被hacker修改、刪除了；三是不同的操作 平臺(tái)上轉(zhuǎn)換操作從而丟失信息。 （4）信息傳遞出問(wèn)題信息傳遞出問(wèn)題：信息在傳遞的過(guò)程中，可能由于 線路質(zhì)量較差，水災(zāi)、火災(zāi)等問(wèn)題而出現(xiàn)問(wèn)題，或者被 hacker搭線竊聽(tīng)致使重要數(shù)據(jù)泄露。 二 二、電子商務(wù)安全的內(nèi)容 1電子商務(wù)系統(tǒng)硬件安全 2. 電子商務(wù)系統(tǒng)軟件安全 3. 電子商務(wù)系統(tǒng)運(yùn)行安全 4. 電子商務(wù)安全立法 5. 電子商務(wù)信息的安全 三 電子商務(wù)安全概念與特點(diǎn)電子商務(wù)安全概念與特點(diǎn) o電子商務(wù)的一個(gè)

7、重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè) 信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安 全和商務(wù)交易安全。 n 計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī) 網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可 能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò) 自身的安全為目標(biāo)。 n 商務(wù)交易安全商務(wù)交易安全 商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生 的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易 和電子支付為核心的電子商務(wù)的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)保密電

8、子商務(wù)保密 性、完整性、可鑒別性、不可偽造性和不可抵賴性性、完整性、可鑒別性、不可偽造性和不可抵賴性等。 同時(shí)，電子商務(wù)安全又有它自身的特殊性，即以電子交易安全電子交易安全 和電子支付安全為核心和電子支付安全為核心，有更復(fù)雜的機(jī)密性概念，更嚴(yán)格的身份認(rèn)證功 能，對(duì)不可拒絕性有新的要求，需要有法律依據(jù)性和貨幣直接流通性特 點(diǎn)，還要網(wǎng)絡(luò)設(shè)有的其他服務(wù)(如數(shù)字時(shí)間戳服務(wù))等。 電子商務(wù)安全與網(wǎng)絡(luò)安全電子商務(wù)安全與網(wǎng)絡(luò)安全 信息安全 互聯(lián)網(wǎng)安全 網(wǎng)絡(luò)安全 密碼安全 電子商務(wù)安全四大特性 1電子商務(wù)安全是一個(gè)系統(tǒng)概念電子商務(wù)安全是一個(gè)系統(tǒng)概念 電子商務(wù)安全問(wèn)題不僅僅是個(gè)技術(shù)性的問(wèn)題，更重要的是管理問(wèn)題，

9、而 且它還與社會(huì)道德、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起。 2電子商務(wù)安全是相對(duì)的電子商務(wù)安全是相對(duì)的 安全是相對(duì)的，而不是絕對(duì)的，要想以后的網(wǎng)站永遠(yuǎn)不受攻擊、不出安 全問(wèn)題是不可能的。 3電子商務(wù)安全是有代價(jià)的電子商務(wù)安全是有代價(jià)的 如果只注重速度，就必定要以犧牲安全來(lái)作為代價(jià)；如果要考慮到安全， 速度就得慢一點(diǎn), 如果不直接牽涉到支付等敏感問(wèn)題，對(duì)安全的要求就可 以低一些；如果牽涉到支付問(wèn)題，對(duì)安全的要求就要高一些，所以安全是 有成本和代價(jià)的。 4電子商務(wù)安全是發(fā)展的、動(dòng)態(tài)的電子商務(wù)安全是發(fā)展的、動(dòng)態(tài)的 今天安全，明天就不一定安全，沒(méi)有一勞永逸的安全，也沒(méi)有一蹴而就的 安全。 三

10、、電子商務(wù)面臨的安全威脅 1. 計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)（開(kāi)放性、傳輸協(xié)議、操作系統(tǒng)、信息電子化） （1）物理安全問(wèn)題通信安全輻射安全（電傳打印機(jī)） （2）網(wǎng)絡(luò)安全問(wèn)題 （3）網(wǎng)絡(luò)病毒的威脅 （4）黑客攻擊 （5）電子商務(wù)網(wǎng)站自身的安全問(wèn)題（加密技術(shù)、認(rèn)證技術(shù)、安全認(rèn)證 技術(shù)） 電子商務(wù)面臨的安全威脅 對(duì)客戶機(jī)的安全威脅對(duì)客戶機(jī)的安全威脅 1、動(dòng)態(tài)內(nèi)容 2、相關(guān)技術(shù)或機(jī)制 (1)cookie (2)郵件通訊簿 (3)信息隱蔽對(duì)通信信道的安全威脅 對(duì)通信信道的安全威脅對(duì)通信信道的安全威脅 1、搭線竊聽(tīng) 2、 IP欺騙 3、 IP源端路由選擇 4、目標(biāo)掃描 對(duì)服務(wù)器的安全威脅對(duì)服務(wù)器的安全威脅 1 、WWW

11、服務(wù)器 2 、數(shù)據(jù)庫(kù)服務(wù)器 3 、 CGI 4 、 ASP 5 、郵件炸彈 6 、溢出攻擊 7 、口令破譯 安全隱患(一） o 硬件的安全隱患； o 操作系統(tǒng)安全隱患；“后門” o 網(wǎng)絡(luò)協(xié)議的安全隱患； o 數(shù)據(jù)庫(kù)系統(tǒng)安全隱患； o 計(jì)算機(jī)病毒； o 管理疏漏，內(nèi)部作案； o 重應(yīng)用，輕安全。 安全隱患(二） o 由于非法用戶可以偽造、假冒電子商務(wù)網(wǎng) 站和用戶的身份。 o 敏感信息和交易數(shù)據(jù)在傳輸過(guò)程中有可能 被惡意篡改。 o 網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否 認(rèn)，另一方?jīng)]有已簽名的記錄來(lái)作為仲裁 的依據(jù)。 威脅最大的“網(wǎng)絡(luò)釣魚”式攻擊 o 假冒網(wǎng)站 o 郵件欺騙 o 木馬病毒 o 中國(guó)銀

12、行網(wǎng)站www.bank-of- 中國(guó)銀行的假冒域名是www.bank-off- ，多一個(gè)英文字母f； o 中國(guó)工商銀行網(wǎng)站 中國(guó)工商銀行域名是 ，與，也只是“1”和“i”一字之差； o 中國(guó)農(nóng)業(yè)銀行網(wǎng)站 中國(guó)農(nóng)業(yè)銀行域名是 以垃圾郵件的形式大量發(fā)送欺詐性郵件， 這些郵件多以中獎(jiǎng)、顧問(wèn)、對(duì)賬等內(nèi)容引誘 用戶在郵件中填入金融賬號(hào)和密碼，或是以 各種緊迫的理由要求收件人登錄某網(wǎng)頁(yè)提交 用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息 ，繼而盜竊用戶資金。 國(guó)內(nèi)第一例中文混合型病毒“重要文件” 冒充一家購(gòu)物網(wǎng)站郵件迷惑用戶，危害僅是 可能將盜取個(gè)別用戶網(wǎng)絡(luò)銀行賬號(hào)和網(wǎng)絡(luò)游 戲密碼等敏感信息。 黑客攻擊的分類 o

13、被動(dòng)攻擊 o主動(dòng)攻擊 攻、防、測(cè)、控、管、評(píng) 源點(diǎn)終點(diǎn) 正常狀態(tài) 攻 擊 者 偽造 篡改 中斷截獲 被動(dòng)攻擊 主動(dòng)攻擊 主動(dòng)攻擊 主動(dòng)攻擊 攻擊對(duì)象 網(wǎng)絡(luò)恐怖分子（黑客）、信息戰(zhàn)部隊(duì) 現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對(duì) 電腦系統(tǒng)的非法侵入者。 黑客(hacker)：對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系 統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí)，熱衷編程，查找漏洞，表 現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開(kāi)他們的發(fā)現(xiàn)， 與其他人分享；主觀上沒(méi)有破壞數(shù)據(jù)的企圖。 駭客（駭客（crackercracker）：）：以破壞系統(tǒng)為目標(biāo)。 “紅客紅客”honkerhonker：中國(guó)的一些黑客自稱“紅客”h

14、onker。 美國(guó)警方：把所有涉及到利用、借助、通過(guò)或阻撓 計(jì)算機(jī)的犯罪行為都定為hacking。 計(jì)算機(jī)網(wǎng)絡(luò)犯罪 計(jì)算機(jī)網(wǎng)絡(luò)犯罪與傳統(tǒng)的犯罪相比有許多不同的 特點(diǎn)： o 危害性：犯罪后果嚴(yán)重。成本低，傳播快，范 圍廣。 o 知識(shí)性：智慧型白領(lǐng)犯罪，年輕、專業(yè)化 。 o 隱蔽性：偵破與取證困難；證據(jù)的可修改性。 o 廣域性、跨國(guó)性：作案場(chǎng)所不受地理區(qū)域的限 制。 集中在機(jī)密信息系統(tǒng)和金融系統(tǒng)兩方面。 三、電子商務(wù)面臨的安全威脅 2. 電子商務(wù)交易風(fēng)險(xiǎn) （1）在線交易主體的市場(chǎng)準(zhǔn)入； （2）信息風(fēng)險(xiǎn)； （3）信用風(fēng)險(xiǎn)； （4）網(wǎng)上欺詐犯罪； （5）電子合同問(wèn)題； （6）電子支付問(wèn)題； （7）在線

15、消費(fèi)者保護(hù)問(wèn)題； （8）電子商務(wù)中產(chǎn)品交付問(wèn)題； （9）電子商務(wù)中虛擬財(cái)產(chǎn)的保護(hù)問(wèn)題 三、電子商務(wù)面臨的安全威脅 3. 管理風(fēng)險(xiǎn) （1）人員管理； （2）網(wǎng)絡(luò)交易技術(shù)管理 o在人員管理方面，主要是工作人員職業(yè)道德不高，或是離職人員在 系統(tǒng)中沒(méi)有及時(shí)清除。 o交易過(guò)程中的管理、人員管理如：交易過(guò)程中，要監(jiān)督買方按時(shí)付 款、賣方按時(shí)提供符合合同要求的貨物。 三、電子商務(wù)面臨的安全威脅 4. 政策法律風(fēng)險(xiǎn) 主要涉及的法律有： CA中心的法律、保護(hù)個(gè)人隱私、個(gè)人秘密的法律、電子合同法、EC 的消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)法 我國(guó)電子商務(wù)安全現(xiàn)狀 o 在我國(guó)在我國(guó), 電子商務(wù)安全方面的基礎(chǔ)設(shè)施也比

16、較薄弱。電電子商務(wù)安全方面的基礎(chǔ)設(shè)施也比較薄弱。電 子商務(wù)安全技術(shù)及手段還不完善和規(guī)范化子商務(wù)安全技術(shù)及手段還不完善和規(guī)范化, 兼容性和實(shí)兼容性和實(shí) 用性存在許多不足。很多的電子商務(wù)網(wǎng)站用性存在許多不足。很多的電子商務(wù)網(wǎng)站( 包括電子支包括電子支 付付) 的安全機(jī)制還依賴于瀏覽器和的安全機(jī)制還依賴于瀏覽器和Web 服務(wù)器提供的服務(wù)器提供的 SSL 安全協(xié)議安全協(xié)議, 使得電子商務(wù)中和電子交易和支付系統(tǒng)使得電子商務(wù)中和電子交易和支付系統(tǒng) 成為網(wǎng)絡(luò)犯罪活動(dòng)的新目標(biāo)。成為網(wǎng)絡(luò)犯罪活動(dòng)的新目標(biāo)。 o 同時(shí)同時(shí), 信息安全的立法仍然跟不上信息技術(shù)的快速發(fā)展。信息安全的立法仍然跟不上信息技術(shù)的快速發(fā)展。 建立一套法律政策體系建立一套法律政策體系, 保證電子交易雙方能按照共同保證電子交易雙方能按照共同 的規(guī)則進(jìn)行交易的規(guī)則進(jìn)行交易, 對(duì)發(fā)展電子商務(wù)是