電子商務(wù)安全面臨的問題及解決方法課件

1、電子商務(wù)安全面臨的問題及解決方法1 第2章 電子商務(wù)安全面臨的問題及解 決方法 電子商務(wù)安全面臨的問題及解決方法2 第2章 信息安全技術(shù) n2.1電子商務(wù)安全面臨的主要問題 n n2.2電子商務(wù)安全整體解決方法 電子商務(wù)安全面臨的問題及解決方法3 2.1電子商務(wù)安全面臨的主要問題 n涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用 性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是 網(wǎng)絡(luò)安全的研究領(lǐng)域 n2.1.1網(wǎng)絡(luò)信息安全目標(biāo) n2.1.2網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 電子商務(wù)安全面臨的問題及解決方法4 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) （1）保密性（Confidentiality） （2）完整性（Integrity）

2、 （3）可用性（Availability） （4）不可否認(rèn)性（Non-Repudiation） （5）可控性（Controllability） 指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到 保護(hù)，不受偶然的或者惡意的原因而遭到破壞、 更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服 務(wù)不中斷，即在信息采集、存儲(chǔ)、處理、傳播和 運(yùn)用過程中保障電子信息的有效性。 電子商務(wù)安全面臨的問題及解決方法5 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) 1.系統(tǒng)安全 指網(wǎng)絡(luò)設(shè)備的硬件、操作系統(tǒng)和應(yīng)用軟件的安全： n1）數(shù)據(jù)庫系統(tǒng)出現(xiàn)運(yùn)行故障時(shí)，如何保證系統(tǒng)的平 穩(wěn)切換、交易方資料信息的真實(shí)完整和通信數(shù)據(jù)在 確定的空間、時(shí)間安全有效。

3、 n2）預(yù)防計(jì)算機(jī)病毒的侵害，及時(shí)排除潛在的威脅。 n3）確保網(wǎng)絡(luò)系統(tǒng)的安全，防范非法入侵者竊取客戶 的資料、改變用戶的數(shù)據(jù)和獲取他人的機(jī)密數(shù)據(jù)等。 電子商務(wù)安全面臨的問題及解決方法6 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) 2.信息傳輸安全 信息正常傳輸 電子商務(wù)安全面臨的問題及解決方法7 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) 2.信息傳輸安全 （1）截取信息（攻擊系統(tǒng)的可用性） 電子商務(wù)安全面臨的問題及解決方法8 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) 2.信息傳輸安全 （2）竊聽信息（攻擊系統(tǒng)的保密性） 電子商務(wù)安全面臨的問題及解決方法9 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) 2.信息傳輸安全 （3）竄改信息（攻擊系統(tǒng)的完整性）

4、電子商務(wù)安全面臨的問題及解決方法10 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) 2.信息傳輸安全 （4）偽造信息（攻擊系統(tǒng)的真實(shí)性） 電子商務(wù)安全面臨的問題及解決方法11 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) n3.信息存儲(chǔ)安全 n網(wǎng)絡(luò)中非法用戶可以通過猜測用戶口令或竊 取口令的方法，或設(shè)法繞過網(wǎng)絡(luò)安全認(rèn)證系 統(tǒng)來冒充合法用戶，非法查看、下載、修改、 刪除未授權(quán)訪問的信息，使用未授權(quán)的網(wǎng)絡(luò) 服務(wù)。而信息存儲(chǔ)安全就是指如何保證靜態(tài) 存儲(chǔ)在聯(lián)網(wǎng)計(jì)算機(jī)中的信息不會(huì)被未授權(quán)的 網(wǎng)絡(luò)用戶非法使用 電子商務(wù)安全面臨的問題及解決方法12 2.1.1網(wǎng)絡(luò)信息安全目標(biāo) n4.交易雙方身份真實(shí) n電子商務(wù)是貿(mào)易雙方的商業(yè)交易，在無紙化

5、的電子商務(wù)中，采用相關(guān)技術(shù)來鑒別貿(mào)易伙 伴、確定交易合同或單據(jù)的可靠性，預(yù)防抵 賴行為的發(fā)生 電子商務(wù)安全面臨的問題及解決方法13 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 1.電子商務(wù)交易雙方（銷售方和消費(fèi)方）可能存在的 威脅及對策 n（1）對銷售方的威脅 n1）中央系統(tǒng)安全性破壞 n2）競爭者檢索商品遞送狀況 n3）客戶資料被競爭者獲悉 n4）被他人假冒而損害公司信譽(yù) n5）消費(fèi)方提交訂單后不付款 n6）虛假訂單 n7）獲取他人機(jī)密 電子商務(wù)安全面臨的問題及解決方法14 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 1.電子商務(wù)交易雙方（銷售方和消費(fèi)方）可能 存在的威脅及對策 n（2）對消費(fèi)方的威

6、脅 n1）虛假訂單 n2）付款后收不到商品 n3）喪失機(jī)密性 n4）拒絕服務(wù) 電子商務(wù)安全面臨的問題及解決方法15 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 1.電子商務(wù)交易雙方（銷售方和消費(fèi)方）可能 存在的威脅及對策 銷售方對策：在從事電子商務(wù)過程中，要能 夠鑒別消費(fèi)方的身份的真實(shí)性，確信消費(fèi)者 對商品或服務(wù)付款的能力；同時(shí)當(dāng)消費(fèi)方收 到商品或得到服務(wù)卻說沒有收到商品或服務(wù) 時(shí)，銷售方能出示有效證據(jù)，使用有效的解 決機(jī)制來解決爭端，防止銷售方提供的服務(wù) 被破壞 電子商務(wù)安全面臨的問題及解決方法16 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 1.電子商務(wù)交易雙方（銷售方和消費(fèi)方）可能 存在的威脅及

7、對策 消費(fèi)方對策：在從事電子商務(wù)過程中，要對 銷售方的身份進(jìn)行鑒別，以確認(rèn)要進(jìn)行交易 的對方是合法的；要保證自己的機(jī)密信息和 個(gè)人隱私不被泄漏給非授權(quán)人；要采用有效 的爭議解決機(jī)制，一旦消費(fèi)方為商品付款后 沒收到商品，或收到錯(cuò)誤的商品時(shí)，消費(fèi)方 能出示有效的證據(jù)，利用爭議解決機(jī)制來解 決爭議 電子商務(wù)安全面臨的問題及解決方法17 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 2.在Internet中可能存在的網(wǎng)絡(luò)攻擊 （1）服務(wù)器攻擊（application dependent attack）是指對為網(wǎng)絡(luò)提供某種服務(wù)的服務(wù) 器發(fā)起的攻擊，造成該網(wǎng)絡(luò)的“拒絕服務(wù)”， 使網(wǎng)絡(luò)工作不能正常進(jìn)行 （2）非服

8、務(wù)器攻擊（application independent attack）不針對某項(xiàng)具體應(yīng)用服務(wù)，而是針 對網(wǎng)絡(luò)層等底層協(xié)議進(jìn)行的 電子商務(wù)安全面臨的問題及解決方法18 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 3.網(wǎng)絡(luò)安全漏洞與對策 （1）網(wǎng)絡(luò)協(xié)議安全漏洞 （2）防火墻安全漏洞 （3）口令漏洞 （4）操作系統(tǒng)的安全漏洞 （5）陷門。一般是在程序或系統(tǒng)設(shè)計(jì)時(shí)插入的一小 段程序，用來測試這個(gè)模塊或?qū)頌槌绦騿T提供一 些方便所使用的。陷門一旦被有心人士利用，將會(huì) 帶來嚴(yán)重的安全問題。比如，利用陷門可以在程序 中建立秘密通道，植入一些隱蔽的病毒程序 電子商務(wù)安全面臨的問題及解決方法19 2.1.2 網(wǎng)絡(luò)

9、信息系統(tǒng)中的威脅與對策 3.網(wǎng)絡(luò)安全漏洞與對策 對策：主動(dòng)的了解本系統(tǒng)的計(jì)算機(jī)硬件與操 作系統(tǒng)、網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件、數(shù)據(jù)庫管理 系統(tǒng)、應(yīng)用軟件以及網(wǎng)絡(luò)通信協(xié)議可能存在 的安全問題，利用各種軟件與測試工具主動(dòng) 檢測網(wǎng)絡(luò)可能存在的各種安全漏洞，并及時(shí) 提出對策與補(bǔ)救措施 電子商務(wù)安全面臨的問題及解決方法20 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 4.網(wǎng)絡(luò)內(nèi)部威脅與對策 n網(wǎng)絡(luò)內(nèi)部可能存在的威脅有： n1）有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員的密碼或 口令 n2）繞過防火墻，私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全 漏洞 n3）越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù) n4）越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成

10、網(wǎng)絡(luò)工作不正常的。 電子商務(wù)安全面臨的問題及解決方法21 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 4.網(wǎng)絡(luò)內(nèi)部威脅與對策 對策：一方面可通過管理軟件隨時(shí)監(jiān)控網(wǎng) 絡(luò)運(yùn)行狀態(tài)與用戶工作狀態(tài)，對重要的資源 使用狀態(tài)進(jìn)行記錄和審記；另一方面應(yīng)指定 和不斷完善網(wǎng)絡(luò)使用和管理制度，加強(qiáng)用戶 培訓(xùn)和管理 電子商務(wù)安全面臨的問題及解決方法22 2.1.2 網(wǎng)絡(luò)信息系統(tǒng)中的威脅與對策 5.網(wǎng)絡(luò)病毒及對策 6.黑客攻擊 指涉及阻擾計(jì)算機(jī)系統(tǒng)正常進(jìn)行，或利用 和通過計(jì)算機(jī)系統(tǒng)進(jìn)行犯罪的行為 電子商務(wù)安全面臨的問題及解決方法23 2.2電子商務(wù)安全整體解決方法 電子商務(wù)一般是通過Internet網(wǎng)絡(luò)進(jìn)行，為 了提高電

11、子商務(wù)活動(dòng)的安全性，除了采用先 進(jìn)的網(wǎng)絡(luò)安全技術(shù)外，還必須具備有效的信 息安全機(jī)制，這就是電子商務(wù)安全交易體系. 2.2.1電子商務(wù)安全體系概述 2.2.2電子商務(wù)安全解決方法 電子商務(wù)安全面臨的問題及解決方法24 2.2.1電子商務(wù)安全體系概述 n該體系包括五個(gè)層次 n系統(tǒng)應(yīng)用層、安全協(xié)議層、安全認(rèn)證層、加密 技術(shù)層、網(wǎng)絡(luò)安全層 n如圖所示 電子商務(wù)安全面臨的問題及解決方法25 電子商務(wù)安全面臨的問題及解決方法26 2.2.2 電子商務(wù)安全解決方法 n加密解密技術(shù) n加密技術(shù)是信息安全技術(shù)中的一個(gè)重要的組成 部分。它可以保護(hù)傳送的信息安全。但是加密 系統(tǒng)不能區(qū)分擁有同樣加密密鑰的用戶是合法

12、用戶還是攻擊者。所以，從某種程度上說，加 密本身能提供安全保障，還必須完善加密密鑰 和系統(tǒng)的一個(gè)整體控制 電子商務(wù)安全面臨的問題及解決方法27 n2.數(shù)字簽名技術(shù) n在現(xiàn)實(shí)生活里，書信或文件是根據(jù)親筆簽名 或印章來證明具真實(shí)性的，在網(wǎng)絡(luò)世界里， 我們希望產(chǎn)生出能夠代表簽名者和文件之間 關(guān)聯(lián)性的數(shù)字代號(hào)。通過數(shù)字簽名技術(shù)可以 確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作 用，簽字方不能夠抵賴。以后我們還會(huì)學(xué)習(xí) 到，通過數(shù)字簽名技術(shù)也能夠幫助我們鑒別 信息自簽發(fā)后到收到為止是否被篡改過。這 就使得他人通過偽造而達(dá)到改變信息的內(nèi)容 電子商務(wù)安全面臨的問題及解決方法28 n數(shù)字時(shí)間戳 n在電子交易中，時(shí)間和

13、簽名同等重要。數(shù)字 時(shí)間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用。 由DTS（Digital Time-Stamp）服務(wù)機(jī)構(gòu)提供 的電子商務(wù)安全服務(wù)項(xiàng)目，專門用于證明信 息的發(fā)送時(shí)間 電子商務(wù)安全面臨的問題及解決方法29 n驗(yàn)證技術(shù) n驗(yàn)證是在遠(yuǎn)程通信中獲得信任的手段，是安 全服務(wù)中最為基本的內(nèi)容，因?yàn)楸仨毻ㄟ^可 靠的驗(yàn)證來進(jìn)行訪問控制，決定誰有權(quán)接受 或修改信息，增強(qiáng)責(zé)任性以及實(shí)現(xiàn)不可否認(rèn) 服務(wù)。 n驗(yàn)證常用的三種基本方式是口令方式、標(biāo)記 方式、人體生物學(xué)特征方式 電子商務(wù)安全面臨的問題及解決方法30 n數(shù)字證書技術(shù) n數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系 列數(shù)據(jù)，用于證明某一主體（如個(gè)人用戶、

14、 服務(wù)器等）的身份以及其公鑰的合法性的一 種權(quán)威性的電子文檔。它由權(quán)威公正的第三 方機(jī)構(gòu)，即CA中心簽發(fā)，類似于現(xiàn)實(shí)生活中 的身份證 電子商務(wù)安全面臨的問題及解決方法31 n防火墻技術(shù) n防火墻是軟件、硬件的結(jié)合，在需要保護(hù)的網(wǎng)絡(luò)同 可能帶來安全威脅的互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間建立一 層保護(hù)，防火墻是邊界安全產(chǎn)品，防火墻內(nèi)的網(wǎng)絡(luò) 叫可信網(wǎng)絡(luò)；以外的網(wǎng)絡(luò)叫不可信網(wǎng)絡(luò)。經(jīng)過合理 設(shè)置的防火墻是一種必需的安全設(shè)備。 n防火墻對于以下幾個(gè)方面不能起到“防火”的作用： n不能阻止攻擊者使用一個(gè)允許的連接攻擊； n不能保證不受內(nèi)部用戶的攻擊。 電子商務(wù)安全面臨的問題及解決方法32 n智能卡技術(shù) n人們利用智能卡

15、（即你所擁有的）來降低攻 擊者猜出密碼的風(fēng)險(xiǎn)。但是智能卡也有其漏 洞，即不能防止對系統(tǒng)漏洞進(jìn)行攻擊，而且 成本問題也成為制約其發(fā)展的關(guān)鍵的因素 電子商務(wù)安全面臨的問題及解決方法33 n防病毒技術(shù) n防病毒軟件如果設(shè)置合理，那么可以降低系 統(tǒng)遭受惡意攻擊的機(jī)會(huì)。不過，防病毒只能 保護(hù)系統(tǒng)免受惡意程序攻擊，卻不能避免使 用合法程序訪問系統(tǒng)的攻擊者的攻擊。同時(shí) 也不能防護(hù)一些用戶對不應(yīng)該訪問的文件進(jìn) 行訪問的越權(quán)攻擊。 電子商務(wù)安全面臨的問題及解決方法34 n入侵檢測技術(shù) n入侵檢測是對防火墻的一個(gè)合理補(bǔ)充，幫助 系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展管理員的安全管理 能力和范圍，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整 性。但是沒有哪種入侵檢測系統(tǒng)是