電子商務(wù)安全與管理

1、第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 電子商務(wù)作為網(wǎng)絡(luò)經(jīng)濟(jì)的一種形式，通過計算機網(wǎng)絡(luò)來實現(xiàn)；在為客戶提供豐富信息、簡便交易過程、低廉交易成本的同時，也帶來了一系列的安全問題，例如：病毒、網(wǎng)頁篡改、網(wǎng)站偽造、垃圾郵件、網(wǎng)絡(luò)仿冒、木馬、黑客攻擊等。 哈克斯、麥英網(wǎng)絡(luò)病毒已呈泛濫之勢，根本原因就在于之中巨大的非法利益。金山公司發(fā)布的中國互聯(lián)網(wǎng)2006年度信息安全報告顯示，2006年，電腦病毒呈爆炸式增長，共截獲新增病毒樣本24萬多種，幾乎是2003年至2005年間病毒總和的三倍。而新病毒中90%以上帶有明顯的利益特征，專門

2、盜取網(wǎng)銀、網(wǎng)游等網(wǎng)絡(luò)財產(chǎn)和qq號的木馬占了51%，獲取非法利益已經(jīng)成為網(wǎng)絡(luò)病毒爆發(fā)的主要原因和目的。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ msn蠕蟲病毒借助“圣誕照片傳播”-12月 12月18日下午，瑞星瑞星全球反病毒病毒監(jiān)測網(wǎng)截獲一個通過msn快速傳播的蠕蟲蠕蟲病毒病毒，并命名為“msn圣誕照片(backdoor.win32.pbot.a)”。該病毒會大量散發(fā)“my christmas picture for you”等誘惑性消息，中毒機器會向msn上的所有好友發(fā)送名為“photo

3、2007-12.zip”的病毒壓縮包，用戶運行后就會被感染。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ google大清洗 4萬惡意網(wǎng)站被刪除 -11月 11月 ,google清洗了搜索結(jié)果中幾萬個含有惡意軟件惡意軟件及代碼的網(wǎng)站, 這些網(wǎng)站將不再出現(xiàn)在搜索結(jié)果中。盡管google自己并不愿意承認(rèn)或否認(rèn)自己清洗了4萬多個惡意站點，但強調(diào)重視用戶的安全，對那些具有潛在威脅的站點會對用戶發(fā)出警告。第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1

4、.1 問題的提出 案例（2007年 http:/ leopard遭破解遭破解 蘋果干不過蘋果干不過“黑客黑客”帝國帝國-10月月 leopard (美洲豹，第六代mac操作系統(tǒng) )于美國時間10月25日下午18時在紐約第五大道的旗艦專賣店正式開售。繼6月29日發(fā)布iphone，蘋果公司又一次成為業(yè)界人們的焦點。然而1個小時后，正享受蘋果fans歡呼的leopard卻遭到來自windows陣營的重重一擊它被黑客黑客破解了。原本只能安裝在蘋果mac機上的leopard操作系統(tǒng)可以順利安裝到pc機上了。 10月25日下午19點01分，此時距離蘋果發(fā)售leopard只有1個小時，在國外osx86 sc

5、ene論壇上赫然飄出一個帖子，名為“installing leopard 9a581 gm on a hackintosh”(中文翻譯：蘋果leopard已破解，pc輕松安裝指南)。這個高點擊率的熱貼立刻攀上了論壇的top10排行榜。帖子的始作俑者的id叫做布拉茲爾邁克(brazilmac)。他分別在19：01、19：02連發(fā)了兩條破解方法和安裝指南。轉(zhuǎn)瞬之間，他成了論壇上成了炙手可熱的明星，粉絲紛紛跟貼致敬。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 國慶期間近百萬臺電腦感染兩萬余種病毒

6、國慶期間近百萬臺電腦感染兩萬余種病毒-10月月 10月8日，江民反病毒中心監(jiān)測到，今年國慶期間約有2萬4千余種計算機病毒發(fā)作，全國近百萬臺電腦感染計算機病毒。 病毒主要包括三類： 1）通過u盤以及移動設(shè)備傳播的u盤病毒，以“u盤寄生蟲”病毒最為典型。此類病毒通常利用系統(tǒng)的自動播放功能傳播，該類病毒發(fā)作以及感染計算機數(shù)量最大; 2）通過ani系統(tǒng)漏洞傳播的光標(biāo)漏洞病毒，以“ani病毒” 為典型(也稱“光標(biāo)漏洞”、“艾妮”病毒) 3）“代理木馬”病毒以及竊取網(wǎng)絡(luò)游戲賬號的病毒，“代理木馬”病毒主要通過網(wǎng)頁掛馬方式感染計算機，一旦目標(biāo)電腦存在系統(tǒng)漏洞，即可被染毒;而以竊取網(wǎng)絡(luò)游戲玩家的賬號和密碼為目

7、標(biāo)的木馬病毒在發(fā)作病毒總數(shù)中的比例上升幅度最高，此類病毒以“網(wǎng)游大盜”為典型。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 中國女解碼高手十年破譯五部頂級密碼中國女解碼高手十年破譯五部頂級密碼-09月月 在舉行的“中國青年女科學(xué)家獎”的頒獎典禮上，由18位來自中科院和中國工程院的院士組成的評審委員會，將獎項授予了清華大學(xué)和山東大學(xué)的雙聘教授王小云，以表彰她在密碼分析領(lǐng)域里的杰出貢獻(xiàn)。 2005年，王小云在美國加州圣芭芭拉召開的國際密碼大會上宣布她及她的研究小組成功破解了md5、haval-1

8、28、md4和ripemd四大國際著名密碼算法。幾個月后，她又破譯了更難的sha-1 。 sha-1密碼算法，由美國國家標(biāo)準(zhǔn)技術(shù)研究院與美國國家安全局設(shè)計，在1994年就被推薦給美國政府和金融系統(tǒng)采用，是美國政府目前應(yīng)用最廣泛的密碼算法。崩潰!密碼學(xué)的危機，美國新科學(xué)家雜志用這樣的標(biāo)題概括了王小云的成就，美國國家標(biāo)準(zhǔn)與技術(shù)研究院宣布，美國政府5年內(nèi)將不再使用sha-1，取而代之的是采用更為先進(jìn)的新算法，微軟、sun和 atmel等知名公司也紛紛發(fā)表各自的應(yīng)對之策。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007

9、年 http:/ 黑客入侵中國游戲中心系統(tǒng)黑客入侵中國游戲中心系統(tǒng) 盜盜22億游戲幣億游戲幣 -08月月 代某某今年26歲，2006年9月初，偶然發(fā)現(xiàn)中國游戲中心系統(tǒng)內(nèi)存在網(wǎng)絡(luò)安全漏洞，于是在廣州市某出租屋內(nèi)，利用木馬病毒等途徑非法侵入了中游中心系統(tǒng)之后，獲取了約700余個游戲客戶的賬戶資料，并用游戲系統(tǒng)中的“在線轉(zhuǎn)賬”功能，將上述賬號內(nèi)的游戲金幣(即游戲積分)轉(zhuǎn)移到其指定的其他游戲賬戶內(nèi)。按照網(wǎng)絡(luò)游戲金幣的價格：8000個游戲金幣兌換1元人民幣，將上述700余個游戲賬戶內(nèi)共計達(dá)20多億個游戲金幣，以低價出售，共獲利人民幣14萬元 。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述

10、 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 北京警方破獲首例北京警方破獲首例ddos黑客攻擊案黑客攻擊案-07月月 5月，北京市公安局網(wǎng)監(jiān)處接到了網(wǎng)絡(luò)游戲運營商聯(lián)眾公司的報案，該公司托管在北京、上海、石家莊的多臺服務(wù)器遭受到200萬個不同程度的大流量ddos拒絕服務(wù)攻擊包，長達(dá)近一個月，公司經(jīng)濟(jì)損失達(dá)數(shù)百萬元。公司工程師曾經(jīng)試圖修改被攻擊服務(wù)器的ip地址以躲避攻擊，但5分鐘后攻擊隨即轉(zhuǎn)向更改ip后的服務(wù)器。民警勘察發(fā)現(xiàn)這些攻擊包，ip來源是偽造的218xxx和219xxx段。 北京警方長途跋涉至上海終于將電腦黑客李某等4人抓獲。原來李某等4人創(chuàng)立了

11、一家銷售防火墻的公司，為了擴大業(yè)務(wù)，他們將電腦才能利用在了黑其他公司電腦上，以此推銷自己的防火墻。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 落網(wǎng)時只有落網(wǎng)時只有19歲歲 少年黑客狂攫千萬之謎少年黑客狂攫千萬之謎-06月月 一個黑客少年（唐曉星，北京市通州區(qū)），涉案金額上千萬元，已被公安機關(guān)通緝數(shù)年。他手段老辣，連精明的偵探也被他搞得焦頭爛額，可是，他落網(wǎng)時只有19歲 。 有一天，他跟同學(xué)去辦理銀行卡，觀察到兩張銀行卡除了位數(shù)不同外，其他的都一樣。那么前面的數(shù)字代表什么? 只要有一張銀行卡

12、，就可知道這個銀行所有客戶的卡號？念頭：如果我能用自己的技術(shù)破解掉這些密碼，那不就有花不完的錢了嗎?我這么聰明，應(yīng)該能夠版得到 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 半年22次重大誤殺 瑞星稱卡巴斯基蔑視中國用戶-05月 5月19號，瑞星卡卡上網(wǎng)安全助手軟件升級組件時，遭卡巴斯基反病毒軟件當(dāng)做病毒查殺。是殺毒軟件行業(yè)的“潛規(guī)則”被打破？還是國外殺毒軟件廠商對中國本土安全企業(yè)的市場入侵？“卡巴斯基誤殺事件”激發(fā)起瑞星在內(nèi)的同行企業(yè)不滿。5月30日，瑞星發(fā)表聲明，稱懸賞100萬元人民幣向社

13、會各界征集相關(guān)證據(jù)，欲將卡巴斯基告上國際法庭。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 溫柔地“殺”死你 諾頓誤殺事件專題報道 -05月 5月18日，賽門鐵克，一個全球知名的安全廠商，在諾頓殺毒軟件升級病毒庫后，會把windows xp系統(tǒng)的關(guān)鍵系統(tǒng)文件當(dāng)作病毒清除，重啟后系統(tǒng)將會癱瘓，安全模式也無法進(jìn)入，同時出現(xiàn)藍(lán)屏。 由于諾頓在中國市場上占有相當(dāng)大的份額，尤其是在金融、電信、媒體等企業(yè)市場，此次“誤殺”給這些企業(yè)用戶造成了巨大損失。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與

14、管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ 取代美國 中國成“惡意軟件”頭號基地-04月 根據(jù)sophos的數(shù)據(jù)，2007年3月份的全球惡意軟件（netsky系列蠕蟲，占32.7；mytob生命力依舊頑強，也有30.4；sality和mydoom分別為7.8和5.2 ）中有35.6源自中國(含香港)，而美國“貢獻(xiàn)”了32.3，之后的德國、英國、俄羅斯分別為7.5、5.5和4.6。位列六到十位的是法國、荷蘭、韓國、烏克蘭和加拿大。 第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提

15、出 案例（2007年 http:/ 灰鴿子病毒 又一輪“熊貓燒香”來襲？-03月 連續(xù)3年的年度十大病毒、被反病毒專家稱為最危險的后門程序的“灰鴿子2007”正在大規(guī)模集中爆發(fā)。 灰鴿子網(wǎng)頁木馬病毒（分兩部分：客戶端和服務(wù)端，黑客操縱著客戶端，利用客戶端配置生成出一個服務(wù)端程序）能繞過天網(wǎng)等大多數(shù)防火墻的攔截，中馬后，服務(wù)端即被控端能主動連接控制端。第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.1 問題的提出 案例（2007年 http:/ “熊貓燒香”病毒作者已被逮捕！-01月 李俊 ，1982/6/20 ，武漢市 ，華中師范大學(xué) ，電子

16、商務(wù)專業(yè)第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.1 電子商務(wù)面臨的安全問題 1.1.2 電子商務(wù)涉及的安全問題 信息與信息系統(tǒng)的安全問題 交易安全問題 安全管理問題 電子商務(wù)法律保障問題第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.2 信息與信息系統(tǒng)的安全問題 信息安全的定義及內(nèi)容 防止信息資源被故意地或偶然地非授權(quán)泄露、更改、破壞以及被系統(tǒng)非法地識別、控制，確保信息資源的完整性、保密性、可用性、可控性、不可否認(rèn)性。 內(nèi)容 包含“攻、防、測、控、管、評”等方面； 涉及課程：密碼理論與技術(shù)，安全協(xié)議理論與技術(shù)，安全體系結(jié)構(gòu)理論與技術(shù)，信息對抗理論與技術(shù)，

17、網(wǎng)絡(luò)安全與安全產(chǎn)品。第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.2 信息與信息系統(tǒng)的安全問題（續(xù)） 信息系統(tǒng)定義 由計算機及其相關(guān)的配套設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 信息系統(tǒng)的安全構(gòu)成 系統(tǒng)實體安全 系統(tǒng)運行安全 系統(tǒng)信息安全 電子商務(wù)系統(tǒng)安全的重點 操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)安全、訪問控制安全、加密、鑒別環(huán)境安全環(huán)境安全設(shè)備安全設(shè)備安全操作系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫安全數(shù)據(jù)庫安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全病毒防護(hù)病毒防護(hù)訪問控制訪問控制加密加密鑒別鑒別風(fēng)險分析風(fēng)險分析審計跟蹤審計跟蹤媒體

18、安全媒體安全應(yīng)急應(yīng)急備份與恢復(fù)備份與恢復(fù)第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.3 交易安全問題 在線交易主體的市場準(zhǔn)入 交易信息風(fēng)險 虛假信息、過期信息 信用風(fēng)險 來自買方的信用問題、來自賣方的信用問題、買賣雙方的問題 網(wǎng)上欺詐 電子合同問題 電子支付問題 在線消費者保護(hù)問題 電子商務(wù)中產(chǎn)品交付問題 虛擬財產(chǎn)的保護(hù)問題 稅收問題第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.4 安全管理問題 內(nèi)容 交易過程的管理 交易人員的管理 交易系統(tǒng)的管理 交易信息的管理 人員管理是重點，制度建設(shè)是關(guān)鍵 制度是企業(yè)員工安全工作的規(guī)范與準(zhǔn)則，包括：人員管理制度、保密

19、制度、跟蹤審計制度、系統(tǒng)維護(hù)制度、數(shù)據(jù)備份制度，病毒定期清理制度第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.5 電子商務(wù)的法律保障問題 法律往往滯后于網(wǎng)上的交易 聯(lián)合國公布的文件 電子商務(wù)示范法1996/12/16，電子簽名示范法2002/1/24，聯(lián)合國國際合同使用電子通信公約 我國實施的法律法規(guī) 人大：中華人民共和國電子簽名法2004/8/28，信產(chǎn)部：電子認(rèn)證服務(wù)管理辦法2005/1/28，密碼管理局：電子認(rèn)證服務(wù)密碼管理辦法2005/3/31，信產(chǎn)部電子認(rèn)證服務(wù)管理辦公室：電子認(rèn)證業(yè)務(wù)規(guī)則規(guī)范（試行） 2005/4，食品藥品監(jiān)督管理局：互聯(lián)網(wǎng)藥品交易服務(wù)審批暫行規(guī)定

20、2005/9/29，人民銀行：電子支付指引2005/10/26，中國銀行業(yè)監(jiān)督管理委員會： 電子銀行業(yè)務(wù)管理辦法2005/11/10，國務(wù)院國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組：關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的若干意見2006/2/27，第一章第一章 電子商務(wù)安全與管理概述電子商務(wù)安全與管理概述 1.6 電子商務(wù)安全的特性 安全保障不僅依賴技術(shù)，更依賴人的“安全思維” 電子商務(wù)安全保障體系是一個復(fù)合型系統(tǒng) 電子商務(wù)是活動在互聯(lián)網(wǎng)平臺上的一個涉及信息、資金和物資交易的綜合交易系統(tǒng)，其安全對象不是一般的系統(tǒng)，而是一個開放的、人在其中頻繁活動的、與社會系統(tǒng)緊密耦合的復(fù)雜巨系統(tǒng)。它是由商業(yè)組織本身（包括營銷系統(tǒng)、支付系統(tǒng)、配送系統(tǒng)等）與信息技術(shù)系統(tǒng)復(fù)合構(gòu)成的，系統(tǒng)的安全目標(biāo)、機制與策