電子商務(wù)技術(shù)第四章第一節(jié)

1、第四章第四章 電子商務(wù)安全基礎(chǔ)知識(shí)電子商務(wù)安全基礎(chǔ)知識(shí)案例一：o一名網(wǎng)絡(luò)管理員自行開設(shè)了一家訂票網(wǎng)站“長春鐵路在線”的網(wǎng)站，以定票的名義從事網(wǎng)絡(luò)欺騙。o免費(fèi)贈(zèng)送QQ幣：登陸該網(wǎng)站，發(fā)現(xiàn)該網(wǎng)站從網(wǎng)頁布局到域名，都仿冒騰訊公司的QQ網(wǎng)站設(shè)立，讓用戶以為是騰訊官方進(jìn)行的市場促銷活動(dòng)。當(dāng)用戶按照該網(wǎng)站的提示填入自己的QQ號(hào)碼后，該網(wǎng)站甚至?xí)棾鲆粋€(gè)假冒的QQ軟件系統(tǒng)信息窗口，讓用戶誤以為自己真獲得了騰訊公司贈(zèng)送的QQ幣。同時(shí)，該網(wǎng)站還提示說：“恭喜您！您成功獲得5個(gè)QQ幣，但是還沒有被激活。馬上把下面這個(gè)地址發(fā)給您QQ上的五位朋友點(diǎn)擊來激活吧。誘騙用戶把這個(gè)虛假信息傳遞給自己的QQ好友。o目的：該網(wǎng)站

2、為了提高自己的網(wǎng)絡(luò)全球排名、獲取商業(yè)利益的伎倆。 ALEXA提供的資料，一個(gè)星期內(nèi)，該騙子網(wǎng)站的全球排名從80000多位上升到了2000多位。根據(jù)業(yè)內(nèi)權(quán)威人士分析，每天受騙登陸該網(wǎng)站的人數(shù)可達(dá)數(shù)十萬。 類似的網(wǎng)絡(luò)詐騙行為在西方歐美國家已經(jīng)成為威脅用戶安全的一種主流詐騙手段，單單信用卡用戶每年遭受的損失就有數(shù)十億美元，因此用戶一定不能掉以輕心。案例二： 黃群威編造、故意傳播虛假恐怖信息案o 2003年4月，注冊(cè)名為“zzzzxxxxzz”的用戶，在“西路網(wǎng)”論壇發(fā)表標(biāo)題為“絕對(duì)可靠內(nèi)部消息，上海隱瞞了大量非典病例”一文，IP地址為54。西路當(dāng)值安全監(jiān)控員刪除該文章時(shí)，點(diǎn)

3、擊率為945次；案例三：證券大盜o 2004年11月，四川廣漢的投資者陳先生，在毫不知情的情況下，其賬戶中的股票“動(dòng)力源”被賣掉，并以8.33元買入了陽光發(fā)展，給他造成了上萬元的損失。陳先生詢問開戶營業(yè)部華西證券廣漢營業(yè)部，才知道原來這是網(wǎng)絡(luò)病毒“證券大盜”搞的鬼。o 參見：中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（2010/6） 半年有59.2%的網(wǎng)民在使用互聯(lián)網(wǎng)過程中遇到過病毒或木馬攻擊，遇到該類不安全事件的網(wǎng)民規(guī)模達(dá)到2.5億人。 2010年上半年，有30.9%的網(wǎng)民賬號(hào)或密碼被盜過，網(wǎng)絡(luò)安全的問題仍然制約著中國網(wǎng)民深層次的網(wǎng)絡(luò)應(yīng)用發(fā)展。 89.2%的電子商務(wù)網(wǎng)站訪問者擔(dān)心訪問假冒網(wǎng)站；而他們?nèi)绻麩o

4、法獲得該網(wǎng)站進(jìn)一步的確認(rèn)信息，86.9%的人會(huì)選擇退出交易?；ヂ?lián)網(wǎng)向商務(wù)交易型應(yīng)用的發(fā)展，急需建立更加可信、可靠的網(wǎng)絡(luò)環(huán)境。電子商務(wù)安全問題的原因o 先天原因先天原因n 網(wǎng)絡(luò)的全球性、開放性和共享性使得電子商務(wù)網(wǎng)絡(luò)的全球性、開放性和共享性使得電子商務(wù)傳輸過程中的信息安全存在先天不足。傳輸過程中的信息安全存在先天不足。o 后天原因后天原因n 管理管理美國美國90%的的IT企業(yè)對(duì)黑客的攻擊準(zhǔn)企業(yè)對(duì)黑客的攻擊準(zhǔn)備不足。備不足。n 人人黑客攻擊黑客攻擊n 技術(shù)技術(shù)軟件漏洞、后門軟件漏洞、后門耐克網(wǎng)站被黑客篡改一一、電子商務(wù)安全的重要性1.保證商務(wù)信息的安全是進(jìn)行電子商務(wù)的前提2.保障網(wǎng)上購物、交易、結(jié)

5、算等電子商務(wù)各環(huán)節(jié)的安全問題是促進(jìn)電子商務(wù)更快發(fā)展的關(guān)鍵。一、電子商務(wù)安全的重要性3.電子商務(wù)的安全問題集中在：信息泄露、篡改、身份識(shí)別、信息破壞。主要來自以下幾個(gè)方面：（1）冒名偷竊冒名偷竊：hacker為了獲得一些商業(yè)機(jī)密資源和信息，通常采用源IP地址欺騙攻擊。（2）篡改數(shù)據(jù)篡改數(shù)據(jù)：攻擊者未經(jīng)授權(quán)進(jìn)入EC系統(tǒng)，使用非法手段刪除、修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人利益。一、電子商務(wù)安全的重要性主要來自以下幾個(gè)方面：（3）信息丟失信息丟失：三種情況下可能丟失信息，一是由于線路問題造成信息丟失，如電源斷電、通信線路斷開等；二是安全措施不錄導(dǎo)致丟失數(shù)據(jù)信息，如信息在傳遞過程中未加

6、密，被hacker修改、刪除了；三是不同的操作平臺(tái)上轉(zhuǎn)換操作從而丟失信息。（4）信息傳遞出問題信息傳遞出問題：信息在傳遞的過程中，可能由于線路質(zhì)量較差，水災(zāi)、火災(zāi)等問題而出現(xiàn)問題，或者被hacker搭線竊聽致使重要數(shù)據(jù)泄露。二二、電子商務(wù)安全的內(nèi)容1電子商務(wù)系統(tǒng)硬件安全2. 電子商務(wù)系統(tǒng)軟件安全3. 電子商務(wù)系統(tǒng)運(yùn)行安全4. 電子商務(wù)安全立法5. 電子商務(wù)信息的安全三電子商務(wù)安全概念與特點(diǎn)電子商務(wù)安全概念與特點(diǎn)o電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè) 信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安 全和商務(wù)交易安全。n 計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò)安

7、全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全為目標(biāo)。n 商務(wù)交易安全商務(wù)交易安全 商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易和電子支付為核心的電子商務(wù)的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)保密電子商務(wù)保密性、完整性、可鑒別性、不可偽造性和不可抵賴性性、完整性、可鑒別性、不可偽造性和不可抵賴性等。 同時(shí)，電子商務(wù)安全又有它自身的特殊性，即以電子交易安全電子交易安全和電子支付安全

8、為核心和電子支付安全為核心，有更復(fù)雜的機(jī)密性概念，更嚴(yán)格的身份認(rèn)證功能，對(duì)不可拒絕性有新的要求，需要有法律依據(jù)性和貨幣直接流通性特點(diǎn)，還要網(wǎng)絡(luò)設(shè)有的其他服務(wù)(如數(shù)字時(shí)間戳服務(wù))等。電子商務(wù)安全與網(wǎng)絡(luò)安全電子商務(wù)安全與網(wǎng)絡(luò)安全信息安全互聯(lián)網(wǎng)安全網(wǎng)絡(luò)安全密碼安全電子商務(wù)安全四大特性 1電子商務(wù)安全是一個(gè)系統(tǒng)概念電子商務(wù)安全是一個(gè)系統(tǒng)概念 電子商務(wù)安全問題不僅僅是個(gè)技術(shù)性的問題，更重要的是管理問題，而且它還與社會(huì)道德、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起。2電子商務(wù)安全是相對(duì)的電子商務(wù)安全是相對(duì)的 安全是相對(duì)的，而不是絕對(duì)的，要想以后的網(wǎng)站永遠(yuǎn)不受攻擊、不出安全問題是不可能的。3電子商務(wù)安全

9、是有代價(jià)的電子商務(wù)安全是有代價(jià)的 如果只注重速度，就必定要以犧牲安全來作為代價(jià)；如果要考慮到安全，速度就得慢一點(diǎn), 如果不直接牽涉到支付等敏感問題，對(duì)安全的要求就可以低一些；如果牽涉到支付問題，對(duì)安全的要求就要高一些，所以安全是有成本和代價(jià)的。4電子商務(wù)安全是發(fā)展的、動(dòng)態(tài)的電子商務(wù)安全是發(fā)展的、動(dòng)態(tài)的 今天安全，明天就不一定安全，沒有一勞永逸的安全，也沒有一蹴而就的安全。三、電子商務(wù)面臨的安全威脅1. 計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)（開放性、傳輸協(xié)議、操作系統(tǒng)、信息電子化）（1）物理安全問題通信安全輻射安全（電傳打印機(jī)）（2）網(wǎng)絡(luò)安全問題（3）網(wǎng)絡(luò)病毒的威脅（4）黑客攻擊（5）電子商務(wù)網(wǎng)站自身的安全問題（加密

10、技術(shù)、認(rèn)證技術(shù)、安全認(rèn)證技術(shù)）電子商務(wù)面臨的安全威脅 對(duì)客戶機(jī)的安全威脅對(duì)客戶機(jī)的安全威脅 1、動(dòng)態(tài)內(nèi)容2、相關(guān)技術(shù)或機(jī)制 (1)cookie (2)郵件通訊簿 (3)信息隱蔽對(duì)通信信道的安全威脅 對(duì)通信信道的安全威脅對(duì)通信信道的安全威脅1、搭線竊聽 2、 IP欺騙3、 IP源端路由選擇 4、目標(biāo)掃描 對(duì)服務(wù)器的安全威脅對(duì)服務(wù)器的安全威脅1 、WWW服務(wù)器 2 、數(shù)據(jù)庫服務(wù)器 3 、 CGI 4 、 ASP5 、郵件炸彈 6 、溢出攻擊 7 、口令破譯安全隱患(一）o 硬件的安全隱患；o 操作系統(tǒng)安全隱患；“后門”o 網(wǎng)絡(luò)協(xié)議的安全隱患；o 數(shù)據(jù)庫系統(tǒng)安全隱患；o 計(jì)算機(jī)病毒；o 管理疏漏，內(nèi)

11、部作案；o 重應(yīng)用，輕安全。安全隱患(二）o 由于非法用戶可以偽造、假冒電子商務(wù)網(wǎng)站和用戶的身份。o 敏感信息和交易數(shù)據(jù)在傳輸過程中有可能被惡意篡改。o 網(wǎng)上交易行為一旦被進(jìn)行交易的一方所否認(rèn)，另一方?jīng)]有已簽名的記錄來作為仲裁的依據(jù)。威脅最大的“網(wǎng)絡(luò)釣魚”式攻擊o 假冒網(wǎng)站o 郵件欺騙o 木馬病毒o 中國銀行網(wǎng)站www.bank-of- 中國銀行的假冒域名是www.bank-off-，多一個(gè)英文字母f；o 中國工商銀行網(wǎng)站 中國工商銀行域名是，與，也只是“1”和“i”一字之差；o 中國農(nóng)業(yè)銀行網(wǎng)站 中國農(nóng)業(yè)銀行域名是 以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、顧問、對(duì)賬等內(nèi)容引誘用

12、戶在郵件中填入金融賬號(hào)和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號(hào)、信用卡號(hào)等信息，繼而盜竊用戶資金。 國內(nèi)第一例中文混合型病毒“重要文件”冒充一家購物網(wǎng)站郵件迷惑用戶，危害僅是可能將盜取個(gè)別用戶網(wǎng)絡(luò)銀行賬號(hào)和網(wǎng)絡(luò)游戲密碼等敏感信息。 黑客攻擊的分類o被動(dòng)攻擊o主動(dòng)攻擊攻、防、測、控、管、評(píng)源點(diǎn)終點(diǎn)正常狀態(tài)攻擊者偽造篡改中斷截獲被動(dòng)攻擊主動(dòng)攻擊主動(dòng)攻擊主動(dòng)攻擊攻擊對(duì)象網(wǎng)絡(luò)恐怖分子（黑客）、信息戰(zhàn)部隊(duì) 現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對(duì)電腦系統(tǒng)的非法侵入者。 黑客(hacker)：對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語言方面的高級(jí)知識(shí)，熱衷編

13、程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖。 駭客（駭客（crackercracker）：）：以破壞系統(tǒng)為目標(biāo)。 “紅客紅客”honkerhonker：中國的一些黑客自稱“紅客”honker。 美國警方：把所有涉及到利用、借助、通過或阻撓計(jì)算機(jī)的犯罪行為都定為hacking。計(jì)算機(jī)網(wǎng)絡(luò)犯罪計(jì)算機(jī)網(wǎng)絡(luò)犯罪與傳統(tǒng)的犯罪相比有許多不同的特點(diǎn)：o 危害性：犯罪后果嚴(yán)重。成本低，傳播快，范圍廣。o 知識(shí)性：智慧型白領(lǐng)犯罪，年輕、專業(yè)化 。o 隱蔽性：偵破與取證困難；證據(jù)的可修改性。 o 廣域性、跨國性：作案場所不受地理區(qū)域的限制。 集中在機(jī)密

14、信息系統(tǒng)和金融系統(tǒng)兩方面。三、電子商務(wù)面臨的安全威脅2. 電子商務(wù)交易風(fēng)險(xiǎn)（1）在線交易主體的市場準(zhǔn)入；（2）信息風(fēng)險(xiǎn)；（3）信用風(fēng)險(xiǎn)；（4）網(wǎng)上欺詐犯罪；（5）電子合同問題；（6）電子支付問題；（7）在線消費(fèi)者保護(hù)問題；（8）電子商務(wù)中產(chǎn)品交付問題；（9）電子商務(wù)中虛擬財(cái)產(chǎn)的保護(hù)問題三、電子商務(wù)面臨的安全威脅3. 管理風(fēng)險(xiǎn)（1）人員管理；（2）網(wǎng)絡(luò)交易技術(shù)管理o在人員管理方面，主要是工作人員職業(yè)道德不高，或是離職人員在系統(tǒng)中沒有及時(shí)清除。o交易過程中的管理、人員管理如：交易過程中，要監(jiān)督買方按時(shí)付款、賣方按時(shí)提供符合合同要求的貨物。三、電子商務(wù)面臨的安全威脅4. 政策法律風(fēng)險(xiǎn)主要涉及的法律有

15、：CA中心的法律、保護(hù)個(gè)人隱私、個(gè)人秘密的法律、電子合同法、EC的消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)法我國電子商務(wù)安全現(xiàn)狀o 在我國在我國, 電子商務(wù)安全方面的基礎(chǔ)設(shè)施也比較薄弱。電電子商務(wù)安全方面的基礎(chǔ)設(shè)施也比較薄弱。電子商務(wù)安全技術(shù)及手段還不完善和規(guī)范化子商務(wù)安全技術(shù)及手段還不完善和規(guī)范化, 兼容性和實(shí)兼容性和實(shí)用性存在許多不足。很多的電子商務(wù)網(wǎng)站用性存在許多不足。很多的電子商務(wù)網(wǎng)站( 包括電子支包括電子支付付) 的安全機(jī)制還依賴于瀏覽器和的安全機(jī)制還依賴于瀏覽器和Web 服務(wù)器提供的服務(wù)器提供的SSL 安全協(xié)議安全協(xié)議, 使得電子商務(wù)中和電子交易和支付系統(tǒng)使得電子商務(wù)中和電子交易和支付系統(tǒng)成為網(wǎng)絡(luò)犯罪活動(dòng)的新目標(biāo)。成為網(wǎng)絡(luò)犯罪活動(dòng)的新目標(biāo)。o 同時(shí)同時(shí), 信息安全的立法仍然跟不上信息技術(shù)的快速發(fā)展。信息安全的立法仍然跟不上信息技術(shù)的快速發(fā)展。建立一套法律政策體系建立一套法律政策體系, 保證電子交易雙方能按照共同保證電子交易雙方能按照共同的規(guī)則進(jìn)行交易的規(guī)則進(jìn)行交易, 對(duì)發(fā)展電