項目一任務(wù)一電子商務(wù)安全初識

1、電子商務(wù)安全保障電子商務(wù)安全保障 網(wǎng)絡(luò)攻擊入侵30國百余家銀行 數(shù)以億計金錢流失 26%電商網(wǎng)站存在高危漏洞 或致銀行卡密碼泄露 鐵通被曝存系統(tǒng)漏洞 可致用戶信息和商業(yè)合同泄露 中聯(lián)通被曝漏洞 或致用戶通話記錄等信息泄露教學(xué)目的：教學(xué)目的：1 1、了解目前電子商務(wù)存在的安全問題及保障電子、了解目前電子商務(wù)存在的安全問題及保障電子商務(wù)安全的基本技術(shù)和管理方法。商務(wù)安全的基本技術(shù)和管理方法。2 2、樹立良好的安全意識。、樹立良好的安全意識。3 3、通過對電子商務(wù)安全的學(xué)習(xí)進(jìn)一步理解電子商、通過對電子商務(wù)安全的學(xué)習(xí)進(jìn)一步理解電子商務(wù)的運行機制。務(wù)的運行機制。項目一：認(rèn)識電子商務(wù)安全項目二：Windo

2、ws系統(tǒng)安全加固Windows系統(tǒng)安全加固項目三：系統(tǒng)及網(wǎng)絡(luò)安全防護(hù)項目四：防火墻技術(shù)應(yīng)用項目五：加密與認(rèn)證項目六：Web安全配置項目七：數(shù)據(jù)安全防護(hù)請同學(xué)們在百度中搜索360360：20132013年中國電商行業(yè)網(wǎng)站安全檢年中國電商行業(yè)網(wǎng)站安全檢測報告測報告和和2014中國網(wǎng)絡(luò)空間安全中國網(wǎng)絡(luò)空間安全發(fā)展分析報告、發(fā)展分析報告、2014年中國網(wǎng)站年中國網(wǎng)站安全報告安全報告，總結(jié)電子商務(wù)在發(fā)展總結(jié)電子商務(wù)在發(fā)展中面臨的安全問題。中面臨的安全問題。任務(wù)一任務(wù)一 電子商務(wù)安全初識電子商務(wù)安全初識一、電子商務(wù)存在的安全隱患認(rèn)知一、電子商務(wù)存在的安全隱患認(rèn)知計算機系統(tǒng)的安全隱患計算機系統(tǒng)的安全隱患電子

3、商務(wù)的安全隱患電子商務(wù)的安全隱患硬件系統(tǒng)安全硬件系統(tǒng)安全軟件系統(tǒng)安全軟件系統(tǒng)安全數(shù)據(jù)安全數(shù)據(jù)安全交易的安全交易的安全二、電子商務(wù)系統(tǒng)可能遭受的攻擊二、電子商務(wù)系統(tǒng)可能遭受的攻擊1.1.系統(tǒng)穿透系統(tǒng)穿透 非法身份假冒合法用戶接入系統(tǒng)，對文件進(jìn)非法身份假冒合法用戶接入系統(tǒng)，對文件進(jìn)行篡改、竊取機密信息、非法使用資源等。行篡改、竊取機密信息、非法使用資源等。2.2.違反授權(quán)原則違反授權(quán)原則 被授權(quán)進(jìn)入系統(tǒng)做某事的用戶，在系統(tǒng)中做被授權(quán)進(jìn)入系統(tǒng)做某事的用戶，在系統(tǒng)中做未經(jīng)授權(quán)的其他事情。未經(jīng)授權(quán)的其他事情。3.3.植入植入 在系統(tǒng)穿透或違反授權(quán)攻擊成功后，入侵者在系統(tǒng)穿透或違反授權(quán)攻擊成功后，入侵者常

4、會在系統(tǒng)中植入一種能力，為其以后攻擊系統(tǒng)常會在系統(tǒng)中植入一種能力，為其以后攻擊系統(tǒng)提供方便。提供方便。如遠(yuǎn)程控制程序“B002K”4.4.通信監(jiān)視通信監(jiān)視 在通信過程中從信道進(jìn)行搭線竊聽的攔截方在通信過程中從信道進(jìn)行搭線竊聽的攔截方式。式。5.5.通信竄擾通信竄擾 攻擊者對通信數(shù)據(jù)或通信過程進(jìn)行干擾、對攻擊者對通信數(shù)據(jù)或通信過程進(jìn)行干擾、對其完整性進(jìn)行攻擊、篡改系統(tǒng)中數(shù)據(jù)的內(nèi)容、修其完整性進(jìn)行攻擊、篡改系統(tǒng)中數(shù)據(jù)的內(nèi)容、修改消息次序和時間（延時和重放）、注入偽造信改消息次序和時間（延時和重放）、注入偽造信息等。息等。6.6.中斷中斷 中斷是對可用性進(jìn)行攻擊，破壞系統(tǒng)中的硬中斷是對可用性進(jìn)行攻擊

5、，破壞系統(tǒng)中的硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作，破壞信息和網(wǎng)絡(luò)資源。工作，破壞信息和網(wǎng)絡(luò)資源。7.7.拒絕服務(wù)拒絕服務(wù) 指合法接入信息、業(yè)務(wù)或其他資源受阻。指合法接入信息、業(yè)務(wù)或其他資源受阻。8.8.否認(rèn)否認(rèn) 一個實體進(jìn)行了某種通信或交易活動，稍后一個實體進(jìn)行了某種通信或交易活動，稍后卻否認(rèn)曾進(jìn)行過這一活動，不管這種行為是有意卻否認(rèn)曾進(jìn)行過這一活動，不管這種行為是有意還是無意的，一旦出現(xiàn)，再要解決雙方的爭執(zhí)就還是無意的，一旦出現(xiàn)，再要解決雙方的爭執(zhí)就不太容易了。不太容易了。9.9.病毒病毒 由于由于InternetInternet的開放

6、性，病毒在網(wǎng)絡(luò)上的傳的開放性，病毒在網(wǎng)絡(luò)上的傳播比以前快了許多，而且播比以前快了許多，而且InternetInternet的出現(xiàn)又促進(jìn)的出現(xiàn)又促進(jìn)了病毒制造者間的交流，使新病毒層出不窮，殺了病毒制造者間的交流，使新病毒層出不窮，殺傷力也大有提高。傷力也大有提高。三、電子商務(wù)安全威脅產(chǎn)生的原因認(rèn)知三、電子商務(wù)安全威脅產(chǎn)生的原因認(rèn)知1 1、InternetInternet在安全方面的缺陷在安全方面的缺陷（1 1）InternetInternet的安全漏洞的安全漏洞Internet系統(tǒng)構(gòu)件系統(tǒng)構(gòu)件客戶端軟件客戶端軟件客戶端操作系統(tǒng)客戶端操作系統(tǒng)客戶端局域網(wǎng)客戶端局域網(wǎng)InternetInternet

7、網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)端的局域網(wǎng)服務(wù)端的局域網(wǎng)服務(wù)器上的服務(wù)器上的WebWeb服務(wù)器軟件服務(wù)器軟件第一，第一，InternetInternet各個環(huán)節(jié)安全漏洞各個環(huán)節(jié)安全漏洞第二，外界攻擊。分為主動攻擊和被動第二，外界攻擊。分為主動攻擊和被動攻擊攻擊信息源信息源信息信息目的目的a) a) 正常流正常流b) b) 中斷中斷(c) (c) 截獲截獲d) d) 篡改篡改e) e) 偽造偽造第三，局域網(wǎng)服務(wù)和相互信任的主機的安全漏洞第三，局域網(wǎng)服務(wù)和相互信任的主機的安全漏洞用戶在使用時允許系統(tǒng)共享文件和數(shù)據(jù)，雖然用戶在使用時允許系統(tǒng)共享文件和數(shù)據(jù)，雖然方便了管理，但帶來了不安全因素。方便了管理，但帶來了不安全因

8、素。第四，設(shè)備或軟件的復(fù)雜性帶來的安全隱患第四，設(shè)備或軟件的復(fù)雜性帶來的安全隱患設(shè)備或軟件的配置漏洞容易導(dǎo)致攻擊者獲得設(shè)備或軟件的配置漏洞容易導(dǎo)致攻擊者獲得訪問權(quán)，進(jìn)而入侵系統(tǒng)。訪問權(quán)，進(jìn)而入侵系統(tǒng)。（2 2）TCP/IPTCP/IP協(xié)議的安全隱患及其嚴(yán)重協(xié)議的安全隱患及其嚴(yán)重A A、針對、針對IPIP的的“拒絕服務(wù)拒絕服務(wù)”攻擊攻擊B B、IPIP地址的順序號預(yù)測攻擊：地址的順序號預(yù)測攻擊：得到服務(wù)器的得到服務(wù)器的IPIP地址地址將自己插入用戶和服務(wù)器將自己插入用戶和服務(wù)器之間之間模仿正確包裹截獲用戶模仿正確包裹截獲用戶信息傳遞，使自己成為信息傳遞，使自己成為受信任合法網(wǎng)絡(luò)用戶受信任合法網(wǎng)絡(luò)

9、用戶C C、TCPTCP協(xié)議劫持入侵。協(xié)議劫持入侵。 控制一臺連接與入侵目標(biāo)網(wǎng)的計算機，然后從網(wǎng)上斷開，控制一臺連接與入侵目標(biāo)網(wǎng)的計算機，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實際的客戶端。讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實際的客戶端。劫持目標(biāo)計算機劫持目標(biāo)計算機用自己用自己IPIP更換目標(biāo)機更換目標(biāo)機IPIP，并模仿其順序號，騙取服并模仿其順序號，騙取服務(wù)器信任務(wù)器信任IPIP順序號攻擊與劫持入侵區(qū)別：一個是猜測順序號攻擊與劫持入侵區(qū)別：一個是猜測地址直到正確，一個是強迫網(wǎng)絡(luò)服務(wù)器接受入地址直到正確，一個是強迫網(wǎng)絡(luò)服務(wù)器接受入侵者侵者D D、嗅探入侵、嗅探入侵攻擊者需擁有用戶和合法口令，并用該

10、合法用戶攻擊者需擁有用戶和合法口令，并用該合法用戶的信息注冊于一分布式網(wǎng)絡(luò)，進(jìn)入該網(wǎng)后，嗅探傳送的信息注冊于一分布式網(wǎng)絡(luò)，進(jìn)入該網(wǎng)后，嗅探傳送的包裹，并試圖盡可能多的獲取網(wǎng)上資料。的包裹，并試圖盡可能多的獲取網(wǎng)上資料。（）（）HTTPHTTP和和WebWeb的不安全性的不安全性 第一，第一，HttpHttp協(xié)議中的不安全性。協(xié)議中的不安全性。WebWeb服務(wù)器上或服務(wù)器上或InternetInternet上某處的非法用戶會試圖通過上某處的非法用戶會試圖通過HttpHttp協(xié)議，協(xié)議，未經(jīng)授權(quán)地訪問未經(jīng)授權(quán)地訪問WebWeb服務(wù)器上的數(shù)據(jù)，破壞或竊取服務(wù)器上的數(shù)據(jù)，破壞或竊取服務(wù)器機密。服務(wù)器機

11、密。 第二，第二，WebWeb站點安全隱患。站點安全隱患。 （1 1）安全信息被破譯。如口令、密鑰等。有效保）安全信息被破譯。如口令、密鑰等。有效保護(hù)方法是使用防火墻護(hù)方法是使用防火墻 （2 2）非法訪問。）非法訪問。 第三，交易信息被截獲。第三，交易信息被截獲。 第四，軟件漏洞被攻擊者利用。第四，軟件漏洞被攻擊者利用。（4 4）E-mailE-mail，TelnetTelnet及網(wǎng)頁的不安全性。及網(wǎng)頁的不安全性。第一，第一，E-ailE-ail的不安全性。一是電子郵件在網(wǎng)的不安全性。一是電子郵件在網(wǎng)上傳送時可能被人竊取到，而郵件是用上傳送時可能被人竊取到，而郵件是用ASCASC字符寫的，其內(nèi)容能夠被讀懂。二是冒用別人字符寫的，其內(nèi)容能夠被讀懂。二是冒用別人身份發(fā)郵件，使用一個探測程序即可閱讀電子身份發(fā)郵件，使用一個探測程序即可閱讀電子郵件。郵件。（4 4）E-mailE-mail，TelnetTelnet及網(wǎng)頁的不安全性。及網(wǎng)頁的不安全性。第二，入侵第二，入侵TelentTelent對話。對話。第三，網(wǎng)頁作假。第三，網(wǎng)頁作假。 創(chuàng)建一個網(wǎng)頁。創(chuàng)建一個網(wǎng)頁。 攻擊者完全控制假網(wǎng)頁，監(jiān)視網(wǎng)絡(luò)和瀏覽攻擊者完全控制假網(wǎng)頁，監(jiān)視網(wǎng)絡(luò)和瀏覽器間