電子商務(wù)第九章課件

1、電子商務(wù)1電子商務(wù)電子商務(wù)1電子商務(wù)CHAP 9 電子商務(wù)的安全管理9.1電子商務(wù)的安全問題9.2電子商務(wù)的安全管理方法9.3非法入侵的防范2電子商務(wù)CHAP 9 電子商務(wù)的安全管理9.1電子商務(wù)的安全一、電子商務(wù)的安全威脅和風(fēng)險(xiǎn)類型電子商務(wù)的安全威脅銷售者面臨的威脅中央系統(tǒng)安全性被破壞IP欺騙；網(wǎng)絡(luò)報(bào)文嗅探（sniffer).競(jìng)爭(zhēng)者檢索商品遞送狀況客戶資料被競(jìng)爭(zhēng)者獲悉被他人假冒而損害公司的信譽(yù)消費(fèi)者遞交訂單后不付款虛假訂單獲取他人的機(jī)密數(shù)據(jù)購買者面臨的威脅虛假訂單付款后不能收到貨物機(jī)密性喪失拒絕服務(wù)3電子商務(wù)一、電子商務(wù)的安全威脅和風(fēng)險(xiǎn)類型電子商務(wù)的安全威脅3電子商務(wù) DoS的英文全稱是De

2、nial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運(yùn)行，最終它會(huì)使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)。DoS攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切

3、斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。DDoS(分布式拒絕服務(wù))，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，象商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。DoS攻擊只要一臺(tái)單機(jī)和一個(gè)modem就可實(shí)現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。 4電子商務(wù) DoS的英文全稱是Denial of Ser電子商務(wù)的安全風(fēng)險(xiǎn)類型信息傳輸風(fēng)險(xiǎn)冒名偷竊

4、篡改數(shù)據(jù)信息丟失信息傳遞過程中的破壞虛假信息信用風(fēng)險(xiǎn)來自買方的信用風(fēng)險(xiǎn)來自賣方的信用風(fēng)險(xiǎn)買賣雙方都存在抵賴的情況管理風(fēng)險(xiǎn)交易流程管理風(fēng)險(xiǎn)人員管理風(fēng)險(xiǎn)交易技術(shù)管理風(fēng)險(xiǎn)法律風(fēng)險(xiǎn)5電子商務(wù)電子商務(wù)的安全風(fēng)險(xiǎn)類型5電子商務(wù)二、電子商務(wù)的安全安全管理要求與思路電子商務(wù)的安全要求有效性機(jī)密性完整性真實(shí)性和不可抵賴性的鑒別電子商務(wù)的安全管理思路技術(shù)方面的考慮加強(qiáng)監(jiān)管社會(huì)的法律政策和法律保障6電子商務(wù)二、電子商務(wù)的安全安全管理要求與思路電子商務(wù)的安全要求6電子一、客戶認(rèn)證技術(shù)客戶認(rèn)證技術(shù)概念：客戶認(rèn)證(Client Authentication,CA)是基于用戶的客戶端主機(jī)IP地址的一種認(rèn)證機(jī)制，它允許系統(tǒng)管

5、理員為具有某一特定IP地址的授權(quán)用戶定制訪問權(quán)限。身份認(rèn)證 認(rèn)證的功能：可信性完整性不可抵賴性訪問控制7電子商務(wù)一、客戶認(rèn)證技術(shù)客戶認(rèn)證技術(shù)7電子商務(wù)信息認(rèn)證對(duì)敏感的文件進(jìn)行加密，這樣即使別人截獲文件也無法得到其內(nèi)容保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息對(duì)數(shù)據(jù)和信息的來源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份認(rèn)證機(jī)構(gòu)認(rèn)證8電子商務(wù)信息認(rèn)證8電子商務(wù)二、安全管理制度人員管理制度對(duì)有關(guān)人員進(jìn)行上網(wǎng)培訓(xùn)落實(shí)工作責(zé)任制貫徹網(wǎng)上交易安全運(yùn)作的基本規(guī)則多人負(fù)責(zé)制，任期有限制，最小權(quán)限制保密制度信息分級(jí)制度密鑰管理制度跟蹤、審計(jì)、稽核制度網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度病毒防范制度9電子商務(wù)二、安全管理制度人員管理制

6、度9電子商務(wù)三、法律制度美國保證電子商務(wù)安全的相關(guān)法律與網(wǎng)上交易相關(guān)法律調(diào)整的基本原則電子支付的法律制度信息安全的法律制度消費(fèi)者權(quán)益保護(hù)的法律制度我國保證電子商務(wù)安全的相關(guān)法律10電子商務(wù)三、法律制度美國保證電子商務(wù)安全的相關(guān)法律10電子商務(wù)一、網(wǎng)絡(luò)“黑客”常用的攻擊手段“黑客”的概念黑客的類型初級(jí)黑客高水平黑客職業(yè)黑客黑客的危害充當(dāng)政治工具用于戰(zhàn)爭(zhēng)非法入侵金融、商業(yè)系統(tǒng)，盜取商業(yè)信息；在電子商務(wù)、金融證券系統(tǒng)中進(jìn)行詐騙、盜竊等違法犯罪活動(dòng)，破壞正常的經(jīng)濟(jì)秩序非法侵入他人的系統(tǒng)，獲取個(gè)人隱私事件總數(shù)政府機(jī)構(gòu)網(wǎng)絡(luò)服務(wù)商業(yè)機(jī)構(gòu)科研機(jī)構(gòu)其他5.1大陸被攻擊14714.9%7.2%47.2%22.3%

7、8.4%5.1美國被攻擊104312.9%5.6%66.2%3.7%11.7%11電子商務(wù)一、網(wǎng)絡(luò)“黑客”常用的攻擊手段“黑客”的概念事件總數(shù)政府機(jī)構(gòu)12電子商務(wù)12電子商務(wù)13電子商務(wù)13電子商務(wù)“黑客”的攻擊手段 中斷（攻擊系統(tǒng)的可用性）竊聽（攻擊系統(tǒng)的機(jī)密性）竄改（攻擊系統(tǒng)的完整性）偽造（攻擊系統(tǒng)的真實(shí)性）轟炸（攻擊系統(tǒng)的健壯性）14電子商務(wù)“黑客”的攻擊手段 14電子商務(wù)二、防范非法入侵的技術(shù)措施網(wǎng)絡(luò)安全檢測(cè)設(shè)備訪問設(shè)備防火墻防火墻定義：防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻的功能 防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這

8、樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。為什么使用防火墻 防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。防火墻的類型 防火墻有不同類型。一個(gè)防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后，直接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻。安全工具包15電子商務(wù)二、