電子商務(wù)安全和欺詐防范教材

第9章

電子商務(wù)安全和欺詐防范培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.1電子商務(wù)安全的持續(xù)性要求培訓(xùn)專用2010年的調(diào)查結(jié)果分析惡意軟件是最常見的網(wǎng)絡(luò)攻擊方式金融欺詐數(shù)量有所下降，但是依然出現(xiàn)8.7%安全管理人員系統(tǒng)提高網(wǎng)絡(luò)、網(wǎng)絡(luò)應(yīng)用軟件和網(wǎng)絡(luò)端口的可視化，例如日志管理、安全信息事件管理、安全儀表管理等近一半受訪者表示最近一年至少遇到一次安全事件受害者中45.6%舉報(bào)了安全攻擊事件安全事件發(fā)生之后，18.1%的受訪者通知了個(gè)人身份信息遭竊取，15.9%受訪者表示他們?yōu)橛脩艉涂蛻籼峁┝诵碌陌踩?wù)受訪者大多數(shù)認(rèn)為規(guī)范操作對安全管理非常重要培訓(xùn)專用2011年電子商務(wù)安全管理關(guān)注電子商務(wù)交易中的欺詐惡意軟件(病毒、蠕蟲、木馬)的預(yù)防和檢測安全戰(zhàn)略和重組預(yù)算業(yè)務(wù)延續(xù)性、避免中斷、恢復(fù)能力數(shù)據(jù)保護(hù)、隱私保護(hù)、客戶和員工保護(hù)員工的疏忽和時(shí)間的浪費(fèi)入侵的檢測和阻止數(shù)據(jù)泄露培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.2安全是各方都須考慮的問題培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.3基本安全問題電子商務(wù)安全問題不僅僅是阻止或響應(yīng)網(wǎng)絡(luò)攻擊和入侵，而且包括其他一系列的問題安全問題場景：如果某用戶連入某網(wǎng)站服務(wù)器以獲得產(chǎn)品信息，作為回報(bào)，用戶被要求填寫一張表單來提供一些統(tǒng)計(jì)資料和個(gè)人信息這種情況下，會(huì)產(chǎn)生哪些安全問題呢？培訓(xùn)專用安全問題場景培訓(xùn)專用主要安全問題培訓(xùn)專用電子商務(wù)網(wǎng)站的普通安全問題培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.4威脅和攻擊的種類攻擊分為兩種類型：非技術(shù)型攻擊技術(shù)型攻擊非技術(shù)型攻擊，nontechnicalattack指那些犯罪者利用欺騙或其他誘惑的手段使得人們泄露敏感信息或采取降低網(wǎng)絡(luò)安全性的活動(dòng)也稱為社會(huì)型攻擊技術(shù)型攻擊，technicalattack利用軟件和系統(tǒng)知識進(jìn)行技術(shù)型攻擊計(jì)算機(jī)病毒攻擊是一種典型的技術(shù)型攻擊培訓(xùn)專用非技術(shù)型攻擊：社會(huì)型攻擊IT工作人員傾向于關(guān)注網(wǎng)絡(luò)安全的技術(shù)層面——防火墻、加密、數(shù)字簽名等，然而多數(shù)網(wǎng)絡(luò)的致命弱點(diǎn)在于其應(yīng)用人群兩類社會(huì)型攻擊：基于人的社會(huì)型攻擊(依靠傳統(tǒng)的方法，例如面談或電話)基于計(jì)算機(jī)的社會(huì)型攻擊(用很多計(jì)謀誘惑用戶提供敏感信息)對付社會(huì)型攻擊的方法：教育與培訓(xùn)，策略與程序，引導(dǎo)員工按規(guī)范處理機(jī)密信息入侵檢測，外部專家扮演黑客角色，進(jìn)行攻擊檢測培訓(xùn)專用技術(shù)型攻擊拒絕服務(wù)式攻擊攻擊者利用特殊軟件向目標(biāo)計(jì)算機(jī)發(fā)送大量數(shù)據(jù)包，使目標(biāo)網(wǎng)站資源超負(fù)荷惡意代碼：病毒、蠕蟲、特洛伊木馬病毒(virus)是一份將其自身植入一臺宿主——包括操作系統(tǒng)，進(jìn)行繁殖的代碼。它不能獨(dú)立運(yùn)營，需要其宿主程序被運(yùn)行從而激活它。例如，米凱朗基羅病毒由其生日激活蠕蟲(worm)是一段能獨(dú)立運(yùn)行、為了維護(hù)自身存在會(huì)消耗主機(jī)資源，并且能復(fù)制一個(gè)自身的完全工作版本到另一臺機(jī)器上的程序特洛伊木馬(Trojanhorse)是一種看起來有用的程序，但是其包含的隱藏功能帶來了安全風(fēng)險(xiǎn)。這種程序往往有兩個(gè)組成部分：一個(gè)服務(wù)器端和一個(gè)客戶端。服務(wù)器端運(yùn)行在被攻擊計(jì)算機(jī)上，客戶端程序用于控制攻擊的程序培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.5應(yīng)對電子商務(wù)安全問題培訓(xùn)專用安全風(fēng)險(xiǎn)管理識別關(guān)鍵計(jì)算機(jī)、網(wǎng)絡(luò)以及信息資產(chǎn)的系統(tǒng)化過程，評估對于這些資產(chǎn)的風(fēng)險(xiǎn)和威脅，以及切實(shí)降低安全風(fēng)險(xiǎn)和威脅，稱為安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理的步驟：定義資產(chǎn)：確定關(guān)鍵計(jì)算機(jī)、網(wǎng)絡(luò)和信息資產(chǎn)，確認(rèn)這些資產(chǎn)的價(jià)值風(fēng)險(xiǎn)評估：包括識別威脅、漏洞和風(fēng)險(xiǎn)實(shí)施：按照風(fēng)險(xiǎn)發(fā)生的可能性和潛在損失進(jìn)行優(yōu)先級排序，提出解決辦法和應(yīng)對策略培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.6電子商務(wù)通信安全安全技術(shù)手段：用來保護(hù)網(wǎng)絡(luò)通信安全的技術(shù)手段用來保護(hù)網(wǎng)絡(luò)上的服務(wù)器和客戶機(jī)安全的技術(shù)手段訪問控制與身份認(rèn)證訪問控制，確定誰可以合法地使用某個(gè)網(wǎng)絡(luò)的資源以及可以使用哪些資源，常用訪問控制表(ACL)身份認(rèn)證，確認(rèn)用戶身份正是其所宣稱的那樣。確認(rèn)過程基于用戶特征(某人所了解信息(密碼)、某人的所有物(憑證)、某人其本身(指紋))生物特征識別系統(tǒng)公鑰基礎(chǔ)設(shè)施培訓(xùn)專用生物特征識別系統(tǒng)biometricsystems生物特征識別系統(tǒng)能通過搜索生物特征數(shù)據(jù)庫，從眾多登錄用戶中識別出一個(gè)人，或者系統(tǒng)能夠通過匹配一個(gè)人的生理特征與以前存儲的數(shù)據(jù)，驗(yàn)證一個(gè)人宣稱的身份生物特征識別的兩種技術(shù)方式：生理特征識別技術(shù)：指紋掃描、虹膜掃描、面部掃描行為特征識別技術(shù)：語音掃描、按鍵監(jiān)控培訓(xùn)專用公鑰基礎(chǔ)設(shè)施publickeyinfrastructure，PKIPKI是電子支付的基石私鑰和公鑰加密對稱密鑰加密公共密鑰加密，非對稱密鑰加密數(shù)字簽名數(shù)字證書和認(rèn)證中心安全套接層培訓(xùn)專用MessagedigestEncryptDigitalSignaturemessagemessageSally’scertificateEncryptSymmetricKeyEncryptedMessageRichard’scertificateEncryptRichard’spublicKeyDigitalEnvelopeSally’s(sender’s)computerEncryptedMessageDigitalEnvelopeMessageDigitalEnvelopeDecryptSally’sPrivateSignatureKeyRichard’sPrivateSignatureKeyEncryptedMessageDecryptmessageSally’scertificateMessagedigestDigitalSignatureDecryptSally’sPublicSignatureKeyMessagedigestCompareRichard’s(receiver’s)computerSecureTransmissionSchemesinSSLandSETprotocolSymmetricKey培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.7安全電子商務(wù)網(wǎng)絡(luò)安全理念：多層保護(hù)，網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)應(yīng)該采用多種技術(shù)手段訪問控制，最小特權(quán)原則，默認(rèn)情況下不允許訪問網(wǎng)絡(luò)資源角色安全，應(yīng)該基于用戶在組織中的角色訪問網(wǎng)絡(luò)資源監(jiān)控，監(jiān)控網(wǎng)絡(luò)的運(yùn)行給系統(tǒng)打補(bǔ)丁，及時(shí)升級，阻塞安全漏洞響應(yīng)團(tuán)隊(duì)，組織需要應(yīng)付安全攻擊的團(tuán)隊(duì)防火墻，firewall由軟件和硬件組成的隔離私有網(wǎng)絡(luò)和公共網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)非軍事化區(qū)，demilitarizedzone，DMZDMZ是設(shè)在組織內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(互聯(lián)網(wǎng))之間的網(wǎng)絡(luò)區(qū)域，在兩個(gè)網(wǎng)絡(luò)之間提供由防火墻實(shí)施的規(guī)則控制的物理隔離VPN，虛擬專用網(wǎng)，virtualprivatenetworkVPN利用公共互聯(lián)網(wǎng)傳輸信息，用加密組件保護(hù)通信過程確保私密性，用認(rèn)證確保信息沒有被篡改并確保信息來自合法的來源，用訪問控制合適網(wǎng)絡(luò)使用者的身份入侵檢測技術(shù)，intrusiondetectionsystems，IDSIDS是監(jiān)視網(wǎng)絡(luò)或主機(jī)上的活動(dòng)、關(guān)注可以活動(dòng)并給予所觀察到的情況自動(dòng)采取行動(dòng)的軟件蜜網(wǎng)和蜜罐培訓(xùn)專用蜜網(wǎng)和蜜罐蜜網(wǎng)(honeynet)，蜜罐(honeypots)蜜網(wǎng)時(shí)可以用來檢測和分析入侵行為的一種技術(shù)蜜網(wǎng)是設(shè)計(jì)像蜂蜜吸引蜜蜂一樣來吸引黑客的蜜罐網(wǎng)絡(luò)蜜罐是諸如防火墻、路由器、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件之類的信息系統(tǒng)資源，它們做得像生產(chǎn)系統(tǒng)一樣但卻不工作在蜜罐上進(jìn)行的是來自入侵者嘗試攻破系統(tǒng)的活動(dòng)，作為分析需要培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和攻擊的種類9.5應(yīng)對電子商務(wù)安全問題9.6電子商務(wù)通信安全9.7安全電子商務(wù)網(wǎng)絡(luò)9.8管理上的問題9.9案例研究本章作業(yè)培訓(xùn)專用9.8管理上的問題我們對安全的投入夠多嗎？薄弱的網(wǎng)絡(luò)安全在商業(yè)上的后果是什么？什么樣的電子商務(wù)網(wǎng)站容易被攻擊？建立強(qiáng)大的電子商務(wù)安全的關(guān)鍵是什么？企業(yè)建立安全規(guī)劃應(yīng)遵循的步驟有哪些？企業(yè)要關(guān)心內(nèi)部的安全威脅嗎？培訓(xùn)專用內(nèi)容提要9.1電子商務(wù)安全的持續(xù)性要求9.2安全是各方都須考慮的問題9.3基本安全問題9.4威脅和