項(xiàng)目一任務(wù)一電子商務(wù)安全初識(shí)

電子商務(wù)安全保障網(wǎng)絡(luò)攻擊入侵30國百余家銀行數(shù)以億計(jì)金錢流失26%電商網(wǎng)站存在高危漏洞或致銀行卡密碼泄露鐵通被曝存系統(tǒng)漏洞可致用戶信息和商業(yè)合同泄露中聯(lián)通被曝漏洞或致用戶通話記錄等信息泄露教學(xué)目的：1、了解目前電子商務(wù)存在的安全問題及保障電子商務(wù)安全的基本技術(shù)和管理方法。2、樹立良好的安全意識(shí)。3、通過對(duì)電子商務(wù)安全的學(xué)習(xí)進(jìn)一步理解電子商務(wù)的運(yùn)行機(jī)制。項(xiàng)目一：認(rèn)識(shí)電子商務(wù)安全項(xiàng)目二：Windows系統(tǒng)安全加固Windows系統(tǒng)安全加固項(xiàng)目三：系統(tǒng)及網(wǎng)絡(luò)安全防護(hù)項(xiàng)目四：防火墻技術(shù)應(yīng)用項(xiàng)目五：加密與認(rèn)證項(xiàng)目六：Web安全配置項(xiàng)目七：數(shù)據(jù)安全防護(hù)項(xiàng)目一電子商務(wù)安全初識(shí)請(qǐng)同學(xué)們?cè)诎俣戎兴阉?60：2013年中國電商行業(yè)網(wǎng)站安全檢測(cè)報(bào)告和2014中國網(wǎng)絡(luò)空間安全發(fā)展分析報(bào)告、2014年中國網(wǎng)站安全報(bào)告，總結(jié)電子商務(wù)在發(fā)展中面臨的安全問題。

任務(wù)一電子商務(wù)安全初識(shí)一、電子商務(wù)存在的安全隱患認(rèn)知計(jì)算機(jī)系統(tǒng)的安全隱患電子商務(wù)的安全隱患硬件系統(tǒng)安全軟件系統(tǒng)安全數(shù)據(jù)安全交易的安全二、電子商務(wù)系統(tǒng)可能遭受的攻擊1.系統(tǒng)穿透非法身份假冒合法用戶接入系統(tǒng)，對(duì)文件進(jìn)行篡改、竊取機(jī)密信息、非法使用資源等。2.違反授權(quán)原則被授權(quán)進(jìn)入系統(tǒng)做某事的用戶，在系統(tǒng)中做未經(jīng)授權(quán)的其他事情。3.植入在系統(tǒng)穿透或違反授權(quán)攻擊成功后，入侵者常會(huì)在系統(tǒng)中植入一種能力，為其以后攻擊系統(tǒng)提供方便。如遠(yuǎn)程控制程序“B002K”4.通信監(jiān)視在通信過程中從信道進(jìn)行搭線竊聽的攔截方式。5.通信竄擾攻擊者對(duì)通信數(shù)據(jù)或通信過程進(jìn)行干擾、對(duì)其完整性進(jìn)行攻擊、篡改系統(tǒng)中數(shù)據(jù)的內(nèi)容、修改消息次序和時(shí)間（延時(shí)和重放）、注入偽造信息等。6.中斷中斷是對(duì)可用性進(jìn)行攻擊，破壞系統(tǒng)中的硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作，破壞信息和網(wǎng)絡(luò)資源。7.拒絕服務(wù)指合法接入信息、業(yè)務(wù)或其他資源受阻。8.否認(rèn)一個(gè)實(shí)體進(jìn)行了某種通信或交易活動(dòng)，稍后卻否認(rèn)曾進(jìn)行過這一活動(dòng)，不管這種行為是有意還是無意的，一旦出現(xiàn)，再要解決雙方的爭(zhēng)執(zhí)就不太容易了。9.病毒由于Internet的開放性，病毒在網(wǎng)絡(luò)上的傳播比以前快了許多，而且Internet的出現(xiàn)又促進(jìn)了病毒制造者間的交流，使新病毒層出不窮，殺傷力也大有提高。三、電子商務(wù)安全威脅產(chǎn)生的原因認(rèn)知1、Internet在安全方面的缺陷（1）Internet的安全漏洞Internet系統(tǒng)構(gòu)件客戶端軟件客戶端操作系統(tǒng)客戶端局域網(wǎng)Internet網(wǎng)絡(luò)服務(wù)端的局域網(wǎng)服務(wù)器上的Web服務(wù)器軟件第一，Internet各個(gè)環(huán)節(jié)安全漏洞第二，外界攻擊。分為主動(dòng)攻擊和被動(dòng)攻擊信息源信息目的a)正常流b)中斷(c)截獲d)篡改e)偽造第三，局域網(wǎng)服務(wù)和相互信任的主機(jī)的安全漏洞用戶在使用時(shí)允許系統(tǒng)共享文件和數(shù)據(jù)，雖然方便了管理，但帶來了不安全因素。第四，設(shè)備或軟件的復(fù)雜性帶來的安全隱患設(shè)備或軟件的配置漏洞容易導(dǎo)致攻擊者獲得訪問權(quán)，進(jìn)而入侵系統(tǒng)。（2）TCP/IP協(xié)議的安全隱患及其嚴(yán)重A、針對(duì)IP的“拒絕服務(wù)”攻擊B、IP地址的順序號(hào)預(yù)測(cè)攻擊：得到服務(wù)器的IP地址將自己插入用戶和服務(wù)器之間模仿正確包裹截獲用戶信息傳遞，使自己成為受信任合法網(wǎng)絡(luò)用戶C、TCP協(xié)議劫持入侵?？刂埔慌_(tái)連接與入侵目標(biāo)網(wǎng)的計(jì)算機(jī)，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實(shí)際的客戶端。劫持目標(biāo)計(jì)算機(jī)用自己IP更換目標(biāo)機(jī)IP，并模仿其順序號(hào)，騙取服務(wù)器信任IP順序號(hào)攻擊與ＴＣＰ劫持入侵區(qū)別：一個(gè)是猜測(cè)ＩＰ地址直到正確，一個(gè)是強(qiáng)迫網(wǎng)絡(luò)服務(wù)器接受入侵者ＩＰD、嗅探入侵攻擊者需擁有用戶ＩＰ和合法口令，并用該合法用戶的信息注冊(cè)于一分布式網(wǎng)絡(luò)，進(jìn)入該網(wǎng)后，嗅探傳送的包裹，并試圖盡可能多的獲取網(wǎng)上資料。（３）HTTP和Web的不安全性第一，Http協(xié)議中的不安全性。Web服務(wù)器上或Internet上某處的非法用戶會(huì)試圖通過Http協(xié)議，未經(jīng)授權(quán)地訪問Web服務(wù)器上的數(shù)據(jù)，破壞或竊取服務(wù)器機(jī)密。第二，Web站點(diǎn)安全隱患。（1）安全信息被破譯。如口令、密鑰等。有效保護(hù)方法是使用防火墻（2）非法訪問。第三，交易信息被截獲。第四，軟件漏洞被攻擊者利用。（4）E-mail，Telnet及網(wǎng)頁的不安全性。第一，E-ail的不安全性。一是電子郵件在網(wǎng)上傳送時(shí)可能被人竊取到，而郵件是用ASCⅡ字符寫的，其內(nèi)容能夠被讀懂。二是冒用別人身份發(fā)郵件，使用一個(gè)探測(cè)程序即可閱讀電子郵件。（4）E-mail，Telnet及網(wǎng)頁的不安全性。第二，入侵Telent對(duì)話。第三，網(wǎng)頁作假。創(chuàng)建一個(gè)網(wǎng)頁。攻擊者完全控制假網(wǎng)頁，監(jiān)視網(wǎng)絡(luò)和瀏覽器間信息交流。攻擊者利用網(wǎng)頁作假成果。第四，電子郵件炸彈和電子郵件列表鏈接。利用專用軟件攻擊目標(biāo)郵箱。四、電子交易的安全需求

（1）身份的可認(rèn)證性

在雙方進(jìn)行交易前，首先要能確認(rèn)對(duì)方的身份，要求交易雙方的身份不能被假冒或偽裝。（2）信息的保密性

要對(duì)敏感重要的商業(yè)信息進(jìn)行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識(shí)別信息的真實(shí)內(nèi)容，這樣就可以使商業(yè)機(jī)密信息難以被泄露。（3）信息的完整性

交易各方能夠驗(yàn)證收到的信息是否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯(cuò)。請(qǐng)給丁匯100元乙甲請(qǐng)給丁匯100元請(qǐng)給丙匯100元丙請(qǐng)給丙匯100元（4）不可抵賴性在電子交易通信過程的各個(gè)環(huán)節(jié)中