電子商務(wù)安全導(dǎo)論1-2

2023/9/4第1章電子商務(wù)安全基礎(chǔ)2023/9/41.1電子商務(wù)概述11.1.1什么是電子商務(wù)名詞解釋：電子商務(wù)：是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，是利用電子技術(shù)加強(qiáng)、加快、擴(kuò)展、增強(qiáng)、改變了其有關(guān)過(guò)程的商務(wù)。1.1.2電子商務(wù)的框架構(gòu)成及模式11，涉案主客體關(guān)系（1）電子商務(wù)最先出現(xiàn)在企業(yè)、機(jī)構(gòu)之間，即B-B。（EDI應(yīng)是B-B電子商務(wù)方式的代表。（2）出現(xiàn)網(wǎng)上商店等后，就有了B-C模式，即企業(yè)與消費(fèi)者之間的電子商務(wù)。（3）個(gè)人用戶之間的電子商務(wù)，也有人認(rèn)為網(wǎng)上電子商務(wù)還應(yīng)有C-C模式。（4）電子商務(wù)，在相當(dāng)長(zhǎng)的時(shí)間里，不能少了政府在一定范圍和一定程度上的介入，表示為B-G方式。1.1電子商務(wù)概述21.1.2電子商務(wù)的框架桅成及模式22，技術(shù)要素組成首先要有網(wǎng)絡(luò)，其次必須有各種各樣的應(yīng)用軟件。當(dāng)然，也少不了這些應(yīng)用和網(wǎng)絡(luò)軟件賴以駐在的硬件。（1）網(wǎng)絡(luò)：近年來(lái)，網(wǎng)絡(luò)協(xié)議基本都轉(zhuǎn)向TCP/IP。因特網(wǎng)的推廣應(yīng)用，大大降低了網(wǎng)絡(luò)費(fèi)用。（2）應(yīng)用軟件：電子商務(wù)應(yīng)用軟件是其技術(shù)組成的核心。（3）硬件：實(shí)際是以各種服務(wù)器為核心組成的計(jì)算機(jī)系統(tǒng)。3，幾種常見(jiàn)的電子商務(wù)模式（1）大字報(bào)/告示牌模式（2）在線黃頁(yè)簿模式（3）電腦空間上的小冊(cè)子模式（4）虛擬百貨店模式（5）預(yù)訂/訂購(gòu)模式（6）廣告推銷模式2023/9/41.1電子商務(wù)概述31.1.3Internet、Intranet和Extranet1，Internet（因特網(wǎng)）因特網(wǎng)始于20世紀(jì)60年代美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（DARPA），為連接各個(gè)國(guó)家重點(diǎn)實(shí)驗(yàn)室而建設(shè)的數(shù)據(jù)網(wǎng)絡(luò)。網(wǎng)上交換數(shù)據(jù)的規(guī)則：TCP/IP。因特網(wǎng)的最大優(yōu)勢(shì)，是它的廣袤覆蓋及開(kāi)放結(jié)構(gòu)。2，Intranet（內(nèi)聯(lián)網(wǎng)）一般譯為企業(yè)內(nèi)部網(wǎng)、企業(yè)內(nèi)域網(wǎng)、企業(yè)內(nèi)聯(lián)網(wǎng)等。定義：是基于TCP/IP協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過(guò)防火墻或其他安全機(jī)制與Internet建立聯(lián)接。防火墻是一個(gè)介乎內(nèi)域網(wǎng)和因特網(wǎng)其他部分之間的安全服務(wù)器。3，Extranet（外聯(lián)網(wǎng)）是基于TCP/IP協(xié)議的企業(yè)外域網(wǎng)，與Intranet對(duì)應(yīng)，是一個(gè)合作性網(wǎng)絡(luò)。2023/9/41.1電子商務(wù)概述41.1.4電子商務(wù)的發(fā)展過(guò)程現(xiàn)代電子商務(wù)的發(fā)展分成如下幾個(gè)階段：（1）1995年，網(wǎng)絡(luò)基礎(chǔ)設(shè)施大量興建；（2）1996年，應(yīng)用軟件及服務(wù)成為熱點(diǎn)；（3）1997年，網(wǎng)絡(luò)及內(nèi)容管理的建設(shè)發(fā)展，有關(guān)企業(yè)、業(yè)務(wù)的調(diào)整、重組及融合，所謂“人口門(mén)戶”公司的出現(xiàn)；（4）1998年，網(wǎng)上零售業(yè)及其他交易蓬勃發(fā)展。出現(xiàn)一批代做各種電子商務(wù)業(yè)務(wù)的所謂“主持”公司或“代皰”公司。1.1.5發(fā)展電子商務(wù)的驅(qū)動(dòng)力哪些部門(mén)在推動(dòng)電子商務(wù)上最努力？（1）信息產(chǎn)品硬件制造商，例如IBM,HP,SUN,SISCO。（2）信息產(chǎn)品軟件廠商，例如微軟公司，網(wǎng)景公司。（3）大型網(wǎng)上服務(wù)廠商，如AOL(美利堅(jiān)在線),YAHOO,NETCENTER（網(wǎng)心）等。（4）銀行及金融機(jī)構(gòu)；（5）大企業(yè)，例如通用電氣GE公司（6）政府，例如美國(guó)政府。2023/9/41.2電子商務(wù)安全基礎(chǔ)11.2.1電子商務(wù)存在的安全隱患1，計(jì)算機(jī)系統(tǒng)的安全隱患（1）硬件系統(tǒng)（2）軟件系統(tǒng)2，電子商務(wù)的安全隱患（1）數(shù)據(jù)的安全。數(shù)據(jù)一旦泄露，將造成不可挽回的損失。（2）交易的安全。這也是電子商務(wù)系統(tǒng)所獨(dú)有的。需要一個(gè)網(wǎng)上認(rèn)證機(jī)構(gòu)對(duì)每一筆業(yè)務(wù)進(jìn)行認(rèn)證，以確保交易的安全，避免惡意破壞。1.2.2電子商務(wù)系統(tǒng)可能遭受的攻擊一般說(shuō)來(lái)，電子商務(wù)系統(tǒng)可能遭受的攻擊有以下幾種：（1）系統(tǒng)穿透：未經(jīng)授權(quán)人通過(guò)一定手段假冒合法用戶接入系統(tǒng)，對(duì)文件進(jìn)行篡改、竊取機(jī)密信息、非法使用資源等。一般采取偽裝或利用系統(tǒng)的薄弱環(huán)節(jié)、收集情況（如口令）等方式實(shí)現(xiàn)。這也是大多數(shù)黑客使用的辦法。（2）違反授權(quán)原則：一個(gè)被授權(quán)進(jìn)入系統(tǒng)做某件事的用戶，在系統(tǒng)中做未經(jīng)授權(quán)的其他事情。（3）植入：在系統(tǒng)穿透或違反授權(quán)攻擊成功后，入侵者常要在系統(tǒng)中植入一種能力，為其以后攻擊系統(tǒng)提供方便條件。如向系統(tǒng)中注入病毒、蛀蟲(chóng)、特洛伊木馬、陷阱、邏輯炸彈等來(lái)破壞系統(tǒng)正常工作。如“美麗殺”病毒，“B002K”遠(yuǎn)程控制程序。（4）通信監(jiān)視：這是一種在通信過(guò)程中從信道進(jìn)行搭線竊聽(tīng)的方式。（5）通信竄擾：攻擊者對(duì)通信數(shù)據(jù)或通信過(guò)程進(jìn)行干預(yù)，對(duì)完整性進(jìn)行攻擊，篡改系統(tǒng)中數(shù)據(jù)的內(nèi)容，修正消息次序、時(shí)間，注入偽造的消息。（6）中斷：對(duì)可用性進(jìn)行攻擊，破壞系統(tǒng)中的硬件、硬盤(pán)、線路、文件系統(tǒng)等，使系統(tǒng)不能正確工作，破壞信息和網(wǎng)絡(luò)資源。（7）拒絕服務(wù)：指合法接入信息、業(yè)務(wù)或其他資源受阻。（8）否認(rèn)：一個(gè)實(shí)體進(jìn)行某種通信或交易活動(dòng)，稍后否認(rèn)曾進(jìn)行過(guò)這一活動(dòng)，不管這種行為是有意的還是無(wú)意的，一旦出現(xiàn)再要解決雙方的爭(zhēng)執(zhí)就不太容易了。（9）病毒：由于Internet的開(kāi)放性，病毒在網(wǎng)絡(luò)上的傳播比以前快了許多，而且Internet的出現(xiàn)又促進(jìn)了病毒制造者間的交流，使新病毒層出不窮，殺傷力也大有提高。2023/9/41.2電子商務(wù)安全基礎(chǔ)21.2.3電子商務(wù)安全的中心內(nèi)容（6點(diǎn)）1，商務(wù)數(shù)據(jù)的機(jī)密性：或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過(guò)程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過(guò)加密偽裝后，使未經(jīng)授權(quán)者無(wú)法了解其內(nèi)容。機(jī)密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)，使截獲者不能解讀加密信息的內(nèi)容。2，商務(wù)數(shù)據(jù)的完整性：或稱正確性是保護(hù)數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。3，商務(wù)對(duì)象的認(rèn)證性：是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對(duì)方的身份，保證身份的正確性，分辨參與者所聲稱身份的真?zhèn)?，防止偽裝攻擊。4，商務(wù)服務(wù)的不可否認(rèn)性：是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接受方不能否認(rèn)已收到的信息，這是一種法律有效性要求。5，商務(wù)服務(wù)的不可拒絕性：或稱可用性是保證授權(quán)用戶在正常訪問(wèn)信息和資源時(shí)不被拒絕，即保證為用戶提供穩(wěn)定的服務(wù)。6，訪問(wèn)的控制性：是指在網(wǎng)絡(luò)上限制和控制通信鏈路對(duì)主機(jī)系統(tǒng)和應(yīng)用的訪問(wèn)：用于保護(hù)計(jì)算機(jī)系統(tǒng)的資源不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、破壞、發(fā)出指令或植入程序等。7，其他內(nèi)容，如匿名性業(yè)務(wù)等。2023/9/41.2電子商務(wù)安全基礎(chǔ)31.2.4電子商務(wù)安全威脅現(xiàn)狀1.2.5產(chǎn)生電子商務(wù)安全威脅的原因1，Internet在安全方面的缺陷(1)Internet的安全漏洞：*Internet系統(tǒng)由下面的構(gòu)件組成：1）客戶端軟件（也就是Web瀏覽器）；2）客戶端的操作系統(tǒng)；3）客戶端的局域網(wǎng)（LAN）；4）Internet網(wǎng)絡(luò)；5）服務(wù)器端的局域網(wǎng)（LAN）；6）服務(wù)器上的Web服務(wù)器軟件。*外界攻擊，Internet安全的類型對(duì)Internet的攻擊有四種類型：a,截?cái)嘈畔?；b,偽造；c,篡改；d,介入。*局域網(wǎng)服務(wù)和相互信任的主機(jī)的安全漏洞*設(shè)備或軟件的復(fù)雜性帶來(lái)的安全隱患2023/9/41.2電子商務(wù)安全基礎(chǔ)41.2.5產(chǎn)生電子商務(wù)安全威脅的原因21，Internet在安全方面的缺陷2(2)TCP/IP協(xié)議及其不安全性*TCP/IP協(xié)議簡(jiǎn)介IP協(xié)議提供基本的通信協(xié)議，TCP協(xié)議在IP協(xié)議的基礎(chǔ)上為各種應(yīng)用提供可靠和有序的數(shù)據(jù)傳送功能。*IP協(xié)議的安全隱患a.針對(duì)IP的“拒絕服務(wù)”攻擊；b.IP地址的順序號(hào)預(yù)測(cè)攻擊；c.TCP協(xié)議劫持入侵；d.嗅探入侵*HTTP和Web的不安全性a.HTTP協(xié)議的特點(diǎn)；b.HTTP協(xié)議中的不安全性；c.Web站點(diǎn)的安全隱患*E-mail，Telnet及網(wǎng)頁(yè)的不安全性a.E-mail的不安全性；b.入侵Telnet會(huì)話；c.網(wǎng)頁(yè)做假；d.電子郵件炸彈和電子郵件列表鏈接2.我國(guó)電子商務(wù)安全威脅的特殊原因（1）我國(guó)的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來(lái)自國(guó)外。（2）美國(guó)政府對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)的出口限制，使得進(jìn)入我國(guó)的電子商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品均只能提供較短密鑰長(zhǎng)度的弱加密算法，但實(shí)際上根本不安全。2023/9/41.2電子商務(wù)安全基礎(chǔ)51.2.6可以采取的相應(yīng)對(duì)策（1）保密業(yè)務(wù)：保護(hù)信息不被泄露或披露給未經(jīng)授權(quán)的人或組織。保密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)。（2）認(rèn)證業(yè)務(wù)：保證身份的精確性，分辨參與者所聲稱身份的真?zhèn)?，防止偽裝攻擊。認(rèn)證性可用數(shù)字簽字和身份認(rèn)證技術(shù)實(shí)現(xiàn)。（3）接入控制業(yè)務(wù)：保護(hù)系統(tǒng)資源（信息、計(jì)算和通信資源）不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、披露、修改、毀壞和發(fā)出指令等。防火墻技術(shù)就是這一業(yè)務(wù)的實(shí)現(xiàn)。（4）數(shù)據(jù)完整性業(yè)務(wù)：保護(hù)數(shù)據(jù)不會(huì)被未授權(quán)者建立、嵌入、刪除、篡改、重放。（5）不可否認(rèn)業(yè)務(wù)：主要用于保護(hù)通信用戶對(duì)付來(lái)自其他合法用戶的威脅，如發(fā)送用戶對(duì)他所發(fā)消息的否認(rèn)、接收用戶對(duì)他已收消息的否認(rèn)等，而不是對(duì)付來(lái)自未知的攻擊者。（6）加快我國(guó)自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)和電子商務(wù)安全產(chǎn)品的研制和開(kāi)發(fā)，擺脫我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)和電子商務(wù)安全產(chǎn)品完全依賴進(jìn)口的局面，將主動(dòng)權(quán)掌握在自己手里。（7）嚴(yán)格執(zhí)行《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》，按照以上辦法的規(guī)定規(guī)范企業(yè)電子商務(wù)設(shè)施的建設(shè)和管理。2023/9/41.3計(jì)算機(jī)安全等級(jí)美國(guó)的橘黃皮書(shū)中為計(jì)算機(jī)安全的不同級(jí)別制定了4個(gè)標(biāo)準(zhǔn)：D,C,B,A級(jí)，由低到高。（1）D級(jí)是計(jì)算機(jī)安全的最低層，對(duì)整個(gè)計(jì)算機(jī)的安全是不可信任的。系統(tǒng)不要求用戶登記或口令保護(hù)。例如：MS-DOS,MicrosoftWindows95/98（2）C1級(jí)，有時(shí)也叫做酌情安全保護(hù)級(jí)，它要求系統(tǒng)硬件有一定的安全保護(hù)，用戶在合作前必須在系統(tǒng)中注冊(cè)。設(shè)立訪問(wèn)許可權(quán)限。例如：UNIX系統(tǒng)，XENIX,Novell3.x，WindowsNT。（3）C2級(jí)，又稱訪問(wèn)控制保護(hù)級(jí)，對(duì)C1級(jí)的不足增加了幾個(gè)特性：a，增加用戶權(quán)限級(jí)別；b，采用了