电子商务安全技术(第一章)

电子商务安全技术（第二版）第1章：电子商务安全引论1.1电子商务安全问题概述1.2电子商务的安全隐患1.3电子商务的安全需求1.4构造电子商务的安全体系PPT模板下载：/moban/

行业PPT模板：/hangye/

节日PPT模板：/jieri/PPT素材下载：/sucai/PPT背景图片：/beijing/PPT图表下载：/tubiao/

优秀PPT下载：/xiazai/PPT教程：/powerpoint/

Word教程：/word/Excel教程：/excel/

资料下载：/ziliao/PPT课件下载：/kejian/

范文下载：/fanwen/

试卷下载：/shiti/

教案下载：/jiaoan/

1.1电子商务安全问题概述电子商务：通俗地讲，就是以电子方式进行的商务活动。也就是说，电子商务是在Internet开放的网络环境下，基于浏览器/服务器应用方式，实现消费者的网上购物、商户之间的网上交易和在线电子交付的一种新型的商业运营模式。基本概念：电子商务分类BtoB企业与企业间的电子商务BtoC企业与消费者之间的电子商务CtoC消费者与消费者之间的电子商务BtoB:BusinesstoBusinessBtoC:BusinesstoCustomerCtoC:CustomertoCustomer全球电子商务发展状况1991年美国政府宣布Internet向公众开放，允许在网上开发商应用系统1994年1994年全球电子商务销售额为12亿美元，1997年电子商务交易额为26亿美元，1998年电子商务交易额为418亿美元。2005年电子商务交易额为49000亿美元2006年电子商务交易额为62000亿美元2010年电子商务交易额为150000亿美元2008年-2015年中国电子商务市场交易规模时间交易规模（万亿）增长率20082.9

20093.623.0%20104.832.4%20117.046.4%20129.839.0%201314.447.1%201419.737.3%201526.534.5%电子商务安全问题现状1.电子商务的安全问题不容乐观2.电子商务安全保障体系尚待加强

安全问题是电子商务成功与否的关键，它不仅关系到企业和个人的财产安全，还关系到国家经济秩序的稳定。1.2电子商务安全隐患电子商务安全隐患计算机网络的安全隐患商务交易的安全隐患人员、管理、法律的安全隐患销售者面临的威胁购买者面临的威胁硬件安全威胁软件安全威胁黑客计算机病毒信息操作系统网络协议网络软件一、计算机网络的安全隐患Page

10各种自然灾害人为破坏设备故障、电磁干扰各种媒体的被盗和丢失1.硬件的安全威胁Page

112.软件的安全威胁操作系统隐患网络协议隐患网络应用软件的安全隐患Internet上的通信业务使用操作系统来支持，几乎所有的操作系统都有安全上的漏洞，利用这些安全漏洞，非法者可以对其进行攻击，对操作系统造成破坏，从而对电子商务的安全造成直接影响。Internet的数据传输是基于TCP/IP通信协议进行的，这些协议在安全上存在着缺陷。这也是造成电子商务不安全的另一个重要因素。网络应用软件的安全隐患以及软件操作上的失误都有可能导致交易信息传递的丢失和错误，从而使电子商务无法正常进行。3.黑客攻击电子商务平台的八种手段第一种：0day在计算机领域中，0day通常是指没有公布补丁的漏洞，或者是还没有被漏洞发现者公布出来的漏洞利用工具。一般，带有0day名字的黑客软件指的是软件公布时对应的漏洞还没有打补丁。0day漏洞的利用程序对于网络安全具有巨大威胁，因此0day不但是黑客的最爱，掌握多少0day也成为评价黑客技术水平的一个重要参数。第二种：Rootkit

Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先采用密码猜测或者密码强制破译的方式获得系统的访问权限，进入系统后，再通过某些安全漏洞获得系统的root权限。攻击者会在侵入的主机中安装rootkit，并经常通过rootkit的后门来检查系统是否有其他的用户登录，如果只有攻击者登录，攻击者就开始着手清理日志中的有关信息。攻击者通过rootkit的嗅探器获得其他系统的用户和密码之后，就会利用这些信息侵入其他的系统。第三种：痕迹销毁与反取证

计算机取证将犯罪者留在计算机中的“痕迹”作为证据提供给法庭。可以用做计算机取证的信息源很多，如系统日志、防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。随着计算机取证技术的发展和取证工具的广泛使用，黑客在入侵过程中越来越多地使用痕迹销毁技术和反取证技术，以对抗调查人员的取证分析。因此，取证与反取证往往形成矛与盾的关系，成为黑客攻击技术与反黑客技术较量的技术制高点之一。第四种：利用虚拟机实施攻击

近些年更多的攻击者倾向于在虚拟机环境中进行攻击，这是由于虚拟机可模拟多种系统平台，造成了攻击主机系统与位置的隐蔽性。黑客可通过快速卸载或简单删除等方式来逃避一般的搜查追踪。当前各黑客网站都有虚拟机安装和使用的详细教学资料，并且认为虚拟机相关知识是黑客重要的基本知识之一。因此，今后一旦发生类似于“熊猫烧香”事件时，黑客完全可能改用虚拟机作案，然后立即关闭虚拟机系统并删除该虚拟机文件夹。调查人员必须首先发现该机器上的虚拟机痕迹，再从中寻找黑客制造病毒并进行传播的证据，这项工作往往变得异常复杂，需要特殊的技术和工具。第五种：无线入侵

无线通信包括手机、卫星电视、无线局域网、无线传感网络、红外、蓝牙、RFID等，它们在人们的日常工作生活中扮演着越来越重要的角色。无线通信在给人们带来很大便利的同时，也带来了很多安全隐患：一方面，针对无线通信的窃听和恶意代码能获取用户的通信内容、侵犯用户的隐私权;另一方面，入侵者可以通过这些无线通信技术，进一步接入网络的核心部分。无线通信极大扩展了网络的边界，使得网络接入的控制变得复杂起来，黑客通过无线入侵往往能起到事半功倍的效果。

第六种：硬件安全利用硬件的黑客技术虽然报道不多，但它的的确确出现了：在BIOS芯片中植入病毒木马，让目前的防火墙、防毒软件都失效;针对主机板上的电磁辐射进行信息获取的技术……仅仅使用软件非法侵入的方式可能已经落伍，新时期的黑客技术应包括破解硬件本身。前几年微软公司曾经对硬件黑客侵犯其Xbox设备的行为采取法律与技术措施。索尼公司的PS2游戏机也成为一些专门修改芯片的黑客目标，其核心技术Sony的记忆棒被破解。美国苹果公司新推出的iPhone3Gs的加密系统也被硬件黑客破解，造成磁盘文件数据可以被实时偷走。第七种：逆向工程

逆向工程是指对软件执行码直接进行分析，可被看做是“开发周期的逆行”。实际应用中逆向工程主要分成两种情况：第一种，软件的源代码可用，但描述文档不再适用或者丢失;第二种，软件没有可用的源代码，任何能找到它的源代码的努力都被称为逆向工程。软件的逆向工程实现方法有：通过观察信息交换进行分析、使用反汇编器进行反汇编和使用反编译器进行反编译等。黑客则利用反逆向工程的方法保护自己的恶意代码。第八种：社会工程学

社会工程学定位在计算机信息安全工作链的一个最脆弱的环节，即“人”这个环节上。“人”这个环节在整个信息安全体系中是非常重要的，这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络或者是设备的新旧等因素不相同而有所差异。无论是在物理上，还是在虚拟的信息系统上，任何一个可以访问系统某个部分的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被黑客用做“补给资料”来运用，使其得到其他的信息。

4、计算机病毒5.信息二、电子商务交易安全威胁三、人员、管理、法律安全隐患规章制度不健全造成人为泄密业务不熟悉、误操作或不遵守操作规程造成泄密保密观念不强，不懂保密规则，随便泄漏机密熟悉系统的人员改动软件，非法获取或篡改信息网络系统和设备被恶意破坏利用硬件的故障部位和软件的错识非法访问系统，或对各部分进行人为破坏。1.3电子商务的安全需求机密性有效性完整性可认证性不可否认性对称加密算法、非对称加密算法1.4构造电子商务的安全体系二、正确看待电子商务的安全问题3.安全是有成本和代价的速度快——安全性低不涉及交易——投资成本可小一些涉及资金交易——投资成本可能要大一些，以提高安全性。4、安全是发展的、动态的今天安全，明天不一定安全。随着技术的发展，安全不能永远安全。要经常检查、评估安全程度。思考与练习1.电子商务有哪些安全隐患？2.电子商务的安全需求有哪些？3.如何构建电子商务安全体系？专题调查1.目前电子商务安全的现状如何，请在网上查找有关资料并加以说明。2.在你从事的电子商务活动中可能存在哪些安全隐患。作业题11.电子商务安全需求一般不包括（

C

）A.保密性B.完整性C.真实性D.高效性2.保证实现安全电子商务所面临的任务中不包括(D)。

A.数据的完整性B.信息的保密性C.操作的正确性D.身份认证的真实性3、电子商务系统的安全需求可分为

的安全性、交易对象的安全性、

的安全性和支付的安全性四个方面。4．黑客攻击电子商务系统的手段有中断、窃听、、和

。交易环境；交易过程；

3．篡改；伪造

交易环境；交易过程；．篡改；伪造作业题25、下面哪一种是对信息的完整性的正确的阐述？（）A.信息不被篡改、假冒和伪造。B.信息内容不被指定以外的人所知悉。C.信息在传递过程中不被中转。D.信息不被他人所接收。6、属于黑客入侵的常用手段（

D

）。

(A)口令设置(B)邮件群发

(C)窃取情报(D)IP欺骗添加目录HowtoreachonlineuserandprovideCustomisedIn-depthproductinformation?HowtosellproductsandprocessordersOvertheWeb?Whatarenewofferings,uniquetotheWeb?Howtorevolutionisebusinessmodelsandshiftvaluecreation?Product/ServiceInnovationBusinessModelInnovationMarketingInnovationChannelInnovation添加目录点击添加文本点击添加文本点击添加文本点击添加文本点击添加文本点击添加文本点击添加文本点击添加文本点击添加文本点击添加文本添加目录InsertyourtexthereThistextisaplaceholderandcanbereplacedbyyourowntexts.Thistextdoesonlydemonstratehowyourowntextwillbeillustrated,ifyouaregoingtoreplaceth