电子商务安全基础

电子商务安全基础第一页，共四十一页，编辑于2023年，星期日计算机网络面临的安全威胁电脑犯罪:50个国家有信息恐怖组织, 计算机犯罪增长率152%, 银行抢劫案件减少， 英国网络解密专家小组, 美国第三方密钥管理,………巨大损失:66万美元/每次计算机犯罪,26美元/每次抢劫， 国防，银行，证券网络战争:中美网络之战第二页，共四十一页，编辑于2023年，星期日网络战争实例1990年海湾战争，被称为“世界上首次全面信息战”，充分显示了现代高技术条件下“制信息权”的关键作用。美军通过向带病毒芯片的打印机设备发送指令，致使伊拉克军队系统瘫痪，轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息技术,仅以伤亡百余人的代价取得了歼敌十多万的成果.•

在科索沃战争中，美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候，天空上其实什么也没有。通过这种方法，美军成功迷惑了南联盟，使南联盟浪费了大量的人力物力资源。•

同样的方法还应用到南联盟首领米洛舍维奇的头上，美军雇佣黑客闯入瑞士银行系统，调查米氏的存款情况并加以删除，从心理上给予米氏以沉重的打击。第三页，共四十一页，编辑于2023年，星期日中美网络之战兰德公司于1999年6月份向美国政府提出的建议报告：美国的对华战略应该分三步走：第一步是西化、分化中国，使中国的意识形态西方化，从而失去与美国对抗的可能性；第二步是在第一步失效或成效不大时，对中国进行全面的遏制，并形成对中国战略上的合围；第三步就是在前两招都不能得逞时，不惜与中国一战，当然作战的最好形式不是美国的直接参战，而是支持中国内部谋求独立的地区或与中国有重大利益冲突的周边国家。第四页，共四十一页，编辑于2023年，星期日Internet上的安全隐患开放性传输协议TCP/IP.在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑操作系统信息电子化第五页，共四十一页，编辑于2023年，星期日第六页，共四十一页，编辑于2023年，星期日1.黑客攻击2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。–2月7日10时15分，汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点之外的所有服务器，雅虎大部分网络服务陷入瘫痪。–

第二天，世界最著名的网络拍卖行电子湾（eBay）也因神秘客袭击而瘫痪。–

美国有线新闻网CNN的网站随后也因遭神秘客的袭击而瘫痪近两个小时；顶级购物网站亚马逊也被迫关闭一个多小时。–

在此之后又有一些著名网站被袭击：ZDnet，Etrade，Excite，Datek……到2月17日为止，黑客攻击个案已增至17宗，而且可能有更多网站受袭而未被察觉–

引起美国道穷斯股票指数下降了200多点。–

成长中的高科技股纳斯达克股票也一度下跌了80个点。第七页，共四十一页，编辑于2023年，星期日利用UNIX提供的缺省帐户进行攻击截取口令寻找系统漏洞偷取特权清理磁盘防范措施：选用安全的口令、模拟攻击等1.黑客攻击第八页，共四十一页，编辑于2023年，星期日2.病毒攻击99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。•

据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据，“爱虫”大爆发两天之后，全球约有4500万台电脑被感染，造成的损失已经达到26亿美元。今后几天里，“爱虫”病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。•1995年计算机安全杂志在全球抽样调查了300家典型的公司，69%的公司报告上年度遇到过计算机网络安全问题，59%的公司报告，上述安全问题造成的损超过1万美元。第九页，共四十一页，编辑于2023年，星期日删除\修改文件，程序运行出错、死机，破坏硬件感染病毒的常见方式下载软件邮件附件交换磁盘局域网2.病毒攻击第十页，共四十一页，编辑于2023年，星期日3、拒绝服务攻击（Dos）拒绝服务攻击（Dos）是一种破坏性攻击，它是指一个用户采用某种手段故意占用大量网络资源，使系统没有剩余资源为其他用户提供服务的攻击P102例子UPD洪水、Smurf攻击、电子邮件炸弹第十一页，共四十一页，编辑于2023年，星期日4、网络内部的安全威胁国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。误操作、口令失密、故意破坏第十二页，共四十一页，编辑于2023年，星期日信息保障美国人提出的概念:InformationAssurance保护（Protect）检测（Detect）反应（React）恢复（Restore）第十三页，共四十一页，编辑于2023年，星期日二电子商务的安全威胁1.对客户机的安全威胁（1）活动内容特洛伊木马:破坏保密性与完整性解决办法：识别、管理、显示或删除Cookie,如：CookieCrusher或CookiePal第十四页，共四十一页，编辑于2023年，星期日（2）Java、Java小应用程序和JavaScriptJava小应用程序：破坏保密性与完整性解决办法：第三方数字签名、Java运行程序安全区Java应用程序：可以在计算机上完成任何操作（包括灾难性的）解决办法：Java运行程序安全区JavaScript：破坏保密性与完整性不受运行程序安全区、不会自动运行解决办法：不要随便启动陌生程序第十五页，共四十一页，编辑于2023年，星期日（3）ActiveX控件能够访问包括操作系统代码在内的所有系统资源:格式化磁盘、发电子邮件、关闭计算机.破坏保密性与完整性不能控制,但可被管理解决办法:正确设置浏览器安全特性第十六页，共四十一页，编辑于2023年，星期日（4）图形文件、插件和电子邮件附件益：信息隐蔽、播放音乐、电影、动画害：破坏计算机、涉密第十七页，共四十一页，编辑于2023年，星期日2.对通信信道的安全威胁(1)对保密性的安全威胁(2)对完整性的安全威胁(3)对即需性的安全威胁第十八页，共四十一页，编辑于2023年，星期日3.对服务器的安全威胁(1)对Web服务器的安全威胁(2)对数据库的安全威胁(3)对公用网关接口的安全威胁(4)对其他程序的安全威胁解决:模拟攻击第十九页，共四十一页，编辑于2023年，星期日二计算机网络安全技术1.防火墙技术2.入侵检测系统3.物理隔离4.虚拟专用网技术VPN5.病毒防范技术6.身份识别技术第二十页，共四十一页，编辑于2023年，星期日1.防火墙技术防火墙是指一个由软件系统和硬件系统组合而成的，在内部网和外部网之间的界面上构造的保护屏障。作用：保护企业内部资源，防止外部控制和监督外部用户对企业内部网的访问；控制、监督和管理企业内部对外部的访问。局限性：（1）内到外和由外到内的访问都必须通过它，限制了有用的网络服务，只有本地安全策略所定义的合法访问才允许通过它。（2）不能防范不经防火墙的攻击（3）不能防范来自内部的攻击（4）不能防范新的网络安全问题分类：（1）数据包过滤（PacketFiltering）（2）应用级网关（ApplicationLevelGateways）（3）代理服务器(Proxyservice)（4）复合型防火墙第二十一页，共四十一页，编辑于2023年，星期日2、入侵检测系统入侵检测系统（IntrusionDetection）对入侵行为的发觉主要功能：分类第二十二页，共四十一页，编辑于2023年，星期日3、物理隔离是指内部网不直接或间接地连接互联网，使内部网络安全得到了保证。第二十三页，共四十一页，编辑于2023年，星期日4、虚拟专用网技术VPN利用公用信道、安全性、独占性：验证加密完整性保护第二十四页，共四十一页，编辑于2023年，星期日5.病毒防范技术

分类：引导区病毒、可执行病毒、宏病毒、邮件病毒、网页病毒、综合型病毒解决办法：安装防毒软件；加强数据备份和恢复措施；物理或逻辑隔离第二十五页，共四十一页，编辑于2023年，星期日6.身份识别技术

口令磁卡、智能卡、USBkey生物特征法：指纹、眼睛、语言、书写第二十六页，共四十一页，编辑于2023年，星期日三、电子商务交易安全第二十七页，共四十一页，编辑于2023年，星期日电子商务的安全要素

1.信息的保密性---一般的商务信息都要求保密；信用卡的帐号及用户密码、订货和付款信息等尤其要保密。

2.信息的完整性---对签定的合同及有关文件，未经授权不得随意篡改，不被遗漏。

3.通信的不可抵赖、不可否认---保证收发各个都有足够证据证明接收或发送的操作已经发生。第二十八页，共四十一页，编辑于2023年，星期日

4.交易各方身份的认证---确定对方的真实身份与对方所声称的是否一致；

5.信息的有效性---要保证贸易数据在确定的时刻、确定的地点是可呈现的，且在法律上是可接受的。第二十九页，共四十一页，编辑于2023年，星期日电子商务的安全体系电子商务作业系统支付系统安全协议安全认证手段基本加密算法第三十页，共四十一页，编辑于2023年，星期日现有的两大类实用的密钥系统----（a）对称密钥系统（DES）加解密共一密钥，接受方难于事前获取密钥；随用户数量而增，更换和保管难度大；但计算较简，成本较低，加解密速度快可以结合硬件加密宜用于较大文件的加解密；基本加密技术第三十一页，共四十一页，编辑于2023年，星期日

对称密钥系统（DES）（私有密钥加密）关键问题是接受方如何简便地获得密钥。原文密文原文textufyutext+1-1加密解密发送方密钥接收方第三十二页，共四十一页，编辑于2023年，星期日（b）非对称密钥系统（RSA、FAPKC）公钥与私钥必须配对使用，公钥加密则私钥解密，私钥加密则公钥解密；公钥完全公开（如置于认证中心，随时可查）更换和保管容易；计算较繁，甚耗时，成本高；宜用于较小而密级较高的资料。可实现数字签名第三十三页，共四十一页，编辑于2023年，星期日

非对称密钥系统（RSA）发送方易于获得接受方公钥，因而易于发出密件。原文密文原文加密解密公钥PKB私钥IKB发送方方法一：密件接收方第三十四页，共四十一页，编辑于2023年，星期日原文密文原文加密解密公钥PKA私钥IKA方法二：数字签名接收方发送方发送方用其私钥加密发密件，使接受方获得原信息之外，还得到发送方的身份认证。第三十五页，共四十一页，编辑于2023年，星期日1.数字信封主要用于将某次传送文件采用的会话密钥（又称通信密钥，每次随机产生），经非对称加密方法处理（即隐于数字信封）后，传送给接受方；接受方用其私钥，将数字信封解码得到会话密钥，进而用会话密钥将收到的密件对称解密成明文。安全认证手段第三十六页，共四十一页，编辑于2023年，星期日原文密文原文1.对称密钥AB2.PKB数字信封2.对称密钥1.IKB数字信封只有特定的收信人才能阅读信的内容保密性、完整性第三十七页，共四十一页，编辑于2023年，星期日处理用Hash函数（SHA、MD-5）；唯一性、单向性，摘要可视为报文的“指纹”。用以验证通过网络收到的文件是否原件。发送者将要发出的原件先做出其摘要；摘要和原件一起传送给接收者；接收者对所收原件作Hash处理，产生的摘要与所收的摘要进行对比；若相符，原件自签发后未被修改；否则原件已被改动。2.数字摘要（消息、报文摘要）第三十八页，共四十一页，编辑于2023年，星期日

数字摘要（消息、报文摘要）完整性原文Hash加密摘要原文摘要原文Hash加密A信息被确认B完全一样第三十九页，共四十一页，编辑于2023年，星期日

3.