电子商务安全的现状和趋势

电子商务安全的现状和趋势第一页，共三十四页，编辑于2023年，星期日1.1电子商务安全问题1.2触发电子商务安全问题的原因1.3电子商务安全的概念与基本要求1.4电子商务安全的现状1.5网络安全的十大不稳定因素1.6电子商务安全防治措施1.7电子商务安全举措2第二页，共三十四页，编辑于2023年，星期日1.1电子商务安全问题1.1.1漏洞1.1.2病毒1.1.3黑客攻击1.网页篡改2.僵尸网络

1.1.4网络仿冒3第三页，共三十四页，编辑于2023年，星期日1.1.1漏洞1995到2004年漏洞公布数量（单位：个）1.1电子商务安全问题4第四页，共三十四页，编辑于2023年，星期日1.1.1漏洞典型的安全漏洞1.Windows惊现高危漏洞，新图片病毒能攻击所有用户2.WinXPSP2发现迄今最严重的安全漏洞3.采用SP2的系统发现10个严重安全漏洞。4.苹果的漏洞补丁程序不起作用5.Solaris现致命漏洞，补丁迟迟不发布6.IE惊现最新地址欺骗漏洞7.IE和Mozilla等浏览器发现cookie漏洞8.Firefox和电子邮件客户端出现三个安全漏洞9.黑客可以利用PHP“危急”漏洞控制Web服务器10.Java插件安全漏洞可能致使Windows和Linux受攻击11.Real系列播放器发现危险级漏洞1.1电子商务安全问题5第五页，共三十四页，编辑于2023年，星期日1.1.2病毒蠕虫病毒蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。1.1电子商务安全问题6第六页，共三十四页，编辑于2023年，星期日1.1.3黑客攻击网页篡改耐克网站被黑客篡改1.1电子商务安全问题7第七页，共三十四页，编辑于2023年，星期日1.1.3黑客攻击网页篡改2004年中国大陆网页篡改情况（单位：件）1.1电子商务安全问题8第八页，共三十四页，编辑于2023年，星期日1.1.3黑客攻击僵尸网络僵尸网络也称为BotNet。Bot是robot的简写，通常是指可以自动地执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。1.1电子商务安全问题9第九页，共三十四页，编辑于2023年，星期日1.1.4网络仿冒2004年网络仿冒事件报告（单位：起）1.1电子商务安全问题10第十页，共三十四页，编辑于2023年，星期日1.2触发电子商务安全问题的原因1.2.1先天原因1.2.2后天原因1.管理2.人3.技术11第十一页，共三十四页，编辑于2023年，星期日1.2.1先天原因网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。1.2.2后天原因管理——美国90%的IT企业对黑客的攻击准备不足。人——黑客攻击技术——软件漏洞、后门1.2触发电子商务安全问题的原因12第十二页，共三十四页，编辑于2023年，星期日1.3电子商务安全的概念与基本要求1.3.1电子商务系统安全的构成1.系统实体安全2.系统运行安全3.信息安全1.3.2电子商务安全的需求13第十三页，共三十四页，编辑于2023年，星期日电子商务交易示意图1.3电子商务安全的概念与基本要求14第十四页，共三十四页，编辑于2023年，星期日1.3.1电子商务系统安全的构成计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。1.3电子商务安全的概念与基本要求15第十五页，共三十四页，编辑于2023年，星期日1.3.1电子商务系统安全的构成1.系统实体安全2.系统运行安全3.信息安全1.3电子商务安全的概念与基本要求16第十六页，共三十四页，编辑于2023年，星期日1.3.1电子商务系统安全的构成1.3电子商务安全的概念与基本要求17第十七页，共三十四页，编辑于2023年，星期日1.3电子商务安全的概念与基本要求术语定义保密性（security）保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。完整性（integrity）防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。认证性（authenticity）确保交易信息的真实性和交易双方身份的合法性可控性（accesscontrol）保证系统、数据和服务能由合法人员访问不可否认性（non-repudiation）有效防止通信或交易双方对已进行的业务的否认1.3.2电子商务安全的需求18第十八页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.1法律法规建设1.电脑犯罪立法2.有关计算机安全的法律法规3.有关保护个人隐私的法律法规4.有关网络知识产权保护的法律法规5.有关电子合同的法律法规1.4.2理论研究和技术开发19第十九页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.1法律法规建设1.电脑犯罪立法犯罪行为美国英国澳大利亚中国香港黑客攻击尝试性（如口令猜测）成功攻击，但不造成损失成功攻击，且造成损失有进一步犯罪动机无有无有无有有有有有有有有有有有篡改行为未经授权访问并篡改电脑数据经授权访问电脑但擅自篡改电脑数据干预和破坏正常的电脑运行有有有有无无有有有无有有其他方面买卖口令跨国界适用涉及所有电脑有无无无无有无无无有无有最长刑期黑客行为篡改行为20年5年2年5年20年5年10年12年20第二十页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.1法律法规建设2.有关计算机安全的法律法规国家/组织法律法规说明欧盟2001年《关于网络犯罪的公约》加强社会防卫，打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪美国1970年《金融秘密权利法》1984年《伪造存取手段以及计算机诈骗与滥用法》1986年《计算机诈骗与滥用法》《国家信息基础保护法》1987年《联邦计算机安全处罚条例》对金融业计算机存储数据的保护作了规定明确了对网络犯罪的处罚中国1994年《中华人民共和国计算机信息系统安全保护条例》1996年《中华人民共和国计算机信息网络国际联网暂行规定》1997年《计算机信息网络安全保护管理办法》、《计算机信息系统安全专用产品分类原则》2000年《互联网信息服务管理办法》、《关于维护互联网安全的决定》21第二十一页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.1法律法规建设3.有关保护个人隐私的法律法规国家法律法规说明美国1980年《隐私保护法》1986年《电子通信隐私法》1988年《视频隐私保护法》1997年《消费者因特网隐私保护法》1997年《联邦因特网隐私保护法》1997年《通信隐私和消费者权利法》1997年《资料隐私法》1999年《因特网保护个人隐私的政策》1999年《金融服务现代化法》为计算机形式的文件提供隐私保护禁止个人在没有获权的情况下截取通信资料保护图片传输的隐私要求计算机服务在公布用户信息时必须事先得到用户的书面同意禁止联邦结构在因特网上公布个人信息保护在线交易中的隐私权限制使用关于个人的信息禁止未经消费者同意传播消费者的信息英国1998年7月《数据保护法》澳大利亚“个人数据保护十原则”日本《个人数据保护法》22第二十二页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.1法律法规建设4.有关网络知识产权保护的法律法规国家/组织法律法规说明世界知识产权组织1996年12月《世界知识产权组织版权保护条约》对信息网络环境下的软件、数据库的著作权保护和信息数字化、网络传输、技术措施、版本信息等问题进行了解释欧盟2001年《关于网络犯罪的公约》加强社会防卫，打击盗版、网络欺诈、儿童色情和危害网络安全等严重的网络犯罪美国1997年《禁止电子盗窃法》是保护网络知识产权方面最重大的进步《数字版权净化和技术教育法》通过豁免远程教学的版权，限制了数字版权侵犯的范围《在线版权有限责任法》保护因特网服务提供商，使他们在无法控制或不知侵害结果的特殊情况下直接或间接违法时免予承担责任1998年《数字版权法》侵权行为即使不带有营利性的动机，达到一定条件亦可被判定为犯罪23第二十三页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.1法律法规建设5.有关电子合同的法律法规我国2005年4月1日出台的《中华人民共和国电子签名法》承认了电子签名的法律效力，它是我国电子商务领域的第一部国家法，具有划时代的意义。24第二十四页，共三十四页，编辑于2023年，星期日1.4电子商务安全的现状1.4.2理论研究和技术开发在提供保密性的加密算法里，有基于分组加密的DES算法，有基于大数因子分解的RSA算法，还有基于NP完全理论的背包加密算法，基于离散对数的ElGamal加密算法等等；在提供完整性和不可否认性的数字签名里，不仅有RSA签名和ElGamal签名，还有盲签名、多重签名和定向签名、代理签名等；在提供认证性领域里，有目前流行的公钥基础设施（PKI）；更有防火墙、授权服务器等产品来提供可控性。25第二十五页，共三十四页，编辑于2023年，星期日1.5网络安全的十大不稳定因素1.Cookie2.CGI(通用网关接口)3.Java4.自由软件5.电子邮件6.微软7.认证和授权8.Linux9.ICP10.网络管理员26第二十六页，共三十四页，编辑于2023年，星期日1.6电子商务安全防治措施1.6.1技术措施1.6.2管理措施27第二十七页，共三十四页，编辑于2023年，星期日1.6电子商务安全防治措施1.6.1技术措施1.网络安全检测设备2.访问设备3.防火墙4.浏览器/服务器软件5.端口保护6.访问控制7.数据加密8.数字证书9.保护传输线路安全10.路由选择机制11.流量控制12.防入侵措施28第二十八页，共三十四页，编辑于2023年，星期日1.6电子商务安全防治措施1.6.2管理措施1.人员管理制度2.保密制度3.跟踪、审计、稽核制度4.系统维护制度硬件的日常管理与维护软件的日常管理与维护5.数据容灾制度6.病毒防范制度7.应急措施29第二十九页，共三十四页，编辑于2023年，星期日1.7电子商务安全举措1.7.1未来电子商务安全工作1.7.2加强网络安全的十条建议30第三十页，共三十四页，编辑于2023年，星期日1.7电子商务安全举措1.7.1未来电子商务安全工作加强立法，参照先进国家已有的有效法律，不断创新，完善保护电子商务安全和打击网络犯罪的法律保障体系。建立相关机构，采取实际措施打击网络犯罪。加大对网络安全技术的投入，提高网络安全技术水平。鼓励企业加强自我保护，防范网络犯罪侵害。加强国际合作，增强全球范围内打击网络犯罪的力度。加强对国民的网络安全教育，注重对优秀计算机人才的培养。31第三十一页，共三十四页，编辑于2023年，星期日1.7电子商务安全举措1.7.2加强网络安全的十条建议1.安装操作系统和服务器所有的补丁程序。2.为网络设备升级。3.如果是通过网络服务商提供接入服务的，应当与网络服务商保持联系，不要让自己无意中卷入了拒绝服务攻击，时刻保证自己的设备安全无忧。4.通过使用防火墙等方式，制定严格的网络安全规则，对进出网络的信息进行严格限定。5.将网络的TCP超时限制缩短至15分钟（9