第一章電子商務(wù)安全概述

第一章電子商務(wù)安全概述第1頁，課件共42頁，創(chuàng)作于2023年2月課程說明課程學時安排總學時：48成績比例：考試成績70%考勤20%

平時成績10%

第2頁，課件共42頁，創(chuàng)作于2023年2月本課程對學生的要求1.了解和掌握網(wǎng)絡(luò)及電子商務(wù)安全的基本原理和相關(guān)技術(shù)2.關(guān)注國內(nèi)外最新研究成果和發(fā)展動態(tài)3.具有網(wǎng)絡(luò)及電子商務(wù)安全的理論基礎(chǔ)和實踐能力第3頁，課件共42頁，創(chuàng)作于2023年2月本書目錄第1章網(wǎng)絡(luò)及電子商務(wù)安全概述第2章網(wǎng)絡(luò)安全技術(shù)第3章加密，數(shù)字簽名和身份認證技術(shù)第4章pki技術(shù)和數(shù)字證書的實踐應(yīng)用第5章電子商務(wù)安全的協(xié)議與安全標準其中：第一章和第二章主要介紹網(wǎng)絡(luò)安全的概述涉及到概念一般網(wǎng)絡(luò)的維護和常見的網(wǎng)絡(luò)攻擊第三章到第五章主要介紹是電子商務(wù)安全第4頁，課件共42頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)改變生活安全改變網(wǎng)絡(luò)據(jù)美國FBI統(tǒng)計，全球平均每20秒發(fā)生一Internet入侵事件，internet上防火墻有1/3以上被突破,美因網(wǎng)絡(luò)安全一年損失達170億美元。另據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的"中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告（2004/1）"，在電子商務(wù)方面，72.26％的用戶最關(guān)心的是交易的安全可靠性。由此可見，電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問題是實現(xiàn)電子商務(wù)的關(guān)鍵之所在。

第5頁，課件共42頁，創(chuàng)作于2023年2月因特網(wǎng)上常見的不穩(wěn)定因素1、cookie：這種“網(wǎng)絡(luò)小甜餅”是一些自動運行的小程序，網(wǎng)絡(luò)設(shè)計師用他們來提供方便高效的服務(wù)，但同時通過使用這些小程序，商業(yè)公司和網(wǎng)絡(luò)入侵者能夠輕易獲得他人機器上信息。2、JAVA：a.wshom.ocx-m-software-classes-clsid-58aobb.vbs.vee.js.jse.wsh.wsfc.g-jsj-gl-wc-ie-stopJAVA作為一種技術(shù)，到底現(xiàn)在是否成功，一直備受爭議，但至少有一點可以肯定，有很多利用JAVA的漏洞成功入侵提供網(wǎng)絡(luò)服務(wù)的案例。3、CGI：它是運行在Web服務(wù)器上的一個程序，并由來自于瀏覽者的輸人觸發(fā)。CGI是在HTTP服務(wù)器下運行外部程序（或網(wǎng)關(guān)）的一個接口，它能讓網(wǎng)絡(luò)用戶訪問遠程系統(tǒng)上的使用類型程序，就好像他們在實際使用那些遠程計算機一樣。Gpedit.msc-用戶配置-管理模板-系統(tǒng)-不運行指定的window程序第6頁，課件共42頁，創(chuàng)作于2023年2月4、認證和授權(quán)：在用戶瀏覽網(wǎng)頁時,網(wǎng)站設(shè)計者為了尊重個人意愿,通常會跳出一個窗口來詢問用戶是否使用某種服務(wù),但絕大多數(shù)人回按下YES,他們都不會考慮選擇YES后產(chǎn)生的后果.5、電子郵件病毒：世界上有85%的人都使用過E-MAIL，但沒有人統(tǒng)計過有多少人在電子郵件上中了病毒，例如，當”愛蟲“病毒發(fā)作的時候，不管你機子上有多少文件，都會被刪除。6、微軟：現(xiàn)在的微軟公司越做越大，隨之而來的漏洞也就越來越多，但很少有人從網(wǎng)上下載補丁。（遠程注冊表服務(wù)）Machine-system-currentcontralset-services-(remoteregistry)刪除7、網(wǎng)絡(luò)管理員:網(wǎng)絡(luò)管理員擁有在網(wǎng)絡(luò)中查看個人資料(如信用卡帳號),郵件內(nèi)容,聊天記錄等權(quán)限,這樣的高級權(quán)限使他們能夠更好的管理網(wǎng)絡(luò),但如果他們?yōu)E用職權(quán)的話,就可能給用戶帶來較大的威脅.因特網(wǎng)上常見的不穩(wěn)定因素第7頁，課件共42頁，創(chuàng)作于2023年2月第一章：電子商務(wù)安全概述教學目標：主要使學生了解電子商務(wù)安全的概念，以及為什么要加強安全防范，并且對電子商務(wù)面臨的威脅有清楚的認識，了解電子商務(wù)安全的要素和保證這些安全的四大安全技術(shù)，為學習以后章節(jié)打下基礎(chǔ)。重難點介紹：電子商務(wù)安全的概念和特點（了解）電子商務(wù)面臨的安全威脅（熟悉）電子商務(wù)安全的要素（熟悉）第8頁，課件共42頁，創(chuàng)作于2023年2月任務(wù)一：電子商務(wù)安全概述電子商務(wù)：網(wǎng)絡(luò)是基礎(chǔ)，安全是關(guān)鍵安全問題是電子商務(wù)的核心問題。是電子商務(wù)得以正確進行的保障，沒有安全保障的的電子商務(wù)應(yīng)用只是虛偽的抄作或欺詐，任何電子商務(wù)交易方都不會讓自己的敏感信息在不安全的網(wǎng)絡(luò)中傳輸。只有安全得到了保障，電子商務(wù)才能蓬勃發(fā)展。電子商務(wù)安全計算機網(wǎng)絡(luò)系統(tǒng)安全：電子商務(wù)交易安全：相輔相成，缺一不可第9頁，課件共42頁，創(chuàng)作于2023年2月電子商務(wù)安全的特點：電子商務(wù)安全是一個系統(tǒng)的概念（技術(shù)+管理）（附案例1）電子商務(wù)安全是相對的（相對，盡量使安全系數(shù)最大）電子商務(wù)安全是有代價的（速度與安全成反比）電子商務(wù)安全的發(fā)展是動態(tài)的電子商務(wù)安全的特點第10頁，課件共42頁，創(chuàng)作于2023年2月1社會工程學攻擊

社會工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學，研究一個站點的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。舉個例子：一組高中學生曾經(jīng)想要進入一個當?shù)氐墓镜挠嬎銠C網(wǎng)絡(luò)，他們擬定了一個表格，調(diào)查看上去顯得是無害的個人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字，這些從學生轉(zhuǎn)變成的黑客說這種簡單的調(diào)查是他們社會研究工作的一部分。利用這份表格這些學生能夠快速的進入系統(tǒng)，因為網(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。第11頁，課件共42頁，創(chuàng)作于2023年2月目前社會工程學攻擊主要包括兩種方式：打電話請求密碼和偽造Email打電話請求密碼盡管不像前面討論的策略那樣聰明，打電話尋問密碼也經(jīng)常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，經(jīng)常通過這種簡單的方法重新獲得密碼。第12頁，課件共42頁，創(chuàng)作于2023年2月偽造Email使用telnet一個黑客可以截取任何一個身份證發(fā)送Email的全部信息，這樣的Email消息是真的，因為它發(fā)自于一個合法的用戶。在這種情形下這些信息顯得是絕對的真實。黑客可以偽造這些。一個冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息，黑客就能實施他們的惡意陰謀。第13頁，課件共42頁，創(chuàng)作于2023年2月任務(wù)二：電子商務(wù)發(fā)展面臨的威脅1、賣方（銷售者）面臨的安全威脅：（1）系統(tǒng)中心安全性被破壞：入侵者假冒成合法用戶來改變用戶數(shù)據(jù)（如商品送達地址）、解除用戶訂單或生成虛假訂單。（2）商業(yè)機密的安全：客戶資料被競爭者獲悉。（3）假冒的威脅：不誠實的人建立與商家服務(wù)器名字相同的另外一個服務(wù)器，以欺騙消費者（附案例2）（4）信用的威脅：買方提交訂單后不付款。（5）拒絕服務(wù)：攻擊者可能向銷售商的服務(wù)器發(fā)送大量的虛假定單來擠占它的資源，從而使合法用戶不能得到正常的服務(wù)。第14頁，課件共42頁，創(chuàng)作于2023年2月2、買方（消費者）面臨的安全威脅買方（消費者）面臨的安全威脅主要有：（1）虛假訂單：一個假冒者可能會以客戶的名字來訂購商品，而且有可能收到商品，而此時真正客戶卻被要求付款或返還商品。（2）付款后不能收到商品：在要求客戶付款后，銷售商中的內(nèi)部人員不將訂單和錢轉(zhuǎn)發(fā)給執(zhí)行部門，因而使客戶不能收到商品。（3）機密性喪失：客戶有可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù)（如PIN，口令等）發(fā)送給冒充銷售商的機構(gòu)，這些信息也可能會在傳遞過程中被竊聽。第15頁，課件共42頁，創(chuàng)作于2023年2月電子商務(wù)中的安全可分為如下幾類1.信息的截獲和竊取。如果沒有采用加密措施或加密強度不夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)等方式，獲取輸?shù)臋C密信息，如消費者的銀行帳號、密碼以及企業(yè)的商業(yè)機密等。

2.信息的篡改:當攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三個方面：篡改－更改信息的內(nèi)容，如購買商品的出貨地址；刪除－刪除某個消息或消息的某些部分；插入－在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。

第16頁，課件共42頁，創(chuàng)作于2023年2月3.信息假冒。當攻擊者掌握了某些特定的用戶信息之后，可以假冒合法用戶或發(fā)送假冒信息來欺騙商家，主要有兩種方式。一是偽造電子郵件，給商家發(fā)電子郵件，收定貨單；二是偽造大量用戶，發(fā)電子郵件，窮盡商家資源。若掌握部分商家信息之后，攻擊者可以虛開網(wǎng)站和商店，欺騙消費者。4.交易抵賴。交易抵賴包括多個方面，如發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容；收信者事后否認曾經(jīng)收到過某條消息或內(nèi)容；購買者做了定貨單不承認；商家賣出的商品因價格差而不承認原有的交易。

第17頁，課件共42頁，創(chuàng)作于2023年2月2、信息的完整性：1）數(shù)據(jù)輸入時的意外差錯或者欺詐行為，可能導致貿(mào)易各方信息的差異。2）數(shù)據(jù)傳輸過程中的信息丟失，可能會導致貿(mào)易各方信息不同。3）黑客對信息的篡改和假冒等。注：任何對系統(tǒng)信息的應(yīng)用特性或狀態(tài)的中斷，竊取，篡改和偽造都是破壞信息系統(tǒng)完整性的行為。1、信息的機密性：指信息在存儲或者在傳輸過程中不被他人竊取。機密性一般通過密碼技術(shù)來對信息加密處理來實現(xiàn)。在網(wǎng)上信息傳輸過程中，只有合法用戶才能看到信息（數(shù)據(jù)加密，訪問控制，計算機電磁輻射的安全保障）任務(wù)三：電子商務(wù)安全要素：第18頁，課件共42頁，創(chuàng)作于2023年2月3、認證性：主要是是身份認證，在網(wǎng)絡(luò)安全中，認證主要提供了關(guān)于某個實體身份的保證，如口令技術(shù)是一種簡單常用的認證方法。而電子商務(wù)中客戶商家相互認證，一般是通過交易第三方或安全加密協(xié)議來實現(xiàn)，如數(shù)字證書。4、信息的不可抵賴：是指交易雙方一旦發(fā)生了交易的實體行為，就不能相互否認，即發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴，接方在接受數(shù)據(jù)后也不能否認（如通過數(shù)字簽名）第19頁，課件共42頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)不安全的原因自身缺陷+開放性+黑客攻擊第20頁，課件共42頁，創(chuàng)作于2023年2月第21頁，課件共42頁，創(chuàng)作于2023年2月攻擊技術(shù)如果不知道如何攻擊，再好的防守也是經(jīng)不住考驗的，攻擊技術(shù)主要包括五個方面：網(wǎng)絡(luò)監(jiān)聽：自己不主動去攻擊別人，在計算機上設(shè)置一個程序去監(jiān)聽目標計算機與其他計算機通信的數(shù)據(jù)。又叫欺騙攻擊包括ip欺騙和假消息欺騙攻擊，前一種通過冒充合法網(wǎng)絡(luò)主機騙取敏感信息，后一種攻擊主要是通過配置或設(shè)置一些假消息來實施欺騙攻擊主要包括：arp緩存虛構(gòu)，和偽造電子郵件第22頁，課件共42頁，創(chuàng)作于2023年2月攻擊技術(shù)網(wǎng)絡(luò)掃描：利用程序去掃描目標計算機開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計算機做準備。網(wǎng)絡(luò)安全掃描技術(shù)：其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。它即可用于對本地網(wǎng)絡(luò)進行安全怎強，也可被網(wǎng)絡(luò)攻擊者用來進行網(wǎng)絡(luò)攻擊注意：信息探測型攻擊主要是收集目標系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息第23頁，課件共42頁，創(chuàng)作于2023年2月漏洞類攻擊：針對掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實施的相應(yīng)攻擊，伴隨新發(fā)現(xiàn)的漏洞，攻擊手段不斷翻新，防不勝防。漏洞（hole）:系統(tǒng)硬件或者軟件存在某種形式的安全方面的脆弱性，這種脆弱性存在的直接后果是允許非法用戶未經(jīng)授權(quán)獲得訪問權(quán)或提高訪問權(quán)限。要找到某種平臺或者某類安全漏洞也是比較簡單的。在internet上的許多站點，不論是公開的還是秘密的，都提供漏洞的歸檔和索引。第24頁，課件共42頁，創(chuàng)作于2023年2月第25頁，課件共42頁，創(chuàng)作于2023年2月攻擊技術(shù)網(wǎng)絡(luò)隱身：入侵完畢退出目標計算機后，將自己入侵的痕跡清除，從而防止被對方管理員發(fā)現(xiàn)。破壞類攻擊：指對目標機器的各種數(shù)據(jù)與軟件實施破壞的一類攻擊，包括計算機病毒，邏輯炸彈等攻擊邏輯炸彈與計算機病毒的主要區(qū)別：邏輯炸彈沒有感染能力，它不會自動傳播到其他軟件內(nèi)注意：由于我國使用的大多數(shù)系統(tǒng)都是國外進口的，其中是否存在邏輯炸彈，應(yīng)該保持一定的警惕。對于機要部門中的計算機系統(tǒng)，應(yīng)該使用自己的軟件為主。第26頁，課件共42頁，創(chuàng)作于2023年2月攻擊技術(shù)網(wǎng)絡(luò)后門：成功入侵目標計算機后，為了對“戰(zhàn)利品”的長期控制，在目標計算機中種植木馬等后門。（或者又叫控制類攻擊）對目標機器控制權(quán)的攻擊常見的有三種：口令攻擊，特洛伊木馬，和緩沖區(qū)溢出攻擊口令截獲與破解仍然是最有效的口令攻擊手段，進一步的發(fā)展應(yīng)該是研制功能更強的口令破解程序；木馬技術(shù)目前著重研究更新的隱藏技術(shù)和秘密信道技術(shù)；緩沖區(qū)溢出是一種常見的攻擊技術(shù)，早期利用系統(tǒng)軟件自身存在的緩沖區(qū)溢出的缺陷進行攻擊，現(xiàn)在研究制造緩沖區(qū)溢出。第27頁，課件共42頁，創(chuàng)作于2023年2月攻擊技術(shù)拒絕服務(wù)：企圖通過強制占用信道資源，網(wǎng)絡(luò)鏈接資源，存儲空間資源，使服務(wù)器崩潰或資源耗盡無法對外繼續(xù)提供服務(wù)。常見攻擊方法：ddos（分布式攻擊）網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)最強攻擊；tcpsyn洪水攻擊，死亡之ping，電子郵件爆炸等方式。注意：在一次網(wǎng)絡(luò)攻擊中，并非只使用上面的六種攻擊手段中的某一種，而是多種攻擊手段相綜合，取長補短，發(fā)揮各自不同的作用。第28頁，課件共42頁，創(chuàng)作于2023年2月防御技術(shù)防御技術(shù)包括四大方面：操作系統(tǒng)的安全配置：操作系統(tǒng)的安全是整個網(wǎng)絡(luò)安全的關(guān)鍵。加密技術(shù)：為了防止被監(jiān)聽和盜取數(shù)據(jù)，將所有的數(shù)據(jù)進行加密。防火墻技術(shù)：利用防火墻，對傳輸?shù)臄?shù)據(jù)進行限制，從而防止被入侵。入侵檢測：如果網(wǎng)絡(luò)防線最終被攻破了，需要及時發(fā)出被入侵的警報。第29頁，課件共42頁，創(chuàng)作于2023年2月第30頁，課件共42頁，創(chuàng)作于2023年2月案例：研究網(wǎng)絡(luò)安全的社會意義

目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國家的經(jīng)濟、軍事等領(lǐng)域。第31頁，課件共42頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)安全與政治目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來，電子政務(wù)工程已經(jīng)在全國啟動并在北京試點。政府網(wǎng)絡(luò)的安全直接代表了國家的形象。1999年到2001年，一些政府網(wǎng)站，遭受了四次大的黑客攻擊事件。第一次在99年1月份左右，美國黑客組織“美國地下軍團”聯(lián)合了波蘭的、英國的黑客組織以及世界上的黑客組織，有組織地對我們國家的政府網(wǎng)站進行了攻擊。第二次，99年7月份，當臺灣李登輝提出了兩國論的時候。第32頁，課件共42頁，創(chuàng)作于2023年2月第三次是在2000年5月8號，美國轟炸我國駐南聯(lián)盟大使館后。第四次是在2001年4月到5月，美機撞毀王偉戰(zhàn)機侵入我海南機場。第33頁，課件共42頁，創(chuàng)作于2023年2月2001年南海撞機事件引發(fā)中美黑客大戰(zhàn)第34頁，課件共42頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)安全與經(jīng)濟一個國家信息化程度越高，整個國民經(jīng)濟和社會運行對信息資源和信息基礎(chǔ)設(shè)施的依賴程度也越高。我國計算機犯罪的增長速度超過了傳統(tǒng)的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統(tǒng)計了。利用計算機實施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項業(yè)務(wù)。近幾年已經(jīng)破獲和掌握100多起，涉及的金額幾個億。第35頁，課件共42頁，創(chuàng)作于2023年2月2000年2月份黑客攻擊的浪潮，是互連網(wǎng)問世以來最為嚴重的黑客事件。99年4月26日，臺灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計說我國大陸受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經(jīng)濟損失高達近12億元。1996年4月16日，美國金融時報報道，接入Internet的計算機，達到了平均每20秒鐘被黑客成功地入侵一次的新記錄。第36頁，課件共42頁，創(chuàng)作于2023年2月網(wǎng)上不良信息腐蝕人們靈魂，色情資訊業(yè)日益猖獗。1997年5月去過色情網(wǎng)站瀏覽過的美國人，占了美國網(wǎng)民的28.2%。河南鄭州剛剛大專畢業(yè)的楊某和何某，在商丘信息港上建立了一個個人主頁，用五十多天的時間建立的主頁存了一萬多幅淫穢照片的網(wǎng)站、100多部小說和小電影。不到54天的時間，訪問他的人到了30萬。第37頁，課件共42頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)安全與軍事在第二次世界大戰(zhàn)中，美國破譯了日本人的密碼，將山本的艦隊幾乎全殲，重創(chuàng)了日本海軍。目前的軍事戰(zhàn)爭更是信息化戰(zhàn)爭，下面是美國三位知名人士對目前網(wǎng)絡(luò)的描述。第38頁，課件共42頁，創(chuàng)作于2023年2月美