读书笔记：第五章 电子商务安全管理.docVIP

第五章电子商务安全管理 5.1电子商务概述 1、电子商务安全是有效开展电子商务的前提和保证。 2、电子商务安全的内容： （1）计算机网络安全，（2）商务交易安全，（3）电子商务系统安全管理制度。 5.2计算机网络安全 1、计算机网络面临的安全威胁 （1）黑客攻击 非法入侵计算机系统的人，主要利用系统配置的缺陷、操作系统的安全漏洞或通信协议的安全漏洞，从网络的外部非法侵入，进行不法行为。 常用手段： 利用UNIX提供的缺省帐号（anonymous、guest）进行攻击 截取口令 寻找系统漏洞（系统自身的、管理员配置错误） 偷取特权 清理磁盘（回收站、临时文件夹） （2）计算机病毒 病毒是能够破坏计算机系统正常运行，具有传染性的一段程序。 （3）拒绝服务攻击(DoS) 一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。 主要利用TCP/IP协议的漏洞，将提供服务的系统资源耗尽，导致其无法提供正常服务，有些是消耗带宽，有些是消耗网络设备的CPU和内存，或是导致系统崩溃。 最具有代表性的攻击手段包括SYN flood、ICMP flood、UDP flood等，使用大量伪造的连接请求报文攻击网络服务所在的端口，造成服务器资源耗尽，系统停止响应甚至崩溃； 2种手段： （1）连接耗尽使用真实IP地址发起针对网络服务的大量真实连接来抢占带宽，造成服务器资源耗尽，服务终止； （2）利用网络协议本身缺陷进行攻击：Land攻击、WinNuke、Ping of Death、TearDrop （4）网络内部的安全威胁 主要是指来自网络内部的攻击或内部用户因误操作造成口令失密而遭受的攻击，最难防范。 已知的网络安全事件中，大约50%的攻击是来自内部网； 导致内部安全威胁的主要有以下几种情况 1）用户防范意识薄弱，或计算机操作技能有限，共享网络资源时没有辅以恰当的安全设施，造成数据泄露 2）内网管理人员有意或无意泄露系统管理员的用户名、密码等关键信息，泄露内部网的结构及重要信息分布 3）内部人员泄愤。 网络安全威胁的承受对象 （1）对客户机的安全威胁； （2）对www服务器的安全威胁； （3）对数据库的安全威胁； （4）对通信设备、线路的安全威胁。 3、网络安全管理的技术手段 （1）防火墙 为了保护网络的安全而使用的技术，它采用隔离控制技术，在某个机构的网络和不安全的公共网络之间设置屏障，执行指定的安全控制策略，阻止外部用户对内部网络信息资源的非法访问，同时也可以阻止信息从企业的内部网络上被非法泄露出去。 　　防火墙的　　防火墙的类型1）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的帐户和密码信息。?（2）保证信息在因特网上安全传输，防止数据被黑客或被内部人员窃取。（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。?(4)保证了网上交易的实时性，使所有的支付过程都是在线的。(5)效仿EDI贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。? (2)通过电子商务服务器与有关在线商店联系，在线商店做出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。 (3)消费者选择付款方式，确认订单，签发付款指令。此时SET开始介入。 (4)在set中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息。 (5)在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。 (6)在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备查询。 (7)在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。 SET安全协议中的角色 (1)消费者?(2)商家 (3)发卡银行； (4)收单银行(5)支付网关； (6)认证中心SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本降低。 对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET替消费者保守了更多的秘密使其在线购物更加轻松。 银行和发卡机构以及各种信用卡组织来说，因为SET可以帮助它们将业务扩展到Internet这个广阔的空间，从而使得信用卡网上支付具有更低的欺骗概率，这使得它比其他支付方式具有更大的竞争力。 SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。 (1) SET要求在银行网络、商家服务器、顾客的PC上安装相