CH10电子商务安全.ppt

电子商务 ——管理视角;Chapter 8;学习目标;开篇案例;解决方案： 网络钓鱼攻击并非新出现的事物，但所使用的方法却是新的。过去，欺诈者依靠电话，而如今他们凭 借广告电子邮件、欺骗性弹出信息或者虚假网页来愚弄受害 者，使他们认为自己正在进行合法的交易。这些消息通常链 接到一些可信页面并且告知他们需要更新或者验证账户信息。这些网站看似合法，实则不然。在欺诈网站上，受害者一般会被诱骗而泄漏自己的信用卡号、账号、用户名、密码、社会保障号或其他敏感信息。这些信息则被用来进行伪造信用卡或者身份盗窃。;反网络钓鱼工作小组； 提供主动搜索网站(域名服务器、网页、网站、新闻组和聊天室等)服务以便发现网络钓鱼活动迹象； 个人应该 避免回复那些需要提供个人信息的电子信件和弹出式信息； 避免发送个人和财务信息； 坚持更新杀毒软件； 小心打开电子邮件附件或者下载任何文件； 向有关部门报告可疑现象。;效果： 据反网络钓鱼工作组估计，约有5%的用户反映遭到过网络钓鱼攻击。这些攻击的经济影响无法确定。即使目前已有成文法律禁止垃圾电子邮件和身份盗窃，但这些行为仍然非常猖獗。而实际上到目前为止，受害者针对网络钓鱼攻击的投诉还非常少见。;8.1 电子商务交易风险;;8.2 基本安全问题;从公司的角度: 公司如何知道用户不会试图闯入网络服务器或者修改网站网页和内容? 公司如何知道用户不会试图干扰网站服务从而使得其他用户无法访问? ;从用户和公司双方面: 用户和公司如何知道网络连接中不会遭到第三方的在线窃听? 用户和公司如何知道服务器和用户浏览器之间传递的信息不会在中途被修改?; 电子商务过程中会产生的主要安全问题;保密性(privacy) 私人或者敏感信息不应该向未授权个人、实体或计算机软件处 理系统透露。 完整性(integrity) 保护数据在未授权或者突发事件中不被修改或破坏的能力。 可用性(availability) 如果个人或程序需要数据时他们可以访问网页、数据或服务。 不可否认性(availability) 限制合法交易被拒绝的能力。关键之一：个性化签名。;8.3 威胁和攻击的类???;非技术型攻击: 社会型攻击 多数网络的致命弱点在于其应用人群。诱惑人们提供信息或者进行看似无害的活动即所谓的社会型攻击。 两类社会型攻击： 基于人的社会型攻击，依靠沟通的传统方法(面谈或通过电话) 基于计算机的社会型攻击，用很多计谋诱惑用户提供敏感信息，如发送邮件。;对付社会型攻击应采用多种方法相结合的手段： 教育和培训 策略和程序 入侵检测;技术型攻击 安全弱点和漏洞 (CVEs) 弱点：可以被黑客直接利用以获得系统访问或网络权限的软件缺陷； 漏洞：可以被黑客利用获得信息或者作为进入系统和网络跳板的软件缺陷。;分布式拒绝服务攻击 (DDoS) 在拒绝服务式攻击中，攻击者为了使目标网站资源超负荷，利用特殊软件向目标计算机发送大量数据包进行攻击。 攻击者获得非法的准入权限进入尽可能多的网上计算机，实施分布式拒绝服务攻击。一旦攻击者进入多台计算机，就在计算机上加载特殊的DDoS软件。DDoS软件安装的计算机叫做傀儡。如下图所示。 ;分布式拒绝服务攻击中的傀儡应用;恶意代码：病毒、蠕虫和特洛伊木马 很多因素导致总数不断上升的恶意代码事件: 数据与可执行指令的混合 日益同质化的计算环境 空前的可连接性 规模更大的基础薄弱用户群体 日益增加的攻击速度和攻击量 发现漏洞与实施攻击，入侵这个漏洞的时间间隔缩短了 远程控制Bot网络增加 电子商务成为最经常被攻击的目标行业 针对网络应用技术的攻击在增加 ;病毒 是一份将其自身植入一台宿主—包括操作系统，进行繁殖的代码。不能独立运行，需要其宿主程序被运行从而激活它。 蠕虫 是一段能独立运行、为了维持自身存在会消耗主机资源，并且能复制一个自身的完全工作版本到另一台机器上的程序。 宏病毒和宏蠕虫 当包含宏的应用对象(如表单、word文档、电子邮件信息等)被打开，或某特殊操作被执行(如文件被保存)，宏病毒或宏蠕虫通常就开始执行。 特洛伊木马;8.4 电子商务安全管理;安全风险管理 识别关键计算机、网络以及信息资产的系统化过程，评估对于这些资产的风险和威胁，以及切实降低安全风险和威胁，叫做安全风险管理。 安全风险管理包括三个步骤: 定义资产 风险评估 实施;8.5 电子商务通信安全;生物特征识别系统 如指纹扫描器、虹膜扫描器、面部特征扫描系统，以及声音识别系统。通过一些身体特征实现对人的识别。生物特征识别系统能通过搜索生物特征数据库，从众多登录用户中识别出一个??；或者系统能够通过匹配一个人的生理特征与以前存储的数据，验证一