电子商务——第六章.pptVIP

 南京信息工程大学 引子 家住（宁夏）中卫市沙坡头区的14岁辍学少年拜某，利用电脑软件盗窃他人网上银行账号，并窃取他人存款。2008年9月10日，拜某被中卫市公安局沙坡头区分局民警抓获。 今年7月26日，中卫市沙坡头区一居民的网上银行账号被盗，卡上存款4800元被盗取.经过艰苦细致的工作，办案民警发现拜某有重大作案嫌疑。 在充分的证据面前，拜某交代：今年7月26日，他利用电脑软件盗取 沙坡头区一被害人的网上银行账号及密码，盗窃存款4800元。拜某同时供述：今年8月，他曾盗取一被害人的网上银行账号，盗窃Q币6000元。另外，拜某还伙同他人在银川某网吧盗取一被害人的网上银行账号，窃取他人现金1.2万元，全部用于网上交易。 因拜某年仅14岁，警方对其进行了批评教育，并责成其家长对其予以训诫和监管。 第6章 电子商务系统的安全 6.1 电子商务系统安全的概述 6.2 电子商务系统的安全需求 6.3 电子商务系统安全的理论和技术 6.4 电子商务系统安全的应用和协议 6.1 电子商务系统安全的概述 1、安全漏洞 即使使用者在合理配置了产品的条件下，由于产品自身存在的缺陷，产品的运行可能被改变以产生非设计者预期的后果，并可最终导致安全性被破坏的问题，包括使用者系统被非法侵占、数据被非法访问并泄露，或系统拒绝服务等。我们将这些缺陷称为安全漏洞。 6.1 电子商务系统安全的概述 2、病毒感染 “Nimaya（熊猫烧香）”病毒事件处理 Nimaya（熊猫烧香）病毒在2007年初出现流行趋势，该病毒具有感染、传播、网络更新、发起分布式拒绝服务攻击（DDoS）等功能。“熊猫烧香”的传播方式同时具备病毒和蠕虫的特性，危害较大。 处理反google病毒 2007年8月出现一种反google的病毒，感染该病毒的用户在打开G或者G时，会看到提示： “Google退出中国，请用百度进行搜索”。这是由于被感 染主机的hosts文件被恶意修改，导致用户对google网站的访问被引向含有大量恶意代码的恶意服务器，该主机对应域名为591。 6.1 电子商务系统安全的概述 3、黑客攻击 黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。 6.1 电子商务系统安全的概述 （1）分布式拒绝服务攻击 拒绝服务攻击（DoS）的有很多种，最基本的 DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 （2）僵尸网络 僵尸网络（BotNet），是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 6.1 电子商务系统安全的概述 4、网络仿冒 2004年12月8日，中国银行发现，有一网站为，企图盗取银行账号和密码。同样的事情也发生在中国工商银行身上。欺诈网站以 为网址，而真正的工行网站网址为 WWW.ICBC.COM.CN，“1”和“I”一字之差。 6.1 电子商务系统安全的概述 从安全问题中我们可以看出，它不是个别现象，只要有网络的存在，安全问题就不容忽视。它不仅影响了网络业务的正常运转，扰乱了网络秩序，还会造成很多直接或者间接的经济损失。为了尽可能避免安全损失，刨根究底，首先要了解造成这些问题的间接的经济损失。为了尽可能 避免安全损失，刨根究底，首先要了解造成这些问题的症结所在。概括起来有两个方面：先天原因和后天原因。后天原因里又可细分为管理、人和技术三个方面。 6.1 电子商务系统安全的概述 电子商务系统安全包括系统的硬件安全、软件安全、运行安全、电子商务安全立法。 硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。 软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输 系统安全策略的要求。 6.1 电子商务系统安全的概述 运行安全是指保护系统能连续和正常地运行。 电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。 6.1 电子商务系统安全的概述 综上所述，电子商务安全是一个复杂的系统问题。电子商务安全立法与电子商务应用的环境、人员素质、社会有关，基本上不属于技术