第四章电子商务安全重点解析.ppt

目录 4.1.1 电子商务安全的内涵 4.1.2 电子商务面临的威胁 4.1.3 电子商务安全需求 4.1.4 电子商务安全体系结构 电子商务安全的概念 电子商务安全-计算机系统、通信网络、应用环境等保证电子商务实现的要素不受危害的一个多层次、多方位的动态过程。 广义：网络、环境、人 狭义：信息存储安全；信息传输安全！ 电子商务安全的层次 电子商务安全可分为两个层次: 一是计算机网络的安全 系统实体安全 系统运行安全 系统软件安全 二是电子交易安全 没有计算机网络安全作为基础，电子交易安全无从谈起；没有电子交易安全，即使计算机网络本身很安全，也无法满足电子商务特有的安全需求 电子商务安全的特点 ① 系统性 安全不仅是一个技术问题，也是管理问题 ② 相对性  没有绝对的安全 ③ 有代价性 应考虑到安全的代价和成本问题 ④发展动态性  没有一劳永逸的安全 4.1.2电子商务面临的威胁 1、电子商务面临的系统安全威胁 （1）黑客攻击（hacker，骇客） 利用操作系统和网络的漏洞、缺陷，从网络的外部非法侵入，进行不法行为。 常用的手段：拒绝服务攻击、利用缺省账户、截取口令、IP地址欺骗等。 （2）病毒攻击 （3）系统漏洞 盘点2014安全漏洞事件 【携程信用卡泄露门】 2014年3月22日，中国在线旅游巨头携程公司被爆出“支付漏洞”，用户信用卡信息有可能被黑客读取。一时间人心惶惶，还好携程方面快速响应，承认了这件事，并且改进此事，算是挽救了自己的信誉。 ? 【OpenSSL心脏出血】 2014年4月7日，OpenSSL发布了安全公告，在OpenSSL1.0.1版本中存在严重漏洞。会让很多用户名、密码，包括用户登陆的操作，收发邮件等私密明文信息。全球有240多万服务器受影响，覆盖面甚广，全球很多黑客都行动起来，各种刷数据。不过好在应急也是非常及时，避免了损失的进一步扩大。 盘点2014安全漏洞事件 【Bash破壳（Shellshock）漏洞】 转眼到了下半年，9月25号，继“心脏出血”漏洞之后，安全研究专家又发现了一个危险级别为“毁灭级”的漏洞——Shellshock漏洞。这个漏洞的危害程度比上述的OpenSSL漏洞更加厉害！基本全球的Linux服务器都受到了危害的波及。 ? 【索尼影业被黑】 离我们还不是很遥远的11月27日，索尼公司被黑客攻击内网之后，宣布旗下5部电影遭到了泄密。全球都报道了此次事件，各种花边的消息，各种说法都有。有说朝鲜的，有说内鬼的，有说政治因素的，等等。 盘点2014安全漏洞事件 【12306遭撞库攻击】 12月24日，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型是“用户资料大量泄漏”。据悉，此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。 【 BadUSB 】 一个BADUSB设备可以模仿登录用户的键盘或发出命令，例如exfiltrate文件或安装恶意软件。这样的恶意软件，反过来，可以感染的计算机连接的其他USB设备控制器芯片。该设备还可以欺骗网卡和更改计算机的DNS设置将流量重定向。 电子商务面临的交易安全威胁 （1）信息的截获和窃取 （2）信息篡改 （3）假冒他人身份 （4 ）抵赖行为 安全威胁的类型 电子商务面临的安全威胁 电子商务面临的安全威胁 我国电子商务安全现状 从技术上看：首先是数据传输的速度太慢；第二是没有安全、可靠的结账方式，这严重制约着电子商务的发展；第三是IT技术的发展速度太快，商务模式的形成和人们使用习惯的养成都需要一定的时间，虽然技术不断发展，但社会对技术的认同是有阶段的，这使得用户和经营者都难以消化，难以跟上这种快速发展的步伐；第四是难以及时处理用户的有关问题，开通一个网站，如果一段时间以后用户的反馈多了，网络的速度就会慢下来，这也许是线路本身的问题，但也存在技术处理的问题，目前尚没有解决的良策。第五是在安全保障上，难以防范现在的网络犯罪，特别是黑客的攻击。 我国电子商务安全现状 从管理上看，存在的主要问题有：1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多；2)电子商务网站的经营收益远低于预期，有网络泡沫之嫌；3)缺乏能适应中国国情的市场技巧。现在的电子商务网站动作的市场方式基本上是照搬美国的，在造势上不无奢华，但在收效上却无殷实，不充