c5电子商务安全2014.ppt

案例:“电子珍珠港”事件 对于eBay公司来说，这次袭击事件无疑是雪上加霜。1999年6月，eBay网站因遭黑客袭击而瘫痪了整整22个小时，从而使公司的股值在五天的时间内损失了26％! 去年11月，该网站在三天的时间内因遭黑客袭击再次瘫痪4个多小时。此后，公司被迫投资1 800万美元用于改善网络的安全运作。即便如此，eBay网站在此次袭击中仍未能逃脱瘫痪的墨运。 结局及启示 袭击事件惊动美国司法部和联邦调查局。 网络袭击事件立即引起了美国的安全专家和 互联网公司的高度警觉，因为这股网络袭击浪潮看起来没有停止的意思。 专门跟踪全世界网络运行情况的美国硅谷的Keynote系统公司的公务服务部总管唐·托 德感叹地说：“雅虎是互联网世界最可靠的网站之一，因此，这次袭击事件给所有依靠互联网 开展商务的人都提了一个醒：就连最可靠的网站也可能遭受袭击、中断服务。依我看，这次袭击事件还给我们这么一个警示：不管你事先准备得多么完善，不管你有多少套应急方案，不管你系统设计得多么完美，都仍有可能因遭到攻击而出错。” 不过，到目前为止，美国司法部和联邦调查局的代表们都承认，他们目前还没有掌握到任何有关这次袭击事件的线索，不知道谁是这些袭击事件的幕后指使，有多少台计算机卷入这些袭击事件，袭击的原因和袭击的地点也不知道。就连美国司法部长雷诺也在新闻发布会上承认：“我们不清楚这些袭击事件的动机，但美国政府有关各部将与受害公司密切合作，想方设法揪出幕后的指使。”美国联邦调查局也扬言，如能揪出幕后黑手的话，那么他或者他们将被判五年至十年的监禁，并课以2 5万美元或者受害者损失的双倍罚款。 “雅虎”公司的发言人也坦言：“我们以前也碰到过类似的袭击事件，但由于袭击的规模要小得多，所以公司的技术人员只需稍稍修改一下数据进出路径，就能避免网络瘫痪，但这次袭击却是一次非常非常严重的网络袭击：袭击者来自如此之多的地点，时间如此地协调一致，以至于打了雅虎公司个措手不及，所以我们当时确实无法阻止袭击。不幸的是，我们还无法保证将来就再也不会发生类似的袭击事件。我们可以给自己的网站安装邮件过滤器，但这些黑客却能想方设法绕过过滤器。所以谁也无法保证100％解决这遭难题。这不能不让人感到遗憾!” 安全案例2 2013年月28日，360发布重大安全警报称，“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标，近期全国连续出现多起各大银行客户被骗案例。 记者获悉，利用“授权支付”欺诈是360在2013年年初截获的新型高危骗术。骗子通过钓鱼链接、交易失败提示、客服聊天等组合，诱骗受害者进行“网银授权支付”，授权骗子用另一个网银账户对自己账户进行资金操作，短短几分钟内就能将受害者账户中的资金大量转出，受害者损失高达数千甚至数万元。 国外 美国90％的IT企业表示对黑客攻击准备不足(2000/03/07，日经BP社) 美国的IT企业团体ITAA(1nformation Technology Association of America)，就最近频繁发生的针对著名网站点的集中攻击(DoS：denial of service)，听取了6000人意见。此次调查以该团体的机关杂志的读者为对象，使用因特网进行，被调查者43％是IT技术人员，24％是管理人员。结果如下： 被调查者的90％感到，电子商务服务对类似DoS攻击还没有充分的防止对策。另外，其 中55％认为该问题已明显成为电子商务发展中的危机。59％的被调查者支持这样的观点，即 2月份的DoS攻击在美国的电子商务发展中，已成为一个转折点。65％表示今后上网进行交 易时要谨慎留意。 美国金融时报报道，世界上平均每20秒就发生一起黑客入侵事件 2000年1月，黑客从CD Universe网站窃取了35万个信用卡号码，这是向公众报道的最大规模的信用卡失窃案件。 电子商务安全的体系结构与特点 参见书P238“表8-1 安全的电子商务体系结构” 参见P239de 8.1.3中的电子商务安全的 IPv6安全性 IPv4的局限性 是我们目前正在使用的IP地址 地址危机 可用地址2^32(约42亿) 网络安全 设计Tcp/IP时候没有考虑安全性 IPv6的特点 IPSec协议的内容 安全套接层(SSL)协议 SSL提供的服务 安全套接层(SSL)协议 安全套接层(SSL)协议：允许客户/服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备了信息保密性、信息完整性、相互认证。 使用通讯双方的客户证书以及CA根证书， Web服务器必须向具有资质的认证中心申请证书才能支持SSL协议。 安全套接层(SSL)协议 SSL的实现 在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类型和