第五章电子以商务安全基础.ppt

第7讲　电子商务安全基础 网络战争实例 1990年海湾战争，被称为“世界上首次全面信息战”，充分显示了现代高技术条件下“制信息权”的关键作用。美军通过向带病毒芯片的打印机设备发送指令，致使伊拉克军队系统瘫痪，轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息技术,仅以伤亡百余人的代价取得了歼敌十多万的成果. ? 在科索沃战争中，美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候，天空上其实什么也没有。通过这种方法，美军成功迷惑了南联盟，使南联盟浪费了大量的人力物力资源。 ? 同样的方法还应用到南联盟首领米洛舍维奇的头上，美军雇佣黑客闯入瑞士银行系统，调查米氏的存款情况并加以删除，从心理上给予米氏以沉重的打击。 中美网络之战 兰德公司于1999年6月份向美国政府提出的建议报告： 美国的对华战略应该分三步走： 第一步是西化、分化中国，使中国的意识形态西方化，从而失去与美国对抗的可能性； 第二步是在第一步失效或成效不大时，对中国进行全面的遏制，并形成对中国战略上的合围； 第三步就是在前两招都不能得逞时，不惜与中国一战，当然作战的最好形式不是美国的直接参战，而是支持中国内部谋求独立的地区或与中国有重大利益冲突的周边国家。 Internet上的安全隐患 开放性 传输协议TCP/IP.在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑 操作系统 信息电子化 1.黑客攻击 2000年2月份黑客攻击的浪潮，是互连网问世以来最为 严重的黑客事件。 – 2月7日10时15分，汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点之外的所有服务器，雅虎大部分网络服务陷入瘫痪。 – 第二天，世界最著名的网络拍卖行电子湾（eBay）也因神秘客袭击而瘫痪。– 美国有线新闻网CNN的网站随后也因遭神秘客的袭击而瘫痪近两个小时；顶级购物网站亚马逊也被迫关闭一个多小时。– 在此之后又有一些著名网站被袭击：ZDnet，Etrade，Excite，Datek……到2月17日为止，黑客攻击个案已增至17宗，而且可能有更多网站受袭而未被察觉 – 引起美国道穷斯股票指数下降了200多点。 – 成长中的高科技股纳斯达克股票也一度下跌了80个点。 1.黑客攻击 利用UNIX提供的缺省帐户进行攻击 截取口令 寻找系统漏洞 偷取特权 清理磁盘 防范措施：选用安全的口令、模拟攻击等 2.病毒攻击 99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。 ? 据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据，“爱虫”大爆发两天之后，全球约有4500万台电脑被感染，造成的损失已经达到26亿美元。今后几天里，“爱虫”病毒所造成的损失还将以每天10亿美元到15亿美元的速度增加。 ? 1995年计算机安全杂志在全球抽样调查了300家典型的公司，69%的公司报告上年度遇到过计算机网络安全问题，59%的公司报告，上述安全问题造成的损超过1万美元。 2.病毒攻击 删除\修改文件，程序运行出错、死机，破坏硬件 感染病毒的常见方式 下载软件 邮件附件 交换磁盘 局域网 3、拒绝服务攻击（Dos） 拒绝服务攻击（Dos）是一种破坏性攻击，它是指一个用户采用某种手段故意占用大量网络资源，使系统没有剩余资源为其他用户提供服务的攻击 P102例子 UPD洪水、Smurf攻击、电子邮件炸弹 4、网络内部的安全威胁 国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。 误操作、口令失密、故意破坏 信息保障 美国人提出的概念: Information Assurance 保护（Protect） 检测（Detect） 反应（React） 恢复（Restore） 二 电子商务的安全威胁 1.对客户机的安全威胁 （1）活动内容 特洛伊木马:破坏保密性与完整性 解决办法： 识别、管理、显示或删除Cookie,如： Cookie Crusher或Cookie Pal （2）Java、Java小应用程序和JavaScript Java小应用程序：破坏保密性与完整性 解决办法：第三方数字签名、Java运行程序安全区 Java应用程序：可以在计算机上完成任何操作（包括灾难性的） 解决办法：Java运行程序安全区 JavaScript：破坏保密性与完整性 不受运行程序安全区、不会自动运行 解决办法：不要随便启动陌生程序 （3）ActiveX控件 能够访问包括操作系统代码在内的所有系统资源:格式化磁盘、发电子邮件、关闭计算机. 破坏保密性与完整性 不能控制