9第九章电子商务安全0汇编.pptx

第九章 电子商务安全 主要内容 电子商务过程中主要安全问题 社会工程学攻击 分布式拒绝服务攻击（DDOS） 钓鱼网站 恶意代码（malware） 入侵监测技术 防火墙技术 认证技术 引导案例 146页 钓鱼网站 第一节 电子商务安全概述 一、电子商务安全的定义 从广义上讲包括 电子商务系统的硬件安全 电子商务系统软件安全 操作系统安全、数据库安全、网络软件安全、应用软件安全 电子商务系统运行安全 电子商务安全立法 一、电子商务安全的定义 从狭义上讲 指电子商务信息的安全 信息安全包括 信息的存储安全 信息的传输安全 A 厂商向B用户发了一个电子同，大意是： 同意以低于市场价格10%的价格向B用户提供10吨的产品，并同意在货款付清一半时于两天内交货。B用户也以电子合同的方式同意了这次交易 你认为这个电子合同应做到哪些才能保证安全可靠的进行？ 二、信息安全的基本特征 A 厂商向B用户发了一个电子同，大意是： 同意以低于市场价格10%价格向B用户提供10吨的产品，并同意在货款付清一半时于两天内交货 B用户也以电子合同的方式同意了这次交易 二、信息安全的基本特征 内容不被他人窃取 内容不丢失、不缺损、不被篡改 时间、地点有效 内容不能否认 身份可认证 电子商务的实现存在着多种多样的不安全因素的威胁，为了顺利开展商务活动，有必要采用各种安全技术来保证电子商务 二、信息安全的基本特征 三、电子商务的安全管理策略 安全管理策略 物理安全策略 网络安全策略 灾难恢复策略 (一)物理安全策略 1．自然灾害安全防范策略 自然灾害安全防范内容： 防火、防水、防雷击 具体防范措施: 采取相应的隔离措施 制订全方位、安全灵活的防雷措施 (一)物理安全策略 2．人为风险防范策略 人为风险包括： 人为的操作错误；设备防盗；计算机犯罪问题 具体防范措施： 建立和健全安全制度，加强和培育安全意识 建立较为完善的防盗系统，加强内部管理 通过法律途径解决算机犯罪，加强自身安全防范 (一)物理安全策略 3．硬件防护策略 硬件维护包括： 设备的电源保护、防静电、抑制电磁泄露与电磁干扰 具体措施： 增加设备信息保护装置 除了日常维护以外，还需要定期对设备进行检修 (二)网络安全策略 技术策略 管理策略 网络安全策略 1．技术策略 具体措施 (1)安装使用网络安全检测设备和相关软件 (2)加强网络访问控制 (3)采用防火墙技术 (4)数据加密 (5)引入鉴别机制 2．管理策略 具体措施 (1)加强电子商务网络系统的日常管理和维护 (2)建立严格的保密制度 (3)加强对管理人员的监督和培训，落实工作责任制 (4)建立跟踪、审计和稽核制度 (5)完善病毒防范制度 (6)建立健全相关法律法规制度 (三)灾难恢复策略 灾难 意外的自然灾害以及黑客攻击等原因造成数据库受到破坏 灾难恢复的两环节 备份和恢复 灾难备份工作的要点 确定备份方案、建立数据恢复中心、建立完善的备份制度 数据恢复步骤 评估数据损失情况、确定数据恢复方案、恢复数据三个步骤 第二节 电子商务的主要安全威胁 电子商务面临的安全攻击可以分为两种类型 非技术型攻击 指攻击者利用欺骗或是其他诱惑手段使得被攻击者透漏敏感信息。 非技术型攻击要体现在社会学工程攻击 技术型攻击 指利用软件和系统知识展开攻击 常见的恶意代码(malware)就是典型的技术型攻击手段 通常情况下，安全攻击是技术型攻击和非技术型攻击的结合体 例如，入侵者可能利用软件发送即时通信信息，该信息会引导浏览者下载恶意软件。当未设防的浏览者下载并安装了恶意软件后，攻击者就可以控制终端并展开攻击。 一、社会工程学攻击 高德内(Garmer)咨询公司信息安全与风险研究主任理查·摩古尔(Rich Mogull)曾在2006 年提出： “社会工程学是未来1 0年最大的安全风险，许多破坏力最大的行为是由于社会工程学而不是黑客或破解行为造成的。” 几种社会工程学攻击伎俩 1、??熟人好说话? 这是社会工程学攻击者中使用最为广泛的方法 原理 黑客首先通过各种手段成为你经常接触到的熟人，然后逐渐被你公司的其他同事认可，他们时常造访你的公司，并最终赢得信赖，可以在公司中获得很多权限来实施计划，例如访问那些本不应该允许的区域或者下班后还能进入办公室等。 几种社会工程学攻击伎俩 2、??伪造相似的信息背景? 黑客从各种社交网络针对性获得相关公司个人信息后，进入公司，他们看起来很熟悉组织内部，拥有一些未公开的信息，很容易把他们当做自己人 所以再有陌生人声称对某位同事非常熟悉，可以让该员工在指定区域接待。 几种社会工程学攻击伎俩 3、??伪装成新人打入内部? 黑客专门去公司应聘，成为公司员工。 所以新员工的环境也应有所限制 即使如此，优秀的黑客都通晓这