项目一任务一电子商务安全初识答辩.ppt

电子商务安全保障 网络攻击入侵30国百余家银行 数以亿计金钱流失 26%电商网站存在高危漏洞 或致银行卡密码泄露 铁通被曝存系统漏洞 可致用户信息和商业合同泄露 中联通被曝漏洞 或致用户通话记录等信息泄露 教学目的： 1、了解目前电子商务存在的安全问题及保障电子商务安全的基本技术和管理方法。 2、树立良好的安全意识。 3、通过对电子商务安全的学习进一步理解电子商务的运行机制。 项目一：认识电子商务安全 项目二：Windows系统安全加固 Windows系统安全加固 项目三：系统及网络安全防护 项目四：防火墙技术应用 项目五：加密与认证 项目六：Web安全配置 项目七：数据安全防护 请同学们在百度中搜索360：2013年中国电商行业网站安全检测报告和2014中国网络空间安全发展分析报告、2014年中国网站安全报告，总结电子商务在发展中面临的安全问题。 任务一 电子商务安全初识 一、电子商务存在的安全隐患认知 计算机系统的安全隐患 电子商务的安全隐患 硬件系统安全 软件系统安全 数据安全 交易的安全 二、电子商务系统可能遭受的攻击 1.系统穿透 非法身份假冒合法用户接入系统，对文件进行篡改、窃取机密信息、非法使用资源等。 2.违反授权原则 被授权进入系统做某事的用户，在系统中做未经授权的其他事情。 3.植入 在系统穿透或违反授权攻击成功后，入侵者常会在系统中植入一种能力，为其以后攻击系统提供方便。如远程控制程序“B002K” 4.通信监视 在通信过程中从信道进行搭线窃听的拦截方式。 5.通信窜扰 攻击者对通信数据或通信过程进行干扰、对其完整性进行攻击、篡改系统中数据的内容、修改消息次序和时间（延时和重放）、注入伪造信息等。 6.中断 中断是对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作，破坏信息和网络资源。 7.拒绝服务 指合法接入信息、业务或其他资源受阻。 8.否认 一个实体进行了某种通信或交易活动，稍后却否认曾进行过这一活动，不管这种行为是有意还是无意的，一旦出现，再要解决双方的争执就不太容易了。 9.病毒 由于Internet的开放性，病毒在网络上的传播比以前快了许多，而且Internet的出现又促进了病毒制造者间的交流，使新病毒层出不穷，杀伤力也大有提高。 三、电子商务安全威胁产生的原因认知 1、Internet在安全方面的缺陷 （1）Internet的安全漏洞 Internet系统构件 客户端软件 客户端操作系统 客户端局域网 Internet网络 服务端的局域网 服务器上的Web服务器软件 第一，Internet各个环节安全漏洞 第二，外界攻击。分为主动攻击和被动攻击 信息源 信息目的 a) 正常流 b) 中断 (c) 截获 d) 篡改 e) 伪造 第三，局域网服务和相互信任的主机的安全漏洞 用户在使用时允许系统共享文件和数据，虽然方便了管理，但带来了不安全因素。 第四，设备或软件的复杂性带来的安全隐患 设备或软件的配置漏洞容易导致攻击者获得访问权，进而入侵系统。 （2）TCP/IP协议的安全隐患及其严重 A、针对IP的“拒绝服务”攻击 B、IP地址的顺序号预测攻击： 得到服务器的IP地址 将自己插入用户和服务器之间 模仿正确包裹截获用户信息传递，使自己成为受信任合法网络用户 C、TCP协议劫持入侵。 控制一台连接与入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。 劫持目标计算机 用自己IP更换目标机IP，并模仿其顺序号，骗取服务器信任 IP顺序号攻击与ＴＣＰ劫持入侵区别：一个是猜测ＩＰ地址直到正确，一个是强迫网络服务器接受入侵者ＩＰ D、嗅探入侵 攻击者需拥有用户ＩＰ和合法口令，并用该合法用户的信息注册于一分布式网络，进入该网后，嗅探传送的包裹，并试图尽可能多的获取网上资料。 （３）HTTP和Web的不安全性 第一，Http协议中的不安全性。Web服务器上或Internet上某处的非法用户会试图通过Http协议，未经授权地访问Web服务器上的数据，破坏或窃取服务器机密。 第二，Web站点安全隐患。 （1）安全信息被破译。如口令、密钥等。有效保护方法是使用防火墙 （2）非法访问。 第三，交易信息被截获。 第四，软件漏洞被攻击者利用。 （4）E-mail，Telnet及网页的不安全性。 第一，E-ail的不安全性。一是电子邮件在网上传送时可能被人窃取到，而邮件是用ASCⅡ字符写的，其内容能够被读懂。二是冒用别人身份发邮件，使用一个探测程序即可阅读电子邮件。 （4）E-mail，Telnet及网页的不安全性。 第二，入侵Telent对话。 第三，网页作假。 创建一个网