第2节 电子商务安全知识-李文媛.ppt

归结起来，在电子商务发展的过程中，主要有以下几种常见的威胁： 1. 黑客攻击—最大的威胁 网络攻击 网络侦探 2. 搭线窃听 将导线搭到无人值守的网络传输线路上进行监听，通过信号的处理和正确的协议分析可以掌握通信的全部内容。 3. 伪装 入侵者通过窃取密码等手段伪装成合法用户。 嗅探： 口令猜测： 从废弃物中寻找： 社交手段： 4. 计算机病毒 第一阶段：捣乱 第二阶段：恶意倾向 第三阶段：以不正当获取利益为目的 5. 信息泄密 6. 信息丢失、篡改、销毁 7. 软件漏洞 2.6.2 电子商务安全技术 2. 交易安全 数字时间戳产生的基本过程： 用户首先将需要加时间戳的文件利用报文摘要技术生成摘要信息，然后将该摘要信息发送到DTS机构。 DTS机构收到文件摘要后，在其中加入收到的日期和时间信息，并对该文件进行加密，然后发还用户。 * 2.6.2 电子商务安全技术 2. 交易安全 (3) 交易协议层 ① 安全套接层协议(SSL)：位于传输层和应用层之间，由SSL记录协议、SSL握手协议、修改加密约定协议和报警协议组成。 ② 安全电子交易协议(SET)：由VISA和Master Card制定的标准。SET用于划分与界定电子商务活动中的消费者、网上商家、银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。 * 2.6.2 电子商务安全技术 2. 交易安全 (3) 交易协议层 ③ 公钥基础设施(PKI)：PKI是实现网络及其应用安全的一种体系，它能够为所有基于网络的应用透明地提供加密、数字签名和数字证书等密码服务所需要的密钥和证书管理，能够有效地解决公开密钥的发布、收发双方的身份认证、不可抵赖、完整性和有效性等安全问题。 * 2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析 * 2.7.1 小张的“包年卡” 2.7.2 黑客轻闯金融网络 2.7.3 黑客窃取用户账号 2.7.4 木马 2.7.5 网上拍卖 * 本章主要介绍了电子商务面临的安全问题、触发安全问题的原因、电子商务安全的构成与需求、电子商务安全的现状、电子商务安全的防治措施及电子商务安全体系结构和安全技术。 * 截获 ---- 中断 ---- 篡改 ---- 伪造 ---- 2.3.2 电子商务安全威胁 Availability Availability 可用性 Confidentiality Confidentiality 机密性 Integrity Integrity 完整性 Authenticity Authenticity 真实性 ⑴ 信息通信过程中的威胁 * 存储于计算机系统中的信息，易于受到与通信线路同样的威胁。非法用户在获取系统访问控制权后，浏览存储介质上的保密数据或专利软件，并且对有价值的信息进行统计分析，推断出所有的数据，这样就使信息的保密性、真实性、完整性遭到破坏。 ⑵ 信息存储过程中的威胁 2.3.2 电子商务安全威胁 * 信息系统对信息进行加工的过程中，通常以源码出现，加密保护对处理中的信息不起作用。因此，在这个期间有意攻击和意外操作都极易使系统遭受破坏，造成损失。除此之外，信息系统还会因为计算机硬件的缺陷、软件的脆弱、电磁辐射和客观环境等原因造成损害，威胁计算机信息系统的安全。 ⑶ 信息加工处理中的威胁 2.3.2 电子商务安全威胁 * 2.3.2 电子商务安全威胁 2.3.2 电子商务安全威胁 2.3.2 电子商务安全威胁 构成威胁的因素 ⑶ 环境和灾害因素 (温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等 ) 计算机硬件系统的故障 软件组件（漏洞） 网络和通信协议 ⑵ 人为因素 无意（操作失误） 有意（黑客、犯罪、伪装） ⑴系统自身的脆弱 * 2.3.2 电子商务安全威胁 2.1 电子商务安全问题 2.2 触发电子商务安全问题的原因 2.3 电子商务安全的构成与需求 2.4 电子商务安全现状 2.5 电子商务安全防治措施 2.6 电子商务安全体系与安全技术 2.7 案例分析 * 几个不稳定因素 JAVA： 电子邮件病毒： 微软 盖茨 自由软件：结果公开、共查漏洞 CGI：公共网关接口，如网页留言。 ICP：网络内容服务器 网管 * 2.4.1 法律法规建设 1. 计算机犯罪立法 2. 有关计算机安全的法律法规 3. 有关保护个人隐私的法律法规 4. 有关网络知识产权保护的法律法规 5. 有关电子合同的法律法规 * 2.4.2 理论研究和技术开发 保密性领域—DES加密