电子商务教程--第4章 电子商务安全.pptVIP

J/management/online 电子商务交易过程中的三个薄弱环节及其受攻击的一般类型示意图 （一）恶意代码 恶意代码（malicious code , malware ）包括各种威胁，如病毒、蠕虫、特洛伊木马以及“恶意程序”。 病毒 蠕虫 特洛伊木马 宏病毒 脚本病毒 LoveYou 病毒 恶意插件 (二) 黑客行为与网络破坏行为 黑客（hacker）是企图在未经授权的情况下进入计算机系统的人。在大众传媒里，黑客和骇客两个词是通用的，但是在黑客世界中，骇客一词通常指有犯罪企图的黑客。 网络破坏行为（cybervandalism）——故意破坏网站、损害企业名誉甚至摧毁网站的行为。 黑客和骇客通常是利用Intemet作为开放系统便于使用的特点，通过寻找 Web 网站和计算机系统的安全程序上的薄弱环节，来进行未经授权的访问。 黑客可分为：①白帽黑客（white hats）帮助组织寻找安全隐患的“好”黑客。②黑帽黑客（black hats）带有破坏目的的黑客。③灰帽黑客（grey hats）认为自己通过入侵发现系统缺陷是在追求更大的利益的黑客。 （三） 信用卡诈骗 什么是Intemet上最令人担心的现象之一呢？——是信用卡数据的盗窃。许多用户由于担心信用卡信息可能被盗，而不敢进行网上购物。而有意思的是，这种令人担心的事件似乎没有广泛地发生。信用卡信息被盗事件的发生率要比用户所想像的低。如根据ActivMedia Research的研究报告，有58％的消费者担心网上信用卡信息被盗，而实际只有2％的消费者曾经碰到过这类事件。消费者在进行电子商务交易时实际所发生的信用卡诈骗事件是否比在传统商务中多呢？目前尚不清楚。 课堂讨论 （四）.电子欺骗 电子欺骗（spoof）就是用虚假的电子邮件地址来虚构自己的身份或者伪装成其他人。企图隐藏自己真实身份的黑客通常采用电子欺骗，即用虚假的电子邮件地址的方法来虚构自己的身份或者伪装成其他人。电子欺骗还包括那种把网站伪装成指定目的地址，来把网络连接重新定向到非指定的其它地址。这种用来重新定向到某一网站的连接设计可以通过重新设置，把用户带到一个完全不相关的网站，而黑客则可能从中获益。 （五）拒绝服务攻击 拒绝服务攻击（denial or service attack , Dos）向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。 分布式拒绝服务攻击（distributed denial of service attack , DDoS）使用大量的计算机从众多的发送节点来攻击目标网络。 （六）.网络窃听 网络窃听（sniffcr）是窃听程序的一种，可以监视通过网络传递的信息。当合法使用时，网络窃听可以帮助企业发现网络上可能有问题的节点，但当用于非法目的时，这些程序则会造成危害，而目很难探测到。黑客利用网络窃听，可以从网络上任何地方盗取企业的专有信息，包括电子邮件信息、企业文件以及机密报告。 （七）内部人行为（Insider Jobs ) 我们往往认为，企业的安全威胁来自于组织外部。而实际上，对于一些企业来说最大的财务威胁并不是来自外部，而是来自于内部的盗用。对于电子商务网站也是如此：部分造成严重后果的服务中断、网站破坏以及消费者信用卡数据和个人信息的泄漏，都是来自于内部人员所为，即那些曾经被信任的雇员。这些雇员有权可以获得某些信息，在内部安全措施不完善的情况下，他们经常可以在企业的系统里“闲逛”而不留一点痕迹。 这只是在电子商务交易中可能发生的安全问题的一些例子。其他类型的网上交易（如需要电子支付的交易）还面临着别的安全问题。下面列出了电子商务中其它一些主要的安全问题： 认证 授权 审查 机密或隐私 完整性 可获取性 防抵赖 终上所述，Internet上的电子商务交易过程中，核心的问题就是交易的安全性。电子商务的安全要素主要包括以下七个方面： 1.有效性 2.信息的保密性 3.信息的完整性 4.身份的确定性 5.不可否认性 6.不可修改性 7.审查能力 对一个电子商务网站来说，抵御各种安全威胁的第一道防线就是利用一整套的技术工具来使得外部人员难于入侵和破坏网站。下图列出了可以帮助网站实现网络安全的主要工具，下面我们围绕这些工具详细介绍电子商务安全技术的解决方案. 加密 防火墙 安全工具 网络安全协议 访问控制 虚拟专用网 身份验证 隧道技术 代理-代理系统 入侵检验 安全 管理 一、保护Internet 的通信——加密技术 因为电子商务交易必须通过公共的Internet进行，交易数据包在传递过程中要经过数千个路由器和服务器，所以安全专家认为，最大的安全威胁就发生在Internet 的通信子网上。这与在通信双方间建立专用通信线路的专有网络有很大区别。保护 Internet 通信安全的工具有很多，其