Chap08 EC的安全管理.ppt.Convertor.doc

第八章 电子商务安全与实现 矛盾：资源共享与信息安全 Internet 是自由开放的媒体，从信息安全的角度看，这恰恰是它的弊端。正是由于这种开放性，使Internet产生了严重的安全问题。 电子商务通过网络的信息交换实现，因此凡涉及到计算机网络的安全问题无疑对于电子商务都有着重要的意义。 电子商务的安全有其自身的特点。 一、电子商务面临的安全威胁 IT系统存在物理安全（Physical security）和逻辑安全（Logical security ）隐患。表现在： ⑴ 开放性。到现在为止，Internet还没有一个主 控机构，上网者的安全只能靠自己。 Cookie、Java、ActiveX控件、浏览器插件等使客户机面临安全隐患； 黑客的攻击使服务器的安全受到威胁。 ⑵ 传输协议。TCP/IP协议没有采取任何保护 传输内容不被窃取。 1．来自技术方面的风险 ActiveX控件 定义：是一个对象（控件），由页面设计者放在页里来执行特定任务的程序。可由多种语言开发，但只能在 Windows系统上运行。 示例：日历控件及各种游戏 安全威胁：一旦下载，可访问客户机的所有资源。 对服务器的安全威胁：通过CGI（公共网关接口）进入服务器，实现对敏感区域，如数据库、高权限文件存放区、邮件服务器（Mail bomb）、域名服务器的攻击，包括：拒绝服务威胁DoS（Denial-of-service attacks）（充斥性）攻击造成缓存溢出（Buffer overflow）、延迟（Delay）拒绝（Denial）、故意破坏（vandalism）和信息窃取（information theft）。 ⑶ 操作系统。源代码开放的UNIX（Internet底层的OS ）很容易被发现漏洞，带来安全问题。 ⑷ 电子信息的弱点。电子信息很难鉴别其是否正确与完整，通过Internet传递很难确认信息发出者的身份，信息是否被正确无误地传递给接收方，是否未被第三方截获。 ⑸ 技术本身的缺陷。IT的发展，使病毒防范、加密、防火墙等技术始终存在被新技术攻击的可能性。 1．来自技术方面的风险（续） 计算机网络的潜在安全隐患 　　未进行操作系统相关安全配置 不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。 　　未进行CGI程序代码审计 如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。 　　拒绝服务（DoS，Denial of Service）攻击 　　随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。 　　安全产品使用不当 　　虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。 　　缺少严格的网络安全管理制度 网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 2. 来自社会方面的风险 ⑴ 商业信用。来自买卖双方的信用风险。 ⑵ 社会信用。互联网的特性和法律的空白影响了网络环境下的市场诚信行为。 B、T 和CraftS在创立之初都曾承诺永不泄露用户的信息。但它们在倒闭时均出卖了包括用户住址、联系电话、信用卡号码、消费习惯等注册用户的资料。 　 F在收购B的部分资产时提出：要获得B的35万用户资料。 2.来自社会方面的风险（续） ⑶ 司法信用。保护电子商务活动的法律体系的不健全，使开展电子商务要承担一定的法律风险。 网络范围的经济纠纷。 知识产权（域名抢注、域名变异、域名窃取）。 “虚拟空间”的罪行，难发现、难捕捉、难取证、难定罪