第4章 网上安全.docVIP

第4章 电子商务安全 案例导入： qq、游戏账号被盗 银行卡取款机前被盗密码不正确拨打电话 电子邮件账号被盗 一、网络安全面临的挑战 1、黑客：hacker 一词源于美国麻省理工学院，当时一个学生组织的一些成员音不满当局对某一个电脑系统的使用所采取的限制措施，而开始自己“闲逛”闯入该系统。 黑客：主要指对电脑系统的非法入侵者。由于操作系统存在漏洞，进行网络攻击访问和破坏系统数据。利用电脑进行远程登录，窃取合法用户密码，冒充合法用户，修改、伪造、添加、套取数据信息。黑客大都是对计算机系统比较熟悉的电脑或网络高手。60-70年代，黑客是一种荣耀，代表有超人的智慧，现在慢慢变成了贬义词——电子窃贼。黑客对网络信息威胁；对网络设备威胁 黑客案例： 2008年10月份，清华大学、北京大学主页被修改案例，冒充两校校长发表抨击高校文章 1998男春，美国一名黑客利用在新闻组中查到的普通技术手段，轻而易举从多个商业站点中窃取了86326个信用卡账号和密码，标价26万美元出售，特工找上门来，失窃站点主管还不知道。 2000.12俄罗斯一名黑客从C网站上窃取了55000张信用卡，和网站谈判收赎金失败后，将25000张号码公布网上 现在各国加强对黑客的防范，有时言论也受到控制，在论坛发帖子也受到严密监管。2007.7.19济南大雨，论坛帖子案件 2、电子邮件炸弹 指向目标用户的信箱发送大量的密集的信件。最终由于过多地邮件塞满信箱，导致无法接收正常邮件，严重的会导致接受正常邮件，严重的会导致服务器关闭，网络瘫痪。 危害：消耗网络资源，存储容量有限 3、计算机病毒：对我们的影响最直接、感受最深刻 单机病毒：光盘、软盘、优盘传播 局域网内病毒：局域网内 电脑文件共享——病毒互相感染传播 网络传播：电子邮件；浏览网页；文件下载 常见病毒：1999.4.26 CIH病毒 格式化硬盘数据丢失；蠕虫病毒；熊猫烧香；灰鸽子；盗号木马；恶意代码（打开网页自动跳转其他网页） 危害：电脑运行缓慢，文件打不开，影响效率；严重者电脑瘫痪，数据丢失，硬盘损坏 防范：杀毒软件； 4、网络诈骗 亲身感受300元钱；同学火车站遭遇；现实中企业造假证明；假证件；朱镕基上海会计学院题词： 二、电子商务安全面临的问题 1、信息风险：指进行网上交易时，因传输的信息失真、被非法窃取、篡改或丢失而导致的网上交易不必要的损失。 包括：篡改；截获和窃取；信息的假冒；信息中断 2、交易信用风险 来自买方的风险：个人——恶意透支信用卡；伪造信用卡骗取货物 企业——拖延货款 来自卖方的风险：不能按时按质量交货 买卖双方都存在抵赖现象： 3、管理风险 交易流程管理风险：中介交易，中介监督监管不到位 人员管理风险：内部人员泄密，购买交易人员获取机密文件 技术管理风险：有些系统不需要口令，登录后利用其他技术把自己升格为系统管理员就可以 4、法律风险 三、电子商务安全策略 1、技术上加强安全管理 网络安全技术：身份识别；病毒防范；防火墙技术 交易安全技术：安全认证协议（SET）；安全认证手段（数字签名、数字证书）；基本加密算法（对称） 2、加强监管，完善各项管理制度 堡垒最容易从内部攻破，有时我们过于防范病毒和攻击，忽视内部管理 ①人员管理 ②保密制度 ③系统维护制度：日志，自动备份 ④安全教育 3、法律法规政策保障 四、电子商务安全技术 1、防火墙技术 （1）定义：防火墙是一种由计算机软件和硬件组成的系统，用来在两个网络之间（内网与外网）实现访问控制策略，这个控制策略是由使用防火墙的单位自己制定的。 设置防火墙的目的有两个：一个是阻止，一个是允许 阻止：阻止某种信息从外网进入 允许：允许某种类型的信息通过防火墙 （2）功能 ①保护信息的完整性和一致性：通过访问权限的控制（只读、读写）来达到 ②保护网络的有效性：合法授权用户，快速访问网络资源 ③保护数据的机密性：对数据加密 （3）优点 ①防止易受攻击的服务：阻止过滤不安全因素 ②提供集中化的安全管理：所有进出内部网的信息都需要通过“防火墙”关卡 ③增强保密性，防止泄密 ④对网络的信息访问能够进行记录和审计：有记录可查 （4）缺点 ①无法防范通过防火墙以外的其他途径的攻击：不走防火墙，例如内部有有modem上网造成漏洞 ②不能防范内部变节者或口令泄露而遭受到的攻击 ③不能防止感染病毒的软件或文件：无法防病毒 ④限制一些服务，一些网络无法访问 （5）防火墙技术 网络防火墙 应用级网关 电路级网关 规则检查防火墙 （6）防火墙的体系结构 多宿主机体系结构 被屏蔽主机体系结构 被屏蔽子网体系结构 2、数据加密技术 （1）基本概念 加密技术：是一种主动的信息安全防范措施，其原理是利用一定的加密算法（加密的规则），将明文（原文）转换成无意义