第1-2节-电子商务支付与安全讲义教材.ppt

凯文 米特尼克 “头号电脑黑客” Kevin Mitnick 1964年出生。3岁父母离异，致性格内向、沉默寡言。4岁玩游戏达到专家水平。 13岁喜欢上无线电活动，开始与世界各地爱好者联络。编写的电脑程序简洁实用、倾倒教师。 15岁闯入“北美空中防务指挥系统”主机，翻阅了美国所有的核弹头资料、令大人不可置信。 不久破译了美国“太平洋电话公司”某地的客户密码，随意更改用户的电话号码。并与中央联邦调查局的特工恶作剧。 被电脑信息跟踪机发现第一次被逮捕 凯文 米特尼克 出狱后，又连续非法修改多家公司电脑的财务帐单。1988年再次入狱，被判一年徒刑。 1993年（29岁）逃脱联邦调查局圈套。 1994年向圣地亚哥超级计算机中心发动攻击，该中心安全专家下村勉决心将其捉拿归案。 期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价4亿美金）。 下村勉用“电子隐形化”技术跟踪，最后准确地从无线电话中找到行迹，并抄获其住处电脑。 1995年2月被送上法庭，“到底还是输了”。 2000年1月出狱，3年内被禁止使用电脑、手机及互联网 电子商务的安全问题 1．卖方面临的问题 (1)中央系统安全性被破坏 (2)竞争对手检索商品递送状况 (3)被他人假冒而损害公司的信誉 (4)买方提交订单后不付款 (5)获取他人的机密数据 2．买方面临的问题 (1)付款后不能收到商品 (2)机密性丧失 (3)拒绝服务 一、电子商务的安全威胁 一、电子商务面临的安全威胁 计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。 主要分为2种： （1）电子商务安全 （2）支付安全 一、电子商务的安全威胁 截获(interception) 中断(interruption) 篡改(modification) 伪造(fabrication) （1）电子商务安全 一、电子商务的安全威胁 网络安全攻击的形式 一、电子商务的安全威胁 截获 以保密性作为攻击目标，表现为非授权用户通过某种手段获得对系统资源的访问，如搭线窃听、非法拷贝等 中断 以可用性作为攻击目标，表现为毁坏系统资源，切断通信线路等 （1）电子商务安全 一、电子商务的安全威胁 修改 以完整性作为攻击目标，非授权用户通过某种手段获得系统资源后，还对文件进行窜改，然后再把篡改过的文件发送给用户。 伪造 以完整性作为攻击目标，非授权用户将一些伪造的、虚假的数据插入到正常系统中。 （1）电子商务安全 一、电子商务的安全威胁 被动攻击： 目的是窃听、监视、存储数据，但是不修改数据。很难被检测出来，通常采用预防手段来防止被动攻击，如数据加密。 主动攻击： 修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。 （1）电子商务安全 一、电子商务的安全威胁 安全威胁的后果 安全漏洞危害在增大 信息对抗的威胁在增加 电力 交通 医疗 金融 工业 广播 控制 通讯 因特网 一、电子商务的安全威胁 信息的截获和窃取 信息的篡改: ①篡改 ②删除 ③插入 信息假冒： ①伪造电子邮件和用户，虚开网站和商店 ②假冒他人身份 恶意破坏 交易抵赖 （2）网络支付安全 一、电子商务的安全威胁 （2）网络支付的主要安全隐患 支付账号和密码等隐私支付信息被盗取或盗用。 支付金额被更改。 无法有效验证收款方的身份。 对支付行为进行抵赖、修改或否认。 网络支付系统瘫痪 。 一、电子商务的安全威胁 【实例链接】 安全问题影响电子商务的发展 2005年11月23日，来自上海的张小姐的网络购物密码被盗，有人利用该账户的良好信用记录，在国际网站上发布了5台笔记本电脑的出售信息，诈骗了1300多欧元。之后的1个多月，张小姐的邮箱频频收到来自巴西的“催款、催货最后通牒”，巴西买家莱昂纳多还用中文翻译软件将自己的意思翻译成蹩脚的中文，以此传递愤怒。这是一起国内罕见的跨国电子商务诈骗事件。对此，国内的网络购物公司已展开调查，认定骗子来自北京。 一、电子商务的安全威胁 电子支付系统安全要素 保密性 可靠性 完整性 可用性 抗否认性 二、电商安全需求和策略 （1）电子商务安全要素 贸易数据在确定的时刻、确定的地点是有效的 有效性 接发收方的身份是真实的 真实性 保密性 保证只有发送者和接收可以接触到信息。 二、电商安全需求和策略 信息在传输过程中未经任何改动 完整性 在交易数据发送完成以后，双方都不能否认自己曾经发出或接收过信息。 不可否认性 （2）电商安全策略制定的目的、涵义和原则 电商安全策略制定的目的： 保障相关支付结算信息的机密性、完整性、