电商安全第一周..pptVIP

电子商务安全与保密 第1章 电子商务安全的现状和趋势 案例一：淘宝“错价门”引发争议 淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件发生至今，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的我国电子商务安全问题不容小觑。 案例二：黑客热衷攻击重点目标 国外曾经发生过电子商务网站被黑客入侵的案例，国内的电子商务网站近两年也发生过类似事件。 浙江义乌一些大型批发网站曾经遭到黑客近一个月的轮番攻击，网站图片几乎都不能显示，每天流失订单金额达上百万元。 阿里巴巴网站也曾确认受到不明身份的网络黑客攻击，这些黑客采取多种手段攻击了阿里巴巴在我国大陆和美国的服务器，企图破坏阿里巴巴全球速卖平台的正常运营。 随着国内移动互联网的发展，移动电子商务也迅速发展并给人们带来更大便利，但是由此也将带来更多的安全隐患。 黑客针对无线网络的窃听能获取用户的通信内容、侵犯用户的隐私权。 总结：黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台，黑客可以轻松赚取巨大的、实实在在的经济利益。 比如：窃取某个电子商务企业的用户资料，贩卖用户的个人信息； 破解用户个人账号密码，可以冒充他人购物，并把商品货物发给自己。 黑客有可能受经济利益驱使，也有可能是同业者暗箱操作打击竞争对手。 攻击电子商务企业后台系统的往往是专业的黑客团队，要想防范其入侵，难度颇大。尤其是对于一些中小型电子商务网站而言，比如数量庞大的团购网站，对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台系统的安全得不到保障，我国整个电子商务的发展也将面临极大威胁 1.电子商务安全概述 1.1.电子商务安全结构与要求 1.1.1、安全性定义 （1） 密码安全－通信安全的最核心部分，由技术上提供强韧的密码系统及其正确的应用来实现。 （2）计算机安全－使计算机化数据和程序文件不致被非授权人员上计算机或其程序访问、获取或修改。 （3）网络安全－包括所有保护网络的措施：物理设施的保护、软件及职员的安全，以及防止非授权的访问、偶发或蓄意的干扰或破坏。 （4）信息安全－保护信息财富，使之免遭偶发的或有意的非授权泄漏、修改、破坏或处理能力的丧失。 图1-1 安全环 1.1.2、电子商务安全的基本要求 ?保密性－保持个人的、专用的和高度敏感数据的机密 ?认证性－确认通信双方的合法身份 ?完整性－保证所有存储和管理的信息不被篡改 ?可访问性－保证系统、数据和服务能由合法的人员访问 ?防御性－能够阻挡不希望的信息或黑客 ?不可否认性－防止通信或交易双方对已进行业务的否认 ?合法性－保证各方的业务符合可适用的法律和法规 1.2.电子商务安全案例与分析 作为高科技犯罪的典型代表之一，银行网络安全事故近两年来在国内频频发生。互联网上连续出现的假银行网站事件曾经轰动一时。一个行标、栏目、新闻、图片样样齐全的假冒中国银行网站，竟然成功划走了呼和浩特一名市民银行卡里的2.5万元。且随后不久，假工行、假农行、假银联网站也相继跟风出现。而早在2003年下半年，我国香港地区也曾出现不法分子伪冒东亚、花旗、汇丰、宝源投资及中银国际网站。2004年2月的一段时间，长沙发生利用木马病毒盗窃网络银行资金案，造成损失8万余元，直到现在谈起木马病毒，很多人仍然心惊胆战。 互联网安全公司发布的《2014年中国网站安全报告》指出,2014年,网络安全领域呈现网站漏洞大规模爆发、大量隐私泄露等重大安全事件高发和网站攻击开始规模化、产业化等显著特点。 《报告》还总结了2014年全球范围内的十起网站安全事件,包括“openssl心脏出血漏洞”、“ebay数据泄露”、“索尼被黑客攻击”等,在去年的网站安全事件中,“121中国互联网dns大劫难”、“携程漏洞事件”、“中国快递1400万条信息泄露”、“12306用户数据泄露”四起发生在中国。 1.3.涉密计算机网络的六大隐患 1.网络建设中重应用、轻安全保密。 2.涉密网与国际互联网连接。 3.两网一机，隐患多。 4.注重防范外部入侵，忽视内部控制。 5.涉密移动存储介质管理混乱。 6.笔记本式计算机使用缺少监督。 1.4.新一代信息安全与十大关系 1、信息安全的三个发展阶段 （1）数据安全 数据安全依赖的基本技术是密码。 （2）网络安全 网络安全依赖的基本技术是各