内蒙古财经大学计算机信息管理学院电子商务概论课件 第七章.ppt

第七章 电子商务安全技术 7.1 电子商务安全概述 7.2 电子商务安全保障技术 7.3 电子商务中的认证技术 “黑客”入侵银行网站窃取700多名储户资料被判刑 2009年10月26日,厦门市湖里区法院日前对一起“黑客”入侵银行计算机信息系统窃取储户信息案件做出一审判决，被告人楼家渊利用自编的“黑客”程序和网上下载的任务自动加载程序，入侵多家商业银行网站，非法获取755名网上银行客户登录资料，并利用其中的部分信息复制银行卡，其行为构成非法获取计算机信息系统数据罪，依法判处有期徒刑7个月。 法院审理查明，今年２月底以来，楼家渊在厦门利用自编的黑客程序“WADE”和网上下载的任务自动加载程序“APPLOAD”对一商业银行网站进行“黑客”入侵活动，并于３月初获取了该银行一些储户银行卡的网上银行登录资料。 利用储户账号及密码等信息，楼家渊通过磁卡读写器复制了２张银行卡，并试图在ATM机上尝试使用，后因银行卡数据加密技术原因无法实现。 ?随后，楼家渊在“WADE”程序中增加了针对另外10家商业银行网站进行密码扫描探测的功能，并陆续对这11家商业银行网站进行“黑客”入侵活动。因部分网站的安全防护技术无法破解，楼家渊仅对其中3家银行网站入侵成功。今年３月底至４月上旬间，楼家渊采用在笔记本电脑中打开远程桌面窗口同时运行多个“WADE”黑客程序的方式对2家商业银行网站进行大规模入侵活动，对这两家商业银行网站的密码扫描探测次数达到近20万次，从中非法获取了755份储户网上银行登录资料，并利用其中的部分信息共复制15张银行卡。 ４月７日，受到“黑客”入侵的商业银行向警方报案，厦门警方于４月８日将楼家渊抓获。? 7.1 电子商务安全概述 一、电子商务面临的安全威胁 1．物理安全问题 2 ．人员管理安全问题 3 ．信息内容安全问题 （1）信息传播安全 （2）信息内容的安全 4 ．系统及网络传输安全问题 （1）主机操作系统安全问题 ①防止未授权存取②防止越权使用账号③防止泄密④防止用户拒绝系统的管理 （2）网络安全问题 ①非授权访问②假冒主机或用户③对信息完整性的攻击④对服务的干扰 （3）应用安全问题 5 ．交易安全问题 （1）卖方面临的主要安全威胁 系统中心安全性被破坏\竞争者的威胁\商业机密的安全\假冒的威胁\信用的威胁 （2）买方（客户）面临的威胁 虚假订单\付款后不能收到商品\机密性丧\拒绝服务 （3）纠纷认证问题 7.1 电子商务安全概述 二、黑客攻击问题 黑客，泛指计算机信息系统的非法入侵者。 1.攻击方式 （1）主动攻击，以各种方式有选择的破坏信息的有效性和完整性。 （2）被动攻击，在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。 2.攻击手段 （1）中断，即攻击系统的可用性，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作。 （2）窃听，即攻击系统的机密性，通过搭线和电磁泄漏等手段，造成泄密，或对业务流量进行分析，获取有用情报。 （3）篡改，即攻击系统的完整性，篡改系统中的数据内容，修改消息次序、时间(延时或重放)。 （4）伪造，即攻击系统的真实性，将伪造的假信息注入系统，假冒合法人接入系统，重放截获的合法信息实现非法目的，否认消息的接收或发送等。 7.1 电子商务安全概述 三、电子商务的安全性要求 1．保密性 保密性是指保证一些敏感的信息不被泄漏。 2．完整性 完整性是指数据在输入和传输的过程中，保证数据的一致性，防止数据被非法授权修改和破坏。 3．即需性 即需性是保证商业信息及时获得和保证服务不被拒绝。 4．有效性 有效性是保证贸易数据在确定的时刻、确定的地点是有效的。 5．不可抵赖性 不可抵赖性是指交易双方对自己的交易行为负有责任，不能否认自己的行为，对行为发生的时间不可抵赖。 7.2 电子商务安全保障技术 一、数据加密技术 1．数据加密技术概述 数据加密，就是把一个原本较大范围的人或机器能够读懂、理解和识别的信息（例如语音、文字、图像、符号等）通过一定的方法（算法），使之成为一些晦涩难懂的或者偏离信息原意的信息，从而达到保证信息安全的目的的过程。 2．对称密钥加密体制 对称密码算法（symmetric encryption），又称单钥密码算法，是指加密密钥和解密密钥为同一密钥的密码算法。 优点：加密算法比较简便高效，密钥简短，破译极其困难。 缺点：在公开的计算机网络上安全地传送和保管密钥难度较大。 3．非对称密钥加密体制 非对称密钥加密算法，又称双钥密码算法、公钥密码算法，是指加密密钥和解密密钥为两个不同密钥的密码算法。 优点：非对称加密技术较好的解决了对称密钥技术中密钥数量过多、难以管理、无法对身份进行确认等不足；也无需担心传输中专用密钥的泄露，密