第6章电子商务安全.pptxVIP

第六章 电子商务安全 （Electronic Commerce Security）;案例1;案例2;网络袭击导致世界五大网站连连瘫痪。美国东部时间2月7日上午9时15分(北京时间2月8日)，全世界各地成千上万的国际互联网用户跟平常一样打开电脑，准备登录雅虎网站。雅虎网站是继美国在线之后排名第二的大网站，现有注册用户1亿个，平均每天传送的资料多达4．65亿页，每月吸引的访问者多达4 200万人。 遭到袭击后，“雅虎”的技术人员大惊失色，赶紧采取紧急措施一边查明黑客的袭击手段， 一边立即进行紧急补救。技术人员们知道，现在正是一年中网上购物最活跃的时候，如果不 能及时恢复服务的话，那么就意味着数百万美元的交易将落空。;技术人员很快发现，黑客使用了一种名为“拒绝服务”的入侵方式，在不同的计算机上同时用连续不断的服务器电子请求来轰炸雅虎网站。说白了，这种方式类似于某人通过不停拨打某个公司的电话来阻止其他电话打进，从而导致公司通信瘫痪。在袭击进行最高峰的时 候，网站平均每秒钟要遭受一千兆字节数据的猛烈攻击，这一数据量相当于普通网站一年的 数据量! 面对如此猛烈的攻击，雅虎的技术人员却束手无策，只能眼睁睁地看着泛滥成灾的 电子邮件垃圾死死地堵住了雅虎用户们上网所需的路由器。 ;;;eBay网站发言人罗宾·佐恩在接受记者采访时透露说，该网站实际上瘫痪了整整3个小 时零10分钟，跟“雅虎”的瘫痪时间一模一样。 当时，神秘的袭击者以每秒钟800兆字节的数据猛攻网站，这一数据量相当于正常数据量的24倍，不堪重负的网站终于在美国东部时间下午5时45分彻底瘫痪。网络公司赶紧向其客户发了一份紧急通知，坦言网站正在遭受黑客的袭击，但有关客户的机密数据却丝毫未损。;这份紧急通知还给其客户吃定心丸说：“我们正在采取多种措施反击黑客们的袭击，并且与当地和联邦政府有关部门、互联网服务商以及我们的合作伙伴们紧密协作。”CNN网站也在长达1小时零45分钟的时间内无法登录，不过， 该网站后来由服务商提供了一道“防火墙”，之后用户们才可以重新登录；而A网站也有一个小时不能为顾客提供购物服务。 ;对于这五起袭??事件造成的损失，各大网络公司都讳莫如深。尽管所有遭袭击的网络公 司都一再强调这次袭击没有损害用户的利益，但公司本身的损失却相当惨重。雅虎公司发言人在袭击事件发生后一再强调说，由于雅虎公司使用先进保密技术，所以 数据库没有受到侵袭，用户的机密数据没有被破坏或者丢失，公司的损失也不算大。从表面 上看，雅虎的损失确实不大，袭击事件发生的当天，华尔街股市上雅虎的股值并没有下跌。然而，网络专家却认为，由于现在正是网上购物的活跃时期，3小时的无法服务就意味着数百万美元的交易落空。此外，对于给广告用户造成的损失，雅虎表示会在今后的几天时间里设法加排广告以示补偿。;;CNNIC调查结果（2003年1月）;6.1 电子商务面临的安全问题; 电脑犯罪: 50个国家有信息恐怖组织, 计算机犯罪年增长率152%。 每次计算机犯罪损失46万美元, 而每次抢劫平均损失仅24美元。 美国每年因电子商务安全问题所造成的经济损失达75亿美元，电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。;网络部件的不安全因素;软件的不安全因素;工作人员的不安全因素;● 自然灾害：地震、台风、洪水 ● 人为灾害：火灾、盗窃…... ;为什么网络安全如此重要;网络侵袭的主要种类;网络侵袭者的主要种类;网络安全不单是技术问题;6.2 电子商务安全的对策;;授权：电子商务系统需要控制不同的用户谁能够访问网络上的信息并且能够进行何种操作。 数据原发者鉴别：电子商务系统应能提供对数据原发者的鉴别，确保所收到的数据确实来自原发者。这个要求可以通过数据完整性及数字签名相结合的方法来实现。;数据原发者的不可抵赖和不可否认性：电子商务系统应能提供数据原发者不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。 合法用户的安全性：合法用户的安全性是指合法用户的安全性不受到危害和侵犯，电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密匙和口令的有效保护、对非法攻击的有效防范等， ;网络和数据的安全性：电子商务系统应能提供网络和数据的安全，保护硬件资源不被非法占有，软件资源免受病毒的侵害。 ;2、技术对策： ● 数据加密 ● CA认证、数字签名 ● 防火墙 ● 安全工具包/软件 ● 访问控制 ● 数据完整性控制 ● 网络安全检测设备;;1、数据加密模型 2、数据加密算法 3、数据加密的应用 ;什么是加密？;1、数据加密模型; ● 对称加密 对称加密，它用且只用一个密钥对信息进行加密和解密。;●非对称加