第八章：电子商务安全管理.pptx

第八章 电子商务安全管理 安全问题安全技术案例分析第一节 电子商的安全问题案例国外 2000年2月7日－9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。国内 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。 2006年,“熊猫烧香”病毒大规模爆发。这种病毒比以往的病毒要厉害，不仅能破坏电脑文件，还能使局域网瘫痪，如果受感染的文件处理不当，将很难修复，杀伤力很强。目前查明的病毒变种有600多个，造成全国超过200万电脑用户受害。 CNNIC调查结果（2003年1月）McAfee发布07十大安全威胁 迈克菲（McAfee）旗下防病毒和漏洞紧急响应小组McAfee? Avert实验室近期发布了2007年的十大安全威胁预测。根据McAfee Avert实验室的数据，超过21.7万个不同类型的已知威胁和数千个威胁还没有被发现，很明显由专业和有组织的犯罪所发布的恶意软件正在不断上升。2007年十大安全威胁如下： 假冒流行在线服务站点（比如eBay）、?垃圾邮件、?移动电话攻击、广告软件、漏洞、?身份盗取和数据丢失、传播恶意代码（?MPEG的文件）、自动执行任务的电脑程序、僵尸网络、寄生恶意软件或能在磁盘上更改现有文件的病毒。08年十大安全威胁预测 Web2.0攻击居首.doc08年十大安全威胁预测 Web2.0攻击居首电子商务安全交易的要求类型有效性 确保贸易资料在确定的时刻、确定的地点是有效的保密性 要预防非法的信息存取和信息在传播过程中被非法窃取。合法性 网上交易各方的工作要符合可适用的法律和法规。完整性 要预防对信息的随意生成、修改和删除，同时要防止资料传输过程中信息的丢失和重复，以保证信息传送次序的统一。交易者身份的确定性不可修改性 在电子商务活动中，交易的文件是不可修改的。 不可否认（或不可抵赖）性 为参与交易的个人、企业或国家提供可靠的标识。影响电子商务安全的因素物理安全 保护计算机主机硬件和物理线路的安全，保证其自身的可靠性和为系统提供基本安全机制。 影响物理安全的重要因素：火灾、自然灾害、辐射、硬件故障、搭线窃听、盗窃、偷窃、和超负荷。网络安全 网络层面的安全。 相对于单机，计算机网络不安全的因素更多。 原因：因为理论上网络上的计算机有可能被网上任何一台主机攻击或插入物理网络攻击；大部分的Internet协议没有进行安全性设计；网络服务器程序经常需要用超级用户特权来执行。影响电子商务安全的因素系统软件安全 指保护软件和资料不会被窜改、泄露、破坏、非法复制（包括有意或无意） 。系统软件安全的目标是使计算机系统逻辑上安全，使系统中的信息存取、处理和传输满足系统安全策略的要求。 系统软件安全可分为：操作系统、数据库、网络软件、应用软件等的安全。人员管理安全 防止内部人员的攻击。包括：雇员的素质、敏感岗位的身份识别、安全培训、安全检查等人员管理安全问题。电子商务安全立法 通过健全法律制度和完善法律体系，来保证合法网上交易的权益，同时对破坏合法网上交易权益的行为进行依法严惩。销售者面临的安全威胁中央系统安全性被破坏 入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。竞争者检索商品递送状况 恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。客户资料被竞争者获悉被他人假冒而损害公司的信誉 不诚实的人建立与销售者服务器名字相同的另一个服务器来假冒销售者。消费者提交订单后不付款提供虚假订单获取他人的机密数据消费者面临的安全威胁虚假订单 一个假冒者可能会以某客户的名字来订购商品，而且有可能收到商品，而此时这一客户却被要求付款或返还商品。付款后不能收到商品 在要求客户付款后，销售商中的内部人员不将定单和钱转发给执行部门，因而使客户不能收到商品。机密性丧失 客户有可能将秘密的个人数据或自己的身份数据(如账号、口令等)发送给冒充销售商的机构，这些信息也可能会在传递过程中被窃取。拒绝服务 攻击者可能向销售商的服务器发送大量的虚假定单来穷竭它的资源，从而使合法用户不能得到正常的服务。电子商务安全类型信息传输风险信息丢失 因线路问题、安全措施不当、不同的操作平台上转换操作不当等丢失信息。篡改数据、虚假信息 攻击者未经授权进人网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。信息传递过程中的破坏、冒名偷窥 病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。此外，各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据