电子商务概论与政策法规第3章电子商务安全技术

第3章电子商务安全技术回顾旧知与引入课题2电子商务系统有哪些主要内容？1B2B电子商务交易模式有哪些？3B2C电子商务企业的类型有哪几种？4简述B2C电子商务企业的收益模式5电子商务基本模式有哪些？教学目标了解电子商务安全威胁掌握电子商务安全的需求掌握电子商务安全的内容了解信息加密技术相关的概述掌握安全的电子商务交易•重点–电子商务交易双方面临的不同安全问题–电子商务安全的需求–数字认证技术•难点–信息加密技术、防火墙及认证技术–SSL协议、SET协议教学重点与难点导入课题开篇案例2000年2月8日到10日，一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括雅虎、美国有线新闻等在内的五个最热门的网站，并且造成这些网站瘫痪长达数个小时。接二连三的大规模网络袭击行动现在已经引起世界各大网络公司和网站主持者的高度警觉，就连美国司法部、美国联邦调查局也被惊动了，现已决定介入对这几起网络袭击事件的调查。五起袭击事件给全世界敲响警钟。三天内发生的这五起网络大规模袭击事件有着惊人的相似之处：首先，袭击者用数以亿万计的垃圾邮件猛烈袭击目标网站，从而导致该网站网路堵塞，最终因不堪重负而彻底瘫痪，从而使全世界各地的用户都无法登录该网站；其次，袭击者似乎分布在世界各地，因为这些垃圾邮件是从世界各地的多个互联网连接点发出来的。以“雅虎”网站遭袭击为例，当时互联网50处不同的节点一起向“雅虎”发起袭击，袭击者们显然是经过严密协调的。迄今，美国有60％以上的网站制定了消费者隐私保护政策，而去年这一比例只有15％。调查表明，对网络安全缺乏信心是越来越多消费者不愿在网上购物的主要原因。在线公司在提供网上交易服务的时候能够获得消费者的信息，而黑客入侵导致的一系列客户资料泄露事件致使许多消赞者担心，网上交易会危及他们的金融安全。《3D泰坦尼克号》引爆木马攻击•《3D泰坦尼克号》在院线上映正引发网络上的木马爆发高峰，4月10号一天内就有4万余台电脑因下载假视频而遭到木马攻击。•据分析，此类假视频木马普遍伪装为“《3D泰坦尼克号》高清BT种子”，会暴力锁定浏览器首页并强制安装近10款软件。•木马利用《泰坦尼克号》3D版上映诱惑影迷点击随着《3D泰坦尼克号》热映，不少习惯在网上看片的影迷开始疯狂搜索该片。近日来，“泰坦尼克号下载”、“3D泰坦尼克免费高清”等关键词搜索指数均猛增200%以上。与此同时，木马也开始趁火打劫，通过虚假的视频下载站诱惑用户下载，木马则以BT下载种子的图标进行伪装。如果电脑没有开启安全软件，鼠标双击“种子”后电脑就会立刻中招。分析发现，假视频木马感染系统后会自动联网，在用户不知不觉间偷偷安装播放器、音乐盒、浏览器、视频聊天工具等近10款软件，占用系统空间达200MB以上。此外，该木马还会锁定浏览器首页为不良网址导航，并每隔数分钟便在电脑桌面弹窗推广“极品宝物满地爆”的网页游戏，对中招用户形成严重骚扰。视频欺诈下载是目前木马传播的主力渠道。每当热门影片引发公众关注时，伪装视频下载种子或在线播放器的木马往往随之批量出现，再利用搜索引擎优化手段使其被影迷访问点击。监测数据显示，仅4月10日一天，互联网新增的与《3D泰坦尼克号》相关的虚假视频网页多达500余个。•“我空间传了新的写真相册，快来踩踩不让你失望哦”，如果按照这封邮件中的网址登录“QQ空间”，QQ帐号和密码很可能被黑客钓走。据监测，近期伪装QQ空间的“盗号空间”数量剧增，总数已突破3000家，而美女相册正是“盗号空间”吸引网民访问的诱饵。•QQ“盗号空间”主要通过电子邮件或聊天消息传播，消息格式为“诱惑性标题+恶意网址”。如有人点击网址打开假冒QQ空间的“盗号空间”，网页上将会出现美女相册的缩略图，并提示“您需要登录才可以访问QQ空间”，其作用是套取受骗者的QQ帐号和密码。•另据外交部官方网站消息，近期大批留学生反映收到陌生人发来恶意网址，访问登录后导致QQ等网络通讯软件帐号被盗，进而使国内亲友也被盗号者诈骗钱财。有迹象显示，”盗号空间”的目标并非只是偷个QQ号，而是利用盗取的QQ号诈骗更多钱财。“盗号空间”利用美女相册缩略图诱骗网友登录QQ用户注意：看美女相册当心误入“盗号空间”！网民互联网安全本次调查显示，有48.6%的网民表示我国网络环境比较安全或非常安全，49.0%的网民表示互联网不太安全或非常不安全。遭遇帐号或密码被盗、消费欺诈等网络安全问题以及各类信息泄露事件的曝光，严重影响到网民的网络安全感知。黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(softwarecracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。电子商务的安全隐患——黑客攻击三鹿网站被黑2007年9月，中国黑客门事件8月底至9月初，德国、美国、英国、法国政府部门的网站接连受到黑客攻击，多家外国媒体报道认定黑客“来自中国”。8月26日，德国杂志《明镜》封面上，一个黄色面孔的人从幕后向外窥探，封面故事标题颇为抢眼：黄色间谍。2006年9月11日，中国移动网站及动感地带网站被黑2006年9月12日，百度遭受黑客攻击百度被黑再追踪：黑客称黑百度只需六成功力2006年9月21日至23日，中国互联网领域最具权威性、规模最大、规格最高的行业盛会——2006中国互联网大会于北京国际会议中心隆重召开。互联网大会召开的第一天,中国的互联网却发生悲剧的一幕，国内最大域名服务商新网遭受黑客攻击，服务中断8个小时，有人戏称是中国互联网的“911”。新网是国内三大域名服务商之一，黑客持续8小时的攻击，导致在新网注册30%的网站无法正常访问，约近百万的网站受到影响，包括天空软件、艾瑞视点等知名网站。中国互联网的”911”2006年9月22日，黑客公然叫嚣黑客在此9月12日，百度遭史上最大规模攻击；9月21日，2006年互联网大会开幕第一天，域名服务商新网被黑导致20％网站瘫痪；9月22日，互联网大会进展到第二天，9月22号上午11点多，2006中国(广州)国际黑客防范技术高峰论坛暨展览会官方站又告失守，黑客在官方网站上留言“黑客在这里，你在哪里”国内流行度最高的恶意程序仍然以木马为主，带有篡改浏览器首页、劫持浏览器访问特定网址、创建桌面广告图标、欺骗安装推广软件等行为特征的广告木马占据绝大多数。电子商务的安全隐患——计算机病毒2007年十大病毒之一——“熊猫烧香”你的泪光，柔弱中带伤，满屏的熊猫香，删除过往。熊猫猖狂，点上三根香，是谁在电脑前冰冷的绝望。→木马（Trojan）木马，其名称取自希腊神话的特洛伊木马记。古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。现在通过延伸把利用计算机程序漏洞侵入后窃取文件的程序程序称为木马。所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用漏洞在站点的某些网页中插入危险的代码，以此来骗取用户银行或信用卡账号、密码等私人资料。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。电子商务的安全隐患——钓鱼网站它的手段基本就是通过网络用一些诱饵（比如假冒的网站）等使用者上当，很像现实生活中的钓鱼过程，所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息，使用户受到经济上的损失。假冒工行•2004年12月，一个假冒的中国工商银行网站暴露出来，假工行网站，只有“1”和“I”之差。假冒中行•据举报人姚先生讲，他收到一条短消息，短消息上写的是，“中国银行现已开通网上银行服务，可以在网上查询余额和转账服务，欢迎登录。”因为与中行的服务电话相似，网页与中国银行的官方网站简直一模一样。虚假中奖钓鱼网站一、电子商务安全威胁概述在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，彼此远隔千山万水，由于因特网既不安全，也不可信，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方都面临不同的安全威胁。任务一、电子商务安全概述1、卖方面临的问题（1）中央系统安全性被破坏入侵者假冒成合法用户改变用户数据、解除用户订单或生成虚假订单、盗用客户资料；（2）竞争对手检索商品递送状况恶意竞争者以他人名义订购商品，了解有关递送状况和货物库存情况；（3）被他人假冒而损害公司信誉建立与卖方相同的服务器假冒卖方；（4）买方提交订单后不付款（5）获取他人的机密数据（1）付款后收不到商品卖方内部人员不将订单和钱转发给执行部门；（2）机密性丧失个人数据或身份数据被窃取；（3）拒绝服务攻击者向卖方的服务器发送大量虚假订单来穷竭资源，使合法用户得不到正常服务。2、买方面临的问题（1）冒名偷窃如“黑客”为了获取重要商业秘密、资源信息，常采用源IP地址欺骗攻击；（2）篡改数据攻击者未经授权进入网络交易系统，使用非法手段删除、修改、重发某些重要信息，破坏数据完整性，损害他人经济利益，或干扰对方的正确决策；（3）信息丢失a、因线路问题造成信息丢失b、因安全措施不当丢失信息c、不同的操作平台上转换操作不当丢失信息；（4）传输过程中破坏病毒防范技术、加密技术、防火墙技术等存在着被新技术攻击的可能性，威胁交易安全；（5）虚假信息买卖双方可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。3、信息传输问题（1）来自买方的信用问题对于个人，可能在网络上使用信用卡恶意透支或使用伪造的信用卡骗取卖方的货物；对于集团购买，存在拖延货款的可能，卖方需要为此承担风险；（2）来自卖方的信用风险卖方不能按质、按量、按时寄送买方购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险；（3）买卖双方都存在抵赖情况网上交易时，物流与资金流在空间上和时间上是分离的，因此要求网上交易双方必须有良好的信用及有效的信用机制来降低信用风险。4、信用问题完整性不可抵赖性保密性二、电子商务安全的需求1、保密性作为贸易的一种手段，其信息代表个人、企业或国家的商业机密。通过加密技术对传输的信息进行机密处理来实现，常用加密技术有对称加密和非对称加密。2、完整性预防对信息的随意生成、修改、删除防止数据传输过程中信息的丢失、重复并保证信息传送次序的统一，可以通过散列算法提取信息的数据摘要来进行对比验证而确保完整性。3、不可抵赖性为参与交易的个人、企业或国家提供可靠的标识，可以通过对发送的消息进行数字签名来确保。电子商务安全从整体上可分为两大部分：计算机网络安全商务交易安全计算机网络设备安全、计算机网络系统安全、数据库安全等商务在互联网上应用时产生的各种安全问题，即实现保密性、完整性、可鉴别性、不可伪造性和不可抵赖性相辅相成二、电子商务安全的内容任务二、信息加密技术、防火墙及认证概述一、信息加密技术概述1、加密的基本原理数据加密的基本过程是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”。密文只能在输入相应的密钥之后才能显示出本来的内容，来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密。数据加密技术是电子