第6章电子商务安全15059.pptx
《第6章电子商务安全15059.pptx》由会员分享,可在线阅读,更多相关《第6章电子商务安全15059.pptx(94页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第六章第六章 电子商务安全电子商务安全 (Electronic Commerce SecurityElectronic Commerce Security)桂林电子科技大学计算机控制学院案例1l国外国外20002000年年2 2月月7 7日日9 9日,日,Yahoo,ebay,Amazon Yahoo,ebay,Amazon 等著名网站被黑客攻击,直接和间接损失等著名网站被黑客攻击,直接和间接损失1010亿美元。亿美元。l国内国内20002000年春天,有人利用普通的技术,从电子年春天,有人利用普通的技术,从电子商务网站窃取到商务网站窃取到8 8万个信用卡号和密码,标万个信用卡号和密码,标价价
2、2626万元出售。万元出售。桂林电子科技大学计算机控制学院案例2l2 2月月8 8日到日到1010日,一伙神通广大的神秘黑客日,一伙神通广大的神秘黑客在三天的时间里接连袭击了互联网上包括在三天的时间里接连袭击了互联网上包括雅雅 虎、美国有线新闻等在内的五个最热门虎、美国有线新闻等在内的五个最热门的网站,并且造成这些网站瘫痪长达数个的网站,并且造成这些网站瘫痪长达数个小时。接二小时。接二 连三的大规模网络袭击行动现连三的大规模网络袭击行动现在已经引起世界各大网络公司和网站主持在已经引起世界各大网络公司和网站主持者的高度警觉,就连者的高度警觉,就连 美国司法部、美国联美国司法部、美国联邦调查局也被
3、惊动了,现已决定介入对这邦调查局也被惊动了,现已决定介入对这几起网络袭击事件的调查。几起网络袭击事件的调查。桂林电子科技大学计算机控制学院l网络袭击导致世界五大网站连连瘫痪。美国东网络袭击导致世界五大网站连连瘫痪。美国东部时间部时间2 2月月7 7日上午日上午9 9时时1515分分(北京时间北京时间2 2月月8 8日日),全世界各地成千上万的国际互联网用户跟平,全世界各地成千上万的国际互联网用户跟平常一样打开电脑,准备登录雅虎网站。雅虎网常一样打开电脑,准备登录雅虎网站。雅虎网站是继美国在线之后排名第二的大网站,现有站是继美国在线之后排名第二的大网站,现有注册用户注册用户1 1亿个,平均每天传
4、送的资料多达亿个,平均每天传送的资料多达4 46565亿页,每月吸引的访问者多达亿页,每月吸引的访问者多达4 2004 200万人。万人。l遭到袭击后,遭到袭击后,“雅虎雅虎”的技术人员大惊失色,的技术人员大惊失色,赶紧采取紧急措施一边查明黑客的袭击手段,赶紧采取紧急措施一边查明黑客的袭击手段,一边立即进行紧急补救。技术人员们知道,现一边立即进行紧急补救。技术人员们知道,现在正是一年中网上购物最活跃的时候,如果不在正是一年中网上购物最活跃的时候,如果不 能及时恢复服务的话,那么就意味着数百万美能及时恢复服务的话,那么就意味着数百万美元的交易将落空。元的交易将落空。桂林电子科技大学计算机控制学院
5、l技术人员很快发现,黑客使用了一种名为技术人员很快发现,黑客使用了一种名为“拒拒绝服务绝服务”的入侵方式,在不同的的入侵方式,在不同的计算机计算机上同时上同时用连续不断的服务器电子请求来轰炸雅虎网站。用连续不断的服务器电子请求来轰炸雅虎网站。说白了,这种方式类似于某人通过不停拨打某说白了,这种方式类似于某人通过不停拨打某个公司的电话来阻止其他电话打进,从而导致个公司的电话来阻止其他电话打进,从而导致公司通信瘫痪。在袭击进行最高峰的时公司通信瘫痪。在袭击进行最高峰的时 候,候,网站平均每秒钟要遭受一千兆字节数据的猛烈网站平均每秒钟要遭受一千兆字节数据的猛烈攻击,这一数据量相当于普通网站一年的攻击
6、,这一数据量相当于普通网站一年的 数数据量据量!面对如此猛烈的攻击,雅虎的技术人员面对如此猛烈的攻击,雅虎的技术人员却束手无策,只能眼睁睁地看着泛滥成灾的却束手无策,只能眼睁睁地看着泛滥成灾的 电子邮件垃圾死死地堵住了雅虎用户们上网所电子邮件垃圾死死地堵住了雅虎用户们上网所需的路由器。需的路由器。桂林电子科技大学计算机控制学院l1010时时1515分,汹涌而来的垃圾邮件堵死了雅虎网分,汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点所有的路站除电子邮件服务等三个站点所有的路 由器,由器,雅虎公司大部分网络服务均陷入瘫痪,公司不雅虎公司大部分网络服务均陷入瘫痪,公司不得不将网站入口关闭。
7、此时,美国的雅虎用户得不将网站入口关闭。此时,美国的雅虎用户根本无法登录雅虎的任何站点,而世界各地其根本无法登录雅虎的任何站点,而世界各地其他的用户也只能登录雅虎他的用户也只能登录雅虎5959的站点。的站点。l1313时时2525分,雅虎公司的技术人员终于设法识别分,雅虎公司的技术人员终于设法识别出了电子请求的数据类型,并且加上新的邮件出了电子请求的数据类型,并且加上新的邮件过滤器将其滤去,这才部分恢复了正常的服务,过滤器将其滤去,这才部分恢复了正常的服务,有有7070的网站重新为用户提供服务。的网站重新为用户提供服务。桂林电子科技大学计算机控制学院l美国东部时间美国东部时间2 2月月8 8日
8、,也就是雅虎网站遭袭后日,也就是雅虎网站遭袭后第二天,尽管世界各著名网站已经高度第二天,尽管世界各著名网站已经高度 警惕,警惕,但还是再次遭到这些神秘黑客的袭击。世界最但还是再次遭到这些神秘黑客的袭击。世界最著名的网络拍卖行著名的网络拍卖行eBayeBay因神秘黑客袭因神秘黑客袭 击而瘫击而瘫痪了整整两个小时,以致任何的用户都无法登痪了整整两个小时,以致任何的用户都无法登录该站点;赫赫有名的美国有线新闻网录该站点;赫赫有名的美国有线新闻网 CNN CNN随随后也因遭神秘黑客的袭击而瘫痪近两个小时;后也因遭神秘黑客的袭击而瘫痪近两个小时;风头最劲的购物网站风头最劲的购物网站AA也被也被 迫关闭迫
9、关闭一个多小时一个多小时!桂林电子科技大学计算机控制学院leBayeBay网站发言人罗宾网站发言人罗宾佐恩在接受记者采访佐恩在接受记者采访时透露说,该网站实际上瘫痪了整整时透露说,该网站实际上瘫痪了整整3 3个小个小 时零时零1010分钟,跟分钟,跟“雅虎雅虎”的瘫痪时间一模一的瘫痪时间一模一样。样。当时,神秘的袭击者以每秒钟当时,神秘的袭击者以每秒钟800800兆字兆字节的数据猛攻网站,这一数据量相当于正常节的数据猛攻网站,这一数据量相当于正常数据量的数据量的2424倍,不堪重负的网站终于在美国倍,不堪重负的网站终于在美国东部时间下午东部时间下午5 5时时4545分彻底瘫痪。网络公司分彻底瘫
10、痪。网络公司赶紧向其客户发了一份紧急通知,坦言网站赶紧向其客户发了一份紧急通知,坦言网站正在遭受黑客的袭击,但有关客户的机密数正在遭受黑客的袭击,但有关客户的机密数据却丝毫未损。据却丝毫未损。桂林电子科技大学计算机控制学院l这份紧急通知还给其客户吃定心丸说:这份紧急通知还给其客户吃定心丸说:“我们我们正在采取多种措施反击黑客们的袭击,并且与正在采取多种措施反击黑客们的袭击,并且与当地和联邦政府有关部门、互联网服务商以及当地和联邦政府有关部门、互联网服务商以及我们的合作伙伴们紧密协作。我们的合作伙伴们紧密协作。”CNN”CNN网站也在网站也在长达长达1 1小时零小时零4545分钟的时间内无法登录
11、,不过,分钟的时间内无法登录,不过,该网站后来由服务商提供了一道该网站后来由服务商提供了一道“防火墙防火墙”,之后用户们才可以重新登录;而之后用户们才可以重新登录;而AA网网站也有一个小时不能为顾客提供购物服务。站也有一个小时不能为顾客提供购物服务。桂林电子科技大学计算机控制学院l对于这五起袭击事件造成的损失,各大网络公对于这五起袭击事件造成的损失,各大网络公司都讳莫如深。尽管所有遭袭击的网络公司都讳莫如深。尽管所有遭袭击的网络公 司司都一再强调这次袭击没有损害用户的利益,但都一再强调这次袭击没有损害用户的利益,但公司本身的损失却相当惨重。公司本身的损失却相当惨重。雅虎公司发言人在袭击事件发生
12、后一再强调说,雅虎公司发言人在袭击事件发生后一再强调说,由于雅虎公司使用先进保密技术,所以由于雅虎公司使用先进保密技术,所以 数据数据库没有受到侵袭,用户的机密数据没有被破坏库没有受到侵袭,用户的机密数据没有被破坏或者丢失,公司的损失也不算大。从表面或者丢失,公司的损失也不算大。从表面 上上看,雅虎的损失确实不大,袭击事件发生的当看,雅虎的损失确实不大,袭击事件发生的当天,华尔街股市上雅虎的股值并没有下跌。然天,华尔街股市上雅虎的股值并没有下跌。然而,网络专家却认为,由于现在正是网上购物而,网络专家却认为,由于现在正是网上购物的活跃时期,的活跃时期,3 3小时的无法服务就意味着数百小时的无法服
13、务就意味着数百万美元的交易落空。此外,对于给广告用户造万美元的交易落空。此外,对于给广告用户造成的损失,雅虎表示会在今后的几天时间里设成的损失,雅虎表示会在今后的几天时间里设法加排广告以示补偿法加排广告以示补偿。桂林电子科技大学计算机控制学院l对于对于eBayeBay公司来说,这次袭击事件无疑公司来说,这次袭击事件无疑是雪上加霜。是雪上加霜。19991999年年6 6月,月,eBayeBay网站因遭网站因遭黑客袭击而瘫痪了整整黑客袭击而瘫痪了整整2222个小时,从而个小时,从而使公司的股值在五天的时间内损失了使公司的股值在五天的时间内损失了2626!去年去年1111月,该网站在三天的时间内月,
14、该网站在三天的时间内因遭黑客袭击再次瘫痪因遭黑客袭击再次瘫痪4 4个多小时。此后,个多小时。此后,公司被迫投资公司被迫投资1 8001 800万美元用于改善网络万美元用于改善网络的安全运作。即便如此,的安全运作。即便如此,eBayeBay网站在此网站在此次袭击中仍未能逃脱瘫痪的厄运。次袭击中仍未能逃脱瘫痪的厄运。桂林电子科技大学计算机控制学院CNNIC调查结果(2003年1月)用户认为目前网上交易存在的最大问题是:安全性得不到保障:23.4%付款不方便:10.8%产品质量、售后服务及厂商信用得不到保障:39.3%送货不及时:8.6%价格不够诱人:10.8%网上提供的信息不可靠:6.4%其它:0
15、.7%桂林电子科技大学计算机控制学院6.1 6.1 电子商务面临的安全问题电子商务面临的安全问题信息泄露信息篡改信息破坏:丢失、中断信息假造:假冒、抵赖计算机病毒桂林电子科技大学计算机控制学院 电脑犯罪:50个国家有信息恐怖组织,计算机犯罪年增长率152%。每次计算机犯罪损失46万美元,而每次抢劫平均损失仅24美元。美国每年因电子商务安全问题所造成的经济损失达75亿美元,电子商务企业的电脑安全受到侵犯的比例从1997年的49%升到1999年的54%。桂林电子科技大学计算机控制学院网络部件的不安全因素网络部件的不安全因素电磁泄漏搭线窃听非法终端非法入侵注入非法信息线路干扰意外原因病毒入侵桂林电子
16、科技大学计算机控制学院软件的不安全因素软件的不安全因素安全功能不健全特洛伊木马要害程序非法使用或破坏用户未分类标识处理错误程序变更无记录桂林电子科技大学计算机控制学院工作人员的不安全因素工作人员的不安全因素保密观念不强或不懂保密规则业务不熟练规章制度不健全素质差、缺乏责任心 故意非法访问超越权限操作窃取系统或用户信息桂林电子科技大学计算机控制学院自然灾害:地震、台风、洪水人为灾害:火灾、盗窃.环境的不安全因素环境的不安全因素桂林电子科技大学计算机控制学院为什么网络安全如此重要为什么网络安全如此重要Web ServerThe InternetEncryption线路安全线路安全客户安全客户安全连
17、接安全连接安全 The IntranetWeb ServerWeakness:External access now granted.Are applications and network secure?信息资本信息资本Enterprise Networku没有边界没有边界u没有中央管理没有中央管理u是开放的、标准的是开放的、标准的u没有审计记录没有审计记录INTERNETINTERNET桂林电子科技大学计算机控制学院网络侵袭的主要种类网络侵袭的主要种类l外部与内部入侵外部与内部入侵 非授权访问、冒充合法用户等。非授权访问、冒充合法用户等。l拒绝服务拒绝服务 部分或彻底地阻止计算机或网络正常
18、工作。部分或彻底地阻止计算机或网络正常工作。l盗窃信息盗窃信息 指无须利用你的计算机就可获取数据信息指无须利用你的计算机就可获取数据信息。桂林电子科技大学计算机控制学院网络侵袭者的主要种类网络侵袭者的主要种类l间谍(商业间谍及其他间谍)间谍(商业间谍及其他间谍)。l盗窃犯。盗窃犯。l破坏者破坏者。l寻求刺激者寻求刺激者。l“记录记录”追求者。追求者。l低级失误和偶然事件。低级失误和偶然事件。桂林电子科技大学计算机控制学院网络安全不单是技术问题网络安全不单是技术问题l机构与管理机构与管理l法律与法规法律与法规l经济实力经济实力l技术与人才技术与人才桂林电子科技大学计算机控制学院6.2 6.2 电
19、子商务安全的对策电子商务安全的对策1、电子商务的安全要求l信息的保密性:信息的保密性:电子商务系统应该对主要信息电子商务系统应该对主要信息进行保护,阻止非法用户获取和理解原始数据。进行保护,阻止非法用户获取和理解原始数据。l数据完整性:数据完整性:电子商务系统应该提供对数据电子商务系统应该提供对数据进行完整性认证的手段,确保网络上的数据在进行完整性认证的手段,确保网络上的数据在传输过程中没有被篡改。传输过程中没有被篡改。桂林电子科技大学计算机控制学院l用户身份验证:用户身份验证:电子商务系统应该提供通讯电子商务系统应该提供通讯双方进行身份鉴别的机制。双方进行身份鉴别的机制。l一般可以通过数字签
20、名和数字证书相结合的一般可以通过数字签名和数字证书相结合的方式实现用户身份的验证,证实他就是他所方式实现用户身份的验证,证实他就是他所声称的那个人。数字证书应该由可靠的证书声称的那个人。数字证书应该由可靠的证书认证机构签发,用户申请数字证书时应提供认证机构签发,用户申请数字证书时应提供足够的身份信息,证书认证机构在签发证书足够的身份信息,证书认证机构在签发证书时应对用户提供的身份信息进行真实性认证。时应对用户提供的身份信息进行真实性认证。桂林电子科技大学计算机控制学院授授权权:电电子子商商务务系系统统需需要要控控制制不不同同的的用用户户谁谁能能够够访问网络上的信息并且能够进行何种操作。访问网络
21、上的信息并且能够进行何种操作。数数据据原原发发者者鉴鉴别别:电电子子商商务务系系统统应应能能提提供供对对数数据据原原发发者者的的鉴鉴别别,确确保保所所收收到到的的数数据据确确实实来来自自原原发发者者。这这个个要要求求可可以以通通过过数数据据完完整整性性及及数数字字签签名名相相结合的方法来实现。结合的方法来实现。桂林电子科技大学计算机控制学院数数据据原原发发者者的的不不可可抵抵赖赖和和不不可可否否认认性性:电电子子商商务务系系统统应应能能提提供供数数据据原原发发者者不不能能抵抵赖赖自自己己曾曾做做出出的的行行为为,也也不不能能否否认认曾曾经经接接到到对对方方的的信信息息,这在交易系统中十分重要。
22、这在交易系统中十分重要。合合法法用用户户的的安安全全性性:合合法法用用户户的的安安全全性性是是指指合合法法用用户户的的安安全全性性不不受受到到危危害害和和侵侵犯犯,电电子子商商务务系系统统和和电电子子商商务务的的安安全全管管理理体体系系应应该该实实现现系系统统对对用用户户身身份份的的有有效效确确认认、对对私私有有密密匙匙和和口口令令的的有效保护、对非法攻击的有效防范等,有效保护、对非法攻击的有效防范等,桂林电子科技大学计算机控制学院网网络络和和数数据据的的安安全全性性:电电子子商商务务系系统统应应能能提提供供网网络络和和数数据据的的安安全全,保保护护硬硬件件资资源源不不被被非非法法占占有有,软
23、软件件资资源源免免受受病病毒毒的的侵害。侵害。桂林电子科技大学计算机控制学院2、技术对策:数据加密CA认证、数字签名防火墙安全工具包/软件访问控制数据完整性控制网络安全检测设备桂林电子科技大学计算机控制学院3、管理对策:人员管理制度电子商务安全运作基本原则:双人负责原则、任期有限原则、最小权限原则。保密制度跟踪、审计、稽核制度网络系统的日常维护制度病毒防范制度桂林电子科技大学计算机控制学院1、数据加密模型2、数据加密算法3、数据加密的应用4.3 4.3 数据加密技术数据加密技术桂林电子科技大学计算机控制学院什么是加密?什么是加密?l加密加密:加密是指对数据进行编码使其看起加密是指对数据进行编码
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 15059
限制150内