,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二层,第三层,第四层,第五层,*,电子商务,*,电子商务,1,电子商务,电子商务1电子商务,CHAP 9 电子商务的安全管理,9.1电子商务的安全问题,9.2电子商务的安全管理方法,9.3非法入侵的防范,2,电子商务,CHAP 9 电子商务的安全管理9.1电子商务的安全,一、电子商务的安全威胁和风险类型,电子商务的安全威胁,销售者面临的威胁,中央系统安全性被破坏,IP欺骗;网络报文嗅探(sniffer).,竞争者检索商品递送状况,客户资料被竞争者获悉,被他人假冒而损害公司的信誉,消费者递交订单后不付款,虚假订单,获取他人的机密数据,购买者面临的威胁,虚假订单,付款后不能收到货物,机密性丧失,拒绝服务,3,电子商务,一、电子商务的安全威胁和风险类型电子商务的安全威胁3电子商务,DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。DoS攻击只要一台单机和一个modem就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。,4,电子商务,DoS的英文全称是Denial of Ser,电子商务的安全风险类型,信息传输风险,冒名偷窃,篡改数据,信息丢失,信息传递过程中的破坏,虚假信息,信用风险,来自买方的信用风险,来自卖方的信用风险,买卖双方都存在抵赖的情况,管理风险,交易流程管理风险,人员管理风险,交易技术管理风险,法律风险,5,电子商务,电子商务的安全风险类型5电子商务,二、电子商务的安全安全管理要求与思路,电子商务的安全要求,有效性,机密性,完整性,真实性和不可抵赖性的鉴别,电子商务的安全管理思路,技术方面的考虑,加强监管,社会的法律政策和法律保障,6,电子商务,二、电子商务的安全安全管理要求与思路电子商务的安全要求6电子,一、客户认证技术,客户认证技术,概念:客户认证(Client Authentication,CA)是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。,身份认证,认证的功能:,可信性,完整性,不可抵赖性,访问控制,7,电子商务,一、客户认证技术客户认证技术7电子商务,信息认证,对敏感的文件进行加密,这样即使别人截获文件也无法得到其内容,保证数据的完整性,防止截获人在文件中加入其他信息,对数据和信息的来源进行验证,以确保发信人的身份,认证机构认证,8,电子商务,信息认证8电子商务,二、安全管理制度,人员管理制度,对有关人员进行上网培训,落实工作责任制,贯彻网上交易安全运作的基本规则,多人负责制,任期有限制,最小权限制,保密制度,信息分级制度,密钥管理制度,跟踪、审计、稽核制度,网络系统的日常维护制度,病毒防范制度,9,电子商务,二、安全管理制度人员管理制度9电子商务,三、法律制度,美国保证电子商务安全的相关法律,与网上交易相关法律调整的基本原则,电子支付的法律制度,信息安全的法律制度,消费者权益保护的法律制度,我国保证电子商务安全的相关法律,10,电子商务,三、法律制度美国保证电子商务安全的相关法律10电子商务,一、网络“黑客”常用的攻击手段,“黑客”的概念,黑客的类型,初级黑客,高水平黑客,职业黑客,黑客的危害,充当政治工具,用于战争,非法入侵金融、商业系统,盗取商业信息;在电子商务、金融证券系统中进行诈骗、盗窃等违法犯罪活动,破坏正常的经济秩序,非法侵入他人的系统,获取个人隐私,事件,总数,政府机构,网络服务,商业机构,科研机构,其他,5.1大陆被攻击,147,14.9%,7.2%,47.2%,22.3%,8.4%,5.1美国被攻击,1043,12.9%,5.6%,66.2%,3.7%,11.7%,11,电子商务,一、网络“黑客”常用的攻击手段“黑客”的概念事件总数政府机构,12,电子商务,12电子商务,13,电子商务,13电子商务,“黑客”的攻击手段,中断(攻击系统的可用性),窃听(攻击系统的机密性),窜改(攻击系统的完整性),伪造(攻击系统的真实性),轰炸(攻击系统的健壮性),14,电子商务,“黑客”的攻击手段 14电子商务,二、防范非法入侵的技术措施,网络安全检测设备,访问设备,防火墙,防火墙定义:防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。,防火墙的功能,防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊,木马,。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。,为什么使用防火墙,防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。,防火墙的类型,防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。,安全工具包,15,电子商务,二、防范非法入侵的技术措施网络安全检测设备15电子商务,概念:拒绝服务(DOS)、客户认证技术、防火墙,简答:,1、销售者和购买者面临的安全威胁有哪些?,2、电子商务的安全风险类型?,3、黑客的危害?,16,电子商务,概念:拒绝服务(DOS)、客户认证技术、防火墙16电子商务,