【正文】 《 電子商務(wù)概論》 81 第 8章 電子商務(wù)安全技術(shù) 《 電子商務(wù)概論》 82 學(xué)習(xí)目標(biāo) ? 了解電子商務(wù)面臨的主要安全威脅 ? 了解電子商務(wù)對(duì)安全的基本要求 ? 熟悉電子商務(wù)常用的安全技術(shù) ? 掌握防火墻的功能和工作原理 ? 了解電子商務(wù)常用的加密技術(shù) ? 了解電子商務(wù)的認(rèn)證體系 ? 掌握 SSL和 SET的流程和工作原理 《 電子商務(wù)概論》 83 兩軍問(wèn)題與 ATM機(jī) 《 電子商務(wù)概論》 84 電子商務(wù)安全技術(shù) 電子商務(wù)的安全問(wèn)題 防火墻技術(shù) 數(shù)據(jù)加密技術(shù) 認(rèn)證技術(shù) 安全技術(shù)協(xié)議 《 電子商務(wù)概論》 85 電子商務(wù)的安全性問(wèn)題 1．在網(wǎng)絡(luò)的傳輸過(guò)程中信息被截獲 2．傳輸?shù)奈募赡鼙淮鄹? 3．偽造電子郵件 4．假冒他人身份 5．不承認(rèn)或抵賴已經(jīng)做過(guò)的交易 《 電子商務(wù)概論》 86 電子商務(wù)中的主要安全威脅 1. 網(wǎng)絡(luò)攻擊 （ 1）電腦病毒：網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、 CIH （ 2）黑客攻擊：更改首頁(yè)、網(wǎng)絡(luò)釣魚(yú)、拒絕服 務(wù)、盜取帳號(hào)、網(wǎng)上炸彈、 IP欺騙 （ 3）流氓軟件：強(qiáng)迫安裝、無(wú)法卸載 2. 硬件破壞 3. 交易抵賴 《 電子商務(wù)概論》 87 《 電子商務(wù)概論》 88 蠕蟲(chóng)病毒造成的危害 病毒名稱 持續(xù)時(shí)間 造成損失 莫里斯蠕蟲(chóng) 1988年 6000多臺(tái)電腦停機(jī)，經(jīng)濟(jì)損失達(dá) 9600萬(wàn)美元 美麗殺手 1999年 政府部門(mén)和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟(jì)損失超過(guò) 12億美元 ! 愛(ài)蟲(chóng)病毒 2022年 5月至今 眾多用戶電腦被感染，損失超過(guò) 100億美元以上 紅色代碼 2022年 7月 網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過(guò) 26億美元 求職信 2022年 12月至今 大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元 蠕蟲(chóng)王 2022年 1月 網(wǎng)絡(luò)大面積癱瘓，銀行自動(dòng)提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過(guò) 26億美元 沖擊波 2022年 7月 大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失 MyDoom 2022年 1月起 大量的垃圾郵件，攻擊 SCO和微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了300多億美元的損失 《 電子商務(wù)概論》 89 網(wǎng)銀安全問(wèn)題凸現(xiàn) 時(shí) 間 網(wǎng)上銀行事故 危 害 2022年 7月 一名中國(guó)黑客洗劫新加坡DBS網(wǎng)上銀行 損失 2022年 12月至 2022 年 2月初 湖南長(zhǎng)沙木馬病毒盜竊招商銀行和民生銀行網(wǎng)絡(luò)銀行資金案 損失 8萬(wàn)余元 2022年 3月 哈爾濱三名大學(xué)生假名開(kāi)戶非法支取網(wǎng)上銀行資金 損失 53萬(wàn) 2022年 12月 偽造中行 、 工行 、 農(nóng)行和銀聯(lián)的網(wǎng)站 竊取客戶賬號(hào)和密碼等信息 資料來(lái)源：根據(jù) 2022年 1月 6日中國(guó)計(jì)算機(jī)報(bào)整理。 《 電子商務(wù)概論》 810 黑客技術(shù)與病毒技術(shù)融合趨勢(shì) 在極短的時(shí)間內(nèi)，利用優(yōu)化掃描的方法，感染數(shù)以萬(wàn)計(jì)的有漏洞的計(jì)算機(jī)系統(tǒng)，同時(shí)，能夠確定并記錄是否被感染，分析掌握受害者信息，為持續(xù)的有目的的攻擊建立暢通的渠道，進(jìn)而實(shí)施更為嚴(yán)厲的破壞行為。 《 電子商務(wù)概論》 811 電子商務(wù)對(duì)安全的基本要求 1．授權(quán)合法性 2．不可抵賴性 3．保密性 4．身份的真實(shí)性 5．信息的完整性 6．存儲(chǔ)信息的安全性 《 電子商務(wù)概論》 812 電子商務(wù)安全體系 ? 電子商務(wù)安全不僅僅是技術(shù)層面問(wèn)題，而且是包含預(yù)防、檢測(cè)、管理和制度層面在內(nèi)的一整套體系的建設(shè)問(wèn)題。 法律、規(guī)范、道德、紀(jì)律 管理細(xì)則、保護(hù)措施 物理實(shí)體安全 網(wǎng)絡(luò)系統(tǒng)安全 網(wǎng)絡(luò)交易安全 網(wǎng)絡(luò)信息安全 社會(huì)層面 管理層面 技術(shù)層面 應(yīng)用層面 《 電子商務(wù)概論》 813 ? 網(wǎng)絡(luò)系統(tǒng)安全 —— 針對(duì)物理技術(shù)系統(tǒng)的安全問(wèn)題 ? 保證網(wǎng)絡(luò)設(shè)施的正常運(yùn)行 ? 避免受到外界的惡意攻擊 ? 網(wǎng)絡(luò)信息安全 —— 針對(duì)商務(wù)邏輯系統(tǒng)的安全問(wèn)題 ? 信息保密 ? 信息完整 ? 身分認(rèn)證 ? 不可抵賴 ? 信息有效 ? 網(wǎng)絡(luò)交易安全 ? 參與對(duì)象之間交易過(guò)程的安全，如安全套接層協(xié)議（ SSL）、安全電子交易協(xié)議（ SET）、公鑰基礎(chǔ)設(shè)施（ PKI）。 可靠安裝、維護(hù)、管理 設(shè)置防火墻、 防止病毒 加密技術(shù) 認(rèn)證技術(shù) 《 電子商務(wù)概論》 814 電子商務(wù)業(yè)務(wù)系統(tǒng) 電子商務(wù)支付系統(tǒng) 安全交易協(xié)議 SET、 SSL、 S/HTTP、 S/MIME 、 PKI??? 安全認(rèn)證技術(shù) 數(shù)字摘要、數(shù)字簽名、數(shù)字信封、 CA證書(shū) ??? 加密技術(shù) 非對(duì)稱密鑰加密、對(duì)稱密鑰加密、 DES、 RSA ??? 安全策略、防火墻、查殺病毒、虛擬專(zhuān)用網(wǎng) 安全應(yīng)用 信息安全 網(wǎng)絡(luò)安全 電子商務(wù)安全技術(shù)結(jié)構(gòu)示意圖 《 電子商務(wù)概論》 815 電子商務(wù)中的安全技術(shù) ? 實(shí)體的安全性 1）電源防護(hù)技術(shù) 采用良好的屏蔽及避雷措施防止雷電和工業(yè)射電干擾；采用穩(wěn)壓電源 (UPS)防止突然斷電引起設(shè)備損壞和數(shù)據(jù)丟失。 2）防盜技術(shù) 安裝報(bào)警器、各種監(jiān)視系統(tǒng)及安全門(mén)鎖。 3）環(huán)境保護(hù) 按計(jì)算機(jī)房安全要求采取防火、防水、防塵、防震和防靜電等技術(shù)措施。 4）防電磁泄漏發(fā)射 采取電磁屏蔽及良好接地等手段，使系統(tǒng)中的設(shè)備既不因外界和其他設(shè)備的電磁干擾而影響其正常工作，也不因自身的電磁輻射影響其他設(shè)備的正常工作。 《 電子商務(wù)概論》 816 ? 電子商務(wù)中的安全技術(shù) 5）身份認(rèn)證 確定系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)者是否是合法用戶。主要有密碼、代表用戶身份的物品、反映用戶生理特征的標(biāo)識(shí)。 6） 訪問(wèn)控制 防止權(quán)限控制的目的是防止合法用戶越權(quán)訪問(wèn)系統(tǒng)和網(wǎng)絡(luò)資源。 在內(nèi)部網(wǎng)和外部網(wǎng)之間 ,應(yīng)該設(shè)置防火墻或保密網(wǎng)關(guān) . 7）審計(jì)跟蹤 記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程。 《 電子商務(wù)概論》 817 ? 信息的安全性 ? 防火墻技術(shù) ? 數(shù)據(jù)加密技術(shù) ? 安全協(xié)議 ? 安全認(rèn)證 數(shù)據(jù)被非法截獲、讀取或者修改 冒名頂替和否認(rèn)行為 一個(gè)網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問(wèn)了另一個(gè)網(wǎng)絡(luò) 數(shù)據(jù)加密 數(shù)字簽名、加密、認(rèn)證等 防火墻 《 電子商務(wù)概論》 818 防火墻技術(shù) 什么是防火墻？ Inter LAN Firewall LAN Inter 《 電子商務(wù)概論》 819