【正文】 第 06 章 電子商務(wù)安全 Company name 第 1節(jié) 電子商務(wù)的安全問(wèn)題與需求 第 2節(jié) 電子商務(wù)網(wǎng)絡(luò)平臺(tái)的安全與防火墻技術(shù) 內(nèi)容 第 3節(jié) 數(shù)據(jù)機(jī)密性技術(shù) 第 4節(jié) 數(shù)據(jù)完整性技術(shù) 第 5節(jié) 數(shù)字證書與認(rèn)證中心 第 6節(jié) SSL與 SET協(xié)議 Company name 知識(shí)目標(biāo) ?電子商務(wù)的安全隱患及安全需求 ?電子商務(wù)安全保障體系 ?防火墻技術(shù) ?數(shù)據(jù)機(jī)密性技術(shù) ?數(shù)據(jù)完整性技術(shù) ?數(shù)字證書與認(rèn)證中心 ?SSL與 SET協(xié)議 Company name 視頻：瘋狂的肉雞 資料： 2022年最受關(guān)注的 12個(gè)安全事件 資料：電子商務(wù)安全案例 資料： 19662022年 20年安全事件回顧 案例一： 淘寶“錯(cuò)價(jià)門”引發(fā)爭(zhēng)議 互聯(lián)網(wǎng) 上從來(lái)不乏標(biāo)價(jià) 1元的商品。近日，淘寶網(wǎng)上大量商品標(biāo)價(jià) 1元，引發(fā)網(wǎng)民爭(zhēng)先恐后哄搶，但是之后許多訂單被淘寶網(wǎng)取消。隨后，淘寶網(wǎng)發(fā)布公告稱，此次事件為第三方軟件“團(tuán)購(gòu)寶”交易異常所致。部分網(wǎng)民和商戶詢問(wèn)“團(tuán)購(gòu)寶”客服得到自動(dòng)回復(fù)稱：“服務(wù)器可能被攻擊，已聯(lián)系技術(shù)緊急處理?！边@起“錯(cuò)價(jià)門”事件發(fā)生至今已有兩周，導(dǎo)致“錯(cuò)價(jià)門”的真實(shí)原因依然是個(gè)謎，但與此同時(shí)，這一事件暴露出來(lái)的我國(guó)電子商務(wù)安全問(wèn)題不容小覷。在此次“錯(cuò)價(jià)門”事件中，消費(fèi)者與商家完成交易，成功付款下了訂單，買賣雙方之間形成了合同關(guān)系。作為第三方交易平臺(tái)的淘寶網(wǎng)關(guān)閉交易，這種行為本身是否合法？蔣蘇華認(rèn)為，按照我國(guó)現(xiàn)行法律法規(guī)，淘寶網(wǎng)的行為涉嫌侵犯了消費(fèi)者的自由交易權(quán)，損害了消費(fèi)者的合法權(quán)益，應(yīng)賠禮道歉并賠償消費(fèi)者的相應(yīng)損失。 Company name 總結(jié) ?目前，我國(guó)電子商務(wù)領(lǐng)域安全問(wèn)題日益凸顯，比如，支付寶或者網(wǎng)銀被盜現(xiàn)象頻頻發(fā)生，給用戶造成越來(lái)越多的損失，這些現(xiàn)象對(duì)網(wǎng)絡(luò)交易和電子商務(wù)提出了警示。然而，監(jiān)管不力導(dǎo)致消費(fèi)者權(quán)益難以保護(hù)。公安機(jī)關(guān)和電信管理機(jī)關(guān)、電子商務(wù)管理機(jī)關(guān)應(yīng)當(dāng)高度重視電子商務(wù)暴露的安全問(wèn)題，嚴(yán)格執(zhí)法、積極介入，徹查一些嚴(yán)重影響互聯(lián)網(wǎng)電子商務(wù)安全的惡性事件，切實(shí)保護(hù)消費(fèi)者權(quán)益，維護(hù)我國(guó)電子商務(wù)健康有序的發(fā)展。 Company name 案例二： 黑客熱衷攻擊重點(diǎn)目標(biāo) ?國(guó)外幾年前就曾經(jīng)發(fā)生過(guò)電子商務(wù)網(wǎng)站被黑客入侵的案例，國(guó)內(nèi)的電子商務(wù)網(wǎng)站近兩年也發(fā)生過(guò)類似事件。 ?浙江義烏一些大型批發(fā)網(wǎng)站曾經(jīng)遭到黑客近一個(gè)月的輪番攻擊，網(wǎng)站圖片幾乎都不能顯示，每天流失訂單金額達(dá)上百萬(wàn)元。 ?阿里巴巴網(wǎng)站也曾確認(rèn)受到不明身份的網(wǎng)絡(luò)黑客攻擊，這些黑客采取多種手段攻擊了阿里巴巴在我國(guó)大陸和美國(guó)的服務(wù)器，企圖破壞阿里巴巴全球速賣通臺(tái)的正常運(yùn)營(yíng)。隨著國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)電子商務(wù)也將迅速發(fā)展并給人們帶來(lái)更大便利，但是由此也將帶來(lái)更多的安全隱患。黑客針對(duì)無(wú)線網(wǎng)絡(luò)的竊聽能獲取用戶的通信內(nèi)容、侵犯用戶的隱私權(quán)。 Company name 總結(jié) ?黑客攻擊可以是多層次、多方面、多種形式的。攻擊電子商務(wù)平臺(tái)，黑客可以輕松賺取巨大的、實(shí)實(shí)在在的經(jīng)濟(jì)利益。 ?比如：竊取某個(gè)電子商務(wù)企業(yè)的用戶資料，販賣用戶的個(gè)人信息；破解用戶個(gè)人賬號(hào)密碼，可以冒充他人購(gòu)物，并把商品貨物發(fā)給自己。 ?黑客有可能受經(jīng)濟(jì)利益驅(qū)使，也有可能是同業(yè)者暗箱操作打擊競(jìng)爭(zhēng)對(duì)手。攻擊電子商務(wù)企業(yè)后臺(tái)系統(tǒng)的往往是專業(yè)的黑客團(tuán)隊(duì)，要想防范其入侵，難度頗大。尤其是對(duì)于一些中小型電子商務(wù)網(wǎng)站而言，比如數(shù)量龐大的團(tuán)購(gòu)網(wǎng)站，對(duì)抗黑客入侵更是有些力不從心。如果大量電子商務(wù)企業(yè)后臺(tái)系統(tǒng)的安全得不到保障，我國(guó)整個(gè)電子商務(wù)的發(fā)展也將面臨極大威脅。 Company name Company name 電子商務(wù)順利開展的核心和關(guān)鍵問(wèn)題 是保證交易的安全性，這是網(wǎng)上交易的基礎(chǔ)，也是電子商務(wù)技術(shù)的難點(diǎn)所在。 Company name ?1996年 6月 16日 ,上海某信息網(wǎng)的工作人員在例行檢查時(shí) ,發(fā)現(xiàn)網(wǎng)絡(luò)遭到不速之客的襲擊 . 經(jīng)調(diào)查 ,此黑客先后侵入網(wǎng)絡(luò)中的 6臺(tái)服務(wù)器 ,破譯了網(wǎng)絡(luò)大部分工作人員和 500多個(gè)合法 用戶的帳號(hào)和密碼 ,其中包括兩臺(tái) 服務(wù)器上超級(jí)用戶的帳號(hào)和密碼 . ?是年 22歲的楊某是國(guó)內(nèi)一著名高校數(shù)學(xué)研究所計(jì)算數(shù)學(xué)專業(yè)的直升研究生,具有國(guó)家計(jì)算機(jī)軟件高級(jí)程序員資格證書 ,具有相當(dāng)高的計(jì)算機(jī)技術(shù)技能 .據(jù)說(shuō) ,他進(jìn)行電腦犯罪的歷史可追溯到 1996年 .當(dāng)時(shí) ,楊某借助某高校校園網(wǎng)攻擊了某科技網(wǎng)并獲得成功 .此后 ,楊某又利用為一電腦公司工作的機(jī)會(huì) ,進(jìn)入上海某信息網(wǎng)絡(luò) ,其間僅非法使用時(shí)間就達(dá) 2022多小時(shí) ,造成這一網(wǎng)絡(luò)直接經(jīng)接損失高達(dá) . ?7月 13日 ,犯罪嫌疑人楊某被逮捕 .這是我國(guó) 第一例電腦黑客事件 . ?據(jù)悉 ,楊某是以 “ 破壞計(jì)算機(jī)信息系統(tǒng) ” 的罪名被逮捕的 .據(jù)有關(guān)人士考證,這是修訂后的刑法實(shí)施以來(lái) ,我國(guó)第一次以該罪名偵查批捕的刑事犯罪案件 . 我國(guó)首例電腦黑客事件 Company name ?據(jù)警方介紹 ， 2022年 7月 31日開始 ， 湖北某市 17歲黑客利用騰訊公司的系統(tǒng)漏洞 ， 非法侵入該公司的 60余臺(tái)計(jì)算機(jī)系統(tǒng) ， 并通過(guò)這些電腦分析數(shù)據(jù)后逐步取得該公司的域密碼及其他重要資料 ， 進(jìn)而取得多個(gè)系統(tǒng)數(shù)據(jù)庫(kù)的超級(jí) 用戶權(quán)限 ， 在 13臺(tái)服務(wù)器中 植入木馬 程序 。 在獲得大量網(wǎng)絡(luò)虛擬財(cái)產(chǎn)后 ， 向騰訊公司及其總裁進(jìn)行敲詐勒索 。 事后 ， 警方以涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪 ， 將該黑客刑拘 。 黑客事件 Company name ?內(nèi)蒙古一高校電子信息碩士畢業(yè)生劉濤 ， 網(wǎng)上應(yīng)聘自降身份為大專生 ， 用假身份證 、 假學(xué)歷證化名進(jìn)入朝陽(yáng)電子 (深圳 )有限公司上班 ， 當(dāng)他從曾經(jīng)在財(cái)務(wù)部工作的女友那里掌握了工資表的制作程序一級(jí) 工資發(fā)放系統(tǒng)的漏洞 后 ， 就開始了他的犯罪歷程 。 他進(jìn)廠 17天后 ， 侵入公司財(cái)務(wù)部電腦系統(tǒng) ， 劃走 300余員工 70余萬(wàn)工資 。 黑客事件 Company name ?2022年 10月 6日 ， 江民反病毒中心監(jiān)測(cè)到 ， 國(guó)慶期間約有 2萬(wàn) 4千余種計(jì)算機(jī)病毒發(fā)作 ， 全國(guó)近百萬(wàn)臺(tái)電腦感染計(jì)算機(jī)病毒 。 ?黑客唐曉星 ， 通過(guò)破解 銀行卡密碼 ， 瘋狂攫取上千萬(wàn)元 ， 已被公安機(jī)關(guān)通緝數(shù)年 。 2022年落網(wǎng)時(shí)只有 19歲 。 黑客事件 Company name ?2022年 5月 21日 ， 淘寶賣家莊小姐報(bào)警稱 ， 其在淘寶網(wǎng)站上被人騙走價(jià)值 3000元的手機(jī)充值卡密碼 。 ?警方調(diào)查發(fā)現(xiàn) ， 在買家拍下 30張百元手機(jī)充值卡后 ， 有人登錄賣家網(wǎng)站， 將交易價(jià)格修改成了 。 賣家看到 “ 買家已付款 ” 字樣 ， 也沒(méi)登錄支付寶查詢具體到賬金額 ， 便把 30張卡的密碼在網(wǎng)上發(fā)給了買家 。 此后 ， 賣家才發(fā)現(xiàn)這筆交易有問(wèn)題 ， 且 30張充值卡已被人使用 。 ?釣魚網(wǎng)站騙走賣家密碼 ?經(jīng)莊小姐回憶 ， 之前她在旺旺上曾接到過(guò)網(wǎng)友消息 ， 詢問(wèn)商品價(jià)格 ， 后面還跟著商品鏈接 ， 莊小姐以為對(duì)方有意購(gòu)買自己商品 ， 便點(diǎn)擊了該鏈接 ， 其實(shí)就是偽造的淘寶登錄界面 。 莊小姐用自己的賬號(hào)和密碼登錄 ，卻無(wú)法進(jìn)入 。 偵查員判斷 ， 這個(gè)可疑鏈接實(shí)際上就是一個(gè)釣魚網(wǎng)站 ， 騙子由此得知了賣家密碼 。 “釣魚網(wǎng)站” —— 3000元商品 “成交” Company name ?警惕陌生人提供鏈接 ?不要輕易點(diǎn)擊陌生人提供的鏈接 ， 特別是即時(shí)通信工具上的傳來(lái)的消息 ?應(yīng) 盡 量 自 己 輸 入 網(wǎng) 址 登 錄 ， 并 注 意 辨 別 諸 如（ 工行網(wǎng)站 ） 和 （ 釣魚網(wǎng)站 ） 的區(qū)別 ?輸入賬號(hào) 、 密碼前 ， 應(yīng)留意瀏覽器地址欄 ， 若有網(wǎng)頁(yè)地址不能修改 、 窗口無(wú)法最小化等現(xiàn)象 ， 請(qǐng)立即關(guān)閉 3000元商品 “成交”的啟示 Company name ? CNNIC統(tǒng)計(jì)指出，我國(guó)超過(guò) 40%的網(wǎng)站存在嚴(yán)重的安全漏洞。 ? 美國(guó)金融時(shí)報(bào)報(bào)道， 世界上平均每 39秒就發(fā)生一起黑客入侵事件。 相關(guān)的數(shù)據(jù)和統(tǒng)計(jì)： Company name 揭秘：網(wǎng)絡(luò)攻擊事件頻繁出現(xiàn)真相 ?黑客年輕化 ? “攻擊百度、新浪這些網(wǎng)站，小孩子也能做到。”一位黑客在某論壇上稱。 ? 據(jù)資料統(tǒng)計(jì)，近年來(lái)互聯(lián)網(wǎng)上的攻擊行為許多都出自少年人之手，年齡大都在 14~16歲之間。 ?黑客產(chǎn)業(yè)化 ? 每年的寒暑兩個(gè)假期，互聯(lián)網(wǎng)總會(huì)出現(xiàn) 《 網(wǎng)絡(luò)安全與黑客攻防暑期實(shí)訓(xùn)班招生 》 的廣告，培訓(xùn)“黑客攻擊、防御實(shí)戰(zhàn)”技術(shù)。 ? 受利益的驅(qū)動(dòng)，從寫程序到傳播，到銷售再到洗錢分賬，病毒買賣已形成了一條完整的產(chǎn)業(yè)鏈。 Company name ? 電子商務(wù)面臨的安全問(wèn)題 ? 電子商務(wù)的安全需求 ? 保證電子商務(wù)安全的解決方法簡(jiǎn)述 電子商務(wù)的安全問(wèn)題與需求 Company name ? 網(wǎng)絡(luò)所遭受的攻擊類型 ? 中斷：黑客程序侵入計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)，使計(jì)算機(jī)中斷 ? 竊聽：搭線、電磁泄漏 ? 篡改：信息在傳遞過(guò)程中被截取、竄改 ? 假造：假冒別人的名義發(fā)信給你 ? 抵賴：當(dāng)發(fā)現(xiàn)交易行為對(duì)自己不利時(shí)，否認(rèn)交易行為 電子商務(wù)面臨的安全問(wèn)題 Company name 研究人員發(fā)現(xiàn)有線鍵盤發(fā)出的信息也可以截取 僅僅使用一個(gè)天線和一些相對(duì)便宜的輔助設(shè)備，研究員斯文 帕西尼和馬丁 瓦格諾克成功地實(shí)現(xiàn)在二十米的距離上截取到有線鍵盤發(fā)出的信息。他們做的工作就是收集鍵盤按下時(shí)釋放的電磁輻射，然后攔截有線鍵盤發(fā)出的信息并進(jìn)行解析。四種不同的攻擊方式被用在十一種不同類型的有線鍵盤上，測(cè)試結(jié)果顯示，所有鍵盤發(fā)出的信息都被至少一種攻擊方式所破解。目前，收集按鍵頻率的速度還很慢，不過(guò)研究人員似乎有信心利用更好的設(shè)備進(jìn)行對(duì)工作速度和范圍進(jìn)行改進(jìn)。 竊聽 —— 電磁泄漏 Company name ?網(wǎng)絡(luò)的缺陷 —— 因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在 先天不足 ,最早設(shè)計(jì)網(wǎng)絡(luò)時(shí)沒(méi)有考慮安全問(wèn)題 ， 因此 ， 本身有很多漏洞。 ?軟件的漏洞或 “ 后門 ” —— 操作系統(tǒng)和應(yīng)用軟件往往存在漏洞或“ 后門 ” ， 特別是盜版軟件 。 “ 沖擊波 ” ?黑客的攻擊 —— 目前 ， 世界上有 20多萬(wàn)個(gè)黑客網(wǎng)站 ， 攻擊方法成千上萬(wàn) 。 ?管理的欠缺 —— 網(wǎng)站或系統(tǒng)的嚴(yán)格管理是企業(yè) 、 機(jī)構(gòu)及用戶免受攻擊的重要措施 。 技術(shù) 、 意識(shí) ?人為的觸發(fā) —— 基于信息戰(zhàn)和對(duì)他國(guó)監(jiān)控的考慮 ， 個(gè)別國(guó)家或組織有意識(shí)觸發(fā)網(wǎng)絡(luò)信息安全問(wèn)題 。 “ 91年 海灣戰(zhàn)爭(zhēng)把信息戰(zhàn)搬上了戰(zhàn)場(chǎng) ” 觸發(fā)安全問(wèn)題的原因 Company name 1991年的海灣戰(zhàn)爭(zhēng)，首次把網(wǎng)絡(luò)攻擊手段引入到戰(zhàn)爭(zhēng)中并發(fā)揮作用。 開戰(zhàn)前，美國(guó)中央情報(bào)局獲悉，伊拉克從法國(guó)采購(gòu)了供防空系統(tǒng)使用的新型打印機(jī)，準(zhǔn)備通過(guò)約旦首都安曼偷運(yùn)到巴格達(dá)，隨即派特工在安曼機(jī)場(chǎng)偷偷用一塊固化病毒芯片與打印機(jī)中的同類芯片調(diào)了包。美軍在戰(zhàn)略空襲發(fā)起前，以遙控手段激活病毒，使其從打印機(jī)竄入主機(jī)，造成伊拉克防空指揮中心主計(jì)算機(jī)系統(tǒng)程序發(fā)生錯(cuò)亂，工作失靈，致使防空體系中的預(yù)警和 C3I系統(tǒng)癱瘓，為美軍順利實(shí)施空襲創(chuàng)造了有利條件。這是第一次將網(wǎng)絡(luò)戰(zhàn)的手段運(yùn)用于實(shí)戰(zhàn)，也可以說(shuō)是網(wǎng)絡(luò)戰(zhàn)的雛形。 戰(zhàn)爭(zhēng)中的信息戰(zhàn) Company name 術(shù)語(yǔ) 定義 保密 性 完整性 認(rèn)證性 不可否認(rèn)性 有效性 保持個(gè)人的 、 專用的和高度敏感數(shù)據(jù)的機(jī)密 保證所有存儲(chǔ)和管理的信息不被篡改 確認(rèn)通信雙方的合法身份 防止通信或交易雙方對(duì)已進(jìn)行業(yè)務(wù)的否認(rèn) 保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供服務(wù) 電子商務(wù)的安全需求 Company name 電子商務(wù)的安全需求 Company name ? 保密性：加密技術(shù)（對(duì)稱密鑰、非對(duì)稱密鑰） ? 完整性：數(shù)字摘要 ? 認(rèn)證性：認(rèn)證中心 ? 不可否認(rèn)性：數(shù)字簽名、數(shù)字時(shí)間戳 ? 有效性：防火墻、管理制度，法律保障 保證電子商務(wù)安全的解決方法簡(jiǎn)述 Company name ? 網(wǎng)絡(luò)平臺(tái)的構(gòu)成及主要完全威脅 ? Inter網(wǎng)絡(luò)平臺(tái)系統(tǒng)的安全措施 ? 防火墻技術(shù) Company name ? 截?cái)喽氯簹挠布⒉《景c瘓軟件、冗余信息堵塞支付網(wǎng)關(guān) ? 偽造：假冒身份騙取財(cái)物 ? 篡改：對(duì)交易信息進(jìn)行篡改，價(jià)格、數(shù)量等 ? 介入：非法進(jìn)入系統(tǒng)，進(jìn)行破壞、拷貝等 網(wǎng)絡(luò)平臺(tái)的構(gòu)成及主要完全威脅 Inter 銀行專網(wǎng) Intra 商家服務(wù)器 客戶機(jī) 支付網(wǎng)關(guān) Company name ?EC交易安全的保障體系，三個(gè)層面： ?國(guó)家法律法規(guī) ?加強(qiáng)各項(xiàng)制度的管理 ?技術(shù)對(duì)策： 防火墻、加密技術(shù)、認(rèn)證技術(shù) ? 根本的辦法是重新設(shè)計(jì) TCP/IP協(xié)議，解決網(wǎng)絡(luò)平臺(tái)的安全問(wèn)題。IPv4→ IPv6 Inter網(wǎng)絡(luò)平臺(tái)系統(tǒng)的安全措施