第四章 电子商务安全 课件.pptVIP

第四章 电子商务安全 4.1 电子商务安全概述 4.2 电子商务系统的安全需求 4.3 电子商务安全体系与安全交易标准 4.4 电子商务安全常见安全技术 4.1 电子商务安全概述 4.1.1 案例——网络安全简介 4.1.2 电子商务中常见的安全威胁和攻击 4.1.3 电子商务安全目标与内涵 唐山黑客徐某 案 底 在我国互联网上有超过6万台的电脑，受到一神秘黑客编译的一种名为IPXSRV的后门程序的控制，组成了一个庞大的“僵尸网络”。而神秘黑客则通过操纵这个控制有6万余台电脑的“僵尸网络”，从2004年10月起，对北京一家音乐网站进行“拒绝服务”攻击，让6万余台电脑同时登录该网站，造成网络堵塞，让其他客户无法访问该网站。该网站连续3个月遭到这个控制超过6万台电脑的“僵尸网络”的“拒绝服务(DDos)”攻击，造成经济损失达700余万元。 徐某最终被判刑1年半 Kevin Mitnick 被美国政府通缉的头号黑客 案 底 15岁时潜入北美空中防务指挥系统的主机内，和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料，然后又悄无声息地溜了出来。 侵入美国国防部、中央情报局、五角大楼及北美空中防务体系等防守严密的网络系统。从而对美国一些国家机密了如指掌。闯入美国国家税务总局网络，窃取了许多美国名 人纳税的绝密资料。 从纽约花旗银行非法转移数字庞大的美元到指定账户。 1995年被捕 代 价 历时四年的多司法区的追踪，声名狼藉的计算机怪客凯文·米蒂尼克（Kevin Mitnick）终于被逮捕。他被指控了25项计算机和存取设备的诈骗盗窃罪。这些诈骗盗窃活动导致诺基亚（Nokia）、NEC、Sun Microsystems、Novell、富士（Fujitsu）、和摩托罗拉（Motorola）损失了近八千万美元的知识产权和源码。FBI 认为该案件是当时美国历史上最大的计算机犯罪案件。凯文·米蒂尼克被定罪并被判处了68个月的徒刑。他共服刑60个月，于2000年1月21日被假释。假释条件禁止他在2003年之前使用计算机或从事任何和计算机相关的顾问工作。 一个著名的DDos攻击例子 —Mitnick攻击（1995） 利用TCP/IP的三次握手过程的固有缺陷进行攻击 Syn Flood（洪水湮没攻击） 利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。 图2 TCP三次握手 通过发送大量的Syn的半连接，使服务器消耗非常多的资源，从而无法对正常的用户请求进行响应 国外DDos攻击 的例子 从2000年2月6日到2月7日, A、 B、CNN.com、eBay、E*TRADE、Yahoo、ZDNet等多家网站被大量访问请求所淹没，正常访问中断，造成商业损失达到17亿美元。 直到2001年2月，加拿大的一名少年承认进行了2000年2月的攻击 网络安全事件增长非常快 每年 100%的增长率 1988: “蠕虫” 病毒 攻击了当时Internet上约10%的计算机 ? 导致了CERT（计算机紧急响应小组）的成立 目前网络上的混乱状况 根据美国国家安全协会统计数据 98%的企业都曾遇过病毒感染问题； 63%的企业都曾因感染病毒失去文件资料； 80%的Web服务器受到过黑客攻击； 其中75%的企业遭到财产损失，平均损失高达$2,000,000； 50%以上的CIO认为网络安全是最头疼的问题； 80%的国内网站存在安全隐患； 世界总损失达到$2 万亿； FBI调查表明，95%的网络入侵未被发现； 4.1.2 电子商务中常见的安全威胁和  攻击方式 窃取机密攻击： 网络踩点、扫描攻击、协议栈指纹鉴别、信息流监视、会话劫持 非法访问 漏洞：入侵者将会利用隐密的特性或缺陷来非法访问系统. 口令破解、IP欺骗、DNS欺骗、特洛伊木马（后门） 恶意攻击：邮件炸弹、缓冲区溢出攻击、拒绝服务(DoS)攻击,网络钓鱼等等 网络病毒 社交工程：专门指不用程序即可获取帐号、密码、信用卡密码、身份证号码、姓名、地址或其他可确认身份或机密数据的方法 信息战 网络钓鱼案例 案例 Western Union Holdings 站点( 2000) 1999年9月,站点 遭到入侵，入侵者偷走存储在数据库中大约16,000 个用户的信用卡卡号 ，公司不得不一个个通知用户让他们知道这件事 4.1.3 电子商务安全目标与内涵 信息的机密性（Confidentiality） 保证交易数据在传递过程中不被未授予权限的第三方非法访问 完整性（Integrity） 保证交易数据在传递过程