电子商务电子商务安全机制v精要.ppt

第五章 电子商务安全机制 王乐鹏 博士 副教授 信息管理与信息系统教研室 上海电力学院 视频案例：“3.15 晚会”曝光… 一家叫“海量信息科技网”公开叫卖个人信息。 全国各地的车主信息，各大银行用户数据，甚至股民信息等等，这个网站一应俱全，价格极其低廉。花100元就能买到1000条信息，详细记录了姓名、手机号码、身份证号码等。 为了验证出售信息的真实性，网站给记者发来了一个文件，接收后不到5秒钟，电脑里的鼠标自己在屏幕上移动起来，并点击打开了电脑中的各个文件夹，直到自动关机。 视频案例： 3.15 晚会曝光… 这家网上商店表面上卖的是各种各样不同的手机，实际上出售全国各地的身份证原件和配套的银行卡。 店主答应卖给记者一套身份证和银行卡，价格300元。我们首先在他的网店里申请购买任何一款手机，他立刻把手机的标价调整为300元，这样交易记录上显示记者购买的是价格300元的手机。 第二天，我们果然收到了店主寄过来的一套身份证和银行卡，记者发现它可以在柜员机上随意操作。店主告诉我们这些银行卡可以用来洗钱。 视频案例： 3.15 晚会曝光… 身份证件的买卖让一些图谋不轨的人看到了生财之道。 福建龙岩某人就从网上购买的50多个信息，骗取银行的信任，从银行办理出各种各样信用卡，短短四个月时间内恶意透支消费14万现金。 利用了网上随意买卖的身份证信息，轻而易举从银行办理了信用卡，银行即使发现了也找不到他。 第五章 电子商务安全机制 5.1 电子商务安全概述 5.2 电子商务平台安全 5.3 电子商务信息安全 5.4 电子商务软环境安全 5.1.1 电子商务安全威胁 1.网络平台故障导致的安全威胁 指电子商务平台在运营过程中，因自身设计缺陷、寿命终止或者外界条件触发而出现异常或崩溃，从而导致电子商务活动不能正常、有序进行的情况。 案例：东方航空网络交易平台遭入侵 黑客骗得两百万元 2.信息安全威胁的种类 (1).信息泄露 由于没有采取加密措施或加密强度不够，攻击者可能通过互联网上安装截收装置或在数据包通过网关和路由器时截获数据等方式，获取诸如交易内容、支付信息和重要商业文件等。 (2).信息失真 表现在对交易双方商务信息的恶意编辑，从而严重影响正常的电子商务活动，直至使其中断。 1) 篡改--更改信息的内容，如购买商品的交货地点、时间、收货人等以获取不正当利益； 2) 删除--删除某个消息或消息的某些部分； 3) 插入--插入一些误导信息，让接收方读不懂。 2.信息安全威胁的种类 (3).信息仿冒 身份仿冒。仿冒合法商务主体身份发送虚假商务信息，以获取非法利益。例如，冒充合法商务主体发送商务指令，欺骗商务顾客、套取商务机密等。 站点仿冒。仿冒者通过建立与合法电子商务服务器域名极其相近的另一非法服务器，引诱电子商务顾客访问，以骗取其账号与密码等重要信息。又称“网络钓鱼”、“域名欺骗”等。 (4). 交易抵赖 事后否认曾经发送过某条消息或内容，如采购商订货不承认；供应商不承认原有的交易协议等。 事后否认曾经收到过某条消息或内容； 案例：前7月近2万钓鱼网站被举报 截至2010年7月，中国反钓鱼网站联盟累计收到19817个钓鱼网站举报，处理了19688个钓鱼网站，其中电子商务网站为钓鱼网站重灾区。按国内有8788万名活跃网购用户计算，每人损失86.5元。 据介绍，前7个月的举报量，是2009年全年的一倍多。打着淘宝网、腾讯网、工行旗号的钓鱼网站举报量位列前三位，占9成以上。其中有4000余个仿冒淘宝网。 3. 软环境不健全导致的安全威胁 软环境包括电子商务行业规范、国家或地区电子商务司法环境、居民的道德素质与诚信状况、人民的消费观念等。 软环境不健全导致的安全威胁如下： 电子商务行业规范的不健全与不完善制约了行业的发展。 电子商务司法环境不健全助长了电子商务领域欺诈诱骗之风。 部分网民的道德素质与诚信状况不佳，交易抵赖、商务欺诈等违法的行为时有发生。 案例：百度“阳光联盟”，树立行业规范 百度“阳光联盟”旨在引入行业协会、媒体舆论的监督力量，在政府主管部门的指导下共同构建打击网络欺诈，维护网络诚信的联动机制。 百度 “阳光联盟”收集民众通过行业协会、媒体等渠道反馈的互联网虚假及不良信息，实现“限时回复”和“有问必复”，快速处理不良信息，并定期公示违规网站名单，保护公众及合法企业的利益。 通过与承担国内航空运输销售代理市场监管工作的中国航空运输协会达成合作，百度将获得由中航协所提供的权威资质数据，从而能够更加精准、快速地对航空客票销售信息提供者进行甄别、筛选，剔除不符合行业资质的推广客户。 5.1.2 电子商务的安全框架 5.2 电子商务网络平台安全 5.2.1 电子商务平台选型 案例：脉冲式订单，导致网站系统瘫痪 2