第五章电子商务的安全机制学案.ppt

第五章 电子商务的安全机制 主讲人：包杰 机械化工楼309 学习目标 正确理解互联网安全的分类和风险管理模型 了解常见的互联网安全破坏方式 理解防火墙技术、数字信封技术以及数字水印技术的含义及特点 理解加密算法的定义、分类及非对称加密系统的运作机制 电子商务安全概述 TCP/IP的发明人Vinton Cerf有一句名言：“Internet 的绝妙是由于它广泛的互联，而Internet的麻烦也是由于它广泛的互联。” 所谓“成也萧何，败也萧何。” Internet当初不是为Web应用设计的，而Web当初也不是为电子商务做嫁衣的。 那些年，我们一起经历的网络安全事件 弱密码 2011年度最差25个密码 1.password（密码）(35) 2.123456(30) 345) 4.Qwerty（电脑标准键盘）(30) 5.abc123(42) 6.Monkey（猴子）(30) 7.1234567(30) 8.Letmein（让我进）(30) 9.trustno1（不信1）(47) 10.Dragon（龙）(30) 11.Baseball（棒球）(45) 12.111111(30) 　　 强密码 强密码应该具有如下特征： 　　 强密码长度至少有 8 个字符， 　　 不包含全部或部分用户帐户名， 　　 至少包含以下四类字符中的三类：大写字母、小写字母、数字，以及键盘上的符号（如 !、@、#）。 　　 字典中查不到。 　　 不是命令名。 　　 不是人名。 　　 不是用户名。 　　 不是计算机名。 　　 定期更改。 　　 与以前的密码明显不同。 软件界的三大“乞丐” “网络钓鱼”高速壮大 十大震荡历史的病毒 爬行者Creeper MyDoom CIH 熊猫烧香 I Love You 又名爱虫 冲击波 Melissa梅丽莎又名辛普森一家 尼姆达 灰鸽子 Stuxnet蠕虫超级工厂病毒 电子商务中面临的危险分为两大部分： 电子商务交易安全 计算机系统安全 电子商务的交易安全 信息窃取 信息篡改 信息假冒 交易抵赖 计算机系统安全问题 物理安全问题 网络安全问题 主机系统安全问题 应用安全问题 人员管理安全问题 黑客攻击问题 计算机病毒的问题 计算机安全专家通常将计算机安全分为3大类：必威体育官网网址、完整和即需。 必威体育官网网址：防止未经授权的数据暴露并确保数据源的可靠性； 完整：防止未经授权的数据修改； 即需：防止延迟或拒绝服务。 风险管理模型 常见的网络安全威胁 任何可用的系统从安全上来说都是有“漏洞”的，这就犹如一个篮球，要想让它保持弹性就必须留有一个孔一样。 客户机的安全 Cookies Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。当你浏览某网站时，由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。 会话cookie 永久cookie 第一方cookie 第三方cookie 网页窃听器 网页活动内容 插件 插件通常都是有益的，用于执行一些特殊的任务，如播放音乐片段、显示电影片段或动画图形。 功能型插件 娱乐型插件 间谍软件 间谍软件主要包括：广告软件程序、击键监视程序、特洛伊木马等。 感染间谍软件的特征：数量剧增的不断弹出的广告窗口、主页被转到某色情网站、一些奇怪的有哪些信誉好的足球投注网站栏、CPU和带宽莫名其妙耗用过大等。 网络钓鱼 网络钓鱼(Phising):攻击者利用欺骗性的电子邮件和伪造的 Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。 诈骗者往往会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。 免费的wifi成钓鱼陷阱 通过咖啡店提供的免费Wi-Fi，可以很容易地查看和拷贝使用该Wi-Fi上网的智能手机中的文件、照片和聊天记录等 黑客 老子云：故物或行或随，或载或随，或嘘或吹。 指在任何一种文化结构中，只要有人以建立起了什么为能事，就一定会有人以破坏了什么为能事。 Hack 在20世纪早期MIT的校园俚语中是“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧，也可以理解为“干了一件非常漂亮的工作”。 常见网络安全技术 防火墙技术 所谓防火墙技术是一种通过计算机硬件和软件的组合，在因特网与内部网之间建立起一个安全网关，把二者分开的一种隔离技术，从而保护内部网免受非法用户的侵入。 从实现方式上可以分为：硬件防火墙和软件防火墙。 从功能上可以分为：包过滤防火墙、代理防火墙和双穴主机防火墙 如果大企业有多个网站，那么每个互联网连接处都要有防火墙，这样才能保证整个公司有一个安全边界。