电子商务的安全技术 95p.pptVIP

电子商务的安全技术 教学目的与要求：通过本章的学习，了解电子商务面临的主要安全威胁和电子商务对安全的基本要求，熟悉电子商务常用的加密、数字签名等安全技术，掌握防火墙的功能和工作原理，了解电子商务的认证体系，掌握SSL和SET的流程和工作原理。 教学难点：电子商务的加密技术、数字签名、认证、防火墙、电子商务安全协议 教学重点：电子商务的安全隐患与安全需求、加密技术、数字签名、认证、防火墙、电子商务安全协议 重点名词：加密、对称加密与非对称加密、数字签名、SSL、SET、认证中心 开篇案例----网络钓鱼 2003年11月17日，很多易趣用户收到电子邮件，通知称他们的账户正遭受安全威胁。这条信息包含一个链接到易趣注册网页的链接。他们需要输入信用卡信息、身份证、出生日期、母亲的姓名以及ATM个人认证号码。但问题是，易趣并未发送这些电子邮件，账户持有人所链接的网页也不属于易趣。虽然这些网站看似真实，拥有易趣的标识和为人们所熟悉的界面，但是这个页面确是网络欺诈者所建立的虚假网站。这些注册的易趣用户就成为了网络钓鱼攻击的受害者。 反网络钓鱼工作小组（APWG: antiphishing. org）是一个专门消除利用垃圾邮件和phishing进行身份盗窃和欺诈行为的行业协会。 在2004年7月份，工作组发现1974起网络钓鱼攻击事件比6月份增长了39%。主要的攻击对象为金融服务行业（1649件）。主要的公司有花旗银行、美国银行(U．S．Bank)、易趣和Paypal公司（1191件）。美国拥有网络钓鱼网站的比例最高(35%)，其次是韩国、中国、俄罗斯。 为了避免受到监察，这些网络钓鱼公司通常生命期很短，从建立到取消平均只有6天的时间。 像 VeriSign 和 NameProtect 这样的计算机安全公司正在设法阻止网络钓鱼攻击。这两家公司都提供主动有哪些信誉好的足球投注网站网站服务（域名服务器、网页、网站、新闻组和聊天室，等等）服务以便能够发现网络钓鱼的活动迹竖象。这服务以便通常提供给一些象MasterCard这样的公司，以及其他一些金融和零售企业。一旦发现问题，有关非法活动的信息会立即传送到正在支付服务费用的客户和法律实施部门那里。 联邦贸易委员会( FTC)2004年所指出的，个人应该： 1.避免回复那些提供个人信息的电子信件和 弹出式信息 2.避免发送个人和财务信息 3.及时查看信用卡和银行账户报表 4.坚持更新杀毒软件 5.小心打开电子邮件附件或者下载任何文件 6.向FTC报告可疑现象 据反网络钓鱼工作组估计，约有5%的用户反映遭到过网络钓鱼的攻击。这些攻击的经济影响无法确定。即使目前已有成文法律禁止垃圾电子邮件和身份盗窃，但这些行为仍然非常猖獗。而实际上到目前为止，受害者针对网络钓鱼攻击的投诉还非常少见。 一、电子商务安全的概念 1、从广义上讲，它不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关，它包括电子商务系统的硬件安全、软件安全、运行安全及电子商务立法。 2、从狭义上讲，它是指电子商务信息的安全，主要包括两个方面：信息的存储安全和信息的传输安全。 二、电子商务的安全需求 1、信息的必威体育官网网址性 2、信息的完整性 3、信息的不可否认性 4、信息的可认证性 5、系统的可靠性 6、信息的有效性 三、威胁和攻击的种类 （一）非技术型攻击：社会型攻击 是指那些犯罪者利用欺骗或者其他诱惑的手段使得人们泄漏敏感信息或者采取降低网络安全性的活动。 目前有两类社会型攻击： 1、基于人的社会型攻击依靠沟通的传统方法 2、基于计算机的社会型攻击用很多计谋诱惑用户提供敏感信息。 下面是本书的一位作者在工作中收到的一封电子邮件： 亲爱的xyz. Com用户： 我们发现你的电子邮件系统最近被用来散发大量的垃圾邮件。很明显你的计算机正在遭受危险并且正在运行特洛伊木马病毒。 我们建议汉能够按照附件( xyz. Corn zip)中介绍的步骤来确保您计算机的安全 此致敬礼! Xyz. Com技术支持团队 案例 网购被钓鱼 小史常在网上购买时尚衣服，充分体会到了足不出户的方便快捷，也练旧了一双选择服装的好眼力，这回，她又接到了一位朋友的委托。在网上买一件衣服，相当于商场四折水平，商场淡季打折都达不到这个水平。 热心的小史痛快地应承下来，开始上网，寻找同事说的这家网店。小史很快就联系上了这家网店的店主，可店主说，他要马上出去给别人发货，让小史联系他的助手，随即给了小史他助手的QQ号码。 QQ交谈中，这位助手告诉小史，她要的衣服正好有现货，而且正好赶上他们的店庆活动，还可以再来个折上折！折