第七章--电子商务安全技术.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第七章,电子商务安全防范技术,任务引入,网上银行和网上支付的安全性是用户使用网上服务的基础，一旦用户银行账号、身份证号、交易密码等信息泄露，将给用户带来直接的财产损失。王微自从在赵大伯的网店购买了苹果之后，便一发不可收拾，成为赵大伯网店的忠实消费者。基于安全的考虑，在采用信用卡进行网上支付的同时，王微决定申请一个数字证书。,目标二,目标一,具备发现、识别和解决电子商务安全问题的能力,能 力 目 标,灵活运用所学知识分析案例,分 项 任 务,危害电子商务安全的要素,电子商务安全防范对策,案例,01,02,04,电子商务安全基本技术,03,2018,年,1,月,31,日发布的中国互联网络发展状况统计报告显示，通过对,2017,年遭遇网上诈骗的用户调查发现，虚拟中奖信息诈骗依然是受众最为广泛的网上诈骗类型，在遭遇网络诈骗的用户中占比达,70.5%,；其次为利用社交软件冒充好友进行诈骗，在遭遇网络诈骗用户中的占比为,48.4%,。但这两类诈骗行为在所有遭遇网上诈骗的用户中的占比均较,2016,年有所下降。名为,“WannaCry”,和,“Petya”,的勒索蠕虫先后在,5,月和,6,月肆虐全球，给超过,150,个国家的金融、能源、医疗等众多行业造成影响，使得政企机构愈加重视自身网络安全的潜在风险。,5,1,信息的截获和窃取,2,篡改信息,3,假冒身份,4,抵赖行为,5,拒绝服务,7.1,危害电子商务安全的要素,1,信息的截获和窃取,1,信息的截获和窃取,网上信息的窃听与数据的窃取,登录：,foo.bar.org,用户名：,dan,密码：,M-y-p-a-s-s-w-o-r-d,d-a-n,2.,篡改信息,数据篡改,存,1000,美元到,Bob,的账号,客户,银行,存,900,美元到,Mallet,的账号,存,100,美元到,Bob,账号,请给丁汇,100,元,乙,甲,请给丁汇,100,元,请给丙汇,100,元,丙,请给丙汇,100,元,信息的重发,攻击者截获网上的密文信息后并不破译，而是把这些数据包再次向有关服务器发送。,百变小胖,百变小胖,猥琐男,龅牙哥,茫然弟,3,假冒身份,对用户身份的仿冒,我是,Bob,，,将公司与思科公司,的所有通信记录发,送给我,Bob,Mallet,DataBase,搜狐多了一个“孪生兄妹”,“,尊敬的用户，您被我们联众世界系统抽取为九月金秋无限惊喜幸运玩家，您将获得由联众电脑技术有限责任公司送出的奖金万元以及价值万元的时尚笔记本电脑一部。请登陆本公司网站,按照提示办理领取您的奖品，咨询热线：,”,5,拒绝服务,拒绝服务,(Deny of Service,DoS),分布式拒绝服务攻击,(DDoS),（,1,）攻击指令下,达各攻击系统,（,2,）所有攻击系统开始攻击目标系统,攻击系统,计算机,攻击系统,计算机,攻击系统,计算机,目标系统,计算机,Internet,攻击者,“,一网打尽说：我再给你,5,分钟，不给我的话你们就等死吧！”去年,12,月,5,日，新浪网工作人员赵先生接到这样一条聊天记录。,5,分钟后该网站北京等地的多个,UT,服务器突然遭到海量信息攻击，在长达近,500,分钟内无法为用户提供服务。昨天，制造了这起黑客攻击新浪事件的张波在海淀法院受审。,据指控，,2007,年,12,月,4,日到,2008,年,1,月,8,日，张波通过拒绝服务的攻击方式，对新浪,UT,服务器进行攻击，造成新浪北京、天津、广州等地的,UT,服务器全面堵塞，损失达到近,50,万元。检方认为张波构成破坏计算机信息系统罪。,分 项 任 务,危害电子商务安全的要素,电子商务安全防范对策,案例,01,02,04,电子商务安全基本技术,03,1,保密性,2,完整性,3,个体识别性,4,不可抵赖性,5,授权合法性,6,数据有效性,7.2,电子商务的安全需求及防范对策,网络安全的工作目的,分 项 任 务,危害电子商务安全的要素,电子商务安全防范对策,案例,01,02,04,电子商务安全基本技术,03,防火墙技术,数据加密技术,数字签名,身份认证技术,防病毒技术,7.3,电子商务安全防范主要技术,网络安防的架构,1,防火墙技术,三、相关知识,防火墙是一种安全有效的防范技术。,从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；,从广义上看，防火墙还包括了整个网络的安全策略和安全行为,。,1,防火墙技术,防火墙是一种隔离控制技术，它通过在风险区域,(,即互联网或有一定风险的网络,),与安全区域,(,局域网,),之间设置一个或多个电子屏障（包括包过滤、代理服务、电路网关和应用网关）来提供网络安全环境。其目的是阻止对信息资源的非法访问，过滤掉不安全服务和非法用户，也可以阻止内部人员从公司的网络上非法窃取机密信息。,防火墙示意图,Internet,1.,企业内联网,2.,部门子网,3.,分公司网络,互联网,非法获取内部数据,防火墙的作用示意图,(1),防火墙的优点和缺陷,保护网络中脆弱的服务,集中安全性,增强保密性、强化私有权,网络访问监控审计,限制有用的网络服务,不能有效防止内部网络用户的攻击,防火墙无法防范通过防火墙以外的其他途径的攻击,防火墙也不能完全防止传送已感染病毒的软件或文件,防火墙无法防范新的网络安全问题,优点,缺陷,(2),防火墙类型,包过滤防火墙,代理服务防火墙，也称作应用级防火墙,2,数据加密技术,（,1,）加密系统的组成,明文,密文,加密解密算法,密钥,明文,密文,明文,加密,解密,发送者,接收者,(2),加密的类型,对称加密，又称私钥加密，即信息的发送方和接收方用相同的密钥去加密和解密数据,非对称加密，又称公钥密钥加密。,双重加密,对称加密比较典型的算法有,DES(Data Encryption Standard,数据加密标准,),算法及其变形,Triple DES(,三重,DES),，,GDES(,广义,DES),；欧洲的,IDEA,；日本的,FEALN,、,RC5,等。,对称加密，又称私钥加密，即信息的发送方和接收方用相同的密钥去加密和解密数据,甲方：乙方：,（甲密钥）（乙密钥）,用甲密钥加密,用甲,密钥,解密,用乙,密钥,加密,用乙密钥解密,DES,的优点是仅使用最大为,64,位的标准算术和逻辑运算，运算速度快，密钥生产容易。,DES,的缺点是：密钥太短,(56,位,),，影响了它的保密强度；密钥管理困难。它要求通信双方事先交换密钥，当系统用户多时，需要管理成千上万的密钥与不同的对象通信。,非对称加密，又称公钥密钥加密。,它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥,(Public Key),；另一个由用户自己秘密保存，称为私有密钥,(Private Key),。,信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。,非对称加密,RSA,是目前使用最广泛的非对称加密算法,非对称算法研制的最初理念与目标是旨在解决对称加密算法中密钥的分发问题，实际上它不但很好的解决了这个问题，还利用非对称加密算法来完成对电子信息的识别签名，以防止对信息的否认和抵赖，同时还可以利用数字签名，较容易地发现攻击者对信息的非法修改，以保护数据信息的完整性。,双重加密。,发送者自动生成对称密钥，用对称密钥加密发送的信息，将生成的密文连同用接收方的公开密钥加密后的对称密钥,起传送出去。收信者用其私有密钥解密被加密的密钥来得到对称密钥，然后用这把对称密钥来解密密文。,3,数字签名技术,数字签名相对于手写签名在安全性方面的好处是：数字签名不仅与签名者的私有密钥有关，而且与报文的内容有关，因此不能将签名者对一份报文的签名复制到另一份报文上，同时也能防止篡改报文的内容，或冒用别人名义发送信息；或发出,(,收到,),信件后又加以否认等情况发生。,数字签名的工作过程如下：,(1),被发送文件用,Hash,算法产生,128,位的信息摘要。,(2),发送方用自己的私有密钥对摘要加密，这就形成了数字签名。,(3),将明文和加密的摘要同时传给接收方。,(4),接收方用发送方的公开密钥对摘要解密，同时对明文用,Hash,算法又产生一次,128,位的摘要。,(5),接收方将解密后的摘要和收到的明文相对比，如两者一致，则说明信息确实由发送方发送，并且在传送过程中信息没有被破坏或篡改过。,数字签名,4,身份认证技术,。,(1),口令认证技术,如何保证口令的安全呢？,注意口令的组合,防止口令被监听,防止穷举法和字典法攻击,加强管理。经常更改口令,(2),数字证书,在电子商务交易中必须解决两个问题：身份验证和交易的不可抵赖。,数字证书也叫,CA,证书，是网络通讯中标志通信各方身份信息的一系列数据。它是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。,证书的格式遵循,ITU X,509,国际标准。,用户因数字证书被破解而受损,最高可索赔,80,万元,口令,+,密码,数字证书类型。,个人证书（客户证书）。,企业身份证书。,服务器证书（站点证书）。,安全邮件证书。,CA,证书。,(3),认证中心,认证中心又称为证书授权,(Certificate Authority),中心，简称,CA,中心，是一个负责发放和管理数字证书的，具有权威性和公正性的买卖双方都信任的第三方机构。,CA,中心是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理数字证书，以此认证所有参与网上交易实体的身份。,目前国内的,CA,认证中心主要分为,区域性,CA,认证中心,和,行业性,CA,认证中心,。,认证机构的外部机构,各认证机构的关系,商家认证机构,品牌认证机构,持卡认证机构,根认证机构,地方认证机构,我国较大的认证机构,中国金融认证中心（,CFCA,）,建设：中国人民银行组织，,12,家商业银行共建,时间：今年底或明年初建成,构成：,SET CA,与,Non-SET CA(,如支持,SSL,）,承包商：,Non-SET CA,：,Entrust/SUN/,德达,SET CA,：,IBM,应用：为首都电子商城服务，为网上银行,服务，并推广至全国。,BJCA,北京认证中心（,BJCA,）,性质：权威的、可信赖的、公正的第三方信任机构。,服务内容：制订,PKI,系统的相关政策；,证书用户审核、登记注册；,身份认证、权限控制；,颁发证书；公布证书目录；,证书的废止、更新等管理；,保护,CA,签名密钥。,服务对象：从事电子商务、电子政务、网上金融、网上证券、,网上办公的政府机关、企事业单位、个人、网站,和软件代码开发者等。,4),国内外主要认证机构,(1)VeriSign,(2),中国金融认证中心,(China Financial Certification Authority,，,CFCA),(3),中国电信,CA,中心,(China Telecom Certificate Authority,，,CTCA),认证中心的主要功能,证书的颁发,证书的更新,证书的查询,证书验证,证书的作废,证书的存储和归档,5,防病毒技,术,（,1,）病毒的概念及特点,中华人民共和国计算机信息系统安全保护条例,对计算机病毒进行了明确定义：“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,病毒肆虐,网上银行安全吗？,计算机病毒特点,感染性,非授权性,欺骗性。,危害性。,潜伏性。,隐蔽性。,不可预见性。,(2),计算机病毒的预防策略,强化防病毒意识，加强计算机使用管理，担任重要工作的计算机应实行专人、专管、专用。,对计算机系统定期进行查毒，对重要的数据要坚持经常备份。,不使用来历不明的程序或软件。对外来的软件或数据盘坚持进行使用前查毒，确认无毒后再使用。,在计算机系统中安装病毒实时监控工具，在发现病毒的第一时间立即采取清除病毒措施。,在网络环境中，一旦发现某个计算机感染了病毒，立即断开该计算机的网络入口，将病毒可能造成的危害限制在最小范围内，并立即采取清除病毒措施。,（,4,）手机用户病毒的防治,作为手机用户要提高安全防范意识，可以从以下几个方面来预防手机病毒：,留意一些乱码电话、未知短信和彩信等手机异常情况。尽量从安全和信誉好的网站下载软件、信息等，下载完毕后最好进行病毒查杀后再打开或安装。,目前手机交换数据的主要方式包括数据线、存储卡、红外线、蓝牙、,WiFi,等。其中数据线和存储卡属于接触性传输，需要确保接触源的安全性，防止交叉感染。,红外线和蓝牙是短距离传输，如果不常用这些连接，尽量将它们关闭。需要注意数据来源的可信性，因此不要接受未知的连接请求，更不要打开其发来的文件、图片和软件等。,尽量使用支持,WPA,标准的,WiFi,，这是一种通过软件实现的安全机制，它能提供更强大的加密和认证机制。,安装手机杀毒软件和防火墙，及时更新病毒库，并对所有与外部的数据通信做好系统日志以供安全审计。,用户应避免在小型电子市场下载,APP,，也不要通过不明网址直接安装，应该选择大型安全的电子市场，或者直接到,APP,的官方网站下载，同时安装专业的手机安全软件，帮助识别各类风险应用或恶意软件。,76,(3),特洛伊木,马,特洛伊木马（或称木马），英文叫做“,Trojan horse”,。它是一个程序，驻留在目标计算机里。在目标计算机系统启动的时候，特洛伊木马自动启动，然后在某,端口进行侦听。如果在该端口收到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。比如窃取口令，拷贝或删除文件，或重新启动计算机。,木马传播方式,主要有两种：,一种是通过,E,mail,，控制端将木马程序以附件的形式通过电子邮件发送到用户端（收信人），收信人只要打开附件就会被植入木马。,另一种是黑客将木马程序捆绑在软件安装程序上，用户在不知情的情况下载并安装，木马程序随着安装程序的安装也就自动地安装到用户的计算机上。,四、任务实施,1),申请、下载、安装数字证书,登录,项 任 务,危害电子商务安全的要素,电子商务安全防范对策,案例,01,02,04,电子商务安全基本技术,03,案例,2018,年,DDoS,主要攻击事件,【,案例背景,】,DDoS,攻击又称分布式拒绝服务攻击,是互联网中最常见的网络攻击手段之一,攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,使其无法正常服务。目前网络游戏、互联网金融、电子商务、直播等行业是,DDoS,攻击的重灾区。,【,案例简介,】,1.HNS,病毒将逾,2,万台物联网设备感染成“肉鸡”,2.,荷兰三大银行频繁遭受,DDoS,攻击,3.,知名代码托管网,GitHub,遭到有史以来最严重的,DDoS,攻击,4.,思科漏洞被黑客利用攻击全球,20,万台路由器,5.,恶意软件,VPNFilter,感染超,50,万台路由器以创建大规模僵尸网络,6.,新加坡遭遇网络安全攻击事件,一位,IT,专业人士告诉记者，,DDoS,是一种很简单但又很有效的进攻方式。通过大量的垃圾信息进行攻击，导致网站瘫痪，使得消费者无法进行正常浏览购买。但是这种模式耗费惊人。每次攻击费用超过,20,万元。,“,这种需要花大钱、破坏性极强的做法，我们认为除了是竞争对手的恶意攻击外，不可能是普通消费者所为，,”,酒仙网,CEO,郝鸿峰称，,“,酒仙网的竞争对手主要有两类，一是酒类电商同行，二是传统酒类经销商。目前其他酒类电商规模还较小，没有与酒仙网形成直接竞争关系。同时，酒类电商的市场有赖于酒仙网作为领军企业来推动，酒类电商同行不太可能进行直接攻击。而传统酒类经销商则直接感受到了酒仙网的巨大威胁。,”,酒仙网在日前发布的公开声明中透露，已经第一时间报案，公安机关正在立案侦查。,“,黑客攻击事件,”,导致酒仙网商业信誉、经济利益的损失，酒仙网已经留存此次黑客攻击的所有数据，并将会同相关专家提取证据，并保留以法律手段进行追诉的权利。酒仙网表示，,“,对任何不负责任和别有用心的手段绝不姑息。,”,为此，该公司许诺对于前,10,位提供有效信息协助公关机关进行破案的组织或个人，每抓获一名犯罪嫌疑分子，酒仙网将酬谢,10,万元，共计酬谢,100,万元。,【,案例分析,】,1.DDoS,攻击的成本由哪些因素决定,2.,为什么,DDoS,攻击成本较低,根据中华人民共和国刑法和全国人民代表大会常务委员会关于维护互联网安全的决定的规定,对网站的恶意攻击行为构成破坏计算机信息系统罪,要承担相应的刑事责任和经济赔偿责任。,习题,一、单项选择题,1,（）通过设定某些规则来允许或拒绝数据包的通过，它的作用相当于一个过滤网关。,A,包过滤防火墙,B,包过滤路由器,C,代理服务防火墙,D,应用级防火墙,2,包过滤防火墙可以按照（）来禁止未授权者的访问。,A,IP,地址,B,域名,C,路由器,3,目前主要采用（）对传输的信息进行加密处理。,A,数据加密技术,B,报文摘要技术,C,数字签名,D,防火墙技术,4,（）主要是指利用各种技术手段，使商业信息不能及时获得，并且导致合法的服务被拒绝。,A,抵赖行为,B,拒绝服务,C,篡改信息,D,假冒身份,5,交易信息在网络上传输的过程中，可能被他人非法修改后发往目的地，从而破坏信息的（）。,A,完整性,B,真实性,C,有效性,D,个体识别性,6,数据有效性也称为（）。,A,可用性,B,个体识别性,C,准确性,D,完整性,7,把密文转变为明文的过程称为（）。,A,解密,B,加密,C,解密算法,D,加密算法,8,在网络环境中，可以用（）为电子商务提供不可否认服务。,A,数字签名,B,口令认证技术,C,数字证书,D,加密密钥,9,用于标识证书持有人的个人身份和密钥所有权的是（）,A,个人证书,B,企业身份证书,C,服务器证书,D,安全邮件证书,10,计算机病毒具有再生机制，它能够自动地将自身的复制品或其变种感染到其他程序体上，这句话说的是计算机病毒的什么特性？（）,A,非授权性,B,感染性,C,欺骗性,D,潜伏性,二、问答题,1,什么是对称加密？,2,利用防火墙来保护内部网主要有哪些优点？,3,电子商务的安全需求及防范对策有哪些？,4,计算机病毒的预防策略有哪些？,5,认证中心的主要功能是什么？,三、操作与实践,1,登录,2000,资源管理器中，选中待设置加密属性的文件或文件夹进行加密操作。,讨 论 时 间,总结提高,布置作业,1.,登录,网站,下载测试版数字证书。,2.,在,Windows,资源管理器中,选中待设置加密属性的文件或文件夹进行加密操作。,Bye Bye,谢谢！,