1.1 电子商务面临的安全问题 1.1.1 问题的提出
DESCRIPTION
1.1 电子商务面临的安全问题 1.1.1 问题的提出 电子商务作为网络经济的一种形式,通过计算机网络来实现;在为客户提供丰富信息、简便交易过程、低廉交易成本的同时,也带来了一系列的安全问题,例如:病毒、网页篡改、网站伪造、垃圾邮件、网络仿冒、木马、黑客攻击等。 - PowerPoint PPT PresentationTRANSCRIPT
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 电子商务作为网络经济的一种形式,通过计算机网络来实现;在为客户提供丰富信息、简便交易过程、低廉交易成本的同时,也带来了一系列的安全问题,例如:病毒、网页篡改、网站伪造、垃圾邮件、网络仿冒、木马、黑客攻击等。
• 哈克斯、麦英……网络病毒已呈泛滥之势,根本原因就在于之中巨大的非法利益。金山公司发布的《中国互联网 2006 年度信息安全报告》显示, 2006 年,电脑病毒呈爆炸式增长,共截获新增病毒样本24 万多种,几乎是 2003 年至 2005 年间病毒总和的三倍。而新病毒中 90% 以上带有明显的利益特征,专门盗取网银、网游等网络财产和 QQ 号的木马占了 51% ,获取非法利益已经成为网络病毒爆发的主要原因和目的。
•
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security)– MSN 蠕虫病毒借助“圣诞照片传播” -12 月
» 12 月 18 日下午,瑞星全球反病毒监测网截获一个通过 MSN 快速传播的蠕虫病毒,并命名为“ MSN 圣诞照片 (Backdoor.Win32.PBot.a)” 。该病毒会大量散发“ My Christmas picture for you” 等诱惑性消息,中毒机器会向 MSN 上的所有好友发送名为“ photo2007-12.zip” 的病毒压缩包,用户运行后就会被感染。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security)– Google 大清洗 4 万恶意网站被删除 -11 月
» 11 月 ,Google 清洗了搜索结果中几万个含有恶意软件及代码的网站 , 这些网站将不再出现在搜索结果中。尽管 Google 自己并不愿意承认或否认自己清洗了 4 万多个恶意站点,但强调重视用户的安全,对那些具有潜在威胁的站点会对用户发出警告。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security)– Leopard 遭破解 苹果干不过“黑客”帝国 -10 月
» Leopard (美洲豹,第六代 Mac操作系统 ) 于美国时间 10 月 25 日下午 18 时在纽约第五大道的旗舰专卖店正式开售。继 6 月 29 日发布 iPhone ,苹果公司又一次成为业界人们的焦点。然而 1 个小时后,正享受苹果 Fans欢呼的 Leopard却遭到来自 Windows阵营的重重一击——它被黑客破解了。原本只能安装在苹果 Mac 机上的 Leopard操作系统可以顺利安装到 PC 机上了。
» 10 月 25 日下午 19点 01分,此时距离苹果发售 Leopard只有 1 个小时,在国外 OSx86 Scene论坛上赫然飘出一个帖子,名为“ Installing Leopard 9a581 GM on a Hackintosh”( 中文翻译:苹果 Leopard 已破解, PC轻松安装指南 ) 。这个高点击率的热贴立刻攀上了论坛的 TOP10排行榜。帖子的始作俑者的 ID叫做布拉兹尔迈克 (BrazilMac) 。他分别在 19 : 01 、 19 : 02连发了两条破解方法和安装指南。转瞬之间,他成了论坛上成了炙手可热的明星,粉丝纷纷跟贴致敬。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security)– 国庆期间近百万台电脑感染两万余种病毒 -10 月
» 10 月 8 日,江民反病毒中心监测到,今年国庆期间约有 2 万 4千余种计算机病毒发作,全国近百万台电脑感染计算机病毒。
» 病毒主要包括三类:» 1 )通过 U盘以及移动设备传播的 U盘病毒,以“ U盘寄生虫”病
毒最为典型。此类病毒通常利用系统的自动播放功能传播,该类病毒发作以及感染计算机数量最大 ;
» 2 )通过 ANI 系统漏洞传播的光标漏洞病毒,以“ ANI 病毒” 为典型 ( 也称“光标漏洞”、“艾妮”病毒 )
» 3 )“代理木马”病毒以及窃取网络游戏账号的病毒,“代理木马”病毒主要通过网页挂马方式感染计算机,一旦目标电脑存在系统漏洞,即可被染毒 ; 而以窃取网络游戏玩家的账号和密码为目标的木马病毒在发作病毒总数中的比例上升幅度最高,此类病毒以“网游大盗”为典型。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security)– 中国女解码高手十年破译五部顶级密码 -09 月
» 在举行的“中国青年女科学家奖”的颁奖典礼上,由 18位来自中科院和中国工程院的院士组成的评审委员会,将奖项授予了清华大学和山东大学的双聘教授王小云,以表彰她在密码分析领域里的杰出贡献。
» 2005 年,王小云在美国加州圣芭芭拉召开的国际密码大会上宣布她及她的研究小组成功破解了 MD5 、 HAVAL-128 、 MD4 和 RIPEMD四大国际著名密码算法。几个月后,她又破译了更难的 SHA-1 。
» SHA-1密码算法,由美国国家标准技术研究院与美国国家安全局设计,在 1994 年就被推荐给美国政府和金融系统采用,是美国政府目前应用最广泛的密码算法。《崩溃 !密码学的危机》,美国《新科学家》杂志用这样的标题概括了王小云的成就,美国国家标准与技术研究院宣布,美国政府 5 年内将不再使用 SHA-1 ,取而代之的是采用更为先进的新算法,微软、 Sun 和 Atmel 等知名公司也纷纷发表各自的应对之策。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security)– 黑客入侵中国游戏中心系统 盗 22 亿游戏币 -08 月
» 代某某今年 26岁, 2006 年 9 月初,偶然发现中国游戏中心系统内存在网络安全漏洞,于是在广州市某出租屋内,利用木马病毒等途径非法侵入了中游中心系统之后,获取了约 700余个游戏客户的账户资料,并用游戏系统中的“在线转账”功能,将上述账号内的游戏金币 (即游戏积分 )转移到其指定的其他游戏账户内。按照网络游戏金币的价格: 8000 个游戏金币兑换 1元人民币,将上述 700余个游戏账户内共计达 20 多亿个游戏金币,以低价出售,共获利人民币 14万元 。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– 北京警方破获首例 DDoS 黑客攻击案 -07 月
» 5 月,北京市公安局网监处接到了网络游戏运营商联众公司的报案,该公司托管在北京、上海、石家庄的多台服务器遭受到 200 万个不同程度的大流量 DDOS拒绝服务攻击包,长达近一个月,公司经济损失达数百万元。公司工程师曾经试图修改被攻击服务器的 IP地址以躲避攻击,但 5分钟后攻击随即转向更改 IP 后的服务器。民警勘察发现这些攻击包,IP 来源是伪造的 218XXX 和 219XXX段。
» 北京警方长途跋涉至上海终于将电脑黑客李某等 4人抓获。原来李某等 4人创立了一家销售防火墙的公司,为了扩大业务,他们将电脑才能利用在了黑其他公司电脑上,以此推销自己的防火墙。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– 落网时只有 19 岁 少年黑客狂攫千万之谜 -06 月
» 一个黑客少年(唐晓星,北京市通州区),涉案金额上千万元,已被公安机关通缉数年。他手段老辣,连精明的侦探也被他搞得焦头烂额,可是,他落网时只有 19岁 。
» 有一天,他跟同学去办理银行卡,观察到两张银行卡除了位数不同外,其他的都一样。那么前面的数字代表什么 ? 只要有一张银行卡,就可知道这个银行所有客户的卡号?念头:如果我能用自己的技术破解掉这些密码,那不就有花不完的钱了吗 ?我这么聪明,应该能够版得到……
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– 半年 22次重大误杀 瑞星称卡巴斯基蔑视中国用户 -05 月
» 5 月 19 号,瑞星卡卡上网安全助手软件升级组件时,遭卡巴斯基反病毒软件当做病毒查杀。是杀毒软件行业的“潜规则”被打破?还是国外杀毒软件厂商对中国本土安全企业的市场入侵?“卡巴斯基误杀事件”激发起瑞星在内的同行企业不满。 5 月 30 日,瑞星发表声明,称悬赏 100 万元人民币向社会各界征集相关证据,欲将卡巴斯基告上国际法庭。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– 温柔地“杀”死你 诺顿误杀事件专题报道 -05 月
» 5 月 18 日,赛门铁克,一个全球知名的安全厂商,在诺顿杀毒软件升级病毒库后,会把Windows XP 系统的关键系统文件当作病毒清除,重启后系统将会瘫痪,安全模式也无法进入,同时出现蓝屏。
» 由于诺顿在中国市场上占有相当大的份额,尤其是在金融、电信、媒体等企业市场,此次“误杀”给这些企业用户造成了巨大损失。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– 取代美国 中国成“恶意软件”头号基地 -04 月
» 根据 Sophos 的数据, 2007 年 3 月份的全球恶意软件( Netsky 系列蠕虫,占 32.7%; Mytob生命力依旧顽强,也有 30.4%; Sality 和 MyDoom分别为 7.8%和 5.2% )中有 35.6%源自中国 ( 含香港 ) ,而美国“贡献”了 32.3%,之后的德国、英国、俄罗斯分别为 7.5%、 5.5%和 4.6%。位列六到十位的是法国、荷兰、韩国、乌克兰和加拿大。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– 灰鸽子病毒 又一轮“熊猫烧香”来袭? -03 月
» 连续 3 年的年度十大病毒、被反病毒专家称为最危险的后门程序的“灰鸽子 2007”正在大规模集中爆发。
» 灰鸽子网页木马病毒(分两部分:客户端和服务端,黑客操纵着客户端,利用客户端配置生成出一个服务端程序)能绕过天网等大多数防火墙的拦截,中马后,服务端即被控端能主动连接控制端。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.1 问题的提出
• 案例( 2007 年 http://soft.yesky.com/security )– “熊猫烧香”病毒作者已被逮捕! -01 月
» 李俊 , 1982/6/20 ,武汉市 ,华中师范大学 ,电子商务专业
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.1 电子商务面临的安全问题– 1.1.2 电子商务涉及的安全问题
• 信息与信息系统的安全问题• 交易安全问题• 安全管理问题• 电子商务法律保障问题
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.2 信息与信息系统的安全问题– 信息安全的定义及内容
• 防止信息资源被故意地或偶然地非授权泄露、更改、破坏以及被系统非法地识别、控制,确保信息资源的完整性、保密性、可用性、可控性、不可否认性。
• 内容– 包含“攻、防、测、控、管、评”等方面;– 涉及课程:密码理论与技术,安全协议理论与技术,安全体系结构理论与技术,信息对抗理论与技术,网络安全与安全产品。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述 • 1.2 信息与信息系统的安全问题
(续)– 信息系统定义
• 由计算机及其相关的配套设备、设施(含网络)构成,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
– 信息系统的安全构成• 系统实体安全• 系统运行安全• 系统信息安全
– 电子商务系统安全的重点• 操作系统安全、数据库安全、
网络安全、病毒防护安全、访问控制安全、加密、鉴别
电子商务系统安全电子商务系统安全
实体安全实体安全 运行安全运行安全 信息安全信息安全
环境安全
设备安全
操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别
风险分析审计跟踪
媒体安全应急
备份与恢复
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.3 交易安全问题– 在线交易主体的市场准入– 交易信息风险
• 虚假信息、过期信息– 信用风险
• 来自买方的信用问题、来自卖方的信用问题、买卖双方的问题– 网上欺诈– 电子合同问题– 电子支付问题– 在线消费者保护问题– 电子商务中产品交付问题– 虚拟财产的保护问题– 税收问题
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.4 安全管理问题– 内容
• 交易过程的管理• 交易人员的管理• 交易系统的管理• 交易信息的管理
– 人员管理是重点,制度建设是关键• 制度是企业员工安全工作的规范与准则,包括:人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度,病毒定期清理制度
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.5 电子商务的法律保障问题• 法律往往滞后于网上的交易
– 联合国公布的文件• 《电子商务示范法》 1996/12/16 ,《电子签名示范法》 2002/1/24 ,
《联合国国际合同使用电子通信公约》– 我国实施的法律法规
• 人大:《中华人民共和国电子签名法》 2004/8/28 ,信产部:《电子认证服务管理办法》 2005/1/28 ,密码管理局:《电子认证服务密码管理办法》 2005/3/31 ,信产部电子认证服务管理办公室:《电子认证业务规则规范(试行) 》 2005/4 ,食品药品监督管理局:《互联网药品交易服务审批暂行规定》 2005/9/29 ,人民银行:《电子支付指引》 2005/10/26 ,中国银行业监督管理委员会: 《电子银行业务管理办法》 2005/11/10 ,国务院国家网络与信息安全协调小组:《关于网络信任体系建设的若干意见》 2006/2/27 ,
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.6 电子商务安全的特性• 安全保障不仅依赖技术,更依赖人的“安全思维”
– 电子商务安全保障体系是一个复合型系统• 电子商务是活动在互联网平台上的一个涉及信息、资金和物资交易的综合交易
系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的,系统的安全目标、机制与策略,是由组织的性质与需求决定的。
• 安全机制与安全政策– 安全机制是指用于实现安全政策的具体措施;– 安全政策是指用于指导如何选择安全措施的基本原则
• 安全机制– 保护– 容忍– 取证– 检测– 相应– 反击
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.6 电子商务安全的特性• 安全政策
– 与安全管理模式相关的政策» 集中式管理与分布式管理» 所有者管理与管理员管理
– 与访问控制相关的政策» 最小特权政策» 最大共享政策» 开放系统与封闭系统政策» 基于名字访问与基于内容访问政策
– 与控制信息流动方向相关的政策» 自主访问控制政策与多层控制政策
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.6 电子商务安全的特性– 人网结合是电子商务安全保障的本质特征
• 人是网络的建设者和使用者、网上内容的提供者和消费者。互联网作为网络是在自组织机制上发展起来的,极大数量的用户互联、互动使之产生了全新的网络动力学特征。存在节点和连接很不均匀的网络结构问题,虽对随机和散落的黑客攻击有很强的抗损力,但对关键节点的集中攻击容易产生严重的安全问题;
• 电子商务交易安全是一个过程,而不是一个产品;• 人为因素造成的安全问题更要重视。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
• 1.6 电子商务安全的特性– 电子商务交易安全是一个动态过程
• 绝对的安全是没有的,电子商务安全是一个需要不断分析、不断改进、不断完善的动态过程,是一个不断实施“保护—反馈—修正—再保护”的过程。
电子商务安全与管理电子商务安全与管理电子商务安全与管理电子商务安全与管理
第一章 电子商务安全与管理概述
– 作业• P24----1,2,3,4