M09-电子商务安全与欺诈防范.pptx
32页
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,,,*,,,,,,,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,,,*,第,9,章,,电子商务安全和欺诈防范,内容,提,提要,9.1,电子,商,商务,安,安全,的,的持,续,续性,要,要求,9.2,安全,是,是各,方,方都,须,须考,虑,虑的,问,问题,9.3,基本,安,安全,问,问题,9.4,威胁,和,和攻,击,击的,种,种类,9.5,应对,电,电子,商,商务,安,安全,问,问题,9.6,电子,商,商务,通,通信,安,安全,9.7,安全,电,电子,商,商务,网,网络,9.8,管理,上,上的,问,问题,9.9,案例,研,研究,本章,作,作业,内容,提,提要,9.1,电子,商,商务,安,安全,的,的持,续,续性,要,要求,9.2,安全,是,是各,方,方都,须,须考,虑,虑的,问,问题,9.3,基本,安,安全,问,问题,9.4,威胁,和,和攻,击,击的,种,种类,9.5,应对,电,电子,商,商务,安,安全,问,问题,9.6,电子,商,商务,通,通信,安,安全,9.7,安全,电,电子,商,商务,网,网络,9.8,管理,上,上的,问,问题,9.9,案例,研,研究,本章,作,作业,9.1,电子,商,商务,安,安全,的,的持,续,续性,要,要求,2004,年,,CSI,和,FBI,的调,查,查,调查,对,对象,,,,,494,个在,美,美国,的,的各,大,大公,司,司、,政,政府,机,机构,、,、金,融,融机,构,构、,制,制药,机,机构,、,、学,校,校等,调查,结,结果,和,和分,析,析,2001-2004,年,,攻,攻击,计,计算,机,机系,统,统成,功,功率,呈,呈下,降,降趋,势,势,,65%,,,53%,每种,类,类型,攻,攻击,的,的数,量,量呈,下,下降,趋,趋势,,,,病,毒,毒,78-83%,,内,部,部,80-59%,由于,受,受到,攻,攻击,或,或不,当,当使,用,用造,成,成的,经,经济,损,损失,,,,,2003,年,,2020,亿美,元,元;,2004,年,,1400,亿美,元,元,大部,分,分企,业,业采,取,取各,种,种技,术,术手,段,段和,程,程序,来,来防,范,范网,络,络攻,击,击,,包,包括,杀,杀毒,软,软件,、,、防,火,火墙,、,、访,问,问控,制,制列,表,表、,入,入侵,检,检测,、,、数,据,据加,密,密等,许多,企,企业,未,未向,法,法律,部,部门,报,报告,计,计算,机,机入,侵,侵事,件,件,,2004,年,,报,报告,者,者不,到,到,50%,安全,问,问题,依,依然,非,非常,严,严峻,2010,年的,调,调查,结,结果,分,分析,恶意,软,软件,是,是最,常,常见,的,的网,络,络攻,击,击方,式,式,金融,欺,欺诈,数,数量,有,有所,下,下降,,,,但,是,是依,然,然出,现,现,8.7%,安全,管,管理,人,人员,系,系统,提,提高,网,网络,、,、网,络,络应,用,用软,件,件和,网,网络,端,端口,的,的可,视,视化,,,,例,如,如日,志,志管,理,理、,安,安全,信,信息,事,事件,管,管理,、,、安,全,全仪,表,表管,理,理等,近一,半,半受,访,访者,表,表示,最,最近,一,一年,至,至少,遇,遇到,一,一次,安,安全,事,事件,受害,者,者中,45.6%,举报,了,了安,全,全攻,击,击事,件,件,安全,事,事件,发,发生,之,之后,,,,,18.1%,的受,访,访者,通,通知,了,了个,人,人身,份,份信,息,息遭,窃,窃取,,,,,15.9%,受访,者,者表,示,示他,们,们为,用,用户,和,和客,户,户提,供,供了,新,新的,安,安全,服,服务,受访,者,者大,多,多数,认,认为,规,规范,操,操作,对,对安,全,全管,理,理非,常,常重,要,要,2011,年,年电,子,子商,务,务安,全,全管,理,理关,注,注,电子,商,商务,交,交易,中,中的,欺,欺诈,恶意,软,软件(病,毒,毒、,蠕,蠕虫,、,、木,马,马),的,的预,防,防和,检,检测,安全,战,战略,和,和重,组,组预,算,算,业务,延,延续,性,性、,避,避免,中,中断,、,、恢,复,复能,力,力,数据,保,保护,、,、隐,私,私保,护,护、,客,客户,和,和员,工,工保,护,护,员工,的,的疏,忽,忽和,时,时间,的,的浪,费,费,入侵,的,的检,测,测和,阻,阻止,数据,泄,泄露,内容,提,提要,9.1,电子,商,商务,安,安全,的,的持,续,9.2,安全是各方都须考虑的问题,9.3,基本安全问题,9.4,威胁和攻击的种类,9.5,应对电子商务安全问题,9.6,电子商务通信安全,9.7,安全电子商务网络,9.8,管理上的问题,9.9,案例研究,本章作业,9.2,安全,是,是各,方,方都,须,须考,虑,虑的,问,问题,随着,注,注重,技,技术,环,环节,的,的电,子,子商,务,务变,得,得越,来,来越,复,复杂,,,,其,受,受到,的,的攻,击,击概,率,率大,大,大增,加,加了,,,,技,术,术部,门,门不,仅,仅变,得,得越,来,来越,脆,脆弱,,,,也,越,越来,越,越难,以,以管,理,理,电脑,黑,黑客,、,、行,业,业间,谍,谍、,公,公司,内,内部,交,交易,者,者、,国,国外,政,政府,机,机构,、,、其,他,他犯,罪,罪团,体,体等,利,利用,这,这一,状,状况,进,进行,攻,攻击,潜在,犯,犯罪,行,行为,的,的多,样,样化,使,使得,阻,阻止,潜,潜在,攻,攻击,以,以及,侦,侦测,这,这种,攻,攻击,变,变得,非,非常,困,困难,IDC,数据,:,:,调查,,,,,2003,年,,全,全球,安,安全,费,费用,超,超,700,亿美,元,元,预测,,,,,2007,年,,960,亿美,元,元,内容,提,提要,9.1,电子,商,商务,安,安全,的,的持,续,续性,要,要求,9.2,安全,是,是各,方,方都,须,须考,虑,虑的,问,问题,9.3,基本,安,安全,问,问题,9.4,威胁,和,和攻,击,击的,种,种类,9.5,应对,电,电子,商,商务,安,安全,问,问题,9.6,电子,商,商务,通,通信,安,安全,9.7,安全,电,电子,商,商务,网,网络,9.8,管理,上,上的,问,问题,9.9,案例,研,研究,本章,作,作业,9.3,基本,安,安全,问,问题,电子,商,商务,安,安全,问,问题,不,不仅,仅,仅是,阻,阻止,或,或响,应,应网,络,络攻,击,击和,入,入侵,,,,而,且,且包,括,括其,他,他一,系,系列,的,的问,题,题,安全,问,问题,场,场景,:,:,如果,某,某用,户,户连,入,入某,网,网站,服,服务,器,器以,获,获得,产,产品,信,信息,,,,作,为,为回,报,报,,用,用户,被,被要,求,求填,写,写一,张,张表,单,单来,提,提供,一,一些,统,统计,资,资料,和,和个,人,人信,息,息,这种,情,情况,下,下,,会,会产,生,生哪,些,些安,全,全问,题,题呢,?,?,安全,问,问题,场,场景,从用,户,户视,角,角,用户,如,如何,确,确定,网,网络,服,服务,器,器的,所,所有,者,者和,操,操作,者,者是,合,合法,的,的公,司,司呢,?,?,用户,如,如何,知,知道,网,网页,和,和表,格,格不,包,包含,一,一些,恶,恶意,或,或危,险,险的,代,代码,与,与内,容,容呢,?,?,用户,如,如何,知,知道,网,网站,服,服务,器,器的,拥,拥有,者,者不,会,会将,其,其提,供,供的,个,个人,信,信息,泄,泄露,给,给其,他,他人,呢,呢?,从公,司,司视,角,角,公司,如,如何,知,知道,用,用户,不,不会,试,试图,闯,闯入,网,网络,服,服务,器,器或,修,修改,网,网站,网,网页,内,内容,呢,呢?,公司,如,如何,知,知道,用,用户,不,不会,试,试图,干,干扰,网,网站,服,服务,器,器从,而,而使,得,得其,他,他用,户,户无,法,法访,问,问呢,?,?,从用,户,户和,公,公司,双,双方,视,视角,用户,和,和公,司,司如,何,何知,道,道网,络,络连,接,接中,不,不会,遭,遭到,第,第三,方,方的,在,,窃,窃听,呢,呢?,用户,和,和公,司,司如,何,何知,道,道服,务,务器,和,和用,户,户浏,览,览器,之,之间,传,传递,的,的信,息,息不,会,会在,中,中途,被,被修,改,改呢,?,?,主要,安,安全,问,问题,认证,,,,,authentication,用户,在,在网,站,站浏,览,览网,页,页时,,,,如,何,何确,定,定网,站,站不,是,是欺,骗,骗呢,?,?,一个,实,实体,验,验证,另,另一,个,个实,体,体身,份,份与,其,其所,声,声称,的,的身,份,份一,致,致,,认,认证,授权,,,,,authorization,授权,可,可保,证,证用,户,户或,程,程序,访,访问,并,并获,得,得特,定,定的,资,资源,审查,,,,,auditing,审查,就,就是,收,收集,试,试图,获,获取,特,特殊,资,资源,、,、利,用,用特,定,定权,限,限或,进,进行,安,安全,活,活动,的,的信,息,息的,过,过程,审查,提,提供,了,了一,种,种再,现,现行,为,为详,细,细信,息,息的,方,方法,保密,性,性,,confidentiality,,,privacy,保密,性,性是,指,指私,人,人或,敏,敏感,信,信息,不,不应,该,该向,未,未授,权,权人,、,、实,体,体或,计,计算,机,机软,件,件处,理,理系,统,统透,露,露,完整,性,性,,integrity,数据,在,在转,移,移或,存,存储,后,后可,能,能会,被,被修,改,改或,破,破坏,保护,数,数据,在,在未,授,授权,或,或突,发,发事,件,件中,不,不被,修,修改,或,或破,坏,坏的,能,能力,,,,叫,完,完整,性,性,可用,性,性,,availability,,网,网站,的,的可,用,用性,是,是指,如,如果,个,个人,或,或程,序,序需,要,要数,据,据时,他,他们,可,可以,访,访问,网,网页,、,、数,据,据或,服,服务,不可否认性,,nonrepudiation,如果某人通过公,司,司网站并且通过,信,信用卡支付货款,,,,这个人可能会,声,声称自己没有下,订,订单,不可否认性是指,限,限制合法交易被,拒,拒绝的能力,电子商务网站的,普,普通安全问题,内容提要,9.1,电子商务安全的,持,持续性要求,9.2,安全是各方都须,考,考虑的问题,9.3,基本安全问题,9.4,威胁和攻击的种,类,类,9.5,应对电子商务安,全,全问题,9.6,电子商务通信安,全,全,9.7,安全电子商务网,络,络,9.8,管理上的问题,9.9,案例研究,本章作业,9.4,威胁和攻击的种,类,类,攻击分为两种类,型,型:,非技术型攻击,技术型攻击,非技术型攻击,,nontechnical attack,指那些犯罪者利,用,用欺骗或其他诱,惑,惑的手段使得人,们,们泄露敏感信息,或,或采取降低网络,安,安全性的活动,也称为社会型攻,击,击,技术型攻击,,technical attack,利用软件和系统,知,知识进行技术型,攻,攻击,计算机病毒攻击,是,是一种典型的技,术,术型攻击,非技术型攻击:,社,社会型攻击,IT,工作人员倾向于,关,关注网络安全的,技,技术层面,——,防火墙、加密、,数,数字签名等,然,而,而多数网络的致,命,命弱点在于其应,用,用人群,两类社会型攻击,:,:,基于人的社会型,攻,攻击,(,依靠传统的方法,,,,例如面谈或电,话,话,),基于计算机的社,会,会型攻击,(,用很多计谋诱惑,用,用户提供敏感信,息,息,),对付社会型攻击,的,的方法:,教育与培训,,策略与程序,引,导,导员工按规范处,理,理机密信息,入侵检测,外部,专,专家扮演黑客角,色,色,进行攻击检,测,测,技术型攻击,拒绝服务式攻击,攻击者利用特殊,软,软件向目标计算,机,机发送大量数据,包,包,使目标网站,资,资源超负荷,恶意代码:病毒,、,、蠕虫、特洛伊,木,木马,病毒,(virus),是一份将其自身,植,植入一台宿主,——,包括操作系统,,进,进行繁殖的代码,。
它不能独立运,营,营,需要其宿主,程,程序被运行从而,激,激活它例如,,米,米凯朗基罗病毒,由,由其生日激活,蠕虫,(worm),是一段能独立运,行,行、为了维护自,身,身存在会消耗主,机,机资源,并且能,复,复制一个自身的,完,完全工作版本到,另,另一台机器上的,程,程序,特洛伊木马,(Trojanhorse),是一种看起来有,用,用的程序,但是,其,其包含的隐藏功,能,能带来了安全风,险,险这种程序往,往,往有两个组成部,分,分:一个服务器,端,端和一个客户端,服务器端运行,在,在被攻击计算机,上,上,客户端程序,用,用于控制攻击的,程,程序,内容提要,9.1,电子商务安全的,持,持续性要求,9.2,安全是各方都须,考,考虑的问题,9.3,基本安全问题,9.4,威胁和攻击的种,类,类,9.5,应对电子商务安,全,全问题,9.6,电子商务通信安,全,全,9.7,安全电子商务网,络,络,9.8,管理上的问题,9.9,案例研究,本章作业,9.5,应对电子商务安,全,全问题,公司在安全问题,上,上常犯的错误:,价值被低估的信,息,息,(,很少有组织对特,殊,殊信息资产的价,值,值有清晰的了解,),对安全边界的定,义,义过于狭窄,(,例如,仅关注内,部,部网安全,忽视,了,了供应链合作伙,伴,伴的安全,),事后安全管理,(,许多组织采取事,后,后而不是事前安,全,全管理,),过时的安全管理,程,程序,(,安全机制没有及,时,时更新或更换,),缺乏关于安全责,任,任的沟通,(,安全问题常被认,为,为是,IT,问题,而不是组,织,织问题,),安全风险管理,识别关键计算机,、,、网络以及信息,资,资产的系统化过,程,程,评估对于这,些,些资产的风险和,威,威胁,以及切实,降,降低安全风险和,威,威胁,称为安全,风,风险管理,安全风险管理的,步,步骤:,定义资产:确定,关,关键计算机、网,络,络和信息资产,,确,确认这些资产的,价,价值,风险评估:包括,识,识别威胁、漏洞,和,和风险,实施:按照风险,发,发生的可能性和,潜,潜在损失进行优,先,先级排序,提出,解,解决办法和应对,策,策略,内容提要,9.1,电子商务安全的,持,持续性要求,9.2,安全是各方都须,考,考虑的问题,9.3,基本安全问题,9.4,威胁和攻击的种,类,类,9.5,应对电子商务安,全,全问题,9.6,电子商务通信安,全,全,9.7,安全电子商务网,络,络,9.8,管理上的问题,9.9,案例研究,本章作业,9.6,电子商务通信安,全,全,安全技术手段:,用来保护网络通,信,信安全的技术手,段,段,用来保护网络上,的,的服务器和客户,机,机安全的技术手,段,段,访问控制与身份,认,认证,访问控制,确定,谁,谁可以合法地使,用,用某个网络的资,源,源以及可以使用,哪,哪些资源,常用,访,访问控制表,(ACL),身份认证,确认,用,用户身份正是其,所,所宣称的那样。
确,确认过程基于用,户,户特征,(,某人所了解信息,(,密码,),、某人,的,的所有,物,物,(,凭证,),、某人,其,其本身,(,指纹,)),生物特,征,征识别,系,系统,公钥基,础,础设施,生物特,征,征识别,系,系统,biometricsystems,生物特,征,征识别,系,系统能,通,通过搜,索,索生物,特,特征数,据,据库,,从,从众多,登,登录用,户,户中识,别,别出一,个,个人,,或,或者系,统,统能够,通,通过匹,配,配一个,人,人的生,理,理特征,与,与以前,存,存储的,数,数据,,验,验证一,个,个人宣,称,称的身,份,份,生物特,征,征识别,的,的两种,技,技术方,式,式:,生理特,征,征识别,技,技术:,指,指纹扫,描,描、虹,膜,膜扫描,、,、面部,扫,扫描,行为特,征,征识别,技,技术:,语,语音扫,描,描、按,键,键监控,公钥基,础,础设施,publickey infrastructure,,,PKI,PKI,是电子,支,支付的,基,基石,私钥和,公,公钥加,密,密,对称密,钥,钥加密,公共密,钥,钥加密,,,,非对,称,称密钥,加,加密,数字签,名,名,数字证,书,书和认,证,证中心,安全套,接,接层,,,,,Message digest,,,,,Encrypt,,Digital Signature,message,message,,,Sally’s,certificate,,,,,,,,Encrypt,SymmetricKey,,EncryptedMessage,,Richard’s,certificate,,,,,,,,,,,Encrypt,Richard’spublic Key,Digital Envelope,,Sally’s (sender,’,’s)computer,,,EncryptedMessage,Digital Envelope,,Message,Digital Envelope,,,Decrypt,Sally’s PrivateSignature Key,,,,Richard’sPrivateSignatureKey,,,,,EncryptedMessage,,,,,Decrypt,message,,,Sally’s,certificate,,,,,,,Message digest,,Digital Signature,,,,,Decrypt,Sally’s PublicSignatureKey,,Message digest,Compare,Richard’s(receiver’s) computer,SecureTransmission SchemesinSSL andSETprotocol,SymmetricKey,内容提,要,要,9.1,电子商,务,务安全,的,的持续,性,性要求,9.2,安全是,各,各方都,须,须考虑,的,的问题,9.3,基本安,全,全问题,9.4,威胁和,攻,攻击的,种,种类,9.5,应对电,子,子商务,安,安全问,题,题,9.6,电子商,务,务通信,安,安全,9.7,安全电,子,子商务,网,网络,9.8,管理上,的,的问题,9.9,案例研,究,究,本章作,业,业,9.7,安全电,子,子商务,网,网络,安全理,念,念:,多层保,护,护,网,络,络关键,节,节点应,该,该采用,多,多种技,术,术手段,访问控,制,制,最,小,小特权,原,原则,,默,默认情,况,况下不,允,允许访,问,问网络,资,资源,角色安,全,全,应,该,该基于,用,用户在,组,组织中,的,的角色,访,访问网,络,络资源,监控,,监,监控网,络,络的运,行,行,给系统,打,打补丁,,,,及时,升,升级,,阻,阻塞安,全,全漏洞,响应团,队,队,组,织,织需要,应,应付安,全,全攻击,的,的团队,防火墙,,,,,firewall,由软件,和,和硬件,组,组成的,隔,隔离私,有,有网络,和,和公共,网,网络的,网,网络节,点,点,非军事,化,化区,,demilitarized zone,,,DMZ,DMZ,是设在,组,组织内,部,部网络,和,和外部,网,网络,(,互联网,),之间的,网,网络区,域,域,在,两,两个网,络,络之间,提,提供由,防,防火墙,实,实施的,规,规则控,制,制的物,理,理隔离,VPN,,虚拟,专,专用网,,,,,virtual privatenetwork,VPN,利用公,共,共互联,网,网传输,信,信息,,用,用加密,组,组件保,护,护通信,过,过程确,保,保私密,性,性,用,认,认证确,保,保信息,没,没有被,篡,篡改并,确,确保信,息,息来自,合,合法的,来,来源,,用,用访问,控,控制合,适,适网络,使,使用者,的,的身份,入侵检,测,测技术,,,,,intrusiondetection systems,,,IDS,IDS,是监视,网,网络或,主,主机上,的,的活动,、,、关注,可,可以活,动,动并给,予,予所观,察,察到的,情,情况自,动,动采取,行,行动的,软,软件,蜜网和,蜜,蜜罐,蜜网和,蜜,蜜罐,蜜网,(honeynet),,蜜罐,(honeypots),蜜网时,可,可以用,来,来检测,和,和分析,入,入侵行,为,为的一,种,种技术,蜜网是,设,设计像,蜂,蜂蜜吸,引,引蜜蜂,一,一样来,吸,吸引黑,客,客的蜜,罐,罐网络,蜜罐是,诸,诸如防,火,火墙、,路,路由器,、,、,Web,服务器,、,、数据,库,库服务,器,器、文,件,件之类,的,的信息,系,系统资,源,源,它,们,们做得,像,像生产,系,系统一,样,样但却,不,不工作,在蜜罐,上,上进行,的,的是来,自,自入侵,者,者尝试,攻,攻破系,统,统的活,动,动,作,为,为分析,需,需要,内容提,要,要,9.1,电子商,务,务安全,的,的持续,性,性要求,9.2,安全是,各,各方都,须,须考虑,的,的问题,9.3,基本安,全,全问题,9.4,威胁和,攻,攻击的,种,种类,9.5,应对电,子,子商务,安,安全问,题,题,9.6,电子商,务,务通信,安,安全,9.7,安全电,子,子商务,网,网络,9.8,管理上,的,的问题,9.9,案例研,究,究,本章作,业,业,9.8,管理上,的,的问题,我们对,安,安全的,投,投入够,多,多吗?,薄弱的,网,网络安,全,全在商,业,业上的,后,后果是,什,什么?,什么样,的,的电子,商,商务网,站,站容易,被,被攻击,?,?,建立强,大,大的电,子,子商务,安,安全的,关,关键是,什,什么?,企业建,立,立安全,规,规划应,遵,遵循的,步,步骤有,哪,哪些?,企业要关心,内,内部的安全,威,威胁吗?,内容提要,9.1,电子商务安,全,全的持续性,要,要求,9.2,安全是各方,都,都须考虑的,问,问题,9.3,基本安全问,题,题,9.4,威胁和攻击,的,的种类,9.5,应对电子商,务,务安全问题,9.6,电子商务通,信,信安全,9.7,安全电子商,务,务网络,9.8,管理上的问,题,题,9.9,案例研究,本章作业,本章作业,列出电子商,务,务网站面临,的,的主要安全,问,问题。
简述非技术,网,网络攻击与,技,技术网络攻,击,击的区别什么是生物,特,特征识别系,统,统?,给出,PKI,的中文含义,对称加密和,非,非对称加密,的,的基本区别,是,是什么?,描述数字签,名,名是怎样产,生,生的?,简述电子商,务,务的安全理,念,念简述蜜网和,蜜,蜜罐的作用,和,和特点。
