• 企业在开放的网络上管理经营数据也面临着 安全的威胁……
4
一、电子商务安全概述
在电子商务活动中，安全的意义其实非常广泛，不 安全的因素来自于多个层面。
有设备导致处理商业活动数据不正常的隐患， 也有网络设施运行不正常带来的威胁 更有电子商务交易活动参与者的诚信所带来的威胁
电子商务安全可以分成技术性的和非技术性的
（Macro Worm） • （4）“特洛伊木马”（Trojan”
• 是典型的嵌入式破坏程序，隐藏 在程序或页面里而掩盖其真实目 的程序，可窃听计算机上的保密 信息，并将这些信息传给它的 WWW服务器，从而构成保密性侵 害。严重的可以改变或删除客户 机上的信息，构成完整性侵害。
15
（2）对数据库的安全威胁
• 电子商务系统以数据库存储用户数据，并可从 WWW服务器所连的数据库中检索产品信息。数据 库除存储产品信息外，还可能保存有价值的信息 或隐私信息，如果被更改或泄露会对公司带来无 法弥补的损失。
16
（3）对公用网关接口（CGI） 的安全威胁
• 公用网关接口（CGI）可实现从WWW服务器到另 一个程序（如数据库程序）的信息传输。
• CGI和接收它所传输数据的程序为网页提供了活动 内容。
• 如果滥用CGI程序就会带来安全威胁。
17
2、通讯信道的安全威胁
• （1）交易的保密 • 交易的双方都要采取措施来保证交
易过程及资料不会被未经许可的第 三方获知。 • 保证交易秘密的最常见方法是对信 息及其传递过程进行加密。
18
（2）保证交易的完整性
• 攻击者通过向特定服务器发送大量指令来造成其 瘫痪而无法继续提供交易服务；而网站为了拒绝 攻击而删除因特网信息包，这意味着访问者再也 无法继续访问，从而导致交易中断。
20
3、客户机的保护措施
• （1）Internet Explorer的安全措施 • IE可对基于Active X或Java的活动内容做出反应，
• 交易的完整指交易双方所发的信息没有被第三方 修改，包括增加、减少或更改，以防止商业欺诈 的发生。
• 常见的方法是采用密钥的方式进行的。没有密钥 不可能打开信息，更不可能进行修改。
19
（3）保证交易传输
• 拒绝或延迟服务攻击会删掉或占用资源。如果系 统拒绝或延迟服务，就意味着不能保证交易的正 常传输。
10
11
“熊猫烧香”
12
2、网络攻击
• 网络的电子攻击可分为三个层次：
• 低层次威胁：是局部的威胁，包括消遣性黑客、 破坏公共财产者；
• 第二个层次：是有组织的威胁，包括一些机构 “黑客”、有组织的犯罪、工业间谍；
• 最高层次：是国家规模上的威胁，包括敌对的外 国政府、恐怖主义组织发起的全面信息战。
23
（3）处理Cookie
• Cookie可能包含各种信息，如发布Cookie的网站 名、用户在此网站上所访问的页面、用户名和口 令、信用卡号和地址信息等，目的是让用户在下 次可以快速实现访问。
• Cookie所带来的问题是以不为人觉察的方式收集 或存储信息，这就带来不安全的因素。如果希望 安全地访问网络资源，可以在设置中限制 Cookie 的使用。
27
（一）网络实体安全 1、环境安全 2、设备安全 3、媒体安全
28
（二）网络安全技术
• 1、广域网和局域网之间的访问控制 • 2、局域网的安全访问控制 • 3、对集中访问者的鉴别 • 4、数据安全传输 • 5、网络防病毒 • 6、信息备份
13
网络攻击的主要形式
• 1.拒绝服务攻击 • 2.非授权访问尝试 • 3.预探测攻击 • 4.可疑活动 • 5.协议解码 • 6.系统代理攻击
14
（四）服务器上的安全威胁
• 1、WWW带来的威胁 • （1）安全漏洞
• 安全漏洞是指破坏者可因之进入系统的安全方面 的缺陷。
• 由于系统设计的问题，访问者可能利用饶过一些 安全设置进入系统进行操作，如果在网上，外部 用户就可以非常方便地进入系统，形成安全威胁。
第四章 电子商务安全
© Yang Tianxiang,Soochow University
第一节 电子商务安全内容 第二节 电子商务安全保障技术 第三节 电子商务认证系统 第四节 防火墙
2
第一节 电子商务安全内容 第二节 电子商务安全保障技术 第三节 电子商务认证系统 第四节 防火墙
3
• 在电子商务交易过程中，交易数据与支付面 临着安全威胁
采用特殊的技术验证所下载活动内容的身份。
21
在IE中进行安全设置
22
（2）Navigator的安全措施
安全对话框:单击工具栏上的 Security，或者从菜单栏选择 Communicator、Tools、Security Info进入。
单击Navigator,使用安全对话框中 的复选框和列表可以选择显示的 警告消息。 要了解每一项设置的意义，单击 对话框中的Help按钮。
7
（二）电子商务的安全隐患
• 1、嵌入式页面破坏 • 在网络页面中，支持页面链接的动态模块是
嵌入在WWW后面的，浏览者本身是看不见 的。企图破坏客户机的人可将破坏性的活动 页面放进表面看起来完全无害的WWW页面 中。并且随时可以发作，形成破坏。
8
恶意代码种类
• （1）病毒（Virus） • （2）蠕虫（Worm） • （3）宏病毒（Macro Virus）和宏蠕虫
5
（一）计算机系统安全
1、计算机系统安全的定义 • 计算机系统安全：是为数据处理系统建立和
采用的技术和管理的安全保护，保护计算机 硬件、软件和数据不因偶然和恶意的原因遭 到破坏、更改和泄漏。
6
2、计算机安全的分类
• （1）保密：指防止未授权的数据暴露并确保数据 源的可靠性；
• （2）完整：指防止未经授权的数据修改； • （3）即需：指防止延迟或拒绝服务。
24
IE中的Cookie处理
25
（4）使用防病毒软件
• 防病毒软件可以保护计算机不受已下载到计算机 上的病毒攻击，是一种防卫策略。
• 计算机应该至少安装一种防病毒软件并保持定期 扫描和病毒库的升级。
26
二、电子商务安全的内容
• 目前网络存在的主要安全问题：
–网络实体不符合安全标准 –网络非授权访问 –信息泄漏和丢失 –破坏数据完整性 –非恶意的网络干扰 –病毒侵害等