欢迎来到天天文库
浏览记录
ID:52738016
大小:5.53 MB
页数:110页
时间:2020-03-30
《ec07电子商务安全.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、E-CommerceSecurityChapter7E-CommerceSecurity第七章电子商务安全E-CommerceSecurity一、电子商务的安全概述E-CommerceSecurity击垮电子商务网站:儿戏而已(BringingDownanECSite:MereChild’sPlay)•2000年2月7日上午Yahoo!遭攻击停机3个小时。•2月8日,Buy.com受到攻击陷于瘫痪,eBay也遭到攻击停机持续了一个下午,Amazon和CNN.Com也遭受攻击。•在35个小时之内,网站排名名列前茅的公
2、司几乎全部罹难。•2月9日,全美因特网运行性能下降26.8%。在2月7、8、9日这三天,受害公司的损失超过了10亿美元。3E-CommerceSecurity击垮电子商务网站:儿戏而已(BringingDownanECSite:MereChild’sPlay)•2月8日下午4点20分,新浪被袭,直到第二天下午才恢复正常。•这次大规模攻击使用的是一种叫“分布式拒绝服务”的新方法。•2001年1月,MSN、MSNBC、Expedia、Hotmail、Carpoint、Homeadvisor和Windowsmedia受到
3、攻击被迫中断。而加拿大“黑手党男孩”承认进行了2000年2月的攻击。4E-CommerceSecurity拒绝服务由于某种有意或无意的外界破坏,导致系统无法完成应有的网络服务项目(例如电子邮件或是联机功能等),即称为“拒绝服务”问题。此类破坏虽未直接威胁到信息安全,然而企业却往往需要耗费大量时间和精力来弥补错误,以恢复正常的服务。而在此期间,许多商机白白错过了,企业的商誉和形象也会大打折扣。5UsingZombies(受控端)inaDistributedDenialofServiceAttackSource:Sca
4、mbrayetal.(2000)E-CommerceSecurity分布式拒绝服务1.探测扫描大量主机以寻找可入侵的目标;2.入侵有安全漏洞的主机并获取控制权,在每台入侵主机中安装攻击程序;3.构造庞大的、分布式的攻网;4.在同一时刻,由分布的成千上万台主机向同一目标地址发出攻击,目标系统全线崩溃。7E-CommerceSecurityAttackSophisticationvs.IntruderTechnicalKnowledgeSource:SpecialpermissiontoreproducetheCERT
5、©/CCgraphic©2000byCarnegieMelonUniversity,inElectronicCommerce2002inAllenetal.(2000).8E-CommerceSecurity信息安全事件统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658详见:www.cert.orgwww.cert.org.cn有关报
6、告9E-CommerceSecurity信息保障•InformationAssurance•保护(Protect)•检测(Detect)保护检测•反应(React)ProtectDetect•恢复(Restore)反应恢复ReactRestore10E-CommerceSecurity11E-CommerceSecurity二、电子商务安全的现状E-CommerceSecurity1.WhyNow?•Securitysystemsareonlyasstrongastheirweakestpoints•Securit
7、yandeaseofuse(orimplementation)areantitheticaltooneanother•Securitytakesabackseattomarketpressures13E-CommerceSecurityWhyNow?(cont.)•SecurityofanECsitedependsonthesecurityoftheInternetasawhole•Securityvulnerabilitiesareincreasingfasterthantheycanbecombated•Sec
8、uritycompromisedbycommonapplications14E-CommerceSecurity2.TypesofThreatsandAttacks•Nontechnicalattack(非技术性攻击):Anattackthatuseschicanery(欺骗)totrickpeopleintorevealingsensitiveinform
此文档下载收益归作者所有