返回
电子商务4安全与支付中

电子商务4安全与支付中

ID:39865282

大小:6.63 MB

页数:183页

时间:2019-07-13

电子商务4安全与支付中_第1页
电子商务4安全与支付中_第2页
电子商务4安全与支付中_第3页
电子商务4安全与支付中_第4页
电子商务4安全与支付中_第5页
资源描述:

《电子商务4安全与支付中》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章电子商务安全4.1电子商务安全概述4.2电子商务系统的安全需求4.3电子商务安全体系与安全交易标准4.4电子商务安全常见安全技术4.1电子商务安全概述4.1.1案例——网络安全简介4.1.2电子商务中常见的安全威胁和攻击4.1.3电子商务安全目标与内涵唐山黑客徐某4.1.1引例一——僵尸网络案底在我国互联网上有超过6万台的电脑,受到一神秘黑客编译的一种名为IPXSRV的后门程序的控制,组成了一个庞大的“僵尸网络”。而神秘黑客则通过操纵这个控制有6万余台电脑的“僵尸网络”,从2004年10月起,对北京一家音乐网站进行“拒绝服务”攻击,让6万余台电脑同时登录该网站,造成网络堵塞,让其他客户无

2、法访问该网站。该网站连续3个月遭到这个控制超过6万台电脑的“僵尸网络”的“拒绝服务(DDos)”攻击,造成经济损失达700余万元。徐某最终被判刑1年半KevinMitnick被美国政府通缉的头号黑客引例2案底15岁时潜入"北美空中防务指挥系统"的主机内,和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,然后又悄无声息地溜了出来。侵入美国国防部、中央情报局、五角大楼及北美空中防务体系等防守严密的网络系统。从而对美国一些国家机密了如指掌。闯入美国国家税务总局网络,窃取了许多美国名人纳税的绝密资料。从纽约花旗银行非法转移数字庞大的美元到指定账户。1995年被捕代价历时四年的多司法区的

3、追踪,声名狼藉的计算机怪客凯文·米蒂尼克(KevinMitnick)终于被逮捕。他被指控了25项计算机和存取设备的诈骗盗窃罪。这些诈骗盗窃活动导致诺基亚(Nokia)、NEC、SunMicrosystems、Novell、富士(Fujitsu)、和摩托罗拉(Motorola)损失了近八千万美元的知识产权和源码。FBI认为该案件是当时美国历史上最大的计算机犯罪案件。凯文·米蒂尼克被定罪并被判处了68个月的徒刑。他共服刑60个月,于2000年1月21日被假释。假释条件禁止他在2003年之前使用计算机或从事任何和计算机相关的顾问工作。一个著名的DDos攻击例子—Mitnick攻击(1995)利用TC

4、P/IP的三次握手过程的固有缺陷进行攻击SynFlood(洪水湮没攻击)利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是SynFlood存在的基础。图2TCP三次握手通过发送大量的Syn的半连接,使服务器消耗非常多的资源,从而无法对正常的用户请求进行响应图3SynFlood恶意地不完成三次握手国外DDos攻击的例子从2000年2月6日到2月7日,Amazon.com、Buy.com、CNN.com、eBay、E*TRADE、Yahoo、ZDNet等多家网站被大量访问请求所淹没,正常访问中断,造成商业损失达到17亿美元。直到2001年2月,加拿大的一名少年承认进行了2000年2月的攻

5、击网络安全事件增长非常快CERT报告的事件数量每年100%的增长率1988:“蠕虫”病毒攻击了当时Internet上约10%的计算机导致了CERT(计算机紧急响应小组)的成立目前网络上的混乱状况根据美国国家安全协会统计数据98%的企业都曾遇过病毒感染问题;63%的企业都曾因感染病毒失去文件资料;80%的Web服务器受到过黑客攻击;其中75%的企业遭到财产损失,平均损失高达$2,000,000;50%以上的CIO认为网络安全是最头疼的问题;80%的国内网站存在安全隐患;世界总损失达到$2万亿;FBI调查表明,95%的网络入侵未被发现;4.1.2电子商务中常见的安全威胁和 攻击方式窃取机密攻击:

6、网络踩点、扫描攻击、协议栈指纹鉴别、信息流监视、会话劫持非法访问漏洞:入侵者将会利用隐密的特性或缺陷来非法访问系统.口令破解、IP欺骗、DNS欺骗、特洛伊木马(后门)恶意攻击:邮件炸弹、缓冲区溢出攻击、拒绝服务(DoS)攻击,网络钓鱼等等网络病毒社交工程:专门指不用程序即可获取帐号、密码、信用卡密码、身份证号码、姓名、地址或其他可确认身份或机密数据的方法信息战网络钓鱼案例案例WesternUnionHoldings站点(2000)1999年9月,站点遭到入侵,入侵者偷走存储在数据库中大约16,000个用户的信用卡卡号,公司不得不一个个通知用户让他们知道这件事4.1.3电子商务安全目标与内涵信息

7、的机密性(Confidentiality)保证交易数据在传递过程中不被未授予权限的第三方非法访问完整性(Integrity)保证交易数据在传递过程中不被破坏和修改可用性(Availability)保证交易系统和网络资源任何时刻能即需即用,并能提供不间断的正确服务真实性(Authenticity)保证交易时各方身份真实有效、特别是电子支付时,更应该确定信用卡账户等是否真实有效不可抵赖性(Undeni

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。