《电子商务安全与支付》课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《电子商务安全与支付》课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务安全与支付 电子商务 安全 支付 课件
- 资源描述:
-
1、Copyright 2000-2010 毛志斌1Copyright 2000-2010 毛志斌2 本课程是电子商务专业的核心专业课。本课程是电子商务专业的核心专业课。通过本课程的学习,学生掌握电子支付与交易的通过本课程的学习,学生掌握电子支付与交易的相关知识,包括电子支付工具、电子支付流程、相关知识,包括电子支付工具、电子支付流程、网络金融工具、网络清算系统等,以及第三方支网络金融工具、网络清算系统等,以及第三方支付、手机支付等新兴的支付应用;付、手机支付等新兴的支付应用;从电子商务系统的安全角度出发,掌握网络安全从电子商务系统的安全角度出发,掌握网络安全的技术实现:加密、数字签名、时间戳、安
2、全认的技术实现:加密、数字签名、时间戳、安全认证及安全协议等相关内容;证及安全协议等相关内容;对电子商务支付的法律保障有所了解。对电子商务支付的法律保障有所了解。前导课程:计算机网络、电子商务概论前导课程:计算机网络、电子商务概论课程简介Copyright 2000-2010 毛志斌3INDEX安全与支付概述安全与支付概述安全需求安全需求安全措施安全措施支付系统支付系统电子商务的认证电子商务的认证安全电子交易协议安全电子交易协议安全套接层协议安全套接层协议安全解决方案安全解决方案 Copyright 2000-2010 毛志斌4第一章 电子商务系统 安全与支付概述Copyright 2000-
3、2010 毛志斌5 1.1 电子商务及其发展 1.2 网络信息安全 1.3 电子商务安全规范 1.4 电子商务和支付系统重点难点:网络信息安全的目标、网络信息安全的目标、电子商务系统安全层次、电子商务系统安全层次、电子商务安全规范电子商务安全规范 Copyright 2000-2010 毛志斌6 什么是电子商务:企业利用网络信息技企业利用网络信息技术和电子技术来从事的术和电子技术来从事的外部经营和营销外部经营和营销活动活动以及与这些活动相关的以及与这些活动相关的外部环境外部环境。外部在线商务活动主要包括:外部在线商务活动主要包括:采购、销售、商贸磋商、价格比较、采购、销售、商贸磋商、价格比较、
4、经营决策、营销策略、推销促销、经营决策、营销策略、推销促销、公关宣传、售前公关宣传、售前/售后服务、售后服务、客户关系、咨询服务等客户关系、咨询服务等外部环境:外部环境:安全认证、清算结算、物流配送、安全认证、清算结算、物流配送、信用体系、技术标准、支付体系等信用体系、技术标准、支付体系等 Copyright 2000-2010 毛志斌7传统EDI存在的问题 美国只有美国只有5%5%企业使用企业使用EDIEDI,主要集中在大企业,主要集中在大企业 环境问题环境问题 基于良好的贸易伙伴信任关系而不是权力依赖基于良好的贸易伙伴信任关系而不是权力依赖 能自动接受订单,友好处理错误问题能自动接受订单,
5、友好处理错误问题 费用问题费用问题 系统集成费、入网费、信息传输费系统集成费、入网费、信息传输费 (GEGE系统系统 100100万美元)万美元)安全问题安全问题 保密性、完整性、可用性保密性、完整性、可用性 Copyright 2000-2010 毛志斌8 Internet的产生 ARPA(Advanced Research Project Agency)50年代年代 美国高级研究计划署成立美国高级研究计划署成立 ARPANET 60年代年代 NSFNET的诞生的诞生 80年代年代 用于教育和科研用于教育和科研 National Science Foundation 成立计算机科成立计算机科
6、学网学网 1990年开始年开始,NSFNET 取代取代ARPANET Copyright 2000-2010 毛志斌9中国电子商务市场的复苏 Copyright 2000-2010 毛志斌10中国网民人数增长情况数据来源:第26次中国互联网络发展状况统计报告 中国互联网络信息中心(CNNIC)2010年7月 Copyright 2000-2010 毛志斌11用户对当前互联网在如下几方面表现的满意程度及总体满意度:数据来源:第26次中国互联网络发展状况统计报告 中国互联网络信息中心(CNNIC)2010年7月非常满意比较满意一般不太满意很不满意网络速度4.3%37.3%37.6%15.3%5.5
7、%费用及收费规则2.8%15.2%47.1%26.5%8.4%安全性2.3%15.0%49.5%25.1%8.1%中文信息的丰富性9.4%43.8%38.9%6.2%1.7%内容的真实性3.0%28.4%45.8%18.0%4.8%内容的健康性2.8%27.3%46.2%18.1%5.6%对个人隐私的保护3.0%18.2%50.1%22.0%6.7%操作简便10.3%50.6%32.8%5.0%1.3%总体满意度2.9%42.2%47.6%6.4%0.9%Copyright 2000-2010 毛志斌12用户不进行网上交易的原因是:交易安全性得不到保障 61.5%产品质量、售后服务得不到保障
8、45.7%担心隐私受侵犯 28.2%条件不允许 23.3%付款不方便 21.7%送货不及时 10.7%价格不够诱人 10.2%商品数量和种类不够丰富 8.3%其他 4.0%数据来源:第26次中国互联网络发展状况统计报告 中国互联网络信息中心(CNNIC)2010年7月Copyright 2000-2010 毛志斌13用户一般选择什么送货方式:其它快递:50.8%普通邮寄:39.0%EMS:28.2%航空、铁路发运:2.4%其它:5.4%数据来源:第26次中国互联网络发展状况统计报告 中国互联网络信息中心(CNNIC)2010年7月Copyright 2000-2010 毛志斌14用户一般采取哪
9、种付款方式:网上支付:73.8%货到付款(现金结算):28.1%银行汇款:15.2%邮局汇款:12.4%手机支付:2.4%其它:2.0%数据来源:第26次中国互联网络发展状况统计报告 中国互联网络信息中心(CNNIC)2010年7月Copyright 2000-2010 毛志斌15电子商务活动由四大中心组成 认证中心 交易中心 支付中心 配送中心 Copyright 2000-2010 毛志斌16电子商务中的安全问题 Internet给电子商务带来如下的安全问题给电子商务带来如下的安全问题 (1 1)信息泄露)信息泄露 (2 2)信息篡改)信息篡改 (3 3)信息破坏)信息破坏 (4 4)抵赖
10、行为)抵赖行为 电子商务系统安全控制要求:电子商务系统安全控制要求:(1 1)信息的保密性)信息的保密性 (2 2)信息的完整性)信息的完整性 (3 3)身份认证)身份认证 (4 4)不可抵赖性)不可抵赖性 Copyright 2000-2010 毛志斌17电子商务支付系统ConsumerOnline BankCA Copyright 2000-2010 毛志斌18实验一:安全支付现状调查【实验目的实验目的】了解电子商务安全与支付的现实环境了解电子商务安全与支付的现实环境【实验要求实验要求】1 1查找查找CNNICCNNIC第第2626次中国互联网络发展状次中国互联网络发展状况统计报告况统计报
11、告及及第第2525次中国互联网络发展状次中国互联网络发展状况统计报告况统计报告并下载保存并下载保存 2 2阅读、比较其中关于安全支付的数据及阅读、比较其中关于安全支付的数据及分析,了解中国电子商务安全及支付发展的现分析,了解中国电子商务安全及支付发展的现状状,并写出并写出500500字的报告一份。字的报告一份。上机内容 Copyright 2000-2010 毛志斌19第二章 电子商务系统的 安全需求Copyright 2000-2010 毛志斌20本章目录 2.1 安全问题的产生 2.2 交易环境的安全性 2.3 交易对象和交易过程的安全性 2.4 网上支付的安全需求重点难点:客户机的安全性
12、、通信信道的安全性、客户机的安全性、通信信道的安全性、服务器的安全性、支付系统的安全需求服务器的安全性、支付系统的安全需求 Copyright 2000-2010 毛志斌21安全问题的产生本章重点:识别安全威胁并保护资产免受 这些安全威胁的方法图2.1:风险管理模型IIIIIIIV控制预防不用理会保险或备份计划影响大(成本)影响小(成本)概率低概率高 Copyright 2000-2010 毛志斌22安全策略主要内容n认证:谁想访问电子商务网站谁想访问电子商务网站n访问控制:允许谁访问电子商务网站允许谁访问电子商务网站n保密:谁有权利查看特定的信息谁有权利查看特定的信息n数据完整性:允许谁修改
13、数据允许谁修改数据n审计:在何时由何人导致了何事在何时由何人导致了何事 Copyright 2000-2010 毛志斌23EC系统的安全需求交易交易环境环境交易交易对象对象交易交易过程过程支付支付安全需求安全需求电子商务系统安全需求分为四个方面 Copyright 2000-2010 毛志斌24交易环境的安全交易环境的安全客户机安全性通信信道安全性服务器安全性保护在因特网上的信息传输保护客户机保护电子商务服务器交易环境的安全交易环境的安全 Copyright 2000-2010 毛志斌251.活动内容活动内容2.Java、Java小应用程序和小应用程序和 JavaScript3.ActiveX
14、控件控件4.图形文件、插件和电子邮件图形文件、插件和电子邮件的附件的附件客户机的安全性 Copyright 2000-2010 毛志斌26China SETIhome Group 服务网站服务网站 客户机的安全性 Copyright 2000-2010 毛志斌27Sun公司的公司的Java小应用程序页面小应用程序页面客户机的安全性 Copyright 2000-2010 毛志斌28IE检测到一个检测到一个ActiveX控件时控件时发出的警告信息发出的警告信息客户机的安全性 Copyright 2000-2010 毛志斌29 网景公司的插件页面网景公司的插件页面客户机的安全性 Copyright
15、 2000-2010 毛志斌30通信信道的安全性1.对保密性的安全威胁2.对完整性的安全威胁3.对即需性的安全威胁 Copyright 2000-2010 毛志斌31Anonymizer 主页主页你想匿名访问的网站的URL通信信道的安全性 Copyright 2000-2010 毛志斌32服务器的安全性1.WWW服务器的安全性2.公用网关接口的安全性3.其他程序的安全性 Copyright 2000-2010 毛志斌33服务器的安全性用浏览器显示文件夹名 Copyright 2000-2010 毛志斌34数据库数据库的安全的安全性性:Oracle安全特安全特性网页性网页服务器的安全性 Copy
16、right 2000-2010 毛志斌35其他程序的安全性进程地址空间保留区缓存局部数据返回地址攻击程序Jump内存高端0数据读入缓存并进入到保留区里保存返回地址的区域中缓存溢出攻击 Copyright 2000-2010 毛志斌36 网络安全与黑客 网络攻击常用技术:口令破解口令破解 计算机病毒计算机病毒 拒绝服务攻击拒绝服务攻击 网络监听网络监听 特洛伊木马特洛伊木马 缓冲区溢出缓冲区溢出 Copyright 2000-2010 毛志斌37 Preaking(飞客)对电话交换机的欺骗对电话交换机的欺骗,Boxing Hacker(黑客)热衷于计算机程序的设计者热衷于计算机程序的设计者 Cr
17、acker(克客)攻击者和入侵者攻击者和入侵者“真正的黑客,在于进入而不破坏。”Copyright 2000-2010 毛志斌381.1.不恶意破坏任何的系统不恶意破坏任何的系统,这样作只会给你带来麻烦。恶意破这样作只会给你带来麻烦。恶意破坏它人的软件将导致法律责任坏它人的软件将导致法律责任,如果你只是使用电脑如果你只是使用电脑,那仅为非那仅为非法使用。法使用。注意注意:千万不要破坏别人的文件或数据。千万不要破坏别人的文件或数据。2.2.不修改任何系统文件不修改任何系统文件,如果你是为了要进入系统而修改它如果你是为了要进入系统而修改它,请在达到目的后将它还原。请在达到目的后将它还原。3.3.不
18、要轻易的将你要不要轻易的将你要HackHack的站点告诉你不信任的朋友。的站点告诉你不信任的朋友。4.4.不要在不要在bbs/bbs/论坛上谈论关于你论坛上谈论关于你HackHack的任何事情。的任何事情。5.5.在在PostPost文章的时候不要使用真名。文章的时候不要使用真名。6.6.入侵期间入侵期间,不要随意离开你的电脑。不要随意离开你的电脑。7.7.不要入侵或攻击电信不要入侵或攻击电信/政府机关的主机。政府机关的主机。8.8.不在电话中谈论关于你不在电话中谈论关于你HackHack的任何事情。的任何事情。9.9.将你的笔记放在安全的地方。将你的笔记放在安全的地方。10.10.读遍所有有
19、关系统安全或系统漏洞的文件读遍所有有关系统安全或系统漏洞的文件 (英文快点学好英文快点学好)!)!11.11.已侵入电脑中的帐号不得删除或修改。已侵入电脑中的帐号不得删除或修改。12.12.不得修改系统文件不得修改系统文件,如果为了隐藏自己的侵入而作的修改则如果为了隐藏自己的侵入而作的修改则不在此限不在此限,但仍须维持原来系统的安全性但仍须维持原来系统的安全性,不得因得到系统的控不得因得到系统的控制权而破坏原有的安全性。制权而破坏原有的安全性。13.13.不将你已破解的帐号分享与你的朋友。不将你已破解的帐号分享与你的朋友。Copyright 2000-2010 毛志斌39 1.这世上充满着等着
20、被解决的迷人问题。这世上充满着等着被解决的迷人问题。2.没有任何人必须一再的解决同一个问题。没有任何人必须一再的解决同一个问题。3.无聊而单调的工作是有害的。无聊而单调的工作是有害的。4.自由才好。自由才好。5.态度并非不等效于能力态度并非不等效于能力 6.写免费的软件。写免费的软件。7.帮忙帮忙test和和debug免费的软件。免费的软件。8.公布有用的资讯。公布有用的资讯。9.帮忙维持一些简单的工作。帮忙维持一些简单的工作。10.为为hacker文化而努力。文化而努力。Copyright 2000-2010 毛志斌40口令破解的方法口令破解的方法 利用漏洞、穷举法(蛮力猜测)、利用漏洞、穷
21、举法(蛮力猜测)、直接猜测、字典法破译、直接猜测、字典法破译、网络监听、缺省的登录界面攻击、网络监听、缺省的登录界面攻击、人为失误、获取密码存放文件人为失误、获取密码存放文件 Copyright 2000-2010 毛志斌41保证口令的安全保证口令的安全 注意口令的组合注意口令的组合 防止口令被监听防止口令被监听 防止穷举法和字典式攻击防止穷举法和字典式攻击 加强管理加强管理 Copyright 2000-2010 毛志斌42计算机病毒发展简史 20世纪世纪60年代初,年代初,“磁芯大战磁芯大战”游戏游戏 1977年,年,Thomas.J.Ryan的科幻小说的科幻小说 The Adolesce
22、nce of P-1 1983年年11月月3日,日,Fred Cohen 20世纪世纪80年代末,年代末,“巴基斯坦智囊巴基斯坦智囊”病病毒毒 1988年底,我国发现小球病毒年底,我国发现小球病毒 Copyright 2000-2010 毛志斌43 Copyright 2000-2010 毛志斌44计算机病毒的分类 按计算机病毒存在的媒体分按计算机病毒存在的媒体分 单机病毒、网络病毒、文件病毒、引导型病毒单机病毒、网络病毒、文件病毒、引导型病毒 按攻击对象分按攻击对象分 源码型病毒、嵌入型病毒、源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒外壳型病毒、操作系统型病毒 按计算机病毒的破坏情况
23、分按计算机病毒的破坏情况分 良性计算机病毒、恶性计算机病毒良性计算机病毒、恶性计算机病毒 按病毒特有的算法分按病毒特有的算法分 伴随型病毒、蠕虫型病毒、寄生型病毒伴随型病毒、蠕虫型病毒、寄生型病毒Copyright 2000-2010 毛志斌45网络时代计算机病毒的特点 网络和邮件系统为主要传播途径 传播速度快 危害性大 变种多 难于控制 难于根治、容易引起多次疫情 具有病毒、蠕虫和后门程序的功能 压缩文件成为新的载体 病毒技术发展Java,邮件炸弹阶段 Copyright 2000-2010 毛志斌46DoS攻击原理攻击原理 Copyright 2000-2010 毛志斌47DDoS攻击原理
24、攻击原理 Copyright 2000-2010 毛志斌48DDoS的攻击方法 Hogging 绕过普通操作系统的控制,在主机上运行一个程序,消耗系统资源直到OS失败。如Robert Morris的Internet蠕虫 Copyright 2000-2010 毛志斌49DDoS的攻击方法 Mail bombs 邮件炸弹软件通过伪造大量传输,使邮件服务器处理超过其超负荷能力的信息。Copyright 2000-2010 毛志斌50DDoS的攻击方法 Ping of Death SYN Flooding Zombies Smurf 放大器 Slashdot effect Copyright 200
25、0-2010 毛志斌51DDoS的防范 与网络服务提供商协作 优化路由及网络结构 优化对外提供服务的主机 响应小组 必要的培训 外部安全审核 保证外围主机和服务器的安全 定期使用漏洞扫描软件检查内网 Copyright 2000-2010 毛志斌52网络监听的概念 捕获在网络中传输的数据信息就称为sniffing(窃听)Sniffer通常是软硬件的结合 Copyright 2000-2010 毛志斌53网络监听的检测 注意网速 主机搜索 软件监测:Ifstatus,SSH 分段技术 加密 Copyright 2000-2010 毛志斌54 troyCopyright 2000-2010 毛志斌
展开阅读全文