第十章 电子商务安全威胁案例
10.1 案例
1988年 11月 3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了,不管他们怎么尝试,计算机都不响应。不幸的是,这次灾难只是计算机系统受到攻击的漫长历史的开始,这类攻击事件至今仍然存在。
1988年,追查这个灾难事件后发现,是康奈尔大学 23
岁的研究生小罗伯特莫里斯 ( Robert Morris Jr.) 干的 。
他放了一个互联网蠕虫,制造了互联网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作 。
所谓,蠕虫,,是将自己的,繁殖,版传给其他计算机 。
这个程序之所以能够在互联网迅速传播,主要是由于 UNIX
电子邮件程序上有一个缺陷 。 蠕虫侵入和感染了六千两百多台计算机 ( 占当时互联网计算机的 10% ),导致大面积的停机事件 。 由于媒体对这次事件大肆渲染,一些未被感染的网站干脆切断了互联网连接 。 停机及其相关损失的成本无法准确计算 。
第十章 电子商务安全威胁案例
10.1 案例有些估计认为损失的计算时间 ( 称为拒绝服务 ) 价值
2400万美元,消除病毒和恢复计算机同互联网连接的直接成本大约为 4000万美元;有些估计则认为成本接近 1亿美元 。
研究蠕虫的专家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机 。 互联网蠕虫使计算机世界猛醒过来 。 自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的考虑因素 。 蠕虫等病毒和通过互联网非法侵入计算机系统等现象促使计算机安全业的诞生,这些计算机安全专家致力于监视和阻止对网上计算机的攻击和渗透 。
第十章 电子商务安全威胁
理查德。 M。史托漫与共享软件
艾伯内与 phreaking
Morris、偶像
米特尼克与 FBI、家境贫寒
帕沃森与洛山矶电台
John。哈辛凯恩与电子邮件
普啦迪米勒。列宾、俄罗斯黑客头号人物,FBI
为其辩护历史上有名的黑客本章内容
互联网安全问题
知识产权面临的安全威胁
客户机面临的安全威胁
计算机之间的通信信道面临的安全威胁
服务器面临的安全威胁
推动计算机、网络和互联网安全的组织第十章 电子商务安全威胁
10.2 互联网安全概述
计算机安全
– 保护企业资产不受未经授权的访问、使用、篡改或破坏
– 主要有两大类,物理安全和逻辑安全
– 物理安全,可触及的保护设备,如警铃、保卫、
防火们、安全栅栏、保险箱等。
– 逻辑安全,使用非物理手段对资产进行保护。
– 安全威胁,对计算机资产带来危险的任何行动或对象第十章 电子商务安全威胁
安全措施,识别、降低或安全威胁的物理或逻辑步骤的总称
1,计算机安全的分类(安全专家)
– 保密,防止未授权的数据暴露并确保数据源的可靠性;频繁
– 完整,防止未经授权的数据修改;很少
– 急需,防止延迟或拒绝服务;很多第十章 电子商务安全威胁
2,安全策略和综合安全
– 安全策略,明确描述对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受的书面描述。一般包括物理安全、网络安全、
访问安全、病毒保护和灾难恢复等内容。
– 综合安全,将所有的安全措施协同起来,以防止未经授权的资产暴露、破坏或修改。
第十章 电子商务安全威胁
安全策略一般包括以下内容:
认证:谁想访问
访问控制:允许谁登录网站并访问它
保密:谁有权利查看特定的信息
数据完整性:允许谁修改数据,不允许谁修改数据
审计:在何时由何人导致了何事第十章 电子商务安全威胁
– 侵犯版权所导致的损失比侵犯计算机的保密、完整和急需所带来的损失更难测量。
– 网络成为版权侵犯者的目标,原因:
网络信息非常容易复制
很多人不了解保护知识产权方面的版权规定
10.3 对知识产权的安全威胁第十章 电子商务安全威胁
– 域名抢注、域名变异、域名窃取是与知识产权有关的三个问题。
域名抢注,用别人公司的商标来注册一个域名,以期商标所有者付巨资赎回域名。
– 可以吸引很多访问者,高广告收入
域名变异,某人注册著名域名的拼写错误的域名
– 有时会误导消费者进入某个 URL
域名窃取,某人假装网络管理员将域名所有权分派给另一个网站,非域名所有者变更了某个域名的所有权。
10.3 对知识产权的安全威胁第十章 电子商务安全威胁
为保证安全的电子商务所必须保护的资产包括客户机、
在通信信道上传输的消息,WWW和电子商务服务器
活动内容
– 指在页面上嵌入的对用户透明的程序,是可以在客户机上运行的程序。
– 最知名的活动内容,cookies,Java小应用程序,Javascript、
Vbscript和 ActiveX控件
特洛伊木马:隐藏在程序或页面里而掩盖其真实目的的程序。
幽灵( Zombies):秘密接管一台计算机,从这台计算机上攻击其他计算机。
10.4 对客户机的安全威胁第十章 电子商务安全威胁
– Cookie
– Java小应用程序,Sun公司
可以在浏览器上运行
与平台无关,“一次开发,多次使用”,降低开发成本。
增强了业务应用功能,可在客户机端处理交易并完成各种操作,
解放了繁忙的服务器。
安全:可信的 Java小应用程序,Java运行程序安全区
– JavaScript:网景公司
脚本语言
会侵犯保密性和完整性,把访问的页面的 URL记载下来,捕捉填入的任何内容。
无安全区、不能自动启动
10.4 对客户机的安全威胁第十章 电子商务安全威胁
– ActiveX控件:
能访问计算机内的所有资源,甚至如格式化硬盘等
只能在 Win的计算机上运行
– 图形文件、浏览器插件和电子邮件附件
均可存储可执行的内容
浏览器插件是增强浏览器功能的程序,通常有益,如
RealPlayer等
电子邮件附件与病毒
信息隐蔽:
– 隐藏在另一个信息中信息,目的可能是恶意的,如,AI
Qaeda
10.4 对客户机的安全威胁第十章 电子商务安全威胁
对保密性的安全威胁
– 保密是防止未经授权的信息泄露,技术
– 隐私是保护个人不被曝光的权利,法律
对完整性的安全威胁
对急需性的安全威胁
对互联网通信信道物理安全的威胁
对无线网的威胁
10.5 对通信信道的安全威胁第十章 电子商务安全威胁
对 www服务器的安全威胁
对数据库的安全威胁
对公用网关接口( CGI)的安全威胁
对其他程序的安全威胁
对 WWW服务器物理安全的威胁
10.6 对服务器的安全威胁第十章 电子商务安全威胁
彼此分享计算机威胁的信息
计算机应急小组协调中心( CERT),卡内基梅隆大学是中心总部软件工程研究中心,蠕虫
互联网安全联盟( Internet Security Alliance)
互联网风暴中心( Internet Storm Center)
互联网安全中心( Center for Internet Security)
微软安全中心网站( Microsoft Research Security)
10.7 推动计算机安全的组织第十章 电子商务安全威胁
10.1 案例
1988年 11月 3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了,不管他们怎么尝试,计算机都不响应。不幸的是,这次灾难只是计算机系统受到攻击的漫长历史的开始,这类攻击事件至今仍然存在。
1988年,追查这个灾难事件后发现,是康奈尔大学 23
岁的研究生小罗伯特莫里斯 ( Robert Morris Jr.) 干的 。
他放了一个互联网蠕虫,制造了互联网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作 。
所谓,蠕虫,,是将自己的,繁殖,版传给其他计算机 。
这个程序之所以能够在互联网迅速传播,主要是由于 UNIX
电子邮件程序上有一个缺陷 。 蠕虫侵入和感染了六千两百多台计算机 ( 占当时互联网计算机的 10% ),导致大面积的停机事件 。 由于媒体对这次事件大肆渲染,一些未被感染的网站干脆切断了互联网连接 。 停机及其相关损失的成本无法准确计算 。
第十章 电子商务安全威胁案例
10.1 案例有些估计认为损失的计算时间 ( 称为拒绝服务 ) 价值
2400万美元,消除病毒和恢复计算机同互联网连接的直接成本大约为 4000万美元;有些估计则认为成本接近 1亿美元 。
研究蠕虫的专家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机 。 互联网蠕虫使计算机世界猛醒过来 。 自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的考虑因素 。 蠕虫等病毒和通过互联网非法侵入计算机系统等现象促使计算机安全业的诞生,这些计算机安全专家致力于监视和阻止对网上计算机的攻击和渗透 。
第十章 电子商务安全威胁
理查德。 M。史托漫与共享软件
艾伯内与 phreaking
Morris、偶像
米特尼克与 FBI、家境贫寒
帕沃森与洛山矶电台
John。哈辛凯恩与电子邮件
普啦迪米勒。列宾、俄罗斯黑客头号人物,FBI
为其辩护历史上有名的黑客本章内容
互联网安全问题
知识产权面临的安全威胁
客户机面临的安全威胁
计算机之间的通信信道面临的安全威胁
服务器面临的安全威胁
推动计算机、网络和互联网安全的组织第十章 电子商务安全威胁
10.2 互联网安全概述
计算机安全
– 保护企业资产不受未经授权的访问、使用、篡改或破坏
– 主要有两大类,物理安全和逻辑安全
– 物理安全,可触及的保护设备,如警铃、保卫、
防火们、安全栅栏、保险箱等。
– 逻辑安全,使用非物理手段对资产进行保护。
– 安全威胁,对计算机资产带来危险的任何行动或对象第十章 电子商务安全威胁
安全措施,识别、降低或安全威胁的物理或逻辑步骤的总称
1,计算机安全的分类(安全专家)
– 保密,防止未授权的数据暴露并确保数据源的可靠性;频繁
– 完整,防止未经授权的数据修改;很少
– 急需,防止延迟或拒绝服务;很多第十章 电子商务安全威胁
2,安全策略和综合安全
– 安全策略,明确描述对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受的书面描述。一般包括物理安全、网络安全、
访问安全、病毒保护和灾难恢复等内容。
– 综合安全,将所有的安全措施协同起来,以防止未经授权的资产暴露、破坏或修改。
第十章 电子商务安全威胁
安全策略一般包括以下内容:
认证:谁想访问
访问控制:允许谁登录网站并访问它
保密:谁有权利查看特定的信息
数据完整性:允许谁修改数据,不允许谁修改数据
审计:在何时由何人导致了何事第十章 电子商务安全威胁
– 侵犯版权所导致的损失比侵犯计算机的保密、完整和急需所带来的损失更难测量。
– 网络成为版权侵犯者的目标,原因:
网络信息非常容易复制
很多人不了解保护知识产权方面的版权规定
10.3 对知识产权的安全威胁第十章 电子商务安全威胁
– 域名抢注、域名变异、域名窃取是与知识产权有关的三个问题。
域名抢注,用别人公司的商标来注册一个域名,以期商标所有者付巨资赎回域名。
– 可以吸引很多访问者,高广告收入
域名变异,某人注册著名域名的拼写错误的域名
– 有时会误导消费者进入某个 URL
域名窃取,某人假装网络管理员将域名所有权分派给另一个网站,非域名所有者变更了某个域名的所有权。
10.3 对知识产权的安全威胁第十章 电子商务安全威胁
为保证安全的电子商务所必须保护的资产包括客户机、
在通信信道上传输的消息,WWW和电子商务服务器
活动内容
– 指在页面上嵌入的对用户透明的程序,是可以在客户机上运行的程序。
– 最知名的活动内容,cookies,Java小应用程序,Javascript、
Vbscript和 ActiveX控件
特洛伊木马:隐藏在程序或页面里而掩盖其真实目的的程序。
幽灵( Zombies):秘密接管一台计算机,从这台计算机上攻击其他计算机。
10.4 对客户机的安全威胁第十章 电子商务安全威胁
– Cookie
– Java小应用程序,Sun公司
可以在浏览器上运行
与平台无关,“一次开发,多次使用”,降低开发成本。
增强了业务应用功能,可在客户机端处理交易并完成各种操作,
解放了繁忙的服务器。
安全:可信的 Java小应用程序,Java运行程序安全区
– JavaScript:网景公司
脚本语言
会侵犯保密性和完整性,把访问的页面的 URL记载下来,捕捉填入的任何内容。
无安全区、不能自动启动
10.4 对客户机的安全威胁第十章 电子商务安全威胁
– ActiveX控件:
能访问计算机内的所有资源,甚至如格式化硬盘等
只能在 Win的计算机上运行
– 图形文件、浏览器插件和电子邮件附件
均可存储可执行的内容
浏览器插件是增强浏览器功能的程序,通常有益,如
RealPlayer等
电子邮件附件与病毒
信息隐蔽:
– 隐藏在另一个信息中信息,目的可能是恶意的,如,AI
Qaeda
10.4 对客户机的安全威胁第十章 电子商务安全威胁
对保密性的安全威胁
– 保密是防止未经授权的信息泄露,技术
– 隐私是保护个人不被曝光的权利,法律
对完整性的安全威胁
对急需性的安全威胁
对互联网通信信道物理安全的威胁
对无线网的威胁
10.5 对通信信道的安全威胁第十章 电子商务安全威胁
对 www服务器的安全威胁
对数据库的安全威胁
对公用网关接口( CGI)的安全威胁
对其他程序的安全威胁
对 WWW服务器物理安全的威胁
10.6 对服务器的安全威胁第十章 电子商务安全威胁
彼此分享计算机威胁的信息
计算机应急小组协调中心( CERT),卡内基梅隆大学是中心总部软件工程研究中心,蠕虫
互联网安全联盟( Internet Security Alliance)
互联网风暴中心( Internet Storm Center)
互联网安全中心( Center for Internet Security)
微软安全中心网站( Microsoft Research Security)
10.7 推动计算机安全的组织第十章 电子商务安全威胁
