《《电子商务安全》教案》由会员分享,可在线阅读,更多相关《《电子商务安全》教案(68页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全教案工商管理学院(电子商务专业)任课教师: 授课班级: 课程学分: 2 总学时数: 32 周学时数: 2 上课周次: 16 I教学进度计划章 节 计划课时 教学手段 教学环境第一章 共 2 节 4 CAI 课堂教学第二章 共 2 节 4 CAI 课堂教学第三章 共 4 节 8 CAI 课堂教学第四章 共 3 节 6 CAI 课堂教学第五章 共 1 节 2 CAI 课堂教学第六章 共 4 节 8 CAI 课堂教学总 计 32II目 录电子商务安全导论电子商务安全管理信息安全技术数字证书公钥基础设施 PKIInternet 安全1第一章 电子商务安全 第一节 电子商务面临安全问题第二节
2、 电子商务系统安全构成课 时 2 学时 教学方法 讲授、启发式 进 程 第 1 次课教学目的 1理解电子商务面临的安全问题2掌握电子商务系统的安全需求重 点 电子商务系统的安全需求难 点电子商务系统的安全需求实施步骤:一、组织教学、熟悉学生情况(5)二、课程简介、前期知识储备要求(10)三、进入本次课讲授内容(包括课堂练习) (80)四、小结巩固(重申教学目的、重点、难点) (5)讲授内容:第一章 电子商务安全导论第一节 电子商务面临的安全问题一、安全问题的提出引入当前的最新案例二、电子商务的安全问题1信息的安全问题主要来自以下几个方面:(1) 冒名偷窃:hacker 为了获得一些商业机密资源
3、和信息,通常采用源 IP 地址欺骗攻击。(2) 篡改数据:攻击者未经授权进入 EC 系统,使用非法手段删除、修改、重发某些重要信息,破坏数据的完整性,损害他人利益。例:hacker 在截获某些信息(如从银行转帐的信息)后,重复向银行服务器发出这条信息,这样 将导致银行的经济遭受损 失,实现自己的非法目的。(3) 信息丢失:三种情况下可能丢失信息,一是由于线路问题造成信息丢失,如电源断电、通信线路断开等;二是安全措施不录导致丢失数据信息,如信息在传递过程中未加密,被 hacker教学提示:【课程介绍、课程地位、总 体概 论】【以日常上网遇到的安全问题及互联网上安全问题实例引入】2修改、删除了;三
4、是不同的操作平台上转换操作从而丢失信息。(4) 信息传递出问题:信息在传递的过程中,可能由于线路质量较差,水灾、火灾等问题而出现问题,或者被 hacker 搭线窃听致使重要数据泄露。2信用的安全问题(1) 来自买方的信用安全问题消费者使用信用卡恶意透支或提交订单后不付款、提供虚假订单。(2) 来自卖方的信用安全问题不能按质、按量、按时送寄消费者购买的货物,或者生成虚假的订单,将虚假的信息输入系统。(3) 双方都存在抵赖的情况当交易一方发现交易行为对自己不利时,否认电子交易行为。例:某人以 12 元/股购买 1000 股后,行情 发生变化,每股降到 10 元,于是该股民就有可能否认以前的购买行为
5、。3安全的管理问题交易过程中的管理、人员管理如:交易过程中,要监督买方按时付款、卖方按时提供符合合同要求的货物。在人员管理方面,主要是工作人员职业道德不高,或是离职人员在系统中没有及时清除。4安全的法律保障问题主要涉及的法律有:用户hacker服务器请示信息截断请示黑客以用户 IP请示响应请示黑客以服务器 IP响应IP 欺骗:图 1.1 IP 欺骗3CA 中心的法律、保护个人隐私、个人秘密的法律、电子合同法、EC 的消费者权益保护法、网络知识产权保护法第二节 电子商务系统安全的构成一、EC 的安全需求1有效性、真实性即对信息、实体的有效性、真实性进行鉴别。2机密性即能保证信息不被泄露给非授权的
6、人/实体。3数据的完整性即既要保证数据的一致性,又要防止数据被非法授权建立、修改和破坏。4可靠性、不可否认性和可控性(1) 可靠性:即能保证合法用户对信息和资源的使用不会被不正当地拒绝。(2) 不可否认性:即能建立有效的责任机制,防止实体否认其行为。(3) 可控性:即能控制使用资源的人/实体的使用方式。5可审查性小结巩固一、 电子商务安全问题的提出二、电子商务存在的安全问题三、电子商务的安全需求课堂练习重点概念:信息的安全、信用的安全、安全需求课后作业 思考: 举例说明什么是信息安全?参考资料 教材 1、2 章等相关章节;“互联网”及期刊杂志的相关内容。4第一章 电子商务安全 第二节 电子商务
7、系统安全的 构成课 时 2 学时 教学方法 讲授、启发式 进 程 第 2 次课教学目的 1掌握电子商务系统安全的构成;2掌握电子商务系统安全的实体安全和信息安全,了解运行安全。重 点 掌握电子商务系统安全的构成、信息安全。难 点 信息安全实施步骤:一、组织教学、课前提问(5)二、教学引导(5)三、进入本次课讲授内容(包括课堂练习) (85)四、小结巩固(重申教学目的、重点、难点) (5)讲授内容:第二节 电子商务系统安全的构成二、EC 系统的安全构成1实体安全(即物理安全)即保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。实体安全是 EC 安全的最基
8、本保障,是整个安全系统不可缺少或忽视的组成部分。A实体安全主要内容(1) 环境安全:主要是对 EC 系统所在的环境实施安全保护。如区域保护和灾难保护。(2) 设备安全:对 EC 系统的设备进行安全保护,主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。(3) 媒体安全:包括媒体数据的安全和媒体本身的安全。媒体的安全:提供对媒体的安全保管。如防霉变。媒体数据的安全:指提供对媒体数据的保护,实施对媒体数据的安全删除和媒体的安全销毁。如防止媒体数据被非法拷贝。B实体安全常见的不安全因素(1) 自然灾害(比如地震、火灾、水灾等) 、物理损坏(如硬盘损坏、设备使用寿命到
9、期、外力破损等) 、设备故障(如停电教学提示:5断电、电磁干扰等) 。特点:突发性、自然性、非针对性破坏性:对 EC 信息的完整性和可用性威胁最大解决方法:采取各种防护措施、随时数据备份等。(2) 电磁辐射(监听微机操作过程) 、乘机而入(如合法用户进入安全进程之后半途离开) 、痕迹泄露(如口令密钥等保管不善,被非法用户获得)等。特点:隐蔽性、人为实施的故意性、信息的无意泄露性破坏性:破坏 EC 信息的保密性解决方法:采取辐射防护、屏幕口令、隐藏销毁等手段。(3) 操作失误(如偶然删除文件、格式化硬盘、线路拆毁等) 、意外疏漏(如系统掉电、 “死机”等) 。特点:人为实施的无意性、非针对性破坏
10、性:破坏 EC 信息的完整性和可用性电子商务系统安全实体安全运行安全信息安全环境安全设备安全媒体安全风险分析审计跟踪备份与恢复应急操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别图 1.2 EC 系统安全结构图6解决方法:状态检测、报警确认、应急恢复等。C防止信息在空间上扩散的措施(1) 对机房及重要信息存储、收发部门进行屏蔽处理(2) 对本地网、局域网传输线路传导辐射的抑制。(3) 对终端设备辐射的防范。(4) 一般采取的措施是: 订购设备上昼选取低辐射产品; 采取主动式的干扰设备,用干扰机来破坏对应信息的窃取。2运行安全即为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的
11、安全。主要由四个部分组成:风险分析、审计跟踪、备份与恢复、应急措施。(1) 风险分析对系统进行动态的分析、测试、跟踪并记录系统的运行,以发现系统运行期的安全漏洞;对系统进行静态分析,以发现系统潜在的威胁,并对系统的脆弱性做出分析报告。(2) 审计跟踪即记录和跟踪系统各种状态的变化,保存、维护和管理审计日志。如记录对系统故意入侵的行为。(3) 备份与恢复对系统设备和系统数据的备份和恢复。(4) 应急措施在紧急事件或安全事故发生时,提供保障 EC 系统继续运行或紧急恢复所需要的策略。3信息安全即指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,也就是要确保信息的完整性
12、、保密性、可用性和可控性。主要由七部分组成:OS 安全、DB 安全、网络安全、病毒防护安全、访问控制安全、加密、鉴别7(1) 操作系统(OS)安全即对 EC 系统的硬件和软件资源衽有效的控制,为能管理的资源提供相应的安全保护。包括 2 个部分:安全的 OS,OS 安全部件 安全 OS:指从系统设计,实现和使用等各个阶段都遵循的一套完整的安全策略的 OS。根据 “可信任计算机系统评估准则(TCSEC) ”的要求,将计算机系统的安全性分为 4 个等级 ABCD、8 个级别。D 级:最低的安全保护等级,如 DOS。C 级:是自主型保护,按安全的高低分为 C1、C2 2 个安全等级,如 Linux 居
13、于 C1 级;UNIX; Windows NT 居于 C2 级。C1 特点:用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和作息拥有什么样的访问权。如:让文件拥有者有读、写和执行的权力,给同组用户读和执行的权力,而给其它用户以读的权力。C2 特点:系统对发生的事件加以审计,并写入日志当中;如:用户在什么时候开机,哪个用户在什么时候从哪里登录等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以推测出可能有人想强行闯入系统,审计可以记录下Administrator 执行的活动,审计加上身份验证,就可以知道谁在执行这些命令。B 级:强制式保护,安全级别
14、较高。如 Unix、Security-enhanced Linux 安全性达到 B1 级A 级:可验证保护,最高级别。安全性高低级别:(由低到高的顺序)DC1C2B1B2B3A其它的安全评价标准:8 操作系统安全部件,增强现有 OS 的安全性(2) 数据库安全DB 安全的涵义(包括两层)第一层:指系统运行安全 第二层:系统作息安全(3) 网络安全指网络系统的硬件、软件及其系统中的 data 受到保护,不受偶然的/恶意的原因而遭到破坏,更改泄漏,确保系统能够连续、可靠正常地运行,网络服务不中断如:通过身份认证来登录过程进行保护,以防止 hacker 对网络资源的访问;利用 Firewall 来保
15、护企业的内部网络(4) 计算机病毒防护定义:(国外):是一段附着在其它程序上的可以实现自我繁殖的程序代码。(国内):指编制/插入计算机程序中的破坏计算机功能 /毁坏数据影响计算机使用,并能自我复制的一组计算机指令/程序代码计算机病毒防护:通过建立系统保护机制,来预防、检测和消除计算机病毒。分为单机系统,网络系统的防护,都包括预防病毒侵入系统、检测已侵入系统的病毒、定位已侵入系统的病毒、防止系统中病毒的传染、清除系统中已发现的病毒的安全功能。(5) 访问控制定义:对主体访问客体的权限/能力以及进入物理区域的限制9(即出入控制)和对计算机存储数据过程的限制(即存取控制) 。主体:计算机中凡是实施操作的作主体,如用户/进程等。客体:被操作的对象,如文件、设备、内存等。访问控制主要是阻止非授权用户进入。具体控制方法包括: 物理通道的控制,如控制进入机房的人; 门的控制:如双重门、陷阱门等; 提供对口令字的管理和控制功能,如提供一个弱口令字库,禁止用户使用弱口令字,强制用户更换口令字等; 防止入侵者对口令字的探测; 监测用户对某一分区或域的存取; 提供系统中主体对客体访问权限的控制。(6
