《电子商务安全教学课件作者张波08电子商务安全评估与管理课件幻灯片》由会员分享,可在线阅读,更多相关《电子商务安全教学课件作者张波08电子商务安全评估与管理课件幻灯片(49页珍藏版)》请在金锄头文库上搜索。
1、第8章 电子商务安全评估与管理,学习目的 了解电子商务安全管理基础知识; 了解电子商务风险管理、安全模型及安全威胁,把握电子商务安全评估方法与准则; 了解电子商务安全相关法律法规和政策制度,树立电子商务安全法律意识; 认知电子商务安全管理的重要性,掌握电子商务安全管理的模型、策略与标准。,引例 大学生利用黑客病毒网上盗款48万,张先生是一家私营企业主,因为去银行排队办理业务太耽误时间,一直使用网上银行进行资金管理。2006年12月22日,当张先生查询自己的银行账户时,突然发现两张银行卡内的48万余元已被划走,仅剩下3元。焦急万分的张先生立即到公安机关报警。民警接到报案后,根据银行查询到的账户P
2、OS消费地点记录,立即前往广州、上海等地调查取证。经过各地警方缜密侦查,利用先进网络技术手段,于2007年将犯罪嫌疑人孙木云、郭浩抓获归案。 郭浩,1986年出生,是黑龙江某大学计算机专业的大学生;孙木云,1989年出生,当时在上海某个网吧做网管。2006年12月,郭浩在大学生宿舍内,通过“灰鸽子”病毒软件发现了身在北京的张先生的电脑中了“灰鸽子”病毒。郭浩便通过“灰鸽子”病毒远程监控系统,监控该电脑。在张先生上网进行网络银行卡操作时,郭浩获知了张先生的银行卡账号、密码,而后通过远程监控下载了受害人银行卡的电子证书。,2006年12月17日,郭浩联络在山东的孙木云,要求其帮助将钱转出。随后,两
3、人连夜将张先生两张银行卡内的48万余元分40余笔转出,打入位于广州、上海和北京的出售游戏点卡的公司,并将点卡存入虚拟的网络账户。 张先生的48万余元就这样一夜之间蒸发了。最后,大学生郭浩被判处有期徒刑12年,罚金人民币1.2万元;被告人孙木云犯盗窃罪,判处有期徒刑8年,罚金人民币8000元。两名被告人均没有提出上诉。 资料来源:赛迪网. http:/ 从本质上讲,安全就是风险管理。一个组织者如果不了解其信息资产的安全风险,很多资源就会被错误地使用。风险管理提供信息资产评估的基础。通过风险识别,可以知道一些特殊类型的资产价值以及包含这些信息的系统的价值。,1. 风险的概念,风险是构成安全基础的基
4、本观念。风险是丢失需要保护的资产的可能性。如果没有风险,就不需要安全了。风险还是从事安全产业者应了解的一个观念。 以传统的保险业为例来了解风险的含义。一个客户因感到危险,所以向保险公司购买保险。买保险前,如果出车祸,他需要花很多修理费,买了保险后就可减少花大笔钱的风险。保险公司设定保险费的依据有两个,一个是汽车修理的费用,另一个是该客户发生车祸的可能性。 从上面的例子可以看出,风险包含两个部分。第一个是车的修理费,如果车祸发生,保险公司就要付这笔费用,将它定为保险公司的漏洞或脆弱性。第二个是客户发生车祸的可能性,这是对保险公司的威胁,因为它有可能使保险公司付修理费。因此漏洞和威胁是测定风险的两
5、个组成部分。图8-1表示漏洞和威胁之间的关系,由图可知,如果没有威胁,也就没有风险;同样地,如果没有漏洞,也就没有风险。,图8-1 漏洞和威胁的关系,(1)漏洞,漏洞是攻击的可能的途径。漏洞有可能存在于计算机系统和网络中,它允许打开系统,使技术攻击得逞。漏洞也有可能存在于管理过程中,它使系统环境对攻击开放。 漏洞的多少是由需要打开系统的技术熟练水平和困难程度来确定的,还要考虑系统暴露的后果。如果漏洞易于暴露,并且一旦受到攻击,攻击者可以完全控制系统,则称高值漏洞或高脆弱性。如果攻击者需要对设备和人员投入很多资源,漏洞才能暴露,并且受到攻击后,也只能获取一般信息,而非敏感信息,则称低值漏洞或低脆
6、弱性。 漏洞不仅和计算机系统、网络有关,而且和物理场地安全、员工的情况、传送中的信息安全等有关。,(2)威胁,威胁是一个可能破坏信息系统环境安全的动作或事件。威胁包含以下3个组成部分: 1)目标 威胁的目标通常是针对安全属性或安全服务,包括机密性、完整性、可用性、可审性等。 2)代理 代理需要有3个特性:访问。知识。动机。 3)事件 事件是代理采取的行为,从而导致对组织的伤害。常见的事件如下: 对信息、系统、场地滥用授权访问;恶意地改变信息;偶然地改变信息;对信息、系统、场地非授权访问;恶意地破坏信息、系统、场地;偶然地破坏信息、系统、场地;对系统和操作的恶意物理损害;对系统和操作的偶然物理损
7、害;由于自然物理事件引起的系统和操作的损害引入对系统的恶意软件;破坏内部或外部的通信;被动地窃听内部或外部的通信;偷窃硬件。,(3)威胁+漏洞风险,风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险,没有威胁的漏洞也没有风险。风险的度量是要确定事件发生的可能性。风险可划分成低、中、高3个级别。 1)低级别风险是漏洞使组织的风险达到一定水平,然而不一定发生。如有可能应将这些漏洞去除,但应权衡去除漏洞的代价和能减少的风险损失。 2)中级别风险是漏洞使组织的信息系统或场地的风险(机密性、完整性、可用性、可审性)达到相当的水平,并且已有发生事件的现实可能性。应采取措施去除漏洞。 3)高级别风险是漏洞对
8、组织的信息、系统或场地的机密性、完整性、可用性和可审性已构成现实危害。必须立即采取措施去除漏洞。,2. 风险的识别与测量,(1)风险的识别 对一个组织而言,识别风险除了要识别漏洞和威胁外,还应考虑已有的对策和预防措施,如图8-2所示。,图8-2 一个组织风险评估的组成,(2)风险的测量,风险测量必须识别出在受到攻击后该组织需要付出的代价。图8-3表示风险测量的全过程。代价是多方面的,包括资金、时间、资源、信誉以及丢失生意等。,图8-3 测量风险,8.1.2安全成熟度模型,美国Carnegie Mellon大学的软件工程研究所(Software Engineering institute,SEI
9、)制定了系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Model,SSECMM)。它将安全成熟度能力级别分成4级,以适应不同级别的安全体系结构,如表8-1所示。,表8-1 安全成熟度能力级别,1安全计划,一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题: (1)内容太旧,已过时,不适用于当前的应用。安全策略应每年更新,以适应技术的变化。 (2)文本有很多用户,如开发者、风险管理者、审计人员,所用语言又适用于多种解释。如果陈述太抽象,那么
10、实施时将无效力。 (3)表达不够详细。很多组织的安全策略观念只是一个口令管理。组织安全策略文本中通常缺少信息的等级分类以及访问控制计划文本。 (4)用户需要知道有关安全的文本。如果用户不能方便地获得和阅读文本,就会无意地犯规,然而难以追查责任。,2技术和配置,当今,市场上有很多安全厂商和安全产品,但是没有一个产品能提供完全的安全解决方案。诸如防火墙、IDS、VPN、鉴别服务器等产品都只是解决有限的问题。安全专业人员应能适当地选择产品,正确地将它们安置在基础设施中,合适地配置和支持。然而,他们经常会不正确地采购安全产品,例如,有人认为只要在需要保护的有价值的资产前放置一个防火墙,就什么问题都能解
11、决。从网络的观点看部分正确,但防火墙不提供应用和平台的保护,也不提供有用的入侵检测信息。 安全产品的合适配置也是一个挑战。有时产品的默认配置是拒绝所有访问,只有清晰的允许规则能通过通信。安全产品配置的最大挑战是需要有熟练的专业人员来配置和管理。,3运行过程,运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控。安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。允许的变更管理要有能退回到目前工作版本的设施,并且要和经营业务连续性计划协调一致。 安全设备会产生一些不规则的日志信息,这对管理员来说是复杂的,一旦配置有差错,就
12、会阻止访问网络、应用或平台。对各种人员的培训是任何安全体系结构成功的关键。最后,识别安全事故的能力且按照一个逐步升级的过程来恢复是最重要的。 技术变化十分迅速,对从事于安全事业的人员增加了很多困难,因此选择高水平的人员从事该项工作是必须的。特别是,从事安全培训的专业人员是有效信息安全程序的关键,要使用各种有效媒体进行安全培训课程。每个企业员工都要接受安全培训,要对不同的人员(例如安全管理员、最终用户、数据拥有者)有针对性地进行培训。,8.1.3威胁,威胁包含3个组成部分: (1)目标,可能受到攻击的方面。 (2)代理,发出威胁的人或组织。 (3)事件,做出威胁的动作类型。作为威胁的代理,必须要
13、有访问目标的能力,有关于目标的信息类型和级别的知识,还要有对目标发出威胁的理由。,1. 威胁的来源,(1)人为差错和设计缺陷 (2)内部人员 (3)临时员工 (4)自然灾害和环境危害 (5)黑客和其他入侵者 (6)病毒和其他恶意软件,2. 威胁情况与对策,(1)社会工程(系统管理过程) (2)电子窃听 (3)软件缺陷 (4)信任转移(主机之间的信任关系) (5)数据驱动攻击(恶意软件) (6)拒绝服务 (7)DNS欺骗 (8)源路由 (9)内部威胁,8.1.4安全评估方法,1安全评估过程 图8-4表示从安全成熟度模型三个方面的安全评估阶段。,图8-4 基于安全成熟度模型的安全评估阶段,2网络安
14、全评估,网络评估的第一步是了解网络的拓扑。假如防火墙在阻断跟踪路由分组,这就比较复杂,因为跟踪路由器是用来绘制网络拓扑的。 第二步是获取公共访问机器的名字和IP地址,这是比较容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)试注册所有的公共地址。 最后一步是对全部可达主机做端口扫描的处理。端口是用于TCPIP和UDP网络中将一个端口标识到一个逻辑连接的术语。端口号标识端口的类型,例如80号端口专用于HTTP通信。假如给定端口有响应,那么将测试所有已知的漏洞。,3平台安全评估,平台安全评估的目的是认证平台的配置(操作系统不易受已知
15、漏洞损害、文件保护及对配置文件有适当的保护)。认证的唯一方法是在该平台上执行一个程序(有时该程序称为代理,因为由其开始对全部程序进行集中管理)。假如平台已经适当加固,那么就要有一个基准配置。评估的第一部分是认证基准配置、操作系统、网络服务(FTP、rlogin、telnet、SSH等)没有变更。因为黑客首先是将这些文件版本替换成自己的版本。黑客的版本通常是记录管理员的口令,并转发给Internet上的攻击者。所以,假如有文件需要打补丁或需要使用服务包,代理将通知管理员,进行安全预警以保护平台安全。 评估的第二部分是认证管理员的口令,大部分机器不允许应用程序的用户登录到平台,对应用程序的用户鉴别
16、是在平台上运行的应用程序自身来完成,而不是由平台来完成。此外,还要测试本地口令的强度,如口令长度、口令组成、字典攻击等。最后,还有跟踪审计子系统,在黑客作案前就能跟踪其行迹。,4应用安全评估,应用安全评估比使用像网络和平台扫描这些自动工具而言,需要更高的技术水平。黑客的目标是透过系统平台得到对应用程序的访问,强迫应用程序执行某些非授权用户的行为。很多基于Web应用的开发者使用通用网关接口(Common Gateway Interface,CGI)来分析表格,黑客能利用很多已知漏洞来访问使用CGI开发的Web服务器平台(例如放入“&”这些额外的字符)。 编写质量低的应用程序,其最大风险是允许访问执行应用程序的平台。当一个应用程序损坏时,安全体系结构必须将黑客纳入平台安全评估中,防止应用程序造成安全问题。一旦一台在公共层的机器受损,黑客就可用它来攻击其他机器。黑客最通用的方法是在受损的机器上安装一台口令探测器以获得
