《第1章电子商务安全导论》由会员分享,可在线阅读,更多相关《第1章电子商务安全导论(37页珍藏版)》请在金锄头文库上搜索。
1、第第1章章 电子商务安全导论电子商务安全导论1.1 电子商务面临的安全问题电子商务面临的安全问题1.2 电子商务系统安全的构成电子商务系统安全的构成1.3 电子商务安全的需求电子商务安全的需求1.4 电子商务安全的保障电子商务安全的保障目录目录21.1 电子商务面临的安全问题电子商务面临的安全问题w1.1.1 安全问题的提出w计算机系统和网络的不安全因素w网站有效性和实用性等问题w金融计算机网络系统缺乏安全安全漏洞,病毒感染,黑客攻击,网络假冒3漏洞19951995到到20042004年漏洞公布数量年漏洞公布数量(单位:个)1.1 电子商务安全问题电子商务安全问题4病毒病毒蠕虫病毒蠕虫病毒蠕虫
2、病毒蠕虫病毒w蠕虫主要是利用系统的漏洞进行自动传播蠕虫主要是利用系统的漏洞进行自动传播蠕虫主要是利用系统的漏洞进行自动传播蠕虫主要是利用系统的漏洞进行自动传播复制,由于传播过程中产生巨大的扫描或复制,由于传播过程中产生巨大的扫描或复制,由于传播过程中产生巨大的扫描或复制,由于传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,其他攻击流量,从而使网络流量急剧上升,其他攻击流量,从而使网络流量急剧上升,其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪造成网络访问速度变慢甚至瘫痪造成网络访问速度变慢甚至瘫痪造成网络访问速度变慢甚至瘫痪。 w w最初的蠕虫病毒定义是因为
3、在最初的蠕虫病毒定义是因为在最初的蠕虫病毒定义是因为在最初的蠕虫病毒定义是因为在DOSDOS环境下,病毒环境下,病毒环境下,病毒环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡发作时会在屏幕上出现一条类似虫子的东西,胡发作时会在屏幕上出现一条类似虫子的东西,胡发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。乱吞吃屏幕上的字母并将其改形。乱吞吃屏幕上的字母并将其改形。乱吞吃屏幕上的字母并将其改形。 1.1 电子商务安全问题电子商务安全问题5黑客攻击黑客攻击黑客攻击曾使黑客攻击曾使YAHOOYAHOO等热门网站出现暂时性等热门网站出现暂时性“死机死机”。网页篡改网页篡
4、改网页篡改网页篡改w w耐克网站被黑客篡改耐克网站被黑客篡改耐克网站被黑客篡改耐克网站被黑客篡改1.1 电子商务安全问题电子商务安全问题6黑客攻击黑客攻击网页篡改网页篡改网页篡改网页篡改w w2004200420042004年中国大陆网页篡改情况年中国大陆网页篡改情况年中国大陆网页篡改情况年中国大陆网页篡改情况(单位:件)(单位:件)1.1 电子商务安全问题电子商务安全问题7黑客攻击黑客攻击僵尸网络僵尸网络僵尸网络僵尸网络w w僵尸网络也称为僵尸网络也称为僵尸网络也称为僵尸网络也称为BotNetBotNetBotNetBotNet。BotBotBotBot是是是是robotrobotrobot
5、robot的简写,的简写,的简写,的简写,通常是指可以自动地执行预定义的功能,可以通常是指可以自动地执行预定义的功能,可以通常是指可以自动地执行预定义的功能,可以通常是指可以自动地执行预定义的功能,可以被预定义的命令控制,具有一定人工智能的程被预定义的命令控制,具有一定人工智能的程被预定义的命令控制,具有一定人工智能的程被预定义的命令控制,具有一定人工智能的程序。序。序。序。1.1 电子商务安全问题电子商务安全问题8网络仿冒网络仿冒2004200420042004年网络仿冒事件报告年网络仿冒事件报告年网络仿冒事件报告年网络仿冒事件报告(单位:起)(单位:起)1.1 电子商务安全问题电子商务安全
6、问题92004年12月8日,中国银行发现,有一网址为:www.bank-off-的网站仿冒其官方网站,企图盗取用户银行账号同年,中国工商银行发现了欺诈网站()10w1.1.2 电子商务涉及的安全问题信息的安全问题信息的安全问题信息的安全问题信息的安全问题w冒名偷窃冒名偷窃w篡改数据篡改数据w信息丢失信息丢失w信息传递出问题信息传递出问题11信用的安全问题信用的安全问题w来自买方的信用安全问题来自买方的信用安全问题w来自卖方的信用安全问题来自卖方的信用安全问题w买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况安全的管理问题安全的管理问题安全的法律保障问题安全的法律保障问题121.2 电子商务系统
7、安全的构成电子商务系统安全的构成w w1.2.1 1.2.1 电子商务系统安全概述电子商务系统安全概述w w1.2.2 1.2.2 系统实体安全系统实体安全w w1.2.3 1.2.3 系统运行安全系统运行安全w w1.2.4 1.2.4 信息安全信息安全13w1.2.1 电子商务系统安全概述电子商务系统安全的构成:电子商务系统安全的构成:电子商务系统安全的构成:电子商务系统安全的构成:1.2电子商务系统安全的构成电子商务系统安全的构成电子商务系统安全电子商务系统安全电子商务系统安全电子商务系统安全实体安全实体安全实体安全实体安全运行安全运行安全运行安全运行安全信息安全信息安全信息安全信息安全
8、环境安全环境安全设备安全设备安全操作系统安全操作系统安全数据库安全数据库安全网络安全网络安全病毒防护病毒防护访问控制访问控制加密加密鉴别鉴别风险分析风险分析审计跟踪审计跟踪媒体安全媒体安全应急应急备份与恢复备份与恢复14w1.2.2 系统实体安全 所谓所谓实体安全实体安全,是指保护计算机,是指保护计算机设备、设施(含网络)以及其他媒体免设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、环境事故(如电磁污染等)破坏的措施、过程。过程。1.2电子商务系统安全的构成电子商务系统安全的构成151.2电子商务系统安全
9、的构成电子商务系统安全的构成1.1.环境安全环境安全w(1)受灾防护w(2)区域防护2.2.设备安全设备安全w(1)设备防盗w(2)设备防毁w(3)防止电磁信息泄漏w(4)防止线路截获w(5)抗电磁干扰w(6)电源保护w1.2.2 系统实体安全的组成3.3.媒体安全媒体安全w(1)媒体的安全媒体的防盗媒体的防毁w(2)媒体数据的安全媒体数据的防盗媒体数据的销毁媒体数据的防毁16w1.2.3 系统运行安全 运行安全运行安全是指为保障系统功能的安全实是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程现,提供一套安全措施来保护信息处理过程的安全。的安全。 1.2电子商务系统安全的构成电
10、子商务系统安全的构成17w1.2.3 系统运行安全的组成1.1.风险分析风险分析w系统设计前的风险分析潜在的安全隐患w系统试运行前的风险分析设计的安全漏洞w系统运行期的风险分析运行的安全漏洞w系统运行后的风险分析系统的安全隐患2.2.审计跟踪审计跟踪w纪录和跟踪各种系统状态的变化w实现对各种安全事故的定位w保存、维护和管理审计日志1.2电子商务系统安全的构成电子商务系统安全的构成18w1.2.3 系统运行安全的组成3.3.备份与恢复备份与恢复 w提供场点内高速度、大容量自动的数据存储、备份和恢复w提供场点外的数据存储、备份和恢复w提供对系统设备的备份4.4.应急应急 (1 1)应急计划辅助软件
11、)应急计划辅助软件w紧急事件或安全事故发生时的影响分析w应急计划的概要设计或详细制定w应急计划的测试与完善 (2 2)应急设施)应急设施w提供实时应急设施w提供非实时应急设施1.2电子商务系统安全的构成电子商务系统安全的构成19w1.2.4 信息安全 所谓所谓信息安全信息安全,是指防止信息财产被故意是指防止信息财产被故意地或偶然地非授权泄漏、更改、破坏或使信息地或偶然地非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。信息的完整性、保密性、可用性和可控性。1.2电子商务系统安全的构成电子商务系统安
12、全的构成20w1.2.4 信息安全的组成1.1.操作系统安全操作系统安全2.2.数据库安全数据库安全3.3.网络安全网络安全4.4.病毒防护安全病毒防护安全5.5.访问控制安全访问控制安全6.6.加密加密7.7.鉴别鉴别1.2电子商务系统安全的构成电子商务系统安全的构成21w1.2.4 信息安全的组成操作系统操作系统安全安全w操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制,为所管理的资源提供相应的安全保护。w操作系统的安全由两个方面组成:安全操作系统操作系统安全部件1.2电子商务系统安全的构成电子商务系统安全的构成22w1.2.4 信息安全的组成数据库数据库安全安全w安全数据库
13、系统w数据库系统安全部件网络网络安全安全w网络安全管理w安全网络系统w网络系统安全部件1.2电子商务系统安全的构成电子商务系统安全的构成23w1.2.4 信息安全的组成病毒防护病毒防护安全安全w计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。w单机系统病毒防护w网络系统病毒防护1.2电子商务系统安全的构成电子商务系统安全的构成24w1.2.4 信息安全的组成访问控制访问控制安全安全w出入控制主要用于阻止非授权用户进入机构或组织w存取控制主要是提供主体访问客体时的存取控制加密加密w加密设备实现对数据的加密w密钥管理提供对
14、密钥的管理来加强信息安全1.2电子商务系统安全的构成电子商务系统安全的构成25w1.2.4 信息安全的组成鉴别鉴别 w身份鉴别身份鉴别主要用于阻止非授权用户对系统资源的访问主要用于阻止非授权用户对系统资源的访问w完整性鉴别完整性鉴别主要用于证实信息内容未被非法修改或遗漏主要用于证实信息内容未被非法修改或遗漏w不可否认性鉴别不可否认性鉴别证实发送方所发送的信息确实被接收方接收了证实发送方所发送的信息确实被接收方接收了证实接收方接收到的信息确实是发送方发送的证实接收方接收到的信息确实是发送方发送的1.2电子商务系统安全的构成电子商务系统安全的构成261.3 电子商务安全的需求电子商务安全的需求电子
15、商务的一个重要技术特征是利用电子商务的一个重要技术特征是利用IT技术来传输和处技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。以保证计
16、算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。完整性、可鉴别性、不可伪造性和不可抵赖性。27 计算机网络安全与商务交易安全实际上是密不可计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络分的,两者相辅相成,缺一不可。没有计算机网络安全作为基
17、础,商务交易安全就犹如空中楼阁,无安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全本身再安全,仍然无法达到电子商务所特有的安全要求。要求。28电子商务的安全需求(安全要素)电子商务的安全需求(安全要素)w保密性保密性w完整性完整性w认证性认证性w可靠性可靠性w不可否认性不可否认性w可控性可控性电子商务的安全要素是电子商务系统的中心内容,是电子商务的安全要素是电子商务系统的中心内容,是理解整个电子商务安全的基础,所有的安全威胁都是针理解整个电子商务安全的基础,所有的安全
18、威胁都是针对安全要素中的六项内容而言的,所有的安全技术也都对安全要素中的六项内容而言的,所有的安全技术也都是为保证这六项内容的实现是为保证这六项内容的实现。29w保密性(信息的机密性)。要求系统存储的信保密性(信息的机密性)。要求系统存储的信息不泄露给非授权的人或实体,并且保证这些息不泄露给非授权的人或实体,并且保证这些加密信息在网络传输过程中只有合法接收者才加密信息在网络传输过程中只有合法接收者才能获取和读懂。能获取和读懂。保密性可用信息加密技术来实保密性可用信息加密技术来实现。现。w完整性(信息认证)。要求检验信息的完整性,完整性(信息认证)。要求检验信息的完整性,防止数据被未授权者修改、
19、建立、嵌入、删除、防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因被更改。重复发送或由于其他原因被更改。可以用数字可以用数字签名技术来保证信息的完整性和真实性。签名技术来保证信息的完整性和真实性。30w认证性(用户身份认证)。要求确认信认证性(用户身份认证)。要求确认信息的发送和接收方是否合法用户并经过息的发送和接收方是否合法用户并经过授权,杜绝假冒。授权,杜绝假冒。认证性通过数字签名和身认证性通过数字签名和身份认证技术来实现。份认证技术来实现。w可靠性(不可拒绝性)。保证授权用户可靠性(不可拒绝性)。保证授权用户在正常访问信息和资源时不被拒绝,即在正常访问信息和资源时不被拒绝
20、,即为用户提供稳定可靠的服务。为用户提供稳定可靠的服务。可靠性一般可靠性一般与网络安全技术紧密联系在一起。与网络安全技术紧密联系在一起。31w不可否认性(不可抵赖性)。信息的发不可否认性(不可抵赖性)。信息的发送方不能否认已发送的信息,接收方不送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有能否认已收到的信息,这是一种法律有效性要求,防止实体否认其行为。效性要求,防止实体否认其行为。采用的采用的技术如数字签名等。技术如数字签名等。w可控性(访问控制性)。规定了主体向可控性(访问控制性)。规定了主体向客体的操作权力限制。主要指能控制使客体的操作权力限制。主要指能控制使用资源的
21、人或实体的使用方式,在网络用资源的人或实体的使用方式,在网络上限制和控制通信信道对主体系统和应上限制和控制通信信道对主体系统和应用的访问。用的访问。访问控制性可用防火墙等技术及访问控制性可用防火墙等技术及相关制度措施等实现。相关制度措施等实现。321.4 电子商务安全的保障电子商务安全的保障w1.4.1 技术措施w1.4.2 管理措施w1.4.3 法律环境33w1.4.1 技术措施信息加密技术信息加密技术数字签名技术数字签名技术TCP/IPTCP/IP服务服务防火墙的构造选择防火墙的构造选择1.4电子商务安全的保障电子商务安全的保障34w1.4.2 管理措施人员管理制度人员管理制度保密制度保密
22、制度跟踪、审计、稽核制度跟踪、审计、稽核制度系统维护制度系统维护制度数据容灾制度数据容灾制度病毒防范制度病毒防范制度应急措施应急措施w1.4.3 法律环境1.4电子商务安全的保障电子商务安全的保障35参考书籍参考书籍w1、佟晓筠、佟晓筠.电子商务安全及案例电子商务安全及案例.中国铁道出中国铁道出版社版社.2010w2、肖德琴、肖德琴.电子商务安全保密技术与应用电子商务安全保密技术与应用(第第二版二版).华南理工大学出版社华南理工大学出版社.2008w3、钟诚、钟诚.电子商务安全保密技术与应用电子商务安全保密技术与应用.重庆重庆大学出版社大学出版社.2008w4、曾子明、曾子明.电子商务安全基础实验教程电子商务安全基础实验教程.武汉武汉大学出版社大学出版社.200836Thanks!
