收藏
下载资源

信息及电子商务安全概述课件

上传人:s9****2 文档编号:587393440 上传时间:2024-09-05 格式:PPT 页数:30 大小:1.60MB
返回 下载 相关 举报
信息及电子商务安全概述课件_第1页
第1页 / 共30页
信息及电子商务安全概述课件_第2页
第2页 / 共30页
信息及电子商务安全概述课件_第3页
第3页 / 共30页
信息及电子商务安全概述课件_第4页
第4页 / 共30页
信息及电子商务安全概述课件_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《信息及电子商务安全概述课件》由会员分享,可在线阅读,更多相关《信息及电子商务安全概述课件(30页珍藏版)》请在金锄头文库上搜索。

1、11.1 面临的安全问题面临的安全问题1.2 系统安全的构成系统安全的构成1.3 安全的需求安全的需求1.4 安全的保障安全的保障本章主要内容本章主要内容2引例引例eBayeBay在中国溃败之因在中国溃败之因ppeBayeBayeBayeBay与淘宝之战,与淘宝之战,与淘宝之战,与淘宝之战,eBayeBayeBayeBay败在了安全上,那么是否败在了安全上,那么是否败在了安全上,那么是否败在了安全上,那么是否淘宝就不再面临任何的安全问题了呢?如果不是,淘宝就不再面临任何的安全问题了呢?如果不是,淘宝就不再面临任何的安全问题了呢?如果不是,淘宝就不再面临任何的安全问题了呢?如果不是,到底还有哪些

2、安全问题需要电子商务来面对呢?到底还有哪些安全问题需要电子商务来面对呢?到底还有哪些安全问题需要电子商务来面对呢?到底还有哪些安全问题需要电子商务来面对呢?41.1 电子商务面临的安全问题电子商务面临的安全问题pp1.1.1 1.1.1 安全问题的提出安全问题的提出n n安全是制约电子商务发展的瓶颈安全是制约电子商务发展的瓶颈n n计算机安全的困扰计算机安全的困扰n n网络安全:黑客,病毒,安全漏洞,网页篡改,网络仿网络安全:黑客,病毒,安全漏洞,网页篡改,网络仿冒冒pp1.1.2 1.1.2 电子商务涉及的安全问题电子商务涉及的安全问题n n商家,客户和银行可能是面临的安全问题商家,客户和银

3、行可能是面临的安全问题n n信息的安全问题信息的安全问题信息的安全问题信息的安全问题n n信用的安全问题信用的安全问题信用的安全问题信用的安全问题pp来自买方的安全问题来自买方的安全问题pp来自卖方的安全问题来自卖方的安全问题pp买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况n n安全的管理问题安全的管理问题安全的管理问题安全的管理问题n n安全的法律保障问题安全的法律保障问题安全的法律保障问题安全的法律保障问题信息面临的风险1.泄密泄密2.欺欺骗骗3.中断中断4.篡夺篡夺5.伪装与欺骗伪装与欺骗6.篡改篡改p7.拒绝服务拒绝服务p8.抵赖抵赖p9.计算机病毒计算机病毒p10.延时延时p11

4、.通信线路窃听通信线路窃听p12.笔记本电脑失窃笔记本电脑失窃61.2 电子商务系统安全的构成电子商务系统安全的构成pp1.2.1 1.2.1 电子商务系统安全概述电子商务系统安全概述pp1.2.2 1.2.2 系统实体安全系统实体安全pp1.2.3 1.2.3 系统运行安全系统运行安全pp1.2.4 1.2.4 信息安全信息安全7pp1.2.1 1.2.1 电子商务系统安全概述电子商务系统安全概述n n电子商务系统安全的构成:电子商务系统安全的构成:电子商务系统安全的构成:电子商务系统安全的构成:8pp1.2.2 系统实体安全 所谓所谓所谓所谓实体安全实体安全实体安全实体安全,是指保护计算机

5、设备、,是指保护计算机设备、,是指保护计算机设备、,是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水设施(含网络)以及其他媒体免遭地震、水设施(含网络)以及其他媒体免遭地震、水设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电灾、火灾、有害气体和其他环境事故(如电灾、火灾、有害气体和其他环境事故(如电灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。磁污染等)破坏的措施、过程。磁污染等)破坏的措施、过程。磁污染等)破坏的措施、过程。9n n1.1.1.1.环境安全环境安全环境安全环境安全pp(1)(1)受灾防护受灾防护pp(2)(2)区域防护

6、区域防护n n2.2.2.2.设备安全设备安全设备安全设备安全pp(1)(1)设备防盗设备防盗pp(2)(2)设备防毁设备防毁pp(3)(3)防止电磁信息泄漏防止电磁信息泄漏pp(4)(4)防止线路截获防止线路截获pp(5)(5)抗电磁干扰抗电磁干扰pp(6)(6)电源保护电源保护3.3.3.3.媒体安全媒体安全媒体安全媒体安全 (1)(1)媒体的安全媒体的安全 媒体的防盗媒体的防盗 媒体的防毁媒体的防毁 (2)(2)媒体数据的安全媒体数据的安全 媒体数据的防盗媒体数据的防盗 媒体数据的销毁媒体数据的销毁 媒体数据的防毁媒体数据的防毁10pp1.2.3 1.2.3 系统运行安全系统运行安全 运

7、行安全运行安全运行安全运行安全是指为保障系统功能的安全实现,提供是指为保障系统功能的安全实现,提供是指为保障系统功能的安全实现,提供是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。一套安全措施来保护信息处理过程的安全。一套安全措施来保护信息处理过程的安全。一套安全措施来保护信息处理过程的安全。 11pp1.2.3 系统运行安全的组成n n1.1.1.1.风险分析风险分析风险分析风险分析pp系统设计前的风险分析系统设计前的风险分析潜在的安全隐患潜在的安全隐患pp系统试运行前的风险分析系统试运行前的风险分析设计的安全漏洞设计的安全漏洞pp系统运行期的风险分析系统运行期的风险

8、分析运行的安全漏洞运行的安全漏洞pp系统运行后的风险分析系统运行后的风险分析系统的安全隐患系统的安全隐患n n2.2.2.2.审计跟踪审计跟踪审计跟踪审计跟踪pp纪录和跟踪各种系统状态的变化纪录和跟踪各种系统状态的变化pp实现对各种安全事故的定位实现对各种安全事故的定位pp保存、维护和管理审计日志保存、维护和管理审计日志12pp1.2.3 系统运行安全的组成n n3.3.3.3.备份与恢复备份与恢复备份与恢复备份与恢复 pp提供场点内高速度、大容量自动的数据存储、备份和提供场点内高速度、大容量自动的数据存储、备份和恢复恢复pp提供场点外的数据存储、备份和恢复提供场点外的数据存储、备份和恢复pp

9、提供对系统设备的备份提供对系统设备的备份n n4.4.4.4.应急应急应急应急 (1 1 1 1)应急计划辅助软件)应急计划辅助软件)应急计划辅助软件)应急计划辅助软件pp紧急事件或安全事故发生时的影响分析紧急事件或安全事故发生时的影响分析pp应急计划的概要设计或详细制定应急计划的概要设计或详细制定pp应急计划的测试与完善应急计划的测试与完善 (2 2 2 2)应急设施)应急设施)应急设施)应急设施pp提供实时应急设施提供实时应急设施pp提供非实时应急设施提供非实时应急设施13pp1.2.4 1.2.4 信息安全信息安全 所谓所谓所谓所谓信息安全信息安全信息安全信息安全,是指防止信息财产被故意

10、地或偶是指防止信息财产被故意地或偶是指防止信息财产被故意地或偶是指防止信息财产被故意地或偶然地非授权泄漏、更改、破坏或使信息被非法的系统然地非授权泄漏、更改、破坏或使信息被非法的系统然地非授权泄漏、更改、破坏或使信息被非法的系统然地非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密辨识、控制,即信息安全要确保信息的完整性、保密辨识、控制,即信息安全要确保信息的完整性、保密辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。性、可用性和可控性。性、可用性和可控性。性、可用性和可控性。14pp1.2.4 1.2.4 信息安全的组成信息安全的组成n

11、 n1.1.1.1.操作系统安全操作系统安全操作系统安全操作系统安全n n2.2.2.2.数据库安全数据库安全数据库安全数据库安全n n3.3.3.3.网络安全网络安全网络安全网络安全n n4.4.4.4.病毒防护安全病毒防护安全病毒防护安全病毒防护安全n n5.5.5.5.访问控制安全访问控制安全访问控制安全访问控制安全n n6.6.6.6.加密加密加密加密n n7.7.7.7.鉴别鉴别鉴别鉴别15pp1.2.4 1.2.4 信息安全的组成信息安全的组成n n操作系统操作系统操作系统操作系统安全安全安全安全pp操作系统安全操作系统安全是指要对电子商务系统的是指要对电子商务系统的硬件和软件资源

12、实行有效的控制,为所硬件和软件资源实行有效的控制,为所管理的资源提供相应的安全保护。管理的资源提供相应的安全保护。pp操作系统的安全由两个方面组成:操作系统的安全由两个方面组成:安全操作系统安全操作系统操作系统安全部件操作系统安全部件16pp1.2.4 1.2.4 信息安全的组成信息安全的组成n n数据库数据库数据库数据库安全安全安全安全pp安全数据库系统安全数据库系统pp数据库系统安全部件数据库系统安全部件n n网络网络网络网络安全安全安全安全pp网络安全管理网络安全管理pp安全网络系统安全网络系统pp网络系统安全部件网络系统安全部件17pp1.2.4 1.2.4 信息安全的组成信息安全的组

13、成n n病毒防护病毒防护病毒防护病毒防护安全安全安全安全pp计算机病毒计算机病毒是指编制或者在计算机程序是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组影响计算机使用、并能自我复制的一组计算机指令或程序代码。计算机指令或程序代码。pp单机系统病毒防护单机系统病毒防护pp网络系统病毒防护网络系统病毒防护18pp1.2.4 1.2.4 信息安全的组成信息安全的组成n n访问控制访问控制访问控制访问控制安全安全安全安全pp出入控制出入控制 主要用于阻止非授权用户进入机构或组织主要用于阻止非授权用户进入机构或组织pp存取控制

14、存取控制 主要是提供主体访问客体时的存取控制主要是提供主体访问客体时的存取控制n n加密加密加密加密pp加密设备加密设备 实现对数据的加密实现对数据的加密pp密钥管理密钥管理 提供对密钥的管理来加强信息安全提供对密钥的管理来加强信息安全19pp1.2.4 1.2.4 信息安全的组成信息安全的组成n n鉴别鉴别鉴别鉴别 pp身份鉴别身份鉴别 主要用于阻止非授权用户对系统资源的访问主要用于阻止非授权用户对系统资源的访问pp完整性鉴别完整性鉴别 主要用于证实信息内容未被非法修改或遗漏主要用于证实信息内容未被非法修改或遗漏pp不可否认性鉴别不可否认性鉴别 证实发送方所发送的信息确实被接收方接收证实发送

15、方所发送的信息确实被接收方接收了了 证实接收方接收到的信息确实是发送方发送证实接收方接收到的信息确实是发送方发送的的高技术犯罪使用的技术手段p数据欺骗数据欺骗:非法篡改数据或输入假数据:非法篡改数据或输入假数据p特洛伊木马术:特洛伊木马术:非法装入秘密指令或程序,由计算机执行非法装入秘密指令或程序,由计算机执行犯罪活动;犯罪活动;p香肠术:香肠术:利用计算机从金融银行信息系统上一点点窃取存利用计算机从金融银行信息系统上一点点窃取存款,如窃取各户头上的利息尾数,积少成多;款,如窃取各户头上的利息尾数,积少成多;p逻辑炸弹:逻辑炸弹:输入犯罪指令,以便在指定的时间或条件下抹输入犯罪指令,以便在指定

16、的时间或条件下抹除数据文卷,或者破坏系统功能;除数据文卷,或者破坏系统功能;p线路截收:线路截收:从系统通讯线路上截取信息;从系统通讯线路上截取信息;p陷阱术陷阱术:在程序中设置陷阱,让用户在运行程序时掉进去:在程序中设置陷阱,让用户在运行程序时掉进去p异步攻击异步攻击Asynchronous attack:利用防御行动和攻:利用防御行动和攻击行动之间的间隔使防御行动失去作用的企图。例如,操击行动之间的间隔使防御行动失去作用的企图。例如,操作任务可能在被中断后立即对所存储的参数进行检查,用作任务可能在被中断后立即对所存储的参数进行检查,用户重新获得控制并恶意更改该参数,操作系统在重新获得户重新

17、获得控制并恶意更改该参数,操作系统在重新获得控制后继续使用被恶意更改的参数进行处理。控制后继续使用被恶意更改的参数进行处理。 p计算机病毒计算机病毒特洛伊木马p特洛伊战争,一只藏着军队的木马混进了城,并且在半夜偷偷出来,特洛伊战争,一只藏着军队的木马混进了城,并且在半夜偷偷出来,打开城门,里应外合,大获全胜打开城门,里应外合,大获全胜.p顾名思义,特洛伊木马的攻击手段,就是将一些顾名思义,特洛伊木马的攻击手段,就是将一些“后门后门”,“特殊通道特殊通道”隐藏在某个软件里,使使用该软件的人无意识的中招,成为被攻击,隐藏在某个软件里,使使用该软件的人无意识的中招,成为被攻击,被控制的对象。被控制的

18、对象。p现在这种木马程序开始越来越并入现在这种木马程序开始越来越并入“病毒病毒”的概念,大部分杀毒软件具的概念,大部分杀毒软件具有检查和清除有检查和清除“木马木马”的功能,其实的功能,其实他和病毒还不一样,他和病毒还不一样,病毒本身是具病毒本身是具有传播性和破坏性的,木马本身是和宿主在一起,通常自己不具备传有传播性和破坏性的,木马本身是和宿主在一起,通常自己不具备传播性,通过宿主的传播而传播而且本身无破坏性,是由攻击者通过木播性,通过宿主的传播而传播而且本身无破坏性,是由攻击者通过木马的入口进行操作而实现破坏和入侵的。马的入口进行操作而实现破坏和入侵的。 pNimda将病毒和木马混合将病毒和木

19、马混合,则是一种新的发展方向。,则是一种新的发展方向。221.3 电子商务安全的需求电子商务安全的需求术语术语定义定义保密性保密性保护机密信息不被非法存取以及信息在传输过程中保护机密信息不被非法存取以及信息在传输过程中不被非法窃取不被非法窃取完整性完整性防止信息在传输过程中丢失、重复及非法用户对信防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改息的恶意篡改认证性认证性确保交易信息的真实性和交易双方身份的合法性确保交易信息的真实性和交易双方身份的合法性可控性可控性保证系统、数据和服务能由合法人员访问,保证数保证系统、数据和服务能由合法人员访问,保证数据的合法使用据的合法使用不可否认性不可

20、否认性有效防止通信或交易双方对已进行的业务的否认有效防止通信或交易双方对已进行的业务的否认231.4 电子商务安全的保障电子商务安全的保障1.4.1 1.4.1 技术措施技术措施1.4.2 1.4.2 管理措施管理措施1.4.3 1.4.3 法律环境法律环境1.4.4 OSI1.4.4 OSI信息安全体系结构信息安全体系结构24pp1.4.1 技术措施n n信息加密技术信息加密技术信息加密技术信息加密技术n n数字签名技术数字签名技术数字签名技术数字签名技术n nTCP/IPTCP/IPTCP/IPTCP/IP服务服务服务服务n n防火墙的构造选择防火墙的构造选择防火墙的构造选择防火墙的构造选

21、择25pp1.4.2 1.4.2 管理措施管理措施n n人员管理制度人员管理制度人员管理制度人员管理制度n n保密制度保密制度保密制度保密制度n n跟踪、审计、稽核制度跟踪、审计、稽核制度跟踪、审计、稽核制度跟踪、审计、稽核制度n n系统维护制度系统维护制度系统维护制度系统维护制度n n数据容灾制度数据容灾制度数据容灾制度数据容灾制度n n病毒防范制度病毒防范制度病毒防范制度病毒防范制度n n应急措施应急措施应急措施应急措施pp1.4.3 1.4.3 法律环境法律环境1.1.4 OSI信息安全体系结构pOSI( Open System Interconnect )pOSI7498-2标准nOS

22、I7498标准是目前国际上通行的计算机信息系统互连标准n1989年12月ISO颁布了该标标准的第2部分,即OSI7498-2标准,并首次确定了开放系统互连(OSI)参考模型的信息安全体系结构。n我国将其作为GB/T9387-2标准执行nOSI7498-2标准包括五大类安全服务及提供这些服务所需要的八大类安全机制。安全服务p鉴别p访问控制p数据保密性p数据完整性p不可否认入侵系统:获取用户权限、突破访问控制、解密、破坏数据完整性、消入侵系统:获取用户权限、突破访问控制、解密、破坏数据完整性、消除入侵痕迹。除入侵痕迹。八种安全机制:1.加密机制:为后续安全机制提供加密服务加密机制:为后续安全机制提

23、供加密服务2.数字签名机制:密文收发双方签字和确认的过程。数字签名机制:密文收发双方签字和确认的过程。3.访问控制机制:按事先确定的规则决定对系统的访问是否合法访问控制机制:按事先确定的规则决定对系统的访问是否合法4.数据完整性机制:保证数据不被破坏修改数据完整性机制:保证数据不被破坏修改5.鉴别交换机制:通信双方查实身份和特权的过程鉴别交换机制:通信双方查实身份和特权的过程,是访问控制实是访问控制实现的先决条件,报文鉴别、数字签名等现的先决条件,报文鉴别、数字签名等6.通信业务填充机制:增加伪报文,将所有的报文扩充为同样的通信业务填充机制:增加伪报文,将所有的报文扩充为同样的长度,并随机选择

24、通信对象,使网络中的数据流量比较平衡。长度,并随机选择通信对象,使网络中的数据流量比较平衡。7.路由控制机制:使信息发送者选择特殊的路由,以保证通信的路由控制机制:使信息发送者选择特殊的路由,以保证通信的安全。安全。8.公证机制:为了解决信任问题,需要一个各方都信任的第三方:公证机制:为了解决信任问题,需要一个各方都信任的第三方:公证机构提供公证服务。公证机构提供公证服务。本章小结及思考题1.电子商务安全是制约电子商务发展的主要问题2.电子商务安全系统的安全构成3.电子商务的安全需求4.电子商务安全保障技术思考题:P23 p补充:n试述OSI信息安全体系结构n电子商务安全需求有哪几个方面下次讨论题目:p分析现有的团购网络存在哪些电子商务的安全问题?p准备同学:1,2号p展开思路:pWHEN? WHAT? WHY? HOW? WHICH?

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号