《a第一周电子商务安全的现状与趋势课件》由会员分享,可在线阅读,更多相关《a第一周电子商务安全的现状与趋势课件(31页珍藏版)》请在金锄头文库上搜索。
1、华南理工大学计算机学院本科课程电子商务安全与保密主讲:许伯桐Email: burton. 电话:/1教材:电子商务安全与保密. 祁明 等 编著.高等教育出版社.2006.参考资料:0!Internet(google/百度、springer/ieee/eprint、 卢开澄等 编著. 清华大学出版社,1998.2、信息安全原理及应用. 阙喜戎等 编著. 清华大学出版社,2003.3、网络安全原理与应用. 张世永 编著. 科学出版社,2003.4、信息安全实验与实践教程.张基温等 编著.清华大学出版社,2005(实验用书)2目录及学时分配第第1章章 信息系统安全概述信息系统安全概述第第2章章 信息
2、论与数学基础信息论与数学基础 第第3章章 信息加密技术信息加密技术 第第4章章 数字签名技术数字签名技术 第第5章章 身份认证与访问控制身份认证与访问控制 第第6章章 密钥分配与密钥分配与PKI 第第7章章 WWW与与WEB服务安全服务安全 第第8章章 防火墙的构造与选择防火墙的构造与选择 第第10章章 安全通信协议与交易协议安全通信协议与交易协议 第第11章章 网络攻击与防范网络攻击与防范 第第12章章 信息隐藏与数字水印信息隐藏与数字水印 第第13章章 邮件安全邮件安全 第第14章章 移动通信安全移动通信安全 第第15-16章章 知识产权保护知识产权保护 (选讲)(选讲) 第第17-18章
3、章 安全评估与等级保护安全评估与等级保护 总复习总复习 3成绩评定n考勤&课堂提问 占10 % n平时作业 占30%n密码学编程nwww服务器安全设置n数字证书应用n期末考试 占60%4华南理工大学电子商务学院本科课程电子商务安全与保密第1章 计算机安全技术概述5本章要点:电子商务安全需求电子商务安全系统的结构体系电子商务三层安全服务国家信息安全战略6电子商务面临的威胁形式因特网外部来的侵犯20%入侵僵尸PC盗窃听取伪装DOS/DDOS内部不正当行为80%病毒蠕虫电子商务平台恶意行为拷贝到外部媒体不正当打印过失pc盗窃未受管理的PC到外部邮件附件PC的丢失遗忘打印后未取无意的文件拷贝误发邮件打
4、开重要文件后离开内部人员(职员、合作公司等)不正当打印重放、假冒、欺诈7安全性事件造成的后果8安全性事件造成的后果9电子商务安全概念与特点电子商务面临的四大安全威胁n信息的截获和窃取n篡改交易信息n假冒商家或客户n商家抵赖交易10电子商务的安全需求 11安全概念基本关系信息安全互联网安全 局域网安全密码安全信息安全 互联网安全 局域网安全 密码安全 12电子商务交易安全保障框架13NIS不安全的主要原因:n网络的开放性。n公开性 :漏洞 的公开;代码的公开;系统特征的公开;n远程可达 :任意时、地、人都可通过网络访问触及NISn信息传播的公开 :物理线路的公开;可以复制;n无法追踪:可以尝试攻
5、击而不用担心被发现n组成网络的通信系统和信息系统的自身缺陷。 n系统缺陷(代码缺陷):开发人员编码错误。多数系统漏洞的产生原因。(补丁)n协议缺陷:TCP/IP缺陷(一般是未考虑到安全问题)(新协议)n管理缺陷:安全管理规章不完善,或者在执行时不遵守(人的因素,规章制度)14各网络层的主要威胁 从协议层次看,常见主要威胁:n物理层物理层 :窃取、插入、删除等,但需要一定的设备。(加密)n数据链路层数据链路层 :很容易实现数据监听。(网段减少共享)n网络层网络层 :IP欺骗等针对网络层协议的漏洞的攻击。(新的网络协议:IPv6,IPSEC)n传输层:传输层:TCP连接欺骗等针对传输层协议的漏洞的
6、攻击。(认证)n应用层:应用层:存在认证、访问控制、完整性、保密性等所有安全问题。 15各种安全威胁16安全服务nISO 7498-2中的安全服务 五大类可选的安全服务:n鉴别(鉴别(AuthenticationAuthentication):): 包括对等实体鉴包括对等实体鉴别和数据源鉴别;数字证书;密钥体系别和数据源鉴别;数字证书;密钥体系n访问控制(访问控制(Access ControlAccess Control););n访问控制列表(访问控制列表(ACLACL)nRBAC(Role Based Access Control):RBAC(Role Based Access Contro
7、l):基于角色基于角色的访问控制的访问控制n数据保密(数据保密(Data ConfidentialityData Confidentiality);公钥体系);公钥体系n数据完整性(数据完整性(Data IntegrityData Integrity);加密、摘要);加密、摘要n不可否认(不可否认(Non-RepudiationNon-Repudiation):数字证书、公钥):数字证书、公钥体系体系17ISO 7498-2ISO 7498-2三维图三维图 18安全机制nISO 7498-2中的八类安全机制q加密机制(加密机制(Encryption Encryption ););q数字签名机制
8、(数字签名机制(Digital Signature MechanismsDigital Signature Mechanisms););q访问控制机制(访问控制机制(Access Control MechanismsAccess Control Mechanisms););q数据完整性机制(数据完整性机制(Data Integrity MechanismsData Integrity Mechanisms););q鉴别交换机制(鉴别交换机制(Authentication Mechanisms Authentication Mechanisms ););q通信业务填充机制(通信业务填充机制(Tr
9、affic Padding MechanismsTraffic Padding Mechanisms););q防流量分析和结构分析防流量分析和结构分析q路由控制机制(路由控制机制(Routing Control MechanismsRouting Control Mechanisms););q防共享监听防共享监听q公证机制(公证机制(Notarization MechanismsNotarization Mechanisms)。)。19安全服务与安全机制的关系机制服务机密性完整性鉴别访问控制不可否认加密YYY-数字签名-YY-Y访问控制-Y-数据完整性-Y-Y鉴别-Y-业务填充Y-路由控制Y-
10、公证-Y20安全服务的实施位置 21应用层提供安全服务的特点n只能在通信两端的主机系统上实施。 n优点:n安全策略和措施通常是基于用户制定的; n对用户想要保护的数据具有完整的访问权,因而能很方便地提供一些服务; n不必依赖操作系统来提供这些服务; n对数据的实际含义有着充分的理解。 n缺点:n效率太低;n对现有系统的兼容性太差;n改动的程序太多,出现错误的概率大增,为系统带来更多的安全漏洞。 22传输层提供安全服务的特点n只能在通信两端的主机系统上实施。 n优点:与应用层安全相比,在传输层提供安全服务的好处是能为其上的各种应用提供安全服务,提供了更加细化的基于进程对进程的安全服务,这样现有的
11、和未来的应用可以很方便地得到安全服务,而且在传输层的安全服务内容有变化时,只要接口不变,应用程序就不必改动。n缺点:由于传输层很难获取关于每个用户的背景数据,实施时通常假定只有一个用户使用系统,所以很难满足针对每个用户的安全需求。23网络层提供安全服务的特点n在端系统和路由器上都可以实现。 n优点:n主要优点是透明性,能提供主机对主机的安全服务,不要求传输层和应用层做改动,也不必为每个应用设计自己的安全机制;n其次是网络层支持以子网为基础的安全,子网可采用物理分段或逻辑分段,因而可很容易实现VPN和内联网,防止对网络资源的非法访问;n第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密
12、钥管理架构,密钥协商的开销大大降低。 n缺点:n无法实现针对用户和用户数据语义上的安全控制。 24数据链路层提供安全服务的特点n在链路的两端实现。n优点:n整个分组(包括分组头信息)都被加密 ,保密性强。n缺点:n使用范围有限。只有在专用链路上才能很好地工作 ,中间不能有转接点。 25国家信息安全战略n关于加强信息安全保障工作的意见n坚持积极防御、综合防范n全面提高信息安全防护能力n重点保障信息网络和重要信息系统安全n创建安全健康的网络环境n保障和促进信息化发展、保护公众利益、n维护国家安全n立足国情、以我为主、管理与技术并重、n统筹规划、突出重点n发挥各界积极性、共同构筑国家信息安全保障体系
13、 26国家信息安全战略n国家信息安全标准化“十一五”规划n信息安全等级保护有关标准n电子政务信息安全标准n电子商务信息安全标准n信息安全应急与灾备有关标准n信息安全服务管理标准n信息安全测评标准n信息安全保障指标与评价体系n可信计算技术标准n.27国家信息安全战略n信息安全基础设施的支撑n数字证书认证体系(CA/PKI)n网络应急支援体系(CERT)n灾难恢复基础设施(DRI)n病毒防治服务体系(AVERT)n产品与系统安全检测、评估体系(CC/TCSEC)n密钥管理基础设施(KMI)n授权管理基础设施(AA/PMI)n信息安全事件通报与会商体系n网络监控与预警体系n信息保密检查体系n信息安全
14、偵控体系n网络舆情掌控与治理体系28 信息加密技术(对称、公开、可恢复、量子、隐藏信息加密技术(对称、公开、可恢复、量子、隐藏信息加密技术(对称、公开、可恢复、量子、隐藏信息加密技术(对称、公开、可恢复、量子、隐藏) ) 鉴别与认证(口令鉴别与认证(口令鉴别与认证(口令鉴别与认证(口令/ /密码、动态口令密码、动态口令密码、动态口令密码、动态口令/ /ToKenToKen、 CA/CA/签名、物理签名、物理签名、物理签名、物理识别)识别)识别)识别) 访问控制技术(访问控制技术(访问控制技术(访问控制技术(ACLACL、RBACRBAC、DACDAC、MACMAC、能力表、能力表、能力表、能力
15、表、AAAA) 网络边界安全技术(网络边界安全技术(网络边界安全技术(网络边界安全技术(FWFW、ProxyProxy、NGNG、GAPGAP、)、)、)、) 病毒防治技术(防、查、杀、清)病毒防治技术(防、查、杀、清)病毒防治技术(防、查、杀、清)病毒防治技术(防、查、杀、清) 网络隐患扫描与发现(缺陷、后门、嵌入、恶意代码)网络隐患扫描与发现(缺陷、后门、嵌入、恶意代码)网络隐患扫描与发现(缺陷、后门、嵌入、恶意代码)网络隐患扫描与发现(缺陷、后门、嵌入、恶意代码) 内容识别与过滤技术(关键字、特征、上下文、自然语言)内容识别与过滤技术(关键字、特征、上下文、自然语言)内容识别与过滤技术(
16、关键字、特征、上下文、自然语言)内容识别与过滤技术(关键字、特征、上下文、自然语言) 网络实时监控与恢复技术(特征、统计、网络实时监控与恢复技术(特征、统计、网络实时监控与恢复技术(特征、统计、网络实时监控与恢复技术(特征、统计、AgentAgent、IDSIDS)信息安全技术领域信息安全技术领域29 网络预警和网络攻击技术(面防、预警、追踪、反击、网络预警和网络攻击技术(面防、预警、追踪、反击、网络预警和网络攻击技术(面防、预警、追踪、反击、网络预警和网络攻击技术(面防、预警、追踪、反击、陷阱)陷阱)陷阱)陷阱) “ “内容内容内容内容” ”产权保护技术(数字水印、安全容器、加密、签产权保护
17、技术(数字水印、安全容器、加密、签产权保护技术(数字水印、安全容器、加密、签产权保护技术(数字水印、安全容器、加密、签名)名)名)名) “ “安全基安全基安全基安全基” ”技术(补丁、配置、清除、监视、加固、监视、技术(补丁、配置、清除、监视、加固、监视、技术(补丁、配置、清除、监视、加固、监视、技术(补丁、配置、清除、监视、加固、监视、升级)升级)升级)升级) 审计与取证(全局审计、审计保护、反向工程、恢复提审计与取证(全局审计、审计保护、反向工程、恢复提审计与取证(全局审计、审计保护、反向工程、恢复提审计与取证(全局审计、审计保护、反向工程、恢复提取)取)取)取) 备份与容灾备份与容灾备份与容灾备份与容灾 (SANSAN、NASNAS、集群集群集群集群、冗余、镜象)冗余、镜象)冗余、镜象)冗余、镜象) 可信计算可信计算可信计算可信计算 (TCGTCG、TCBTCB、TWCTWC) 信息安全集成管理(信息共享、协同联动、策略牵引)信息安全集成管理(信息共享、协同联动、策略牵引)信息安全集成管理(信息共享、协同联动、策略牵引)信息安全集成管理(信息共享、协同联动、策略牵引)信息安全技术领域信息安全技术领域30国家信息安全战略n世界信息强国信息安全战略n美国n日本n俄罗斯n韩国31
