第1章电子商务安全导论课件.ppt

《第1章电子商务安全导论课件.ppt》由会员分享，可在线阅读，更多相关《第1章电子商务安全导论课件.ppt（49页珍藏版）》请在三一办公上搜索。

1、第1章 电子商务安全基础,电子商务专业课,1,t课件,第1章 电子商务安全基础,1.1 电子商务概述 1.2 电子商务安全基础1.3 计算机安全等级,2,t课件,1.1.1 什么是电子商务,商务：是经济领域特别是市场经济环境下的一种社会活动，它涉及货品、服务、金融、知识信息等的交易。生产者（卖者、企业机构）：Business消费者（买者、消费者）：Consumer管理者（市场、政府）：Government电子商务：建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。,3,t课件,1.1.1 什么是电子商务,第一代的电子商务：通过专用网络进行的电子数据交

2、换(EDI, Electronic Data Interchange)，实现BtoB(Business to Business, B2B)方式的交易。现代电子商务：电子商务就是在因特网(Internet)进行的商务活动。历史唯物主义观点：生产力的发展不以人们的意志为转移，生产力改变了，生产关系和各种社会上层建筑都将随之改变。,4,t课件,1.1.2 电子商务的框架构成及模式,涉及主客体关系：BtoB，企业机构之间的电子商务活动BtoC，企业机构和消费者之间的电子商务活动CtoC，消费者之间的电子商务活动BtoG，企业机构和政府之间的电子商务活动CtoG，消费者和政府之间的电子商务活动（书中缺少

3、此项）技术要素：网络：计算机通信技术应用软件：计算机软件技术硬件：计算机硬件技术,5,t课件,1.1.2 电子商务的框架构成及模式,6,t课件,1.1.2 电子商务的框架构成及模式,几种常见的电子商务模式：大字报/告示牌模式：Email推销，垃圾邮件在线黄页簿模式：静态网页，技术门槛低电脑空间上的小册子模式：动态网页，Web应用虚拟百货店模式：网上商店，减少流通费用预订/订购模式：软件销售，不需要物流广告推销模式：搜索引擎的生存方式，成为一个广告商,7,t课件,1.1.3 Internet、Intranet和Extranet,Internet：通过传输控制协议(TCP)和网际协议(IP)交换数

4、据的计算机通信网络。（因特网）Intranet：指基于TCP/IP协议的企业内部网络，它通过防火墙或其它安全机制与Internet建立连接。Intranet上提供的服务主要面向的是企业内部。 （内联网）Extranet：指基于TCP/IP协议的企业外域网络，它是一种企业之间的合作性网络。 （外连网）,8,t课件,1.1.3 Internet、Intranet和Extranet,互联网(Internet)是指由多个计算机网络汇集而成的一个网络集合体。计算机网络=计算机技术+通信技术。计算机技术和通信技术的发展均受硬件物理材料科学的制约。电子管、晶体管、集成电路、超大规模集成电路。电子器件体积尺寸

5、越来越小，性能越来越稳定，能耗越来越小。美国国防部创建ARPAnet的目的，是使美国一旦受到核袭击时，仍能借助计算机网络保持良好的指挥和通信能力。Advanced Research Projects Agency Net,9,t课件,1.1.3 Internet、Intranet和Extranet,为使不同基地和场所的不同类型的计算机进行正常通信，ARPA开发了TCP/IP通用网络通信协议 (TCP/IP，Transmission Control Protocol/Internet Protocol) 。随着光纤通信技术的发展和应用，千兆和万兆位计算机网络已经在全球普及。TCP/IP是“无冕之

6、王”，事实上的计算机网络业界标准。但是，网络的国际标准却是ISO(International Organization for Standardization)于1984年公布的OSI参考模型(Reference Model of Open Systems Interconnection)，该模型分为7层，作为制定网络协议的标准框架。,10,t课件,1.1.4 电子商务的发展过程,传统电子商务：第一代的电子商务，EDI技术。现代电子商务：Internet技术。1995年：网络基础设施大量兴建；1996年：应用软件及服务成为热点；1997年：网址及内容管理的建设发展；1998年（最热闹的1年）至

7、今：网上交易蓬勃发展。 ( 零售业上网),11,t课件,1.1.5 发展电子商务的驱动力,信息产品硬件制造商（IBM,HP,SUN,Sisco）信息产品软件制造商(Microsoft,Netscape)大型网上服务厂商(AOL,Yahoo,Netcenter)银行和金融机构大企业(CE)政府现在，还有“个人”（这是因为有Web应用技术的发展）,12,t课件,1.2 电子商务安全基础,1.2.1 电子商务存在的安全隐患1.2.2 电子商务系统可能遭受的攻击1.2.3 电子商务安全的中心内容1.2.4 电子商务安全威胁的现状1.2.5 产生电子商务安全威胁的原因1.2.6 可以采取的相应政策*,1

8、3,t课件,1.2.1 电子商务存在的安全隐患,电子商务存在的安全隐患涉及以下两方面：计算机系统的安全硬件系统软件系统电子商务的安全数据安全：数据大量、商业机密交易的安全：交易手续、收据凭证、签名盖章，避免恶意诈骗。,14,t课件,1.2.2 电子商务系统可能遭受的攻击,(1)系统穿透：假冒合法用户。(2)违反授权原则：越权访问。(3)植入：如木马(4)通信监视：如搭线窃听等(5)通信窜扰(6)中断(7)拒绝服务(8)否认(9)病毒,15,t课件,1.2.3 电子商务安全的中心内容,六项中心内容：*1. 商务数据的机密性2. 商务数据的完整性3. 商务对象的认证性4. 商务服务的不可否认性5.

9、 商务服务的不可拒绝性6. 访问的控制性7. 其它内容 匿名性业务（业务分离、个人隐私）,16,t课件,1.2.5 产生电子商务安全威胁的原因,1. Internet在安全方面的缺陷(1)Internet的安全漏洞 Internet起源于“传输冗余”，而非“传输安全”(2)TCP/IP协议及其应用的不安全性2. 我国电子商务安全威胁的特殊原因(1)我国的计算机主机、网络交换机、路由器和网络操作系统大多来自国外。(2)外国政府对计算机和网络安全技术的出口限制，使得进入我国并应用于电子商务的网络安全产品只有较短密钥长度的弱加密算法。,17,t课件,1.2.5 产生电子商务安全威胁的原因,(1)In

10、ternet的安全漏洞Internet各个环节的安全漏洞 客户端软件(Web浏览器)、客户端的操作系统、客户端的局域网、Internet网络、服务端的局域网、服务器上的服务器软件(Web服务器),18,t课件,1.2.5 产生电子商务安全威胁的原因,(1)Internet的安全漏洞外界攻击，Internet安全的类型分为主动攻击(明显可知)、被动攻击(窃听信息)截断信息（可用性）伪造（机密性、完整性、认证性）篡改（机密性、完整性、认证性）介入（窃听，机密性）,19,t课件,1.2.5 产生电子商务安全威胁的原因,(1)Internet的安全漏洞局域网服务和相互信任主机的安全漏洞分布式管理：口令

11、文件系统共享文件和数据：门多不安全，言多必失,20,t课件,1.2.5 产生电子商务安全威胁的原因,(1)Internet的安全漏洞设备或软件的复杂性带来的安全隐患访问控制配置不当大型系统软件的复杂性,21,t课件,1.2.5 产生电子商务安全威胁的原因,(2)TCP/IP协议及其应用的不安全性TCP/IP协议简介源主机：一个文件信息被拆分成多个有一定序号的IP包（目标IP地址+序号）传送出去目的主机：将多个IP包按一定序号组合成一个文件信息端到端(end to end)的稳定连接：TCP端到端的不稳定连接：UDP,22,t课件,1.2.5 产生电子商务安全威胁的原因,(2)TCP/IP协议及

12、其应用的不安全性IP协议的安全隐患针对IP的“拒绝服务”攻击IP地址顺序号预测攻击TCP协议支持入侵（在被攻击的目标网络中控制一台主机）嗅探入侵（用一个合法用户的信息注册于一个分布式网络上，嗅探传送的IP数据包）,23,t课件,1.2.5 产生电子商务安全威胁的原因,(2)TCP/IP协议及其应用的不安全性HTTP和Web的不安全性HTTP协议的特点：“无记忆状态”协议HTTP协议中的不安全性Web站点的安全隐患,24,t课件,1.2.5 产生电子商务安全威胁的原因,25,t课件,1.2.5 产生电子商务安全威胁的原因,(2)TCP/IP协议及其应用的不安全性E-mail、Telnet及网页的

13、不安全性E-mail的不安全性（ASCII明码）入侵Telnet会话（Telnet本身的缺陷）网页做假电子邮件炸弹和电子邮件列表链接,26,t课件,1.2.6 可以采取的相应对策,(1)保密业务(2)认证业务(3)接入控制业务(4)数据完整性业务(5)不可否认业务(6)研发自主知识产权的电子商务安全产品(7)按相关法律法规来规范企业电子商务设施的建设和管理,27,t课件,1.3 计算机安全等级,美国国家计算机安全中心的“橘黄皮书”*可信任的计算机安全评估标准为计算机安全的不同级别制定了4个标准，由低到高分别为D、C（C1、C2）、B（B1、B2、B3）、A级,28,t课件,1.3 计算机安全等

14、级,(1) D：对用户没有验证(2) C（C1、C2）C1：硬件加锁保护，用户注册，数据访问权限C2：增加用户权限级别，采用系统审计机制(3) B（B1、B2、B3）B1：存在多级安全保护B2：结构化防护，软件、硬件、信息区分安全级别B3：通过可信任途径链接网络系统(4) A：验证保护级，附加一个安全系统受监控的设计要求，合格的安全个体必须被审查后才能正常工作。,29,t课件,2005年,21.电子商务系统可能遭受的攻击有( 多选ABCDE )A.系统穿透B.植入C.违反授权原则D.通信监视E.计算机病毒26.美国的可信任的计算机安全评估标准为计算机安全制定了_4_级标准，其中_A_级是最安全

15、的。38.电子商务安全的中心内容是什么?(5分),30,t课件,2006年1月,1保证商业服务不可否认的手段主要是( )A数字水印 B数据加密C身份认证 D数字签名21对Internet的攻击有多种类型，包括( ACE )(多选A截断信息 B中断C伪造 D病毒E介入26电子商务安全的中心内容包括机密性，_，认证性，_，不可拒绝性和访问控制性。31接入控制（名词解释）36电子商务的安全需求包含哪些方面?（5分）38简述美国可信任的计算机安全评估标准中C1级和C2级的要求。41简述数据完整性。,31,t课件,2006年10月,4.电子商务的安全需求不包括( )A.可靠性B.稳定性C.真实性D.完整

16、性23.对Internet的攻击手段中伪造会威胁电子商务安全内容中的( )多选A.商务数据的机密性B.商务数据的完整性C.商务对象的认证性D.商务服务的不可否认性E.商务服务的不可拒绝性27.美国的橘黄皮书中为计算机安全的不同级别制定了 个标准，其中C2级又称为 。39.电子商务中数据的完整性被破坏后会产生什么样的后果？,32,t课件,2007年1月,14.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准，他们从高到低依次是（ ）A.DCBAB.ABCDC.B1B2ClC2D.C1C2B1B222.电子商务系统可能遭受的攻击有（ ）多选A.系统穿透B.违反授权原则C.植入D.通信监视E.通

17、信窜扰27.电子商务系统中，商务对象的认证性用 和 技术实现。31.电子商务的机密性（3分）38.简述对Internet攻击的类型。（5分）,33,t课件,2007年10月,9称为访问控制保护级别的是（ ）AC1BB1 CC2 DB223常见的电子商务模式的有（ ）多选A大字报告示牌模式B在线黄页薄模式C电脑空间上的小册子模式D虚拟百货店模式E广告推销模式33Intranet（3分）,34,t课件,2008年1月,2信息的发送方不能否认已发送的信息，接受方不能否认已收到的信息，这是一种法律有效性要求，是电子商务安全六项中的（）A商务服务的不可否认性 B商务服务的不可拒绝性C商务对象的认证性D商

18、务数据的完整性27.商务数据的机密性可用_和_技术实现。34.源的不可否认性（3分）37.电子商务可靠性的含义是什么？,35,t课件,2008年10月,1.电子商务的技术要素组成中不包含( )A.网络B.用户C.应用软件D.硬件2.电子商务的发展分成很多阶段，其第一阶段是( )A.网络基础设施大量兴建B.应用软件与服务兴起C.网址与内容管理的建设发展D.网上零售业的发展26.美国橘黄皮书中为计算机安全的不同级别制定了4个共_级标准，其中_级为最低级别。36.简述电子商务系统可能遭受攻击的类型。(5分）,36,t课件,2009年1月,1.美国的橘黄皮书中给计算机安全的不同级别制定了标准，由低到高

19、排列正确的是( )A.Cl、Bl、C2、B2B.Bl、B2、Cl、C2C.A、B2、C2、DD.C1、C2、B1、B22.保证身份的精确性，分辨参与者所声称身份的真伪，防止伪装攻击，这样的业务称为（ )A.认证业务B.保密业务C.控制业务D.完整业务36.简述电子商务发展的四个阶段。,37,t课件,2009年10月,1电子商务安全的中心内容中，用来保证为用户提供稳定的服务的是（ ）A商务数据的完整性B商务对象的认证性C商务服务的不可否认性 D商务服务的不可拒绝性6在电子商务中，保证认证性和不可否认性的电子商务安全技术是（ ）A数字签名B数字摘要C数字指纹D数字信封19在Internet接入控制

20、对付的入侵者中，属于合法用户的是（ ）A黑客B伪装者C违法者D地下用户,38,t课件,2009年10月,20下列选项中不属于数据加密可以解决的问题的是（ ）A看不懂B改不了C盗不走D用不了26根据电子商务的发展过程，可以将电子商务分为以建立在_基础上的EDI为代表的传统电子商务和以_为基础的现代电子商务。,39,t课件,2010年1月,l.美国的橘皮书中计算机安全B级的子级中，从高到低依次是( )A.Bl B2 B.B2 B1C.B1 B2 B3D.B3 B2 B115.通过破坏计算机系统中的硬件、软件或线路，使得系统不能正常工作，这种电子商务系统可能遭受的攻击是( )A.系统穿透B.中断C.

21、拒绝服务D.通信窜扰,40,t课件,2010年1月,21.下列选项中，属于电子商务安全的中心内容的有( )（多选）A.商务系统的健壮性B.商务数据的机密性C.商务对象的认证性D.商务服务的不可否认性E.商务信息的完整性31.商务服务的不可否认性（3分）,41,t课件,2010年10月,1.计算机安全等级中，C2级称为（ ）A.酌情安全保护级B.访问控制保护级C.结构化保护级D.验证保护级2.在电子商务的发展过程中，零售业上网成为电子商务发展的热点，这一现象发生在（ ）A.1996年B.1997年C.1998年D.1999年3.电子商务的安全需求中，保证电子商务系统数据传输、数据存储的正确性的根

22、基是（ ）A.可靠性B.完整性C.真实性D.有效性,42,t课件,2010年10月,15.在下列计算机系统安全隐患中，属于电子商务系统所独有的是（ ）A.硬件的安全B.软件的安全C.数据的安全D.交易的安全21.在20世纪90年代末期，大力推动电子商务发展的有（ ）（ 多选）A.信息产品硬件制造商B.大型网上服务厂商C.政府 D.银行及金融机构 E.零售服务商27.电子商务的技术要素组成中，首先要有_，其次必须有各种各样的_，当然也少不了以各种服务器为核心组成的计算机系统。 34.递送的不可否认性,43,t课件,2011年1月,1.网上商店的模式为( )A.B-B B.B-C C.C-CD.B

23、-G15.信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组 织，或者经过加密伪装后，使未经授权者无法了解其内容，这种电子商务安全内容称( )A.商务数据的机密性 B.商务数据的完整性C.商务对象的认证性D.商务服务的不可否认性,44,t课件,2011年1月,21.电子商务在英语中的不同叫法有( )A.E-Commerce B.Digital CommerceC.E-TradeD.E-Business E.EDI27.Intranet是指基于_协议的内部网络。它通过_或其他安全机制与Internet建立连接。34.接入控制36.电子商务的真实性的含义是什么？,45,t

24、课件,2011年10月,1美国的橘黄皮书中为计算机安全的不同级别定义了ABCD四级，其中C级又分了子级，由低到高的是（）AC1，C2 BC2，C1CC1，C2，C3DC3，C2，C121对Internet的攻击类型有（）多选A截断信息B伪造 C篡改 D介入 E病毒23为了保证电子商务交易的有效性，在技术手段上必须要（）A采用加密措施B反映交易者的身份C保证数据的完整性D提供数字签名功能E保证交易信息的安全,46,t课件,2011年10月,31Extranet,47,t课件,2012年1月,1.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准：D，C，B，A级，其中最容易被攻击的是（） A.A级 B.B级 C.C级 D.D级2.推动电子商务发展的大型网上服务厂商是（）A.Microsoft B.Yahoo C.Sun D.IBM15.以下不属于电子商务遭受的攻击是（）A.病毒 B.植入C.加密 D.中断16.在网上交易中，银行卡号被他人所获悉，这是破坏信息的（）A.可靠性 B.真实性C.机密性 D.有效性,48,t课件,2012年1月,21.下列攻击手段中属于主动攻击的有()多选A.获取信息 B.截断信息C.伪造 D.业务流分析E.篡改,49,t课件,