信息及电子商务安全概述.ppt

《信息及电子商务安全概述.ppt》由会员分享，可在线阅读，更多相关《信息及电子商务安全概述.ppt（31页珍藏版）》请在三一办公上搜索。

1、第1章 信息及电子商务安全概述,2,1.1 面临的安全问题1.2 系统安全的构成1.3 安全的需求1.4 安全的保障,本章主要内容,3,引例eBay在中国溃败之因,eBay与淘宝之战，eBay败在了安全上，那么是否淘宝就不再面临任何的安全问题了呢？如果不是，到底还有哪些安全问题需要电子商务来面对呢？,5,1.1 电子商务面临的安全问题,1.1.1 安全问题的提出安全是制约电子商务发展的瓶颈计算机安全的困扰网络安全：黑客，病毒，安全漏洞，网页篡改，网络仿冒1.1.2 电子商务涉及的安全问题商家，客户和银行可能是面临的安全问题信息的安全问题信用的安全问题来自买方的安全问题来自卖方的安全问题买卖双方

2、都存在抵赖的情况安全的管理问题安全的法律保障问题,信息面临的风险,泄密欺骗中断篡夺伪装与欺骗篡改,7.拒绝服务8.抵赖9.计算机病毒10.延时11.通信线路窃听12.笔记本电脑失窃,7,1.2 电子商务系统安全的构成,1.2.1 电子商务系统安全概述1.2.2 系统实体安全1.2.3 系统运行安全1.2.4 信息安全,8,1.2.1 电子商务系统安全概述电子商务系统安全的构成：,9,1.2.2 系统实体安全 所谓实体安全，是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。,10,1.环境安全(1)受灾防护(2)区域防护2

3、.设备安全(1)设备防盗(2)设备防毁(3)防止电磁信息泄漏(4)防止线路截获(5)抗电磁干扰(6)电源保护,3.媒体安全(1)媒体的安全媒体的防盗媒体的防毁(2)媒体数据的安全媒体数据的防盗媒体数据的销毁媒体数据的防毁,11,1.2.3 系统运行安全 运行安全是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。,12,1.2.3 系统运行安全的组成1.风险分析系统设计前的风险分析潜在的安全隐患系统试运行前的风险分析设计的安全漏洞系统运行期的风险分析运行的安全漏洞系统运行后的风险分析系统的安全隐患2.审计跟踪纪录和跟踪各种系统状态的变化实现对各种安全事故的定位保存、维护和管

4、理审计日志,13,1.2.3 系统运行安全的组成3.备份与恢复 提供场点内高速度、大容量自动的数据存储、备份和恢复提供场点外的数据存储、备份和恢复提供对系统设备的备份4.应急（1）应急计划辅助软件紧急事件或安全事故发生时的影响分析应急计划的概要设计或详细制定应急计划的测试与完善（2）应急设施提供实时应急设施提供非实时应急设施,14,1.2.4 信息安全 所谓信息安全，是指防止信息财产被故意地或偶然地非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制，即信息安全要确保信息的完整性、保密性、可用性和可控性。,15,1.2.4 信息安全的组成1.操作系统安全2.数据库安全3.网络安全4.病毒防护安

5、全5.访问控制安全6.加密7.鉴别,16,1.2.4 信息安全的组成操作系统安全操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制，为所管理的资源提供相应的安全保护。操作系统的安全由两个方面组成：安全操作系统操作系统安全部件,17,1.2.4 信息安全的组成数据库安全安全数据库系统数据库系统安全部件网络安全网络安全管理安全网络系统网络系统安全部件,18,1.2.4 信息安全的组成病毒防护安全计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。单机系统病毒防护网络系统病毒防护,19,1.2.4 信息安全的组成访问

6、控制安全出入控制主要用于阻止非授权用户进入机构或组织存取控制主要是提供主体访问客体时的存取控制加密加密设备实现对数据的加密密钥管理提供对密钥的管理来加强信息安全,20,1.2.4 信息安全的组成鉴别 身份鉴别主要用于阻止非授权用户对系统资源的访问完整性鉴别主要用于证实信息内容未被非法修改或遗漏不可否认性鉴别证实发送方所发送的信息确实被接收方接收了证实接收方接收到的信息确实是发送方发送的,高技术犯罪使用的技术手段,数据欺骗：非法篡改数据或输入假数据特洛伊木马术：非法装入秘密指令或程序，由计算机执行犯罪活动；香肠术：利用计算机从金融银行信息系统上一点点窃取存款，如窃取各户头上的利息尾数，积少成多；

7、逻辑炸弹：输入犯罪指令，以便在指定的时间或条件下抹除数据文卷，或者破坏系统功能；线路截收：从系统通讯线路上截取信息；陷阱术：在程序中设置陷阱，让用户在运行程序时掉进去异步攻击Asynchronous attack：利用防御行动和攻击行动之间的间隔使防御行动失去作用的企图。例如，操作任务可能在被中断后立即对所存储的参数进行检查，用户重新获得控制并恶意更改该参数，操作系统在重新获得控制后继续使用被恶意更改的参数进行处理。计算机病毒,特洛伊木马,特洛伊战争，一只藏着军队的木马混进了城，并且在半夜偷偷出来，打开城门，里应外合，大获全胜.顾名思义，特洛伊木马的攻击手段，就是将一些“后门”，“特殊通道”隐

8、藏在某个软件里，使使用该软件的人无意识的中招，成为被攻击，被控制的对象。现在这种木马程序开始越来越并入“病毒”的概念，大部分杀毒软件具有检查和清除“木马”的功能，其实他和病毒还不一样，病毒本身是具有传播性和破坏性的，木马本身是和宿主在一起，通常自己不具备传播性，通过宿主的传播而传播而且本身无破坏性，是由攻击者通过木马的入口进行操作而实现破坏和入侵的。Nimda将病毒和木马混合，则是一种新的发展方向。,23,1.3 电子商务安全的需求,24,1.4 电子商务安全的保障,1.4.1 技术措施1.4.2 管理措施1.4.3 法律环境1.4.4 OSI信息安全体系结构,25,1.4.1 技术措施信息加

9、密技术数字签名技术TCP/IP服务防火墙的构造选择,26,1.4.2 管理措施人员管理制度保密制度跟踪、审计、稽核制度系统维护制度数据容灾制度病毒防范制度应急措施1.4.3 法律环境,1.1.4 OSI信息安全体系结构,OSI(Open System Interconnect)OSI7498-2标准OSI7498标准是目前国际上通行的计算机信息系统互连标准1989年12月ISO颁布了该标标准的第2部分，即OSI7498-2标准，并首次确定了开放系统互连（OSI）参考模型的信息安全体系结构。我国将其作为GB/T9387-2标准执行OSI7498-2标准包括五大类安全服务及提供这些服务所需要的八大

10、类安全机制。,安全服务,鉴别访问控制数据保密性数据完整性不可否认入侵系统：获取用户权限、突破访问控制、解密、破坏数据完整性、消除入侵痕迹。,八种安全机制：,加密机制：为后续安全机制提供加密服务数字签名机制：密文收发双方签字和确认的过程。访问控制机制：按事先确定的规则决定对系统的访问是否合法数据完整性机制：保证数据不被破坏修改鉴别交换机制：通信双方查实身份和特权的过程,是访问控制实现的先决条件，报文鉴别、数字签名等通信业务填充机制：增加伪报文，将所有的报文扩充为同样的长度，并随机选择通信对象，使网络中的数据流量比较平衡。路由控制机制：使信息发送者选择特殊的路由，以保证通信的安全。公证机制：为了解决信任问题，需要一个各方都信任的第三方：公证机构提供公证服务。,本章小结及思考题,电子商务安全是制约电子商务发展的主要问题电子商务安全系统的安全构成电子商务的安全需求电子商务安全保障技术思考题：P23 补充：试述OSI信息安全体系结构电子商务安全需求有哪几个方面,下次讨论题目：,分析现有的团购网络存在哪些电子商务的安全问题？准备同学：1，2号展开思路：WHEN?WHAT？WHY?HOW?WHICH?,