电子商务系统的分析与设计安全.ppt
《电子商务系统的分析与设计安全.ppt》由会员分享,可在线阅读,更多相关《电子商务系统的分析与设计安全.ppt(54页珍藏版)》请在三一办公上搜索。
1、电子商务系统的分析与设计,1,电子商务系统的分析与设计,Analysis and Design of e-Commerce System,刘军 董宝田北方交通大学,电子商务系统的分析与设计,2,第九章 电子商务系统安全子系统设计,9.1 概述 9.2 电子商务系统的安全要求 9.3 ISO的安全体系结构与电子商务系统的安全体系 9.4 电子商务安全子系统的设计 9.5 电子商务系统安全技术,电子商务系统的分析与设计,3,案例:CDNow公司受到的攻击,CDNow是美国一家从事音像制品电子零售的电子商务企业。2000年1月,俄罗斯的一个叫做Maxum的黑客从该公司的网站上偷取了30万条信用卡记录
2、,并向该公司敲诈10万美元。当CDNow公司拒绝其要求时,黑客开始逐条公布信用卡记录的内容。在这种情况下,当时美国运通公司(American Express)不得不暂时停止给该公司用户发行新卡。,电子商务系统的分析与设计,4,9.1 概述,9.1.1 电子商务基础设施的安全电子商务基础设施的安全主要指:保障电子商务系统的计算机设备、系统软件平台、网络环境能够无故障运行、不受外部入侵和破坏。这个层次,主要针对电子商务的信息基础设施,与计算机、网络等系统环境的关系更为密切,与企业的商务活动的联系较少。9.1.2 电子交易的安全 电子交易的安全则是指通过一系列的措施保证交易过程的真实可靠、完整、不可
3、否认和机密。与基础设施安全相比,电子交易安全更侧重于交易过程。,电子商务系统的分析与设计,5,9.1.1 电子商务基础设施的安全,(1)计算机主机系统安全 双机备份、容错系统、集群(cluster)结构以及高性能系统HA(High Availability)(2)数据库及存储设备安全采用灾难恢复技术、SAN、RAID技术等(3)操作系统安全(4)网络环境安全 防止网络的非授权访问、减少网络故障,电子商务系统的分析与设计,6,9.1.2 电子交易的安全,基础设施的安全是电子交易安全的基础 电子交易的安全是信息基础设施安全的延伸 在设计电子商务系统的安全系统时,应当从基础设施和电子交易两个层次出发
4、,不能偏废 更多的威胁是来自电子商务企业的内部,考虑相关的安全策略、安全管理问题,电子商务系统的分析与设计,7,9.2 电子商务系统的安全要求,9.2.1 电子商务的安全要求 安全问题主要是对方是否是存在的、真实的,购买过程中一些隐私性的数据(例如个人信用卡密码等)是否存在泄漏的风险,企业的服务器是否会受到攻击而瘫痪等等 9.2.2 电子商务系统的安全威胁与防范技术1.电子商务系统的安全威胁 2电子商务系统的安全防范技术,电子商务系统的分析与设计,8,9.2.1 电子商务的安全要求,1.交易的真实性2.交易的保密性 3.交易的完整性 4.不可抵赖性,电子商务系统的分析与设计,9,9.2.1 电
5、子商务的安全要求,电子商务系统的分析与设计,10,9.2.2 电子商务系统的安全威胁与防范技术,1.电子商务系统的安全威胁(1)计算机网络的安全威胁 1)针对计算机系统网络层的攻击和入侵 2)针对计算机系统层的攻击和入侵 3)针对计算机系统数据库层的攻击和入侵 4)针对计算机系统应用层的攻击和入侵(2)商务交易的安全威胁1)信息窃取 2)信息篡改 3)身份假冒 4)交易的否认,电子商务系统的分析与设计,11,9.2.2 电子商务系统的安全威胁与防范技术,2电子商务系统的安全防范技术黑客攻击电子商务系统的手段 选择攻击的目标 发现网络与计算机系统的漏洞 入侵系统,获得系统的控制权限 禁用系统审计
6、功能,更该系统的日志,以防止遗留线索 盗取文件,篡改系统的数据或者其他有价值的信息安装系统的后门(Back Gate)、特洛伊木马,以便能够再次入侵而不被发现 返回再次破坏,电子商务系统的分析与设计,12,9.2.2 电子商务系统的安全威胁与防范技术,安全防范技术1、加密技术2、密钥管理技术3、数字签名技术4、入侵检测与防范技术5、风险评估技术6、身份认证技术7、病毒防治技术,电子商务系统的分析与设计,13,9.3 ISO的安全体系结构与电子商务系统的安全体系,9.3.1 OSI安全体系结构 国际标准化组织(ISO)制定的OSI安全体系结构是研究设计计算机网络系统以及评估和改进现有系统的理论依
7、据。OSI安全体系结构定义了安全服务、安全机制、安全管理的功能,并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。93.2.电子商务系统的安全体系,电子商务系统的分析与设计,14,9.3 ISO的安全体系结构与电子商务系统的安全体系,OSI规定了5种标准的安全服务 对象认证安全服务 访问控制服务 数据保密服务 数据完整性服务 防抵赖安全服务,电子商务系统的分析与设计,15,9.3 ISO的安全体系结构与电子商务系统的安全体系,OSI的安全机制和安全服务,电子商务系统的分析与设计,16,9.3 ISO的安全体系结构与电子商务系统的安全体系,电子商务系统的分析与设计,17,9.3 ISO的
8、安全体系结构与电子商务系统的安全体系,电子商务系统的分析与设计,18,9.4 电子商务安全子系统的设计,9.4.1 电子商务安全子系统的框架结构9.4.2 安全策略 9.4.3 安全管理,电子商务系统的分析与设计,19,9.4.1 电子商务安全子系统的框架结构,电子商务系统的分析与设计,20,9.4.2 安全策略,1.电子商务系统的安全策略 安全策略是信息安全的核心,也是整个信息安全建设的依据,安全策略为安全管理提供管理方向和支持手段,建立电子商务系统的策略体系的应包括:安全策略的制订、安全策略的评估、安全策略的执行等方面。2.安全策略的主要内容 3.安全策略的制定方法,电子商务系统的分析与设
9、计,21,9.4.2 安全策略,2、安全策略的主要内容(1)制定有效、全面的安全管理规范以减少操作或服务中可能的安全威胁;(2)预防和避免可能的对计算机网络和商务交易过程的攻击;(3)减少计算机网络和商务交易中可能存在的安全威胁;(4)加强计算机网络和商务交易本身抗攻击和入侵的能力;(5)实时的监测;(6)实时的恢复;(7)减少可能的入侵影响。,电子商务系统的分析与设计,22,9.4.2 安全策略,3.安全策略的制定方法(1)进行安全需求分析(2)对网络系统资源进行评估(3)对可能存在的风险进行分析(4)确定内部信息对外开放的种类及发布方式和访问方式(5)明确网络系统管理人员的责任和义务(6)
10、确定针对潜在风险采取的安全保护措施、管理制度,电子商务系统的分析与设计,23,9.4.2 安全策略,电子商务系统的分析与设计,24,9.4.3 安全管理,1.电子商务安全管理的主要内容安全管理是实现电子商务系统信息安全的落实手段,也是一项技术性强、涉及面广的管理工作。其主要内容包括:人事管理、设备管理、场地管理、存储设施管理、软件管理、网络管理和密码、密钥管理。2.安全管理的基本原则 3.安全管理的应急处理,电子商务系统的分析与设计,25,9.4.3 安全管理,2.安全管理的基本原则(1)规范原则(2)预防原则(3)选用成熟技术原则(4)系统化原则(5)分权制约原则(6)应急原则(7)灾难恢复
11、原则,电子商务系统的分析与设计,26,9.4.3 安全管理,3.安全管理的应急处理(1)分析判断(2)入侵或攻击的终止(3)记录和备份(4)恢复(5)定位(6)汇报,电子商务系统的分析与设计,27,9.5 电子商务系统安全技术,9.5.1 防火墙与网络安全设计 9.5.2 信息加密技术 9.5.3 数字签名9.5.4 PKI技术与认证 9.5.6 IPSec的电子商务安全体系,电子商务系统的分析与设计,28,9.5.1 防火墙与网络安全设计,9.5.1.1 防火墙的基本概念 防火墙是访问控制技术的一种,其目的是通过控制网络资源的存取权限,保障计算机网络、计算机主机和数据的合法访问。国标GB/T
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 系统 分析 设计 安全
链接地址:https://www.31ppt.com/p-6479566.html