《信息及电子商务安全概述.ppt》由会员分享,可在线阅读,更多相关《信息及电子商务安全概述.ppt(31页珍藏版)》请在三一文库上搜索。
1、第1章 信息及电子商务安全概述,2,1.1 面临的安全问题 1.2 系统安全的构成 1.3 安全的需求 1.4 安全的保障,本章主要内容,3,引例eBay在中国溃败之因,eBay与淘宝之战,eBay败在了安全上,那么是否淘宝就不再面临任何的安全问题了呢?如果不是,到底还有哪些安全问题需要电子商务来面对呢?,5,1.1 电子商务面临的安全问题,1.1.1 安全问题的提出 安全是制约电子商务发展的瓶颈 计算机安全的困扰 网络安全:黑客,病毒,安全漏洞,网页篡改,网络仿冒 1.1.2 电子商务涉及的安全问题 商家,客户和银行可能是面临的安全问题 信息的安全问题 信用的安全问题 来自买方的安全问题 来
2、自卖方的安全问题 买卖双方都存在抵赖的情况 安全的管理问题 安全的法律保障问题,信息面临的风险,泄密 欺骗 中断 篡夺 伪装与欺骗 篡改,7.拒绝服务 8.抵赖 9.计算机病毒 10.延时 11.通信线路窃听 12.笔记本电脑失窃,7,1.2 电子商务系统安全的构成,1.2.1 电子商务系统安全概述 1.2.2 系统实体安全 1.2.3 系统运行安全 1.2.4 信息安全,8,1.2.1 电子商务系统安全概述 电子商务系统安全的构成:,9,1.2.2 系统实体安全 所谓实体安全,是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施
3、、过程。,10,1.环境安全 (1)受灾防护 (2)区域防护 2.设备安全 (1)设备防盗 (2)设备防毁 (3)防止电磁信息泄漏 (4)防止线路截获 (5)抗电磁干扰 (6)电源保护,3.媒体安全 (1)媒体的安全 媒体的防盗 媒体的防毁 (2)媒体数据的安全 媒体数据的防盗 媒体数据的销毁 媒体数据的防毁,11,1.2.3 系统运行安全 运行安全是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。,12,1.2.3 系统运行安全的组成 1.风险分析 系统设计前的风险分析潜在的安全隐患 系统试运行前的风险分析设计的安全漏洞 系统运行期的风险分析运行的安全漏洞 系统运行后的
4、风险分析系统的安全隐患 2.审计跟踪 纪录和跟踪各种系统状态的变化 实现对各种安全事故的定位 保存、维护和管理审计日志,13,1.2.3 系统运行安全的组成 3.备份与恢复 提供场点内高速度、大容量自动的数据存储、备份和恢复 提供场点外的数据存储、备份和恢复 提供对系统设备的备份 4.应急 (1)应急计划辅助软件 紧急事件或安全事故发生时的影响分析 应急计划的概要设计或详细制定 应急计划的测试与完善 (2)应急设施 提供实时应急设施 提供非实时应急设施,14,1.2.4 信息安全 所谓信息安全,是指防止信息财产被故意地或偶然地非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确
5、保信息的完整性、保密性、可用性和可控性。,15,1.2.4 信息安全的组成 1.操作系统安全 2.数据库安全 3.网络安全 4.病毒防护安全 5.访问控制安全 6.加密 7.鉴别,16,1.2.4 信息安全的组成 操作系统安全 操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制,为所管理的资源提供相应的安全保护。 操作系统的安全由两个方面组成: 安全操作系统 操作系统安全部件,17,1.2.4 信息安全的组成 数据库安全 安全数据库系统 数据库系统安全部件 网络安全 网络安全管理 安全网络系统 网络系统安全部件,18,1.2.4 信息安全的组成 病毒防护安全 计算机病毒是指编制或者
6、在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。 单机系统病毒防护 网络系统病毒防护,19,1.2.4 信息安全的组成 访问控制安全 出入控制 主要用于阻止非授权用户进入机构或组织 存取控制 主要是提供主体访问客体时的存取控制 加密 加密设备 实现对数据的加密 密钥管理 提供对密钥的管理来加强信息安全,20,1.2.4 信息安全的组成 鉴别 身份鉴别 主要用于阻止非授权用户对系统资源的访问 完整性鉴别 主要用于证实信息内容未被非法修改或遗漏 不可否认性鉴别 证实发送方所发送的信息确实被接收方接收了 证实接收方接收到的信息确实是发送方发送的,
7、高技术犯罪使用的技术手段,数据欺骗:非法篡改数据或输入假数据 特洛伊木马术:非法装入秘密指令或程序,由计算机执行犯罪活动; 香肠术:利用计算机从金融银行信息系统上一点点窃取存款,如窃取各户头上的利息尾数,积少成多; 逻辑炸弹:输入犯罪指令,以便在指定的时间或条件下抹除数据文卷,或者破坏系统功能; 线路截收:从系统通讯线路上截取信息; 陷阱术:在程序中设置陷阱,让用户在运行程序时掉进去 异步攻击Asynchronous attack:利用防御行动和攻击行动之间的间隔使防御行动失去作用的企图。例如,操作任务可能在被中断后立即对所存储的参数进行检查,用户重新获得控制并恶意更改该参数,操作系统在重新获
8、得控制后继续使用被恶意更改的参数进行处理。 计算机病毒,特洛伊木马,特洛伊战争,一只藏着军队的木马混进了城,并且在半夜偷偷出来,打开城门,里应外合,大获全胜. 顾名思义,特洛伊木马的攻击手段,就是将一些“后门”,“特殊通道”隐藏在某个软件里,使使用该软件的人无意识的中招,成为被攻击,被控制的对象。 现在这种木马程序开始越来越并入“病毒”的概念,大部分杀毒软件具有检查和清除“木马”的功能,其实他和病毒还不一样,病毒本身是具有传播性和破坏性的,木马本身是和宿主在一起,通常自己不具备传播性,通过宿主的传播而传播而且本身无破坏性,是由攻击者通过木马的入口进行操作而实现破坏和入侵的。 Nimda将病毒和
9、木马混合,则是一种新的发展方向。,23,1.3 电子商务安全的需求,24,1.4 电子商务安全的保障,1.4.1 技术措施 1.4.2 管理措施 1.4.3 法律环境 1.4.4 OSI信息安全体系结构,25,1.4.1 技术措施 信息加密技术 数字签名技术 TCP/IP服务 防火墙的构造选择,26,1.4.2 管理措施 人员管理制度 保密制度 跟踪、审计、稽核制度 系统维护制度 数据容灾制度 病毒防范制度 应急措施 1.4.3 法律环境,1.1.4 OSI信息安全体系结构,OSI( Open System Interconnect ) OSI7498-2标准 OSI7498标准是目前国际上通
10、行的计算机信息系统互连标准 1989年12月ISO颁布了该标标准的第2部分,即OSI7498-2标准,并首次确定了开放系统互连(OSI)参考模型的信息安全体系结构。 我国将其作为GB/T9387-2标准执行 OSI7498-2标准包括五大类安全服务及提供这些服务所需要的八大类安全机制。,安全服务,鉴别 访问控制 数据保密性 数据完整性 不可否认 入侵系统:获取用户权限、突破访问控制、解密、破坏数据完整性、消除入侵痕迹。,八种安全机制:,加密机制:为后续安全机制提供加密服务 数字签名机制:密文收发双方签字和确认的过程。 访问控制机制:按事先确定的规则决定对系统的访问是否合法 数据完整性机制:保证
11、数据不被破坏修改 鉴别交换机制:通信双方查实身份和特权的过程,是访问控制实现的先决条件,报文鉴别、数字签名等 通信业务填充机制:增加伪报文,将所有的报文扩充为同样的长度,并随机选择通信对象,使网络中的数据流量比较平衡。 路由控制机制:使信息发送者选择特殊的路由,以保证通信的安全。 公证机制:为了解决信任问题,需要一个各方都信任的第三方:公证机构提供公证服务。,本章小结及思考题,电子商务安全是制约电子商务发展的主要问题 电子商务安全系统的安全构成 电子商务的安全需求 电子商务安全保障技术 思考题:P23 补充: 试述OSI信息安全体系结构 电子商务安全需求有哪几个方面,下次讨论题目:,分析现有的团购网络存在哪些电子商务的安全问题? 准备同学:1,2号 展开思路: WHEN? WHAT? WHY? HOW? WHICH?,