信息化能力建设二.ppt

1.电子商务安全 电子商务面临的安全问题 电子商务环境安全：计算机系统安全、网络安全、数据安全、应用安全 电子商务交易安全：交易信息安全、支付安全、诚信安全 2、电子商务对安全的基本要求 有效性、机密性、完整性、可靠性、不可抵赖性、法律性 3.电子商务的安全策略 建立和完善信用体系 开发电子商务的信息安全技术 制定和完善各项管理制度 强化交易安全保护的法律制度 返回 信息安全技术和管理 返回 信息安全防护与管理 信息安全威胁与计算机病毒 信息安全标准、评价标准 信息安全的概念 1.信息安全 是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 2、信息安全的威胁 (1) 信息泄露 (2) 破坏信息的完整性 (3) 拒绝服务 (4) 非法使用(非授权访问) (5) 窃听 (6) 业务流分析 (7) 假冒 (8) 旁路控制 (9) 授权侵犯 (10)特洛伊木马(11)陷阱门(12)抵赖 (13)重放 (14)计算机病毒 (15)人员不慎 (16)媒体废弃 (17)物理侵入 (18)窃取 返回 下一张 3.信息安全的基本要素 核心包括保密性、完整性、可用性、可控性和不可否认性 4、信息安全的需求 法律法规与合同条约的要求 组织的原则规定 风险评估的结果 5、信息安全的内容 实体安全、运行安全、信息资产安全、人员安全 返回 下一张 3.信息安全机制与安全服务 安全机制：加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、防业务流分析机制、路由控制机制、公证机制 安全服务： 对象认证安全服务、访问控制安全服务、数据保密性安全服务、数据完整性安全服务、抗抵赖安全服务 返回 1.信息安全标准 三类：互操作标准、技术与工程标准、网络与信息安全管理标准 2、国际标准化组织信息安全标准 1979年，首先由英国向ISO／TC97提出开展数据加密技术标准化的建议，ISO／TC97采纳了建议，于1980年组建直属工作组。后来，TC97认为，数据加密技术专业性很强，需要多个分技术委员会来专门开展这方面的标准化工作。 1997年国际标准化组织在信息技术标准化的技术领域又作了合并和调整，但信息技术安全分委会仍然保留使信息技术安全的标准化工作更加集中统一和加强。该分委会负责制定的标准超过了40项。ISO／IEC JTC1主要有以下分技术委员会。 (1)SC27——信息技术——安全技术。(2)SC6——系统间通信与信息交换，主要开发开放系统互联下四层安全模型和安全协议。(3)SCl7——识别卡和有关设备，主要开发与识别卡有关的安全标准ISO7816。(4)SCl8——文件处理及有关通信，主要开发电子邮件、消息处理系统等。(5)SC2l——开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连安全体系结构、各种安全框架、高层安全模型等标准。(6)sc22——程序语言，其环境及系统软件接口，也开发相应的安全标准。(7)SC30——开放式电子数据交换，主要开发电子数据交换的有关安全标准。 返回 下一张 3、中国信息技术安全标准 GB/T 20008-2005 信息安全技术 操作系统安全评估准则 GB/T 20009-2005 信息安全技术 数据库管理系统安全评估准则 GB/T 20010-2005信息安全技术 包过滤防火墙评估准则 GB/T 20011-2005 信息安全技术 路由器安全评估准则 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求 GB/T 21054-2007 信息安全技术 公钥基础设施PKI 系统安全等级保护评估准则 GB/T 22698-2008多媒体设备安全指南 GB/T 25063-2010 信息安全技术 服务器安全测评要求 GB/T 25066-2010 信息安全技术 信息安全产品类别与代码 GB/T 25068.3-2010 信息技术 安全技术 IT网络安全第3部分：使用安全网关的网间通信安全保护 返回 1.信息安全威胁与计算机病毒 计算机病毒特征：感染性、非授权性、隐蔽性、潜伏性、破坏性、不可预见性 计算机病毒的主要表现形式： (1)破坏文件分配表，使磁盘上的用户信息丢失。 (2)改变磁盘分配，造成数据的错误。 (3)删除磁盘上特定的文件，或破坏文件的数据。 (4)影响内存中的常驻程序。 (5)自我繁殖，侵占大量存储空间。 (6)改变正常运行程序。