《电子商务安全》陈修权.解说.ppt

课程主要内容 1. 电子商务安全概念 2. 密码学知识 3. 认证技术 4. 密钥管理 5. 计算机网络安全 6. 移动电子商务安全 计算机网络安全 1. 概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。包括计算机系统安全，网络信息及传输安全。 2. 内容 （1）实体安全，包括机房、线路、主机等。 （2）网络信息及传输安全，数据库安全、计算机程序运行安全、网络互联设备包括路由器、通信服务器、交换机等。信息传输过程中不被监听、窃取、解密、篡改等。 3、计算机网络安全受到的威胁： ●黑客的攻击 ●计算机病毒 ●拒绝服务攻击（DoS） ●人为的因素 不管是什么样的网络系统都离不开人的管理，但又大多数缺少安全管理员，特别是高素质的网络管理员。此外，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。令人担忧的许多网络系统已使用多年，但网络管理员与用户的注册、口令等还是处于缺省状态。 4. 网络安全评估 确定单位内部是否已经有了一套有关网络安全的方案，如果有的话，将所有有关的文档汇总；如果没有的话，应当尽快制订。 对已有的网络安全方案进行审查。 确定与网络安全方案有关的人员，并确定对网络资源可以直接存取的人或单位（部门）， 确保所需要的技术能使网络安全方案得到落实， 电子商务交易安全 1. 概念 电子商务交易过程中，比如在商品及服务信息的发布、网上谈判、订购、支付、配送各个环节，交易相关方的信息受到相应的保护，不被破坏、更改、泄露，保证就交易活动的正常进行。 2. 内容和基本要求 计算机系统安全的美国国防部评价标准 根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），即网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。 自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，如表1-1所示。 TCSEC共分为4类7级： D、C1、C2、B1、B2、B3、A1 D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。 C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。 C2级除了包含C1级的特征外，应该具有访问控制环境（Controlled Access Environment）权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。另外，系统对发生的事情加以审计，并写入日志中，如什么时候开机，哪个用户在什么时候从什么地方登录，等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。 使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种： （1）UNIX系统； （2）Novell 3.X或者更高版本； （3）Windows NT，Windows 2000和Windows 2003或者更高版本。 B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如