电子商务安全重点.doc

第一章 电子商务安全的现状和趋势 一 电子商务安全问题： 漏洞 病毒：（国外）是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国内）指编制或插入计算机程序中的破坏计算机功能或毁坏数据从而影响计算机使用，并能自我复制的一组计算机指令或程序代码。 黑客攻击： 网络仿冒 二、电子商务系统安全的构成：1.系统实体安全2.系统运行安全 3.信息安全 1、系统运行安全：即物理安全，是保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。实体安全是其最基本保障，使整个安全系统不可缺少的或忽视的组成部分。包括： 环境安全：主要是对EC系统所在的环境实施安全保护，如区域保护和灾难保护。 设备安全：对EC的设备进行安全保护，主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。 媒体安全：包括媒体数据的安全和媒体本身的安全。 2、系统运行安全：保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。包括： 风险分析：对系统进行动态的分析、测试、跟踪并记录系统的运行，以发现系统运行期的安全漏洞；对系统进行静态的分析，以发现系统潜在的威胁，并对系统的脆弱性作出分析报告。 审计跟踪：记录和跟踪系统各种状态的变化，保存、维护和管理审计日志。如记录对系统故意入侵的行为。 备份与恢复：对系统设备和系统数据的备份和恢复。 应急措施：在紧急事件或安全事故发生时，提供保障EC系统继续运行或紧急恢复所需要的策略。 3、信息安全：防止信息被故意的或偶然的非授权泄露、更改、破坏或是信息被非法的系统辨识、控制，也就是要确保信息的完整性、保密性、可用性和可控性。包括： 操作系统安全：对EC系统的硬件和软件资源进行有效的控制，为能管理的资源提供相应的安全保护。 数据库安全：包括两层含义，第一指系统运行安全，第二指系统作息安全。 网络安全：指网络系统的硬件、软件及系统中的data受到保护，不受偶然的或恶意的原因而遭到破坏，更改泄漏，确保系统能够连续、可靠正常的运行，网络服务不中断。 计算机病毒防护：通过建立系统保护机制，来预防、监测和消除计算机病毒。 访问控制：对主体（计算机中凡是实时操作的作主体，如用户或进程等）访问客体（被操作的对象，如文件、设备、内存等）的权限或能力以及进入物理区域的限制（即出入控制）和对计算机存储数据过程的限制（即存取控制）。 加密：信息安全中的加密主要涉及数据的加密和密钥的管理。其安全功能包括：对数据的加密（如对文字、语音、图像图形等的加密）和密钥的管理（密钥的分发、更新、回收、归档、恢复、审计）。 鉴别： 身份鉴别：对信息的收发方（用户、设备、进程）真实身份的鉴别。主要用于阻止非授权用户对系统资源的访问。 信息鉴别：对信息的正确性、完整性、不可否认性的鉴别。主要功能是证实信息内容未被非法修改或遗漏。 三 触发电子商务安全问题的原因： 先天原因： 网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。 后天原因： 管理——美国90%的IT企业对黑客的攻击准备不足。 人——黑客攻击 技术——软件漏洞、后门 四 电子商务安全的需求： 保密性（security）：保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。 完整性（integrity）：防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。 认证性（authenticity）：确保交易信息的真实性和交易双方身份的合法性。 可控性（access control）：保证系统、数据和服务能由合法人员访问。 不可否认性（non-repudiation）：有效防止通信或交易双方对已进行的业务的否认。 五 未来电子商务安全工作 1.加强立法，参照先进国家已有的有效法律，不断创新，完善保护电子商务安全和打击网络犯罪的法律保障体系。 2.建立相关机构，采取实际措施打击网络犯罪。 3.加大对网络安全技术的投入，提高网络安全技术水平。 4.鼓励企业加强自我保护，防范网络犯罪侵害。 5.加强国际合作，增强全球范围内打击网络犯罪的力度。 6.加强对国民的网络安全教育，注重对优秀计算机人才的培养。 六 加强网络安全的十条建议 1.安装操作系统和服务器所有的补丁程序。 2.为网络设备升级。 3.如果是通过网络服务商提供接入服务的，应当与网络服务商保持联系，不要让自己无意中卷入了拒绝服务攻击，时刻保证自己的设备安全无忧。 4.通过使用防火墙等方式，制定严格的网络安全规则，对进出网络的信息进行严格限定。 5.将网络的TCP超时限制缩短至15分钟（900秒），以减少黑客进攻的窗口机会。 6.扩大连接表，增加黑客填充整个连接表的难度。 7.时刻监测系统的日志文件和网络信息流