电子商务安全1专用课件.pptVIP

电子商务安全 课程安排 第1章网络安全基础 第2章网络及通信安全 第3章黑客及其防范 第4章计算机病毒及其防治 第5章防火墙技术 第6章加密技术 第7章数字签名与身份认证 第8章操作系统与数据安全 第9章安全电子交易协议 第10章网络安全管理 第1章 网络安全基础 “安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施”。 随着经济信息化的迅速发展，计算机网络对安全要求越来越高，尤其自Internet／Intranet应用发展以来，网络的安全已经涉及到国家主权等许多重大问题。随着“黑客”工具技术的日益发展，使用这些工具所需具备的各种技巧和知识在不断减少，从而造成的全球范围内“黑客”行为的泛滥，导致了一个全新战争形式的出现，即网络安全技术的大战。 1.1 网络安全的主要内容 一、网络面临的安全威胁 1、计算机所面临的威胁是指对网络中的信息和设备的威胁，而最大威胁就是人为的恶意攻击。 2、攻击类型： （1）主动攻击：中断、篡改、伪造等 （2）被动攻击：截获、窃取 （一）、威胁网络安全的种类： 1 、物理威胁： 分为偷窃、伪造及间谍行为等 2 、系统漏洞威胁 ：指的是系统硬件、软件或策略上的 缺陷,导致非法用户未经授权而获得访问系统的权限 或提高其访问权限。 3 、身份鉴别威胁 网络中最常用身份鉴别方式是口令,威胁有口令破解、 口令圈套等。(123 password recovery) 4 、通信及线缆连接威胁 包括窃听、拨号进入、冒名顶替等 5 、有害程序 （１）病毒 （２）代码炸弹 （３）特洛伊木马程序 （４）更新或下载来传播有害程序 （二）、威胁网络安全的因素 1.计算机系统的脆弱性 (1)计算机系统的脆弱性主要来自于操作系统的不安全性，在网络环境下，还来源于通信协议的不安全性。 (2)存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。 (3) 计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。 2.协议安全的脆弱性 当前计算机网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。众所周知的是 Robert Morries在 VAX机上用 C编写的一个GUESS软件，它根据对用户名的搜索猜测机器密码口令的程序自在1988年11月开始在网络上传播以后，几乎每年都给Internet造成上亿美元的损失。 黑客通常采用Sock、TCP预测或使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。 3.数据库管理系统安全的脆弱性 由于数据管理系统（DBMS）对数据库的管理是建立在分级管理的概念上的，因此，DBMS的安全也是可想而知。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。 4.人为的因素 不管是什么样的网络系统都离不开人的管理，但又大多数缺少安全管理员，特别是高素质的网络管理员。此外，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。令人担忧的许多网络系统已使用多年，但网络管理员与用户的注册、口令等还是处于缺省状态。 5.各种外部威胁 (1)物理威胁 (2)网络威胁 (3)身份鉴别 (4)编程 (5)系统漏洞 6.攻击变得越来越容易 （三）防范措施 （1）用备份和镜像技术提高数据完整性 （2）防毒 （3）补丁程序 （4）提高物理安全 （5）构筑因特网防火墙 （6）废品处理守则 （7）仔细阅读日志 （8）加密 （9）提防虚假的安全 二、网络安全的含义、特征及等级标准 （一）、网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 不同的解释(内涵)： （l）运行系统安全，即保证信息处理和传输系统的安全。 （2）网络上系统信息的安全。 （3）网络上信息传播的安全，即信息传播后果的安全。 （4）网络上信息内容的安全，即我们讨论的狭义的“信息安全”。 （5）物理安全，即防火、防盗、防静电等。 (