第1章 电子商务安全概述.pptVIP

CERT公布的数据 第一章 电子商务安全概述 1.1电子商务安全问题 安全问题的提出 商家面临的安全问题 客户面临的安全问题 银行专用网络所面临的安全问题 安全漏洞 病毒感染 1.1电子商务安全问题 黑客攻击 网页篡改 僵尸网络 网络仿冒 1.2电子商务安全问题分析1.2.1电子商务安全问题产生的原因 先天原因 1.2.1电子商务安全问题产生的原因 1.2.2电子商务安全系统的构成 2 电子商务安全 （Electronic Commerce Security） 学习本课程的要求： 教学目标：通过本课程的学习，要求对电子商务安全的概念有较全面的了解，掌握电子商务安全保密的基础理论和实用技术，并能在实践中起指导作用。 选用教材：《电子商务安全技术》 参考教材：《电子商务安全与保密》——高等教育出版社 2000年2月，互联网最为严重的黑客事件 ——“电子珍珠港”事件 2月7日，美国雅虎网站（Yahoo）遭到攻击，大部分网络服务陷于瘫痪； 2月8日，电子商务网站遭到攻击：当天股市的网络销售公司购买网站死机，随后世界最著名的网络拍卖行网站（eBay）、著名电子商务网站亚马逊（Amazon）也被迫关闭多个小时。 2月9日，电子商务网站再度遭殃，电子交易网站遭到攻击，科技新闻网站ZDNet中断2个小时。 相关的数据和统计： 截至2008年6月，全球Internet用户超过14.6亿。 CNNIC中国互联网络发展状况统计最新统计显示，截至2008年6月底，我国上网计算机总数达到8470万台，上网用户总数达到2.53亿人。 CNNIC统计指出，我国超过40%的网站存在严重的安全漏洞。 美国金融时报报道，世界上平均每20秒就发生一起黑客入侵事件。 2000年1月，黑客从CD Universe网站窃取了35万个信用卡号码，这是向公众报道的最大规模的信用卡失窃案件。 CERT公布的1988-2002年攻击事件增长图 数据摘自/stats/cert_stats.html 安全性的术语 密码安全——通信安全的最核心部分。 计算机安全——一种确定的状态，使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 网络安全——包括所有保护网络的措施。 信息安全——保护信息财富，使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 密码安全、计算机安全、网络安全和信息安全之间的关系： 电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。 后天原因 管理 人 技术 管理 现有的信息系统绝大多数缺少安全管理员。 网络由各种服务器、工作站、终端等集群而成，所以整个网络天然地继承了他们各自的安全隐患。 安全管理的两类要求： 安全管理 管理安全（security of management） 人 技术 电子商务系统安全 实体安全 运行安全 信息安全 环 境 安 全 设 备 安 全 媒 体 安 全 风 险 分 析 审 计 跟 踪 备 份 恢 复 应 急 操作系统安全 数据库安全 网络安全 计算机病毒防护 访问控制 加密 鉴别 1.2.3电子商务安全的需求 术语 定义 保密性 认证性 完整性 可控性 防御性 不可否认性 合法性 保持个人的、专用的和高度敏感数据的机密 确认通信双方的合法身份 保证所有存储和管理的信息不被篡改 保证系统、数据和服务能由合法的人员访问 能够阻挡不希望的信息或黑客 防止通信或交易双方对已进行业务的否认 保证各方的业务符合可适用的法律和法规 1.3电子商务安全的保障 网络安全检测设备。SAFEsuite、SSS、Retina 访问设备。智能卡 安全浏览器/服务器软件。加密和认证 数字认证 。VeriSign 防火墙。CheckPoint、Netscreen、SamSung 安全工具包。RSA的BSAFE、Terisa的SecureWeb 保护传输线路安全。 一、技术措施 防入侵措施。IDS 数据加密。链路加密、节点加密、端-端加密 访问控制。文件、数据库 鉴别机制。报文鉴别、数字签名 路由选择机制。 数据完整性。 端口保护。 一、技术措施（续） 企业在参与电子商务的一开始，就应当形成一套完整的、适应于网络环境的安全管理制度。 二、管理措施 l??人员管理制度。 l??保密制度。 l??跟踪、审计、稽核制度。 l??网络系统的日常维护制度。 l??病毒防范制度。 l??应急措施。 必须具有传统市场营销的知识和经验 必须具有相应的计算机网络知识和操作技能 多人负责原则、任期有限原则、最小权限原则 l??人员管理制度 l??保密制度 安全级