电子商务信息安全技术教学课件ppt作者陈孟建第二章电子商务网络安全基础课件.ppt

电子商务信息安全技术 第二章 电子商务网络安全基础 学习目标 1．掌握电子商务网络安全的基本概念； 2．掌握电子商务网络安全的几种常用技术； 3．掌握电子商务网络安全保障机制； 4．了解电子商务网络安全系统结构。 2.1 电子商务网络安全概述 2.1.1 网络安全概念 1．网络安全的含义 网络安全泛指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏。系统连续可靠正常地运行，网络服务不被中断。 网络安全包括了系统安全和信息安全两个部分。系统安全主要指网络设备的硬件、操作系统和应用软件的安全；信息安全主要指各种信息的存储、传输的安全，具体体现在保密性、完整性及不可抵赖性上。 2.1 电子商务网络安全概述 2．网络安全的内容 （1）物理安全 物理安全是指用来保护计算机网络中的传输介质、网络设备和机房设施安全的各种装置与管理手段。 （2）逻辑安全 计算机网络的逻辑安全主要通过用户身份认证、访问控制、加密、安全管理等方法来实现。 ① 用户身份认证 ② 访问控制 ③ 加密 （3）操作系统安全 计算机操作系统是一个“管家婆”，她担负着自身宏大的资源管理、频繁的输入输出控制，以及不可间断的用户与操作之间的通信任务。 2.1 电子商务网络安全概述 （4）联网安全 联网安全指的是保证计算机联网使用后的操作系统安全运行和计算机内部信息的安全。联网安全性可以通过以下几个方面的安全服务来达到。 ① 联网计算机用户必须很好地采取措施，确保自己计算机不会受到病毒的侵袭。 ② 访问控制服务，用来保护汁算机和联网资源不被非授权使用。 ③ 通信安全服务，用来认证数据机密性与完整性，以及通信的可信赖性。 2.1 电子商务网络安全概述 2.1.2 影响网络安全的因素 影响网络安全的因素有以下几个方面。 1．硬件系统 2．软件系统 3．病毒的影响 4．配置不当 5．网络通信协议的影响 （1）缺乏用户身份鉴别机制 （2）缺乏路由协议鉴别认证机制 （3）缺乏保密性 （4）TCP/IP服务的脆弱性 2.1 电子商务网络安全概述 6．物理电磁辐射引起的信息泄漏 （1）网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。 （2）网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏，这些电磁信号在近处或者远处都可以被接收下来，经过提取处理，可以重新恢复出原信息，造成信息泄漏。 7．缺少严格的网络安全管理制度 网络内部的安全需要用完备的安全制度来保障，管理的失败是网络系统体系失败的非常重要的原因。 2.1 电子商务网络安全概述 2.1.3网络安全的威胁 计算机网络安全的威胁包括以下几个方面。 1．信息泄露 信息泄露是指敏感数据在有意、无意中被泄露、丢失或透漏给某个未授权的实体。 2. 完整性破坏 以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使数据的完整性受到破坏。 3. 服务拒绝 服务拒绝是指网络系统的服务功能下降或丧失。这可以由两个方面的原因造成 （1）受到攻击所致。攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载，从而导致系统资源对合法用户的服务能力下降或者丧失。 （2）由于系统或组件在物理上或者逻辑上遭到破坏而中断服务。 2.1 电子商务网络安全概述 4. 未授权访问 未授权实体非法访问系统资源，或授权实体超越权限访问系统资源。例如，有意避开系统访问控制机制，对信息设备及资源进行非法操作或运行；擅自提升权限，越权访问系资源。 5．SQL注入攻击 SQL注入攻击是指利用网站安全弱点，然后在执行网站的数据库中植入恶意代码，从而掷出恶意指令感染网站数据库。 6．第三方广告机构和恐吓性软件 第三方广告机构和恐吓性软件是指采用Flash文件制作的广告实际藏有病毒。用户点击这些广告后，这些广告会偷偷向用户的电脑传输恶意程序，这严重威胁到了电子商务或个人的数据安全。 7．社交网站 随着社交网站的流行，这些网站已经逐步成为黑客的又一主要活动场所。在许多情况下，黑客盗取用户的账号和密码，向被攻击用户的好友发送销售信息或指示他们进入第三方网站。 2.1 电子商务网络安全概述 2.1.4威胁网络安全的主要方法 威胁网络安全的主要方法有以下几种。 1．假冒攻击 （1）假冒管理者发布命令或调阅密件； （2）假冒主机欺骗合法主机及合法的用户； （3）假冒网络控制程序套取或修改使用权限、口令、密钥等信息，越权使用网络设备和资源； （4）接管合法用户欺骗系统，占用或支配合法用户资源。 2．基于口令的攻击 3．网络偷窥攻击 4．?利用受托访问的攻击 5．IP欺骗攻击 6．顺序号预测攻击 7．会话劫持攻击 8．利用弱点的攻击