电子商务的安全技术课件.ppt

电子商务的安全技术 电子商务安全 1988年11月3日蠕虫病毒 –康奈尔大学小罗伯特.莫里斯 –Unix电子邮件程序 –失控繁殖耗尽资源死机 1999年4月26CIH 2000年2月6日yahoo、amazon、eBay DDOS（分布式拒绝服务） 2000年春美、加、日、泰张贴信用卡号 中国泄露，明星联系方式外泄 电子商务安全 安全概述 对知识产权的安全威胁 系统安全工程能力成熟度模型 知识产权保护 客户机保护 电子商务通道保护 商务服务器保护 安全概述—计算机安全 计算机安全——保护企业资产不受未经授权的访问、使用、篡改或破坏。 根据安全的形式可分为两类安全： —物理安全：是指通过可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防暴建筑物等进行的保护。 —逻辑安全：使用非物理手段对资产进行保护称为逻辑安全。 安全概述—计算机安全 安全威胁 ---对计算机资产带来危险的任何行动或对象都称为安全威胁 安全措施 ---安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。 安全概述—计算机安全 安全概述—计算机安全 根据安全的内容对安全分类 保密性 ---防止未授权的数据暴露 完整性 --- 防止未授权的数据篡改 即需性 --- 防止延迟或拒绝服务 安全概述—计算机安全 安全策略的内容 身份认证 谁想访问电子商务网站 访问控制 允许谁登录并访问 保密 谁有权查看特定信息 数据完整性 数据修改的授权 审计 由谁在何时导致了何事(日志) 对知识产权的安全威胁 网络环境下对知识产权的侵犯变得更为容易和普遍。 知识产权是指对智力劳动成果所享有的占有、使用、处分和收益的权利。 知识产权的类型分为六种，即著作权（版权）、专利权、商标权、发现权、发明权和其他科技成果权。 版权是指原创作品拥有人可行使以下权利，包括：复制权、发行权、公演权、改编权及广播权，及有权禁止任何人于未获授权的情况下行使上述权利。 目前互联网上侵犯版权的损失额难以测量。 域名安全 域名抢注 1999年11 美国反域名抢注消费者保护法案 (ACPC)生效（网上商标保护法）保护公司的商标名称不被无此商标所有权者注册成域名 域名变异 注册某些著名域名的变体或易错拼写 域名窃取 通过非法措施将域名与其他URL相连 对电子商务的安全威胁 对电子商务的安全威胁 1、对客户机的安全威胁 2、对通信信道的安全威胁 3、对服务器的安全威胁 系统安全工程能力成熟度模型 系统安全工程能力成熟度模型 SSE—CMM Systems Security Engineering Capability Maturity 用来刻画一个信息组织或信息系统安全工程过程基本特征的模型系统与认证体系。 系统安全工程能力成熟度模型 SSE-CMM有两个维度——“域”维和“能力”维。其中“域”维可能更容易理解。该维仅包含所有那些共同定义安全过程的实施，这些实施被称做“基础实施”。下面将讨论这些基础实施的结构与内容。 “能力”维代表的是反映过程管理与制度能力的实施。这些实施被称做“一般实施”，这是由于它们被应用于广泛的领域。一般实施代表一种行为，该行为是执行某个基础实施时所做工作的一部分。 能力水平1 ： 执行基础实施 强调一个组织或项目是否将一个过程所含的所有基础实施都执行了。这一级别可以用这样一种句子来描述：“管理某事之前必须先做该事”。 能力水平2 ：计划执行；规范执行；查证执行；跟踪执行 强调项目级别的定义、计划与实施的问题。这一级别可以这样描述：“在为整个组织定义过程前先了解一下项目中都发生了什么？” 能力水平3：定义标准过程；执行已定义过程；协调安全实施 强调在组织的层次上有原则地对已定义的过程进行剪裁。这一过程可以这样描述：“利用从项目中学到的最好的东西去创建整个企业范围的过程。” 能力水平4：建立可度量的质量目标；有目的地管理执行 强调与组织的商业目标相捆绑的度量方法。尽管在起始阶段就十分必要收集和使用项目数据，但直到组织已达到一个较高的能力水平时，都不不必在整个组织范围内进行的度量。这一级别其实就是说：“度量一件事之前，必须明白这件事是什么”以及“只有度量的对象正确时，用度量作为手段进行管理才有意义”。 能力水平5：改善组织的能力；改善过程有效性 已具备上述各级能力水平的改善手段与方法，此时文化氛围的切换以维持已经具备的能力水平。这一级别可以这样描述：“充分的管理实施、良好定义的过程、可度量的目标是组织文化不断改善的基础。” SSE—CMM SSE-CMM 世界银行的调查显示印度软件的出口规模、质量和成本三项综合指数居世界首位。而包括SSE-CMM、SW-CMM在内的CMM体系在印