网络安全与电子商务-科学出版社职教技术出版中心.PPT

网络安全与电子商务 章学拯 zxz@ 前导课程 电子商务概论 计算机网络 操作系统 课程目标 掌握密码学的基本概念 了解信息加密和数字签名原理 掌握信息加密和数字签名的操作 了解计算机网络中的身份认证技术和应用 熟悉互联网基本技术——TCP/IP和WWW技术及其安全问题 掌握保障网络安全基本工具的使用方法 了解网络攻击方式和防御措施 课程体系 信息安全基础知识 安全概念、安全特征、安全体系、安全策略、安全技术、安全现状和趋势 信息安全技术 密码学、对称密钥密码、非对称密钥密码、密钥管理、数字签名、PKI、身份认证、访问控制 TCP/IP与WWW网站安全 TCP/IP协议安全、Web网站安全 系统的攻击与防御 攻击方法和工具、系统安全策略、防火墙技术、检测和扫描、病毒防止 网络安全与电子商务 第1章 电子商务安全基础知识 第2章 信息加密技术与应用 第3章 数字签名技术与应用 第4章 数字证书与公钥基础设施 第5章 身份认证与访问控制 第6章 TCP/IP与WWW安全 第7章 防火墙的构造与选择 第8章 计算机病毒及其防治技术 第9章 系统入侵的鉴别与防御 第1章 电子商务安全基础知识 第1节 电子商务安全概述 第2节 电子商务的安全保障 第1节 电子商务安全概述 电子商务安全的概念 电子商务安全的特征 网络安全体系与黑客攻击 概念 电子商务是利用计算机网络所进行的商务活动。因此，电子商务的安全问题除了作为商务活动本身所存在的风险外，本课程主要介绍由于计算机网络的应用所带来的安全问题。 电子商务的关键是商务信息电子化。因此，电子商务的安全性问题的关键是计算机信息的安全性 信息的价值（ = 使用信息所获得的收益 ─ 获取信息所用成本）决定了信息被窃取或篡改的可能性和频率，因此，信息具备了安全的保护特性。 对电子商务安全的要求 电子商务的安全环 对电子商务安全的要求 从用户角度 他们关心的是涉及个人隐私或商业利益的信息存储在计算机中或在网络上传输是受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改和抵赖的手段对用户的利益和隐私造成损害和侵犯。 从网络运行和管理者角度 他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现病毒、非法存取、拒绝服务和网络资源的非法占用及非法控制等威胁。同时希望不要出现因网络或系统本身的缺陷而影响到网络或系统的正常使用。 信息安全的要求及发展 20世纪90年代以前——通信保密（COMSEC）时代 该时代采用的信息安全保障措施就是加密和基于计算机规则的访问控制。 20世纪90年代——信息安全（INFOSEC）时代 数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的可用性需求。因此，该时代提出了信息安全就是要保证信息的保密性、完整性和可用性。 90年代后期起——信息安全保障（IA）时代 该时代信息安全在原来的基础上增加了信息和系统的可控性、信息行为的不可否认性要求。并且需要对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念，即信息保障的WPDRR模型。 电子商务的安全环 网络安全 网络系统运行安全 保护网络系统的安全运行，使网络系统能提供预期的有效服务； 网络系统安全包括组成网络系统的七层协议（或TCP/IP四层协议）的每一层的安全以及网络系统中所采用的各种设备和软件在内的综合性系统安全。 网络传输信息安全 对在网络中传输的数据信息进行有效保护，使其在保密性、完整性、可控性和不可抵赖性方面达到预定的目标要求。 关于电子商务安全的思考 电子商务活动中存在或可能存在的安全问题有哪些？试列举具体的问题。 这些具体的问题能否归纳为有限的几类？ 电子商务安全的特征 保密性 确保信息不暴露给未授权的实体或进程 完整性 只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改 不可否认性 防止通信或交易双方对已进行业务的否认 认证性 信息发送者或系统登陆者身份的确认 电子商务安全的特征（续） 可用（访问）性 得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作 可控性 可以控制授权范围内的信息流向及行为方式 可审查性 对出现的网络安全问题提供调查的依据和手段 合法性 各方的业务行为存在可适用的法律和法规 电子商务安全问题的根源 网络传输安全 信息被泄密、篡改或假冒 网络运行安全（服务器或客户机被攻击等） 网络的缺陷 管理的欠缺 黑客的攻击 系统安全 系统软件的漏洞和后门 系统故障、崩溃 电子商务安全特征与防御体系结构 关于网络安全的思考 你家有几个门？这些门是否已安装了合适的锁？这些锁是否在必要的时候锁好了？ 如何才能控制或不受限制的进入互联网上的一台服务