第6篇 章 电子商务的信息安全（定稿）.pptVIP

* 第6章 电子商务的信息安全 蔡志文 主编 学习目标 知识目标 1．了解电子商务面临的信息安全问题 2．熟悉电子商务信息安全问题产生的根源 3．了解电子商务信息安全的基本原则 4．掌握电子商务信息安全体系 5．了解电子商务信息安全评估方法 导入案例 电子商务面临的信息安全威胁 某电子商务网站在某一段时间内不断接到消费者投诉自己的密码被更改，系统管理员也发现网站上的部分内容被入侵者修改成莫名其妙的内容，更猖狂的是入侵者居然在网站中为自己添加了一个管理员账号。经过安全技术人员的检查，发现该网站存在1个致命漏洞、1个中等程度的漏洞和若干个配置错误。其中，致命的漏洞是RPC程序中的一个守护进程存在一个缓冲区溢出错误，并且有黑客针对该错误写了一段攻击程序，公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令；该网站的中等程度漏洞是Finger服务暴露了这台服务器的用户名。安全技术人员通过修改系统初始化文件和修补漏洞，有效地防止了同类安全事故的发生。 讨论：在电子商务不断发展的今天，电子商务活动过程中可能会遇到哪些信息安全威胁？ 6.1　电子商务信息安全概述 6.1.1　信息安全概述 信息安全是对信息系统的硬件、软件及系统中的数据进行安全保护，检查对信息系统面临的安全威胁以及信息系统本身存在的脆弱性，使其不会因偶然或者恶意因素导致信息的破坏、篡改、泄露等，并使信息系统连续、可靠地正常运行，信息服务不中断。 6.1　电子商务信息安全概述 6.1.1　信息安全概述 信息安全通常可分为以下3个层次： ①信息自身的安全，如信息的保密性、完整性、可信性、可用性等，需要综合采用技术手段和安全管理措施来保护； ②信息系统的安全，信息从产生到运用要经历存储、传输和处理等过程，这些过程的载体构成信息系统； ③不良信息的散布可能对社会产生各种不利的影响。 6.1　电子商务信息安全概述 6.1.4　信息安全问题产生的原因 1．信息安全技术滞后 2．系统设备的物理安全 3．操作系统漏洞 4．破坏数据的完整性 5．软件的漏洞和“后门” 6.1　电子商务信息安全概述 6.1.4　信息安全问题产生的原因 6．电磁辐射干扰 7．技术人才短缺 8．安全管理制度不健全 9．从业人员安全意识淡薄 2010年3月7日和8日两天，可谓是电子科大女生的狂欢日。女生们纷纷拿着笔，来到学校食堂门外的“心愿板”前，在贴好的便利贴上写下自己的心愿…… 个人信息泄露的后果 6.2　电子商务信息安全目标 6.2.1　电子商务信息安全原则 1．木桶原则 2．整体性原则 3．有效与实用原则 4．动态性原则 6.2　电子商务信息安全目标 6.2.1　电子商务信息安全原则 5．自主可控原则 6．最小化原则 7．针对性原则 8．简单性原则 6.2　电子商务信息安全目标 6.2.2　电子商务信息安全需求 1．物理安全 2．信息的机密性 3．信息的完整性 4．信息的有效性 5．信息的可靠性 6.2　电子商务信息安全目标 6.2.2　电子商务信息安全需求 6．信息的真实性 7．信息的不可否认性 8．信息的独占性 9．信息的可用性 6.3　电子商务信息安全技术 6.3.1　数据备份与恢复 数据备份是数据容灾的重要手段，是为防止系统出现操作失误或系统故障时导致数据丢失，将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质并进行存储的过程。 数据备份恢复内容及流程 监督管理 制度管理 演练计划 演练评估 需求分析 策略制定 备份 需求 备份 实施 恢复 演练 项目评估 变更管理 持续 维护 日常维护 演练管理 日常备份 备份恢复管理 备份恢复流程 6.3　电子商务信息安全技术 ?小知识6-2 数据库脆弱性扫描器 数据库脆弱性扫描器可以对数据库的授权、认证和完整性进行详细的分析，也可以识别数据库系统中潜在的弱点。Scuba是数据安全和兼容解决方案提供商Imperva发布的一款免费数据库漏洞扫描软件，可以检测Oracle、SQL Server、Sysbase和DB2等数据库中的漏洞和错误配置，该软件工具由国际知名的安全研究组织Imperva应用防护中心(ADC)开发。 6.3　电子商务信息安全技术 6.3.1　数据备份与恢复 1．数据备份策略 常用的数据备份策略主要有完全备份、增量备份和差分备份3种。 2．数据备份方法 常用的数据备份方法有本地备份和异地备份两种。 6.3　电子商务信息安全技术 ?小知识6-3 双机热备技术 图6-3 双击热备的实现过程 6.3　电子商务信息安全技术 6.3.2 病毒防范技术 1．计算机病毒 计算机病毒是一种人为编制的、可运行的程序代码，它能嵌入或隐藏在其他应用程序或数据文件中，以磁盘、U