电子商务和管理.pptVIP

2000年9月9日 电子商务系统安全威胁 系统中断 破坏系统的有效性 窃听信息 破坏系统的机密性 篡改信息 破坏系统的完整性 伪造信息 破坏系统的真实性 对交易行为进行抵赖 要求系统具备审查能力 电子安全交易的基本要求 信息的保密性 信息的完整性 交易者身份的真实性 不可抵赖性 系统的可靠性 体系组成 技术保障 法律控制 社会道德规范 完善的管理政策、制度 信息系统安全层次模型 一、二、三层：信息、软件、网络安全 对自然灾害防范：防火、防水、防地震。如：建立备份中心 防范计算机设备被盗：固定件、添加锁、设置警铃、购置柜机、系统外人员不得入内等 尽量减少对硬件的损害：不间断电源、消除静电、系统接地等 * * 4.1 电子商务安全概述 一、电子商务的安全威胁 二、电子商务安全体系 4.1.1 电子商务的安全威胁 计算机安全的定义 我国专家对计算机安全的定义为：计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而泄露、更改和破坏，系统能连续正常运行。计算机网络安全是计算机安全概念在网络环境下的扩展 电子商务的安全威胁来自电子商务系统的各个层面。主要来自： 1.电子商务基础的网络系统、 2.开展电子商务的系统平台和该平台之上的电子商务应用系统。 网络系统的安全威胁 网络系统的主要安全威胁是 1． 网络操作系统相关安全配置 2． 拒绝服务(DoS，Denial of Service)攻击（系统瘫痪） 3．黑客侵袭 4．计算机病毒的侵袭 5．安全产品使用不当 6．缺少严格的网络安全管理制度 具体表现 ·身份窃取。指用户的身份在通信时被他人非法截取。 ·非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 ·冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。 ·数据窃取。指非法用户截取通信网络中的某些重要信息。 ·破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。 ·拒绝服务。指通信被终止或实时操作被延迟。 ·否认。指通信的双方有一方事后否认曾参与某次活动。 ·干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段。 ·病毒与恶意攻击。指通过网络传播病毒等。 4.1.2 电子商务安全体系 这三层是计算机信息系统安全的关键。包括： 数据的加密解密（加密解密算法、密钥管理） 操作系统、应用软件的安全（用户注册、用户权限（如： 查询权限、录入权限、分析权限、管理权限)管理） 数据库安全（访问控制、数据备份与管理、数据恢复） 数据的完整性（RAID冗余磁盘阵列技术、负载均衡、HA高可用技术） 网络安全（对网络传输信息进行数据加密、认证、数字签名、访问控制、网络地址翻译、防毒杀毒方案等，如防火墙技术、虚拟网VPN、秘密电子邮件PEM） 病毒防范（硬件防范、软件防范、管理方面的防范） 第四、五层：硬件系统的保护和物理实体的安全