电子商务安全管理复习的资料.docxVIP

2010-10-26 电子商务安全管理 PAGE8 / NUMPAGES8 电子商务安全与管理 第一章：电子商务安全导论 1.电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。 2.电子商务的安全问题主要涉及信息的安全问题、信用的安全问题、安全的管理问题以及安全的法律法规保障问题。 3.信息的安全问题： （1）冒名偷窃：源IP地址欺骗攻击。冒名他人，窃取信息。 （2）篡改数据：攻击者未经授权进入电子商务系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益或干扰对方的正确决策，造成电子商务交易中的信息风险。 （3）信息丢失：因线路问题造成信息丢失；因安全措施不当而丢失信息；不同操作平台上转换而丢失信息。 （4）信息传递出问题：存在网络攻击或物理性干扰等情??影响数据的真实性和完整性。从安全的角度来说，没有绝对安全的通信线路。 4.电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全三部分组成。 （1）系统实体安全： 1环境安全:就是对电子商务系统所在的环境实施安全保护，主要包括受灾的防护和区域的防护。 2设备安全:指对电子商务系统的设备进行安全保护； 3媒体安全:对媒体数据和媒体本身实施安全保护。 （2）系统运行安全：是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。 1风险分析：就是对电子商务系统进行人工或自动的风险分析。 2审计跟踪：就是对电子商务系统进行人工或自动的审计跟踪、保护审计记录和维护详尽的审计日志。 3备份与恢复:对所有数据进行备份，并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。 4应急:就是要提供在紧急事件或安全事故发生时，保障电子商务系统继续运行或紧急恢复所需要的策略。 （3）信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。 1操作系统安全：指要对电子商务系统的硬件和软件资源实行有效的控制，为所管理的资源提供相应的安全保护。 2数据库安全:是指对数据库所管理的数据和资源提供安全保护，一般采用多种安全机制与操作系统相结合来实现数据库的安全保护。 3网络安全：计算机网络环境下的信息安全。 4病毒防护:就是提供对计算机病毒的防护，即通过建立系统保护机制来预防、监测和消除病毒。 5访问控制：指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）、限制使用计算机系统和计算机存储数据的过程（存取控制）。 6加密:主要涉及数据的加密和密钥的管理。 7鉴别，主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方（包括用户、设备和进程）真实身份的鉴别；信息鉴别是提供对信息的正确性、完整性和不可否认性的鉴别。 5.电子商务安全的需求: （1）保密性（security）：保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。 （2）完整性（integrity）：防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。 （3）认证性（authenticity）：确保交易信息的真实性和交易双方身份的合法性 （4）可控性（access control）：保证系统、数据和服务能由合法人员访问 （5）不可否认性（non-repudiation） ：有效防止通信或交易双方对已进行的业务的否认 6.电子商务安全的保障（图） 7.电子商务安全的保障=技术措施＋管理措施＋法律保障 （1）技术措施 1.信息加密技术 2.数字签名技术 3.密钥管理技术 4.验证技术 5.TCP/IP服务 6.防火墙技术 7.VPN技术 8.入侵检测技术 （2）管理措施 1.人员管理制度 2.保密制度 3.跟踪、审计、稽核制度 4.系统维护制度（硬软件） 5.数据容灾制度 6.病毒防范制度 7.应急措施 （3）法律保障 第二章 信息安全技术 1.所谓加密：就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。 2.基于密钥的算法，按照密钥的特点分类： （1）对称密钥算法（symmetric cipher)：加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个。又称秘密密钥算法或单密