电子商务系统的分析与设计-刘军-电子商务安全子系统设计.pptVIP

电子商务系统的分析与设计 第九章 电子商务系统安全子系统设计 本章内容 概述 电子商务系统的安全要求 ISO的安全体系结构与电子商务系统的安全体系 电子商务安全子系统的设计 电子商务系统安全技术 案例: CDNow公司受到的攻击 CDNow是美国一家从事音像制品电子零售的电子商务企业。2000年1月，俄罗斯的一个叫做Maxum的黑客从该公司的网站上偷取了30万条信用卡记录，并向该公司敲诈10万美元。当CDNow公司拒绝其要求时，黑客开始逐条公布信用卡记录的内容。在这种情况下，当时美国运通公司（American Express）不得不暂时停止给该公司用户发行新卡。 9.1 概述 9.1.1 电子商务基础设施的安全 电子商务基础设施的安全主要指：保障电子商务系统的计算机设备、系统软件平台、网络环境能够无故障运行、不受外部入侵和破坏。这个层次，主要针对电子商务的信息基础设施，与计算机、网络等系统环境的关系更为密切，与企业的商务活动的联系较少。 9.1.2 电子交易的安全 电子交易的安全则是指通过一系列的措施保证交易过程的真实可靠、完整、不可否认和机密。与基础设施安全相比，电子交易安全更侧重于交易过程。 9.1.1 电子商务基础设施的安全 （1）计算机主机系统安全 双机备份、容错系统、集群（cluster）结构以及高性能系统HA（High Availability） （2）数据库及存储设备安全 采用灾难恢复技术、SAN、RAID技术等 （3）操作系统安全 （4）网络环境安全 防止网络的非授权访问、减少网络故障 9.1.2 电子交易的安全 基础设施的安全是电子交易安全的基础 电子交易的安全是信息基础设施安全的延伸 在设计电子商务系统的安全系统时，应当从基础设施和电子交易两个层次出发，不能偏废 更多的威胁是来自电子商务企业的内部,考虑相关的安全策略、安全管理问题 9.2 电子商务系统的安全要求 9.2.1 电子商务的安全要求 安全问题主要是对方是否是存在的、真实的，购买过程中一些隐私性的数据（例如个人信用卡密码等）是否存在泄漏的风险，企业的服务器是否会受到攻击而瘫痪等等 9.2.2 电子商务系统的安全威胁与防范技术 1. 电子商务系统的安全威胁 2．电子商务系统的安全防范技术 9.2.1 电子商务的安全要求 1.交易的真实性 2.交易的保密性 3.交易的完整性 4.不可抵赖性 9.2.1 电子商务的安全要求 9.2.2 电子商务系统的安全威胁与防范技术 1. 电子商务系统的安全威胁 （1）计算机网络的安全威胁 1）针对计算机系统网络层的攻击和入侵 2）针对计算机系统层的攻击和入侵 3) 针对计算机系统数据库层的攻击和入侵 4) 针对计算机系统应用层的攻击和入侵 （2） 商务交易的安全威胁 1）信息窃取 2）信息篡改 3）身份假冒 4）交易的否认 9.2.2 电子商务系统的安全威胁与防范技术 2．电子商务系统的安全防范技术 黑客攻击电子商务系统的手段 选择攻击的目标 发现网络与计算机系统的漏洞 入侵系统，获得系统的控制权限 禁用系统审计功能，更该系统的日志，以防止遗留线索 盗取文件，篡改系统的数据或者其他有价值的信息安装系统的后门（Back Gate）、特洛伊木马，以便能够再次入侵而不被发现 返回再次破坏 9.2.2 电子商务系统的安全威胁与防范技术 安全防范技术 1、加密技术 2、密钥管理技术 3、数字签名技术 4、入侵检测与防范技术 5、风险评估技术 6、身份认证技术 7、病毒防治技术 9.3 ISO的安全体系结构与电子商务系统的安全体系 9.3.1 OSI安全体系结构 国际标准化组织（ISO）制定的OSI安全体系结构是研究设计计算机网络系统以及评估和改进现有系统的理论依据。OSI安全体系结构定义了安全服务、安全机制、安全管理的功能，并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。 93. 2. 电子商务系统的安全体系 9.3 ISO的安全体系结构与电子商务系统的安全体系 OSI规定了5种标准的安全服务 对象认证安全服务 访问控制服务 数据保密服务 数据完整性服务 防抵赖安全服务 9.3 ISO的安全体系结构与电子商务系统的安全体系 OSI的安全机制和安全服务 9.3 ISO的安全体系结构与电子商务系统的安全体系 9.3 ISO的安全体系结构与电子商务系统的安全体系 9.4 电子商务安全子系统的设计 9.4.1 电子商务安全子系统的框架结构 9.4.2 安全策略 9.4.3 安全管理 9.4.1 电子商务安全子系统的框架结构 9