电子商务的安全威胁及其措施.pptVIP

放置在互联网上的公司服务器随时都会受到有意或无意的攻击和损坏。如何获得安全的保障，不仅是个人或单个企业的要求，也是整个互联网经济发展的最重要的基础。 病毒破坏 黑客攻击 第一节 概述 一、安全的含义 安全分物理安全和逻辑安全。所谓物理安全指可触及的保护设备。通常所说的计算机领域的安全指企业的信息不受他人未经授权的访问、使用、篡改或破坏。用非物理手段进行的保护称为逻辑安全，这种安全分为三类： 第一类 保密：防止未授权的数据暴露并确保数据源的可靠性； 密码、帐户的安全，不被他人知晓 电子商务概论 第四章 电子商务的安全威胁和安全措施 第二类 完整：防止未经授权的数据修改； 内容的改变 第三类 即需：防止延迟或拒绝服务。 服务器停止响应 人们习惯于“眼见为实”，对安全总是谨小慎微。 二、安全措施 对识别、降低或消除安全威胁的物理或逻辑步骤的总称。 对不同类型的风险需要采取不同的安全措施，实施的成本应该小于所受到的损失。 电子商务概论 第四章 电子商务的安全威胁和安全措施 风险管理模型 电子商务概论 第四章 电子商务的安全威胁和安全措施 预防 控制 不理会 备份 影响大 概率高 影响小 概率低 安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等的书面描述。 安全策略一般要陈述物理安全、网络安全、访问授权、病毒防护、灾难恢复等内容，并随时间变化，需定期完善。 制定安全策略的步骤： 绝对的安全是不存在的 损人不利己 电子商务概论 第四章 电子商务的安全威胁和安全措施 确定保 护对象 确定访 问权限 确定所 需资源 制定安 全策略 开发或 购买 不断 完善 安全策略的内容： 认证：访问者 访问控制：访问许可 保密：用户的级别 数据完整性：权限的设定 审计：记录、日志 电子商务概论 第四章 电子商务的安全威胁和安全措施 第二节 对服务器的安全威胁及保护措施 服务器是整个电子商务活动中最关键的一个环节。 一、与服务器有关的安全威胁 1. 对WWW服务器的安全威胁 存在安全漏洞 超级用户的权利巨大 设置不当带来的问题 密码记忆(cookie) /index.php、 IE浏览器 密码设置 2. 对数据库的安全威胁 “特洛伊木马”、数据权限降级 电子商务概论 第四章 电子商务的安全威胁和安全措施 3. 对公用网关接口(CGI)的安全威胁 CGI实现从WWW到另一个程序(如数据库程序)的信息传输。 CGI脚本能以高权限运行，且不易被追踪和管理。 4. 对其他程序的安全威胁 缓存的溢出(病毒攻击) 邮件炸弹或垃圾邮件 电子商务概论 第四章 电子商务的安全威胁和安全措施 二、保护电子商务服务器 WWW商务服务器软件包括：FTP服务器、WWW服务器、电子邮件服务器、远程登陆服务器、操作系统 1. 访问控制和认证 指控制访问商务服务器的人和访问内容。 认证采用数字证书方式 认证方式(招行) 1)证书是用户的许可证，数字签名； 2)检查证书上的时间标记以确认证书未过期，并拒绝为过期证书提供服务； 3)回叫系统，即根据用户名和为其指定的客户机地址的清单来核对用户名和客户机地址。 ccproxy 电子商务概论 第四章 电子商务的安全威胁和安全措施 密码保证 密码忘记服务 密码保存：明文存用户名，加密存口令(管理员也无法知道) 权限的设定：文件：读取、写入、追加、执行、删除 目录：列表、创建、删除 2. 操作系统控制 用户名/口令 win2000 winxp 电子商务概论 第四章 电子商务的安全威胁和安全措施 3. 防火墙 指在需要保护的网络与可能带来安全威胁的互联网或其他网络之间建立的保护。 防火墙是具有以下特征的计算机: (天网系统) 1)由内到外和由外到内的所有访问都必须通过它； 2)只有本地安全策略所定义的合法访问才被允许通过； 3)防火墙本身无法被穿越。 防火墙内的网络叫可信网络，防火墙外的网络叫不可信网络。防火墙相当于过滤设备，允许特定的信息流入或流出被保护的网络。 理想状态下，防火墙应阻止未经授权的用户访问防火墙内的网络，又不妨碍合法用户。 用作防火墙的计算机应尽量简化。(软件) 电子商务概论 第四章 电子商务的安全威胁和安全措施 防火墙技术 包过滤：检查在可信网络和互联网之间传输的所有数据，包括信息包的源地址、目标地址及进入可信网络的信息包的端口，并根据预先设定的规则拒绝或允许这些包进入。 网关服务器：根据所请