《电子商务概论》第8章安全的实现.ppt

电子商务概论 经济与管理学院 朱晓峰 Chapter ８ Realization of EB Security 朱晓峰 经管学院 E-mail:ZZ8423@SOHU.COM 一、PKI（公开密钥基础设施） 二、安全的实施 三、安全的管理 四、安全的检测 Chapter ８ 一、PKI PKI（公开密钥基础设施) PKI是一种遵循标准的密钥管理平台，是硬件、软件、人员、政策和手续的集合。PKI能够实现基于公钥密码体制的证书产生、管理存储、发行和撤销等功能。 PKI的基本组成 认证中心(CA) 证书库 密钥备份及恢复系统 证书作废处理系统 应用接口系统 PKI的应用范围及中心作用 二、安全的实施 1)树立正确的安全观念 2)进行详细全面的规划 3)确立全面的安全保护 4)实施风险分析 5)建立审计跟踪机制 1）树立正确的安全观念 2)进行详细全面的规划 3)确立全面的安全保护 网络安全 服务器安全 用户安全 应用程序和服务安全 数据安全 4)实施风险分析 含义：考虑各种威胁因素可能造成的危害及由此可能带来的损失 。 目的：事前审查，确保安全 4)实施风险分析 步骤： 　资产清查?了解威胁来源及对资产脆弱性的影响?估计威胁发生的可能性?计算每年预期造成的损失?调查可行的安全措施及其成本开销?计算安全措施带来的年收益?制订安全防护计划。 5)建立审计跟踪机制。 含义：通过审计跟踪有助于发现未经授权人入侵电子商务系统的企图和授权用户越权操作的行为。 目的：事后审查，确保安全 三、安全管理 人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等 专门的安全管理机构 专门的安全管理人员 专门的安全管理制度 专门的安全技术工具 三、安全管理 原则 四、安全检测 计算机信息系统安全产品质量监督检验中心 国家信息安全测评认证中心 公安部安全与警用电子产品质量检测中心 * 使众多的CA具有一个开放性的标准，如何使CA之间能够互联、互相认证，以及如何实现一个安全的CA管理、应用体系 。 * 网络安全 网络安全包括确定用户对网络中内容的访问权限、检测任何非法访问或偶然访问的入侵者、保证只有经过授权许可才可以通信、客户机和服务器之间建立安全连接和确保正在传输当中的数据不能被非法读取和改变； 服务器安全 服务器安全采取的措施包括：能够控制谁能访问服务器或访问者可以干些什么；防止病毒的侵入；检测有意或偶然闯入系统的不速之客；不断检查系统安全配置，及时发现安全漏洞；通过政策审查监视系统是否严格执行了规定的安全政策； 用户安全 用户安全采取手段是对用户账户的管理，以确保合法用户合法地使用系统。在用户获得访问特权时设置用户功能，或在他们的访问特权不再有效时限制用户的使用。身份验证用来确保用户的登录身份与其真实身份相符，并对其提供单点注册，以解决多个口令的问题； 应用程序和服务安全 应用程序和服务安全是指对应用程序和服务的口令和授权的管理，大多数应用程序和服务都是靠口令保护的，加强口令变化是安全方案中必不可少的手段，而授权则是用来规定用户或资源对系统的访问权限； 数据安全 数据安全是保持数据的保密性和完整性，保证非法访问者或好奇者不论数据是在储存状态还是在传递当中都无法阅读它。数据完整性是指防止非法写数据或偶然的数据改动。 * 风险分析是预先估计评价威胁安全的因素和采取的预防措施的有效性，而审计跟踪是作为一种事后追查的手段来保持系统的安全。 每次审计跟踪活动都贯穿于电子商务系统使用的全过程。它关心：什么人、什么时间、从什么地方来、到什么地方去、干了些什么事、是否是未经授权者、如果不是未经授权者他的活动是否超越了权限、活动是否成功、如果不成功他作了几次进入电子商务系统的尝试、用了些什么手段、什么时间离开电子商务系统，等等。 * 专门的安全管理机构 组织内部机构的设置和划分可以体现该组织对不同工作的重视程度。设置专门的安全管理机构，一方面体现了安全管理的重要程度，另一方面也能充分保证组织安全管理的连贯性和有序性； 专门的安全管理人员 安全管理是涉及高技术的管理，管理人员的技术水平、对电子商务系统的了解程度和使用水平直接决定了电子商务本身的安全。专门的安全管理人员保证了他们能对系统各个安全环节有清晰的了解和熟练的掌握； 逐步完善的安全管理制度 安全管理的制度化可以使安全活动标准化和规范化。要依据不同的办公流程、各个部门的工作范围和工作性质，建立各种层次的安全管理条例，完善个人的岗位安全责任制度，减少涉及安全的不确定因素和不规范行为； 有逐步提高的安全技术工具 安全技术工具是指组成电子商务安全所必须的各种设备和技术手段的总和。这些安全技术工具，应该根据使用的场所以及总体设计