电子商务的安全威胁及其措施.pptx

第四章 电子商务的安全威胁和安全措施电子商务概论 放置在互联网上的公司服务器随时都会受到有意或无意的攻击和损坏。如何获得安全的保障，不仅是个人或单个企业的要求，也是整个互联网经济发展的最重要的基础。 病毒破坏 黑客攻击第一节 概述一、安全的含义 安全分物理安全和逻辑安全。所谓物理安全指可触及的保护设备。通常所说的计算机领域的安全指企业的信息不受他人未经授权的访问、使用、篡改或破坏。用非物理手段进行的保护称为逻辑安全，这种安全分为三类：第一类 保密：防止未授权的数据暴露并确保数据源的可靠性； 密码、帐户的安全，不被他人知晓第四章 电子商务的安全威胁和安全措施电子商务概论第二类 完整：防止未经授权的数据修改； 内容的改变第三类 即需：防止延迟或拒绝服务。 服务器停止响应 人们习惯于“眼见为实”，对安全总是谨小慎微。二、安全措施 对识别、降低或消除安全威胁的物理或逻辑步骤的总称。 对不同类型的风险需要采取不同的安全措施，实施的成本应该小于所受到的损失。概率高控制预防影响大影响小不理会备份概率低第四章 电子商务的安全威胁和安全措施电子商务概论风险管理模型不断完善确定保护对象确定访问权限确定所需资源制定安全策略开发或购买第四章 电子商务的安全威胁和安全措施电子商务概论 安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等的书面描述。 安全策略一般要陈述物理安全、网络安全、访问授权、病毒防护、灾难恢复等内容，并随时间变化，需定期完善。制定安全策略的步骤： 绝对的安全是不存在的 损人不利己第四章 电子商务的安全威胁和安全措施电子商务概论安全策略的内容： 认证：访问者 访问控制：访问许可 保密：用户的级别 数据完整性：权限的设定 审计：记录、日志第四章 电子商务的安全威胁和安全措施电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论密码保证密码忘记服务密码保存：明文存用户名，加密存口令(管理员也无法知道)权限的设定：文件：读取、写入、追加、执行、删除 目录：列表、创建、删除2. 操作系统控制用户名/口令 win2000 winxp第四章 电子商务的安全威胁和安全措施电子商务概论3. 防火墙 指在需要保护的网络与可能带来安全威胁的互联网或其他网络之间建立的保护。防火墙是具有以下特征的计算机: (天网系统)1)由内到外和由外到内的所有访问都必须通过它；2)只有本地安全策略所定义的合法访问才被允许通过；3)防火墙本身无法被穿越。 防火墙内的网络叫可信网络，防火墙外的网络叫不可信网络。防火墙相当于过滤设备，允许特定的信息流入或流出被保护的网络。 理想状态下，防火墙应阻止未经授权的用户访问防火墙内的网络，又不妨碍合法用户。用作防火墙的计算机应尽量简化。(软件)第四章 电子商务的安全威胁和安全措施电子商务概论防火墙技术 包过滤：检查在可信网络和互联网之间传输的所有数据，包括信息包的源地址、目标地址及进入可信网络的信息包的端口，并根据预先设定的规则拒绝或允许这些包进入。 网关服务器：根据所请求的应用对访问进行过滤的防火墙。在应用 层过滤请求和登陆。(telnet, ftp, http)如允许内向ftp, 不允许外向ftp。 代理服务器：代表某个专用网络与互联网进行通讯的防火墙。第四章 电子商务的安全威胁和安全措施电子商务概论第三节 对通讯信道的安全威胁及防护措施一、通讯信道的安全威胁 信息传送过程中无法保证传送线路及所通过的每台计算机都是可靠的。1. 对保密性的安全威胁 保密与保护隐私 保密：防止未经授权的信息泄漏； 保护隐私：保护个人不被曝光的权利。Email谁看 在线“探测软件”第四章 电子商务的安全威胁和安全措施电子商务概论2. 对完整性的安全威胁又称主动搭线窃听，未经授权方同意改变信息。 完整性和保密性的差别：对保密性的安全威胁指某人看到了不应该看到的信息；对完整性的安全威胁指某人改动了传输的关键信息。如银行的存款信息。 破坏网站、电子伪装等3. 对即需性的安全威胁又称延迟安全威胁或拒绝安全威胁。其目的是破坏正常的计算机处理或完全拒绝处理。第四章 电子商务的安全威胁和安全措施电子商务概论二、保护电子商务的通道1. 交易的保密 无法防止对互联网的窃听(明信片)。1) 加密：用基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。加密程序的逻辑称为加密算法。加密消息的保密性取决于加密所有密钥的长度(40~128)，即使有人知道加密程序的细节，没有消息加密所用的密钥是无法解开加密的消息。第四章 电子商务的安全威胁和安全措施电子商务概论按密钥和相关加密程序类型可把加密分为3类：1. 散列编码：用散列