电子商务安全体系分析.pptVIP

电子商务的风险与安全问题 （3）安全的管理问题 严格管理是降低电子商务风险的重要保证。 安全管理的目的，就是提供从事商务活动的可信的运行环境，需要有完善的管理制度和相关的技术支持。 人员管理常常是电子商务安全管理上的最薄弱环节。 此外，目前现有的信息系统绝大多数都缺少安全管理员，缺少信息系统安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。 继续 电子商务的风险与安全问题 （4）安全的法律保障问题 电子商务的技术设计是先进的、超前的、具有强大的生命力，但同时也必须清楚地认识到，在目前的法律上是没有现成的条文来保护电子商务交易中的交易方式的，在网上交易可能会承担由于法律滞后而带来的安全风险。 继续 电子商务的风险与安全问题 此外，电子商务给传统税收也造成了冲击，各国之间的税收平衡问题也突显出来，会引发新的税收风险。 继续 电子商务系统安全的构成 电子商务系统，从某种意义上说，就是一种建立在网络环境里的计算机信息系统。 1.系统实体安全 2.系统运行安全 3.系统信息安全 任务： 试分析电子商务系统安全的构成。 电子商务系统安全的构成 1.系统实体安全 实体安全，是指保护计算机设备、设施以及其他媒体免受自然灾害和其他环境事故（如电磁污染等）破坏的措施、过程。 继续 电子商务系统安全的构成 系统实体安全的组成： （1）环境安全——就是要对电子商务系统所在的环境加以安全保护，主要包括灾害保护和区域保护。 （2）设备安全——是指对电子商务系统的设备（包括网络）进行安全保护，主要是设备防盗、设备防毁、防电磁信息泄漏、防线路截获、抗电磁干扰以及电源保护。 （3）媒体安全——指对媒体数据和媒体本身实施安全保护。 继续 电子商务系统安全的构成 2.系统运行安全 是指为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。 继续 电子商务系统安全的构成 （1）风险分析，就是要对电子商务系统进行人工或自动的风险分析。 （2）审计跟踪，就是要对电子商务系统进行人工或自动的审计跟踪，保存审计记录和维护详尽的审计日志。 （3）备份与恢复，运行安全中的备份与恢复，就是要提供对系统设备和系统数据的备份与恢复。 （4）应急，运行安全中的应急措施，是为了在紧急事件或安全事故发生时，提供保障电子商务系统继续运行或紧急恢复所需要的策略。 继续 电子商务系统安全的构成 3.信息安全 是指防止信息财产被故意的或偶然的非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制，信息安全要确保信息的完整性、保密性、可用性和可控性。 信息安全由七个部分组成： （1）操作系统安全 （2）数据库安全 （3）网络安全 （4）计算机病毒防护 （5）访问控制 （6）加密 （7）鉴别 继续 （1）操作系统安全 是指对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源提供相应的安全保护。 操作系统的安全由两个部分组成： 1）安全操作系统：指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统。 2) 操作系统安全部件：操作系统安全部件的目的是增强现有操作系统的安全性。 继续 （2）数据库安全 ——是对数据库系统所管理的数据和资源提供安全保护。 1)安全数据库系统，是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统。 2)数据库系统安全部件，是以现有数据库系统所提供的功能为基础构建安全模块，旨在增强现有数据库系统的安全性。 继续 （3）网络安全 ——是指提供访问网络安全资源或使用网络服务的安全保护。 1)网络安全管理，是指为网络的使用提供安全管理。 2)安全网络系统，对网络资源的访问和网络服务的使用提供一套完整的安全保护，即从网络系统的设计、实现、使用和管理各个阶段，遵循一套完整的安全策略的网络系统。 3)网络系统安全部件。 继续 （4）计算机病毒防护 1)单机系统病毒防护 2)网络系统病毒防护 3)网络系统安全部件 （5）访问控制 1）出入控制，是为了阻止非授权用户进入机构或组织。 2）存取控制，是针对主体访问客体时的存取控制，如通过对授权用户存取系统敏感信息时进行安全性检查，以实现对授权用户的存取权限的控制。 继续 （6）加密 加密，是将明文数据进行某种变换，使其成为不可理解的形式的过程。 加密必须依赖两个要素：算法和密钥。 （7）鉴别 鉴别是指提供身份鉴别和信息鉴别。 身份鉴别，是提供对信息收发方（包括用户，设备和进程）真实身份的鉴别； 信息鉴别，是提供对信息的正确性，完整性和不可否认性