01 电子商务安全导论 - lecture.ppt

64548187-c85d-4ef4-9e53-0831496356ea.source.6.zh-Hans*c85d-4ef4-9e53-0831496356ea.source.6.zh-Hans*c85d-4ef4-9e53-0831496356ea.source.6.zh-Hans*91ba682e-c758-48ac-8bfe-4776445f726f.source.5.zh-Hans*91ba682e-c758-48ac-8bfe-4776445f726f.source.5.zh-Hans*733f7b3c-861f-4162-a4a1-3a3af152fee5.source.default.zh-Hans**来自买方的信用问题电子商务的信用安全问题来自卖方的信用问题电子商务面临的安全问题01防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一，可用于防止未授权的用户访问企业内部网，也可用于防止企业内部的保密数据未经授权而发出。02企业内部网在互联网上的延伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来03继防火墙之后的又一道防线04故意让人攻击的目标，引诱黑客前来攻击。电子商务安全技术—网络安全技术防火墙技术虚拟专用网技术入侵检测技术蜜罐技术01利用加密算法，将明文转换，阻止非法用户理解原始数据02包括数字证书和数字签名03安全套接层协议提供两台计算机之间的安全连接，对整个会话进行加密，从而保证信息的安全传输。04安全电子交易协议是通过开放网络进行安全资金支付的技术标准。电子商务安全技术—信息与交易安全技术信息加密技术认证技术安全通信技术安全电子交易技术在行政管理方面应加强安全组织机构的责任感和监督力度、加强业务运行安全和完善规章制度。安全管理技术主要包括加强企业内部安全管理、加速培养电子商务人才、加强政府监管和法律法规建设等方面的内容。电子商务安全技术—安全管理技术面临两类威胁：被动攻击:截获信息主动攻击:篡改、伪造信息和拦截用户使用资源*电子商务安全的需求包括两方面：交易过程中身份的可认证交易过程中信息的可认证*身份的可认证性在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。*信息的保密性要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。*信息的完整性交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。*信息的可用性保证信息和信息系统随时能够为授权者提供服务的这种有效特性。*CodeRedV1扩展速度Slammer/Sapphire攻击信息的真实性*不可抵赖性在电子交易通信过程的各个环节中都必须是不可抵赖的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。*不可伪造性(信息源的可鉴别)电子交易文件也要能做到不可伪造。*可控性授权实体可以控制信息系统的信息使用的这种特性。*信息安全体系结构

*面向目标的信息安全知识体系结构信息information机密性confidentiality完整性integrity可用性availability信息安全的三个基本目标（金三角）CIA三元组*CIA三元组是信息安全的三个最基本的目标机密性Confidentiality:指信息在存储、传输、使用过程中，不会泄漏给非授权用户或实体;完整性Integrity:指信息在存储、使用、传输过程中，不会被非授权用户篡改或防止授权用户对信息进行不恰当的篡改;可用性Availability:指确保授权用户或实体对信息资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息资源。DAD(Disclosure、Alteration、Destruction）是最普遍的三类风险围绕CIA三元组展开的知识体系*密码学是三个信息安全目标的技术基础CIA技术存在着一定程度上的内容交叉面向应用的层次型技术体系架构*面向应用层的层次型信息安全技术体系结构·信息系统基本要素·人员、信息、系统·安全层次·三个不同部分存在五个的安全层次与之对应·每个层次均为其上层提供基础安全保证*物理安全指对网络及信息系统物理装备的保护。运行安全指对网络及信息系统的运行过程和运行状态的保护。数据安全指对数据收集、存储