收藏 分享(赏)
下载资源 加入VIP,免费下载

第1章 电子商务安全导论.ppt

上传人:j35w19 文档编号:8833190 上传时间:2019-07-14 格式:PPT 页数:35 大小:360.50KB
下载 相关 举报
第1章 电子商务安全导论.ppt_第1页
第1页 / 共35页
第1章 电子商务安全导论.ppt_第2页
第2页 / 共35页
第1章 电子商务安全导论.ppt_第3页
第3页 / 共35页
第1章 电子商务安全导论.ppt_第4页
第4页 / 共35页
第1章 电子商务安全导论.ppt_第5页
第5页 / 共35页
点击查看更多>>
资源描述

1、第1章 电子商务安全导论,上海财经大学 劳帼龄,2,1.1 电子商务面临的安全问题 1.2 电子商务系统安全的构成 1.3 电子商务安全的需求 1.4 电子商务安全的保障,目录,上海财经大学 劳帼龄,3,引例eBay在中国溃败之因,eBay与淘宝之战,eBay败在了安全上,那么是否淘宝就不再面临任何的安全问题了呢?如果不是,到底还有哪些安全问题需要电子商务来面对呢?,上海财经大学 劳帼龄,4,央视官网被黑两小时主页遭篡改,2010年2月15日昨晚中央电视台官方网站间歇性无法登录http:/ 虽然被篡改的央视官网与春晚没有任何关系,但仍有许多网友将这一事件与前天播出的春晚联系在一起,认为这是黑客

2、对央视在晚会中过多地植入广告的行为发泄不满。记者随后致电多名央视工作人员,他们均表示“正在度假,不了解此事”。,上海财经大学 劳帼龄,5,1.1 电子商务面临的安全问题,1.1.1 安全问题的提出 网络安全,什么是网络攻击? 网络攻击:网络攻击者利用目前网络通信协议(如TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马

3、)等一系列过程的总称。,上海财经大学 劳帼龄,6,常见的网络攻击手段,阻塞类攻击控制类攻击探测类攻击欺骗类攻击漏洞类攻击破坏类攻击 注意:在一次网络攻击中,并非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥各自不同的作用。,上海财经大学 劳帼龄,7,阻塞类攻击(1/2),阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击(DoS,Denial of Service)是典型的阻塞类攻击,它是一类个人或多人利用Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。常

4、见的方法:TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。,上海财经大学 劳帼龄,8,阻塞类攻击(2/2),DoS攻击的后果:使目标系统死机;使端口处于停顿状态;在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件;扭曲系统的资源状态,使系统的处理速度降低。,上海财经大学 劳帼龄,9,控制类攻击,控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;木马技术目前着重研究更新的隐藏技术和秘密信道技术;缓冲区溢出是一种常用的攻击

5、技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。,上海财经大学 劳帼龄,10,探测类攻击,信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。主要包括:扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。网络安全扫描技术:网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强,也可被网络攻击者用来进行网络攻击。,上海财经大学 劳帼龄,11,欺骗类攻击,欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感

6、信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。,上海财经大学 劳帼龄,12,漏洞类攻击,针对扫描器发现的网络系统的各种漏洞实施的相应攻击,伴随新发现的漏洞,攻击手段不断翻新,防不胜防。漏洞(Hole):系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点,不论是公开的还是秘密的,都提供漏洞的归档和索引等。,上海财经大学 劳帼龄,13,软 件 漏 洞,每周平均发现的新漏洞数,

7、上海财经大学 劳帼龄,14,破坏类攻击,破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别:逻辑炸弹没有感染能力,它不会自动传播到其他软件内。注意:由于我国使用的大多数系统都是国外进口的,其中是否存在逻辑炸弹,应该保持一定的警惕。对于机要部门中的计算机系统,应该以使用自己开发的软件为主。,上海财经大学 劳帼龄,15,威胁的现状和趋势,几小时,时间,几周/几个月,几天,几分钟,几秒钟,90年代初,90年代中,90年代末,2000,2003,第 I 类 人工响应:有可能,第 III 类 人工响应: 不可能 自动响应: 不太可

8、能 主动阻挡: 有可能,第 II 类 人工响应: 很难/不可能 自动响应:有可能,2004,上海财经大学 劳帼龄,16,1.1.2 电子商务涉及的安全问题,信息的安全问题 冒名偷窃 篡改数据 信息丢失 信息传递出问题 信用的安全问题 来自买方的安全问题 来自卖方的安全问题 买卖双方都存在抵赖的情况 安全的管理问题 安全的法律保障问题,上海财经大学 劳帼龄,17,1.2 电子商务系统安全的构成,1.2.1 电子商务系统安全概述 1.2.2 系统实体安全 1.2.3 系统运行安全 1.2.4 信息安全,上海财经大学 劳帼龄,18,1.2.1 电子商务系统安全概述 电子商务系统安全的构成:,1.2电

9、子商务系统安全的构成,上海财经大学 劳帼龄,19,1.2.2 系统实体安全所谓实体安全,是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,20,1.2电子商务系统安全的构成,1.环境安全 (1)受灾防护 (2)区域防护 2.设备安全 (1)设备防盗 (2)设备防毁 (3)防止电磁信息泄漏 (4)防止线路截获 (5)抗电磁干扰 (6)电源保护,1.2.2 系统实体安全的组成,3.媒体安全 (1)媒体的安全 媒体的防盗 媒体的防毁 (2)媒体数据的安全 媒体数据的防盗 媒

10、体数据的销毁 媒体数据的防毁,上海财经大学 劳帼龄,21,1.2.3 系统运行安全运行安全是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,22,1.2.3 系统运行安全的组成1.风险分析 系统设计前的风险分析潜在的安全隐患 系统试运行前的风险分析设计的安全漏洞 系统运行期的风险分析运行的安全漏洞 系统运行后的风险分析系统的安全隐患2.审计跟踪 纪录和跟踪各种系统状态的变化 实现对各种安全事故的定位 保存、维护和管理审计日志,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,23,1.2.3 系统运行安全的组成3.备

11、份与恢复 提供场点内高速度、大容量自动的数据存储、备份和恢复 提供场点外的数据存储、备份和恢复 提供对系统设备的备份 4.应急 (1)应急计划辅助软件 紧急事件或安全事故发生时的影响分析 应急计划的概要设计或详细制定 应急计划的测试与完善(2)应急设施 提供实时应急设施 提供非实时应急设施,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,24,1.2.4 信息安全所谓信息安全,是指防止信息财产被故意地或偶然地非授权泄漏、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控性。,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,25,1.2.4 信息

12、安全的组成1.操作系统安全 2.数据库安全 3.网络安全 4.病毒防护安全 5.访问控制安全 6.加密 7.鉴别,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,26,1.2.4 信息安全的组成操作系统安全操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制,为所管理的资源提供相应的安全保护。操作系统的安全由两个方面组成: 安全操作系统 操作系统安全部件,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,27,1.2.4 信息安全的组成数据库安全 安全数据库系统 数据库系统安全部件网络安全 网络安全管理 安全网络系统 网络系统安全部件,1.2电子商务系统安全的构成,上海财经大学

13、 劳帼龄,28,1.2.4 信息安全的组成病毒防护安全 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。 单机系统病毒防护 网络系统病毒防护,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,29,1.2.4 信息安全的组成访问控制安全 出入控制 主要用于阻止非授权用户进入机构或组织 存取控制 主要是提供主体访问客体时的存取控制加密 加密设备 实现对数据的加密 密钥管理 提供对密钥的管理来加强信息安全,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,30,1.2.4 信息安全的组成鉴别 身份鉴别 主要用于阻止非授

14、权用户对系统资源的访问 完整性鉴别 主要用于证实信息内容未被非法修改或遗漏 不可否认性鉴别 证实发送方所发送的信息确实被接收方接收了 证实接收方接收到的信息确实是发送方发送的,1.2电子商务系统安全的构成,上海财经大学 劳帼龄,31,1.3 电子商务安全的需求,上海财经大学 劳帼龄,32,1.4 电子商务安全的保障,1.4.1 技术措施 1.4.2 管理措施 1.4.3 法律环境,上海财经大学 劳帼龄,33,1.4.1 技术措施信息加密技术 数字签名技术 TCP/IP服务 防火墙的构造选择,1.4电子商务安全的保障,上海财经大学 劳帼龄,34,1.4.2 管理措施人员管理制度 保密制度 跟踪、审计、稽核制度 系统维护制度 数据容灾制度 病毒防范制度 应急措施1.4.3 法律环境,1.4电子商务安全的保障,Thanks!,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报