电子商务安全与管理.ppt
1、电子商务 安全与管理,华侨大学经管学院 (谭观音副教授),2,学习目的:,电子商务安全管理是电子商务健康发展的保证。电子商务安全问题的主要来源有信息传输风险、信用风险、管理风险以及法律风险四个方面。解决这些安全问题,必须从技术上、管理上和法律制度上进行综合解决。技术术方面,主要采取客户认证技术对身份认证、信息认证,保证交易的真实有效性。管理方面,需要建立人员管理制度、保密制度、跟踪制度、系统维护制度、数据备份制度、病毒定期清理制度。法律制度方面,需要保护交易合法性、个人隐私等。目前,电子商务安全最大的威胁是非法入侵者的攻击,采取一些必要技术手段防止“黑客”的攻击是非常必要的,同时要建立完善的监
2、控体系和严格 的法律制度体系。,3,第一章 电子商务安全导论,1.1 电子商务面临的安全问题 一、安全问题的提出 你想参加电子商务交易吗? 想、不想 问题是:安全?质量?,4,二、电子商务涉及的安全问题 1、怎样考察电子商务的安全问题? 一般认为:技术安全,管理安全、法律安全 本书作者观点:从电子商务整个运作过程来考察,确定电子商务流程过程中可能出现和各种安全问题,分析其危害性电子商务安全管理与支付,发现电子商务运作过程中潜在的安全隐患和安全漏洞,从而使电子商务的安全管理能做到有的放矢。,1.1 电子商务面临的安全问题,5,2、电子商务安全的考察内容: 从电子商务过程看,涉及以下几方面: 信息安全问题:载体 信用安
3、全问题:属性 安全的管理问题:系统主体行为 安全的法律保障问题:系统外行为。,1.1 电子商务面临的安全问题,6,2、电子商务安全的考察内容: (一) 信息安全问题: 从技术上看,来自以下几个方面: 冒名偷窃 篡改数据 信息丢失 传递差错,1.1 电子商务面临的安全问题,7,1、冒名偷窃“黑客”为了获取重要的商业秘密、资源和信息,常常采用非法手段,冒用他人名字,窃取信息。伪装成内部“人员”或“机器”,想用合法身份,如源IP地址,报文代理等手段。,(一)信息安全问题,8,2、篡改数据攻击者未经授权进入电子商务交易系统, 采用非法手段删除、修改、重发某些重要信息,破坏数据的完整性,损害他人利益,造
4、成电子商务交易信息风险。,(一)信息安全问题,9,3、信息丢失买卖双方在交易过程中发生交易信息丢失,造成电子商务交易信息风险。,(一)信息安全问题,10,4、信息传递出问题信息在网络上传递时,需要经过多个环节和渠道,那么交易的信息在传递过程中,比较容易发生信息差错现象:人为影响、线路故障、自然灾害等方面,使得交易信息损失或丢失,造成电子商务交易信息风险。,(一)信息安全问题,11,2、电子商务安全的考察内容: (二) 信用的安全问题:,1.1 电子商务面临的安全问题,卖方,买方,交易,12,(二) 信用的安全问题: 从信用安全主要来自三个方面:买方的信用安全卖方的信用安全买卖双方都存在的抵赖的
5、情况,1.1 电子商务面临的安全问题,可以追加内容,13,2、电子商务安全的考察内容: (三) 安全的管理问题:保证安全,必须加强管理,严格管理是降低电子商务风险的重要保证。特别是在交易过程中,客户进入交易中心,合同的签订,交易付款,提货等方方面面。目前最薄弱的是人员管理。损失最大的,大案要案一般都发生在内部管理人员身上。目前现有的信息系统绝大多数都缺少安全管理员及信息系统安全的技术规范。,1.1 电子商务面临的安全问题,14,2、电子商务安全的考察内容: (四) 安全的法律保障问题:电子商务交易有了很好的环境电子商务安全管理与支付,但不能说电子商务的交易就万无一失了,技术先进,服务完善,也难免出问题,出差错,万一
6、出了差错,那就必须有人来解决,解决的前提是有公证的法律。好多事情总是实践在前,法律制订在后,目前缺少的是电子商务的法律,无法保护电子商务交易中的行为和方式,由于法律的滞后造成电子商务的交易风险。,1.1 电子商务面临的安全问题,15,一、电子商务系统安全概述,1.2 电子商务系统安全的构成,电子商务系统,简单地说(广义地说)就是一种计算机信息系统。用于完成电子商务交易的计算机网络信息系统就是电子商务系统。 1、定义:计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。,16,一、电子商务系统安全概
7、述,1.2 电子商务系统安全的构成,2、电子商务系统的安全构成:从信息系统的角度来看,电子商务系统的安全是由 系统实体安全、系统运行安全和系统信息安全三部分组成。具体示意图如下:,17,电子商务系统的安全图,18,二、系统实体安全,定义:所谓实体安全就是指保护计算机设备、设施经及其他媒体免遭灾害和事故破坏的措施和过程。,实体安全包括:环境安全、设备安全、媒体安全,(一)环境安全:要对电子商务系统所在环境实施安全保护,主要包括受灾的防护和区域的防护。 1、受灾防护:保护电子商务系统免遭水、电(动、静)、火、地震等的危害。做到 灾前:以防为主; 灾中:紧急抢救,保护; 灾后:恢复、修理。,19,二
8、、系统实体安全,(一)环境安全:要对电子商务系统所在环境实施安全保护,主要包括受灾的防护和区域的防护。 1、受灾防护: 2、区域防护:对特定区域进行保护和隔离,做到 静止区域保护:防止监测和控制、防红外扫描; 活动区域保护:对活动区域(如活动机房等)进行某种形式的保护。,20,二、系统实体安全,(二)设备安全:要对电子商务系统中的设备实施安全保护,主要包括防偷盗、防损毁、防泄漏、防截获、抗干扰及电源保护。 1、设备防盗:防偷盗,以提高安全性,如报警器、加锁; 2、设备防毁:设备防毁就是对电子商务系统的设备实施防毁保护,主要包括两个方面功能:对抗自然力的破坏,使用一定的防毁措施(如接地保护等)来
9、保护电子商务系统设备和部件。对抗人为的破坏,使用一定的防毁措施(如防砸外壳)来保护电子商务系统设备和部件。,21,二、系统实体安全,(二)设备安全:防偷盗、防损毁、防泄漏、防截获、抗干扰及电源保护。 (3)防止电磁信息泄漏。提高系统内敏感信息的安全性; 主要涉及三个方面的功能: 防止电磁信息的泄漏(如建立屏蔽室防止电磁辐射引起的信息泄漏)。干扰泄漏的电磁信息(如利用电磁干扰对泄漏的电磁信息进行置乱);吸收泄漏的电磁信息(如通过特殊材料/涂料等吸收泄漏的电磁信息)。,22,二、系统实体安全,(二)设备安全:防偷盗、防损毁、防泄漏、防截获、抗干扰及电源保护。 (4)防止线路载获要防止对电子商务通信
10、线路的截获和外界对线路干扰。主要涉及四个方面的功能: 预防线路载获设备无法正常工作。 探测线路截获,发现线路截获并报警。 定位线路截获,发现线路截获设备工作的位置。 对抗线路截获,阻止线路截获设备的有效使用。,23,二、系统实体安全,(二)设备安全:防偷盗、防损毁、防泄漏、防截获、抗干扰及电源保护。 (5)抗电磁干扰,就是防止对电子商务系统内部信息的干扰。主要涉及二个方面的功能: 对抗外界对系统的电磁干扰。 消除来自系统内部的电磁干扰。,24,二、系统实体安全,(二)设备安全:防偷盗、防损毁、防泄漏、防截获、抗干扰及电源保护。 (6)电源保护:保证电子商务设备的运转所需的能源。如:UPS,电源
11、调节器;主要涉及两个方面的功能: 电源工作的连续性保证。UPS 电源工作的稳定性。纹波抑制器。,25,二、系统实体安全,(三)媒体安全:是指对媒体数据和媒体本身实施安全保护。 (1)媒体的安全:保证媒体介质的安全,涉及两个方面: 媒体的防盗。UPS 媒体的防毁,如防霉和防砸等。 (2)媒体数据的安全:,26,二、系统实体安全,(三)媒体安全:是指对媒体数据和媒体本身实施安全保护。 (2)媒体数据的安全:保证媒体介质上数据的安全,实施对媒体数据的安全删除和媒体数据的安全销毁,防止他人有意恢复。,主要涉及三方面功能: 媒体数据的防盗。如防盗版,非法拷贝; 媒体数据的销毁,包括媒体数据的物理销毁(粉
12、碎)和媒体数据的彻底销毁(消磁),防止他人恶意恢复。,27,三、系统运行安全,28,三、系统运行安全,I、定义:主要是指为保障系统功能的安全实施,提供一整套安全措施来保护信息处理过程的安全。 II、系统的运行安全的组成(四部分): 风险分析 审计跟踪 备份与恢复 应急措施。,电子商务系统安全的第二组成部分是运行安全。,29,三、系统运行安全,(一)风险分析:是指对EC系统进行人工或自动的风险分析。包括静态、动态分析。 静态分析:系统设计前和运行前的风险分析; 动态分析:系统运行过程中的测试、跟踪与分析;进行风险分析可以达到以下功能(目的):,30,三、系统运行安全,(一)风险分析:是指对EC系
13、统进行人工或自动的风险分析。包括静态、动态分析。 进行风险分析可以达到以下功能(目的): 系统设计前的风险分析。通过分析系统固有的脆弱性,旨在发现系统设计前潜在的安全隐患。 系统试运行前的风险风险分析。根据系统试运行期的运行状态和结果,分析系统的潜在安全隐患,旨在发现系统设计的安全漏洞。,31,三、系统运行安全,进行风险分析可以达到以下功能(续): 系统运行期间的风险分析:提供系统运行记录,跟踪系统状态的变化,分析系统运行期的安全隐患,旨在发现系统运行期的安全漏洞,并及时通告安全管理员。 系统运行后的风险分析:分析系统运行记录,旨在发现系统和安全隐患,为改进系统的安全性提供分析报告。,32,三
14、、系统运行安全,(二)审计跟踪:是指对EC系统进行人工或自动的审计跟踪,保存和维护审计日志。审计跟踪的的安全功能有三: 记录和跟踪各种系统状态的变化,如提供对系统故意入侵行为的记录和违反系统安全功能的记录。 实现对各种安全事故的定位,如监控和捕捉各种安全事件。 保存、维护和管理审计日志。,33,三、系统运行安全,(三)备份与恢复:主要是指对EC系统的系统设备和数据备份和恢复。对系统数据进行备份和恢复的安全功能有三: 提供场点内高速度、大容量、自动的数据 存储,进行备份和恢复。 提供场外的数据存储,进行备份和恢复,如通过专用安全记录存储设备对系统内数据进行备份。 提供对系统设备的备份。,34,三
15、、系统运行安全,(四)应急:系统运行中,如果发生意外事故时,要能够提供保障电子商务系统继续运行或紧急恢复所需要的策略。应急措施包括应急计划辅助软件和应急设施二方面: 1、应急计划辅助软件:当紧急意外发生时,有计算机软件能为计划的制定提供辅助。 紧急事件或安全事件发生时的影响分析; 应急计划的概要设计或详细制定; 应急计划的测试与完善。,35,三、系统运行安全,(四)应急:应急措施包括应急计划辅助软件和应急设施二方面: 2、应急设施:当紧急意外发生时,提供电子商务系统实施应急计划所需要的措施,包括实时应急实施、非实时应急实施等。应急实施能提供的功能有二: 提供应急实施,实现应急计划,保障EC系统
16、的安全运行;提供非实时应急设施,实现应急计划。,36,四、信息安全,信息安全是电子商务系统安全的第三个组成部分。,37,四、信息安全,I、信息安全定义:是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即信息安全要确保信息的完整性、保密性、可用性和可控制性。 II、信息安全强调的是: 信息的完整性 信息的保密性 信息的可用性 信息的可控性,38,四、信息安全,III、信息安全具体由七个组成部分:,39,四、信息安全,(一)、操作系统安全 1、含义:信息安全中的操作系统安全是指要对电子商务系统的硬件和软件资源实行有效的控制,为所管理的资源提供相应的安全保护。
17、2、安全组成:安全OS、OS安全部件(1)安全操作系统:是指从系统设计、实现和使用等各阶段都遵循了一套完整的安全策略的操作系统。这样的系统为所管理的资源提供了的相应的安全保护,从而有效地控制硬件和软件资源。 (2) OS安全部件:通过OS中的部件来增强OS的安全性,常用的措施是 构建安全模块,增强现有OS安全; 构建OS的安全外罩,增强现有操作系统的安全性。,40,四、信息安全,(二)、数据库安全 1、含义:信息安全中的数据库安全是指要对数据库系统所管理的数据和资源提供有效的安全保护,一般采用多种安全机制与操作系统相结合,来实现数据库系统的安全。 2、数据库安全的组成:安全DBS、DBS安全部
18、件(1)安全数据库系统:是指从系统设计、实现和使用等各阶段都遵循了一套完整的安全策略的数据库系统。这样的系统为所管理的资源提供了的相应的安全保护。(2) DBS安全部件:以现有的数据库系统所提供的功能为基础构作安全模块,以增强DBS的安全性,常用的措施是 构建安全模块,增强现有DBS的安全; 构建OS的安全外罩,增强现有数据库系统的安全。,41,四、信息安全,(三)、网络安全 1、含义:信息安全中的网络安全是指提供访问,网络资源或使用网络服务的安全保护。 2、网络安全管理:指对网络的使用提供安全管理hao123,包括四个方面的功能: 帮助协调网络的使用,预防安全事故的发生; 跟踪并记录网络的使用,监测系统
19、的变化。记录入侵与违纪事件; 实现对各种网络安全事故的定位,探测网络事故发生的确切位置。 提供某种程度的对紧急事件或安全事故和故障排除。,42,四、信息安全,(三)、网络安全 3、安全网络系统:指对网络资源的访问和网络服务的使用提供一套完整的安全保护,是从网络系统的设计、实现、使用和管理等各阶段都遵循了一套完整的安全策略的操作系统。 4、网络系统安全部件:对网络系统的某个过程、部分或服务提供安全保护,以增强网络系统的安全性。 对网络资源访问的某一过程提供保护。身份认证; 对网络资源的某一部分提供安全保护。防火墙; 对网络系统提供的某种服务提供安全保护。安全邮件;,43,四、信息安全,(四)、计
20、算机病毒防护 1、定义:计算机病毒是指编制或插入计算机程序中的破坏计算机功能或者毁坏、影响计算机使用,并能自我复制的一组计算机指令或程序代码。病毒防护就是通过建立系统保护网络系统的防护。 2、单机系统病毒防护:可以通过软件或硬件来实现;5方面 3、网络系统病毒防护:五方面。,44,四、信息安全,(五)、访问控制 I、访问控制的含义:指对主体访问客体的权限或能力以及进入物理区域的权限(出入控制)电子商务安全与管理.ppt,和对计算机存储数据过程(存取控制)的限制。信息安全中的访问控制,是要保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合组织安全策略。控制包括出控制和存取控制。 II、控制方式有:出
21、入控制和存取控制。(1)出入控制:阻止非授权用户进入机构或组织:物理通道、门。(2)存取控制:提供主体访问客体时的存取控制。,45,四、信息安全,(六)、加密 I、信息安全中的加密主要涉及数据的加密和密钥的管理。II、(1)加密设备: 对文字的加密 对语音的加密 对图像、图形的加密(2)密钥管理:密钥分发、更新、回收、归档、恢复、 审计,46,四、信息安全,(七)、鉴别 I、信息安全中的鉴别主要是提供身份鉴别和信息鉴别。 身份鉴别:提供对信息收发方(包括用户、设备、和进程)真实身份和鉴别。 信息鉴别:提供对信息的正确性、完整性和不可否认性的鉴别;,47,四、信息安全,(七)、鉴别 1、身份的鉴
22、别:提供对用户的真实身份的鉴别,用于阻止非授权用户对系统资源的访问。鉴别功能有: 利用生物特性。 利用用户物品 根据用户知识 2、完整性鉴别:是提供信息的完整性鉴别,使得用户、设备、进程可以证实接收到的信息的完整性,其主要功能是证实信息内容未被非法修改或遗漏。,48,四、信息安全,(七)、鉴别 3、不可否认性:使得信息的发送者不可否认对信息的发送和信息的接收者不可否认对信息的接收。 安全功能有: 能证实发送方所发的信息确实被接收方接收了,即接收的不可否认; 证实接收方收到的信息确实被是发送方发送的,发送方不可抵赖性;,49,谈到电子商务安全,首先想到的技术保障,但从技术角度建立的电子商务安全保障还许多问题。人们在思考,如何构建这个安全保障系统? 要从三方面来构建: 信息技术方面的保障措施; 信息安全管理制度的保障; 社会的法律政策与法律保障。,1.3 电子商务安全的保障,50,1、电子商务系统的实体安全是什么?,由哪几部分组成? 2、电子商务系统的安全风险有哪些? 3、电子商务的安全应当如何构建?,思考题:,51,谢谢光临,欢迎探讨!,,
【114黄页(http://info.114ren.com)本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】