《电子商务安全》教案.doc
《电子商务安全》教案工商管理学院(电子商务专业)任课教师:授课班级:课程学分:总学时数:32周学时数:上课周次:16教学进度计划计划课时教学手段教学环境第一章CAI课堂教学第二章CAI课堂教学第三章CAI课堂教学第四章CAI课堂教学第五章CAI课堂教学第六章CAI课堂教学第一章电子商务安全导论……………………………………第二章电子商务安全管理……………………………………第三章信息安全技术…………………………………………第四章数字证书………………………………………………第五章公钥基础设施PKI……………………………………第六章安全…………………………………………第一章电子商务安全第一节电子商务面临安全问题第二节电子商务系统安全构成学时教学方法讲授、启发式教学目的1.理解电子商务面临的安全问题2.掌握电子商务系统的安全需求电子商务系统的安全需求实施步骤:一、组织教学、熟悉学生情况(5ˊ)二、课程简介、前期知识储备要求(10ˊ)三、进入本次课讲授内容(包括课堂练习)(80ˊ)四、小结巩固(重申教学目的、重点、难点)(5ˊ)讲授内容:第一章电子商务安全导论第一节电子商务面临的安全问题一、安全问题的提出引入当前的最新案例二、电子商务的安全问题1.信息的安全问题主要来自以下几个方面:冒名偷窃:hacker为了获得一些商业机密资源和信息,通常采用源IP地址欺骗攻击。
篡改数据:攻击者未经授权进入EC系统,使用非法手段删除、修改、重发某些重要信息,破坏数据的完整性,损害他人利益。例:hacker在截获某些信息(如从银行转帐的信息)后,重复向银行服务器发出这条信息,这样将导致银行的经济遭受损失,实现自己的非法目的。信息丢失:三种情况下可能丢失信息,一是由于线路问题造成信息丢失,如电源断电、通信线路断开等;二是安全措施不录导致丢失数据信息,如信息在传递过程中未加密电子商务对信息安全的需求,被hacker改、删除了;三是不同的操作平台上转换操作从而丢失信息。教学提示:【课程介绍、课程地位、总体概论】【以日常上网遇到的安全问题及互联网上安全问题实例引入】信息传递出问题:信息在传递的过程中,可能由于线路质量较差,水灾、火灾等问题而出现问题,或者被hacker搭线窃听致使重要数据泄露。2.信用的安全问题来自买方的信用安全问题消费者使用信用卡恶意透支或提交订单后不付款、提供虚假订单。来自卖方的信用安全问题不能按质、按量、按时送寄消费者购买的货物,或者生成虚假的订单,将虚假的信息输入系统。双方都存在抵赖的情况当交易一方发现交易行为对自己不利时,否认电子交易行为。例:某人以12元/股购买1000股后,行情发生变化,每股降到10元,于是该股民就有可能否认以前的购买行为。
3.安全的管理问题交易过程中的管理、人员管理如:交易过程中,要监督买方按时付款、卖方按时提供符合合同要求的货物。在人员管理方面电子商务对信息安全的需求,主要是工作人员职业道德不高,或是离职人员在系统中没有及时清除。4.安全的法律保障问题主要涉及的法律有:CA中心的法律、保护个人隐私、个人秘密的法律、电子合同法、EC的消费者权益保护法、网络知识产权保护法用户hacker服务器请示信息截断请黑客以用户IP黑客以服务器IP响应IP欺骗:图1.1IP欺骗第二节电子商务系统安全的构成一、EC的安全需求1.有效性、真实性即对信息、实体的有效性、真实性进行鉴别。2.机密性即能保证信息不被泄露给非授权的人/实体。3.数据的完整性即既要保证数据的一致性,又要防止数据被非法授权建立、修改和破坏。4.可靠性、不可否认性和可控性可靠性:即能保证合法用户对信息和资源的使用不会被不正当地拒绝。可控性:即能控制使用资源的人/实体的使用方式。5.可审查性小结巩固电子商务安全问题的提出二、电子商务存在的安全问题三、电子商务的安全需求课堂练习重点概念:信息的安全、信用的安全、安全需求课后作业思考:举例说明什么是信息安全?参考资料教材1、2章等相关章节;“互联网”及期刊杂志的相关内容。
第一章电子商务安全第二节电子商务系统安全的构成学时教学方法讲授、启发式教学目的1.掌握电子商务系统安全的构成;2.掌握电子商务系统安全的实体安全和信息安全,了解运行安全。信息安全实施步骤:一、组织教学、课前提问(5ˊ)二、教学引导(5ˊ)三、进入本次课讲授内容(包括课堂练习)(85ˊ)四、小结巩固(重申教学目的、重点、难点)(5ˊ)讲授内容:第二节电子商务系统安全的构成二、EC系统的安全构成1.实体安全(即物理安全)即保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。实体安全是EC安全的最基本保障,是整个安全系统不可缺少或忽视的组成部分。A.实体安全主要内容环境安全:主要是对EC系统所在的环境实施安全保护。如区域保护和灾难保护。设备安全:对EC系统的设备进行安全保护,主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。媒体安全:包括媒体数据的安全和媒体本身的安全。媒体的安全:提供对媒体的安全保管。如防霉变。媒体数据的安全:指提供对媒体数据的保护,实施对媒体数据的安全删除和媒体的安全销毁。如防止媒体数据被非法拷贝。
B.实体安全常见的不安全因素自然灾害(比如地震、火灾、水灾等)、物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等)、设备故障(如停电断电、电教学提示:磁干扰等)。特点:突发性、自然性、非针对性破坏性:对EC信息的完整性和可用性威胁最大解决方法:采取各种防护措施、随时数据备份等。电磁辐射(监听微机操作过程)、乘机而入(如合法用户进入安全进程之后半途离开)、痕迹泄露(如口令密钥等保管不善,被非法用户获得)等。特点:隐蔽性、人为实施的故意性、信息的无意泄露性破坏性:破坏EC信息的保密性解决方法:采取辐射防护、屏幕口令、隐藏销毁等手段。操作失误(如偶然删除文件、格式化硬盘、线路拆毁等)、意外疏漏(如系统掉电、“死机”等)。特点:人为实施的无意性、非针对性破坏性:破坏EC信息的完整性和可用性解决方法:状态检测、报警确认、应急恢复等。实体安全运行安全信息安全环境安全设备安全媒体安全风险分析审计跟踪备份与恢复应急操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别图1.2EC系统安全结构图C.防止信息在空间上扩散的措施采取主动式的干扰设备,用干扰机来破坏对应信息的窃取。2.运行安全即为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。
主要由四个部分组成:风险分析、审计跟踪、备份与恢复、应急措施。风险分析对系统进行动态的分析、测试、跟踪并记录系统的运行,以发现系统运行期的安全漏洞;对系统进行静态分析,以发现系统潜在的威胁,并对系统的脆弱性做出分析报告。 审计跟踪即记录和跟踪系统各种状态的变化,保存、维护和管理审计日志。 如记录对系统故意入侵的行为。 备份与恢复对系统设备和系统数据的备份和恢复。 应急措施在紧急事件或安全事故发生时,提供保障EC 系统继续运行或紧 急恢复所需要的策略。 3.信息安全 即指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信 息被非法的系统辨识、控制,也就是要确保信息的完整性、保密性、 可用性和可控性。 主要由七部分组成: OS 安全、DB安全、网络安全、病毒防护安全、访问控制安全、 加密、鉴别 操作系统(OS)安全即对EC 系统的硬件和软件资源衽有效的控制,为能管理的资源 提供相应的安全保护。 包括2 个部分:安全的OS,OS 安全部件 安全OS:指从系统设计,实现和使用等各个阶段都遵循的 一套完整的安全策略的OS。 根据 “可信任计算机系统评估准则(TCSEC)”的要求,将计算 机系统的安全性分为4 个等级ABCD、8 个级别。
个安全等级,如Linux 居于C1 级;UNIX;Windows NT 居于C2 C1特点:用户拥有注册账号和口令,系统通过账号和口令来识 别用户是否合法,并决定用户对程序和作息拥有什么样的访问权。 如:让文件拥有者有读、写和执行的权力,给同组用户读和执行 的权力,而给其它用户以读的权力。 C2 特点:系统对发生的事件加以审计114信息网MIP移动站,并写入日志当中; 如:用户在什么时候开机,哪个用户在什么时候从哪里登录等等,这样通过查看日志《电子商务安全》教案.doc,就可以发现入侵的痕迹,如多次登录失败,也可 以推测出可能有人想强行闯入系统,审计可以记录下 执行的活动,审计加上身份验证,就可以知道谁在执行这些命令。 级:强制式保护,安全级别较高。如Unix、- Linux 安全性达到 B1 A级:可验证保护,最高级别。安全性高低级别:(由低到高的顺序) 其它的安全评价标准: 操作系统安全部件,增强现有OS的安全性 数据库安全DB安全的涵义(包括两层) 第一层:指系统运行安全 第二层:系统作息安全 网络安全指网络系统的硬件、软件及其系统中的data 受到保护,不受偶然 的/恶意的原因而遭到破坏,更改泄漏,确保系统能够连续、可靠正 常地运行,网络服务不中断 如:通过身份认证来登录过程进行保护,以防止hacker 对网络 资源的访问; 利用 来保护企业的内部网络 计算机病毒防护定义: (国外):是一段附着在其它程序上的可以实现自我繁殖的程序 代码。 (国内):指编制/插入计算机程序中的破坏计算机功能/毁坏数据
【114黄页(http://info.114ren.com)本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】