電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟(jì)（第三版）第04章電子商務(wù)安全

第4章電子商務(wù)安全4.1電子商務(wù)安全的范疇硬件系統(tǒng)的安全軟件系統(tǒng)的安全網(wǎng)絡(luò)安全數(shù)據(jù)與交易安全組織管理模式相關(guān)的法律法規(guī)4.2硬件系統(tǒng)的安全4.2.1硬件系統(tǒng)自身漏洞4.2.2系統(tǒng)運(yùn)行環(huán)境的安全4.2.3物理訪問風(fēng)險(xiǎn)與控制4.2.1硬件系統(tǒng)自身漏洞漏洞類型解決方法：做好硬件采購時(shí)的分析工作特別注意4.2.2系統(tǒng)運(yùn)行環(huán)境的安全系統(tǒng)運(yùn)行中的安全隱患保證運(yùn)行環(huán)境的安全措施1）系統(tǒng)運(yùn)行中的安全隱患電源問題：電導(dǎo)致系統(tǒng)崩潰；電涌導(dǎo)數(shù)據(jù)紊亂水患與火災(zāi)磁場其他環(huán)境威脅2）保證運(yùn)行環(huán)境的安全措施采用不間斷電源系統(tǒng)（UPS）采用空氣濕度和溫度控制系統(tǒng)采用水災(zāi)和水災(zāi)實(shí)時(shí)檢測系統(tǒng)避免采用濕管滅火設(shè)備和對(duì)人體有害的滅火設(shè)備加強(qiáng)機(jī)房管理制度，嚴(yán)禁在機(jī)房飲食在核心機(jī)房設(shè)立隔離門、室外電源開關(guān)等應(yīng)急設(shè)備對(duì)重要數(shù)據(jù)和設(shè)備進(jìn)行異地備份，并制定災(zāi)難恢復(fù)計(jì)劃加強(qiáng)員工安全教育，定期開展災(zāi)難演習(xí)4.2.3物理訪問風(fēng)險(xiǎn)與控制最常見的物理訪問風(fēng)險(xiǎn)物理訪問控制措施1）最常見的物理訪問風(fēng)險(xiǎn)中斷系統(tǒng)的運(yùn)行直接破壞系統(tǒng)設(shè)備偷竊系統(tǒng)設(shè)備在系統(tǒng)中留下“后門”2）物理訪問控制措施門崗制度隱蔽制度身份標(biāo)識(shí)制度崗位控制制度采用生物識(shí)別設(shè)備等物流訪問控制設(shè)備4.3軟件系統(tǒng)的安全4.3.1病毒及防范措施4.3.2軟件漏洞與后門4.3.3Web應(yīng)用程序的安全問題4.3.1病毒及防范措施計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的防范措施1）計(jì)算機(jī)病毒的特點(diǎn)傳染性與傳播性破壞性欺騙性、隱蔽性和潛伏性可觸發(fā)性2）計(jì)算機(jī)病毒的類型文件型病毒引導(dǎo)性病毒宏病毒網(wǎng)絡(luò)蠕蟲病毒3）計(jì)算機(jī)病毒的防范措施定期進(jìn)行數(shù)據(jù)備份合理使用殺毒軟件采用網(wǎng)絡(luò)病毒防治工具法律法規(guī)4.3.2軟件漏洞與后門軟件漏洞“后門”1）軟件漏洞輸入驗(yàn)證訪問驗(yàn)證錯(cuò)誤競爭條件錯(cuò)誤意外情況處置錯(cuò)誤緩沖區(qū)溢出問題遺留調(diào)試代碼配置錯(cuò)誤2）“后門”“邏輯炸彈”4.3.3Web應(yīng)用程序的安全問題必要性4.4網(wǎng)絡(luò)系統(tǒng)的安全

4.4.1黑客與口令破解4.4.2特洛伊木馬4.4.3網(wǎng)絡(luò)監(jiān)聽4.4.4拒絕服務(wù)攻擊4.4.5防火墻技術(shù)4.4.1黑客與口令破解含義類型：飛客、黑客、駭客手段措施：精心設(shè)計(jì)口令；做好口令管理；采用先進(jìn)的口令技術(shù)4.4.2特洛伊木馬含義手段攻擊程序：植入、加載、打開端口、掃描、連接、攻擊4.4.3網(wǎng)絡(luò)監(jiān)聽含義環(huán)境措施4.4.4拒絕服務(wù)攻擊含義防范4.4.5防火墻技術(shù)含義分類企業(yè)得到的好處局限性1）含義隔離技術(shù)2）分類包過濾（報(bào)文過濾）應(yīng)用級(jí)代理狀態(tài)分析技術(shù)3）企業(yè)得到的好處對(duì)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)方便監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)實(shí)現(xiàn)重點(diǎn)網(wǎng)段的分離，限制安全問題的擴(kuò)散審計(jì)和記錄網(wǎng)絡(luò)的訪問和使用情況4.5數(shù)據(jù)與交易安全4.5.1數(shù)據(jù)保護(hù)制度4.5.2密碼學(xué)與對(duì)稱加密技術(shù)4.5.3交易安全與不對(duì)稱加密技術(shù)4.5.4PKI與CA認(rèn)證體制4.5.1數(shù)據(jù)保護(hù)制度做好物理訪問控制做好邏輯訪問控制做好數(shù)據(jù)備份和災(zāi)難恢復(fù)計(jì)劃4.5.2密碼學(xué)與對(duì)稱加密技術(shù)加密過程密碼學(xué)的基本概念加密技術(shù)的分類：對(duì)稱加密；不對(duì)稱加密最常用的對(duì)稱加密技術(shù)：DES算法4.5.3交易安全與不對(duì)稱加密技術(shù)交易安全的原則報(bào)文摘要不對(duì)稱加密1）交易安全的原則有效性、真實(shí)性信息的保密性數(shù)據(jù)的完整性交易的不可否認(rèn)性交易者身份的確定性（非偽裝性）2）報(bào)文摘要過程特點(diǎn)：適用性特點(diǎn)安全性特點(diǎn)：唯一對(duì)應(yīng)性；不可逆性3）不對(duì)稱加密特點(diǎn)舉例分類：數(shù)字簽名、數(shù)字信封優(yōu)點(diǎn)4.5.4PKI與CA認(rèn)證體制PKI的內(nèi)涵CA認(rèn)證中心的功能：證書的頒發(fā)；證書的更新；證書的查詢；證書的作廢；證書的歸檔4.6與安全有關(guān)的組織管理問題4.6.1合理的崗位設(shè)置4.6.2人力資源管理4.6.1合理的崗位設(shè)置原因崗位劃分1）原因電子商務(wù)系統(tǒng)的高度自動(dòng)化減少了所需人員和崗位的數(shù)量電子商務(wù)系統(tǒng)中舞弊行為造成的損失更大2）崗位劃分核心原則根據(jù)企業(yè)具體情況設(shè)置合理分工和牽制4.6.2