版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
網(wǎng)絡(luò)安全與電子商務(wù)1電商安全涉及的領(lǐng)域綜合、交叉的學(xué)科:密碼學(xué)理論、計(jì)算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)技術(shù)、安全協(xié)議、通信技術(shù)、電子技術(shù)。安全體系結(jié)構(gòu)安全的策略與管理,安全風(fēng)險(xiǎn)分析與計(jì)算機(jī)安全有關(guān)的法律問題2課程內(nèi)容電子商務(wù)安全概述物理安全網(wǎng)絡(luò)平臺(tái)安全加密技術(shù)數(shù)字簽名認(rèn)證訪問控制3課程內(nèi)容Web安全技術(shù)協(xié)議安全防火墻技術(shù)威脅與攻擊病毒防治入侵檢測(cè)安全管理與安全策略4網(wǎng)絡(luò)安全與電子商務(wù)第一講
電子商務(wù)安全概述5電子商務(wù)安全概述計(jì)算機(jī)系統(tǒng)安全的現(xiàn)狀計(jì)算機(jī)系統(tǒng)安全的概念安全威脅信息系統(tǒng)安全技術(shù)計(jì)算機(jī)系統(tǒng)安全應(yīng)解決的問題安全的體系結(jié)構(gòu)61、背景
信息技術(shù):成為信息時(shí)代的核心技術(shù)和中堅(jiān)力量,它影響和決定著現(xiàn)代技術(shù)的走向,信息技術(shù)正是各科技術(shù)的領(lǐng)頭羊。
信息產(chǎn)業(yè):電子商務(wù)、電子政務(wù)、電子稅務(wù)、電子海關(guān)、網(wǎng)上銀行、電子證券、網(wǎng)絡(luò)書店、網(wǎng)上拍賣、網(wǎng)絡(luò)防偽、網(wǎng)上選舉等等,網(wǎng)絡(luò)信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。
網(wǎng)上資源越來越豐富一、電子商務(wù)安全的現(xiàn)狀
71、背景
網(wǎng)絡(luò)的復(fù)雜性
1. 局域網(wǎng)聯(lián)入廣域企業(yè)網(wǎng)中。2. 向商業(yè)伙伴(客戶、供應(yīng)商)開放自己的網(wǎng)絡(luò)。3. 外部網(wǎng)接入Internet。內(nèi)部網(wǎng)絡(luò)資源提供給日益增多的機(jī)構(gòu)內(nèi)部、外部人員。隨著接觸網(wǎng)絡(luò)的人增加,保護(hù)網(wǎng)絡(luò)資源免受侵犯成為最為關(guān)注的問題。網(wǎng)絡(luò)越來越龐大
一、電子商務(wù)安全的現(xiàn)狀
81、背景
Internet的四個(gè)特點(diǎn):國(guó)際化、社會(huì)化、開放化、個(gè)人化。國(guó)際化:網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶,它可以來自Internet上的任何一個(gè)機(jī)器。社會(huì)化:全球信息化飛速發(fā)展,信息化系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施,諸如電信、電子商務(wù)、金融網(wǎng)絡(luò)等,社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴日益增強(qiáng)。開放化:網(wǎng)絡(luò)的技術(shù)是全開放的,任何一個(gè)人、團(tuán)體都可能獲得。開放性和資源共享是網(wǎng)絡(luò)安全的根源。個(gè)人化:隨著網(wǎng)絡(luò)應(yīng)用的深入,人類的生活越來越離不開網(wǎng)絡(luò),人們可以自由地訪問網(wǎng)絡(luò),自由地使用和發(fā)布各種類型的信息,但同時(shí)也面臨著來自網(wǎng)絡(luò)的安全威脅
一、電子商務(wù)安全的現(xiàn)狀
92、安全問題
1986年Basit和Amjad兩兄弟編寫的Pakistan病毒(brain)。1988年美國(guó)康乃爾大學(xué)Morris編制的蠕蟲病毒通過英特網(wǎng)傳播1996年8月17日,美國(guó)司法部網(wǎng)頁被改為“不公正部”,希特勒1996年9月18日,“中央情報(bào)局”“中央愚蠢局”1996年12月,黑客侵入美國(guó)空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動(dòng),迫使美國(guó)國(guó)防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址。1998年10月27日,剛剛開通的“中國(guó)人權(quán)研究會(huì)”網(wǎng)頁,被“黑客”嚴(yán)重纂改。2000年春節(jié)期間黑客攻擊以Yahoo和新浪等為代表的國(guó)內(nèi)外著名網(wǎng)站,造成重大經(jīng)濟(jì)損失。E-mail侵權(quán)案件、泄密事件不斷一、電子商務(wù)安全的現(xiàn)狀
102、安安全問問題一、電電子商商務(wù)安安全的的現(xiàn)狀狀2001年南海海撞機(jī)機(jī)事件件引發(fā)發(fā)中美美黑客客大戰(zhàn)戰(zhàn)。112、安安全問問題一、電電子商商務(wù)安安全的的現(xiàn)狀狀入侵者者是誰誰?網(wǎng)網(wǎng)絡(luò)恐恐怖分分子((黑客客)、、信息息戰(zhàn)部部隊(duì)現(xiàn)在““黑客客”一一詞在在信息息安全全范疇疇內(nèi)的的普遍遍含意意是特特指對(duì)對(duì)電腦腦系統(tǒng)統(tǒng)的非非法侵侵入者者。黑客(hacker):對(duì)技技術(shù)的的局限限性有有充分分認(rèn)識(shí)識(shí),具具有操操作系系統(tǒng)和和編程程語言言方面面的高高級(jí)知知識(shí),,熱衷衷編程程,查查找漏漏洞,,表現(xiàn)現(xiàn)自我我。他他們不不斷追追求更更深的的知識(shí)識(shí),并并公開開他們們的發(fā)發(fā)現(xiàn),,與其其他人人分享享;主主觀上上沒有有破壞壞數(shù)據(jù)據(jù)的企企圖。。駭客((cracker):以以破壞壞系統(tǒng)統(tǒng)為目目標(biāo)。?!凹t客客”honker::中國(guó)的的一些些黑客客自稱稱“紅紅客””honker。。美國(guó)警警方::把所所有涉涉及到到"利利用"、"借助助"、、"通通過"或"阻撓撓"計(jì)計(jì)算機(jī)機(jī)的犯犯罪行行為都都定為為hacking。122、安安全問問題1、計(jì)算算機(jī)犯犯罪的的種類類雙重說說:工工具對(duì)對(duì)象計(jì)算機(jī)機(jī)犯罪罪是一一種新新的犯犯罪形形態(tài)。。歸納納為四四種::破壞計(jì)計(jì)算機(jī)機(jī):是指指以計(jì)計(jì)算機(jī)機(jī)作為為犯罪罪行為為客體體,加加以暴暴力或或技術(shù)術(shù)性的的破壞壞。擅用信信息系系統(tǒng):是指指無權(quán)權(quán)使用用信息息系統(tǒng)統(tǒng)的人人擅自自使用用。濫用信信息系系統(tǒng):是指指以計(jì)計(jì)算機(jī)機(jī)為工工具,,進(jìn)行行欺詐詐、侵侵占、、散布布非法法信息息等各各種犯犯罪目目的之之行為為。破壞安全全系統(tǒng):是指以以技術(shù)性性的方法法破壞信信息系統(tǒng)統(tǒng)在安全全方面所所采取的的措施。。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀132、安全全問題2、計(jì)算機(jī)機(jī)犯罪的的特點(diǎn)計(jì)算機(jī)犯犯罪集中中在機(jī)密密信息系系統(tǒng)和金金融系統(tǒng)統(tǒng)兩方面面。計(jì)算機(jī)犯犯罪與傳傳統(tǒng)的犯犯罪相比比有許多多不同的的特點(diǎn)::危害性:犯罪后后果嚴(yán)重重。成本本低,傳傳播快,,范圍廣廣。知識(shí)性:智慧型型白領(lǐng)犯犯罪,年年輕、專專業(yè)化。。隱蔽性:偵破與與取證困困難。廣域性:作案場(chǎng)場(chǎng)所不受受地理區(qū)區(qū)域的限限制。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀143、安全全隱患a)硬件的安全隱隱患;b)操作系統(tǒng)統(tǒng)安全隱隱患;c)網(wǎng)絡(luò)協(xié)議議的安全全隱患;;d)數(shù)據(jù)庫(kù)系系統(tǒng)安全全隱患;;e)計(jì)算機(jī)病病毒;f)管理疏漏漏,內(nèi)部作案案。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀153、安全全隱患硬件設(shè)備備的安全隱隱患CPU:Intel公司在奔奔騰IIICPU中加入處處理器序序列號(hào),,因此Intel涉嫌干涉涉?zhèn)€人隱隱私,但但要害問問題則是是政府機(jī)機(jī)關(guān)、重重要部門門非常關(guān)關(guān)心由這這種CPU制造的計(jì)計(jì)算機(jī)在在處理信信息或數(shù)數(shù)據(jù)時(shí)所所帶來的的信息安安全問題題,即這這種CPU內(nèi)含有一一個(gè)全球球唯一的的序列號(hào)號(hào),計(jì)算算機(jī)所產(chǎn)產(chǎn)生的文文件和數(shù)數(shù)據(jù)都會(huì)會(huì)附著此此序列號(hào)號(hào),因而而由此序序列號(hào)可可以追查查到產(chǎn)生生文件和和數(shù)據(jù)的的任何機(jī)機(jī)器。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀163、安全全隱患網(wǎng)絡(luò)設(shè)備備:我國(guó)計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)使用的的絕大部部分網(wǎng)絡(luò)絡(luò)設(shè)備,,如路由由器、集集線器、、交換機(jī)機(jī)、服務(wù)務(wù)器、以以及網(wǎng)絡(luò)絡(luò)軟件等等都是進(jìn)進(jìn)口的,,其安全全隱患不不容忽視視。一些些交換機(jī)機(jī)和路由由器具有有遠(yuǎn)程診斷斷和服務(wù)功功能,既既然可以以遠(yuǎn)程進(jìn)進(jìn)入系統(tǒng)統(tǒng)服務(wù)、、維修故故障,也也就可以以遠(yuǎn)程進(jìn)進(jìn)入系統(tǒng)統(tǒng)了解情情報(bào)、越越權(quán)控制制。更有有甚者,,國(guó)外一一著名網(wǎng)網(wǎng)絡(luò)公司司以"跟跟蹤服務(wù)務(wù)"為由由,在路路由器中中設(shè)下"機(jī)關(guān)"、可以以將網(wǎng)絡(luò)絡(luò)中用戶戶的包信信息同時(shí)時(shí)送一份份到其公公司總部部。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀173、安全全隱患b)操作系統(tǒng)統(tǒng)安全隱隱患計(jì)算機(jī)操操作系統(tǒng)統(tǒng)歷來被被美國(guó)一一些大公公司所壟壟斷,但但這些操操作系統(tǒng)統(tǒng)的源程程序都是是不公開開的,在在安全機(jī)機(jī)制方面面存在著著諸多漏漏洞和隱隱患。計(jì)計(jì)算機(jī)黑黑客能輕輕而易舉舉地從"后門"進(jìn)入系系統(tǒng),取取得系統(tǒng)統(tǒng)控制權(quán)權(quán),并危危及計(jì)算算機(jī)處理理或存儲(chǔ)儲(chǔ)的重要要數(shù)據(jù)。。如Windows95存在兩千千多處缺缺陷。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀183、安全全隱患b)操作系統(tǒng)統(tǒng)安全隱隱患——OS的體系結(jié)結(jié)構(gòu)造成成其本身身不安全全1、I/O、系統(tǒng)服務(wù)務(wù)程序等等都可用用打補(bǔ)丁丁方式進(jìn)進(jìn)行動(dòng)態(tài)態(tài)連接。。廠商用用這種方方式升級(jí)級(jí),而攻攻擊者也也用此方方法。2、為了了實(shí)現(xiàn)通通用性、可裁剪性,能夠安安裝其他他公司的的軟件包包,這些些軟件包包往往是是操作系系統(tǒng)的一一部分,,需要與與操作系系統(tǒng)同樣樣的訪問問特權(quán),,安裝這這些軟件件包的““抓鉤””程序就就是非法法攻擊者者入侵操操作系統(tǒng)統(tǒng)的陷門門。3、網(wǎng)絡(luò)絡(luò)上進(jìn)行行文件傳傳輸、加加載將帶帶來安全全隱患。。另外,,能進(jìn)行行遠(yuǎn)程進(jìn)進(jìn)程的創(chuàng)創(chuàng)建與激激活,這這為安裝裝“間諜諜”軟件件提供了了條件。。4、操作作系統(tǒng)存存在隱蔽蔽信道::進(jìn)程間間通過不不受強(qiáng)制制訪問控控制保護(hù)護(hù)的通信信途徑。。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀193、安全全隱患c)網(wǎng)絡(luò)協(xié)議議的安全全隱患網(wǎng)絡(luò)協(xié)議議也都由由美國(guó)等等國(guó)家開開發(fā)或制制定標(biāo)準(zhǔn)準(zhǔn)。其安全機(jī)制制也存在在先天不不足,協(xié)議還具具有許多多安全漏漏洞,為為攻擊者者提供了了方便,,如地址址欺騙等等。Internet應(yīng)用協(xié)議議中缺乏乏認(rèn)證、、保密等等措施,,也使攻攻擊者比比較容易易得手。。TCP/IP協(xié)議安全全漏洞:包監(jiān)視、泄露、、地址欺欺騙、序序列號(hào)攻攻擊、路路由攻擊擊、拒絕絕服務(wù)、、鑒別攻攻擊。應(yīng)用層安安全隱患患:Finger、、FTP、Telnet、E-mail、、SNMP、RPC、、NFS一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀203、安全全隱患d)數(shù)據(jù)庫(kù)系系統(tǒng)安全全隱患由于數(shù)據(jù)據(jù)庫(kù)平臺(tái)臺(tái)全系引引進(jìn),盡盡管廠商商聲稱具具有安全全機(jī)制,,但對(duì)國(guó)國(guó)內(nèi)用戶戶猶如一一個(gè)"黑黑匣子"。數(shù)據(jù)庫(kù)的的攻擊分分直接攻攻擊和間間接攻擊擊兩大類類。直接接攻擊是是通過查查詢以得得到幾個(gè)個(gè)記錄來來直接搜搜索并確確定敏感感字段的的值,最最成功的的技術(shù)是是形成一一種特定定的查詢?cè)兯∨c與一個(gè)數(shù)數(shù)據(jù)項(xiàng)相相匹配。。間接攻攻擊是依依據(jù)一種種或多種種統(tǒng)計(jì)值值推斷出出結(jié)果。。統(tǒng)計(jì)攻攻擊通過過使用某某些明顯顯隱匿的的統(tǒng)計(jì)量量來推導(dǎo)導(dǎo)出數(shù)據(jù)據(jù),例如如使用求求和等統(tǒng)統(tǒng)計(jì)數(shù)據(jù)據(jù)來得到到某些數(shù)數(shù)據(jù)。一、電子子商務(wù)安安全的現(xiàn)現(xiàn)狀213、安全全隱患e)計(jì)算機(jī)病病毒威脅脅計(jì)算機(jī)病病毒是一一種能夠夠進(jìn)行自自我復(fù)制制的程序序,可以以通過多多種方式式植入計(jì)計(jì)算機(jī)中中,通過過Internet網(wǎng)植入病病毒更容容易。病病毒運(yùn)行行后可能能損壞文文件、使使系統(tǒng)癱癱瘓,造造成各種種難以預(yù)預(yù)料的后后果。由由于在網(wǎng)網(wǎng)絡(luò)環(huán)境境下,計(jì)計(jì)算機(jī)病病毒具有有不可估估量的威威脅性和和破壞力力,因此此計(jì)算機(jī)機(jī)病毒的的防范是是網(wǎng)絡(luò)安安全性建建設(shè)中重重要的一一環(huán)。新新的病毒毒不僅刪刪除文件件、使數(shù)數(shù)據(jù)丟失失,甚至至破壞系系統(tǒng)硬件件,可以以造成巨巨大損失失。1998年年美國(guó)"莫里斯斯"病毒毒發(fā)作,,一天之之內(nèi)使6000多臺(tái)計(jì)計(jì)算機(jī)感感染,損損失達(dá)9000萬美元元。一、電子商務(wù)務(wù)安全的現(xiàn)狀狀223、安全隱患患f)管理疏漏,內(nèi)部作案。據(jù)權(quán)威資料片片《筑起網(wǎng)上上長(zhǎng)城》介紹紹,互聯(lián)網(wǎng)上上的計(jì)算機(jī)犯犯罪、黑客攻攻擊等非法行行為70%來來自于內(nèi)部網(wǎng)網(wǎng)絡(luò)。金融、、證券、郵電電、科研院所所、設(shè)計(jì)院、、政府機(jī)關(guān)等等單位幾乎是是天生的受攻攻擊者,內(nèi)部部人員對(duì)本單單位局域網(wǎng)的的熟悉又加劇劇了其作案和和被外部人勾勾結(jié)引誘的可可能性。一、電子商務(wù)務(wù)安全的現(xiàn)狀狀234、我國(guó)電商商安全現(xiàn)狀一、電子商務(wù)務(wù)安全的現(xiàn)狀狀統(tǒng)計(jì)數(shù)據(jù)2000/072001/12001/07上網(wǎng)計(jì)算機(jī)數(shù)(萬臺(tái))6508921002上網(wǎng)用戶人數(shù)(萬人)169022502650CN下注冊(cè)的域名總數(shù)(個(gè))99734122099128362WWW站點(diǎn)數(shù)(個(gè))27289265405242739我國(guó)國(guó)際線路的總?cè)萘浚∕)123427993257其中中國(guó)科技網(wǎng)(CSTNET)(M)105555中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)(CHINANET)M71119532387中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)M12117117中國(guó)金橋信息網(wǎng)(CHINAGBN)(M)69148151中國(guó)聯(lián)通互聯(lián)網(wǎng)(UNINET)(M)5555100中國(guó)網(wǎng)通(CNCNET)(M)377377355中國(guó)國(guó)際經(jīng)濟(jì)貿(mào)易互聯(lián)網(wǎng)(CIETNET)M
42中國(guó)移動(dòng)互聯(lián)網(wǎng)(CMNET)(M)
9090中國(guó)長(zhǎng)城互聯(lián)網(wǎng)(CGWNET)(建設(shè)中)
中國(guó)衛(wèi)星集團(tuán)互聯(lián)網(wǎng)(CSNET)(建設(shè)中)
244、我國(guó)電商商安全現(xiàn)狀一、電子商務(wù)務(wù)安全的現(xiàn)狀狀用戶認(rèn)為目前前網(wǎng)上交易存存在的最大問問題是:安全性得不到到保障:33.4%付款不方便::11.5%產(chǎn)品質(zhì)量、售售后服務(wù)及廠廠商信用得不不到保障:33.0%送貨耗時(shí)、渠渠道不暢:8.7%價(jià)格不夠誘人人:6.6%網(wǎng)上提供的信信息不可靠::6.0%其它:0.8%254、我國(guó)電商商安全現(xiàn)狀一、電子商務(wù)務(wù)安全的現(xiàn)狀狀在一年內(nèi)用戶戶計(jì)算機(jī)被入入侵的情況::被入侵過:47.1%沒有被入侵過過:43.0%不知道:9.9%對(duì)于電子郵件件帳號(hào),用戶戶多久換一次次密碼:1個(gè)月:8.8%3個(gè)月--半半年:21.4%半年--1年年:19.7%一直不換::50.1%264、我國(guó)電商商安全現(xiàn)狀一、電子商務(wù)務(wù)安全的現(xiàn)狀狀在網(wǎng)上用戶主主要采取什么么安全措施::密碼加密::36.9%防病毒軟件::74.5%防火墻:67.6%電子簽名::7.3%不清楚,由系系統(tǒng)管理員負(fù)負(fù)責(zé):7.4%什么措施都不不采用:3.6%274、我國(guó)電商商安全現(xiàn)狀2000年5月出版的《國(guó)國(guó)家信息安全全報(bào)告》指出出,我國(guó)目前前的信息安全全度介于相對(duì)對(duì)安全與輕度度不安全之間間。如按安全全度滿分為9分的話,我們們的分值約在在5.5分。1.信息與網(wǎng)絡(luò)安安全的防護(hù)能能力較弱。對(duì)我國(guó)金融系系統(tǒng)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)現(xiàn)狀,專專家們有一形形象的比喻::用不加鎖的的儲(chǔ)柜存放資資金(網(wǎng)絡(luò)缺缺乏安全防護(hù)護(hù));讓“公公共汽車”運(yùn)運(yùn)送鈔票(網(wǎng)網(wǎng)絡(luò)缺乏安全全保障);使使用“郵寄””傳送資金((轉(zhuǎn)賬支付缺缺乏安全渠道道);用“商商店柜臺(tái)”存存取資金(授授權(quán)缺乏安全全措施);拿拿“平信”郵郵寄機(jī)密信息息(敏感信息息缺乏保密措措施)等。一、電子商務(wù)務(wù)安全的現(xiàn)狀狀284、我國(guó)電商商安全現(xiàn)狀2.對(duì)引進(jìn)的信息息技術(shù)和設(shè)備備缺乏保護(hù)信信息安全所必必不可少的有有效管理和技技術(shù)改造。我國(guó)從發(fā)達(dá)國(guó)國(guó)家和跨國(guó)公公司引進(jìn)和購(gòu)購(gòu)買了大量的的信息技術(shù)和和設(shè)備。在這這些關(guān)鍵設(shè)備備如電腦硬件件、軟件中,,有一部分可可能隱藏著““特洛伊木馬馬”,對(duì)我國(guó)國(guó)政治、經(jīng)濟(jì)濟(jì)、軍事等的的安全存在著著巨大的潛在在威脅。但由由于受技術(shù)水水平等的限制制,許多單位位和部門對(duì)從從國(guó)外,特別別是美國(guó)等引引進(jìn)的關(guān)鍵信信息設(shè)備可能能預(yù)做手腳的的情況卻無從從檢測(cè)和排除除,以致我們們?cè)S多單位和和部門幾乎是是在“抱著定定時(shí)炸彈”工工作。一、、電電子子商商務(wù)務(wù)安安全全的的現(xiàn)現(xiàn)狀狀294、、我我國(guó)國(guó)電電商商安安全全現(xiàn)現(xiàn)狀狀3.基礎(chǔ)礎(chǔ)信信息息產(chǎn)產(chǎn)業(yè)業(yè)薄薄弱弱,,核核心心技技術(shù)術(shù)嚴(yán)嚴(yán)重重依依賴賴國(guó)國(guó)外外。。硬件件::電電腦腦制制造造業(yè)業(yè)有有很很大大的的進(jìn)進(jìn)步步,,但但其其中中許許多多核核心心部部件件都都是是原原始始設(shè)設(shè)備備制制造造商商的的,,我我們們對(duì)對(duì)其其的的研研發(fā)發(fā)、、生生產(chǎn)產(chǎn)能能力力很很弱弱,,關(guān)關(guān)鍵鍵部部位位完完全全處處于于受受制制于于人人的的地地位位。。軟件件::面面臨臨市市場(chǎng)場(chǎng)壟壟斷斷和和價(jià)價(jià)格格歧歧視視的的威威脅脅。。美美國(guó)國(guó)微微軟軟幾幾乎乎壟壟斷斷了了我我國(guó)國(guó)電電腦腦軟軟件件的的基基礎(chǔ)礎(chǔ)和和核核心心市市場(chǎng)場(chǎng)。。離離開開了了微微軟軟的的操操作作系系統(tǒng)統(tǒng),,國(guó)國(guó)產(chǎn)產(chǎn)的的大大多多軟軟件件都都失失去去了了操操作作平平臺(tái)臺(tái)。。缺乏乏自自主主知知識(shí)識(shí)產(chǎn)產(chǎn)權(quán)權(quán)產(chǎn)產(chǎn)品品一、、電電子子商商務(wù)務(wù)安安全全的的現(xiàn)現(xiàn)狀狀304、、我我國(guó)國(guó)電電商商安安全全現(xiàn)現(xiàn)狀狀4.信息息安安全全管管理理機(jī)機(jī)構(gòu)構(gòu)缺缺乏乏權(quán)權(quán)威威。。信息息安安全全特特別別是是在在經(jīng)經(jīng)濟(jì)濟(jì)等等領(lǐng)領(lǐng)域域的的安安全全管管理理?xiàng)l條塊塊分分割割、、相相互互隔隔離離,,缺缺乏乏溝溝通通和和協(xié)協(xié)調(diào)調(diào)。。沒沒有有國(guó)國(guó)家家級(jí)級(jí)的的信信息息安安全全最最高高權(quán)權(quán)威威機(jī)機(jī)構(gòu)構(gòu)以以及及與與國(guó)國(guó)家家信信息息化化進(jìn)進(jìn)程程相相一一致致的的信信息息安安全全工工程程規(guī)規(guī)劃劃。。目前前國(guó)國(guó)家家信信息息安安全全的的總總體體框框架架已已經(jīng)經(jīng)搭搭就就。。已已制制定定報(bào)報(bào)批批和和發(fā)發(fā)布布了了有有關(guān)關(guān)信信息息技技術(shù)術(shù)安安全全的的一一系系列列的的國(guó)國(guó)家家標(biāo)標(biāo)準(zhǔn)準(zhǔn)、、國(guó)國(guó)家家軍軍用用標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。國(guó)國(guó)家家信信息息安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施正正在在逐逐步步建建成成包包括括國(guó)國(guó)際際出出入入口口監(jiān)監(jiān)控控中中心心、、安安全全產(chǎn)產(chǎn)品品評(píng)評(píng)測(cè)測(cè)認(rèn)認(rèn)證證中中心心、、病病毒毒檢檢測(cè)測(cè)和和防防治治中中心心、、關(guān)關(guān)鍵鍵網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)災(zāi)災(zāi)難難恢恢復(fù)復(fù)中中心心、、系系統(tǒng)統(tǒng)攻攻擊擊和和反反攻攻擊擊中中心心、、電電子子保保密密標(biāo)標(biāo)簽簽監(jiān)監(jiān)管管中中心心、、網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全緊緊急急處處置置中中心心、、電電子子交交易易證證書書授授權(quán)權(quán)中中心心、、密密鑰鑰恢恢復(fù)復(fù)監(jiān)監(jiān)管管中中心心、、公公鑰鑰基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施與與監(jiān)監(jiān)管管中中心心、、信信息息戰(zhàn)戰(zhàn)防防御御研研究究中中心心等等。。一、電電子商商務(wù)安安全的的現(xiàn)狀狀314、我我國(guó)電電商安安全現(xiàn)現(xiàn)狀5.信息犯犯罪在在我國(guó)國(guó)有快快速發(fā)發(fā)展之之趨勢(shì)勢(shì)。西方一一些國(guó)國(guó)家采采取各各種手手段特特別是是電子子信息息手段段來竊竊取我我國(guó)的的各類類機(jī)密密,包包括核核心機(jī)機(jī)密。。此外外,隨隨著信信息設(shè)設(shè)備特特別是是互聯(lián)聯(lián)網(wǎng)的的大幅幅普及及,各各類信信息犯犯罪活活動(dòng)亦亦呈現(xiàn)現(xiàn)出快快速發(fā)發(fā)展之之勢(shì)。。以金金融業(yè)業(yè)計(jì)算算機(jī)犯犯罪為為例,,從1986年發(fā)現(xiàn)現(xiàn)第一一起銀銀行計(jì)計(jì)算機(jī)機(jī)犯罪罪案起起,發(fā)發(fā)案率率每年年以30%的速速度遞遞增。。近年年來,,境外外一些些反華華勢(shì)力力還在在因特特網(wǎng)上上頻頻頻散發(fā)發(fā)反動(dòng)動(dòng)言論論,而而各種種電腦腦病毒毒及黑黑客對(duì)對(duì)計(jì)算算機(jī)網(wǎng)網(wǎng)絡(luò)的的侵害害亦屢屢屢發(fā)發(fā)生。。據(jù)不不完全全統(tǒng)計(jì)計(jì),我我國(guó)目目前已已發(fā)現(xiàn)現(xiàn)的計(jì)計(jì)算機(jī)機(jī)病毒毒約有有2000~3000多種,,而且且還在在以更更快的的速度度增加加著。。一、電電子商商務(wù)安安全的的現(xiàn)狀狀324、我我國(guó)電電商安安全現(xiàn)現(xiàn)狀6.信息安安全技技術(shù)及及設(shè)備備的研研發(fā)和和應(yīng)用用有待待提高高近年來來,我我國(guó)在在立法法和依依法管管理方方面加加大力力度,,推進(jìn)進(jìn)計(jì)算算機(jī)信信息網(wǎng)網(wǎng)絡(luò)安安全技技術(shù)和和產(chǎn)品品的研研究、、開發(fā)發(fā)和應(yīng)應(yīng)用,,建立立了計(jì)計(jì)算機(jī)機(jī)病毒毒防治治產(chǎn)品品檢驗(yàn)驗(yàn)中心心、計(jì)計(jì)算機(jī)機(jī)信息息系統(tǒng)統(tǒng)安全全專用用產(chǎn)品品質(zhì)量量檢驗(yàn)驗(yàn)中心心,加加強(qiáng)了了對(duì)計(jì)計(jì)算機(jī)機(jī)信息息網(wǎng)絡(luò)絡(luò)安全全產(chǎn)品品的管管理。。目前前,我我國(guó)信信息網(wǎng)網(wǎng)絡(luò)安安全技技術(shù)及及產(chǎn)品品發(fā)展展迅速速,其其中,,計(jì)算算機(jī)病病毒防防治、、防火火墻、、安全全網(wǎng)管管、黑黑客入入侵檢檢測(cè)及及預(yù)警警、網(wǎng)網(wǎng)絡(luò)安安全漏漏洞掃掃描、、主頁頁自動(dòng)動(dòng)保護(hù)護(hù)、有有害信信息檢檢測(cè)、、訪問問控制制等一一些關(guān)關(guān)鍵性性產(chǎn)品品已實(shí)實(shí)現(xiàn)國(guó)國(guó)產(chǎn)化化。但但是,,正如如《國(guó)國(guó)家信信息安安全報(bào)報(bào)告》》強(qiáng)調(diào)調(diào)指出出的::“這這些產(chǎn)產(chǎn)品安安全技技術(shù)的的完善善性、、規(guī)范范性、、實(shí)用用性還還存在在許多多不足足,特特別是是在多多平臺(tái)臺(tái)的兼兼容性性、多多協(xié)議議的適適應(yīng)性性、多多接口口的滿滿足性性方面面存在在很大大距離離,理理論基基礎(chǔ)和和自主主技術(shù)術(shù)手段段也需需要發(fā)發(fā)展和和強(qiáng)化化。””一、電子商商務(wù)安全的的現(xiàn)狀331、安全的概概念電子商務(wù)安安全是一個(gè)涉及及計(jì)算機(jī)科科學(xué)、網(wǎng)絡(luò)絡(luò)技術(shù)、通通信技術(shù)、、密碼技術(shù)術(shù)、信息安安全技術(shù)、、應(yīng)用數(shù)學(xué)學(xué)、數(shù)論、、信息論等等多種學(xué)科科的邊緣性性綜合學(xué)科科。幾種安全性性(概念范范圍小大):密碼安全::通信安全全的核心計(jì)算機(jī)安全全:網(wǎng)絡(luò)安全::信息安全::二、電子商務(wù)安安全的概念341、安全的概概念信息系統(tǒng)的的構(gòu)成:a)信道:數(shù)據(jù)據(jù)流的載體體;b)網(wǎng)絡(luò):提供供各實(shí)體間間數(shù)據(jù)的交交換;c)傳輸協(xié)議::信息交換換的特定““語言”;;d)主機(jī)系統(tǒng)::數(shù)據(jù)到信信息的轉(zhuǎn)換換、處理、、存儲(chǔ);e)數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng):信息的的組織機(jī)構(gòu)構(gòu);f)應(yīng)用系統(tǒng)::信息價(jià)值值的最終體體現(xiàn);二、電子商務(wù)安安全的概念351、安全的概概念受安全問題題影響的資資源:1)硬件:CPU、電路板、鍵鍵盤、終端端、工作站站、個(gè)人計(jì)計(jì)算機(jī)、打打印機(jī)、磁磁盤驅(qū)動(dòng)器器、通信線線、通信控控制器、終終端服務(wù)器器、網(wǎng)絡(luò)連連接設(shè)備。。2)軟件:源程程序、目標(biāo)標(biāo)程序、開開發(fā)工具、、診斷程序序、操作系系統(tǒng)、通信信程序。3)數(shù)據(jù):執(zhí)行行過程中的的數(shù)據(jù)、存存儲(chǔ)數(shù)據(jù)、、存檔數(shù)據(jù)據(jù)、預(yù)算記記錄、數(shù)據(jù)據(jù)庫(kù)、通信信媒體的傳傳輸數(shù)據(jù)。。4)人員:用戶戶,需要運(yùn)運(yùn)行系統(tǒng)的的人。5)文檔:程序序、硬件上上的、系統(tǒng)統(tǒng)里的文檔檔。6)耗材:紙、、表格、色色帶、磁帶帶。二、電子商務(wù)安安全的概念361、安全的概概念I(lǐng)SO將“計(jì)算機(jī)機(jī)安全”定定義為:““為數(shù)據(jù)處處理系統(tǒng)建建立和采取取的技術(shù)和和管理的安安全保護(hù),,保護(hù)計(jì)算算機(jī)硬件、、軟件數(shù)據(jù)據(jù)不因偶然然和惡意的的原因而遭遭到破壞、、更改和泄泄露。”———靜態(tài)信信息保護(hù)。。另另一種定義義:“計(jì)算算機(jī)的硬件件、軟件和和數(shù)據(jù)受到到保護(hù),不不因偶然和和惡意的原原因而遭到到破壞、更更改和泄露露,系統(tǒng)連連續(xù)正常運(yùn)運(yùn)行?!薄?jiǎng)討B(tài)意意義描述。。從用戶角度度:保護(hù)利利益、隱私私;存儲(chǔ)、、傳輸安全全。從運(yùn)行管理理角度:正正常、可靠靠、連續(xù)運(yùn)運(yùn)行。從國(guó)家、社社會(huì):過濾濾有害信息息。二、電子商務(wù)安安全的概念371、安全的概概念信息安全的的概念:保保密性完整性、可可用性、不不可否認(rèn)性性。美國(guó)由軍方方到社會(huì)全全面推出了了“信息安安全保障體體系”概念念,概括了網(wǎng)絡(luò)絡(luò)安全的全全過程,即即邊界防衛(wèi)、、入侵檢測(cè)測(cè)、安全反反應(yīng)和破壞壞恢復(fù);“信息保障障體系”不不能僅從技技術(shù)的角度度思考,還還有一個(gè)社社會(huì)管理層層面更高層層次的問題題:1、全社會(huì)會(huì)的綜合集集成安全體體系;它建建筑在安全全技術(shù)的平平臺(tái)上,以以各部門形形成合力為為特征,不不是各部門門功能的簡(jiǎn)簡(jiǎn)單疊加,,而是在統(tǒng)統(tǒng)一領(lǐng)導(dǎo)下下的有機(jī)組組合。2、安全策策略的制定定根根本原則則——責(zé)任任(accountability)3、法律、、制度、管理、技術(shù)術(shù);二、電子商務(wù)安安全的概念381、安全的概概念安全的內(nèi)涵涵(要素)):機(jī)密性confidentiality、完整性integrity、可用性availability、可控性與可可審查性。1、機(jī)密性::確保信息息不暴露給給未授權(quán)的的實(shí)體或進(jìn)進(jìn)程。加密機(jī)制。。防泄密2、完整性::只有得到到允許的人人才能修改改實(shí)體或進(jìn)進(jìn)程,并且且能夠判別別出實(shí)體或或進(jìn)程是否否已被修改改。完整性鑒別別機(jī)制,保保證只有得得到允許的的人才能修修改數(shù)據(jù)。防篡改數(shù)據(jù)完整,,hash;數(shù)據(jù)順順序完整,,編號(hào)連續(xù)續(xù),時(shí)間正正確。3、可用性::得到授權(quán)權(quán)的實(shí)體可可獲得服務(wù)務(wù),攻擊者者不能占用用所有的資資源而阻礙礙授權(quán)者的的工作。用用訪問控制機(jī)機(jī)制,阻止止非授權(quán)用用戶進(jìn)入網(wǎng)網(wǎng)絡(luò)。使靜態(tài)信信息可見,,動(dòng)態(tài)信息息可操作。。防中斷二、電子商務(wù)安安全的概念391、安全的概念念4、可控性:可控性主要指指對(duì)危害國(guó)家家信息(包括括利用加密的的非法通信活活動(dòng))的監(jiān)視視審計(jì)??刂浦剖跈?quán)范圍內(nèi)內(nèi)的信息流向向及行為方式式。使用授權(quán)權(quán)機(jī)制,控制制信息傳播范范圍、內(nèi)容,,必要時(shí)能恢恢復(fù)密鑰,實(shí)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資資源及信息的的可控性。5、可審查性:對(duì)出現(xiàn)的安全全問題提供調(diào)調(diào)查的依據(jù)和和手段。使用用審計(jì)、監(jiān)控控、防抵賴等等安全機(jī)制,,使得攻擊者者、破壞者、、抵賴者“逃不脫",并進(jìn)一步對(duì)對(duì)網(wǎng)絡(luò)出現(xiàn)的的安全問題提提供調(diào)查依據(jù)據(jù)和手段,實(shí)實(shí)現(xiàn)信息安全全的可審查性性。二、電子商務(wù)安全全的概念401、安全的概念念此外信息系統(tǒng)統(tǒng)還應(yīng)提供認(rèn)證、訪問控控制、抗抵賴賴安全服務(wù)。認(rèn)證:保證信信息使用者和和信息服務(wù)者者都是真實(shí)可可信的,防止止冒充和重演演的攻擊。真實(shí)性訪問控制:這這種服務(wù)保證證信息資源不不被非授權(quán)地地使用。(是否有權(quán)使使用該資源))抗抵賴:這種種服務(wù)可取二二種形式。數(shù)字簽名1)源發(fā)證明明:提供給信信息接收者以以證據(jù),這將將使發(fā)送者謊謊稱未發(fā)送過過這些信息或或者否認(rèn)它的的內(nèi)容的企圖圖不能得逞;;2)交付證明明:提供給信信息發(fā)送者以以證據(jù),這將將使接收者謊謊稱未接收過過這些信息或或者否認(rèn)它的的內(nèi)容的企圖圖不能得逞。。二、電子商務(wù)安全全的概念411、安全的概念念系統(tǒng)的安全標(biāo)標(biāo)準(zhǔn):桔桔皮書美國(guó)國(guó)防部的的可信計(jì)算機(jī)系系統(tǒng)評(píng)價(jià)準(zhǔn)則則(TrustedComputerSystemEvaluationCriteriaTCSEC)。。按安全程度低低->高排序序D、C1、C2、B1、、B2、B3、A1。C:酌情B:強(qiáng)制A:核實(shí)保護(hù)D類:最低保護(hù)護(hù)。無賬戶;;任意訪問文文件。C1類:自決的安安全保護(hù)。系系統(tǒng)能夠把用用戶和數(shù)據(jù)隔隔開,用戶以以根據(jù)需要采采用系統(tǒng)提供供的訪問控制制措施來保護(hù)護(hù)自己的數(shù)據(jù)據(jù),系統(tǒng)中必必有一個(gè)防止止破壞的區(qū)域域,其中包含含安全功能。。C2類:訪問級(jí)別控制制??刂屏6雀?xì),使得允允許或拒絕任任何用戶訪問問單個(gè)文件成成為可能。系系統(tǒng)必須對(duì)所所有的注冊(cè)、、文件的打開開、建立和刪刪除進(jìn)行記錄錄。審計(jì)跟蹤必須追蹤蹤到每個(gè)用戶戶對(duì)每個(gè)目標(biāo)標(biāo)的訪問。二、電子商務(wù)安全全的概念421、安全的概念念B1類:有標(biāo)簽的安全保護(hù)。。系統(tǒng)中的每每個(gè)對(duì)象都有有一個(gè)敏感性性標(biāo)簽而每個(gè)個(gè)用戶都有一一個(gè)許可級(jí)別別。許可級(jí)別別定義了用戶戶可處理的敏敏感性標(biāo)簽。。系統(tǒng)中的每每個(gè)文件都按按內(nèi)容分類并并標(biāo)有敏感性性標(biāo)簽,任何何對(duì)用戶許可可級(jí)別和成員員分類的更改改都受到嚴(yán)格格控制,即使使文件所有者也也不能隨意改改變文件許可可權(quán)限。B2類:結(jié)構(gòu)化保保護(hù)。系統(tǒng)的的設(shè)計(jì)和實(shí)現(xiàn)現(xiàn)要經(jīng)過徹底底的測(cè)試和審審查。系統(tǒng)應(yīng)應(yīng)結(jié)構(gòu)化為明明確而獨(dú)立的的模塊,遵循循最小特權(quán)原則則。必須對(duì)所有有目標(biāo)和實(shí)體體實(shí)施訪問控控制。政策,,要有專職人人員負(fù)責(zé)實(shí)施施,要進(jìn)行隱蔽信道分析析。系統(tǒng)必須維維護(hù)一個(gè)保護(hù)護(hù)域,保護(hù)系系統(tǒng)的完整性性,防止外部部干擾。B3類:安全域。。系統(tǒng)的安全全功能足夠小小,以利廣泛泛測(cè)試。必須須滿足參考監(jiān)監(jiān)視器需求以以傳遞所有的的主體到客體體的訪問。要要有安全管理理員,安全硬硬件裝置,審審計(jì)機(jī)制擴(kuò)展展到用信號(hào)通通知安全相關(guān)關(guān)事件,還要要有恢復(fù)規(guī)程程,系統(tǒng)高度抗侵?jǐn)_。二、電子商務(wù)安全全的概念431、安全的概念念A(yù)1類:核實(shí)保護(hù)護(hù)。最初設(shè)計(jì)計(jì)系統(tǒng)就充分分考慮安全性性。有“正式安全策略略模型”其中包括由公公理組成的形式化證明。系統(tǒng)的頂級(jí)級(jí)技術(shù)規(guī)格必必須與模型相相對(duì)應(yīng),系統(tǒng)統(tǒng)還包括分發(fā)發(fā)控制和隱蔽蔽信道分析。。隱蔽信道:存儲(chǔ)信道:例例如:文件更更新時(shí)間;是是否存在;動(dòng)動(dòng)態(tài)變化時(shí)間信道:時(shí)時(shí)鐘;時(shí)間間間隔近20年來,人們一直在在努力發(fā)展安安全標(biāo)準(zhǔn),并并將安全功能能與安全保障障分離,制定定了復(fù)雜而詳詳細(xì)的條款。。但真正實(shí)用用、在實(shí)踐中中相對(duì)易于掌掌握的還是TCSEC及其改進(jìn)版本本。在現(xiàn)實(shí)中中,安全技術(shù)術(shù)人員也一直直將TCSEC的7級(jí)安全劃劃分當(dāng)做默認(rèn)認(rèn)標(biāo)準(zhǔn)。二、電子商務(wù)安全全的概念442、安全保護(hù)的的內(nèi)容電子商務(wù)安全全:物理安全全、運(yùn)行安全和信信息安全物理安全:環(huán)環(huán)境安全,設(shè)設(shè)備安全和媒媒體安全。運(yùn)行安全:風(fēng)風(fēng)險(xiǎn)分析,審計(jì)跟蹤,備備份與恢復(fù),,應(yīng)急。信息安全:操操作系統(tǒng)安全全,數(shù)據(jù)庫(kù)安安全,網(wǎng)絡(luò)安安全,病毒防防護(hù),訪問控控制,加密與與鑒別七個(gè)方方面。1、物理安全(環(huán)境、設(shè)備備、媒體)防雷電;門禁禁系統(tǒng),防盜盜、防火、防防有害氣體;;防電磁泄漏漏。2、運(yùn)行安全為保障系統(tǒng)功功能安全實(shí)現(xiàn)現(xiàn),提供一套套安全措施((如風(fēng)險(xiǎn)分析析,審計(jì)跟蹤蹤,備份與恢恢復(fù),應(yīng)急))來保護(hù)信息息處理過程的的安全。二、電子商務(wù)安全全的概念452、安全保護(hù)的的內(nèi)容風(fēng)險(xiǎn)分析:了解影響信息息系統(tǒng)安全運(yùn)運(yùn)行的因素和和存在的風(fēng)險(xiǎn)險(xiǎn),找出克服服這些風(fēng)險(xiǎn)的的方法。計(jì)算機(jī)信息系系統(tǒng)常見的風(fēng)風(fēng)險(xiǎn)有:設(shè)計(jì)計(jì)者有意建立立或因偶然故故障而存在的的“后門”;操作過程程中的人為錯(cuò)錯(cuò)誤、意外事事故、疏漏和權(quán)限錯(cuò)誤;;硬件故障;計(jì)算機(jī)系統(tǒng)統(tǒng)出錯(cuò)引起的的拒絕使用;;電磁輻射引引起的信息泄泄漏;火災(zāi)災(zāi)和自自然災(zāi)災(zāi)害;;非授權(quán)權(quán)處理理和惡惡意攻攻擊;內(nèi)部部人員員進(jìn)行行數(shù)據(jù)據(jù)偷竊竊的犯犯罪行行為;;偽造造文件件和記記錄;;假冒冒別人人的防防問代代碼進(jìn)進(jìn)入系系統(tǒng);;不準(zhǔn)準(zhǔn)確的的或過過時(shí)的的信息息;故故意破破壞;;傳輸輸路徑徑錯(cuò)誤誤;搭搭線竊竊聽和和乘機(jī)機(jī)而入入;編編程錯(cuò)錯(cuò)誤;;對(duì)已已刪除除信息息的搜搜尋和和復(fù)原原;計(jì)計(jì)算機(jī)機(jī)病毒等等。二、電子商商務(wù)安安全的概念念462、安全全保護(hù)護(hù)的內(nèi)內(nèi)容審計(jì)跟跟蹤::利用計(jì)計(jì)算機(jī)機(jī)信息息系統(tǒng)統(tǒng)所提提供的的審計(jì)計(jì)跟蹤蹤工具具,對(duì)對(duì)計(jì)算算機(jī)信信息系系統(tǒng)的的工作作過程程進(jìn)行行詳盡盡的跟跟蹤記記錄,,同時(shí)時(shí)保存存好審審計(jì)記記錄和和審計(jì)計(jì)日志志,并并從中中發(fā)現(xiàn)現(xiàn)和及及時(shí)解解決問問題,,保證證計(jì)算算機(jī)信信息系系統(tǒng)安安全可可靠地地運(yùn)行行。要要求系系統(tǒng)管管理員員保存存、維維護(hù)和和管理理好審審計(jì)日日志。。應(yīng)急措措施和和備份份恢復(fù)復(fù):要根根據(jù)所所用信信息系系統(tǒng)的的功能能特性性和災(zāi)災(zāi)難特特點(diǎn)制制定包包括應(yīng)急反反應(yīng)、、備份份操作作、恢恢復(fù)措措施三個(gè)方方面內(nèi)內(nèi)容的的應(yīng)急急計(jì)劃劃,一一旦發(fā)發(fā)生災(zāi)災(zāi)害事事件,,就可可按計(jì)計(jì)劃方方案最最大限限度地地恢復(fù)復(fù)計(jì)算算機(jī)系系統(tǒng)的的正常常運(yùn)行行。二、電子商商務(wù)安安全的概念念472、安全全保護(hù)護(hù)的內(nèi)內(nèi)容3、信息安安全防止信信息被被故意意的或或偶然然的非非授權(quán)權(quán)讀取取、更更改、、破壞壞或使使信息息被非非法的的系統(tǒng)統(tǒng)辨識(shí)識(shí),控控制。。確保保信息息的完完整性性、保保密性性,可可用性性和可可控性性。網(wǎng)絡(luò)信信息既既有存存儲(chǔ)于于網(wǎng)絡(luò)絡(luò)節(jié)點(diǎn)點(diǎn)上信信息資資源,,即靜態(tài)信信息,又有有傳播播于網(wǎng)網(wǎng)絡(luò)節(jié)節(jié)點(diǎn)間間的信信息,,即動(dòng)態(tài)信信息。而這這些靜靜態(tài)信信息和和動(dòng)態(tài)態(tài)信息息中有有些是是開放放的,,如廣廣告、、公共共信息息等,,有些些是保保密的的,如如:私私人間間的通通信、、政府府及軍軍事部部門、、商業(yè)業(yè)機(jī)密密等。。保護(hù)用用戶利利益和和隱私私。二、電子商商務(wù)安安全的概念念482、安全全保護(hù)護(hù)的內(nèi)內(nèi)容信息的的風(fēng)險(xiǎn)險(xiǎn)級(jí)別別:根據(jù)敏敏感性性分類類。非保密密的::不需需保護(hù)護(hù)。如如出版版的年年度報(bào)報(bào)告、、新聞聞信件件等。。內(nèi)部使使用的的:在在公司司和組組織內(nèi)內(nèi)部不不需保保護(hù),,可任任意使使用,,但不不對(duì)外外。包包括標(biāo)標(biāo)準(zhǔn)、、備忘忘錄和和組織織內(nèi)部部的電電話記記錄本本等。。受限制制的::包括括那些些泄漏漏后不不會(huì)損損害公公司和和組織織的最最高利利益的的信息息。例例如客客戶數(shù)數(shù)據(jù)和和預(yù)算算信息息等。。保密的的:包包括那那些泄泄漏后后會(huì)嚴(yán)嚴(yán)重?fù)p損害公公司和和組織織利益益的信信息。。例如如市場(chǎng)場(chǎng)策略略和專專用軟軟件等等。保保密數(shù)數(shù)據(jù)根根據(jù)其其保密密程度度可分分為秘秘密、、機(jī)密密、絕絕密三三類。。敏感感性程程度依依次遞遞增這這是按按照泄泄漏后后對(duì)公公司和和組織織利益益的損損害程程度來來排序序的。。二、、電子子商商務(wù)務(wù)安安全全的概概念念493、、國(guó)國(guó)外外網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全標(biāo)標(biāo)準(zhǔn)準(zhǔn)1.美國(guó)國(guó)TCSEC(桔皮皮書書)可信信計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)評(píng)評(píng)估估準(zhǔn)準(zhǔn)則則。1985年年由由美美國(guó)國(guó)國(guó)國(guó)防防部部制制定定。。分分為為4個(gè)方方面面:安全全政政策策、、可可說說明明性性、、安安全全保保障障和和文文檔檔。。該該標(biāo)標(biāo)準(zhǔn)準(zhǔn)將將以以上上4個(gè)方方面面分分為為7個(gè)安安全全級(jí)級(jí)別別,從低低到到高高依依次次為為D、C1、C2、B1、B2、B3和A級(jí)。。1987年年《《可可信信網(wǎng)網(wǎng)絡(luò)絡(luò)解解釋釋》》((TNI)紅皮皮書書2.歐歐洲洲ITSECITSEC與TCSEC不同同,它它并并不不把把保保密密措措施施直直接接與與計(jì)計(jì)算算機(jī)機(jī)功功能能相相聯(lián)聯(lián)系系,而而是是只只敘敘述述技技術(shù)術(shù)安安全全的的要要求求,把把保保密密作作為為安安全全增增強(qiáng)強(qiáng)功功能能。。TCSEC把保保密密作作為為安安全全的的重重點(diǎn)點(diǎn),而而ITSEC則把把完完整整性性、、可可用用性性與與保保密密性性作作為為同同等等重重要要的的因因素素。。ITSEC定義義了了從從E0級(jí)(不不滿滿足足品品質(zhì)質(zhì))到到E6級(jí)(形形式式化化驗(yàn)驗(yàn)證證)的的7個(gè)個(gè)安安全全等等級(jí)級(jí),對(duì)對(duì)于于每每個(gè)個(gè)系系統(tǒng)統(tǒng),安安全全功功能能可可分分別別定定義義。。ITSEC預(yù)定義了了10種種功能,其中前前5種與與桔皮書書中的C1~B3級(jí)相似。。二、電子商務(wù)務(wù)安全的概念504、國(guó)內(nèi)內(nèi)安全標(biāo)標(biāo)準(zhǔn)與實(shí)實(shí)施《計(jì)算機(jī)機(jī)信息系系統(tǒng)安全全保護(hù)等等級(jí)劃分分準(zhǔn)則》》已經(jīng)正正式頒布布,并于于2001年1月1日起實(shí)施施。該準(zhǔn)準(zhǔn)則將信信息系統(tǒng)統(tǒng)安全分分為5個(gè)等級(jí):(參見P174)自主保護(hù)護(hù)級(jí):相相當(dāng)于C1級(jí)系統(tǒng)審計(jì)計(jì)保護(hù)級(jí)級(jí):相當(dāng)當(dāng)于C2級(jí)安全標(biāo)記記保護(hù)級(jí)級(jí):相當(dāng)當(dāng)于B1級(jí)屬屬于強(qiáng)強(qiáng)制保護(hù)護(hù)結(jié)構(gòu)化保保護(hù)級(jí):相當(dāng)于于B2級(jí)訪問驗(yàn)證證保護(hù)級(jí)級(jí):相當(dāng)當(dāng)于B3~A1級(jí)實(shí)際應(yīng)用用中主要要考核的的安全指指標(biāo)有身身份認(rèn)證證、訪問問控制、、數(shù)據(jù)完完整性、、安全審審計(jì)、隱隱蔽信道道分析等等。二、電子商務(wù)安安全的概念514、國(guó)內(nèi)安安全標(biāo)準(zhǔn)與與實(shí)施1.身份認(rèn)證:通過標(biāo)識(shí)識(shí)鑒別用戶戶的身份,防止攻擊者者假冒合法法用戶獲取取訪問權(quán)限限。重點(diǎn)考考慮用戶、、主機(jī)和節(jié)節(jié)點(diǎn)的身份份認(rèn)證。2.訪問控控制:訪問控制制根據(jù)主體體和客體之之間的訪問問授權(quán)關(guān)系系,對(duì)訪問問過程做出出限制,可可分為自主主訪問控制制和強(qiáng)制訪訪問控制。。自主訪問問控制主要要基于主體體及其身份份來控制主主體的活動(dòng)動(dòng),能夠?qū)崒?shí)施用戶權(quán)權(quán)限管理、、訪問屬性性(讀、寫寫及執(zhí)行)管理等。。強(qiáng)制訪問問控制則強(qiáng)強(qiáng)調(diào)對(duì)每一一主、客體體進(jìn)行密級(jí)級(jí)劃分,并并采用敏感感標(biāo)識(shí)來標(biāo)標(biāo)識(shí)主、客客體的密級(jí)級(jí)。二、電子商務(wù)安安全的概念524、國(guó)內(nèi)安安全標(biāo)準(zhǔn)與與實(shí)施3.數(shù)據(jù)完整性性:信息在存存儲(chǔ)、傳輸輸和使用中中不被篡改改。4.安全審審計(jì):通過對(duì)網(wǎng)網(wǎng)絡(luò)上發(fā)生生的各種訪訪問情況記記錄日志,并統(tǒng)計(jì)分分析,對(duì)資資源使用情情況進(jìn)行事事后分析,這是發(fā)現(xiàn)現(xiàn)和追蹤事事件的常用用措施。審審計(jì)的主要要對(duì)象為用用戶、主機(jī)機(jī)和節(jié)點(diǎn),內(nèi)容為訪訪問的主體體、客體、、時(shí)間和成成敗情況等等。5.隱蔽信道分分析:隱蔽信道道是指以危危害網(wǎng)絡(luò)安安全策略的的方式傳輸輸信息的通通信信道。。這是網(wǎng)絡(luò)絡(luò)遭受攻擊擊的原因之之一。采用用安全監(jiān)控控,定期對(duì)對(duì)網(wǎng)絡(luò)進(jìn)行行安全漏洞洞掃描和檢檢測(cè),加強(qiáng)強(qiáng)對(duì)隱蔽信信道的防范范。二、電子商務(wù)安安全的概念534、國(guó)內(nèi)安安全標(biāo)準(zhǔn)與與實(shí)施相關(guān)的信息息安全法規(guī)規(guī)有:保密法規(guī)、、管理辦法法、技術(shù)規(guī)規(guī)范1)中國(guó)計(jì)算機(jī)機(jī)信息網(wǎng)絡(luò)絡(luò)國(guó)際聯(lián)網(wǎng)網(wǎng)管理暫行行規(guī)定2)計(jì)算機(jī)信息息系統(tǒng)國(guó)際際聯(lián)網(wǎng)保密密暫行規(guī)定定3)中國(guó)計(jì)算機(jī)機(jī)信息網(wǎng)絡(luò)絡(luò)國(guó)際聯(lián)網(wǎng)網(wǎng)管理暫行行規(guī)定實(shí)施施辦法4)計(jì)算機(jī)信息息系統(tǒng)安全全專用產(chǎn)品品檢測(cè)和許許可證管理理辦法5)公安部關(guān)于于對(duì)國(guó)際聯(lián)聯(lián)網(wǎng)的計(jì)算算機(jī)信息系系統(tǒng)進(jìn)行備備案工作的的通知6)計(jì)算機(jī)信息息網(wǎng)絡(luò)國(guó)際際聯(lián)網(wǎng)安全全保護(hù)管理理辦法二、電子商務(wù)安安全的概念544、國(guó)內(nèi)安安全標(biāo)準(zhǔn)與與實(shí)施7)計(jì)算機(jī)軟件件保護(hù)條例例8)商用密碼管管理?xiàng)l例9)國(guó)家秘密法法10)中華人民共共和國(guó)計(jì)算算機(jī)信息系系統(tǒng)安全保保護(hù)條例11)中華人民共共和國(guó)國(guó)家家安全法12)電子計(jì)算機(jī)機(jī)機(jī)房設(shè)計(jì)計(jì)規(guī)范(GB50173-93)13)計(jì)算站場(chǎng)地地技術(shù)條件件(GB2887-89)計(jì)算站場(chǎng)地地安全要求求(GB9361-88)二、電子商務(wù)安安全的概念551、安全威威脅安全威脅::對(duì)安全的一一種潛在的的侵害。威威脅的實(shí)施施稱為攻擊擊。計(jì)算機(jī)機(jī)系統(tǒng)安全全面臨的威威脅主要表表現(xiàn)在三類類:1、泄漏信息:指敏感數(shù)數(shù)據(jù)在有意意或無意中中被泄漏出出去或丟失失,它通常常包括,信信息在傳輸輸中丟失或或泄漏,信信息在存儲(chǔ)儲(chǔ)介質(zhì)中丟丟失或泄漏漏。2、破壞信息:以非法手手段竊得對(duì)對(duì)數(shù)據(jù)的使使用權(quán),刪刪除、修改改、插入或或重發(fā)某些些重要信息息,以取得得有益于攻攻擊者的響響應(yīng);惡意意添加,修修改數(shù)據(jù),,以干擾用用戶的正常常使用。3、拒絕服務(wù):它不斷對(duì)對(duì)網(wǎng)絡(luò)服務(wù)務(wù)系統(tǒng)進(jìn)行行干擾,影影響正常用用戶的使用用,甚至使使合法用戶戶被排斥而而不能進(jìn)入入計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)系統(tǒng)或或不能得到到相應(yīng)的服服務(wù)。三、安全威威脅562、威脅的的種類危害電子商務(wù)安安全的因素分自然和人為兩類。自然然因素包括括溫度、濕濕度、灰塵塵、雷擊、、靜電、水水災(zāi)、火災(zāi)災(zāi)、地震,,空氣污染染和設(shè)備故故障等因素素,人為因因素又有無無意和故意意之分,例例如由于誤誤操作刪除除了數(shù)據(jù)的的疏忽和過過失,而人人為故意的的破壞如黑黑客行為。。信息受到到侵犯的典典型來源分分布如下::人為錯(cuò)誤----35%人為忽略----25%不滿意的雇雇員----15%外部攻擊----10%火災(zāi)、水災(zāi)災(zāi)----10%其他----5%三、安全威威脅572、威脅的的種類1、按威脅的的來源可分為內(nèi)部部威脅和外外部威脅;;內(nèi)部威脅:系統(tǒng)的合合法用戶以以非授權(quán)方方式訪問系系統(tǒng)。多數(shù)數(shù)已知的計(jì)計(jì)算機(jī)犯罪罪都和系統(tǒng)統(tǒng)安全遭受受損害的內(nèi)內(nèi)部攻擊有有密切的關(guān)關(guān)系。防止內(nèi)部威威脅的保護(hù)護(hù)方法:a.對(duì)工作人員員進(jìn)行仔細(xì)細(xì)審查;b.仔細(xì)檢查硬硬件、軟件件、安全策策略和系統(tǒng)統(tǒng)配制,以以便在一定定程度上保保證運(yùn)行的的正確性(稱為可信功功能度);c.審計(jì)跟蹤以以提高檢測(cè)測(cè)出這種攻攻擊的可能能性。三、安全威威脅582、威脅的的種類外部威脅:外部威脅脅的實(shí)施也也稱遠(yuǎn)程攻攻擊。外部攻擊可可以使用的的辦法:a.搭線(主動(dòng)的與被被動(dòng)的);b.截取輻射;c.冒充為系統(tǒng)統(tǒng)的授權(quán)用用戶,或冒充為系系統(tǒng)的組成成部分;d.為鑒別或訪訪問控制機(jī)機(jī)制設(shè)置旁旁路。三、安全威威脅592、威脅的的種類2、從威脅的的動(dòng)機(jī)上看可以分分為偶發(fā)性性與故意性性;偶發(fā)性威脅脅:指那些些不帶預(yù)謀謀企圖的威威脅,包括括自然災(zāi)害害、系統(tǒng)故故障,操作失誤和和軟件出錯(cuò)錯(cuò)。故意性威脅脅:指對(duì)計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)的有意圖圖、有目的的的威脅。。范圍可使使用簡(jiǎn)單的的監(jiān)視工具具進(jìn)行隨意意的檢測(cè),,或使用特特別的系統(tǒng)統(tǒng)知識(shí)進(jìn)行行精心的攻攻擊。一種種故意的威威脅如果實(shí)實(shí)現(xiàn)就可認(rèn)認(rèn)為是一種種“攻擊””、“入侵侵”。三、安全威威脅602、威脅的的種類3、從威脅造成成的結(jié)果可分成主動(dòng)動(dòng)/被動(dòng)威脅。。被動(dòng)威脅:對(duì)信息的非非授權(quán)泄露露但是未篡篡改任何信信息,并且系統(tǒng)的操操作與狀態(tài)態(tài)也不受改改變。例::搭線竊聽聽。主動(dòng)威脅:對(duì)系統(tǒng)的狀狀態(tài)進(jìn)行故故意地非授授權(quán)改變。。包括:系系統(tǒng)中信息息、狀態(tài)或或操作的篡篡改。比如:非授授權(quán)的用戶戶改動(dòng)路由由選擇表。。例:篡改消息、、重發(fā)消息息、插入偽偽消息、冒冒充已授權(quán)權(quán)實(shí)體以及及服務(wù)拒絕絕等。三、安全威威脅613、威脅的表表現(xiàn)形式威脅的表現(xiàn)現(xiàn)形式假冒未授權(quán)訪問問拒絕服務(wù)((DoS)否認(rèn)(抵賴賴)竊聽篡改三、安全威威脅復(fù)制與重放放(重演))陷井門特洛伊木馬馬業(yè)務(wù)流量流流向分析攻攻擊入侵623、威脅的表表現(xiàn)形式目前我國(guó)信信息系統(tǒng)面面臨的安全全威脅有::不良信息的的入侵和污污染;黑客和計(jì)算算機(jī)犯罪;;信息間諜諜的潛入;;信息戰(zhàn);;網(wǎng)絡(luò)病毒;;機(jī)要信息的的擴(kuò)散;信息網(wǎng)絡(luò)的的脆弱性;;信息系統(tǒng)裝裝備過分依依賴國(guó)外產(chǎn)產(chǎn)品;三、安全威威脅634、威脅評(píng)估估系統(tǒng)的安全全特性通常常會(huì)提高系系統(tǒng)的造價(jià)價(jià),并且可可能使該系系統(tǒng)難于使使用。所以以,在設(shè)計(jì)計(jì)一個(gè)安全全系統(tǒng)之前前,應(yīng)該明明確哪些具具體威脅需需要保護(hù)措措施來對(duì)付付。這叫做做威脅評(píng)估估。關(guān)于威威脅評(píng)估的的范圍包括括:a.該系統(tǒng)的薄薄弱環(huán)節(jié);;b.利用這些薄薄弱環(huán)節(jié)進(jìn)進(jìn)行威脅的的可能性;;c.評(píng)估每種威威脅實(shí)施成成功的后果果;三、安全威威脅644、威脅評(píng)估估d.評(píng)估每種攻攻擊的代價(jià)價(jià);e.估算可能的的應(yīng)付措施施的費(fèi)用;;f.選取恰當(dāng)?shù)牡陌踩珯C(jī)制制(使用價(jià)值效效益分析)。非技術(shù)性措措施:例如如交付保險(xiǎn)險(xiǎn),對(duì)于技技術(shù)性安全全措施而言言在價(jià)值上上也可能是是一種有效效的選擇。。技術(shù)上要做做到完全安安全好比要要做到安全全的物理保保護(hù),同樣樣是不可能能。所以,,目標(biāo)應(yīng)該該是使攻擊擊所化的代代價(jià)足夠高高而把風(fēng)險(xiǎn)險(xiǎn)降低到可可接受的程程度。三、安全威威脅651、信息系系統(tǒng)安全技技術(shù)分類建立信息安安全保障體體系(PDR體系),需要從從邊界防衛(wèi)衛(wèi)、檢測(cè)和和安全反應(yīng)應(yīng)等著手。。信息安全全技術(shù)開始始從邊界防防衛(wèi)向PDR綜合技術(shù)方方向發(fā)展。。1)邊界防衛(wèi)技技術(shù)(protection):界定網(wǎng)絡(luò)信信息系統(tǒng)的的邊界較困困難。將安安全邊界設(shè)設(shè)在需要保保護(hù)的信息息周邊,例例如存儲(chǔ)和和處理信息息的計(jì)算機(jī)機(jī)系統(tǒng)的外外圍,重點(diǎn)點(diǎn)阻止諸如如冒名頂替替、線路竊竊聽等試圖圖“越界””的行為,,相關(guān)的技技術(shù)包括數(shù)數(shù)據(jù)加密、、數(shù)據(jù)完整整性、數(shù)字字簽名、主主體認(rèn)證、、訪問控制制和公證仲仲裁等。四、電子商商務(wù)安全技技術(shù)661、信息系系統(tǒng)安全技技術(shù)分類邊界防衛(wèi)技技術(shù)主要提提高抵御能能力??煞址譃槲锢韺?shí)實(shí)體的防護(hù)護(hù)技術(shù)和信信息防護(hù)((防泄露、、防破壞))技術(shù)。物理實(shí)體的的防護(hù)技術(shù)術(shù):主要是對(duì)有有形的信息息載體實(shí)施施保護(hù),使使之不被竊竊取、復(fù)制制或丟失。。如磁盤信信息消除技技術(shù),室內(nèi)內(nèi)防盜報(bào)警警技術(shù),密密碼鎖、指指紋鎖、眼眼底鎖等。。信息載體體的傳輸、、使用、保保管、銷毀毀等各個(gè)環(huán)環(huán)節(jié)都可應(yīng)應(yīng)用這類技技術(shù)。四、電子商商務(wù)安全技技術(shù)671、信息系系統(tǒng)安全技技術(shù)分類信息防護(hù)技技術(shù):主要是對(duì)信信息的處理理過程和傳傳輸過程實(shí)實(shí)施保護(hù),,使之不被被非法入侵侵、外傳、、竊聽、干干擾、破壞壞、拷貝。。信息處理的防護(hù)主要要有二種技技術(shù):一種種是軟硬件加密保護(hù)技術(shù),如如口令字驗(yàn)證證、數(shù)據(jù)庫(kù)存存取控制、審審計(jì)跟蹤、密密碼技術(shù)、防防病毒技術(shù)等等;另一種是是網(wǎng)絡(luò)保密技術(shù),主要指指用于防止內(nèi)內(nèi)部網(wǎng)秘密信信息非法外傳傳的保密網(wǎng)關(guān)關(guān)、安全路由由器、防火墻墻等。四、電子商務(wù)務(wù)安全技術(shù)681、電子商務(wù)務(wù)安全技術(shù)分分類信息傳輸?shù)姆雷o(hù)也有兩兩種技術(shù):一一種是對(duì)信息息傳輸信道采采取措施,如如專網(wǎng)通信技術(shù)、跳頻通通信技術(shù)、光光纖通信技術(shù)術(shù)、輻射屏蔽蔽和干擾技術(shù)術(shù)等;另一種種是對(duì)傳遞的的信息使用密碼技術(shù)進(jìn)行加密,使使竊聽者即使使截獲信息也也無法知悉其其真實(shí)內(nèi)容。。常用的加密密設(shè)備有電話話保密機(jī)、傳傳真保密機(jī)、、IP密碼機(jī)、線路路密碼機(jī)、電電子郵件密碼碼系統(tǒng)等。691、電子商務(wù)務(wù)安全技術(shù)分分類2)檢測(cè)技術(shù)(detection)系統(tǒng)運(yùn)行過程程中,檢測(cè)信信息是否被竊竊取、系統(tǒng)是是否遭到入侵侵,并找出泄泄漏的原因和和攻擊的來源源。如計(jì)算機(jī)機(jī)網(wǎng)絡(luò)入侵檢檢測(cè)技術(shù)、信信息傳輸檢查查技術(shù)、電子子郵件監(jiān)視技技術(shù)、電磁泄泄漏輻射檢測(cè)測(cè)技術(shù)、屏蔽蔽效果測(cè)試技技術(shù)、磁介質(zhì)質(zhì)消磁效果驗(yàn)驗(yàn)證技術(shù)、解解密技術(shù)等。。四、電子商務(wù)務(wù)安全技術(shù)701、電子商務(wù)務(wù)安全技術(shù)分分類入侵檢測(cè)技術(shù)術(shù)是發(fā)現(xiàn)“敵敵方”滲透企企圖和入侵行行為的技術(shù)?!,F(xiàn)實(shí)情況表表明,網(wǎng)絡(luò)信信息系統(tǒng)越來來越復(fù)雜,系系統(tǒng)設(shè)計(jì)漏洞洞和管理漏洞洞層出不窮。在近年發(fā)生的的網(wǎng)絡(luò)攻擊事事件中,突破破邊界防衛(wèi)系系統(tǒng)的案例并并不多見,黑黑客們的攻擊擊行動(dòng)主要是是利用各種漏漏洞長(zhǎng)驅(qū)直入入,使邊界防防衛(wèi)設(shè)施形同同虛設(shè)。711、電子商務(wù)務(wù)安全技術(shù)分分類3)安全反應(yīng)技技術(shù)(reaction)將“敵方”攻攻擊危害降低低到最小限度度的技術(shù)。安安全的網(wǎng)絡(luò)信信息系統(tǒng)必須須具備在被攻攻陷后迅速恢恢復(fù)的能力。??焖夙憫?yīng)與與恢復(fù)的目標(biāo)標(biāo)是要在開放放的互聯(lián)網(wǎng)環(huán)環(huán)境下構(gòu)建基基于生存性的的多樣化動(dòng)態(tài)態(tài)漂移網(wǎng)絡(luò),,其中分布式式動(dòng)態(tài)備份的的技術(shù)與方法法、動(dòng)態(tài)漂移移與偽裝技術(shù)術(shù)、各種災(zāi)難難的快速恢復(fù)復(fù)與修復(fù)算法法、“誘敵深深入”與防守守反擊技術(shù)等等是較有希望望的研究方向向。四、電子商務(wù)務(wù)安全技術(shù)721、電子商務(wù)務(wù)安全技術(shù)分分類四、電子商務(wù)務(wù)安全技術(shù)實(shí)時(shí)防御常規(guī)評(píng)估綜合安全保障體系基礎(chǔ)設(shè)施入侵檢測(cè)應(yīng)急響應(yīng)災(zāi)難恢復(fù)防守反擊攻擊特征庫(kù)隱患數(shù)據(jù)庫(kù)威脅評(píng)估數(shù)據(jù)庫(kù)73綜合安全保障障體系:實(shí)時(shí)時(shí)防御、常規(guī)規(guī)評(píng)估和基礎(chǔ)礎(chǔ)設(shè)施。實(shí)時(shí)防御:入入侵檢測(cè)、應(yīng)應(yīng)急響應(yīng)、災(zāi)災(zāi)難恢復(fù)和防防守反擊等。。入侵檢測(cè)模模塊對(duì)通過防防火墻的數(shù)據(jù)據(jù)流進(jìn)一步檢檢查,阻止惡惡意攻擊;應(yīng)應(yīng)急響應(yīng)模塊塊對(duì)攻擊事件件進(jìn)行應(yīng)急處處理;災(zāi)難恢恢復(fù)模塊按照照策略對(duì)遭受受破壞的信息息進(jìn)行恢復(fù);;防守反擊模模塊按照策略略實(shí)施反擊。。常規(guī)評(píng)估:利利用脆弱性數(shù)數(shù)據(jù)庫(kù)檢測(cè)系系統(tǒng)存在的安安全隱患,為為實(shí)時(shí)防御系系統(tǒng)提供策略略調(diào)整依據(jù)。?;A(chǔ)設(shè)施:由由攻擊特征庫(kù)庫(kù)、隱患數(shù)據(jù)據(jù)庫(kù)、威脅評(píng)評(píng)估數(shù)據(jù)庫(kù)等等。支撐實(shí)時(shí)時(shí)防御和常規(guī)規(guī)評(píng)估系統(tǒng)。四、電子商務(wù)務(wù)安全技術(shù)742、安全技術(shù)術(shù)的特征對(duì)抗性。防護(hù)護(hù)技術(shù)與攻擊擊技術(shù)相伴而而生,相對(duì)抗抗而存在和發(fā)發(fā)展。多樣性。涉及及的技術(shù)種類類多,如涉及及有線無線通通信技術(shù)、計(jì)計(jì)算機(jī)技術(shù)、、電子技術(shù)、、電磁兼容技技術(shù)、密碼技技術(shù)、機(jī)械化化工技術(shù)等;;服務(wù)對(duì)象多多,服務(wù)范圍圍廣,涉及到到辦公自動(dòng)化化的所有設(shè)備備和人類信息息交流的全過過程。秘密性。攻擊擊者和防護(hù)者者總是力圖隱隱蔽自己所采采用的技術(shù)手手段和方法,,避免對(duì)方有有針對(duì)性地采采用更先進(jìn)的的技術(shù)措施。。四、電子商務(wù)務(wù)安全技術(shù)75電子商務(wù)安全全應(yīng)解決的問題題計(jì)算機(jī)系統(tǒng)安安全主要應(yīng)解解決好以下五五個(gè)問題:1.物理鏈路路的安全,通通過采用鏈路路加密、專網(wǎng)網(wǎng)技術(shù)和通信信線路管制的的手段提高通通信線路的安安全防護(hù)能力力;2.系統(tǒng)的安安全,通過采采用技術(shù)手段段和防護(hù)設(shè)備備提高系統(tǒng)對(duì)對(duì)攻擊者的抵抵御能力;3.信息的安安全,通過采采用加密手段段確保計(jì)算機(jī)機(jī)系統(tǒng)中存儲(chǔ)儲(chǔ)、處理、傳傳輸?shù)男畔⒉徊槐环欠ㄔL問問、截收、更更改、復(fù)制、、破壞、刪除除;五、電子商務(wù)務(wù)安全應(yīng)解決決的問題76電子商務(wù)安全全應(yīng)解決的問題題4.設(shè)備環(huán)境境的安全,通通過一定的技技術(shù)手段確保保信息設(shè)備的的電磁泄漏輻輻射符合保密密標(biāo)準(zhǔn),安放放設(shè)備的房間間安全可靠等等;5.技術(shù)手段段與管理、教教育相結(jié)合,,通過健全法法律、規(guī)章制制度和加強(qiáng)思思想教育杜絕絕管理上的漏漏洞和思想認(rèn)認(rèn)識(shí)上的漏洞洞。771、安全策略略安全保護(hù)機(jī)構(gòu)構(gòu)六、安全體系系結(jié)構(gòu)781、安全的體體系結(jié)構(gòu)網(wǎng)絡(luò)安全貫穿穿于整個(gè)7層層模型。針對(duì)對(duì)TCP/IP協(xié)議,網(wǎng)絡(luò)安安全應(yīng)貫穿于于信息系統(tǒng)的的4個(gè)層次。。下圖表示了對(duì)對(duì)應(yīng)網(wǎng)絡(luò)的安安全體系層次次模型:六、安全體系系結(jié)構(gòu)會(huì)話層應(yīng)用層應(yīng)用系統(tǒng)應(yīng)用平臺(tái)網(wǎng)絡(luò)層鏈路層物理層會(huì)話安全應(yīng)用層應(yīng)用系統(tǒng)安全應(yīng)用平臺(tái)安全安全路由/訪問機(jī)制鏈路安全物理層信息安全791、安全的體體系結(jié)構(gòu)物理層的安全全:物理層信信息安全,主主要防止物理理通路的損壞壞、竊聽、干干擾等。鏈路層的安全全:鏈路層的的網(wǎng)絡(luò)安全需需要保證通過過網(wǎng)絡(luò)鏈路傳傳送的數(shù)據(jù)不不被竊聽。主主要采用劃分分
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 固定總價(jià)合同計(jì)量規(guī)則規(guī)范
- 沈陽理工大學(xué)《材料成型與工藝應(yīng)用設(shè)計(jì)》2022-2023學(xué)年第一學(xué)期期末試卷
- 國(guó)有企業(yè)代理采購(gòu)合同管理制度
- 國(guó)有文物社會(huì)力量合作合同范本
- 合同法定解除的五種情形舉例說明
- 大班游戲《一朵美麗的花》微課件
- 2024年廣西客運(yùn)資格證考試內(nèi)客
- 2024建筑工程供貨合同
- 2024上海市技術(shù)咨詢合同范本
- 沈陽城市學(xué)院《習(xí)近平法治思想概論》2021-2022學(xué)年第一學(xué)期期末試卷
- 內(nèi)鏡清潔消毒登記表格模板
- 《梯形的面積》(課堂PPT)
- 天然氣脫硫(課堂運(yùn)用)
- 幼兒園教師師德師風(fēng)考核表(共2頁)
- 《施工組織設(shè)計(jì)專項(xiàng)施工方案資料》古建筑油漆彩畫施工方案
- 城鎮(zhèn)職工醫(yī)療保險(xiǎn)運(yùn)行中的問題分析及措施
- 阿拉丁神燈介紹ppt[共27頁]
- 人教版英語選擇性必修一Unit 1 People of Achievement(Reading and Thinking)教案(2課時(shí))
- 學(xué)校食堂五常法管理制度
- 畢業(yè)設(shè)計(jì)500kv變電站設(shè)計(jì)
- 講故事社團(tuán)活動(dòng)教案
評(píng)論
0/150
提交評(píng)論