1、電子商務(wù)安全,主講：趙學(xué)麗 單位：經(jīng)濟(jì)與管理學(xué)院 電子郵件：,第一章電子商務(wù)安全的現(xiàn)狀與趨勢(shì),1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì) 1.2電子商務(wù)的安全需求 1.3電子商務(wù)安全體系結(jié)構(gòu) 1.4電子商務(wù)安全交易標(biāo)準(zhǔn),1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.1電子商務(wù)安全的現(xiàn)狀 2000年2月7日、8日、9日這三天，美國(guó)許多著名的網(wǎng)站先后遭到互聯(lián)網(wǎng)歷史上最嚴(yán)重的計(jì)算機(jī)黑客攻擊。 2001年2月，黑客大肆攻擊雅虎、EBAY等著名商業(yè)網(wǎng)站及其他各類(lèi)站點(diǎn)，造成了直接經(jīng)濟(jì)損失12億美元，并引起股市動(dòng)蕩。 2000年5月4日，菲律賓一名電腦高手制造出一種稱(chēng)為“愛(ài)蟲(chóng)”的電腦病毒，短短四五天內(nèi)侵襲了全世界100多萬(wàn)臺(tái)計(jì)算

2、機(jī)，造成數(shù)十億美元的損失。 “CIH”、“梅利莎”、“愛(ài)蟲(chóng)”等電腦病毒不斷興風(fēng)作浪，一次又一次敲響了信息安全的警鐘。 沖擊波病毒。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.1電子商務(wù)安全的現(xiàn)狀,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.1電子商務(wù)安全的現(xiàn)狀,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.1電子商務(wù)安全的現(xiàn)狀 黑客盜取信用卡的過(guò)程。 黑客在互聯(lián)網(wǎng)的新聞組上發(fā)布帶有后門(mén)病毒的程序，并鼓勵(lì)人們下載到自己的PC機(jī)上，一旦某臺(tái)PC機(jī)下載了此程序，那么他就成為黑客可以侵略的對(duì)象。 黑客可以瀏覽被入侵者PC機(jī)上的全部信息資源，可以實(shí)時(shí)地掌握被入侵者的桌面使用情況。 如果被入侵者此時(shí)輸入信用卡號(hào)，那么黑客就

3、可以易如反掌地竊取到這一代碼，這是信用卡被盜用的主要原因。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.1電子商務(wù)安全的現(xiàn)狀 每90億次運(yùn)算才可能發(fā)生一次的錯(cuò)誤，被一幫關(guān)注英特爾產(chǎn)品的人在因特網(wǎng)上公布出來(lái)，造成英特爾公司5億美元的損失。 美國(guó)國(guó)家航空航天局花了100萬(wàn)美元做信息系統(tǒng)安全工作，自以為固若金湯，他們請(qǐng)來(lái)因特網(wǎng)安全系統(tǒng)公司董事長(zhǎng)克勞斯進(jìn)行安全演示，結(jié)果2分鐘就被偷走了一大串口令,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (1)黑客的攻擊 (2)管理的欠缺 (3)網(wǎng)絡(luò)的缺陷 (4)軟件的漏洞或“后門(mén)” (5)人為的觸發(fā),1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電

4、子商務(wù)安全問(wèn)題的原因 (1)黑客的攻擊 世界上有20多萬(wàn) 個(gè)黑客網(wǎng)站， 其攻擊方法達(dá) 幾千種之多,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (1)黑客的攻擊,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (1)黑客的攻擊,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (1)黑客的攻擊,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (2)管理的欠缺 網(wǎng)站或系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶(hù)免受攻擊的重要措施。 事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶(hù)的網(wǎng)站或系統(tǒng)都疏于這方面的管理。 據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，

5、美國(guó)90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。 目前，美國(guó)75%85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中25%的企業(yè)損失在25萬(wàn)美元以上。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (2)管理的欠缺 2004年9月23日，京華時(shí)報(bào)的報(bào)道，一黑客利用微軟的漏洞盜竊了18萬(wàn)元的充值卡,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (3)網(wǎng)絡(luò)的缺陷 因特網(wǎng)的共享性和開(kāi)放性使網(wǎng)上信息安全存在先天不足，因?yàn)橐蛱鼐W(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸，但它僅是信息高速公路的雛形，在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在

6、著不適應(yīng)性。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (4)軟件的漏洞或“后門(mén)” 早在1999年底保加利亞軟件測(cè)試專(zhuān)家發(fā)現(xiàn)微軟網(wǎng)絡(luò)瀏覽器IE存在安全漏洞，它可以使不懷好意的網(wǎng)站管理人員入侵訪(fǎng)問(wèn)者的計(jì)算機(jī)文件，隨后微軟公司承認(rèn)這一事實(shí)。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.2觸發(fā)電子商務(wù)安全問(wèn)題的原因 (5)人為的觸發(fā) 基于信息戰(zhàn)和對(duì)他國(guó)監(jiān)控的考慮，個(gè)別國(guó)家或組織有意識(shí)觸發(fā)網(wǎng)絡(luò)信息安全問(wèn)題。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 新的挑戰(zhàn)電子攻擊 網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元 863安全責(zé)任專(zhuān)家、上海格爾軟件公司總經(jīng)理吳田平博

7、士說(shuō)，信息是最精確的制導(dǎo)武器，網(wǎng)絡(luò)戰(zhàn)爭(zhēng) 1995年，美國(guó)就提出了“戰(zhàn)略信息戰(zhàn)”的概念，并與核戰(zhàn)和生化戰(zhàn)并列為對(duì)國(guó)家安全最具威脅的三大挑戰(zhàn)。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (1)網(wǎng)絡(luò)安全無(wú)保障，如何踏進(jìn)電子社會(huì) (2)“看家護(hù)院”式防衛(wèi)，無(wú)法實(shí)現(xiàn)超時(shí)空的防御 (3)構(gòu)建“高速路”，更要構(gòu)筑“網(wǎng)絡(luò)長(zhǎng)城”,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (1)網(wǎng)絡(luò)安全無(wú)保障，如何踏進(jìn)電子社會(huì) 2000年春天，我國(guó)有人利用新聞組中查到的普通技術(shù)手段，輕而易舉地從多個(gè)商業(yè)站點(diǎn)竊取到8萬(wàn)個(gè)信用卡號(hào)和密碼，并標(biāo)價(jià)26萬(wàn)元出售。 金融電子化，2000年

8、問(wèn)題。 美國(guó)金融界每年由于計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失近百億美元 我國(guó)金融系統(tǒng)發(fā)生的計(jì)算機(jī)犯罪也有逐年上升趨勢(shì)。近年來(lái)最大一起犯罪案件造成的經(jīng)濟(jì)損失高達(dá)人民幣2 100萬(wàn)元。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (1)網(wǎng)絡(luò)安全無(wú)保障，如何踏進(jìn)電子社會(huì) 電子攻擊可分為三個(gè)層次 低層次威脅是局部的威脅，包括消遣性黑客、破壞公共財(cái)產(chǎn)者； 第二個(gè)層次是有組織的威脅，包括一些機(jī)構(gòu)黑客、有組織的犯罪、工業(yè)間諜； 最高層次是國(guó)家規(guī)模上的威脅，包括敵對(duì)的外國(guó)政府、恐怖主義組織發(fā)起的全面信息戰(zhàn)。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (2)“看家護(hù)院”式

9、防衛(wèi)，無(wú)法實(shí)現(xiàn)超時(shí)空的防御 國(guó)內(nèi)大多數(shù)管理者對(duì)網(wǎng)絡(luò)安全不甚了解，在管理上存在巨大的漏洞。 主要表現(xiàn)為： 不重視邏輯安全，只重視物理安全； 不重視信息系統(tǒng)和網(wǎng)絡(luò)安全，只重視單機(jī)安全,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (2)“看家護(hù)院”式防衛(wèi)，無(wú)法實(shí)現(xiàn)超時(shí)空的防御 首先，一些部門(mén)只看重信息的應(yīng)用帶來(lái)的巨大財(cái)富，沒(méi)有意識(shí)到信息安全的漏洞，忽視計(jì)算機(jī)系統(tǒng)的安全技術(shù)防范，給基礎(chǔ)安全帶來(lái)隱患。 其次，信息安全保衛(wèi)工作嚴(yán)重滯后。 三是發(fā)達(dá)國(guó)家對(duì)我封鎖信息安全高級(jí)產(chǎn)品。凡此種種，使得各國(guó)黑客進(jìn)入我國(guó)的網(wǎng)絡(luò)如履平地。 在防范電子攻擊時(shí)，目前還存在兩個(gè)明顯的障礙： 一是受害者不愿

10、公開(kāi)； 二是對(duì)電子攻擊的嚴(yán)重性缺乏足夠的認(rèn)識(shí)，一些決策人甚至認(rèn)為是小題大做。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (3)構(gòu)建“高速路”，更要構(gòu)筑“網(wǎng)絡(luò)長(zhǎng)城” 美國(guó)國(guó)防科學(xué)委員會(huì)在多年前就發(fā)表了信息防衛(wèi)戰(zhàn)報(bào)告 美國(guó)還成立了國(guó)家基礎(chǔ)設(shè)施保護(hù)中心 未來(lái)的敵人(包括懷有敵意的國(guó)家、集團(tuán)和敵對(duì)分子)很可能會(huì)千方百計(jì)利用制造病毒等非傳統(tǒng)的手段，對(duì)我國(guó)的基礎(chǔ)設(shè)施攻擊，達(dá)到破壞我國(guó)軍事力量和經(jīng)濟(jì)基礎(chǔ)的目的 專(zhuān)家建議，在短期內(nèi)建立起保護(hù)基礎(chǔ)設(shè)施免受蓄意攻擊的能力，建立一個(gè)可靠、互聯(lián)和安全的信息系統(tǒng)基礎(chǔ)設(shè)施。,1.1電子商務(wù)安全現(xiàn)狀與趨勢(shì),1.1.3安全問(wèn)題制約電子商務(wù)的發(fā)展 (3

11、)構(gòu)建“高速路”，更要構(gòu)筑“網(wǎng)絡(luò)長(zhǎng)城” 首先，要加強(qiáng)計(jì)算機(jī)監(jiān)察，加大防范電子犯罪的預(yù)算 其次，確保關(guān)鍵基礎(chǔ)設(shè)施的安全是大家的共同責(zé)任，建立政府與社會(huì)各部門(mén)的合作關(guān)系。 再次，建立相應(yīng)的機(jī)構(gòu)，明確協(xié)調(diào)責(zé)任，指定的政府部門(mén)作為行業(yè)聯(lián)系的牽頭部門(mén),1.1.4電子商務(wù)安全隱患與防治措施,1安全隱患 1)網(wǎng)絡(luò)系統(tǒng)軟件自身的安全問(wèn)題 (1)操作系統(tǒng)的體系結(jié)構(gòu)會(huì)造成其本身的不安全性 (2)操作系統(tǒng)的一些功能，例如，支持在網(wǎng)絡(luò)上傳輸文件的功能 (3)操作系統(tǒng)不安全的另一原因在于它可以創(chuàng)建進(jìn)程 (4)操作系統(tǒng)運(yùn)行時(shí)，一些系統(tǒng)進(jìn)程總在等待一些條件的出現(xiàn) (5)操作系統(tǒng)要安排無(wú)口令入口 (6)Internet和In

12、tranet使用的TCPIP(傳輸控制協(xié)議網(wǎng)際協(xié)議)以及FTP(文件傳輸協(xié)議)、E-mail(電子郵件)、RPC(遠(yuǎn)程程序通信規(guī)則)、NFS(網(wǎng)絡(luò)文件系統(tǒng))等都包含許多不安全的因素，存在著許多漏洞。,1.1.4電子商務(wù)安全隱患與防治措施,1安全隱患 2)網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)庫(kù)的安全設(shè)計(jì)問(wèn)題 對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的保護(hù)主要是指針對(duì)數(shù)據(jù)的安全性、完整性和并發(fā)控制三方面。 可是對(duì)數(shù)據(jù)的存取控制還不足以對(duì)數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行約束，所以還要增加作業(yè)授權(quán)控制 Oracle和Fox或dBASE為例,1.1.4電子商務(wù)安全隱患與防治措施,1安全隱患 3)傳輸線(xiàn)路安全與質(zhì)量問(wèn)題 盡管在同軸電纜、微波或衛(wèi)星通信中要竊聽(tīng)其中指定一路的

13、信息是很困難的，但是從安全的角度來(lái)說(shuō)，沒(méi)有絕對(duì)安全的通信線(xiàn)路。 當(dāng)通信線(xiàn)路中斷，計(jì)算機(jī)網(wǎng)絡(luò)也就中斷，這還比較明顯。而當(dāng)線(xiàn)路時(shí)通時(shí)斷，線(xiàn)路衰耗大或雜音嚴(yán)重時(shí)，問(wèn)題就不那么明顯，但是對(duì)通信網(wǎng)線(xiàn)路的影響也是相當(dāng)大，可能會(huì)嚴(yán)重地危害通信數(shù)據(jù)的完整性 紅線(xiàn)警報(bào),1.1.4電子商務(wù)安全隱患與防治措施,1安全隱患 4)網(wǎng)絡(luò)安全管理問(wèn)題 從加強(qiáng)安全管理的角度出發(fā)，可以認(rèn)為，實(shí)質(zhì)上網(wǎng)絡(luò)安全首先是個(gè)管理問(wèn)題，然后才是技術(shù)問(wèn)題。 另一方面，也可以說(shuō)網(wǎng)絡(luò)的安全問(wèn)題是天生的，這是由于“整體大于部分之和”的原因 一定要制定一個(gè)組織內(nèi)部的有效的安全管理策略 通常安全管理領(lǐng)域涉及兩類(lèi)要求： 一是安全管理，防止未授權(quán)者訪(fǎng)問(wèn)網(wǎng)絡(luò)

14、； 另一個(gè)是管理安全(security of management)防止未授權(quán)者訪(fǎng)問(wèn)網(wǎng)絡(luò)管理系統(tǒng)。,1.1.4電子商務(wù)安全隱患與防治措施,1安全隱患 5)其他威脅網(wǎng)絡(luò)安全的典型因素 計(jì)算機(jī)黑客 內(nèi)部人員作案 部分對(duì)整體的安全威脅 程序共享造成的沖突 計(jì)算機(jī)病毒,1.1.4電子商務(wù)安全隱患與防治措施,工行營(yíng)業(yè)部會(huì)計(jì)股長(zhǎng)，利用玻璃板下的撲克牌，“紅桃5，紅桃Q，方塊9，黑桃A，黑桃4”，猜出操作密碼，將33600元?jiǎng)澋阶约嘿~上 某銀行分行電腦部職員，利用技術(shù)，在維修電腦時(shí)，對(duì)程序進(jìn)行變動(dòng)和加密等技術(shù)處理，盜用國(guó)庫(kù)現(xiàn)金5700元 銀行外匯經(jīng)辦員，利用掌握的電腦主管的密碼更改儲(chǔ)戶(hù)信息，從中竊取39筆，

15、69512元。,1.1.4電子商務(wù)安全隱患與防治措施,1安全隱患 1)網(wǎng)絡(luò)系統(tǒng)軟件自身的安全問(wèn)題 2)網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)庫(kù)的安全設(shè)計(jì)問(wèn)題 3)傳輸線(xiàn)路安全與質(zhì)量問(wèn)題 4)網(wǎng)絡(luò)安全管理問(wèn)題 5)其他威脅網(wǎng)絡(luò)安全的典型因素,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 1)技術(shù)措施,(1)網(wǎng)絡(luò)安全檢測(cè)設(shè)備 (2)訪(fǎng)問(wèn)設(shè)備 (3)瀏覽器服務(wù)器軟件 (4)證書(shū)(Certificate) (5)商業(yè)軟件 (6)防火墻 (7)安全工具包軟件 (8)保護(hù)傳輸線(xiàn)路安全,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 1)技術(shù)措施,(9)防入侵措施 (10)數(shù)據(jù)加密 (11)訪(fǎng)問(wèn)控制 (12)鑒別機(jī)制 (13

16、)路由選擇機(jī)制 (14)通信流控制 (15)數(shù)據(jù)完整性 (16)端口保護(hù),1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (1)人員管理制度 (2)保密制度 (3) 跟蹤、審計(jì)、稽核制度 (4)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 (5)病毒防范制度 (6)應(yīng)急措施,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (1)人員管理制度 人員選拔 落實(shí)工作責(zé)任制 貫徹電子商務(wù)安全運(yùn)作基本原則 多人負(fù)責(zé)原則：重要業(yè)務(wù)不要安排一個(gè)人單獨(dú)管理，實(shí)行兩人或多人相互制約的機(jī)制。 任期有限原則；任何人不得長(zhǎng)期擔(dān)任與交易安全有關(guān)的職務(wù)。 最小權(quán)限原則：明確規(guī)定只有網(wǎng)絡(luò)管理員才可實(shí)施物理訪(fǎng)問(wèn)，只

17、有網(wǎng)絡(luò)管理人員才可進(jìn)行軟件安裝工作。,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (2)保密制度 (1)絕密級(jí)。如公司經(jīng)營(yíng)狀況報(bào)告、訂/出貨價(jià)格、公司的發(fā)展規(guī)劃等。此部分網(wǎng)址、密碼不在互聯(lián)網(wǎng)絡(luò)上公開(kāi)，只限于公司高層人員掌握。 (2)機(jī)密級(jí)。如公司的日常管理情況、會(huì)議通知等。此部分網(wǎng)址、密碼不在互聯(lián)網(wǎng)絡(luò)上公開(kāi)，只限于公司中層以上人員使用。 (3)敏感級(jí)。如公司簡(jiǎn)介、新產(chǎn)品介紹及訂貨方式等。此部分網(wǎng)址、密碼在互聯(lián)網(wǎng)絡(luò)上公開(kāi)，供消費(fèi)者游覽，但必須有保護(hù)程序，防止“黑客”入侵。,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (3) 跟蹤、審計(jì)、稽核制度 跟蹤制度要

18、求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，用來(lái)記錄系統(tǒng)運(yùn)行的全過(guò)程。 審計(jì)制度包括經(jīng)常對(duì)系統(tǒng)日志的檢查、審核，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)故意入侵行為的記錄和對(duì)系統(tǒng)安全功能違反的記錄，監(jiān)控和捕捉各種安全事件，保存、維護(hù)和管理系統(tǒng)日志。 稽核制度是指工商管理、銀行、稅務(wù)人員利用計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)，借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢(xún)、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的合理性、安全性，堵塞漏洞，保證電子商務(wù)交易安全，發(fā)出相應(yīng)的警示或作出處理處罰的有關(guān)決定的一系列步驟及措施。,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (4)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 硬件的日常管理和維護(hù) 軟件的日常管理和維護(hù) 數(shù)

19、據(jù)備份制,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (4)網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (5)病毒防范制度 給自己的電腦安裝防病毒軟件 不打開(kāi)陌生地址的電子郵件 認(rèn)真執(zhí)行病毒定期清理制度 控制權(quán)限 高度警惕網(wǎng)絡(luò)陷阱,1.1.4電子商務(wù)安全隱患與防治措施,2防治措施 2)管理措施 (6)應(yīng)急措施 (1)瞬時(shí)復(fù)制技術(shù) (2)遠(yuǎn)程磁盤(pán)鏡像技術(shù) (3)數(shù)據(jù)庫(kù)恢復(fù)技術(shù),1.1.4電子商務(wù)安全隱患與防治措施,1989年10月13日，星期五。電腦病毒發(fā)作，字母從單詞上掉下。 黑色星期五病毒，每逢13號(hào)星期五發(fā)作，刪除磁盤(pán)上和系統(tǒng)

20、中所有正在執(zhí)行的文件 磁盤(pán)殺手病毒，會(huì)把硬盤(pán)上的數(shù)據(jù)一塊一塊破壞，直至全部破壞。 1988年11月3日，美國(guó)遠(yuǎn)景規(guī)劃計(jì)算機(jī)網(wǎng)絡(luò)崩潰，18萬(wàn)臺(tái)計(jì)算機(jī)北堵塞，6200臺(tái)被感染，大量死機(jī)，損失1億美元。 1989年，我國(guó)最早發(fā)現(xiàn)的病毒是小球病毒。,1.1.4電子商務(wù)安全隱患與防治措施,1.1.4電子商務(wù)安全隱患與防治措施,1.1.4電子商務(wù)安全隱患與防治措施,1.2電子商務(wù)的安全需求,1.2.1電子商務(wù)的安全要求 1.2.2安全策略 1.2.3安全威脅分析 1.2.4網(wǎng)絡(luò)安全服務(wù),1.2電子商務(wù)的安全需求,1.2.1電子商務(wù)的安全要求 1.交易的認(rèn)證性 2.交易的保密性 3.交易的完整性 4.交易的

21、不可否認(rèn)性 5.其它安全需求 可訪(fǎng)問(wèn)性 防御性 合法性,1.2電子商務(wù)的安全需求,1.2.2安全策略 所謂安全策略就是實(shí)施計(jì)算機(jī)信息系統(tǒng)的安全措施及安全管理的指導(dǎo)思想，是在計(jì)算機(jī)信息系統(tǒng)內(nèi)，用于所有與安全活動(dòng)相關(guān)的一套規(guī)則。 安全策略目標(biāo)。它是某個(gè)機(jī)構(gòu)對(duì)所要保護(hù)的特定資源要達(dá)到的目的所進(jìn)行的描述。 機(jī)構(gòu)安全策略。這是一套法律、規(guī)則及實(shí)際操作方法，用于規(guī)范某個(gè)機(jī)構(gòu)如何來(lái)管理、保護(hù)和分配資源以達(dá)到安全策略的既定目標(biāo)。 系統(tǒng)安全策略。它所描述的是如何將某個(gè)特定的信息技術(shù)系統(tǒng)付諸工程實(shí)現(xiàn)，以支持此機(jī)構(gòu)的安全策略要求。,1.2電子商務(wù)的安全需求,1.2.2安全策略 1.授權(quán) 授權(quán)(Authorizati

22、on)是一個(gè)安全策略的基本組成部分。 所謂授權(quán)，是指賦予主體(用戶(hù)、終端、程序等)對(duì)客體(數(shù)據(jù)、程序等)的支配權(quán)力，等于規(guī)定了誰(shuí)可以對(duì)什么做些什么。,1.2電子商務(wù)的安全需求,1.2.2安全策略 2.訪(fǎng)問(wèn)控制策略 1）基于身份的策略。該策略允許或者拒絕對(duì)明確區(qū)分的個(gè)體或群體進(jìn)行訪(fǎng)問(wèn)。 2）基于任務(wù)的策略。它是基于身份的策略的一種變形，它給每一個(gè)體分配任務(wù)，并基于這些任務(wù)來(lái)使用授權(quán)規(guī)則。 3）多等級(jí)策略。它是基于信息敏感性的等級(jí)以及工作人員許可證等級(jí)而制定的般規(guī)則的策略。 訪(fǎng)問(wèn)控制策略有時(shí)也被分成指令性訪(fǎng)問(wèn)控制策略和選擇性訪(fǎng)問(wèn)控制策略?xún)深?lèi),1.2電子商務(wù)的安全需求,1.2.2安全策略 3.責(zé)任

23、支撐所有安全控制策略的一個(gè)根本原則是責(zé)任(Accountability)。 受到安全策略制約的任何個(gè)體在執(zhí)行任務(wù)時(shí)，需要對(duì)他們的行動(dòng)負(fù)責(zé)任。這與人事安全有十分重要的關(guān)聯(lián)。 某些網(wǎng)絡(luò)防護(hù)措施，包括認(rèn)證工作人員的身份以及與這種身份相關(guān)的活動(dòng)，都直接支持這一原則,1.2電子商務(wù)的安全需求,1.2.3安全威脅分析 1)基本安全威脅 2)主要可實(shí)現(xiàn)的威脅 3)主要的植入威脅 4)潛在威脅 5)媒體廢棄物,1.2電子商務(wù)的安全需求,1.2.3安全威脅分析 1)基本安全威脅 1.信息泄露 2.完整性破壞 3.業(yè)務(wù)拒絕 4.非法使用,1.2電子商務(wù)的安全需求,1.2.3安全威脅分析 2)主要可實(shí)現(xiàn)的威脅 1.

24、假冒：指某個(gè)實(shí)體(人或者系統(tǒng))假裝成另外一個(gè)不同的實(shí)體。這是侵入某個(gè)安全防線(xiàn)的最為通用的方法。 2.旁路控制：為了獲得非授權(quán)的權(quán)利或特權(quán)，某個(gè)攻擊者會(huì)發(fā)掘系統(tǒng)的缺陷或安全性上的脆弱。 3.授權(quán)侵犯：指被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的。這也稱(chēng)做“內(nèi)部攻擊”。,1.2電子商務(wù)的安全需求,1.2.3安全威脅分析 3)主要的植入威脅 1.特洛伊木馬 特洛伊木馬指軟件中含有一個(gè)察覺(jué)不出的或者表面無(wú)害的程序段，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶(hù)的安全性。 2.陷阱門(mén) 陷阱門(mén)是指在某個(gè)系統(tǒng)或其部件中設(shè)置“機(jī)關(guān)”，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。,1.2電子商務(wù)的

25、安全需求,1.2.3安全威脅分析 4)潛在威脅 1.竊聽(tīng)。 2.業(yè)務(wù)流分析。 3.操作人員的不慎所導(dǎo)致的信息泄露。 4.媒體廢棄物導(dǎo)致的信息泄露。,1.2電子商務(wù)的安全需求,1.2.3安全威脅分析 5)媒體廢棄物 在丟棄的媒體中，恢復(fù)數(shù)據(jù)和信息,1.2電子商務(wù)的安全需求,1.2.4網(wǎng)絡(luò)安全服務(wù) 1.安全服務(wù) 2.安全服務(wù)與安全威脅的關(guān)系 3.安全服務(wù)與安全機(jī)制的關(guān)系,1.2電子商務(wù)的安全需求,1.2.4網(wǎng)絡(luò)安全服務(wù) 1.安全服務(wù),1.2電子商務(wù)的安全需求,1.2.4網(wǎng)絡(luò)安全服務(wù) 2.安全服務(wù)與安全威脅的關(guān)系,1.2電子商務(wù)的安全需求,1.2.4網(wǎng)絡(luò)安全服務(wù) 3.安全服務(wù)與安全機(jī)制的關(guān)系,1.3電子商務(wù)安全體系結(jié)構(gòu),1.3電子商務(wù)安全體系結(jié)構(gòu),1.4電子商務(wù)安全交易標(biāo)準(zhǔn),1.4.1安全套接層協(xié)議 1.4.2安全電子交易協(xié)議 1.4.3安全超文本傳輸協(xié)議 1.4.4安全交易技術(shù)協(xié)議 1.4.5安全電子郵件管理協(xié)議,1.4電子商務(wù)安全交易標(biāo)準(zhǔn),1.4.1安全套接層協(xié)議,1.4電子商務(wù)安全交易標(biāo)準(zhǔn),1.4.2安全電子交易協(xié)議 安全電子交易協(xié)議SET（Secure Electronic Tran