第1章电子商务安全导论-课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第1章电子商务安全导论-课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 导论 课件
- 资源描述:
-
1、电子商务安全概论电子商务安全概论信息安全学科信息安全学科 信息安全是一个综合性交叉学科领域,它涉及数学、信息安全是一个综合性交叉学科领域,它涉及数学、密码学、计算机、通信、控制、人工智能、物理学、密码学、计算机、通信、控制、人工智能、物理学、生物学、安全工程、人文科学等诸多学科,是近几年生物学、安全工程、人文科学等诸多学科,是近几年迅速发展的一个热点学科领域。信息对抗和信息防护迅速发展的一个热点学科领域。信息对抗和信息防护是其核心热点,它的研究和发展又将刺激、推动和促是其核心热点,它的研究和发展又将刺激、推动和促进相关学科的研究和发展。进相关学科的研究和发展。电商安全涉及的领域电商安全涉及的领
2、域n综合、交叉的学科:综合、交叉的学科:密码学理论、计算机网络、操作系统密码学理论、计算机网络、操作系统、数据库技术、安全协议、数据库技术、安全协议、通信技通信技术、电子技术。术、电子技术。安全体系结构安全体系结构 安全的策略与管理,安全风险分析安全的策略与管理,安全风险分析 与计算机安全有关的法律问题与计算机安全有关的法律问题课程体系课程体系n密码学基础:古典密码、对称密码、公开密码、密钥管理、密码学基础:古典密码、对称密码、公开密码、密钥管理、机密性服务、网络加密、机密性服务、网络加密、PGPn认证理论与技术:认证基础、哈希算法、数字签名、时间认证理论与技术:认证基础、哈希算法、数字签名、
3、时间戳、消息认证、完整性服务、身份认证、不可否认服务、戳、消息认证、完整性服务、身份认证、不可否认服务、PKI认证体系、认证系统认证体系、认证系统n网络安全:安全协议、网络安全:安全协议、VPN、防火墙技术、入侵检测与防、防火墙技术、入侵检测与防护、移动安全护、移动安全n系统安全:操作系统的安全、访问控制服务、病毒防范、系统安全:操作系统的安全、访问控制服务、病毒防范、Web的安全、电子邮件的安全、数据库安全的安全、电子邮件的安全、数据库安全n安全应用:电子支付、安全应用:电子支付、PKI/CA应用、企业安全解决应用、企业安全解决n安全管理:风险管理、安全制度、法律法规、安全标准安全管理:风险
4、管理、安全制度、法律法规、安全标准讲授内容讲授内容n密码学基础密码学基础 古典古典密码学、现代加密方法、密码学、现代加密方法、公钥密码学等公钥密码学等n密码应用密码应用身份鉴别、身份鉴别、访问控制等访问控制等n防火墙技术及其应用防火墙技术及其应用n网络扫描网络扫描nPKIn入侵检测技术入侵检测技术n响应和跟踪响应和跟踪nIPsec和和VPNnWeb安全安全n电子邮件的安全电子邮件的安全n操作系统安全操作系统安全n安全管理与安全评估安全管理与安全评估参考资料参考资料教材教材:n胡伟雄胡伟雄 主编,主编,电子商务安全与认证电子商务安全与认证,高等教育出版社,高等教育出版社,2010.1 参考书:参
5、考书:n胡伟雄胡伟雄 主编,主编,电子商务安全认证系统电子商务安全认证系统,华中师范大学出版社,华中师范大学出版社,2005.9 n Charles P.Pfleeger etc.,Security in Computing,Third Editionn李毅超李毅超 等译,等译,信息安全原理与应用信息安全原理与应用(第三版)(第三版),电子工业出版社,电子工业出版社,2004,7nRoss J.Anderson,Security Engineeringn蒋佳蒋佳 等译,等译,信息安全工程信息安全工程,机械工业出版社,机械工业出版社,2003,8nBruce Schneier,Applied C
6、ryptography,Protocols,algorithms,and source code in C(2nd Edition)n吴世忠、祝世雄、张文政等译,吴世忠、祝世雄、张文政等译,应用密码学应用密码学 协议、算法与协议、算法与C源程序源程序,机械工业出版社,机械工业出版社,2000,1n安全网站安全网站本课程对学生的要求本课程对学生的要求n基本课堂讲授基本课堂讲授+上机实践上机实践+课外研究型学习课外研究型学习的教的教学方式学方式n了解和掌握信息安全的基本原理、技术及最新研了解和掌握信息安全的基本原理、技术及最新研究成果究成果n具有信息安全的理论基础和较强实践能力具有信息安全的理论基
7、础和较强实践能力n课程教学分成基本、中级、高级三个层次要求,课程教学分成基本、中级、高级三个层次要求,不同学生可以自主选择时间和投入,以达基本以不同学生可以自主选择时间和投入,以达基本以上的更高级别上的更高级别n考试分平时作业考试分平时作业(40%20作业作业20试验试验)和期末笔试和期末笔试(60%)课时安排课时安排n第第27周,全部采用课堂讲授周,全部采用课堂讲授n第第8周起,每周一课堂讲授或讨论;双周三周起,每周一课堂讲授或讨论;双周三实验实验n第第18周,周三课堂总结周,周三课堂总结n实验地点:实验地点:9号楼号楼8楼实验室楼实验室n上课地点:上课地点:8110n如有异动,另行通知。如
8、有异动,另行通知。1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录网络安全形势网络安全形势n网络安全事件造成巨大损失网络安全事件造成巨大损失n任何组织都会遭受各种各样的攻击任何组织都会遭受各种各样的攻击n每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升n发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强n黑客职业化趋势明显黑客职业化趋势明显n面临严峻的安全形势面临严峻的安全形势网络安全事件造成
9、巨大损失网络安全事件造成巨大损失n在在FBI/CSI的一次抽样调查中,被调查的企业的一次抽样调查中,被调查的企业2004年度由年度由于网络安全事件直接造成的损失就达到于网络安全事件直接造成的损失就达到1.4亿美元亿美元怠工、蓄意破坏 系统渗透 Web页面替换 电信欺诈 电脑盗窃 无线网络的滥用 私有信息窃取 公共web应用的滥用 非授权访问 金融欺诈 内部网络的滥用 拒绝服务攻击 病毒事件 任何组织都会遭受攻击任何组织都会遭受攻击每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升 2004年年CVE全年收集漏洞信息全年收集漏洞信息1707条条 到到2005年到年到5月月6日就已经达到日就已经
10、达到1470条条年份年份漏洞数量漏洞数量1999742200040420018322002100620031049200417072005*1479发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强黑客的职业化趋势黑客的职业化趋势n不再是小孩的游戏,而是与不再是小孩的游戏,而是与¥挂钩挂钩n职业入侵者受网络商人或商业间谍雇职业入侵者受网络商人或商业间谍雇佣佣n不在网上公开身份,不为人知,但确不在网上公开身份,不为人知,但确实存在!实存在!n计算机水平通常很高,精通多种技术计算机水平通常很高,精通多种技术n攻击者对自己提出了更高的要求,不攻击者对自己提出了更高的要求,不再满
11、足于普通的技巧而转向底层研究再满足于普通的技巧而转向底层研究面临严峻的安全形势面临严峻的安全形势nSQL Injection等攻击方式对使用者要求较低,一个中等攻击方式对使用者要求较低,一个中学生就可以很快掌握并灵活应用学生就可以很快掌握并灵活应用n缓冲区溢出、格式串攻击已公开流传多年,越来越多的缓冲区溢出、格式串攻击已公开流传多年,越来越多的人掌握这些技巧人掌握这些技巧n少部分人掌握自行挖掘漏洞的能力,并且数量在增加少部分人掌握自行挖掘漏洞的能力,并且数量在增加n漏洞挖掘流程专业化,工具自动化:新工具的完善、自漏洞挖掘流程专业化,工具自动化:新工具的完善、自动化程度的提高使得漏洞挖掘时间缩短
12、,单位时间内能动化程度的提高使得漏洞挖掘时间缩短,单位时间内能挖掘出更多漏洞挖掘出更多漏洞n厂商为了声誉不完全公开产品的安全缺陷:漏洞私有,厂商为了声誉不完全公开产品的安全缺陷:漏洞私有,不为人知不为人知n“看不见的风险看不见的风险”只有前瞻的专业服务才能解决只有前瞻的专业服务才能解决不断发展的攻击技术不断发展的攻击技术一个典型网络环境一个典型网络环境n最有可能发生的安全事件最有可能发生的安全事件 病毒病毒n最有可能发生的安全事件最有可能发生的安全事件 恶意攻击者的攻击恶意攻击者的攻击(SQL Injection)n最有可能发生的安全事件最有可能发生的安全事件 拒绝服务攻击拒绝服务攻击(DDo
13、S、BotNet)n客户端攻击客户端攻击nGoogle Hacking(搜索引擎的利用)(搜索引擎的利用)nPhishing(网络钓鱼)(网络钓鱼)客户端攻击技术客户端攻击技术n在攻击服务端变得困难时,聪明的黑客把目标转向管理员在攻击服务端变得困难时,聪明的黑客把目标转向管理员的的PC以及其他客户机群,通过攻击客户端,安装内核键盘以及其他客户机群,通过攻击客户端,安装内核键盘记录器,获取密码后折返攻击服务器记录器,获取密码后折返攻击服务器n利用对象:利用对象:Windows漏洞、漏洞、IE、Outlook、Foxmail、Serv-U、IRC软件等软件等n客户端往往不被重视,加上客户端往往不被
14、重视,加上ARP欺骗、欺骗、SMB会话劫持等嗅会话劫持等嗅探密码的手段较容易控制探密码的手段较容易控制n通常还掺杂大量的社会工程学通常还掺杂大量的社会工程学Google HackingnGoogle Hacking 即:利用即:利用搜索引擎输入特定语法、关搜索引擎输入特定语法、关键字寻找可利用的渗透点,键字寻找可利用的渗透点,最终完成入侵。敏感的信息最终完成入侵。敏感的信息包括:包括:n目标站点的信息目标站点的信息n存储密码的文件存储密码的文件n后台管理和上传文件的后台管理和上传文件的 Web 页页n数据库数据库n特定扩展名的文件特定扩展名的文件n特定的特定的 Web 程序,如论坛程序,如论坛
15、Phishingn以假乱真,视觉陷阱以假乱真,视觉陷阱n域名类似域名类似 n身份伪装身份伪装 ?n编码编码 http:/210.134.161.35 http:/3532038435 http:/0 xD286A123n姜太公钓鱼,愿者上钩姜太公钓鱼,愿者上钩为什么安全变得非常重要为什么安全变得非常重要n进行网络攻击变得越来越简单n越来越多的个人或公司连入Internetn并不是所有的用户都具有基本的安全知识电子商务的安全风险电子商务的安全风险 信息传输风险信息传输风险 信用风险信用风险管理风险管理风险电子商务的信息传输风险电子商务的信息传输风险 n客户面临的风险客户面临的风险:欺骗性网站:欺
16、骗性网站、客户信、客户信息被盗、息被盗、Cookies文件文件、骗取密码、骗取密码 n销售商面临的风险销售商面临的风险:假客户:假客户、服务拒绝、服务拒绝、数据被窃取、数据被窃取 n企业自身面临的风险企业自身面临的风险:灾难风险:灾难风险、企业、企业内部网内部网、商务活动风险、商务活动风险 电子商务的信用风险电子商务的信用风险 n来自买方的信用风险来自买方的信用风险 n来自卖方的信用风险来自卖方的信用风险 n买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况电子商务的管理风险电子商务的管理风险 n交易流程管理风险交易流程管理风险 n人员管理风险人员管理风险 n网络交易技术管理的漏洞网络交易技术管
17、理的漏洞 电子商务的安全需求电子商务的安全需求n机密性机密性n完整性完整性n真实性(认证性)真实性(认证性)n可控性可控性n不可否认性不可否认性n可用性可用性1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录安全(安全(SecuritySecurity)nSecurity is“the quality or state of being secure-to be free from danger”n采取保护,防止来自攻击
18、者的有意或无意的破坏密码安全密码安全 n密码系统与密码的安全保护与安全应用密码系统与密码的安全保护与安全应用n密码安全是通信安全的最核心部分密码安全是通信安全的最核心部分 计算机安全计算机安全 n计算机系统的硬件、软件和数据受到保护,不计算机系统的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和显因偶然的和恶意的原因而遭到破坏、更改和显露,系统连续正常运行。露,系统连续正常运行。n计算机安全包括物理安全和逻辑安全。物理安计算机安全包括物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、
19、机破坏、丢失等。逻辑安全包括信息完整性、机密性和可用性。可用性指合法用户的正常请求密性和可用性。可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。能及时、正确、安全地得到服务或回应。网络安全网络安全 n指保证在任何两个实体之间的信息交流以指保证在任何两个实体之间的信息交流以及通信的安全可靠,满足计算机网络对信及通信的安全可靠,满足计算机网络对信息安全的可用性、实用性、完整性、真实息安全的可用性、实用性、完整性、真实性、机密性和占有性的要求。性、机密性和占有性的要求。n包括物理安全、通信安全、计算机安全、包括物理安全、通信安全、计算机安全、管理安全、人事安全、媒体安全和辐射安管理安全
20、、人事安全、媒体安全和辐射安全。从系统外来看,研究内容还包括管理全。从系统外来看,研究内容还包括管理和法律两个方面和法律两个方面 信息安全信息安全 n指信息的机密性、完整性、可用性和共享指信息的机密性、完整性、可用性和共享性等都能得到良好保护的一种状态。性等都能得到良好保护的一种状态。n信息安全涉及到信息存储的安全(又称信信息安全涉及到信息存储的安全(又称信息状态安全,即存储保密)、信息传输的息状态安全,即存储保密)、信息传输的安全(又称信息状态转移安全,即传输保安全(又称信息状态转移安全,即传输保密)和对网络传输信息内容的审计密)和对网络传输信息内容的审计 安全环安全环 密码安全计算机安全网
21、络安全信息安全密码安全计算机安全网络安全信息安全1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录概念概念 n安全威胁安全威胁是指某个人、物、事件或概念对是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合某一资源的机密性、完整性、可用性或合法使用所造成的危险。某种法使用所造成的危险。某种攻击攻击就是某种就是某种威胁的具体实现。威胁的具体实现。n脆弱性脆弱性是指在防护措施中和在缺少防护措是指在防护措施中和在缺
22、少防护措施时系统所具有的弱点。施时系统所具有的弱点。n风险风险是关于某个已知的、可能引发某种成是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。功攻击的脆弱性的代价的测度。n防护措施防护措施是指保护资源免受威胁的一些物是指保护资源免受威胁的一些物理的控制、机制、策略和过程。理的控制、机制、策略和过程。主要安全威胁主要安全威胁 完整性破坏完整性破坏信息泄露信息泄露拒绝服务拒绝服务非法使用非法使用窃听窃听业务流分析业务流分析电磁电磁/射频截获射频截获人员疏忽人员疏忽媒体废弃物媒体废弃物渗入渗入假冒欺骗假冒欺骗旁路控制旁路控制授权侵犯授权侵犯物理侵入物理侵入植入植入特洛伊木马特洛伊木马陷门
23、陷门业务欺骗业务欺骗窃取窃取截获截获/修改修改否认否认资源耗尽资源耗尽完整性破坏完整性破坏信息泄露信息泄露完整性破坏完整性破坏窃取窃取重放重放基本安全基本安全威胁威胁潜在威胁潜在威胁可实现威胁可实现威胁可实现威胁可实现威胁主要攻击主要攻击威胁的种类威胁的种类 1、按威胁的、按威胁的来源来源可分为可分为内部威胁内部威胁和和外部威胁外部威胁;内部威胁内部威胁:系统的合法用户以非授权方式访问系统。多数已知:系统的合法用户以非授权方式访问系统。多数已知的计算机犯罪都和系统安全遭受损害的内部攻击有密切的关系。的计算机犯罪都和系统安全遭受损害的内部攻击有密切的关系。防止内部威胁的保护方法防止内部威胁的保护
24、方法:a.a.对工作人员进行仔细审查;对工作人员进行仔细审查;b.b.仔细检查硬件、软件、安全策略和系统配制,以便在一定程仔细检查硬件、软件、安全策略和系统配制,以便在一定程度上保证运行的正确性度上保证运行的正确性(称为可信功能度称为可信功能度);c.审计跟踪以提高检测出这种攻击的可能性。审计跟踪以提高检测出这种攻击的可能性。威胁的种类威胁的种类 外部威胁外部威胁:外部威胁的实施也称远程攻击。:外部威胁的实施也称远程攻击。外部攻击可以使用的办法外部攻击可以使用的办法:a.搭线搭线(主动的与被动的主动的与被动的);b.截取辐射截取辐射;c.冒充为系统的授权用户冒充为系统的授权用户,或冒充为系统的
25、组成部分或冒充为系统的组成部分;d.为鉴别或访问控制机制设置旁路。为鉴别或访问控制机制设置旁路。威胁的种类威胁的种类2、从威胁的、从威胁的动机动机上看可以分为上看可以分为偶发性偶发性与与故意性故意性;偶发性威胁偶发性威胁:指那些不带预谋企图的威胁,包括自然:指那些不带预谋企图的威胁,包括自然灾害、系统故障灾害、系统故障,操作失误和软件出错。操作失误和软件出错。故意性威胁故意性威胁:指对计算机系统的有意图、有目的的威:指对计算机系统的有意图、有目的的威胁。范围可使用简单的监视工具进行随意的检测,或胁。范围可使用简单的监视工具进行随意的检测,或使用特别的系统知识进行精心的攻击。一种故意的威使用特别
展开阅读全文