电子商务安全第一章.ppt

第 1章 电子商务安全的现状和趋势,2,1.1 电子商务安全问题 1.2 触发电子商务安全问题的原因 1.3 电子商务安全的概念与基本要求 1.4 电子商务安全的现状 1.5 网络安全的十大不稳定因素 1.6 电子商务安全防治措施 1.7 电子商务安全举措,3,1.1 电子商务安全问题,电子商务发展的核心和关键问题是 交易的安全性 1.1.1技术威胁 信息的截获和窃取 信息的篡改 信息的假冒 交易抵赖 1.1.2 黑客攻击 1.1.3 病毒 1.1.4 网络仿冒,4,网络安全面临的威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,5,1.1.3 病毒 蠕虫病毒 蠕虫主要是利用系统的漏洞进行自动传播复制，由于传播过程中产生巨大的扫描或其他攻击流量，从而使网络流量急剧上升，造成网络访问速度变慢甚至瘫痪。,1.1 电子商务安全问题,6,1.1.4 黑客攻击 网页篡改 耐克网站被黑客篡改,1.1 电子商务安全问题,7,1.1.3 黑客攻击 网页篡改 2004年中国大陆网页篡改情况（单位：件）,1.1 电子商务安全问题,8,1.1.3黑客攻击 僵尸网络 僵尸网络也称为BotNet。Bot是robot的简写，通常是指可以自动地执行预定义的功能，可以被预定义的命令控制，具有一定人工智能的程序。,1.1 电子商务安全问题,9,1.1.4 网络仿冒 2004年网络仿冒事件报告（单位：起）,1.1 电子商务安全问题,10,1.1.2、对电子商务交易各方的威胁 对商家的威胁 对消费者的威胁,11,1.1.3、中国电子商务面临的安全威胁 国内几乎所有的计算机主机、网络交换机、路由器和网络操作系统都来自国外。 进入我国的电子商务和网络安全产品均只能提供较短密钥长度的弱加密算法。,12,1.2 触发电子商务安全问题的原因,1.2.1 先天原因 1.2.2 后天原因 1.管理 2.人 3.技术,13,1.2.1 先天原因 网络的全球性、开放性和共享性使得电子商务传输过程中的信息安全存在先天不足。 1.2.2 后天原因 管理美国90%的IT企业对黑客的攻击准备不足。 人黑客攻击 技术软件漏洞、后门,1.2 触发电子商务安全问题的原因,1.3 电子商务安全的概念与基本要求,1.3.1 电子商务系统安全的构成 1.系统实体安全 2.系统运行安全 3.信息安全 1.3.2 电子商务安全的需求,15,电子商务交易示意图,1.3 电子商务安全的概念与基本要求,16,1.3.1 电子商务系统安全的构成 计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。,1.3 电子商务安全的概念与基本要求,17,1.3.1 电子商务系统安全的构成,1.3 电子商务安全的概念与基本要求,18,1.3.1 电子商务系统安全的构成 1.系统实体安全 2.系统运行安全 3.信息安全,1.3 电子商务安全的概念与基本要求,19,1.3 电子商务安全的概念与基本要求,1.3.2 电子商务安全的需求,电子商务安全的中心内容,机密性,完整性,认证性,访问控制性,不可拒绝性,不可否认性,20,商务数据的机密性（Confidentiality） 信息在网络上传送或存储的过程中，不被他人窃取，不被泄露给未经授权的人或组织，或者经过加密后，使未经授权者无法了解其内容。 机密性的另一方面是保护通信流特性（通信源、目的地、频率、长度等），以防止被分析。,21,商务数据的完整性（Integrity） 保护数据不被未授权者修改、删除、重复传送、建立、嵌入或由于其他原因使原始数据被更改。 在传输过程中，如果接收端收到的信息与发送的信息完全一样，则说明在传输过程中信息具有完整性。 注意： 加密的信息在传输过程中，完整性也可能遭到破坏。,22,商务对象的认证性（Authentication） 商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份。 认证性用数字签名和身份认证技术实现 商务服务的不可否认性（Non-repudiation） 商务服务的不可否认性（Non-repudiation） 信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。 不可否认性主要用于对付来自其他合法用户的威胁。,23,商务服务的不可拒绝性（Denial of service） 商务服务的不可拒绝性，也称可用性，是保证授权用户在正常访问信息和资源时不被拒绝或延迟，即保证为用户提供稳定的服务。 访问的控制性（Access control） 访问控制性用于保护计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。,24,1.4 电子商务安全的现状,1.4.1 涉密计算机网络的六大隐患 1.4.2信息安全与十大关系 1.4.3国内外安全现状与趋势,25,1.4 电子商务安全的现状,1.4.1涉密计算机网络的六大隐患 1）网络建设中重应用轻安全保密； 2）涉密网与互联网联接 3）两网一机隐患多 4）注重防范外部入侵，忽视内部控制 5）涉密移动存储介质管理混乱 6）笔记本电脑使用管理缺少监督,26,1.4 电子商务安全的现状,1.4.2信息安全与十大关系 1、信息安全的三个发展阶段 （1）数据安全 （2）网络安全 （3）交易安全 2、交易安全的三个主要方面 （1）可信计算 （2）可信连接 （3）可信交易,27,1.4 电子商务安全的现状,1.4.2 信息安全与十大关系 3、交易的关键技术 （1）代理技术 （2）可信认证技术,28,4、十大关系 物理世界和网络世界 生物特征和逻辑特征 手写签名和数字签名 自身证明和第三方证明 对称密码和非对称密码 加密算法的保密性和认证算法的公开性 CA证书和ID证书 证明链和信任链 Security 和 assurance 安全性和可信性。,1.4 电子商务安全的现状,29,1.4.3 国内外现状与发展趋势,美国 1998年5月22日总统令(PDD-63)：保护美国关键基础设施 围绕“信息保障”成立了多个组织，包括：全国信息保障委员会、 全国信息保障同盟、关键基础设施保障办公室、首席信息官委员 会、联邦计算机事件响应行动组等十多个全国性机构 1998年美国国家安全局（NSA）制定了信息保障技术框架 （IATF）,提出了“深度防御策略”，确定了包括网络与基础设施 防御、区域边界防御、计算环境防御和支撑性基础设施的深度防 御目标 2000年1月，发布保卫美国计算机空间保护信息系统的国家 计划。分析了美国关键基础设施所面临的威胁，确定了计划的 目标和范围，制定出联邦政府关键基础设施保护计划（民用机构 和国防部），以及私营部门、洲和地方政府的关键基础设施保障 框架。,30,俄罗斯 1995年颁布联邦信息、信息化和信息保护法，为 提供高效益、高质量的信息保障创造条件，明确界定 了信息资源开放和保密的范畴，提出了保护信息的法 律责任。 1997年出台俄罗斯国家安全构想。明确提出“保 障国家安全应把保障经济安全放在第一位”，而“信息 安全又是经济安全的重中之重。 2000年普京总统批准了国家信息安全学说，明确 了联邦信息安全建设的任务、原则和主要内容。第一 次明确了俄罗斯在信息领域的利益是什么，受到的威 胁是什么，以及为确保信息安全首先要采取的措施 等。,国内外现状与发展趋势,31,日本： 出台21世纪信息通信构想和信息通信产业技术 战略，强调“信息安全保障是日本综合安全保障体系 的核心”。 加紧建立与信安全相关的政策和法律法规，发布了 信息通信网络安全可靠性基准和IT安全政策指 南。 成立了信息安全措施促进办公室，综合安全保障阁僚 会议、IT安全专家委员会和内阁办公室下的IT安全分 局。,国内外现状与发展趋势,32,中国： 制定了一系列基本管理办法 “中华人民共和国计算机安全保护条例” “中华人民共和国商用密码管理条例” “计算机信息网络国际联网管理暂行办法” “计算机信息网络国际联网安全保护管理办法” “计算机信息系统安全等级划分标准”等 刑法修订中，增加了有关计算机犯罪的条款 尚未形成完整的体系,国内外现状与发展趋势,33,1.5 网络安全的十大不稳定因素,1. Cookie 2. CGI 3. Java 4. 自由软件 5. 电子邮件 6. 微软 7. 认证和授权 8. Linux 9. ICP 10. 网络管理员,34,1.6 电子商务安全防治措施,1.6.1 技术措施 1.6.2 管理措施,35,1.6 电子商务安全防治措施,1.6.1 技术措施 1.网络安全检测设备 2.访问设备 3.防火墙 4.浏览器/服务器软件 5.端口保护 6.访问控制,7.数据加密 8.数字证书 9.保护传输线路安全 10.路由选择机制 11.流量控制 12.防入侵措施,36,1.6 电子商务安全防治措施,1.6.2 管理措施 1.人员管理制度 2.保密制度 3.跟踪、审计、稽核制度 4.系统维护制度 硬件的日常管理与维护 软件的日常管理与维护 5.数据容灾制度 6.病毒防范制度 7.应急措施,37,1.7 电子商务安全举措,1.7.1 信息安全战略与对策 1.7.2 加强网络安全的十条建议,38,1.7 电子商务安全举措,1.7.1 信息安全战略与对策 我国信息安全保障应具备信息安全防护能力、安全隐患的发现能力、信息安全的应急能力、信息安全的对抗能力。具备这四种能力是我国信息安全保障体系建设所要达到的目标，要达到这一目标，与支撑我国信息安全保障的六大要素密不分： 一、组织管理 二、标准规范和法律,39,三、技术保障 四、产业支撑环境 五、信息安全六类基础设施 六、人才教育和培养,40,组织管理 组织管理体系建设已成为信息化建设保障环境中的重点，形成了一套从领导者到管理者再到技术人员的信息安全保障队伍。,41,标准规范和法律 2002年，我国在国家标准化总局下设了全国信息安全标准化技术委员会，该委员会下设十个标准化工作组，已经或正在制定的信息安全标准多达100多项，参照ISO17799国际标准，我国已将保障信息系统及其服务所要具有的“新老三性”写入即将出台的国家信息安全管理标准，其中，老三性包括信息的保密性、完整性和可用性，而新三性则是指信息的真实性、可核查性和可靠性。 法规则有电子签名法、保密法、国家信息安全法等。,42,技术保障 信息安全的技术保障是信息安全保障体系的重要环节，所以要实现信息安全技术的保障就要做到以下几点： 一是要通过技术创新在关键核心技术领域生产出拥有自主版权的产品； 二是要做到信息安全关键技术可控； 三是要强调建立基础性技术体系； 四是要重视系统的物理安全技术的研究； 五是要关注具有前瞻性的高新技术的发展。,43,产业支撑环境 建立信息安全保障体系，一定要明确这样一个要求：我国的信息化及其他安全体系必须搭建在我国自主知识产权产品的基础之上，强大的产业支撑是安全的根本保障。经过多年发展，我国生产销售信息安全产品的公司已有上千家，但企业竞争力不强，整体实力较弱弱，产业链上下不配套，龙头产业还末形成。因此，如何发展壮大信息安全产业是非常重要的任务。,44,信息安全六类基础设施 （1）数字证书的认证体系 （2）信息安全产品和系统评测体系 （3）信息安全的应急支援体系 （4）信息系统的灾难恢复 （5）病毒防治体系 （6）网络监控和预警系统,45,人才教育和培养 保障信息安全，人才是关键，当今世界信息安全对抗需要大批具备高技术的复合型人才，要培养这方面的人才，尽快在高校中信息安全学科列为国家的重点学科，进一步加强普及在岗培训和各种安全资质认证教育，使社会上掌握信息安全知识的人越来越多，形成保障网络信息安全的千军万马，另外，还要重视对相关人员的普法教育和自律教育，规范他们的行为。,46,1.7 电子商务安全举措,1.7.2 加强网络安全的十条建议 1.安装操作系统和服务器所有的补丁程序。 2.为网络设备升级。 3.如果是通过网络服务商提供接入服务的，应当与网络服务商保持联系，不要让自己无意中卷入了拒绝服务攻击，时刻保证自己的设备安全无忧。 4.通过使用防火墙等方式，制定严格的网络安全规则，对进出网络的信息进行严格限定。 5.将网络的TCP超时限制缩短至15分钟（900秒），以减少黑客进攻的窗口机会。 6.扩大连接表，增加黑客填充整个连接表的难度。 7.时刻监测系统的日志文件和网络信息流向，以便及时发现任何异常之处。 8.经常对整个网络进行扫描，以发现任何安全隐患，如软件漏洞等。 9.尽量减少暴露在互联网上的系统和服务的数量。 10.路由器要安装必要的过滤规则。,47,本章小结,本章概述了电子商务安全的现状和趋势，提出了进行电子商务安全技术研究的现实意义。电子商务安全主要核心是交易安全其次网络安全信息安全。 电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及其他方面的各种不可预测的风险。 从计算机信息系统的角度看，电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全3个部分来组成的。只有提供了保密性、完整性、认证性、可控性、不可否认性5方面安全性，才满足电子商务安全的基本需求。信息安全的发展及目前社会中十大关系。 电子商务的安全发展必须依靠法律的保障。世界范围内已陆续有多个国家承认电子合同、电子签名、电子商务凭证等的法律效力，为电子商务提供了一个