《电子商务安全与管理》第4章ppt课件

1、 2006年8月第四章平安防备与对策第一节 平安防备战略概述 需求采取何种程度的平安级别、投资的多少、平安措施能否会影响用户对系统的运用方便性、能否能综合和完好地思索整个信息系统的平安问题、平安战略能否能顺应企业信息系统的开展需求、平安战略能否具备多种手段来实现等等问题，是平安战略制定中的一些原那么性问题。 平安战略是一套既定的规那么，信息平安一切行为必需遵照此套规那么。平安战略的制定与企业信息系统的功能和运作、企业的信息管理战略关系亲密。一、平安防备战略的制定原那么和步骤 一平安防备战略的制定原那么 1整体性原那么 2综合性、系统性原那么 3平衡性原那么 4一致性原那么 5易操作原那么 6顺

2、应性、灵敏性原那么 7多重维护原那么第一节 平安防备战略概述一、平安防备战略的制定原那么和步骤 二平安防备战略的制定步骤 确定目的； 确定范围； 争取来自高层管理的支持； 其他战略参考； 危险评价； 制定战略与成分决议； 战略评价。第一节 平安防备战略概述二、平安防备战略的根本内容 一系统总体平安战略 二物理平安防备战略 三访问权限控制战略 四信息加密战略 五黑客防备战略 六风险管理战略 七灾难恢复战略 总之，制定系统平安防备战略，安装电子商务平安系统，确定一套平安机制，只是网络系统平安性实施的第一步，只需各级组织机构都严厉执行电子商务平安的各项规定，仔细维护各自担任的分系统的网络平安性，才干

3、保证整个电子商务系统的整体平安性。第一节 平安防备战略概述第二节 物理平安防备与访问权限控制 保证计算机信息系统各种设备的物理平安是整个计算机信息系统平安的前提，物理平安是维护计算机网络设备、设备以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括以下三个方面：环境平安：对系统所在环境的平安维护，如区域维护 和灾难维护；设备平安：主要包括设备的防盗、防毁、防电磁信息 辐射走漏、防止线路截获、抗电磁干扰及 电源维护等；媒体平安：包括媒体数据的平安及媒体本身的平安。一、机房环境平安一制度平安二建筑平安三设备的防火、防盗、防雷、防静电第二节

4、物理平安防备与访问权限控制二、硬件防护 一物理平安 物理平安是指防止不测事件或人为破坏详细的物理设备，如效力器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为的蓄意破坏。 二设置平安 设置平安是指在设备上进展必要的设置(如效力器、交换机的密码等)，防止黑客获得硬件设备的远程控制权。比如许多网管往往没有在效力器或可网管的交换机上设置必要的密码，懂网络设备管理技术的人可以经过网络来获得效力器或交换机的控制权，这是非常危险的。由于路由器属于接入设备，必然要暴露在互联网黑客攻击的视野之中，因此需求采取更为严厉的平安管理措施，比如口令

5、加密、加载严厉的访问列表等。第二节 物理平安防备与访问权限控制三、访问权限控制一入网访问控制二网络的权限控制三客户端平安防护战略第二节 物理平安防备与访问权限控制第三节 风险评价与风险管理一、风险管理的规那么与步骤 风险管理的实际详细地把风险管理分为三个部分：风险确认、风险评价以及风险控制。在实际上，每个部分都有其完好的概念以及独立的功能，但在实践的运用上，这三个步骤的关系是严密而不可分割的。 一、风险管理的规那么与步骤 一风险管理的规那么 风险管理规那么包括以下三个阶段。 1评价阶段 2开发和实施阶段 3运转阶段第三节 风险评价与风险管理一、风险管理的规那么与步骤 二风险管理步骤 风险管理可

6、分三个主要步骤。 第一步，风险确认。 第二步，风险评价。 第三步，风险控制。第三节 风险评价与风险管理二、风险管理的对策与工具一风险管理的对策 通常采用的风险管理对策是纵深防御战略，纵深防御战略图如图4-1所示。 图4-1 纵深防御战略图第三节 风险评价与风险管理二、风险管理的对策与工具二风险管理的工具 风险管理工具可以用来发现和纠正网络平安的破绽。风险管理控制的工具可分为：风险逃避、防止损失、降低损失程度、资讯管理、风险转移，以及风险保管等。通俗地说，风险管理就是经过相应的技术、产品，协助用户了解本身网络的平安性、破绽所在、被攻击后破坏性有多大，同时协助用户处理破绽问题。第三节 风险评价与风

7、险管理三、风险评价一风险评价的概念 风险评价Risk Assessment是对信息系统面临的要挟、存在的弱点、呵斥的影响，以及三者综协作用而带来的风险能够性的评价。二风险评价的三种可行途径 1基线评价 2详细评价 3组合评价三风险评价的常用方法 1基于知识的分析方法 2基于模型的分析方法 3定量分析 4定性分析第三节 风险评价与风险管理第四节 电子商务的平安协议一、电子商务平安协议概述一平安协议系统模型二平安协议设计准那么三电子商务平安协议分类四电子商务平安协议的平安性五电子商务平安协议的平安性分析二、SSL与SET平安协议一SSL协议 1SSL协议概述 SSL的协议框架构造以及与TCP/IP

8、的关系如图4-2所示。图4-2 SSL协议框架构造以及与TCP/IP的关系第四节 电子商务的平安协议二、SSL与SET平安协议2SSL握手协议 SSL握手协议的实现过程如图4-3所示。图4-3 SSL协议的实现过程第四节 电子商务的平安协议二、SSL与SET平安协议3SSL记录层协议 SSL记录层协议采用对称加密来保证传输数据的严密性，经过MAC来保证传输数据的完好性，而且为了尽能够到达最大的严密性，添加了数据紧缩的步骤，发送和接纳时分别采用不同的MAC密钥和加密密钥进展处置。 SSL记录层协议的处置过程如图4-4所示。图4-4 SSL协议框架构造以及与TCP/IP的关系第四节 电子商务的平安

9、协议二、SSL与SET平安协议 4SSL报警协议(SSL Alert Protocol) 5SSL更改密钥协议 6SSL协议平安性分析 握手协议的平安性。 记录协议的平安分析。 SSL协议的平安破绽。第四节 电子商务的平安协议二、SSL与SET平安协议7SSL协议在Windows2000中的配置与运用 SSL协议的典型运用主要有两个方面：一是客户端，如阅读器等；另外一个就是效力器端，如WEB效力器和运用效力器等。图4-5中给出了在Windows2000中信息效力IIS的配置。图4-5 IIS“目录平安性配置第四节 电子商务的平安协议二、SSL与SET平安协议二SET协议 1SET协议概述 2S

10、ET协议的系统构造图4-6 SET协议的系统构造第四节 电子商务的平安协议二、SSL与SET平安协议二SET协议 3SET协议买卖流程 购物恳求 授权恳求 扣款恳求 4SET协议规范 5SET协议采用的平安技术 6SET协议的平安性分析第四节 电子商务的平安协议二、SSL与SET平安协议三SET协议和SSL协议的比较 SSL与SET协议的区别还可以从下面的几个方面进展比较： 1买卖效率 2认证机制 3平安性 4协议层次和功能 5运用范围第四节 电子商务的平安协议三、其他电子商务平安协议一电子支付公用协议 1ISI协议 2. NetBill协议 3First Virtual协议 4iKP协议第四

11、节 电子商务的平安协议三、其他电子商务平安协议二平安超文本传输协议 1S-HTTP协议概述 平安超文本传输协议S-是一种面向平安信息通讯的协议，它可以和HTTP结合起来运用。S-HTTP能与HTTP信息模型共存并易于与HTTP运用程序相整合。S-HTTP协议为HTTP客户机和效力器提供了多种平安机制，提供平安效力选项是为了适用于万维网上各类潜在用户。 2S-HTTP协议构造第四节 电子商务的平安协议三、其他电子商务平安协议三平安电子邮件协议 1电子邮件平安规范 2Outlook Express下的平安电子邮件传送 1获取数字标识数字证书 2运用数字标识数字证书 3备份数字标识数字证书 4平安电

12、子邮件 第四节 电子商务的平安协议三、其他电子商务平安协议四Internet电子数据交换(EDI)协议 1EDI概述 2EDI的特点、运用范围和优势 3EDI系统的平安性问题 4EDI系统的平安战略 1存取控制 2坚持信息追踪 3密封信封第四节 电子商务的平安协议第五节 公钥根底设备(PKI)一、PKI的根本概念与功能一PKI概述 1PKI根本概念 2PKI的体系构造 3PKI的功能 4PKI的性能要求 5PKI加密/签名密钥对的运用原理第五节 公钥根底设备(PKI)一、PKI的根本概念与功能一PKI概述图4-7 PKI处理方案表示图第五节 公钥根底设备(PKI)一、PKI的根本概念与功能一P

13、KI概述图4-8 PKI组成框图二、PKI的信任模型一相关概念二信任模型 1认证机构的严厉层次构造模型 2分布式信任构造模型 3Web模型 4以用户为中心的信任模型图4-9 分布式信任构造模型图4-10 WEB信任构造模型第五节 公钥根底设备(PKI)三、PKI管理机构认证中心(CA)一CA的功能 1CA的系统目的 2CA的功能 1证书恳求与审批 2证书颁发 3证书作废 4证书更新 5证书归档 6密钥管理 7日志查询第五节 公钥根底设备(PKI)三、PKI管理机构认证中心(CA)二CA的组成与体系构造 1CA的组成 2CA的体系构造 1注册效力器 2认证中心效力器 3证书恳求受理和审核机构第五

14、节 公钥根底设备(PKI)四、PKI中心产品数字证书 一数字证书 1数字证书的概念 2X.509证书类型 1效力器数字证书 2机构数字证书 3个人签名证书 4机构签名证书 5个人数字证书第五节 公钥根底设备(PKI)四、PKI中心产品数字证书 一数字证书 1数字证书的概念 2X.509证书类型 1效力器数字证书 2机构数字证书 3个人签名证书 4机构签名证书 5个人数字证书 3数字证书的功能 1身份认证 2加密传输信息 3抗否认性 4不可修正性 4数字证书的格式第五节 公钥根底设备(PKI)四、PKI中心产品数字证书 二国内外PKI体系建立现状 美国很早就努力于PKI的研讨，其PKI技术相对较

15、为成熟。目前的研讨主要集中在CA交叉认证，已提出了带桥接CA方式的联邦PKIFPKI)体系。 加拿大政府也发布了GOCPKI(the Government of Canada Public-Key Infrastructure)，定义了适用于加拿大政府运用的PKI，欧洲那么提出了EuroPKI，以处理各国PKI的协同任务问题。 目前我国正进展着PKI建立，曾经建成大型的行业性或是区域性CA 60多个，除此之外还有许多企事业单位内部建立的小型CA。影响最大的行业性CA有：中国金融认证中心(CFCA)、中国电信认证中心(CTCA)；影响较大的区域性CA有上海CA认证中心和广东CA认证中心等。第五节

16、 公钥根底设备(PKI)四、PKI中心产品数字证书 三国家PKI根本目的及建立的主要任务 国家PKI体系建立的总体目的是：建立科学、权威、平安、可靠和互通的完好PKI体系，推进国家信息化建立的安康开展。图4-11 国家PKI体系构造第五节 公钥根底设备(PKI)四、PKI中心产品数字证书三国家PKI根本目的及建立的主要任务 1国家电子政务PKI体系 2国家公共PKI体系 3. 国家电子政务PKI与国家公共PKI的关系 4目前PKI建立的主要任务 图4-12 国家电子政务PKI体系构造第五节 公钥根底设备(PKI)本章小结 本章对平安防备战略及其相关实际、电子商务平安协议、PKI做了详细引见。主要内容包括：平安防备战略制定的根本准那么、制定步