第五讲第13章 知识产权及电子商务的安全威胁

HarbinInstituteofTechnology1第5讲电子商务安全(4学时)哈尔滨工业大学管理学院王泽彬Wangzebin@hit.edu.cn第13章电子商务中的安全问题HarbinInstituteofTechnology313.1安全概述13.2对知识产权的安全威胁13.3对电子商务的安全威胁13.4系统安全工程能力成熟度模型13.1安全概述HarbinInstituteofTechnology51988年11月3日蠕虫病毒康奈尔大学小罗伯特.莫里斯Unix电子邮件程序失控繁殖耗尽资源死机1999年4月26日CIH2000年2月6日yahoo、amazon、eBayDDOS分布式拒绝服务2000年春美、加、日、泰张贴信用卡号HarbinInstituteofTechnology6安全威胁对计算机资产带来危险的任何行动或对象都称为安全威胁安全措施安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称HarbinInstituteofTechnology7计算机安全计算机安全——保护企业资产不受未经授权的访问、使用、篡改或破坏。根据安全的形式可分为两类安全：物理安全：是指通过可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防暴建筑物等进行的保护。逻辑安全：使用非物理手段对资产进行保护称为逻辑安全。HarbinInstituteofTechnology8影响小（成本）影响大（成本）概率高概率低ⅠⅡⅢⅣ一般控制严格预防不用理会保险或备份计划IT系统风险管理模型Schneider&JamesHarbinInstituteofTechnology9根据安全的内容对安全分类保密性—防止未授权的数据暴露完整性—防止未授权的数据篡改即需性—防止延迟或拒绝服务HarbinInstituteofTechnology10计算机安全策略一个组织针对计算机安全问题制定的所需要保护的资产、保护的原因、谁负责保护、哪些行为可以接受、哪些行为不可以接受的方针政策。一般包括物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容。HarbinInstituteofTechnology11安全策略的内容身份认证：谁想访问电子商务网站访问控制：允许谁登录访问保密：谁有权查看特定信息数据完整性：数据修改的授权审计：由谁在何时导致了何事(日志)HarbinInstituteofTechnology12案例：医药电子商务安全案例金药网：中国医药电子商务平台是提供医药B2B的电子商务平台同时也是提供对医药B2B进行监督的电子政务平台HarbinInstituteofTechnology13医药及医疗器械招标采购电子商务平台招标投标开标评标采购HarbinInstituteofTechnology14电子商务系统的安全措施：屏蔽网页右键菜单功能，杜绝最基本的安全隐患。如果未加限制可以通过右键查看网页源代码，泄露一些网站的基本信息。会话期安全优化，数据加密传输。即使传输中被截获也不会泄露传输内容系统支持双通道数据存取。避免数据存储失败导致信息遗失。HarbinInstituteofTechnology15电子商务系统的安全措施：逻辑锁+表单、数据库内容加密存储。表单被非法修改，逻辑锁会发现并修正原有数据信息数据维护人员也不能获知存储的内容，杜绝数据内部泄密案例：1.计划单2.合同单3.入库单4.发票5.结存单现金（1001）减少：金额：333，293.80现金（1001）减少：摘要（餐费）金额：441.00第5号凭证财务要报的逐级追溯查询功能要报信息第5号凭证的明细构成明细凭证明细步骤一步骤二步骤一：追溯某一条要报信息的构成明细。步骤二：根据某一条明细记录追溯记账凭证。HarbinInstituteofTechnology18电子商务系统的安全措施：支持后台定期自动备份，具有快速灾难恢复功能。自动备份分为脱离原介质（刻制光盘）、脱离操作系统（异地备份）、脱离数据库（分离成备份文件）频繁访问自动屏蔽机制等安全筛选条件。如果达到每秒数百次的http请求，系统将自动屏蔽该访问请求HarbinInstituteofTechnology19中国互联网络信息中心(ChinaInternetNetworkInformationCenter，简称CNNIC)是成立于1997年6月3日的非营利管理与服务机构，行使国家互联网络信息中心的职责。CNNIC在业务上接受信息产业部领导，在行政上接受中国科学院领导。中国科学院计算机网络信息中心承担CNNIC的运行和管理工作。由国内知名专家、各大互联网络单位代表组成的CNNIC工作委员会，对CNNIC的建设、运行和管理进行监督和评定。HarbinInstituteofTechnology20CNNIC承担的主要职责：1．域名注册管理2．IP地址、AS号分配与管理3．目录数据库服务4．互联网寻址技术研发5．互联网调查与相关信息服务6．国际交流与政策调研7.承担中国互联网协会政策与资源工作委员会秘书处的工作13.2对知识产权的安全威胁HarbinInstituteofTechnology22网络环境下对知识产权的侵犯变得更为容易和普遍。知识产权是指对智力劳动成果所享有的占有、使用、处分和收益的权利。知识产权的类型分为六种，即著作权（版权）、专利权、商标权、发现权、发明权和其他科技成果权。版权是指原创作品拥有人可行使以下权利，包括：复制权、发行权、公演权、改编权及广播权，及有权禁止任何人于未获授权的情况下行使上述权利目前互联网上侵犯版权的损失额难以测量。Napster.comHarbinInstituteofTechnology23域名安全域名抢注—1999年11月美国反域名抢注消费者保护法案(ACPC)生效（网上商标保护法）保护公司的商标名称不被无此商标所有权者注册成域名域名变异—注册某些著名域名的变体或易错拼写13.3对电子商务的的安全威胁HarbinInstituteofTechnology25对电子商务的的安全威胁:1、对客户机的安全威胁2、对通信信道的安全威胁3、对服务器的安全威胁13.4系统安全工程能力成熟度模型HarbinInstituteofTechnology27用来刻画一个信息组织或信息系统安全工程过程基本特征的模型系统与认证体系。系统安全工程能力成熟度模型，SSE-CMMSystemsSecurityEngineeringCapabilityMaturityModelHarbinInstituteofTechnology28系统安全工程能力成熟度模型，SSE-CMMSystemsSecurityEngineeringCapabilityMaturityModelSSE-CMM的构想是1993年4月美国国家安全局(NSA)提出来的。在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下，汇聚了超过60个厂家，集中了大量的人力、物力和财力对该构想进行了开发实施1996年10月出版SSE-CMM模型的第一个版本1997年4月出版了评定方法的第一个版本1999年4月发布了SSE-CMM的2.0版本HarbinInstituteofTechnology291非正式实施2计划与跟踪3良好定义4定量控制5持续改进0没有实施执行了基础实施承诺实施计划实施规范实施跟踪实施验证实施定义标准过程剪裁标准过程使用数据执行已定义过程建立可度量的质量目标确定完成目标的过程能力有目的的管理实施建立量化过程的有效性目标改善过程的有效性安全工程组织的成熟度HarbinInstituteofTechnology30世界银行的调查显示印度软件的出口规模、质量和成本三项综合指数居世界首位。而包括SSE-CMM、SW-CMM在内的CMM体系在印度较广泛的推广，起了重要的作用。全球第5级的软件公司有2/3在印度。中国0。