第1章电子商务安全导论1

电子商务安全导论第1章电子商务安全基础电子商务专业课电子商务安全导论2第1章电子商务安全基础1.1电子商务概述1.2电子商务安全基础1.3计算机安全等级电子商务安全导论31.1.1什么是电子商务•商务：是经济领域特别是市场经济环境下的一种社会活动，它涉及货品、服务、金融、知识信息等的交易。–生产者（卖者、企业机构）：Business–消费者（买者、消费者）：Consumer–管理者（市场、政府）：Government•电子商务：建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。电子商务安全导论41.1.1什么是电子商务•第一代的电子商务：通过专用网络进行的电子数据交换(EDI,ElectronicDataInterchange)，实现BtoB(BusinesstoBusiness,B2B)方式的交易。•现代电子商务：电子商务就是在因特网(Internet)进行的商务活动。•历史唯物主义观点：生产力的发展不以人们的意志为转移，生产力改变了，生产关系和各种社会上层建筑都将随之改变。电子商务安全导论51.1.2电子商务的框架构成及模式•涉及主客体关系：–BtoB，企业机构之间的电子商务活动–BtoC，企业机构和消费者之间的电子商务活动–CtoC，消费者之间的电子商务活动–BtoG，企业机构和政府之间的电子商务活动–CtoG，消费者和政府之间的电子商务活动（书中缺少此项）•技术要素：–网络：计算机通信技术–应用软件：计算机软件技术–硬件：计算机硬件技术电子商务安全导论61.1.2电子商务的框架构成及模式电子商务安全导论71.1.2电子商务的框架构成及模式•几种常见的电子商务模式：–大字报/告示牌模式：Email推销，垃圾邮件–在线黄页簿模式：静态网页，技术门槛低–电脑空间上的小册子模式：动态网页，Web应用–虚拟百货店模式：网上商店，减少流通费用–预订/订购模式：软件销售，不需要物流–广告推销模式：搜索引擎的生存方式，成为一个广告商电子商务安全导论81.1.3Internet、Intranet和Extranet•Internet：通过传输控制协议(TCP)和网际协议(IP)交换数据的计算机通信网络。（因特网）•Intranet：指基于TCP/IP协议的企业内部网络，它通过防火墙或其它安全机制与Internet建立连接。Intranet上提供的服务主要面向的是企业内部。（内联网）•Extranet：指基于TCP/IP协议的企业外域网络，它是一种企业之间的合作性网络。（外连网）电子商务安全导论91.1.3Internet、Intranet和Extranet•互联网(Internet)是指由多个计算机网络汇集而成的一个网络集合体。•计算机网络=计算机技术+通信技术。•计算机技术和通信技术的发展均受硬件物理材料科学的制约。电子管、晶体管、集成电路、超大规模集成电路。电子器件体积尺寸越来越小，性能越来越稳定，能耗越来越小。•美国国防部创建ARPAnet的目的，是使美国一旦受到核袭击时，仍能借助计算机网络保持良好的指挥和通信能力。•AdvancedResearchProjectsAgencyNet电子商务安全导论101.1.3Internet、Intranet和Extranet•为使不同基地和场所的不同类型的计算机进行正常通信，ARPA开发了TCP/IP通用网络通信协议(TCP/IP，TransmissionControlProtocol/InternetProtocol)。随着光纤通信技术的发展和应用，千兆和万兆位计算机网络已经在全球普及。•TCP/IP是“无冕之王”，事实上的计算机网络业界标准。但是，网络的国际标准却是ISO(InternationalOrganizationforStandardization)于1984年公布的OSI参考模型(ReferenceModelofOpenSystemsInterconnection)，该模型分为7层，作为制定网络协议的标准框架。电子商务安全导论111.1.4电子商务的发展过程•传统电子商务：第一代的电子商务，EDI技术。•现代电子商务：Internet技术。–1995年：网络基础设施大量兴建；–1996年：应用软件及服务成为热点；–1997年：网址及内容管理的建设发展；–1998年（最热闹的1年）至今：网上交易蓬勃发展。(零售业上网)电子商务安全导论121.1.5发展电子商务的驱动力•信息产品硬件制造商（IBM,HP,SUN,Sisco）•信息产品软件制造商(Microsoft,Netscape)•大型网上服务厂商(AOL,Yahoo,Netcenter)•银行和金融机构•大企业(CE)•政府•现在，还有“个人”（这是因为有Web应用技术的发展）电子商务安全导论131.2电子商务安全基础•1.2.1电子商务存在的安全隐患•1.2.2电子商务系统可能遭受的攻击•1.2.3电子商务安全的中心内容•1.2.4电子商务安全威胁的现状•1.2.5产生电子商务安全威胁的原因•1.2.6可以采取的相应政策**电子商务安全导论141.2.1电子商务存在的安全隐患电子商务存在的安全隐患涉及以下两方面：1.计算机系统的安全①硬件系统②软件系统2.电子商务的安全①数据安全：数据大量、商业机密②交易的安全：交易手续、收据凭证、签名盖章，避免恶意诈骗。电子商务安全导论151.2.2电子商务系统可能遭受的攻击(1)系统穿透：假冒合法用户。(2)违反授权原则：越权访问。(3)植入：如木马(4)通信监视：如搭线窃听等(5)通信窜扰(6)中断(7)拒绝服务(8)否认(9)病毒电子商务安全导论161.2.3电子商务安全的中心内容六项中心内容：********1.商务数据的机密性2.商务数据的完整性3.商务对象的认证性4.商务服务的不可否认性5.商务服务的不可拒绝性6.访问的控制性7.其它内容匿名性业务（业务分离、个人隐私）电子商务安全导论171.2.5产生电子商务安全威胁的原因1.Internet在安全方面的缺陷(1)Internet的安全漏洞Internet起源于“传输冗余”，而非“传输安全”(2)TCP/IP协议及其应用的不安全性2.我国电子商务安全威胁的特殊原因(1)我国的计算机主机、网络交换机、路由器和网络操作系统大多来自国外。(2)外国政府对计算机和网络安全技术的出口限制，使得进入我国并应用于电子商务的网络安全产品只有较短密钥长度的弱加密算法。电子商务安全导论181.2.5产生电子商务安全威胁的原因(1)Internet的安全漏洞①Internet各个环节的安全漏洞客户端软件(Web浏览器)、客户端的操作系统、客户端的局域网、Internet网络、服务端的局域网、服务器上的服务器软件(Web服务器)电子商务安全导论191.2.5产生电子商务安全威胁的原因(1)Internet的安全漏洞②外界攻击，Internet安全的类型分为主动攻击(明显可知)、被动攻击(窃听信息)•截断信息（可用性）•伪造（机密性、完整性、认证性）•篡改（机密性、完整性、认证性）•介入（窃听，机密性）电子商务安全导论201.2.5产生电子商务安全威胁的原因(1)Internet的安全漏洞③局域网服务和相互信任主机的安全漏洞•分布式管理：口令文件•系统共享文件和数据：•门多不安全，言多必失电子商务安全导论211.2.5产生电子商务安全威胁的原因(1)Internet的安全漏洞④设备或软件的复杂性带来的安全隐患•访问控制配置不当•大型系统软件的复杂性电子商务安全导论221.2.5产生电子商务安全威胁的原因(2)TCP/IP协议及其应用的不安全性①TCP/IP协议简介•源主机：一个文件信息被拆分成多个有一定序号的IP包（目标IP地址+序号）传送出去•目的主机：将多个IP包按一定序号组合成一个文件信息•端到端(endtoend)的稳定连接：TCP•端到端的不稳定连接：UDP电子商务安全导论231.2.5产生电子商务安全威胁的原因(2)TCP/IP协议及其应用的不安全性②IP协议的安全隐患•针对IP的“拒绝服务”攻击•IP地址顺序号预测攻击•TCP协议支持入侵（在被攻击的目标网络中控制一台主机）•嗅探入侵（用一个合法用户的信息注册于一个分布式网络上，嗅探传送的IP数据包）电子商务安全导论241.2.5产生电子商务安全威胁的原因(2)TCP/IP协议及其应用的不安全性③HTTP和Web的不安全性•HTTP协议的特点：“无记忆状态”协议•HTTP协议中的不安全性•Web站点的安全隐患电子商务安全导论251.2.5产生电子商务安全威胁的原因电子商务安全导论261.2.5产生电子商务安全威胁的原因(2)TCP/IP协议及其应用的不安全性④E-mail、Telnet及网页的不安全性•E-mail的不安全性（ASCII明码）•入侵Telnet会话（Telnet本身的缺陷）•网页做假•电子邮件炸弹和电子邮件列表链接电子商务安全导论271.2.6可以采取的相应对策(1)保密业务(2)认证业务(3)接入控制业务(4)数据完整性业务(5)不可否认业务(6)研发自主知识产权的电子商务安全产品(7)按相关法律法规来规范企业电子商务设施的建设和管理电子商务安全导论281.3计算机安全等级美国国家计算机安全中心的“橘黄皮书”****《可信任的计算机安全评估标准》为计算机安全的不同级别制定了4个标准，由低到高分别为D、C（C1、C2）、B（B1、B2、B3）、A级电子商务安全导论291.3计算机安全等级(1)D：对用户没有验证(2)C（C1、C2）①C1：硬件加锁保护，用户注册，数据访问权限②C2：增加用户权限级别，采用系统审计机制(3)B（B1、B2、B3）①B1：存在多级安全保护②B2：结构化防护，软件、硬件、信息区分安全级别③B3：通过可信任途径链接网络系统(4)A：验证保护级，附加一个安全系统受监控的设计要求，合格的安全个体必须被审查后才能正常工作。电子商务安全导论302005年•21.电子商务系统可能遭受的攻击有(多选ABCDE)A.系统穿透B.植入C.违反授权原则D.通信监视E.计算机病毒26.美国的《可信任的计算机安全评估标准》为计算机安全制定了__4__级标准，其中_A_级是最安全的。38.电子商务安全的中心内容是什么?(5分)电子商务安全导论312006年1月•1．保证商业服务不可否认的手段主要是()A．数字水印B．数据加密C．身份认证D．数字签名•21．对Internet的攻击有多种类型，包括(ACE)(多选A．截断信息B．中断C．伪造D．病毒E．介入•26．电子商务安全的中心内容包括机密性，______，认证性，______，不可拒绝性和访问控制性。•31．接入控制（名词解释）•36．电子商务的安全需求包含哪些方面?（5分）•38．简述美国《可信任的计算机安全评估标准》中C1级和C2级的要求。•41．简述数据完整性。电子商务安全导论322006年10月•4.电子商务的安全需求不包括()A.可靠性B.稳定性C.真实性D.完整性•23.对Internet的攻击手段中伪造会威胁电子商务安全内容中的()多选A.商务数据的机密性B.商务数据的完整性C.商务对象的认证性D.商务服务的不可否认性E.商务服务的不可拒绝性•27.美国的橘黄皮书中为计算机安全的不同级别制定了个标准，其中C2级又称为。•39.电子商务中数据的完整性被破坏后会产生什么样的后果？电子商务安全导论332007年1月•14.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准，他们从高到低依次是（）•A.DCBAB.ABCD•C.B1B2ClC2D.C1C2B1B2•22.电子商务系统可能遭受的攻击有（）多选•A.系统穿透B.违反授权原则•C.植入D.通信监视•E.通信窜扰•27.电子商务系统中，商务对象的认证性用和技术实现。•31.电子商务的机密性（3分）•38.简述对Internet攻击的类型。（5分）电子商务安全导论342007年10月•9