搜索
电子商务第10版第10章电子商务的安全©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition22学习目标•在线交易中存在的安全风险和应对措施•创建安全策略•客户机的安全•计算机之间通信信道的安全•Web服务器的安全•推动计算机、网络和互联网安全的组织©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition310.1在线安全问题概述•互联网发展早期–最流行的应用:电子邮件•今天风险更大了–电子邮件、购物、各种类型的金融交易•网上购物的顾客普遍担心的是–信用卡号在互联网上传输时被盗–很可能从存储它的计算机上失窃•本章主题:电子商务情景下的安全问题©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition410.1.1互联计算机系统的安全问题起源•罗马帝国所采用的数据安全措施–对信息进行编码来防止敌人了解罗马军团的秘密战争和防御计划•现代电子安全技术–国防部战时使用•“橙皮书”:强制执行的访问控制规则•商业计算机–最初采用军事安全方法•今天的计算技术–要求更为综合的计算机安全计划4©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition510.1.2计算机安全和风险管理•计算机安全–保护资产免于未经授权的访问、使用、篡改或破坏•物理安全–包括有形的保护设备•警铃、保卫、防火门、安全栅栏、保险箱和防爆建筑物等•逻辑安全–使用非物理的手段来保护资产©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition610.1.2计算机安全和风险管理(续)•威胁–对计算机资产带来危险的任何行动或对象•安全措施–程序(物理的或逻辑的)•识别、减少、消除威胁–安全措施的范围和费用•根据资产的重要性不同而有所不同6©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition710.1.2计算机安全和风险管理(续)•风险管理模型–组织通常会采用的四种行动•影响(成本)和物理威胁的概率–这种风险模型也可以应用在保护互联网或电子商务资产免受物理或电子的安全威胁•电子安全威胁的例子:–欺诈、窃听和盗窃•窃听者(人或设备)–能听到并复制互联网上传输内容7©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition8图10-1风险管理模型©圣智学习2013©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition910.1.2计算机安全和风险管理(续)•骇客或黑客(人)–编写程序;掌握技术•获取对计算机和网络的非法访问•白帽黑客和黑帽黑客–区分好的黑客和坏的黑客•良好的安全方案的实现–识别风险–确定对手到安全威胁的资产的保护措施–计算保护资产的成本©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition1010.1.3计算机安全要素•保密性–防止未授权的数据泄露–确保数据源的真实性•完整性–防止未经授权的数据修改–中间人攻击•截获电子邮件信息;内容在发送到原始目的地之前被改动•即需性–防止数据延迟或决绝服务(去除)–推迟消息或完全摧毁它©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition10.1.4制定安全策略•安全策略–要保护的资产以及原因,保护责任人,哪些行为可以接受,哪些行为不可以接受–物理安全、网络安全、访问授权、病毒防护、灾难恢复等•军事安全策略:强调多级安全的分级•企业信息分级–公开–公司秘密11©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition1210.1.4制定安全策略(续)•制定安全策略的步骤–确定要保护哪些资产免受哪些安全威胁–确定对系统不同部分的访问权限–识别可以用来保护资产的资源–开发出书面的安全策略–投入资源•全面的安全计划目标–保护保密性、完整性和可用性;认证–应该满足图10-2中所列的各项要求©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition1310.1.4制定安全策略(续)•安全策略方面的信息源–WindowSecurity.com网站–信息安全策略世界网站•绝对的安全:难以实现–设置充分的障碍来阻止有意图的违犯者–减低自然灾害和恐怖袭击的影响•综合的安全–将所有的安全措施协同起来•防止未经授权的资产暴露、破坏或修改©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition1410.1.4制定安全策略(续)•安全策略要点–认证:是谁在试图访问该站点?–访问控制:允许谁登录并访问该站点?–保密性:谁被允许查看选定的信息?–数据完整性:允许谁修改数据?–审计:是什么人或什么原因导致了具体时间的发生,以及时间?©2013CengageLearning.AllRightsReserved.ThiseditionisintendedforuseoutsideoftheU.S.only,withcontentthatmaybedifferentfromtheU.S.Edition.Maynotbescanned,copied,duplicated,orpostedtoapubliclyaccessiblewebsite,inwholeorinpart.E-Business,TenthEdition1510.2客户机的安全•客户端计算机–必须加以保护,免受威胁•安全威胁–源自软件或下载的数据–恶意的服务器网站伪装成为合法的站点•本节主题按照交易处理流来组织–从消费者开始–到电子商务网站上的Web服