《電子商務安全》PPT課件.ppt

第6章 電子商務安全,第1節(jié) 計算機與網絡安全,第2節(jié) 電子商務安全管理制度,第3節(jié) 計算機病毒,1.1.1 計算機安全問題主要 涉及的領域,計算機安全在工作上涉及的領域和它在技術上涉及的領域是不同的。傳統(tǒng)認為，在工作上它所涉及的領域可分為三類：,1.1.2 計算機安全控制的技術手段,實體的安全技術：電源防護技術；防盜技術；環(huán)境保護；電磁兼容性。 存取控制技術：可以分為身份認證、存取權限控制、數據庫保護等幾個層次。 病毒防治技術：從預防和清除兩個方面著手。 防火墻技術：防火墻應具有以下五大基本功能： 數據加密技術。, 過濾進出網絡的數據包； 管理進出網絡的訪問行為； 封堵某些禁止的訪問行為； 記錄通過防火墻的信息內容和活動； 對網絡攻擊進行檢測和告警。,1.1.3 計算機控制制度,計算機信息系統(tǒng)安全等級保護制度 計算機機房安全管理制度 計算機信息系統(tǒng)國際聯(lián)網備案制度 計算機信息媒體進出境申報制度 計算機信息系統(tǒng)使用單位安全負責制度 計算機案件強行報告制度 計算機病毒及其有害數據的專管制度 計算機信息系統(tǒng)安全專用產品銷售許可證制度,1.1.4 用于防范計算機犯罪的法律手段, 違反國家規(guī)定，侵入國家事務、國防建設、尖 端科學技術領域的計算機信息系統(tǒng)； 對計算機信息系統(tǒng)功能進行刪除、修改、增加、 干擾，造成計算機信息系統(tǒng)不能正常運行； 對計算機信息系統(tǒng)中存儲、處理或傳輸的數據 和應用程序進行刪除、修改、增加的操作； 故意制作、傳播計算機病毒等破壞性程序，影 響計算機系統(tǒng)的正常運行； 利用計算機實施金融詐騙、盜竊、貪污、挪用 公款、竊取國家秘密或其他犯罪行為等。,我國的新刑法確定了計算機犯罪的五種主要形式：,1.1.5 計算機安全術語,漏洞,威脅,威脅代理,攻擊,對策,1.2.1 對本地文件進行加密和解密,Office文件格式加密 壓縮軟件加密 Windows 2000/XP的加密,Word和Excel文件加密 Access文件加密,WinZip加密 WinRAR加密,1.2.2 對郵件進行加密和解密,端到端的安全電子郵件技術 ：目前比較流行的電子郵件加密軟件是PGP（Pretty Good Privacy）和S/MIME（Secure Multi-Part Intermail Mail Extension）。 傳輸層的安全電子郵件技術 ：一種是利用SSL SMTP和SSL POP ；另一種是利用VPN或者其他的IP通道技術，將所有的TCP/IP傳輸封裝起來 。,1.2.3 郵件服務器的安全和可靠性,網絡入侵（Network Intrusion）。其防范主要依賴于軟件編程時的嚴謹程度，一般選型時很難從外部衡量。 服務破壞（Denial of Service）。其防范可以從以下4個方面進行：,防止來自外部網絡的攻擊； 防止來自內部網絡的攻擊； 防止中繼攻擊； 為了靈活地制定規(guī)則以實現(xiàn)上述的防范措施， 郵件服務器應有專門的編程接口。,1.3.1 數字簽名,數字簽名和書面簽名有相同之處，采用數字簽名，能確認以下2點：,信息從簽發(fā)后到收到為止未曾做過任何修改。,信息是由簽名者發(fā)送的；,1.3.2 制定安全管理制度,電子商務安全需求主要有：交易實體身份真實性的需求；信息保密性的需求；信息完整性的需求；交易信息認可的需求；訪問控制的需求；信息的有效性需求。 電子商務安全隱患主要體現(xiàn)在以下幾個方面：,互聯(lián)網問題； 操作系統(tǒng)的安全問題； 應用軟件的安全問題； 通信傳輸協(xié)議的安全問題； 網絡管理安全問題。,1.3.3 安全電子商務結構,SSL（Secure Sockets Layer，安全套接層）協(xié)議和SET（Secure Electronic Transaction，安全電子交易）協(xié)議是安全交易體系中具有代表性的兩種交易規(guī)范。,1.4 網絡安全知識,網絡安全涉及的領域大致可以分為3個領域：,（1）社會經濟領域,（2）技術領域,（3）電子商務領域,2.2 網絡安全管理的一系列行政法規(guī),2.1 網絡安全的法律保障,2.1.1 利用新刑法打擊網絡犯罪,1997年10月1日施行的新刑法增加了計算機犯罪的新內容，并將計算機犯罪分為兩大類五種類型： 非法侵入計算機信息系統(tǒng)罪； 破壞計算機信息系統(tǒng)功能罪； 破壞計算機信息系統(tǒng)數據、應用程序罪； 制作、傳播計算機破壞程序罪； 以計算機為犯罪工具實施其他犯罪，如利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家機密、經濟情報或商業(yè)秘密等。 以上這些規(guī)定，對于網絡犯罪同樣適用。,2.1.2不斷完善地方性網絡安全管理行政法規(guī),由于計算機網絡發(fā)展速度極快， 而全國性的網絡安全法律的出 臺常常滯后，這就需要相應的 地方性行政法規(guī)出臺，以彌補 全國性法律的時滯。,2.1.3 加大法制宣傳力度，提高全民族的網絡安全意識,計算機網絡已經在全社會普及，網絡安全 也日益關系到每一個人的切身利益。我們 必須從戰(zhàn)略高度認識這一問題，在各個應 用領域、教育層次開展網絡安全教育，普 及網絡安全知識，宣傳網絡安全法律法規(guī)， 使人們的安全意識跟上計算機網絡飛速發(fā) 展的步伐。,2.2.1加強因特網出入信道的管理,中華人民共和國計算機網絡國際聯(lián)網管理暫行規(guī)定規(guī)定，我國境內的計算機互聯(lián)網必須使用國家公用電信網提供的國際出入信道進行國際聯(lián)網。任何單位和個人不得自行建立或者使用其他信道進行國際聯(lián)網。除國際出入口局作為國家總關口外，原郵電部還將中國公用計算機互聯(lián)網劃分為全國骨干網和各省、市、自治區(qū)接入網進行分層管理，以便對入網信息進行有效的過濾、隔離和監(jiān)測。,2.2.2 市場準入制度,中華人民共和國計算機網絡國際聯(lián)網管理暫行規(guī)定規(guī)定了從事因特網經營活動和從事非經營活動的接入單位必須具備的條件： 中華人民共和國計算機信息系統(tǒng)安全保護條例規(guī)定，進行國際聯(lián)網的計算機信息系統(tǒng)，由計算機信息系統(tǒng)的使用單位報省級以上的人民政府公安機關備案。,是依法設立的企業(yè)法人或者事業(yè)單位。 具備相應的計算機信息網絡、裝備以及相應的 技術人員和管理人員。 具備健全的安全保密管理制度和技術保護措施。 符合法律和國務院規(guī)定的其他條件。,2.2.3 安全責任,中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定第13條規(guī)定，從事因特網業(yè)務的單位和個人，應當遵守國家有關法律、行政法規(guī)，嚴格執(zhí)行安全保密制度，不得利用因特網從事危害國家安全、泄露國家秘密等違法犯罪活動，不得制作、查閱、復制和傳播妨礙社會治安的信息和淫穢色情等信息。,計算機網絡系統(tǒng)運行管理部門必須設有安全組織 或安全負責人 。,每個工作站和每個終端都要建立健全網絡操作的 各項制度 。,網絡用戶也應提高安全意識 。,3.1 如何判斷計算機感染了病毒,3.2 計算機病毒,3.1 如何判斷計算機感染了病毒,文件的大小和日期是否變化; 系統(tǒng)啟動速度是否比平時慢; 沒做寫操作時出現(xiàn)“磁盤有寫保護“信息; 對貼有寫保護的軟盤操作時音響很大; 系統(tǒng)運行速度異常慢; 鍵盤、打印、顯示有異常現(xiàn)象; 有特殊文件自動生成; 磁盤空間自動產生壞簇或磁盤空間減少; 文件莫名其妙有丟失; 系統(tǒng)異常死機的次數增加。 COMMAND.COM文件被修改。 AUTOEXEC.BAT、CONFIG.SYS被修改。 程序裝入時間比平常長，訪問磁盤時間比平常長。 用戶并沒有訪問的設備出現(xiàn)“忙”信號。 出現(xiàn)莫名其妙的隱藏文件。,3.2.1 計算機病毒的分類,按其表現(xiàn)性質可分為良性的和惡性的。 按激活的時間可分為定時的和隨機的。 按其入侵方式可分為：操作系統(tǒng)型病毒；源碼病毒；外殼病毒；入侵病毒。 按其是否有傳染性可分為不可傳染性和傳染性病毒。 按傳染方式可分磁盤引導區(qū)傳染的計算機病毒，操作系統(tǒng)傳染的計算機病毒和一般應用程序傳染的計算機病毒。 根據病毒存在的媒體可分為網絡病毒，文件病毒，引導型病毒。 根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒。 根據病毒破壞的能力可分為：