《電子商務(wù)安全與管理》第4章ppt課件

1、 2006年8月第四章平安防備與對策第一節(jié) 平安防備戰(zhàn)略概述 需求采取何種程度的平安級別、投資的多少、平安措施能否會影響用戶對系統(tǒng)的運(yùn)用方便性、能否能綜合和完好地思索整個信息系統(tǒng)的平安問題、平安戰(zhàn)略能否能順應(yīng)企業(yè)信息系統(tǒng)的開展需求、平安戰(zhàn)略能否具備多種手段來實(shí)現(xiàn)等等問題，是平安戰(zhàn)略制定中的一些原那么性問題。 平安戰(zhàn)略是一套既定的規(guī)那么，信息平安一切行為必需遵照此套規(guī)那么。平安戰(zhàn)略的制定與企業(yè)信息系統(tǒng)的功能和運(yùn)作、企業(yè)的信息管理戰(zhàn)略關(guān)系親密。一、平安防備戰(zhàn)略的制定原那么和步驟 一平安防備戰(zhàn)略的制定原那么 1整體性原那么 2綜合性、系統(tǒng)性原那么 3平衡性原那么 4一致性原那么 5易操作原那么 6順

2、應(yīng)性、靈敏性原那么 7多重維護(hù)原那么第一節(jié) 平安防備戰(zhàn)略概述一、平安防備戰(zhàn)略的制定原那么和步驟 二平安防備戰(zhàn)略的制定步驟 確定目的； 確定范圍； 爭取來自高層管理的支持； 其他戰(zhàn)略參考； 危險(xiǎn)評價； 制定戰(zhàn)略與成分決議； 戰(zhàn)略評價。第一節(jié) 平安防備戰(zhàn)略概述二、平安防備戰(zhàn)略的根本內(nèi)容 一系統(tǒng)總體平安戰(zhàn)略 二物理平安防備戰(zhàn)略 三訪問權(quán)限控制戰(zhàn)略 四信息加密戰(zhàn)略 五黑客防備戰(zhàn)略 六風(fēng)險(xiǎn)管理戰(zhàn)略 七災(zāi)難恢復(fù)戰(zhàn)略 總之，制定系統(tǒng)平安防備戰(zhàn)略，安裝電子商務(wù)平安系統(tǒng)，確定一套平安機(jī)制，只是網(wǎng)絡(luò)系統(tǒng)平安性實(shí)施的第一步，只需各級組織機(jī)構(gòu)都嚴(yán)厲執(zhí)行電子商務(wù)平安的各項(xiàng)規(guī)定，仔細(xì)維護(hù)各自擔(dān)任的分系統(tǒng)的網(wǎng)絡(luò)平安性，才干

3、保證整個電子商務(wù)系統(tǒng)的整體平安性。第一節(jié) 平安防備戰(zhàn)略概述第二節(jié) 物理平安防備與訪問權(quán)限控制 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理平安是整個計(jì)算機(jī)信息系統(tǒng)平安的前提，物理平安是維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)備以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括以下三個方面：環(huán)境平安：對系統(tǒng)所在環(huán)境的平安維護(hù)，如區(qū)域維護(hù) 和災(zāi)難維護(hù)；設(shè)備平安：主要包括設(shè)備的防盜、防毀、防電磁信息 輻射走漏、防止線路截獲、抗電磁干擾及 電源維護(hù)等；媒體平安：包括媒體數(shù)據(jù)的平安及媒體本身的平安。一、機(jī)房環(huán)境平安一制度平安二建筑平安三設(shè)備的防火、防盜、防雷、防靜電第二節(jié)

4、物理平安防備與訪問權(quán)限控制二、硬件防護(hù) 一物理平安 物理平安是指防止不測事件或人為破壞詳細(xì)的物理設(shè)備，如效力器、交換機(jī)、路由器、機(jī)柜、線路等。機(jī)房和機(jī)柜的鑰匙一定要管理好，不要讓無關(guān)人員隨意進(jìn)入機(jī)房，尤其是網(wǎng)絡(luò)中心機(jī)房，防止人為的蓄意破壞。 二設(shè)置平安 設(shè)置平安是指在設(shè)備上進(jìn)展必要的設(shè)置(如效力器、交換機(jī)的密碼等)，防止黑客獲得硬件設(shè)備的遠(yuǎn)程控制權(quán)。比如許多網(wǎng)管往往沒有在效力器或可網(wǎng)管的交換機(jī)上設(shè)置必要的密碼，懂網(wǎng)絡(luò)設(shè)備管理技術(shù)的人可以經(jīng)過網(wǎng)絡(luò)來獲得效力器或交換機(jī)的控制權(quán)，這是非常危險(xiǎn)的。由于路由器屬于接入設(shè)備，必然要暴露在互聯(lián)網(wǎng)黑客攻擊的視野之中，因此需求采取更為嚴(yán)厲的平安管理措施，比如口令

5、加密、加載嚴(yán)厲的訪問列表等。第二節(jié) 物理平安防備與訪問權(quán)限控制三、訪問權(quán)限控制一入網(wǎng)訪問控制二網(wǎng)絡(luò)的權(quán)限控制三客戶端平安防護(hù)戰(zhàn)略第二節(jié) 物理平安防備與訪問權(quán)限控制第三節(jié) 風(fēng)險(xiǎn)評價與風(fēng)險(xiǎn)管理一、風(fēng)險(xiǎn)管理的規(guī)那么與步驟 風(fēng)險(xiǎn)管理的實(shí)際詳細(xì)地把風(fēng)險(xiǎn)管理分為三個部分：風(fēng)險(xiǎn)確認(rèn)、風(fēng)險(xiǎn)評價以及風(fēng)險(xiǎn)控制。在實(shí)際上，每個部分都有其完好的概念以及獨(dú)立的功能，但在實(shí)踐的運(yùn)用上，這三個步驟的關(guān)系是嚴(yán)密而不可分割的。 一、風(fēng)險(xiǎn)管理的規(guī)那么與步驟 一風(fēng)險(xiǎn)管理的規(guī)那么 風(fēng)險(xiǎn)管理規(guī)那么包括以下三個階段。 1評價階段 2開發(fā)和實(shí)施階段 3運(yùn)轉(zhuǎn)階段第三節(jié) 風(fēng)險(xiǎn)評價與風(fēng)險(xiǎn)管理一、風(fēng)險(xiǎn)管理的規(guī)那么與步驟 二風(fēng)險(xiǎn)管理步驟 風(fēng)險(xiǎn)管理可

6、分三個主要步驟。 第一步，風(fēng)險(xiǎn)確認(rèn)。 第二步，風(fēng)險(xiǎn)評價。 第三步，風(fēng)險(xiǎn)控制。第三節(jié) 風(fēng)險(xiǎn)評價與風(fēng)險(xiǎn)管理二、風(fēng)險(xiǎn)管理的對策與工具一風(fēng)險(xiǎn)管理的對策 通常采用的風(fēng)險(xiǎn)管理對策是縱深防御戰(zhàn)略，縱深防御戰(zhàn)略圖如圖4-1所示。 圖4-1 縱深防御戰(zhàn)略圖第三節(jié) 風(fēng)險(xiǎn)評價與風(fēng)險(xiǎn)管理二、風(fēng)險(xiǎn)管理的對策與工具二風(fēng)險(xiǎn)管理的工具 風(fēng)險(xiǎn)管理工具可以用來發(fā)現(xiàn)和糾正網(wǎng)絡(luò)平安的破綻。風(fēng)險(xiǎn)管理控制的工具可分為：風(fēng)險(xiǎn)逃避、防止損失、降低損失程度、資訊管理、風(fēng)險(xiǎn)轉(zhuǎn)移，以及風(fēng)險(xiǎn)保管等。通俗地說，風(fēng)險(xiǎn)管理就是經(jīng)過相應(yīng)的技術(shù)、產(chǎn)品，協(xié)助用戶了解本身網(wǎng)絡(luò)的平安性、破綻所在、被攻擊后破壞性有多大，同時協(xié)助用戶處理破綻問題。第三節(jié) 風(fēng)險(xiǎn)評價與風(fēng)

7、險(xiǎn)管理三、風(fēng)險(xiǎn)評價一風(fēng)險(xiǎn)評價的概念 風(fēng)險(xiǎn)評價Risk Assessment是對信息系統(tǒng)面臨的要挾、存在的弱點(diǎn)、呵斥的影響，以及三者綜協(xié)作用而帶來的風(fēng)險(xiǎn)能夠性的評價。二風(fēng)險(xiǎn)評價的三種可行途徑 1基線評價 2詳細(xì)評價 3組合評價三風(fēng)險(xiǎn)評價的常用方法 1基于知識的分析方法 2基于模型的分析方法 3定量分析 4定性分析第三節(jié) 風(fēng)險(xiǎn)評價與風(fēng)險(xiǎn)管理第四節(jié) 電子商務(wù)的平安協(xié)議一、電子商務(wù)平安協(xié)議概述一平安協(xié)議系統(tǒng)模型二平安協(xié)議設(shè)計(jì)準(zhǔn)那么三電子商務(wù)平安協(xié)議分類四電子商務(wù)平安協(xié)議的平安性五電子商務(wù)平安協(xié)議的平安性分析二、SSL與SET平安協(xié)議一SSL協(xié)議 1SSL協(xié)議概述 SSL的協(xié)議框架構(gòu)造以及與TCP/IP

8、的關(guān)系如圖4-2所示。圖4-2 SSL協(xié)議框架構(gòu)造以及與TCP/IP的關(guān)系第四節(jié) 電子商務(wù)的平安協(xié)議二、SSL與SET平安協(xié)議2SSL握手協(xié)議 SSL握手協(xié)議的實(shí)現(xiàn)過程如圖4-3所示。圖4-3 SSL協(xié)議的實(shí)現(xiàn)過程第四節(jié) 電子商務(wù)的平安協(xié)議二、SSL與SET平安協(xié)議3SSL記錄層協(xié)議 SSL記錄層協(xié)議采用對稱加密來保證傳輸數(shù)據(jù)的嚴(yán)密性，經(jīng)過MAC來保證傳輸數(shù)據(jù)的完好性，而且為了盡能夠到達(dá)最大的嚴(yán)密性，添加了數(shù)據(jù)緊縮的步驟，發(fā)送和接納時分別采用不同的MAC密鑰和加密密鑰進(jìn)展處置。 SSL記錄層協(xié)議的處置過程如圖4-4所示。圖4-4 SSL協(xié)議框架構(gòu)造以及與TCP/IP的關(guān)系第四節(jié) 電子商務(wù)的平安

9、協(xié)議二、SSL與SET平安協(xié)議 4SSL報(bào)警協(xié)議(SSL Alert Protocol) 5SSL更改密鑰協(xié)議 6SSL協(xié)議平安性分析 握手協(xié)議的平安性。 記錄協(xié)議的平安分析。 SSL協(xié)議的平安破綻。第四節(jié) 電子商務(wù)的平安協(xié)議二、SSL與SET平安協(xié)議7SSL協(xié)議在Windows2000中的配置與運(yùn)用 SSL協(xié)議的典型運(yùn)用主要有兩個方面：一是客戶端，如閱讀器等；另外一個就是效力器端，如WEB效力器和運(yùn)用效力器等。圖4-5中給出了在Windows2000中信息效力IIS的配置。圖4-5 IIS“目錄平安性配置第四節(jié) 電子商務(wù)的平安協(xié)議二、SSL與SET平安協(xié)議二SET協(xié)議 1SET協(xié)議概述 2S

10、ET協(xié)議的系統(tǒng)構(gòu)造圖4-6 SET協(xié)議的系統(tǒng)構(gòu)造第四節(jié) 電子商務(wù)的平安協(xié)議二、SSL與SET平安協(xié)議二SET協(xié)議 3SET協(xié)議買賣流程 購物懇求 授權(quán)懇求 扣款懇求 4SET協(xié)議規(guī)范 5SET協(xié)議采用的平安技術(shù) 6SET協(xié)議的平安性分析第四節(jié) 電子商務(wù)的平安協(xié)議二、SSL與SET平安協(xié)議三SET協(xié)議和SSL協(xié)議的比較 SSL與SET協(xié)議的區(qū)別還可以從下面的幾個方面進(jìn)展比較： 1買賣效率 2認(rèn)證機(jī)制 3平安性 4協(xié)議層次和功能 5運(yùn)用范圍第四節(jié) 電子商務(wù)的平安協(xié)議三、其他電子商務(wù)平安協(xié)議一電子支付公用協(xié)議 1ISI協(xié)議 2. NetBill協(xié)議 3First Virtual協(xié)議 4iKP協(xié)議第四

11、節(jié) 電子商務(wù)的平安協(xié)議三、其他電子商務(wù)平安協(xié)議二平安超文本傳輸協(xié)議 1S-HTTP協(xié)議概述 平安超文本傳輸協(xié)議S-是一種面向平安信息通訊的協(xié)議，它可以和HTTP結(jié)合起來運(yùn)用。S-HTTP能與HTTP信息模型共存并易于與HTTP運(yùn)用程序相整合。S-HTTP協(xié)議為HTTP客戶機(jī)和效力器提供了多種平安機(jī)制，提供平安效力選項(xiàng)是為了適用于萬維網(wǎng)上各類潛在用戶。 2S-HTTP協(xié)議構(gòu)造第四節(jié) 電子商務(wù)的平安協(xié)議三、其他電子商務(wù)平安協(xié)議三平安電子郵件協(xié)議 1電子郵件平安規(guī)范 2Outlook Express下的平安電子郵件傳送 1獲取數(shù)字標(biāo)識數(shù)字證書 2運(yùn)用數(shù)字標(biāo)識數(shù)字證書 3備份數(shù)字標(biāo)識數(shù)字證書 4平安電

12、子郵件 第四節(jié) 電子商務(wù)的平安協(xié)議三、其他電子商務(wù)平安協(xié)議四Internet電子數(shù)據(jù)交換(EDI)協(xié)議 1EDI概述 2EDI的特點(diǎn)、運(yùn)用范圍和優(yōu)勢 3EDI系統(tǒng)的平安性問題 4EDI系統(tǒng)的平安戰(zhàn)略 1存取控制 2堅(jiān)持信息追蹤 3密封信封第四節(jié) 電子商務(wù)的平安協(xié)議第五節(jié) 公鑰根底設(shè)備(PKI)一、PKI的根本概念與功能一PKI概述 1PKI根本概念 2PKI的體系構(gòu)造 3PKI的功能 4PKI的性能要求 5PKI加密/簽名密鑰對的運(yùn)用原理第五節(jié) 公鑰根底設(shè)備(PKI)一、PKI的根本概念與功能一PKI概述圖4-7 PKI處理方案表示圖第五節(jié) 公鑰根底設(shè)備(PKI)一、PKI的根本概念與功能一P

13、KI概述圖4-8 PKI組成框圖二、PKI的信任模型一相關(guān)概念二信任模型 1認(rèn)證機(jī)構(gòu)的嚴(yán)厲層次構(gòu)造模型 2分布式信任構(gòu)造模型 3Web模型 4以用戶為中心的信任模型圖4-9 分布式信任構(gòu)造模型圖4-10 WEB信任構(gòu)造模型第五節(jié) 公鑰根底設(shè)備(PKI)三、PKI管理機(jī)構(gòu)認(rèn)證中心(CA)一CA的功能 1CA的系統(tǒng)目的 2CA的功能 1證書懇求與審批 2證書頒發(fā) 3證書作廢 4證書更新 5證書歸檔 6密鑰管理 7日志查詢第五節(jié) 公鑰根底設(shè)備(PKI)三、PKI管理機(jī)構(gòu)認(rèn)證中心(CA)二CA的組成與體系構(gòu)造 1CA的組成 2CA的體系構(gòu)造 1注冊效力器 2認(rèn)證中心效力器 3證書懇求受理和審核機(jī)構(gòu)第五

14、節(jié) 公鑰根底設(shè)備(PKI)四、PKI中心產(chǎn)品數(shù)字證書 一數(shù)字證書 1數(shù)字證書的概念 2X.509證書類型 1效力器數(shù)字證書 2機(jī)構(gòu)數(shù)字證書 3個人簽名證書 4機(jī)構(gòu)簽名證書 5個人數(shù)字證書第五節(jié) 公鑰根底設(shè)備(PKI)四、PKI中心產(chǎn)品數(shù)字證書 一數(shù)字證書 1數(shù)字證書的概念 2X.509證書類型 1效力器數(shù)字證書 2機(jī)構(gòu)數(shù)字證書 3個人簽名證書 4機(jī)構(gòu)簽名證書 5個人數(shù)字證書 3數(shù)字證書的功能 1身份認(rèn)證 2加密傳輸信息 3抗否認(rèn)性 4不可修正性 4數(shù)字證書的格式第五節(jié) 公鑰根底設(shè)備(PKI)四、PKI中心產(chǎn)品數(shù)字證書 二國內(nèi)外PKI體系建立現(xiàn)狀 美國很早就努力于PKI的研討，其PKI技術(shù)相對較

15、為成熟。目前的研討主要集中在CA交叉認(rèn)證，已提出了帶橋接CA方式的聯(lián)邦PKIFPKI)體系。 加拿大政府也發(fā)布了GOCPKI(the Government of Canada Public-Key Infrastructure)，定義了適用于加拿大政府運(yùn)用的PKI，歐洲那么提出了EuroPKI，以處理各國PKI的協(xié)同任務(wù)問題。 目前我國正進(jìn)展著PKI建立，曾經(jīng)建成大型的行業(yè)性或是區(qū)域性CA 60多個，除此之外還有許多企事業(yè)單位內(nèi)部建立的小型CA。影響最大的行業(yè)性CA有：中國金融認(rèn)證中心(CFCA)、中國電信認(rèn)證中心(CTCA)；影響較大的區(qū)域性CA有上海CA認(rèn)證中心和廣東CA認(rèn)證中心等。第五節(jié)

16、 公鑰根底設(shè)備(PKI)四、PKI中心產(chǎn)品數(shù)字證書 三國家PKI根本目的及建立的主要任務(wù) 國家PKI體系建立的總體目的是：建立科學(xué)、權(quán)威、平安、可靠和互通的完好PKI體系，推進(jìn)國家信息化建立的安康開展。圖4-11 國家PKI體系構(gòu)造第五節(jié) 公鑰根底設(shè)備(PKI)四、PKI中心產(chǎn)品數(shù)字證書三國家PKI根本目的及建立的主要任務(wù) 1國家電子政務(wù)PKI體系 2國家公共PKI體系 3. 國家電子政務(wù)PKI與國家公共PKI的關(guān)系 4目前PKI建立的主要任務(wù) 圖4-12 國家電子政務(wù)PKI體系構(gòu)造第五節(jié) 公鑰根底設(shè)備(PKI)本章小結(jié) 本章對平安防備戰(zhàn)略及其相關(guān)實(shí)際、電子商務(wù)平安協(xié)議、PKI做了詳細(xì)引見。主要內(nèi)容包括：平安防備戰(zhàn)略制定的根本準(zhǔn)那么、制定步