電子商務安全技術實用教程第9章課件_第1頁
電子商務安全技術實用教程第9章課件_第2頁
電子商務安全技術實用教程第9章課件_第3頁
電子商務安全技術實用教程第9章課件_第4頁
電子商務安全技術實用教程第9章課件_第5頁
已閱讀5頁,還剩41頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

第九章電子商務安全管理9.1信息安全體系與安全模型9.2電子商務風險管理與安全評估9.3電子商務信用管理9.5電子商務安全法律制度第九章電子商務安全管理9.1信息安全體系與安全模型19.1信息安全體系與安全模型9.1.1信息安全體系1.OSI安全體系結構國際標準化組織ISO于1989年在原有網(wǎng)絡通信協(xié)議七層模型的基礎上擴充了OSI參考模型,確立了信息安全體系結構,國際標準ISO7498-2-1989《信息處理系統(tǒng)·開放系統(tǒng)互連、基本模型第2部分安全體系結構》,為開放系統(tǒng)標準建立框架。OSI安全體系結構包括五類安全服務以及八類安全機制。9.1信息安全體系與安全模型9.1.1信息安全體系2表9-1ISO7498-2的安全服務與機制安全服務安全機制對等實體鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性抗抵賴加密√

√√

數(shù)字簽名√√

√√訪問控制

數(shù)據(jù)完整性

√√認證交換√

業(yè)務流填充

路由控制

公證機制

√表9-1ISO7498-2的安全服務與機制安全服務對等實39.1.2網(wǎng)絡安全模型1.PPDR網(wǎng)絡安全模型PPDR是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)提出的動態(tài)網(wǎng)絡安全體系的代表模型,也是動態(tài)安全模型的雛形。PPDR的基本思想是:在整體安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài),通過適當?shù)姆磻獙⑾到y(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。9.1.2網(wǎng)絡安全模型1.PPDR網(wǎng)絡安全模型49.1.2網(wǎng)絡安全模型2.PDRR網(wǎng)絡安全模型PDRR是美國國防部提出的安全模型,PDRR模型與前述的PPDR模型有很多相似之處。其中Protection(防護)和Detection(檢測)兩個環(huán)節(jié)的基本思想是相同的,PPDR模型中的Response(響應)環(huán)節(jié)包含了緊急響應和恢復處理兩部分,而在PDRR模型中Response(響應)和Recovery(恢復)是分開的,內(nèi)容也有所擴展。9.1.2網(wǎng)絡安全模型2.PDRR網(wǎng)絡安全模型59.1.3信息安全管理體系1.信息安全管理體系的概念信息安全管理體系ISMS(InformationSecurityManagementSystem),是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

BS7799-2是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系。9.1.3信息安全管理體系1.信息安全管理體系的概念6圖9-3PDCA模型與信息安全管理體系過程圖9-3PDCA模型與信息安全管理體系過程79.2電子商務風險管理與安全評估9.2.1電子商務風險管理1.風險相關概念漏洞:是攻擊的可能的途徑。威脅:是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。風險=威脅+漏洞9.2電子商務風險管理與安全評估9.2.1電子商務風險管82.風險評估風險評估有時候也稱為風險分析,是組織使用適當?shù)娘L險評估工具,對信息和信息處理設施的威脅、影響和薄弱點及其發(fā)生的可能性的評估,也就是確認安全風險及其大小的過程。風險計算:風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示風險計算函數(shù);A,T,V分別表示資產(chǎn)、威脅和脆弱性;L表示安全事件發(fā)生的可能性;F表示安全事件發(fā)生后造成的損失;Ia表示資產(chǎn)重要程度;Va表示脆弱性的嚴重程度。2.風險評估風險評估有時候也稱為風險分析,是組織使用適當?shù)?9.2.2電子商務安全評估1.網(wǎng)絡安全評估(1)了解網(wǎng)絡的拓撲(2)獲取公共訪問機器的名字和IP地址(3)對全部可達主機做端口掃描的處理2.平臺安全評估(1)認證基準配置、操作系統(tǒng)、網(wǎng)絡服務沒有變更(2)認證管理員的口令3.應用安全評估(1)編寫質(zhì)量低的應用程序(2)必須將黑客納入平臺安全評估中(3)黑客最通用的方法是安裝口令探測器以獲得口令進行攻擊9.2.2電子商務安全評估1.網(wǎng)絡安全評估109.2.3信息安全等級標準1.美國可信計算系統(tǒng)評價準則TCSEC1983年由美國國防部制定的5200.28安全標準即網(wǎng)絡安全橙皮書或桔皮書利用計算機安全級別評價計算機系統(tǒng)的安全性。目前比較流行的評估標準分為4個方面(類型)、7個安全等級9.2.3信息安全等級標準1.美國可信計算系統(tǒng)評價準則TC11表9-2TCSEC安全等級類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性,安全標識BB1標識的安全保護強制存取控制,安全標識B2結構化保護面向安全的體系結構,較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證表9-2TCSEC安全等級類別級別名稱主要特征DD低級保護12表9-3我國計算機信息系統(tǒng)安全保護等級等級名

稱描

述第一級用戶自我保護級安全保護機制可以使用戶具備安全保護的能力,保護用戶信息免受非法的讀寫破壞。第二級系統(tǒng)審計保護級除具備第一級所有的安全保護功能外,要求創(chuàng)建和維護訪問的審計跟蹤記錄,使所有用戶對自身行為的合法性負責第三級安全標記保護級除具備前一級所有的安全保護功能外,還要求以訪問對象標記的安全級別限制訪問者的權限,實現(xiàn)對訪問對象的強制訪問第四級結構化保護級除具備前一級所有的安全保護功能外,還將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分可直接控制訪問者對訪問對象的存取,從而加強系統(tǒng)的抗?jié)B透能力第五級訪問驗證保護級除具備前一級所有的安全保護功能外,還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問表9-3我國計算機信息系統(tǒng)安全保護等級等級名稱描139.3電子商務信用管理9.3.1電子商務信用1.信用的概念“信用”是指個人或組織被他人信任的程度、守承諾的程度。信任是一種在不確定性風險情勢存在的情況下,一方主體相信另一方主體會按照共同的期望行事,不攻擊其脆弱性的一種主觀信念,所以,信任首先是一種主觀的信念、個人的意愿。2.電子商務中的信息不對稱電子商務活動是一種全新的商業(yè)模式,是買賣雙方不直接見面的虛擬經(jīng)營,這種虛擬性,更容易產(chǎn)生信用危機。3.電子商務中的信用問題(1)互聯(lián)網(wǎng)的特征與信用問題(2)電子商務的特性與信用問題(3)信用問題成為電子商務發(fā)展瓶頸9.3電子商務信用管理9.3.1電子商務信用144.電子商務信用模式(1)中介人模式:將電子商務網(wǎng)站作為交易中介人。(2)擔保人模式:以網(wǎng)站或網(wǎng)站的經(jīng)營企業(yè)為交易各方提供擔保為特征。(3)網(wǎng)站經(jīng)營模式:通過建立網(wǎng)上商店的方式進行交易活動。(4)委托授權經(jīng)營模式:要求參與交易的當事人按預設條件在協(xié)議銀行中建立交易公共賬戶。4.電子商務信用模式(1)中介人模式:將電子商務網(wǎng)站作為交易159.3.2電子商務社會信用體系9.3.2電子商務社會信用體系162.電子商務信用體系的規(guī)范化管理(1)經(jīng)營許可管理:網(wǎng)站級別認證、企業(yè)資信狀況、儲備金管理、信息發(fā)布準則、客戶信用信息管理等。(2)信息發(fā)布管理:網(wǎng)站的認證級別、自身的信用級別、商業(yè)信息、服務條款、監(jiān)督機構規(guī)定的其他信息。(3)電子交易管理:信用記錄、保證金條款、電子合同管理等。(4)內(nèi)部作業(yè)管理:開展電子商務的企業(yè)應強化內(nèi)部作業(yè)程序的管理。(5)服務管理:平臺服務商應加強對網(wǎng)上交易主體的管理,監(jiān)控他們的實時交易行為。(6)清算程序管理:結算作為交易過程的最后一個環(huán)節(jié),也起著非常重要的作用。2.電子商務信用體系的規(guī)范化管理(1)經(jīng)營許可管理:網(wǎng)站級179.3.3電子商務信任機制1.信用評價機制:電子商務企業(yè)信用評級指標分為定性和定量兩類2.信用跟蹤機制:信用跟蹤是一個動態(tài)持續(xù)的機制,可分為跟蹤與反饋兩個子系統(tǒng)。3.信用保障機制:保障機制的存在意義在于加快建設良好的電子商務信用環(huán)境,同時推進整個社會信用體系的完善。9.3.3電子商務信任機制1.信用評價機制:電子商務企業(yè)信189.4電子商務法律法規(guī)9.4.1電子商務安全法律法規(guī)的主要內(nèi)容電子商務涉及的法律法規(guī)問題非常廣泛,如合同法、稅法、知識產(chǎn)權法、銀行法、票據(jù)法、海關法、廣告法、消費者權益保護法、刑法及工商行政法規(guī)等等。9.4電子商務法律法規(guī)9.4.1電子商務安全法律法規(guī)的主要199.4.2電子商務網(wǎng)絡安全法1.計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可2.國際互聯(lián)網(wǎng)出入信道的管理制度3.市場準入制度4.計算機病毒防治管理辦法5.網(wǎng)絡經(jīng)營者的責任9.4.2電子商務網(wǎng)絡安全法1.計算機信息系統(tǒng)安全專用產(chǎn)品209.4.3電子商務信息安全法目前我國出臺的電子商務信息安全的相關法律規(guī)范有以下方面:(1)計算機信息系統(tǒng)安全保護;(2)計算機信息網(wǎng)絡國際聯(lián)網(wǎng)的安全保護;(3)計算機信息網(wǎng)絡國際聯(lián)網(wǎng)保密管理制度;(4)電子公告服務的信息安全;(5)新聞業(yè)務的信息管理。9.4.3電子商務信息安全法目前我國出臺的電子商務信息安全的219.4.4電子商務交易安全法(1)電子商務信息服務的授權管理制度(2)電子商務安全交易的投訴處理機制(3)電子商務交易安全的法律規(guī)范9.4.4電子商務交易安全法(1)電子商務信息服務的授權管22本章小結電子商務的安全管理是通過一個完整的綜合保障體系,來規(guī)避信息傳輸風險、信用風險、管理風險和法律風險,以保證網(wǎng)上交易的順利進行。美國可信計算系統(tǒng)評價準則TCSEC,包括4各類別和7個層次我國《計算機信息系統(tǒng)安全保護等級劃分準則》將信息系統(tǒng)安全層次分為5個等級。提高整個社會的信用體系是電子商務安全的基礎保障。電子商務安全立法與管理是在安全策略指導下進行的一系列管理活動。本章小結電子商務的安全管理是通過一個完整的綜合保障體系,來規(guī)23第九章電子商務安全管理9.1信息安全體系與安全模型9.2電子商務風險管理與安全評估9.3電子商務信用管理9.5電子商務安全法律制度第九章電子商務安全管理9.1信息安全體系與安全模型249.1信息安全體系與安全模型9.1.1信息安全體系1.OSI安全體系結構國際標準化組織ISO于1989年在原有網(wǎng)絡通信協(xié)議七層模型的基礎上擴充了OSI參考模型,確立了信息安全體系結構,國際標準ISO7498-2-1989《信息處理系統(tǒng)·開放系統(tǒng)互連、基本模型第2部分安全體系結構》,為開放系統(tǒng)標準建立框架。OSI安全體系結構包括五類安全服務以及八類安全機制。9.1信息安全體系與安全模型9.1.1信息安全體系25表9-1ISO7498-2的安全服務與機制安全服務安全機制對等實體鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性抗抵賴加密√

√√

數(shù)字簽名√√

√√訪問控制

數(shù)據(jù)完整性

√√認證交換√

業(yè)務流填充

路由控制

公證機制

√表9-1ISO7498-2的安全服務與機制安全服務對等實269.1.2網(wǎng)絡安全模型1.PPDR網(wǎng)絡安全模型PPDR是美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(ISS)提出的動態(tài)網(wǎng)絡安全體系的代表模型,也是動態(tài)安全模型的雛形。PPDR的基本思想是:在整體安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài),通過適當?shù)姆磻獙⑾到y(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。9.1.2網(wǎng)絡安全模型1.PPDR網(wǎng)絡安全模型279.1.2網(wǎng)絡安全模型2.PDRR網(wǎng)絡安全模型PDRR是美國國防部提出的安全模型,PDRR模型與前述的PPDR模型有很多相似之處。其中Protection(防護)和Detection(檢測)兩個環(huán)節(jié)的基本思想是相同的,PPDR模型中的Response(響應)環(huán)節(jié)包含了緊急響應和恢復處理兩部分,而在PDRR模型中Response(響應)和Recovery(恢復)是分開的,內(nèi)容也有所擴展。9.1.2網(wǎng)絡安全模型2.PDRR網(wǎng)絡安全模型289.1.3信息安全管理體系1.信息安全管理體系的概念信息安全管理體系ISMS(InformationSecurityManagementSystem),是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。

BS7799-2是建立和維持信息安全管理體系的標準,標準要求組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系。9.1.3信息安全管理體系1.信息安全管理體系的概念29圖9-3PDCA模型與信息安全管理體系過程圖9-3PDCA模型與信息安全管理體系過程309.2電子商務風險管理與安全評估9.2.1電子商務風險管理1.風險相關概念漏洞:是攻擊的可能的途徑。威脅:是一個可能破壞信息系統(tǒng)環(huán)境安全的動作或事件。風險=威脅+漏洞9.2電子商務風險管理與安全評估9.2.1電子商務風險管312.風險評估風險評估有時候也稱為風險分析,是組織使用適當?shù)娘L險評估工具,對信息和信息處理設施的威脅、影響和薄弱點及其發(fā)生的可能性的評估,也就是確認安全風險及其大小的過程。風險計算:風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示風險計算函數(shù);A,T,V分別表示資產(chǎn)、威脅和脆弱性;L表示安全事件發(fā)生的可能性;F表示安全事件發(fā)生后造成的損失;Ia表示資產(chǎn)重要程度;Va表示脆弱性的嚴重程度。2.風險評估風險評估有時候也稱為風險分析,是組織使用適當?shù)?29.2.2電子商務安全評估1.網(wǎng)絡安全評估(1)了解網(wǎng)絡的拓撲(2)獲取公共訪問機器的名字和IP地址(3)對全部可達主機做端口掃描的處理2.平臺安全評估(1)認證基準配置、操作系統(tǒng)、網(wǎng)絡服務沒有變更(2)認證管理員的口令3.應用安全評估(1)編寫質(zhì)量低的應用程序(2)必須將黑客納入平臺安全評估中(3)黑客最通用的方法是安裝口令探測器以獲得口令進行攻擊9.2.2電子商務安全評估1.網(wǎng)絡安全評估339.2.3信息安全等級標準1.美國可信計算系統(tǒng)評價準則TCSEC1983年由美國國防部制定的5200.28安全標準即網(wǎng)絡安全橙皮書或桔皮書利用計算機安全級別評價計算機系統(tǒng)的安全性。目前比較流行的評估標準分為4個方面(類型)、7個安全等級9.2.3信息安全等級標準1.美國可信計算系統(tǒng)評價準則TC34表9-2TCSEC安全等級類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性,安全標識BB1標識的安全保護強制存取控制,安全標識B2結構化保護面向安全的體系結構,較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證表9-2TCSEC安全等級類別級別名稱主要特征DD低級保護35表9-3我國計算機信息系統(tǒng)安全保護等級等級名

稱描

述第一級用戶自我保護級安全保護機制可以使用戶具備安全保護的能力,保護用戶信息免受非法的讀寫破壞。第二級系統(tǒng)審計保護級除具備第一級所有的安全保護功能外,要求創(chuàng)建和維護訪問的審計跟蹤記錄,使所有用戶對自身行為的合法性負責第三級安全標記保護級除具備前一級所有的安全保護功能外,還要求以訪問對象標記的安全級別限制訪問者的權限,實現(xiàn)對訪問對象的強制訪問第四級結構化保護級除具備前一級所有的安全保護功能外,還將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分可直接控制訪問者對訪問對象的存取,從而加強系統(tǒng)的抗?jié)B透能力第五級訪問驗證保護級除具備前一級所有的安全保護功能外,還特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問表9-3我國計算機信息系統(tǒng)安全保護等級等級名稱描369.3電子商務信用管理9.3.1電子商務信用1.信用的概念“信用”是指個人或組織被他人信任的程度、守承諾的程度。信任是一種在不確定性風險情勢存在的情況下,一方主體相信另一方主體會按照共同的期望行事,不攻擊其脆弱性的一種主觀信念,所以,信任首先是一種主觀的信念、個人的意愿。2.電子商務中的信息不對稱電子商務活動是一種全新的商業(yè)模式,是買賣雙方不直接見面的虛擬經(jīng)營,這種虛擬性,更容易產(chǎn)生信用危機。3.電子商務中的信用問題(1)互聯(lián)網(wǎng)的特征與信用問題(2)電子商務的特性與信用問題(3)信用問題成為電子商務發(fā)展瓶頸9.3電子商務信用管理9.3.1電子商務信用374.電子商務信用模式(1)中介人模式:將電子商務網(wǎng)站作為交易中介人。(2)擔保人模式:以網(wǎng)站或網(wǎng)站的經(jīng)營企業(yè)為交易各方提供擔保為特征。(3)網(wǎng)站經(jīng)營模式:通過建立網(wǎng)上商店的方式進行交易活動。(4)委托授權經(jīng)營模式:要求參與交易的當事人按預設條件在協(xié)議銀行中建立交易公共賬戶。4.電子商務信用模式(1)中介人模式:將電子商務網(wǎng)站作為交易389.3.2電子商務社會信用體系9.3.2電子商務社會信用體系392.電子商務信用體系的規(guī)范化管理(1)經(jīng)營許可管理:網(wǎng)站級別認證、企業(yè)資信狀況、儲備金管理、信息發(fā)布準則、客戶信用信息管理等。(2)信息發(fā)布管理:網(wǎng)站的認證級別、自身的信用級別、商業(yè)信息、服務條款、監(jiān)督機構規(guī)定的其他信息。(3)電子交易管理:信用記錄、保證金條款、電子合同管理等。(4)內(nèi)部作業(yè)管理:開展電子商務的企業(yè)應強化內(nèi)部作業(yè)程序的管理。(5)服務管理:平臺服務商應加強對網(wǎng)上交易主體的管理,監(jiān)控他們的實時交易行為。(6)清算程序管理:結算作為交易過程的最后一個環(huán)節(jié),也起著非常重要的作用。2.電子商務信用體系的規(guī)范化管理(1)經(jīng)營許可管理:網(wǎng)站級409.3.3電子商務信任機制1.信用評價機制:電子商務企業(yè)信用評級指標分為定性

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論