第1章-電子商務(wù)安全導(dǎo)論

第1章電子商務(wù)平安導(dǎo)論11.1電子商務(wù)面臨的平安問題1.2電子商務(wù)系統(tǒng)平安的構(gòu)成1.3電子商務(wù)平安的需求1.4電子商務(wù)平安的保障書目21.1電子商務(wù)面臨的平安問題1.1.1平安問題的提出計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的擔(dān)憂全因素網(wǎng)站有效性和好用性等問題金融計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)缺乏平安平安漏洞，病毒感染，黑客攻擊，網(wǎng)絡(luò)假冒3漏洞1995到2004年漏洞公布數(shù)量（單位：個）1.1電子商務(wù)平安問題4病毒蠕蟲病毒蠕蟲主要是利用系統(tǒng)的漏洞進(jìn)行自動傳播復(fù)制，由于傳播過程中產(chǎn)生巨大的掃描或其他攻擊流量，從而使網(wǎng)絡(luò)流量急劇上升，造成網(wǎng)絡(luò)訪問速度變慢甚至癱瘓。

最初的蠕蟲病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。

1.1電子商務(wù)平安問題5黑客攻擊黑客攻擊曾使YAHOO等熱門網(wǎng)站出現(xiàn)短暫性“死機(jī)”。網(wǎng)頁篡改耐克網(wǎng)站被黑客篡改1.1電子商務(wù)平安問題6黑客攻擊網(wǎng)頁篡改2004年中國大陸網(wǎng)頁篡改狀況（單位：件）1.1電子商務(wù)平安問題7黑客攻擊僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)也稱為BotNet。Bot是robot的簡寫，通常是指可以自動地執(zhí)行預(yù)定義的功能，可以被預(yù)定義的吩咐限制，具有確定人工智能的程序。1.1電子商務(wù)平安問題8網(wǎng)絡(luò)仿冒2004年網(wǎng)絡(luò)仿冒事務(wù)報告（單位：起）1.1電子商務(wù)平安問題92004年12月8日，中國銀行發(fā)覺，有一網(wǎng)址為：bank-off-china的網(wǎng)站仿冒其官方網(wǎng)站，企圖盜取用戶銀行賬號同年，中國工商銀行發(fā)覺了欺詐網(wǎng)站1cbc(icbc)101.1.2電子商務(wù)涉及的平安問題信息的平安問題冒名偷竊篡改數(shù)據(jù)信息丟失信息傳遞出問題11信用的平安問題來自買方的信用平安問題來自賣方的信用平安問題買賣雙方都存在抵賴的狀況平安的管理問題平安的法律保障問題121.2電子商務(wù)系統(tǒng)平安的構(gòu)成1.2.1電子商務(wù)系統(tǒng)平安概述1.2.2系統(tǒng)實(shí)體平安1.2.3系統(tǒng)運(yùn)行平安1.2.4信息平安131.2.1電子商務(wù)系統(tǒng)平安概述電子商務(wù)系統(tǒng)平安的構(gòu)成：1.2電子商務(wù)系統(tǒng)平安的構(gòu)成電子商務(wù)系統(tǒng)安全實(shí)體安全運(yùn)行安全信息安全環(huán)境安全設(shè)備安全操作系統(tǒng)安全數(shù)據(jù)庫安全網(wǎng)絡(luò)安全病毒防護(hù)訪問控制加密鑒別風(fēng)險分析審計(jì)跟蹤媒體安全應(yīng)急備份與恢復(fù)141.2.2系統(tǒng)實(shí)體平安

所謂實(shí)體平安，是指愛護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。1.2電子商務(wù)系統(tǒng)平安的構(gòu)成151.2電子商務(wù)系統(tǒng)平安的構(gòu)成1.環(huán)境平安(1)受災(zāi)防護(hù)(2)區(qū)域防護(hù)2.設(shè)備平安(1)設(shè)備防盜(2)設(shè)備防毀(3)防止電磁信息泄漏(4)防止線路截獲(5)抗電磁干擾(6)電源愛護(hù)1.2.2系統(tǒng)實(shí)體平安的組成3.媒體平安(1)媒體的平安媒體的防盜媒體的防毀(2)媒體數(shù)據(jù)的平安媒體數(shù)據(jù)的防盜媒體數(shù)據(jù)的銷毀媒體數(shù)據(jù)的防毀161.2.3系統(tǒng)運(yùn)行平安 運(yùn)行平安是指為保障系統(tǒng)功能的平安實(shí)現(xiàn)，供應(yīng)一套平安措施來愛護(hù)信息處理過程的平安。1.2電子商務(wù)系統(tǒng)平安的構(gòu)成171.2.3系統(tǒng)運(yùn)行平安的組成1.風(fēng)險分析系統(tǒng)設(shè)計(jì)前的風(fēng)險分析——潛在的平安隱患系統(tǒng)試運(yùn)行前的風(fēng)險分析——設(shè)計(jì)的平安漏洞系統(tǒng)運(yùn)行期的風(fēng)險分析——運(yùn)行的平安漏洞系統(tǒng)運(yùn)行后的風(fēng)險分析——系統(tǒng)的平安隱患2.審計(jì)跟蹤紀(jì)錄和跟蹤各種系統(tǒng)狀態(tài)的變更實(shí)現(xiàn)對各種平安事故的定位保存、維護(hù)和管理審計(jì)日志1.2電子商務(wù)系統(tǒng)平安的構(gòu)成181.2.3系統(tǒng)運(yùn)行平安的組成3.備份與復(fù)原供應(yīng)場點(diǎn)內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份和復(fù)原供應(yīng)場點(diǎn)外的數(shù)據(jù)存儲、備份和復(fù)原供應(yīng)對系統(tǒng)設(shè)備的備份4.應(yīng)急（1）應(yīng)急支配協(xié)助軟件緊急事務(wù)或平安事故發(fā)生時的影響分析應(yīng)急支配的概要設(shè)計(jì)或具體制定應(yīng)急支配的測試與完善（2）應(yīng)急設(shè)施供應(yīng)實(shí)時應(yīng)急設(shè)施供應(yīng)非實(shí)時應(yīng)急設(shè)施1.2電子商務(wù)系統(tǒng)平安的構(gòu)成191.2.4信息平安 所謂信息平安，是指防止信息財(cái)產(chǎn)被有意地或偶然地非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識、限制，即信息平安要確保信息的完整性、保密性、可用性和可控性。1.2電子商務(wù)系統(tǒng)平安的構(gòu)成201.2.4信息平安的組成1.操作系統(tǒng)平安2.數(shù)據(jù)庫平安3.網(wǎng)絡(luò)平安4.病毒防護(hù)平安5.訪問限制平安6.加密7.鑒別1.2電子商務(wù)系統(tǒng)平安的構(gòu)成211.2.4信息平安的組成操作系統(tǒng)平安操作系統(tǒng)平安是指要對電子商務(wù)系統(tǒng)的硬件和軟件資源實(shí)行有效的限制，為所管理的資源供應(yīng)相應(yīng)的平安愛護(hù)。操作系統(tǒng)的平安由兩個方面組成：平安操作系統(tǒng)操作系統(tǒng)平安部件1.2電子商務(wù)系統(tǒng)平安的構(gòu)成221.2.4信息平安的組成數(shù)據(jù)庫平安平安數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)平安部件網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安管理平安網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)平安部件1.2電子商務(wù)系統(tǒng)平安的構(gòu)成231.2.4信息平安的組成病毒防護(hù)平安計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、影響計(jì)算機(jī)運(yùn)用、并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。單機(jī)系統(tǒng)病毒防護(hù)網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)1.2電子商務(wù)系統(tǒng)平安的構(gòu)成241.2.4信息平安的組成訪問限制平安出入限制主要用于阻擋非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織存取限制主要是供應(yīng)主體訪問客體時的存取限制加密加密設(shè)備實(shí)現(xiàn)對數(shù)據(jù)的加密密鑰管理供應(yīng)對密鑰的管理來加強(qiáng)信息平安1.2電子商務(wù)系統(tǒng)平安的構(gòu)成251.2.4信息平安的組成鑒別身份鑒別主要用于阻擋非授權(quán)用戶對系統(tǒng)資源的訪問完整性鑒別主要用于證明信息內(nèi)容未被非法修改或遺漏不行否認(rèn)性鑒別證明發(fā)送方所發(fā)送的信息的確被接收方接收了證明接收方接收到的信息的確是發(fā)送方發(fā)送的1.2電子商務(wù)系統(tǒng)平安的構(gòu)成261.3電子商務(wù)平安的需求電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)平安從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安。

計(jì)算機(jī)網(wǎng)絡(luò)平安的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備平安、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安、數(shù)據(jù)庫平安等。其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的平安問題，實(shí)施網(wǎng)絡(luò)平安增加方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的平安性為目標(biāo)。

商務(wù)交易平安則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種平安問題，在計(jì)算機(jī)網(wǎng)絡(luò)平安的基礎(chǔ)上，如何保障電子商務(wù)過程的順當(dāng)進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不行偽造性和不行抵賴性。27計(jì)算機(jī)網(wǎng)絡(luò)平安與商務(wù)交易平安事實(shí)上是密不行分的，兩者相輔相成，缺一不行。沒有計(jì)算機(jī)網(wǎng)絡(luò)平安作為基礎(chǔ)，商務(wù)交易平安就猶如空中樓閣，無從談起。沒有商務(wù)交易平安保障，即使計(jì)算機(jī)網(wǎng)絡(luò)本身再平安，仍舊無法達(dá)到電子商務(wù)所特有的平安要求。28電子商務(wù)的平安需求（平安要素）保密性完整性認(rèn)證性牢靠性不行否認(rèn)性可控性電子商務(wù)的平安要素是電子商務(wù)系統(tǒng)的中心內(nèi)容，是理解整個電子商務(wù)平安的基礎(chǔ)，全部的平安威逼都是針對平安要素中的六項(xiàng)內(nèi)容而言的，全部的平安技術(shù)也都是為保證這六項(xiàng)內(nèi)容的實(shí)現(xiàn)。29保密性（信息的機(jī)密性）。要求系統(tǒng)存儲的信息不泄露給非授權(quán)的人或?qū)嶓w，并且保證這些加密信息在網(wǎng)絡(luò)傳輸過程中只有合法接收者才能獲得和讀懂。保密性可用信息加密技術(shù)來實(shí)現(xiàn)。完整性（信息認(rèn)證）。要求檢驗(yàn)信息的完整性，防止數(shù)據(jù)被未授權(quán)者修改、建立、嵌入、刪除、重復(fù)發(fā)送或由于其他緣由被更改。可以用數(shù)字簽名技術(shù)來保證信息的完整性和真實(shí)性。30認(rèn)證性（用戶身份認(rèn)證）。要求確認(rèn)信息的發(fā)送和接收方是否合法用戶并經(jīng)過授權(quán)，杜絕假冒。認(rèn)證性通過數(shù)字簽名和身份認(rèn)證技術(shù)來實(shí)現(xiàn)。牢靠性（不行拒絕性）。保證授權(quán)用戶在正常訪問信息和資源時不被拒絕，即為用戶供應(yīng)穩(wěn)定牢靠的服務(wù)。牢靠性一般與網(wǎng)絡(luò)平安技術(shù)緊密聯(lián)系在一起。31不行否認(rèn)性（不行抵賴性）。信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息，這是一種法律有效性要求，防止實(shí)體否認(rèn)其行為。接受的技術(shù)如數(shù)字簽名等?？煽匦裕ㄔL問限制性）。規(guī)定了主體向客體的操作權(quán)力限制。主要指能限制運(yùn)用資源的人或?qū)嶓w的運(yùn)用方式，在網(wǎng)絡(luò)上限制和限制通信信道對主體系統(tǒng)和應(yīng)用的訪問。訪問限制性可用防火墻等技術(shù)及相關(guān)制度措施等實(shí)現(xiàn)。321.4電子商務(wù)平安的保障1.4.1技術(shù)措施1.4.2管理措施1.4.3法律環(huán)境331.4.1技術(shù)措施信息加密技術(shù)數(shù)字簽名技術(shù)TCP/IP服務(wù)防火墻的構(gòu)造選擇1.4電子商務(wù)平安的保障341.4.2管理措施人員管理制度保密制度跟蹤、審計(jì)、稽核制度系統(tǒng)維護(hù)制度數(shù)