電子商務(wù)安全導(dǎo)論

電子商務(wù)安全導(dǎo)論21.1電子商務(wù)面臨的安全問(wèn)題1.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.3電子商務(wù)安全的需求1.4電子商務(wù)安全的保障目錄3引例——eBay在中國(guó)潰敗之因eBay與淘寶之戰(zhàn)，eBay敗在了安全上，那么是否淘寶就不再面臨任何的安全問(wèn)題了呢？如果不是，到底還有哪些安全問(wèn)題需要電子商務(wù)來(lái)面對(duì)呢？41.1電子商務(wù)面臨的安全問(wèn)題1.1.1安全問(wèn)題的提出1.1.2電子商務(wù)涉及的安全問(wèn)題信息的安全問(wèn)題冒名偷竊篡改數(shù)據(jù)信息丟失信息傳遞出問(wèn)題信用的安全問(wèn)題來(lái)自買方的安全問(wèn)題來(lái)自賣方的安全問(wèn)題買賣雙方都存在抵賴的情況安全的管理問(wèn)題安全的法律保障問(wèn)題51.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.2.1電子商務(wù)系統(tǒng)安全概述1.2.2系統(tǒng)實(shí)體安全1.2.3系統(tǒng)運(yùn)行安全1.2.4信息安全61.2.1電子商務(wù)系統(tǒng)安全概述電子商務(wù)系統(tǒng)安全的構(gòu)成：1.2電子商務(wù)系統(tǒng)安全的構(gòu)成71.2.2系統(tǒng)實(shí)體安全

所謂實(shí)體安全，是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過(guò)程。1.2電子商務(wù)系統(tǒng)安全的構(gòu)成81.2電子商務(wù)系統(tǒng)安全的構(gòu)成1.環(huán)境安全(1)受災(zāi)防護(hù)(2)區(qū)域防護(hù)2.設(shè)備安全(1)設(shè)備防盜(2)設(shè)備防毀(3)防止電磁信息泄漏(4)防止線路截獲(5)抗電磁干擾(6)電源保護(hù)1.2.2系統(tǒng)實(shí)體安全的組成3.媒體安全(1)媒體的安全媒體的防盜媒體的防毀(2)媒體數(shù)據(jù)的安全媒體數(shù)據(jù)的防盜媒體數(shù)據(jù)的銷毀媒體數(shù)據(jù)的防毀91.2.3系統(tǒng)運(yùn)行安全

運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施來(lái)保護(hù)信息處理過(guò)程的安全。

1.2電子商務(wù)系統(tǒng)安全的構(gòu)成101.2.3系統(tǒng)運(yùn)行安全的組成1.風(fēng)險(xiǎn)分析系統(tǒng)設(shè)計(jì)前的風(fēng)險(xiǎn)分析——潛在的安全隱患系統(tǒng)試運(yùn)行前的風(fēng)險(xiǎn)分析——設(shè)計(jì)的安全漏洞系統(tǒng)運(yùn)行期的風(fēng)險(xiǎn)分析——運(yùn)行的安全漏洞系統(tǒng)運(yùn)行后的風(fēng)險(xiǎn)分析——系統(tǒng)的安全隱患2.審計(jì)跟蹤紀(jì)錄和跟蹤各種系統(tǒng)狀態(tài)的變化實(shí)現(xiàn)對(duì)各種安全事故的定位保存、維護(hù)和管理審計(jì)日志1.2電子商務(wù)系統(tǒng)安全的構(gòu)成111.2.3系統(tǒng)運(yùn)行安全的組成3.備份與恢復(fù)

提供場(chǎng)點(diǎn)內(nèi)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份和恢復(fù)提供場(chǎng)點(diǎn)外的數(shù)據(jù)存儲(chǔ)、備份和恢復(fù)提供對(duì)系統(tǒng)設(shè)備的備份4.應(yīng)急

（1）應(yīng)急計(jì)劃輔助軟件緊急事件或安全事故發(fā)生時(shí)的影響分析應(yīng)急計(jì)劃的概要設(shè)計(jì)或詳細(xì)制定應(yīng)急計(jì)劃的測(cè)試與完善（2）應(yīng)急設(shè)施提供實(shí)時(shí)應(yīng)急設(shè)施提供非實(shí)時(shí)應(yīng)急設(shè)施1.2電子商務(wù)系統(tǒng)安全的構(gòu)成121.2.4信息安全

所謂信息安全，是指防止信息財(cái)產(chǎn)被故意地或偶然地非授權(quán)泄漏、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，即信息安全要確保信息的完整性、保密性、可用性和可控性。1.2電子商務(wù)系統(tǒng)安全的構(gòu)成131.2.4信息安全的組成1.操作系統(tǒng)安全2.數(shù)據(jù)庫(kù)安全3.網(wǎng)絡(luò)安全4.病毒防護(hù)安全5.訪問(wèn)控制安全6.加密7.鑒別1.2電子商務(wù)系統(tǒng)安全的構(gòu)成141.2.4信息安全的組成操作系統(tǒng)安全操作系統(tǒng)安全是指要對(duì)電子商務(wù)系統(tǒng)的硬件和軟件資源實(shí)行有效的控制，為所管理的資源提供相應(yīng)的安全保護(hù)。操作系統(tǒng)的安全由兩個(gè)方面組成：安全操作系統(tǒng)操作系統(tǒng)安全部件1.2電子商務(wù)系統(tǒng)安全的構(gòu)成151.2.4信息安全的組成數(shù)據(jù)庫(kù)安全安全數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)安全部件網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全管理安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全部件1.2電子商務(wù)系統(tǒng)安全的構(gòu)成161.2.4信息安全的組成病毒防護(hù)安全計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。單機(jī)系統(tǒng)病毒防護(hù)網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)1.2電子商務(wù)系統(tǒng)安全的構(gòu)成171.2.4信息安全的組成訪問(wèn)控制安全出入控制主要用于阻止非授權(quán)用戶進(jìn)入機(jī)構(gòu)或組織存取控制主要是提供主體訪問(wèn)客體時(shí)的存取控制加密加密設(shè)備實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密密鑰管理提供對(duì)密鑰的管理來(lái)加強(qiáng)信息安全1.2電子商務(wù)系統(tǒng)安全的構(gòu)成181.2.4信息安全的組成鑒別

身份鑒別主要用于阻止非授權(quán)用戶對(duì)系統(tǒng)資源的訪問(wèn)完整性鑒別主要用于證實(shí)信息內(nèi)容未被非法修改或遺漏不可否認(rèn)性鑒別證實(shí)發(fā)送方所發(fā)送的信息確實(shí)被接收方接收了證實(shí)接收方接收到的信息確實(shí)是發(fā)送方發(fā)送的1.2電子商務(wù)系統(tǒng)安全的構(gòu)成191.3電子商務(wù)安全的需求術(shù)語(yǔ)定義保密性保護(hù)機(jī)密信息不被非法存取以及信息在傳輸過(guò)程中不被非法竊取完整性防止信息在傳輸過(guò)程中丟失、重復(fù)及非法用戶對(duì)信息的惡意篡改認(rèn)證性確保交易信息的真實(shí)性和交易雙方身份的合法性可控性保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問(wèn)，保證數(shù)據(jù)的合法使用不可否認(rèn)性有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)201.4電子商務(wù)安全的保障1.4.1技術(shù)措施1.4.2管理措施1.4.3法律環(huán)境211.4.1技術(shù)措施信息加密技術(shù)數(shù)字簽名技術(shù)TCP