《電子商務(wù)安全技術(shù)》 課件 模塊一 電子商務(wù)安全概述

電子商務(wù)安全概述模塊一學(xué)習(xí)單元1電子商務(wù)安全的基本概念學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成學(xué)習(xí)單元一電子商務(wù)安全的基本概念學(xué)習(xí)單元1電子商務(wù)安全的基本概念電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商務(wù)信息，因此其安全從整體上可以分為計算機(jī)網(wǎng)絡(luò)安全和電子商務(wù)交易安全兩大部分。1.計算機(jī)網(wǎng)絡(luò)安全計算機(jī)網(wǎng)絡(luò)安全包括計算機(jī)網(wǎng)絡(luò)設(shè)備安全、計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全方案和策略，保證計算機(jī)網(wǎng)絡(luò)自身的安全。一、電子商務(wù)安全的含義2.電子商務(wù)交易安全電子商務(wù)交易安全緊緊圍繞商務(wù)活動在互聯(lián)網(wǎng)上開展時產(chǎn)生的各種安全問題，在計算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易和電子支付為核心的電子商務(wù)活動順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等。計算機(jī)網(wǎng)絡(luò)安全和電子商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成、缺一不可，它們是電子商務(wù)活動得以實(shí)現(xiàn)的重要支撐。學(xué)習(xí)單元1電子商務(wù)安全的基本概念學(xué)習(xí)單元1電子商務(wù)安全的基本概念電子商務(wù)安全隱患主要包括計算機(jī)網(wǎng)絡(luò)的安全隱患、商務(wù)交易的安全隱患以及人員、管理、法律的安全隱患，如圖1-1-1所示。二、電子商務(wù)安全隱患的類型1.計算機(jī)網(wǎng)絡(luò)的安全隱患計算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計算機(jī)網(wǎng)絡(luò)的安全隱患主要包括以下四種：（1）硬件安全威脅對硬件的安全威脅主要指對計算機(jī)本身及各種網(wǎng)絡(luò)設(shè)備等實(shí)體的威脅和攻擊，主要包括各種自然災(zāi)害、人為破壞、設(shè)備故障、電磁干擾以及各種媒體的被盜和丟失等。這些威脅不僅會對網(wǎng)絡(luò)硬件造成損害，而且會使系統(tǒng)的機(jī)密信息受到嚴(yán)重破壞和泄露。因此，對網(wǎng)絡(luò)硬件的保護(hù)是保障電子商務(wù)安全的首要問題。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（2）軟件安全威脅1）操作系統(tǒng)的隱患。互聯(lián)網(wǎng)上的通信業(yè)務(wù)需要操作系統(tǒng)支持，幾乎所有的操作系統(tǒng)都有安全漏洞。根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT，又稱國家互聯(lián)網(wǎng)應(yīng)急中心）統(tǒng)計，僅2023年收錄的安全漏洞就達(dá)14364個，其中高危漏洞9094個，整體呈逐年上升趨勢，如圖1-1-2所示。學(xué)習(xí)單元1電子商務(wù)安全的基本概念2）網(wǎng)絡(luò)協(xié)議的隱患。電子商務(wù)活動是基于互聯(lián)網(wǎng)開展的，而互聯(lián)網(wǎng)的數(shù)據(jù)傳輸是基于TCP（傳輸控制協(xié)議）/IP（網(wǎng)際互連協(xié)議）等通信協(xié)議進(jìn)行的，這些協(xié)議存在安全缺陷，這些缺陷也是影響電子商務(wù)安全的一個重要因素。3）應(yīng)用軟件的隱患。各種應(yīng)用軟件的安全隱患及操作上的失誤都有可能導(dǎo)致交易信息的丟失和錯誤，進(jìn)而使電子商務(wù)活動無法正常進(jìn)行。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（3）黑客互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)，黑客經(jīng)常會侵入網(wǎng)絡(luò)中的計算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)，或盜用權(quán)限，或破壞重要數(shù)據(jù)，使系統(tǒng)癱瘓。因此，黑客也是構(gòu)成電子商務(wù)安全隱患的主要因素之一。（4）計算機(jī)病毒計算機(jī)病毒是困擾計算機(jī)及網(wǎng)絡(luò)系統(tǒng)正常運(yùn)轉(zhuǎn)的棘手難題，而電子商務(wù)是一種依賴于計算機(jī)和網(wǎng)絡(luò)的商務(wù)模式。因此，計算機(jī)病毒也是對電子商務(wù)安全構(gòu)成威脅的不可忽視的因素。學(xué)習(xí)單元1電子商務(wù)安全的基本概念2.商務(wù)交易的安全隱患（1）銷售者面臨的威脅1）破壞電子商務(wù)站點(diǎn)。不法分子惡意攻擊、破壞電子商務(wù)服務(wù)器的站點(diǎn)，中斷銷售者所提供的服務(wù)，暴露銷售者的機(jī)密信息等，給企業(yè)帶來損失。2）信息被竊取、截獲、篡改或破壞。電子商務(wù)活動中的信息通過計算機(jī)網(wǎng)絡(luò)傳輸時，可能被別有用心者截獲，從而造成商業(yè)機(jī)密和個人隱私的泄露。別有用心者甚至還可能對截獲的數(shù)據(jù)，如資金數(shù)量、貨物數(shù)量、交貨方式等進(jìn)行修改，從而給銷售者造成極大的損失。3）被他人假冒。非法者建立與銷售者服務(wù)器名字相同的另一個服務(wù)器來假冒銷售者，使銷售者的信譽(yù)受到損害。4）消費(fèi)者提交訂單后不付款以及向銷售者提供虛假訂單，給銷售者帶來經(jīng)濟(jì)損失。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（2）購買者面臨的威脅1）被人假冒。假冒者可能會以購買者的名義訂購商品，此時購買者會被要求付款，購買者付款后也很有可能收不到商品。2）機(jī)密性喪失。購買者將個人的身份信息及個人數(shù)據(jù)發(fā)送給銷售商，這些信息有可能在傳遞過程中被不法分子竊取，使購買者蒙受損失。3）得不到正常服務(wù)。銷售商的服務(wù)器因受到攻擊而發(fā)生故障，購買者不能得到正常的服務(wù)。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（3）銀行面臨的威脅電子商務(wù)活動中的安全風(fēng)險還有很大一部分來自攻擊者對銀行專用網(wǎng)絡(luò)的破壞。攻擊者破壞銀行專用網(wǎng)絡(luò)所采用的手段大致有以下四類。1）中斷（攻擊系統(tǒng)的可用性）。攻擊者破壞銀行專用網(wǎng)絡(luò)系統(tǒng)中的硬件、線路、文件系統(tǒng)等，使系統(tǒng)不能正常運(yùn)行。2）竊聽（攻擊系統(tǒng)的機(jī)密性）。攻擊者通過搭線與電磁泄漏等手段造成系統(tǒng)信息泄露，或?qū)︺y行專用網(wǎng)絡(luò)中的業(yè)務(wù)流量進(jìn)行分析，獲取有用情報。3）篡改（攻擊系統(tǒng)的完整性）。攻擊者篡改銀行專用網(wǎng)絡(luò)中的數(shù)據(jù)內(nèi)容，修改消息次序、時間（延時和重放）等。4）偽造（攻擊系統(tǒng)的真實(shí)性）。攻擊者將偽造的虛假信息輸入銀行專用網(wǎng)絡(luò)，冒名頂替合法人員介入銀行專用網(wǎng)絡(luò)，重放截獲的合法信息以實(shí)現(xiàn)非法目的。學(xué)習(xí)單元1電子商務(wù)安全的基本概念3.人員、管理、法律的安全隱患人員、管理、法律的安全隱患常常是電子商務(wù)安全中最容易被忽視的環(huán)節(jié)，其中工作人員存在的安全隱患表現(xiàn)最為突出。（1）規(guī)章制度不健全造成人為泄密事故。（2）因業(yè)務(wù)不熟悉、誤操作或不遵守操作規(guī)程而造成泄密。（3）保密意識不強(qiáng)，不遵守保密規(guī)則，隨便泄露機(jī)密。（4）熟悉系統(tǒng)的人員故意改動軟件，非法獲取或篡改信息。（5）惡意破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備。（6）利用硬件的故障部位和軟件的錯誤非法訪問系統(tǒng)，或?qū)Ω鞑糠诌M(jìn)行破壞。學(xué)習(xí)單元1電子商務(wù)安全的基本概念學(xué)習(xí)單元1電子商務(wù)安全的基本概念1.網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)防火墻是保護(hù)企業(yè)和用戶保密數(shù)據(jù)和網(wǎng)絡(luò)設(shè)施免遭破壞的主要手段之一。它可用于防止未授權(quán)的用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，也可用于防止企業(yè)內(nèi)部的保密數(shù)據(jù)未經(jīng)授權(quán)而發(fā)出。防火墻可用于設(shè)置用戶對內(nèi)部網(wǎng)絡(luò)中某些部分的訪問權(quán)限，保護(hù)敏感信息或保密信息。防火墻技術(shù)主要有包過濾、代理服務(wù)、狀態(tài)監(jiān)控等。三、電子商務(wù)安全技術(shù)概述（2）虛擬專用網(wǎng)絡(luò)技術(shù)虛擬專用網(wǎng)絡(luò)（virtualprivatenetwork，VPN）是企業(yè)內(nèi)部網(wǎng)絡(luò)在互聯(lián)網(wǎng)的延伸，它通過專用的通道創(chuàng)建安全的專用連接，將遠(yuǎn)程用戶、企業(yè)分支機(jī)構(gòu)、公司業(yè)務(wù)合作伙伴等與公司內(nèi)部網(wǎng)絡(luò)連接起來，構(gòu)成一個擴(kuò)展的企業(yè)內(nèi)部網(wǎng)絡(luò)。VPN是企業(yè)常用的安全解決方案，它將不可靠的公用互聯(lián)網(wǎng)作為信息傳輸媒介，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)，實(shí)現(xiàn)與專用網(wǎng)相似的安全性能。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（3）入侵檢測（intrusiondetection）技術(shù)入侵檢測是繼防火墻之后的又一道防線。防火墻只能對黑客的攻擊實(shí)施被動防御，一旦黑客攻入系統(tǒng)內(nèi)部，就沒有切實(shí)的防護(hù)策略。而入侵檢測系統(tǒng)則是針對這種情況提出的又一道防線，它能對系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為進(jìn)行識別和做出相應(yīng)處理。（4）蜜罐技術(shù)蜜罐技術(shù)中的蜜罐是指故意讓人攻擊的目標(biāo)，它用來引誘黑客前來攻擊。攻擊者入侵后，蜜罐技術(shù)可以隨時了解針對服務(wù)器發(fā)動的最新攻擊和服務(wù)器的漏洞；還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的工具，并且掌握黑客的社交網(wǎng)絡(luò)。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（5）防病毒技術(shù)計算機(jī)病毒是指編制的或在計算機(jī)程序中插入的破壞計算機(jī)功能或毀壞數(shù)據(jù)、影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或程序代碼。病毒具有寄生性、傳染性、隱蔽性、潛伏性、可觸發(fā)性、破壞性等特點(diǎn)，是目前計算機(jī)網(wǎng)絡(luò)安全的一個重要威脅。因此，防病毒技術(shù)一直是計算機(jī)領(lǐng)域研究的重點(diǎn)內(nèi)容。學(xué)習(xí)單元1電子商務(wù)安全的基本概念2.信息與交易安全技術(shù)（1）信息加密技術(shù)信息加密技術(shù)是主動的信息安全防范措施，它利用加密算法，將明文轉(zhuǎn)換成無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。（2）認(rèn)證技術(shù)認(rèn)證技術(shù)主要包括數(shù)字證書和數(shù)字簽名。數(shù)字證書是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，是通過運(yùn)用對稱和非對稱密碼體制建立起的一套嚴(yán)密的身份認(rèn)證系統(tǒng)。數(shù)字簽名實(shí)現(xiàn)消息認(rèn)證，可以保障信息來源的真實(shí)性和信息的完整性。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（3）安全套接層協(xié)議安全套接層（securesocketlayer，SSL）協(xié)議提供兩臺計算機(jī)之間的安全連接，對整個會話進(jìn)行加密，從而保證信息的安全傳輸。SSL協(xié)議具有三個特點(diǎn)：①連接是保密的，采用對稱密碼體制加密數(shù)據(jù)；②連接是可靠的，采用信息驗(yàn)證算法進(jìn)行完整性檢驗(yàn)；③對端身份是經(jīng)驗(yàn)證的，對端實(shí)體的鑒別采用非對稱密碼體制進(jìn)行認(rèn)證。學(xué)習(xí)單元1電子商務(wù)安全的基本概念（4）安全電子交易（secureelectronictransaction，SET）協(xié)議SET協(xié)議是通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供實(shí)現(xiàn)安全措施的規(guī)則：信息在互聯(lián)網(wǎng)上安全傳輸，保證傳輸?shù)臄?shù)據(jù)不被黑客竊??；訂單信息和個人賬號信息隔離，當(dāng)包含持卡人賬號信息的訂單發(fā)送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息；持卡人和商家相互認(rèn)證，以確認(rèn)通信雙方的身份。學(xué)習(xí)單元1電子商務(wù)安全的基本概念3.安全管理技術(shù)俗話說“三分靠技術(shù)，七分靠管理”，大力加強(qiáng)電子商務(wù)系統(tǒng)的安全管理是十分必要的。在行政管理方面應(yīng)加強(qiáng)安全組織機(jī)構(gòu)的責(zé)任感和監(jiān)督力度，加強(qiáng)業(yè)務(wù)運(yùn)行安全，完善規(guī)章制度。安全管理技術(shù)主要包括加強(qiáng)企業(yè)內(nèi)部安全管理、加速培養(yǎng)電子商務(wù)人才、加強(qiáng)政府監(jiān)管和法律法規(guī)建設(shè)等方面的內(nèi)容。學(xué)習(xí)單元1電子商務(wù)安全的基本概念學(xué)習(xí)單元二電子商務(wù)系統(tǒng)安全的構(gòu)成電子商務(wù)系統(tǒng)安全是由系統(tǒng)實(shí)體安全、系統(tǒng)運(yùn)行安全和系統(tǒng)信息安全三部分組成的，其整體的安全結(jié)構(gòu)如圖1-2-1所示。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成電子商務(wù)系統(tǒng)實(shí)體安全是指保護(hù)計算機(jī)與網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施。電子商務(wù)系統(tǒng)實(shí)體安全由環(huán)境安全、設(shè)備安全和媒體安全三部分組成。一、電子商務(wù)系統(tǒng)實(shí)體安全學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成1.環(huán)境安全實(shí)體安全中的環(huán)境安全是指對電子商務(wù)系統(tǒng)所在的環(huán)境實(shí)施安全保護(hù)，主要包括受災(zāi)防護(hù)和區(qū)域防護(hù)。（1）受災(zāi)防護(hù)受災(zāi)防護(hù)是指系統(tǒng)要具備受災(zāi)報警、受災(zāi)保護(hù)和受災(zāi)恢復(fù)等功能，目的是保護(hù)電子商務(wù)系統(tǒng)免受水、火、有害氣體、地震、雷擊和靜電的危害。1）受災(zāi)防護(hù)的功能。受災(zāi)防護(hù)的功能可歸納為三個方面。①災(zāi)難發(fā)生前，對災(zāi)難進(jìn)行監(jiān)測和報警。②災(zāi)難發(fā)生時，對正遭受破壞的電子商務(wù)系統(tǒng)采取緊急措施，進(jìn)行現(xiàn)場實(shí)時保護(hù)。③災(zāi)難發(fā)生后，對已經(jīng)遭受某種破壞的電子商務(wù)系統(tǒng)進(jìn)行災(zāi)后恢復(fù)。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成2）受災(zāi)恢復(fù)計劃輔助軟件的功能。為了實(shí)施受災(zāi)防護(hù)，在電子商務(wù)系統(tǒng)中應(yīng)考慮受災(zāi)恢復(fù)計劃輔助軟件，它主要是為制訂受災(zāi)恢復(fù)計劃提供計算機(jī)輔助。受災(zāi)恢復(fù)計劃輔助軟件的功能主要包括三個方面。①災(zāi)難發(fā)生時的影響分析。②受災(zāi)恢復(fù)計劃的概要設(shè)計或詳細(xì)制訂。③受災(zāi)恢復(fù)計劃的測試與完善。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（2）區(qū)域防護(hù)區(qū)域防護(hù)是指對特定區(qū)域提供某種形式的保護(hù)和隔離措施，其功能可歸納為兩個方面。1）靜止區(qū)域保護(hù)：如通過電子手段（如紅外掃描等）或其他手段對特定區(qū)域（如機(jī)房等）進(jìn)行某種形式的保護(hù)（如監(jiān)測和控制等）。2）活動區(qū)域保護(hù)：對活動區(qū)域（如活動機(jī)房等）進(jìn)行某種形式的保護(hù)。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成2.設(shè)備安全實(shí)體安全中的設(shè)備安全是指對電子商務(wù)系統(tǒng)的設(shè)備進(jìn)行安全保護(hù)，主要包括設(shè)備防盜、設(shè)備防毀、防止電磁泄漏、防止線路截獲、抗電磁干擾以及電源保護(hù)六個方面。（1）設(shè)備防盜設(shè)備防盜就是對電子商務(wù)系統(tǒng)的設(shè)備和部件采取一定的防盜手段（如移動報警器、數(shù)字探測報警器和部件上鎖），以提高系統(tǒng)設(shè)備和部件的安全性。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（2）設(shè)備防毀設(shè)備防毀就是對電子商務(wù)系統(tǒng)的設(shè)備實(shí)施防毀保護(hù)，主要包括兩個方面的措施。1）對抗自然力的破壞，使用一定的防毀措施（如接地保護(hù)等）來保護(hù)電子商務(wù)系統(tǒng)的設(shè)備和部件。2）對抗人為的破壞，使用一定的防毀措施（如防砸外殼）來保護(hù)電子商務(wù)系統(tǒng)的設(shè)備和部件。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（3）防止電磁泄漏防止電子商務(wù)系統(tǒng)的電磁泄漏，可以提高系統(tǒng)內(nèi)敏感信息的安全性。為防止電磁泄漏，可以采用三個方面的措施。1）防止電磁的泄漏，如建立屏蔽室防止電磁泄漏。2）干擾泄漏的電磁，如利用電磁干擾對泄漏的電磁進(jìn)行置亂。3）吸收泄漏的電磁，如通過特殊材料/涂料等吸收泄漏的電磁。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（4）防止線路截獲防止線路截獲主要是防止對電子商務(wù)系統(tǒng)通信線路的截獲，主要涉及四個方面的舉措。1）預(yù)防線路截獲，使線路截獲設(shè)備無法正常工作。2）探測線路截獲，發(fā)現(xiàn)線路截獲并報警。3）定位線路截獲，發(fā)現(xiàn)線路截獲設(shè)備的位置。4）對抗線路截獲，阻止線路截獲設(shè)備的有效使用。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（5）抗電磁干擾抗電磁干擾主要是要防止對電子商務(wù)系統(tǒng)的電磁干擾，從而保護(hù)系統(tǒng)內(nèi)部的信息，主要涉及兩個方面的舉措。1）對抗外界對系統(tǒng)的電磁干擾。2）消除來自系統(tǒng)內(nèi)部的電磁干擾。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（6）電源保護(hù)電源保護(hù)主要是指為電子商務(wù)系統(tǒng)設(shè)備的可靠運(yùn)行提供能源保障，如采用不間斷電源、紋波抑制器、電源調(diào)節(jié)軟件等，主要涉及兩個方面的舉措。1）對工作電源工作連續(xù)性的保護(hù)，如不間斷電源。2）對工作電源工作穩(wěn)定性的保護(hù)，如紋波抑制器。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成3.媒體安全實(shí)體安全中的媒體安全是指對媒體本身和媒體數(shù)據(jù)實(shí)施安全保護(hù)。（1）媒體本身的安全媒體本身的安全主要是指提供對媒體的安全保管，目的是保護(hù)存儲在媒體上的信息，主要涉及兩個方面的舉措。1）媒體的防盜。2）媒體的防毀，如防霉和防砸等。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（2）媒體數(shù)據(jù)的安全媒體數(shù)據(jù)的安全主要是指提供對媒體數(shù)據(jù)的保護(hù)，實(shí)施對媒體數(shù)據(jù)的安全刪除和安全銷毀，目的是防止刪除或者銷毀的敏感數(shù)據(jù)被他人恢復(fù)，主要涉及三個方面的措施。1）媒體數(shù)據(jù)的防盜，如防止媒體數(shù)據(jù)被非法復(fù)制。2）媒體數(shù)據(jù)的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和媒體數(shù)據(jù)的徹底銷毀（如消磁等），防止媒體數(shù)據(jù)刪除或銷毀后被他人恢復(fù)而泄露信息。3）媒體數(shù)據(jù)的防毀，防止意外或故意的破壞而使媒體數(shù)據(jù)丟失。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成電子商務(wù)系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施來保護(hù)信息處理過程的安全。電子商務(wù)系統(tǒng)運(yùn)行安全由風(fēng)險分析、審計跟蹤、備份與恢復(fù)和應(yīng)急措施四個部分組成。二、電子商務(wù)系統(tǒng)運(yùn)行安全學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成1.風(fēng)險分析運(yùn)行安全中的風(fēng)險分析是指對電子商務(wù)系統(tǒng)進(jìn)行人工或自動的風(fēng)險分析。風(fēng)險分析首先要對系統(tǒng)進(jìn)行靜態(tài)的分析，尤指系統(tǒng)設(shè)計前和系統(tǒng)運(yùn)行前的風(fēng)險分析，發(fā)現(xiàn)系統(tǒng)的潛在安全隱患；其次要對系統(tǒng)進(jìn)行動態(tài)的分析，即在系統(tǒng)運(yùn)行過程中測試、跟蹤并記錄其活動，發(fā)現(xiàn)系統(tǒng)運(yùn)行期間的安全漏洞；最后要對系統(tǒng)進(jìn)行運(yùn)行后的分析，并提供相應(yīng)的系統(tǒng)脆弱性分析報告。風(fēng)險分析涉及四個方面的安全舉措。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（1）系統(tǒng)設(shè)計前的風(fēng)險分析通過分析系統(tǒng)固有的脆弱性，發(fā)現(xiàn)系統(tǒng)設(shè)計前潛在的安全隱患。（2）系統(tǒng)試運(yùn)行前的風(fēng)險分析根據(jù)系統(tǒng)試運(yùn)行期的運(yùn)行狀態(tài)和結(jié)果，分析系統(tǒng)潛在的安全隱患，發(fā)現(xiàn)系統(tǒng)設(shè)計的安全漏洞。（3）系統(tǒng)運(yùn)行期的風(fēng)險分析提供系統(tǒng)運(yùn)行記錄，跟蹤系統(tǒng)狀態(tài)的變化，分析系統(tǒng)運(yùn)行期的安全隱患，發(fā)現(xiàn)系統(tǒng)運(yùn)行期的安全漏洞，并及時告知安全管理員。（4）系統(tǒng)運(yùn)行后的風(fēng)險分析分析系統(tǒng)運(yùn)行記錄，發(fā)現(xiàn)系統(tǒng)潛在的安全隱患，為改進(jìn)系統(tǒng)的安全性提供分析報告。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成2.審計跟蹤運(yùn)行安全中的審計跟蹤，是指對電子商務(wù)系統(tǒng)進(jìn)行人工或自動的審計跟蹤，保存審計記錄和維護(hù)詳盡的審計日志。審計跟蹤涉及三個方面的安全舉措。（1）記錄和跟蹤各種系統(tǒng)狀態(tài)的變化，如提供對系統(tǒng)故意入侵行為的記錄和對違反系統(tǒng)安全功能行為的記錄。（2）實(shí)現(xiàn)對各種安全事件的定位，如監(jiān)控和捕捉各種安全事件。（3）保存、維護(hù)和管理審計日志。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成3.備份與恢復(fù)運(yùn)行安全中的備份與恢復(fù)是指提供對系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份與恢復(fù)。對系統(tǒng)數(shù)據(jù)進(jìn)行備份和恢復(fù)所使用的介質(zhì)可以是磁介質(zhì)、紙介質(zhì)、光碟、縮微品載體等。備份與恢復(fù)主要涉及三個方面的安全舉措。（1）提供工作現(xiàn)場內(nèi)高速度、大容量、自動化的數(shù)據(jù)存儲、備份和恢復(fù)。（2）提供工作現(xiàn)場外的數(shù)據(jù)存儲、備份和恢復(fù)，如通過專用安全記錄存儲設(shè)施對系統(tǒng)內(nèi)的主要數(shù)據(jù)進(jìn)行備份。（3）提供對系統(tǒng)設(shè)備的備份。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成4.應(yīng)急措施運(yùn)行安全中的應(yīng)急措施是指提供在緊急事件或安全事故發(fā)生時保障電子商務(wù)系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)所需要的策略。應(yīng)急措施包括應(yīng)急計劃輔助軟件和應(yīng)急設(shè)施兩個方面。（1）應(yīng)急計劃輔助軟件應(yīng)急計劃是指在緊急狀態(tài)下，使系統(tǒng)能夠盡量完成原定任務(wù)的計劃。應(yīng)急計劃輔助軟件主要是為制訂應(yīng)急計劃提供計算機(jī)輔助，它包括三個方面的功能。1）緊急事件或安全事故發(fā)生時的影響分析。2）應(yīng)急計劃的概要設(shè)計或詳細(xì)制訂。3）應(yīng)急計劃的測試與完善。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成（2）應(yīng)急設(shè)施應(yīng)急設(shè)施主要是指緊急事件或安全事故發(fā)生時電子商務(wù)系統(tǒng)實(shí)施應(yīng)急計劃所需要的設(shè)施，包括實(shí)時應(yīng)急設(shè)施、非實(shí)時應(yīng)急設(shè)施等。實(shí)時應(yīng)急設(shè)施、非實(shí)時應(yīng)急設(shè)施的區(qū)別主要表現(xiàn)在對緊急事件發(fā)生時響應(yīng)時間的長短上。應(yīng)急設(shè)施主要提供兩個方面的安全功能。1）提供實(shí)時應(yīng)急設(shè)施，實(shí)現(xiàn)應(yīng)急計劃，保障電子商務(wù)系統(tǒng)的正常安全運(yùn)行。2）提供非實(shí)時應(yīng)急設(shè)施，實(shí)現(xiàn)應(yīng)急計劃。學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成電子商務(wù)系統(tǒng)信息安全是指防止信息財產(chǎn)被故意地或偶然地非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識、控制。信息安全要確保信息的完整性、保密性、可用性和可控性。信息安全由操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)安全、訪問控制安全、加密和鑒別七個部分組成。三、電子商務(wù)系統(tǒng)信息安全學(xué)習(xí)單元2電子商務(wù)系統(tǒng)安全的構(gòu)成1.操作系統(tǒng)安全信息安全中的操作系統(tǒng)安全是指對電子商務(wù)系統(tǒng)的硬件和軟件資源實(shí)行有效的控制，為所管理的資源提供相應(yīng)的安全保護(hù)。它們可以以底層操作系統(tǒng)所提供的安全機(jī)制為