试谈电子商务中的安全问题

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Harbin Institute of Technology,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,第,5讲 电子商务,安全,(4学时),哈尔滨工业大学管理学院,王泽彬,1,第,13章,电子商务中的安全问题,13.1,安全概述,13.2,对知识产权的安全威胁,13.,3对电子商务的安全威胁,13.4,系统安全工程能力成熟度模型,3,13,.,1,安全概述,1988,年,11,月,3,日蠕虫病毒,康奈尔大学小罗伯特,.,莫里斯,Unix,电子邮件程序,失控繁殖耗尽资源死机,1999,年,4,月,26,日,CIH,2000,年,2,月,6,日,yahoo,、,amazon,、,eBay DDOS,分布式拒绝服务,2000,年春 美、加、日、泰张贴信用卡号,5,安全威胁,对计算机资产带来危险的任何行动或对象都称为,安全威胁,安全措施,安全措施,是指识别、降低或消除安全威胁的物理或逻辑步骤的总称,6,计算机安全,计算机安全,保护企业资产不受未经授权的访问、使用、篡改或破坏。,根据安全的形式可分为两类安全：,物理安全：是指通过可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防暴建筑物等进行的保护。,逻辑安全：使用非物理手段对资产进行保护称为逻辑安全。,7,影响小,（成本）,影响大,（成本）,概率高,概率低,一般控制,严格预防,不用理会,保险或备份计划,IT,系统风险管理模型,Schneider & James,8,根据安全的内容对安全分类,保密性,防止未授权的数据暴露,完整性,防止未授权的数据篡改,即需性,防止延迟或拒绝服务,9,计算机安全策略,一个组织针对计算机安全问题制定的所需要保护的资产、保护的原因、谁负责保护、哪些行为可以接受、哪些行为不可以接受的方针政策。,一般包括物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容。,10,安全策略的内容,身份认证：谁想访问电子商务网站,访问控制：允许谁登录访问,保密：谁有权查看特定信息,数据完整性：数据修改的授权,审计：由谁在何时导致了何事,(,日志,),11,案例：医药电子商务安全案例,金药网：中国医药电子商务平台,是提供,医药,B2B,的电子商务平台,同时也是提供,对医药,B2B,进行监督 的电子政务平台,12,医药及医疗器械招标采购电子商务平台,招标,投标,开标,评标,采购,各监督方全程监控,13,电子商务系统的安全措施：,屏蔽网页右键菜单功能，杜绝最基本的安全隐患。,如果未加限制可以通过右键查看网页源代码，泄露一些网站的基本信息。,会话期安全优化，数据加密传输。,即使传输中被截获也不会泄露传输内容,系统支持双通道数据存取。,避免数据存储失败导致信息遗失。,14,电子商务系统的安全措施：,逻辑锁,+,表单、数据库内容加密存储。,表单被非法修改，逻辑锁会发现并修正原有数据信息,数据维护人员也不能获知存储的内容，杜绝数据内部泄密,案例：,15,1.计划单,2.,合同单,3.,入库单,4.,发票,5.,结存单,现金（,1001）减少：金额：333，293.80,现金（,1001）减少：摘要（餐费）金额：441.00,第5号凭证,财务要报的逐级追溯查询功能,要报信息,第,5号凭证的明细,构成明细,凭证明细,步骤一,步骤二,步骤一：追溯某一条要报信息的构成明细。,步骤二：根据某一条明细记录追溯记账凭证。,电子商务系统的安全措施：,支持后台定期自动备份，具有快速灾难恢复功能。,自动备份分为脱离原介质（刻制光盘）、脱离操作系统（异地备份）、脱离数据库（分离成备份文件）,频繁访问自动屏蔽机制等安全筛选条件。,如果达到每秒数百次的,http,请求，系统将自动屏蔽该访问请求,18,中国互联网络信息中心,(China Internet Network Information Center ，简称CNNIC)是成立于1997年6月3日的非营利管理与服务机构，行使国家互联网络信息中心的职责。CNNIC在业务上接受信息产业部领导，在行政上接受中国科学院领导。中国科学院计算机网络信息中心承担CNNIC的运行和管理工作。由国内知名专家、各大互联网络单位代表组成的,CNNIC工作委员会,，对,CNNIC的建设、运行和管理进行监督和评定。,19,CNNIC,承担的主要职责：,1,域名注册管理,2,IP,地址、,AS,号分配与管理,3,目录数据库服务,4,互联网寻址技术研发,5,互联网调查与相关信息服务,6,国际交流与政策调研,7.,承担中国互联网协会政策与资源工作委员会秘书处的工作,20,13,.,2,对知识产权的安全威胁,网络环境下对知识产权的侵犯变得更为容易和普遍。,知识产权,是指对智力劳动成果所享有的占有、使用、处分和收益的权利。知识产权的类型分为六种，即,著作权（版权）,、,专利权,、,商标权,、,发现权,、,发明权,和,其他,科技成果权。,版权,是指原创作品拥有人可行使以下权利，包括：复制权、发行权、公演权、改编权及广播权，及有权禁止任何人于未获授权的情况下行使上述权利,目前互联网上侵犯版权的损失额难以测量。,N,22,域名安全,域名抢注,1999,年,11,月美国反域名抢注消费者保护法案,(ACPC),生效（网上商标保护法）保护公司的商标名称不被无此商标所有权者注册成域名,域名变异,注册某些著名域名的变体或易错拼写,23,13,.,3,对,电子商务的,的安全威胁,对电子商务的的安全威胁,:,1,、对客户机的安全威胁,2,、对通信信道的安全威胁,3,、对服务器的安全威胁,25,13,.,4,系统安全工程能力成熟度模型,用来刻画一个信息组织或信息系统安全工程过程基本特征的模型系统与认证体系。,系统安全工程能力成熟度模型，,SSE-CMM Systems Security Engineering Capability Maturity Model,27,系统安全工程能力成熟度模型，,SSE-CMM,Systems Security Engineering Capability Maturity Model,SSE-CMM,的构想是,1993,年,4,月美国国家安全局,(NSA),提出来的。在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下，汇聚了超过,60,个厂家，集中了大量的人力、物力和财力对该构想进行了开发实施,1996,年,10,月出版,SSE-CMM,模型的第一个版本,1997,年,4,月出版了评定方法的第一个版本,1999,年,4,月发布了,SSE-CMM,的,2.0,版本,28,1非正式实施,2计划与跟踪,3良好定义,4定量控制,5持续改进,0没有实施,执行了基础实施,承诺实施,计划实施,规范实施,跟踪实施,验证实施,定义标准过程,剪裁标准过程,使用数据,执行已定义过程,建立可度量的质量目标,确定完成目标的过程能力,有目的的管理实施,建立量化过程的有效性目标,改善过程的有效性,安全工程组织的成熟度,29,世界银行的调查显示印度软件的出口规模、质量和成本三项综合指数居世界首位。而包括,SSE-CMM,、,SW-CMM,在内的,CMM,体系在印度较广泛的推广，起了重要的作用。,全球第,5,级的软件公司有,2/3,在印度。中国,0,。,30,