20 元
下载资源

网上支付与电子商务安全-1

上传人:6455****dssg 文档编号:244036592 上传时间:2024-10-02 格式:PPTX 页数:38 大小:1.93MB
返回 下载 相关 举报
网上支付与电子商务安全-1_第1页
第1页 / 共38页
网上支付与电子商务安全-1_第2页
第2页 / 共38页
网上支付与电子商务安全-1_第3页
第3页 / 共38页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,网上支付与电子商务安全,章学拯,zxz,前导课,程,程,计算机,网,网络,操作系,统,统,课程目,标,标,课程体,系,系,考核,平时50%,考试50%,电子商,务,务安全,第1章,电,电子,商,商务安,全,全基础,知,知识,第1节电子商,务,务安全,概,概述,第2节电子商,务,务安全,保,保障,第1章,小,小结,第1章,作,作业要,求,求,第1节,电,电子,商,商务安,全,全概述,电子商,务,务安全,的,的关键,是,是信息,安,安全,计算机,信,信息处,理,理过程,和,和基础,电子商,务,务安全,问,问题及,其,其根源,电子商,务,务安全,特,特征及,其,其防范,技,技术,电子商,务,务安全,的,的关键,是,是信息,安,安全,电子商,务,务是利,用,用计算,机,机网络,所,所进行,的,的商务,活,活动的,统,统称,电子商,务,务的安,全,全问题,除,除了作,为,为商务,活,活动本,身,身所存,在,在的风,险,险外,,本,本课程,主,主要介,绍,绍由于,计,计算机,网,网络的,应,应用所,带,带来的,安,安全问,题,题。,电子商,务,务安全,的,的关键,是,是网络,信,信息安,全,全,电子商,务,务的关,键,键是商,务,务信息,电,电子化,因,因此,,电,电子商,务,务的安,全,全性问,题,题的关,键,键是电,子,子商务,活,活动所,依,依赖的,网,网络信,息,息的安,全,全性。,信息的,价,价值是,引,引发信,息,息安全,性,性问题,的,的主要,因,因素,信息的,价,价值(,=,=,使,使用信,息,息所获,得,得的收,益,益 ,获,获取,信,信息所,用,用成本,),)决定,了,了信息,被,被窃取,或,或篡改,的,的可能,性,性和频,率,率,因,此,此,信,息,息具备,了,了安全,的,的保护,特,特性。,计算机,信,信息处,理,理过程,应用知,识,识进行,数,数据加,工,工,数据,信息,数据存,储,储器,接收者,数据输,入,入:,Web,表,表单,条形码,扫,扫描,数据加,工,工:,统计软,件,件,MIS,系,系统,数据挖,掘,掘, ,数据传,输,输:,局域网,广域网,无线网,络,络, ,数据存,储,储:,服务器,PC机,存储介,质,质, ,数据输,出,出:,MIS,系,系统,计算机,屏,屏幕,纸面打,印,印,音频, ,采集/,输,输入者,计算机,信,信息处,理,理的基,础,础,硬件+软件+网络,信息处,理,理的基,础,础,硬,硬件,处理器设备,控制单元,算术/逻,辑单元,寄存器,CPU,内存,通信设备,辅助存储器,输入设备,输出设备,信息处,理,理的基,础,础,软,软件,会计,通,通用账,务,务等,市场,销,销售分,析,析等,制造,产,产品控,制,制等,财务,投,投资预,算,算等,系统软件,计算机软件,应用软件,系统管理,软件,系统支持,软件,系统开发,软件,通用,软件,专业应用,软件,操作系,统,统,操作环,境,境,数据库,管,管理系,统,统,通信系,统,统,程序设,计,计语言,翻译器,DSS,生,生成器,系统应,用,用程序,执行管,理,理器,安全管,理,理器,字处理,软,软件,电子表,格,格,数据库,管,管理,网页制,作,作,通信,绘图,信息处,理,理的基,础,础,网,网络,自身缺,陷,陷 +,网,网络,开,开放性,+,+,管,管理问,题,题,电子商,务,务安全,问,问题及,其,其根源,信息传,输,输安全,(,(问题思,考,考),信息被,泄,泄密、,篡,篡改或,假,假冒,网络运,行,行安全,(,(问题思,考,考),网络的,缺,缺陷,管理的,欠,欠缺,非法攻,击,击,网络系,统,统运行,安,安全体,系,系结构,系统安,全,全,系统软,件,件的漏,洞,洞和后,门,门,系统故,障,障、崩,溃,溃,关于信,息,息传输,安,安全的,思,思考,网络安,全,全事件,2007年5,月,月至2008,年,年5月,,,,12000,多,多家被,调,调查单,位,位的62.7,%,%发生,过,过网络,安,安全事,件,件,32%的,单,单位多,次,次发生,安,安全事,件,件。感,染,染计算,机,机病毒,、,、蠕虫,和,和木马,程,程序的,情,情况依,然,然十分,突,突出,,占,占72,%,%,其,次,次是网,络,络攻击,和,和端口,扫,扫描(27%,),)、网,页,页篡改,(,(23,%,%)和,垃,垃圾邮,件,件(22%),。,。,在发生,的,的安全,事,事件中,,,,攻击,或,或病毒,传,传播源,来,来自内,部,部人员,的,的为26%,,同,同比增,加,加了21%;,涉,涉及外,部,部人员,同,同比减,少,少了18%。,数据来,源,源:,公,公安部2008年全,国,国信息,网,网络安,全,全状况,调,调查,分析报,告,告,关于网,络,络运行,安,安全的,思,思考,你家有,几,几个门,?,?这些,门,门是否,已,已安装,了,了合适,的,的锁?,这,这些锁,是,是否在,必,必要的,时,时候锁,好,好了?,如何才,能,能控制,或,或不受,限,限制的,进,进入互,联,联网上,的,的一台,服,服务器,?,?,攻击互,联,联网上,计,计算机,与,与攻击,所,所在局,域,域网中,的,的其它,计,计算机,在,在操作,程,程序上,可,可能会,有,有哪些,差,差别?,获取他,人,人账号,和,和密码,的,的方法,有,有哪些,?,?,通讯线,路,路,网络端口,用户权限,数据库安全,通讯协议,非法攻,击,击流程,踩点,Foot,Printing,扫描,Scann ing,资源探查,Enumeration,窃取资源,Pilfer若ing,清除痕迹,Covering tracks,创建后门,Creating back doors,提升权限,Escalating privilege,Y,木马,TrojanHorse,进入系统,Gaining Access,拒绝服务攻击,(DoS),N,网络系,统,统运行,安,安全体,系,系结构,电子商,务,务安全,的,的基本,特,特征,保密性,确保信,息,息不暴,露,露给未,授,授权的,实,实体或,进,进程,完整性,只有得,到,到允许,的,的人才,能,能修改,数,数据,,并,并且能,够,够判别,出,出数据,是,是否已,被,被篡改,可用(,访,访问),性,性,得到授,权,权的实,体,体在需,要,要时可,访,访问数,据,据,即,攻,攻击者,不,不能占,用,用所有,的,的资源,而,而阻碍,授,授权者,的,的工作,电子商,务,务安全,的,的其他,特,特征,不可否,认,认性,防止通,信,信或交,易,易双方,对,对已进,行,行业务,的,的否认,认证性,信息发,送,送者或,系,系统登,陆,陆者身,份,份的确,认,认,可控性,可以控,制,制授权,范,范围内,的,的信息,流,流向及,行,行为方,式,式,可审查,性,性,对出现,的,的网络,安,安全问,题,题提供,调,调查的,依,依据和,手,手段,合法性,各方的,业,业务行,为,为存在,可,可适用,的,的法律,和,和法规,电子商,务,务安全,特,特征及,其,其防范,技,技术,信息传输,网络运行,系统安全,安全防范技术,保密性,防止电磁泄漏、,加密技术,完整性,单向加密、备份,可用性,容错、容灾、防攻击,可控性,防火墙、监测、权限、审计,认证性,数字签名、身份认证,不可否认性,数字签名,第2节,电,电子,商,商务安,全,全保障,电子商,务,务安全,层,层次与,安,安全技,术,术环,安全环,境,境(目,标,标),威严的,法,法律,先进的,技,技术,严格的,管,管理,安全策,略,略,物理安,全,全策略,网络安,全,全控制,策,策略,信息加,密,密策略,网络安,全,全管理,策,策略,安全实,施,施,安全攻,击,击与服,务,务,安全技,术,术与产,品,品,电子商,务,务安全,层,层次与,安,安全技,术,术环,电子商,务,务安全,层,层次,电子商,务,务安全,技,技术环,物理层面,网络层面,系统层面,应用层面,安全管理(线),计算机场地,节点安全,操作系统,信息保密性,安全政策制度,防雷保安器,链路安全,数据库系统,信息完整性,管理的权限和级别划分,电磁泄漏,网络协议安全,B/S开发平台,身份确认,电磁兼容,广域网安全,中间件,访问控制,资源的合理,配置和调度,电器安全,数据传输安全,路由安全,功能的实现,应,用,安,全,系,统,安,全,网,络,安,全,安,全,协,议,安全的,密,密码算,法,法,20世,纪,纪90,年,年代以,前,前,通,通信保,密,密(COMSEC),时,时代,该时代,采,采用的,信,信息安,全,全保障,措,措施就,是,是加密,和,和基于,计,计算机,规,规则的,访,访问控,制,制。,20世,纪,纪90,年,年代,信息,安,安全(INFOSEC)时,代,代,数字化,信,信息除,了,了有保,密,密性的,需,需要外,,,,还有,信,信息的,完,完整性,、,、信息,和,和信息,系,系统的,可,可用性,需,需求。,因,因此,,该,该时代,提,提出了,信,信息安,全,全就是,要,要保证,信,信息的,保,保密性,、,、完整,性,性和可,用,用性。,90年,代,代后期,起,起,信,信息安,全,全保障,(,(IA,),)时代,该时代,信,信息安,全,全在原,来,来的基,础,础上增,加,加了信,息,息和系,统,统的可,控,控性、,信,信息行,为,为的不,可,可否认,性,性要求,。,。并且,需,需要对,整,整个信,息,息和信,息,息系统,的,的保护,和,和防御,,,,包括,对,对信息,的,的保护,、,、检测,、,、反应,和,和恢复,能,能力。,由,由此形,成,成了包,括,括预警,、,、保护,、,、检测,、,、反应,和,和恢复,五,五个环,节,节的信,息,息保障,概,概念,,即,即信息,保,保障的WPDRR模,型,型。,信息安,全,全的目,标,标要求,预警,W,保护,P,监测,D,响应,R,恢复,R,技术,操作,人,物理安,全,全策略,的目的,保护计,算,算机系,统,统、网,络,络服务,器,器、打,印,印机等,硬,硬件实,体,体和通,信,信链路,免,免受自,然,然灾害,、,、人为,破,破坏和,搭,搭线攻,击,击;,防止非,法,法进入,计,计算机,控,控制室,和,和各种,偷,偷窃、,破,破坏活,动,动的发,生,生。,确保计,算,算机系,统,统有一,个,个良好,的,的电磁,兼,兼容和,防,防止电,磁,磁泄漏,(,(即TEMPEST,技,技术),的,的工作,环,环境;,采用各,种,种电磁,屏,屏蔽措,施,施,如,对,对设备,的,的金属,屏,屏蔽和,各,各种接,插,插件的,屏,屏蔽,,同,同时对,机,机房的,下,下水管,、,、暖气,管,管和金,属,属门窗,进,进行屏,蔽,蔽和隔,离,离;,干扰的,防,防护措,施,施,即,在,在计算,机,机系统,工,工作的,同,同时,,利,利用干,扰,扰装置,产,产生一,种,种与计,算,算机系,统,统辐射,相,相关的,伪,伪噪声,向,向空间,辐,辐射来,掩,掩盖计,算,算机系,统,统的工,作,作频率,和,和信息,特,特征。,网络安,全,全控制,策,策略,网络安,全,全防范,和,和保护,的,的主要,任,任务是,保,保证网,络,络资源,不,不被非,法,法使用,和,和非常,访,访问。,它,它也是,维,维护网,络,络系统,安,安全、,保,保护网,络,络资源,的,的重要,手,手段。,各,各种电,子,子商务,安,安全策,略,略必须,相,相互配,合,合才能,真,真正起,到,到保护,作,作用,,但,但网络,安,安全控,制,制可以,说,说是保,证,证网络,安,安全最,重,重要的,核,核心策,略,略之一,。,。网络,安,安全控,制,制策略,包,包括:,入网访,问,问控制,网络的,权,权限控,制,制,网络服,务,务器安,全,全控制,网络监,测,测和锁,定,定控制,网络端,口,口和节,点,点的安,全,全控制,防火墙,控,控制,信息加,密,密策略,网络加,密,密常用,的,的方法,有,有链路,加,加密、,端,端点加,密,密和节,点,点加密,三,三种。,链路加,密,密,保,保护网,络,络节点,之,之间的,链,链路信,息,息安全,;,;,端到端,加,加密,对从,源,源端用,户,户到目,的,的端用,户,户的数,据,据传输,提,提供保,护,护;,节点加,密,密,在,在节点,处,处采用,一,一个与,节,节点机,相,相连的,密,密码装,置,置,对,明,明文进,行,行加密,,,,避免,了,了链路,加,加密节,点,点处易,受,受攻击,的,的缺点,。,。,对称密,码,码,信息的,接,接收者,和,和发送,者,者使用,相,相同的,密,密钥,,即,即加密,密,密钥和,解,解密密,钥,钥是相,同,同或等,价,价的。,比,比较著,名,名的对,称,称密码,算,算法有,:,:美国,的,的DES、TripleDES,、,、GDES、NewDES;,欧,欧洲的IDEA;日,本,本的FEAL,N、LOKI91、Skipjack、RC4、RC5,以,以及以,替,替代密,码,码和置,换,换密码,为,为代表,的,的古典,密,密码等,。,。在众,多,多的对,称,称密码,算,算法中,影,影响最,大,大的是DES,算,算法。,非对称,密,密码,收信方,和,和发信,方,方使用,的,的密钥,互,互不相,同,同,而,且,且几乎,不,不可能,从,从加密,密,密钥推,导,导出解,密,密密钥,。,。比较,著,著名的,不,不对称,密,密码算,法,法有:RSA,、,、背包,密,密码、McEliece密,码,码、Diffe-Hellman,、,、Rabin,、,、Ong-Fiat,-,-Shamir、零,知,知识证,明,明的算,法,法、椭,园,园曲线,、,、EIGamal算,法,法等等,。,。最有,影,影响的,不,不对称,密,密码算,法,法是RSA。,网络安,全,全管理,策,策略,确定安,全,全管理,等,等级和,安,安全管,理,理范围,;,;,制订有,关,关网络,操,操作使,用,用规程,和,和人员,出,出入机,房,房管理,制,制度;,制定网,络,络系统,的,的维护,制,制度和,应,应急措,施,施等;,网络安,全,全管理,策,策略实,施,施中存,在,在的问,题,题,没有建,立,立信息,安,安全组,织,织,或,人,人员缺,乏,乏专业,信,信息安,全,全训练,,,,仅依,靠,靠网管,员,员个人,力,力量。,信息安,全,全岗位,设,设置不,恰,恰当,,安,安全职,责,责划分,不,不合理,,,,本位,现,现象严,重,重。,安全攻,击,击,安全攻,击,击是一,种,种针对,电,电子商,务,务系统,的,的故意,的,的威胁,行,行为,,它,它致力,于,于避开,安,安全服,务,务并且,侵,侵犯系,统,统的安,全,全策略,。,。安全,攻,攻击分,为,为被动,攻,攻击(Passive attack),和,和主动,攻,攻击(Activeattack)。,被动攻,击,击,被动攻,击,击具有,偷,偷听或,者,者监控,传,传输的,性,性质。,攻,攻击者,的,的目的,就,就是获,得,得正在,传,传输的,信,信息。,被,被动攻,击,击有释,放,放消息,内,内容和,流,流量分,析,析两种,类,类型。,主动攻,击,击,主动攻,击,击与更,改,改数据,流,流或伪,造,造假的,数,数据流,有,有关,,主,主动攻,击,击可以,分,分为四,类,类:伪,装,装(Masquerade,),)、重,放,放(Reply)、,更,更改消,息,息内容,(,(Modification)和,拒,拒绝服,务,务(Denialofservice)。,被动攻,击,击,释放消,息,息内容,释放消,息,息内容,(,(Releaseof massagecontents,),)是攻,击,击者通,过,过一定,的,的方式,读,读取发,送,送者发,送,送给接,受,受者的,信,信息的,行,行为,,但,但这种,读,读取并,不,不影响,信,信息的,正,正常传,输,输。攻,击,击者窃,取,取的消,息,息往往,是,是带有,机,机密性,或,或者是,非,非常敏,感,感的信,息,息。,流量分,析,析,流量分,析,析(Trafficanalysis,),)是攻,击,击者分,析,析信息,传,传输的,模,模式,,包,包括分,析,析发收,双,双方、,交,交换信,息,息的频,率,率和信,息,息的长,度,度等数,据,据来获,取,取有用,的,的信息,。,。使用,流,流量分,析,析的攻,击,击者往,往,往是在,无,无法释,放,放消息,内,内容的,情,情况下,不,不得已,的,的做法,。,。譬如,:,:攻击,者,者所得,到,到的释,放,放消息,内,内容是,经,经过加,密,密的消,息,息。,主动攻,击,击(1,),),伪装,伪装(Masquerade)是,指,指一个,实,实体假,装,装成为,另,另一个,不,不同的,实,实体向,第,第三方,发,发送消,息,息。譬,如,如:一,个,个假冒,工,工商银,行,行的网,站,站向网,民,民发送,网,网页内,容,容,诱,骗,骗网民,输,输入银,行,行账户,信,信息。,重放,重放(Reply),是,是指攻,击,击者使,用,用被动,攻,攻击捕,获,获消息,后,后,按,照,照原来,的,的顺序,重,重新发,送,送,从,而,而产生,未,未经授,权,权进入,系,系统的,效,效果。,它,它是一,种,种针对,身,身份鉴,别,别服务,的,的攻击,,,,具体,参,参见第5章。,主动攻,击,击(2,),),更改消,息,息内容,更改消,息,息内容,(,(Modification)是,指,指攻击,者,者使用,被,被动攻,击,击捕获,消,消息后,,,,更改,原,原始消,息,息的一,部,部分,,或,或者延,迟,迟或重,行,行排序,消,消息后,重,重新发,送,送给接,收,收方的,行,行为。,拒绝服,务,务,拒绝服,务,务(Denialofservice)是,指,指攻击,者,者阻止,或,或禁止,他,他人对,系,系统的,正,正常使,用,用或管,理,理,这,种,种攻击,通,通常具,有,有明确,的,的攻击,目,目标。,譬,譬如:,使,使用超,载,载消息,来,来降低,网,网络的,性,性能甚,至,至造成,网,网络瘫,痪,痪。另,一,一种形,式,式的拒,绝,绝服务,攻,攻击是,删,删除系,统,统文件,或,或数据,使,使得授,权,权使用,者,者无法,得,得到相,应,应的服,务,务或获,取,取数据,。,。,安全服,务,务与安,全,全攻击,之,之间的,关,关系,攻击,服务,释放消 息内容,流量 分析,伪装,重放,更改 信息,拒绝 服务,对等实体鉴别,Y,数据源鉴别,Y,访问控制,Y,信息机密性,Y,流量机密性,Y,数据完整性,Y,Y,抗抵赖,可用性,Y,信息安,全,全技术,与,与产品,安全操,作,作系统,防火墙,(,(软件,或,或硬件,),),安全扫,描,描(扫,描,描器、,扫,扫描软,件,件),网络监,控,控(入,侵,侵检测,),),安全审,计,计(安,全,全日志,),),信息加,密,密(加,密,密软件,),),身份认,证,证(身,份,份认证,与,与数字,签,签名软,件,件/卡,、,、认证,令,令牌),通信加,密,密(移,动,动通讯,网,网加密,技,技术、SSL,产,产品),灾难恢,复,复(系,统,统或文,件,件备份,和,和恢复,软,软件),防病毒,(,(防病,毒,毒软件,),),以上安,全,全产品,共,共同组,成,成了一,个,个完整,的,的网络,安,安全系,统,统,每,一,一个单,独,独的组,件,件只能,完,完成其,中,中部分,功,功能,,而,而不能,完,完成全,部,部功能,。,。,信息安,全,全技术,分,分类,安全防,护,护,类,身份认,证,证(PAP、PKI,),),网络访,问,问控制,(,(防火,墙,墙、接,入,入控制,-,-NAC),加密技,术,术(SSH、VNP,、,、SSL),攻击阻,断,断(IPS),恶意代,码,码防护,(,(防病,毒,毒、木,马,马隔离,),),安全操,作,作系统,检测分,析,析类,漏洞扫,描,描,非法外,联,联检查,合规性,检,检查,入侵检,测,测(IDS),网络分,析,析工具,(,(TCPdump、Windump、sniffer,),),主机分,析,析工具,(,( fport、ActivePorts、 strace、strings),应急,恢复类,事故和,系,系统恢,复,复技术,与,与工具,(,(Ghost,、,、雨过,天,天晴),评估,审计类,安全日,志,志,漏洞扫,描,描,入侵检,测,测,安全渗,透,透测试,蜜罐,技,技术(Honeyd,),) ,虚拟,主,主机技,术,术,安全管,理,理,类,网络内,容,容管理,上网行,为,为管理,带宽管,理,理,补丁管,理,理,终端设,备,备管理,网络接,入,入控制,管,管理,统一威,胁,胁管理,-,-UTM,第1章,小,小结,电子商,务,务安全,基,基础知,识,识,安全的,关,关键,信息处,理,理过程,安全问,题,题,安全特,征,征,安全层,次,次,安全目,标,标,安全策,略,略,安全实,施,施,信息安全,五大技术,三大基础,信息传输,网络运行,系统,保密性,完整性,认证性,不可否认性,可用性,可控性,可审性,合法性,四面一线,五技术环,预警 保护,监测 响应,恢复,物理安全,网络安全控制,信息加密,网络安全管理,攻击与服务,安全技术及其分类,概述,安全保,障,障,第1章,作,作业,要,要求,搜索以,下,下关键,词,词相关,知,知识,,并,并加以,整,整理;,将整理,好,好的内,容,容填入,第,第1章,作,作业模,板,板中;,将作业,模,模板的,文,文件名,(,(xxxxxxx-x作业,.,.doc)改,为,为自己,的,的学号,和,和章节,号,号,并,在,在Blackboard(http:/,/,/
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 市场营销


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!