电子商务网站管理与维护 第4章 网站的安全概述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,任课教师：孙博,电子商务网站管理与维护,孙 博,第二篇,网站安全,第,4,章,网站的安全概述,第,5,章,网络病毒和防毒系统,第,6,章,黑客与反黑客技术,第,7,章,外部安全和防火墙技术,第,8,章,Web,站点的安全技术,第,4,章 网络的安全概述,网络安全的定义和评估,01,网络安全的主要威胁,02,网络安全保障体系,03,4.1.1,网络安全的定义,网络安全定义,:,网络安全是指网络系统中的硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意地破坏、被非法使用。,网络安全需求,:,保证数据的完整性、保证数据的保密性、保证数据的可获得性、信息的不可抵赖性、信息的可信赖性,4,1,网络安全的定义和评估,4,1,网络安全的定义和评估,4.1.2,网络安全的评估,美国国防部颁布的“可信计算机系统标准评估准则”把,用户计算机系统的安全级别从低到高划分为四级七类，即：,D1,C1,C2,B1,B2,B3,A1,我国的计算机信息系统安全保护等级划分,准则（,GB17859-1999,）,规定了计算机系统安全保护能力的,5,个等级,各安全等级详解,D1,级，整个系统是不可信任的，硬件和操作系统很容易被侵袭，任何人都可以使用该计算机系统，主要有：,MS-Dos,、,MS-Windows3.x/Windows95,、,Apple,的,System7.x,；,C1,级，自主安全保护级。系统要求硬件有一定的安全机制，用户在使用前必须登录到系统，并建立了访问许可权限机制，但用户直接访问操作系统的根，不能控制进入系统的用户的访问级别，主要有：早期,UNIX,、,XENIX,、,Novell3.x,；,各安全等级详解,C2,级，受控存取保护级。引进用户权限级别，进一步限制了用户执行某些系统指令，授权分级使系统管理员能够按用户分组。数据访问为目录级，还采用了系统审计，跟踪所有安全事件及系统管理员的工作，主要有：,UNIX,系统、,Novell3.x,以上版本、,WindowsNT,、,2000,；,B1,级，安全标记保护级。,B2,级，结构化保护级。,4.2,网络安全的主要威胁,4.2.1,威胁数据完整性的主要因素,人员因素,灾难因素,逻辑问题 硬件故障,网络故障,4.2.2,威胁数据保密性的主要因素,直接威胁线缆链接,身份鉴别编程破坏,系统漏洞,4.3,网络安全保障体系,一个完整的网络安全保障体系涉及到以下几个方面：,物理安全,网络安全,网络中的信息安全,安全管理,物理安全,物理安全是保护计算网络设备、设施以及其媒体免遭地震水灾火灾等事故以及人为的操作失误或错误引起的计算机硬件的毁坏,。,包括以下方面：,环境安全：对系统所在环境的安全保护，包括区域保护和灾难保护。,设备安全：指设备的防盗、防毁、防止电磁辐射、防止电磁干扰、电源保护,传输介质安全：,包括传输线路及线路中的信息的安全,网络安全,内外网间隔及访问控制系统,内部网不同网段的间隔及访问控制系统,网络安全检测,检测网络中最薄弱的环节并修正弱点和漏洞,审计与控制,审计是记录用户使用计算机网络所进行的所有活动过程。,反黑与防毒,网络备份系统,网络中的信息安全,信息传输安全：主体鉴别、数据加密、数据完整性鉴别、防抵赖；,信息存储安全：数据库安全、终端安全。,主体鉴别：,对网络中的主体进行验证的过程。,数据传输安全系统：,数据传输加密技术、数据完整性鉴别技术、防抵赖技术,数据存储安全系统：,数据库安全包括物理完整性、逻辑完整性、元素完整性、数据加密、用户鉴别、可获得性、可审计性。,信息内容审计系统：,实时对进出内部网的信息进行审计，以防止或追查可能的泄密行为,安全管理,(,一,),安全管理原则,1.,多人负责原则,2.,任期有限原则,3.,职权分离原则,安全管理的实现,1.,根据工作的重要程度，确定该系统的安全等级,2.,根据确定的安全等级，确定安全管理范围,3.,制定相应的机房出入管理制度,4.,制定严格的操作规程,5.,制定完备的系统维护制度,6.,制定应急措施,CNNS,的七层次安全保障体系,1.,实体安全,2.,平台安全,3.,数据安全,4.,通信安全,5.,应用安全,6.,运行安全,7.,管理安全,安全管理,(,二,),一般小型网络重点保证平台安全一个层次，中型网络实施实体安全、平台安全、管理安全几个层次，大型要实施实体安全、平台安全、应用安全、运行安全、管理安全几个层次，一个大型高级网络的安全体系则覆盖全部七个层次。,本章结束,Thank You!,