20 元
下载资源

《电子商务安全与管理》第4章安全防范与对策ppt课件

上传人:9** 文档编号:251956778 上传时间:2024-11-11 格式:PPT 页数:42 大小:412.95KB
返回 下载 相关 举报
《电子商务安全与管理》第4章安全防范与对策ppt课件_第1页
第1页 / 共42页
《电子商务安全与管理》第4章安全防范与对策ppt课件_第2页
第2页 / 共42页
《电子商务安全与管理》第4章安全防范与对策ppt课件_第3页
第3页 / 共42页
点击查看更多>>
资源描述
,电子商务安全与管理,第四章,安全防范与对策,电子商务安全与管理 第四章安全防范与对策,第一节 安全防范策略概述,需要采取何种程度的安全级别、投资的多少、安全措施是否会影响用户对系统的使用方便性、是否能综合和完整地考虑整个信息系统的安全问题、安全策略是否能适应企业信息系统的发展需求、安全策略是否具备多种手段来实现等等问题,是安全策略制定中的一些原则性问题。,安全策略是一套既定的规则,信息安全所有行为必须遵循此套规则。安全策略的制定与企业信息系统的功能和运作、企业的信息管理策略关系密切。,第一节 安全防范策略概述,一、安全防范策略的制定原则和步骤,(一)安全防范策略的制定原则,1整体性原则,2综合性、系统性原则,3平衡性原则,4一致性原则,5易操作原则,6适应性、灵活性原则,7多重保护原则,第一节 安全防范策略概述,一、安全防范策略的制定原则和步骤第一节 安全防范策略概述,一、安全防范策略的制定原则和步骤,(二)安全防范策略的制定步骤,确定目标;,确定范围;,争取来自高层管理的支持;,其他策略参考;,危险评估;,制定策略与成分决定;,策略评估。,第一节 安全防范策略概述,一、安全防范策略的制定原则和步骤第一节 安全防范策略概述,二、安全防范策略的基本内容,(一)系统总体安全策略,(二)物理安全防范策略,(三)访问权限控制策略,(四)信息加密策略,(五)黑客防范策略,(六)风险管理策略,(七)灾难恢复策略,总之,制定系统安全防范策略,安装电子商务安全系统,确定一套安全机制,只是网络系统安全性实施的第一步,只有各级组织机构都严格执行电子商务安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个电子商务系统的整体安全性。,第一节 安全防范策略概述,二、安全防范策略的基本内容第一节 安全防范策略概述,第二节 物理安全防范与访问权限控制,保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括以下三个方面:,环境安全:,对系统所在环境的安全保护,如区域保护 和灾难保护;,设备安全:,主要包括设备的防盗、防毁、防电磁信息,辐射泄漏、防止线路截获、抗电磁干扰及,电源保护等;,媒体安全:,包括媒体数据的安全及媒体本身的安全,。,第二节 物理安全防范与访问权限控制 保证计算机信息系统,一、机房环境安全,(一)制度安全,(二)建筑安全,(三)设备的防火、防盗、防雷、防静电,第二节 物理安全防范与访问权限控制,一、机房环境安全第二节 物理安全防范与访问权限控制,二、硬件防护,(一)物理安全,物理安全是指防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房,尤其是网络中心机房,防止人为的蓄意破坏。,(二)设置安全,设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等),防止黑客取得硬件设备的远程控制权。比如许多网管往往没有在服务器或可网管的交换机上设置必要的密码,懂网络设备管理技术的人可以通过网络来取得服务器或交换机的控制权,这是非常危险的。因为路由器属于接入设备,必然要暴露在互联网黑客攻击的视野之中,因此需要采取更为严格的安全管理措施,比如口令加密、加载严格的访问列表等。,第二节 物理安全防范与访问权限控制,二、硬件防护第二节 物理安全防范与访问权限控制,三、访问权限控制,(一)入网访问控制,(二)网络的权限控制,(三)客户端安全防护策略,第二节 物理安全防范与访问权限控制,三、访问权限控制第二节 物理安全防范与访问权限控制,第三节 风险评估与风险管理,一、风险管理的规则与步骤,风险管理的理论具体地把风险管理分为三个部分:风险确认、风险评估以及风险控制。在理论上,每个部分都有其完整的概念以及独立的功能,但在实际的应用上,这三个步骤的关系是紧密而不可分割的。,第三节 风险评估与风险管理一、风险管理的规则与步骤,一、风险管理的规则与步骤,(一)风险管理的规则,风险管理规则包括以下三个阶段。,1评估阶段,2开发和实施阶段,3运行阶段,第三节 风险评估与风险管理,一、风险管理的规则与步骤第三节 风险评估与风险管理,一、风险管理的规则与步骤,(二)风险管理步骤,风险管理可分三个主要步骤。,第一步,风险确认。,第二步,风险评估。,第三步,风险控制。,第三节 风险评估与风险管理,一、风险管理的规则与步骤第三节 风险评估与风险管理,二、风险管理的对策与工具,(一)风险管理的对策,通常采用的风险管理对策是纵深防御策略,纵深防御策略图如图4-1所示。,图4-1 纵深防御策略图,第三节 风险评估与风险管理,二、风险管理的对策与工具图4-1 纵深防御策略图第三节 风险,二、风险管理的对策与工具,(二)风险管理的工具,风险管理工具可以用来发现和纠正网络安全的漏洞。风险管理控制的工具可分为:风险回避、避免损失、降低损失程度、资讯管理、风险转移,以及风险保留等。通俗地说,风险管理就是通过相应的技术、产品,帮助用户了解自身网络的安全性、漏洞所在、被攻击后破坏性有多大,同时帮助用户解决漏洞问题。,第三节 风险评估与风险管理,二、风险管理的对策与工具第三节 风险评估与风险管理,三、风险评估,(一)风险评估的概念,风险评估(Risk Assessment)是对信息系统面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来的风险可能性的评估。,(二)风险评估的三种可行途径,1基线评估,2详细评估,3组合评估,(三)风险评估的常用方法,1基于知识的分析方法,2基于模型的分析方法,3定量分析,4定性分析,第三节 风险评估与风险管理,三、风险评估第三节 风险评估与风险管理,第四节 电子商务的安全协议,一、电子商务安全协议概述,(一)安全协议系统模型,(二)安全协议设计准则,(三)电子商务安全协议分类,(四)电子商务安全协议的安全性,(五)电子商务安全协议的安全性分析,第四节 电子商务的安全协议一、电子商务安全协议概述,二、SSL与SET安全协议,(一)SSL协议,1SSL协议概述,SSL的协议框架结构以及与TCP/IP的关系如图4-2所示。,图4-2 SSL协议框架结构以及与TCP/IP的关系,第四节 电子商务的安全协议,二、SSL与SET安全协议图4-2 SSL协议框架结构以及与,二、SSL与SET安全协议,2SSL握手协议,SSL握手协议的实现过程如图4-3所示。,图4-3 SSL协议的实现过程,第四节 电子商务的安全协议,二、SSL与SET安全协议图4-3 SSL协议的实现过程第四,二、SSL与SET安全协议,3SSL记录层协议,SSL记录层协议采用对称加密来保证传输数据的保密性,通过MAC来保证传输数据的完整性,而且为了尽可能达到最大的保密性,增加了数据压缩的步骤,发送和接收时分别采用不同的MAC密钥和加密密钥进行处理。SSL记录层协议的处理过程如图4-4所示。,图4-4 SSL协议框架结构以及与TCP/IP的关系,第四节 电子商务的安全协议,二、SSL与SET安全协议图4-4 SSL协议框架结构以及与,二、SSL与SET安全协议,4SSL报警协议(SSL Alert Protocol),5SSL更改密钥协议,6SSL协议安全性分析,握手协议的安全性。,记录协议的安全分析。,SSL协议的安全漏洞。,第四节 电子商务的安全协议,二、SSL与SET安全协议第四节 电子商务的安全协议,二、SSL与SET安全协议,7SSL协议在Windows2000中的配置与应用,SSL协议的典型应用主要有两个方面:一是客户端,如浏览器等;另外一个就是服务器端,如WEB服务器和应用服务器等。图4-5中给出了在Windows2000中信息服务IIS的配置。,图4-5 IIS“目录安全性”配置,第四节 电子商务的安全协议,二、SSL与SET安全协议图4-5 IIS“目录安全性”配置,二、SSL与SET安全协议,(二)SET协议,1SET协议概述,2SET协议的系统结构,图4-6 SET协议的系统结构,第四节 电子商务的安全协议,二、SSL与SET安全协议图4-6 SET协议的系统结构第四,二、SSL与SET安全协议,(二)SET协议,3SET协议交易流程,购物请求,授权请求,扣款请求,4SET协议规范,5SET协议采用的安全技术,6SET协议的安全性分析,第四节 电子商务的安全协议,二、SSL与SET安全协议第四节 电子商务的安全协议,二、SSL与SET安全协议,(三)SET协议和SSL协议的比较,SSL与SET协议的区别还可以从下面的几个方面进行比较:,1交易效率,2认证机制,3安全性,4协议层次和功能,5应用范围,第四节 电子商务的安全协议,二、SSL与SET安全协议第四节 电子商务的安全协议,三、其他电子商务安全协议,(一)电子支付专用协议,1ISI协议,2.NetBill协议,3First Virtual协议,4iKP协议,第四节 电子商务的安全协议,三、其他电子商务安全协议第四节 电子商务的安全协议,三、其他电子商务安全协议,(二)安全超文本传输协议,1S-HTTP协议概述,安全超文本传输协议(S-HTTP)是一种面向安全信息通信的协议,它可以和HTTP结合起来使用。S-HTTP能与HTTP信息模型共存并易于与HTTP应用程序相整合。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制,提供安全服务选项是为了适用于万维网上各类潜在用户。,2S-HTTP协议结构,第四节 电子商务的安全协议,三、其他电子商务安全协议第四节 电子商务的安全协议,三、其他电子商务安全协议,(三)安全电子邮件协议,1电子邮件安全规范,2Outlook Express下的安全电子邮件传送,(1)获取数字标识(数字证书),(2)使用数字标识(数字证书),(3)备份数字标识(数字证书),(4)安全电子邮件,第四节 电子商务的安全协议,三、其他电子商务安全协议第四节 电子商务的安全协议,三、其他电子商务安全协议,(四)Internet电子数据交换(EDI)协议,1EDI概述,2EDI的特点、使用范围和优势,3EDI系统的安全性问题,4EDI系统的安全策略,(1)存取控制,(2)保持信息追踪,(3)密封信封,第四节 电子商务的安全协议,三、其他电子商务安全协议第四节 电子商务的安全协议,第五节 公钥基础设施(PKI),一、PKI的基本概念与功能,(一)PKI概述,1PKI基本概念,2PKI的体系结构,3PKI的功能,4PKI的性能要求,5PKI加密/签名密钥对的使用原理,第五节 公钥基础设施(PKI)一、PKI的基本概念与功能,第五节 公钥基础设施(PKI),一、PKI的基本概念与功能,(一)PKI概述,图4-7 PKI解决方案示意图,第五节 公钥基础设施(PKI)一、PKI的基本概念与功能图4,第五节 公钥基础设施(PKI),一、PKI的基本概念与功能,(一)PKI概述,图4-8 PKI组成框图,第五节 公钥基础设施(PKI)一、PKI的基本概念与功能图4,二、PKI的信任模型,(一)相关概念,(二)信任模型,1认证机构的严格层次结构模型,2分布式信任结构模型,3Web模型,4以用户为中心的信任模型,图4-9 分布式信任结构模型,图4-10 WEB信任结构模型,第五节 公钥基础设施(PKI),二、PKI的信任模型图4-9 分布式信任结构模型图4-10,三、PKI管理机构认证中心(CA),(一)CA的功能,1CA的系统目标,2CA的功能,(1)证书申请与审批,(2)证书颁发,(3)证书作废,(4)证书更新,(5)证书归档,(6)密钥管理,(7)日志查询,第五节 公钥基础设施(PKI),三、PKI管理机构认证中心(CA)第五节 公钥基础设施(,三、PKI管理机构认证中心(CA),(二)CA的组成与体系结构,1CA的组成,2CA的体系结构,(1)注册服务器,(2)
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!