第5章．电子商务的安全策略.ppt

第五章 电子商务的安全策略 引言 计算机安全概述 对客户机的安全威胁 对通信信道的安全威胁 对商务服务器的安全威胁 5.1 安全概述 计算机安全（Computer Security）：保护企业的信息资产不受未经授权的访问、使用、篡改或破坏。 物理安全（Physical Security）：可触及的保护设备，如防盗、防火、防水或防潮等，使计算机系统有良好的运行自然环境。 逻辑安全（Logical Security）：使用非物理手段对信息资产进行保护，如防止信息的泄漏、保证信息和程序的有效性等。 安全威胁（Threat）：对信息资产可能带来危险的任何行动或对象。 安全措施（Countermeasure）：识别、降低或消除安全威胁的物理或逻辑手段的总称。 5.1 安全概述 窃听者：窃取互联网上传输的信息的人或设备 黑客：利用程序或非法技术侵入计算机或网络的人 要保护信息资产，就必须识别出安全威胁、确定对受到安全威胁的资产进行保护的安全措施并评估实施安全措施的成本。 三个概念： 必威体育官网网址（Secrecy）：防止未经授权的数据访问并确保数据源的可靠性。 完整（Integrity）：防止未经授权的数据修改或删除。 即需（Necessity）：防止延迟或拒绝服务。 对知识产权的安全威胁 版权（Copyright）：文学艺术作品的所有权，通常具有娱乐的性质。 知识产权（Intellectual Property）：思想的所有权、对思想的实际或虚拟表现的控制权，通常具有专业知识的性质。 要查找文字材料的未经授权复制非常容易，但查找被盗用、剪辑和非法使用在页面上的照片就比较困难了。 域名的知识产权： 域名抢注（Cybersquatting）：用其他公司的商标注册一个域名。（美国反域名抢注消费者保护法案） 域名变易（Name Changing）：注册著名域名的错误拼写的域名。 域名窃取（Name Stealing）：假装网站管理员将域名所有权分派给另一个网站。（域名登记机构/数据库） 5.1 安全概述 安全策略（Security Policy）： 明确描述对所需保护的信息资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等的书面描述。 在安全策略中陈述的内容：物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容。这个策略会虽时间而变化，负责安全的人员必须定期修改安全策略 安全策略必须包含着对安全问题的多方面考虑因素。 一般要包含以下内容： 认证：谁想访问电子商务网站 访问控制：允许谁登录电子商务网站并访问它 必威体育官网网址：谁有权利查看特定的信息 数据完整：谁有数据修改的权限 审计：在何时由何人导致了何事 5.2 客户机的安全 客户机（一般指PC机）应被保护，以保证其不受网上下载的软件和数据的威胁。 各种对客户透明的活动内容以动态页面的形式从互联网上传输过来，对客户机造成安全威胁。 某些恶意的网站把自己伪装成安全合法的网站欺骗访问者，也对客户机造成威胁。 页面窃听 特洛伊木马（Trojan Horse）：隐藏在程序或页面中、掩盖其真实目的的程序。 幽灵程序（Zombie）：秘密接管客户机，然后从客户机上向其他计算机发起进攻。 5.2 客户机的安全 （1）cookie 签语块（Cookie）技术：一种识别客户并保存其商品选择信息的方法，并且客户的商品选择信息暂时存储在客户机端。购物车软件能够从客户机上读取Cookie里的信息。 会话Cookie:在关闭浏览器后即被删除； 永久Cookie:在关闭浏览器后仍然存在。 Cookie技术使WWW服务器能够跟踪用户访问网站的习惯，容易泄露客户的隐私。 Cookie封锁软件（Cookie Blocker）：根据域名来禁用Cookie，以确保使客户机向网站服务器发出没有或包含极少信息的Cookie。 5.2 客户机的安全 （2）活动内容 活动内容（Active Content）：在页面上嵌入的对用户透明的程序，以支持WWW页面完成一些特定的任务，从而将计算强度大的活动分布到多台计算机上执行。 实现活动内容的技术： 小应用程序（Applet）：可在另一个程序中执行的程序，通常运行在WWW浏览器中。 Active X控件。 Java小应用该程序 浏览器插件：用于解释或执行嵌入在图形、声音或其他对象中的计算机指令。 脚本：可执行的程序，如JavaScript和VBScript。 5.2 客户机的安全 （3）病毒、蠕虫和防病毒软件 病毒（Virus）：附在另一个程序或文件中的小段程序，当宿主程序启动后附在它上面的病毒就会进行破坏活动。 宏病毒（Macro Virus）：嵌入在Word或Excel文件中的病毒。 安装防病毒软件是一项重要的安全防卫措施。 现在多数防病毒软件已经能够检查邮件的附件，并在发现病毒时提