第04章：电子商务的安全.pdf

第04章：电子商务的安全 • 安全概述 • 对版权和知识产权的保护 • 保护客户机 • 保护通讯信道的安全 • 保护服务器的安全 • /dzsw/dzsw.htm 4.1 安全概述 （1） 计算机安全 安全威胁 安全分类 安全措施 安全策略 4.1 安全概述 （2 ） 计算机安全：保护企业资产不受未经授权的访 问、使用、篡改或破坏。 综合安全：将所有安全措施协同起来以防止未 经授权的资产暴露、破坏或修改。 安全保护方式分类： o 物理安全：指可触及的保护设施，如：警铃、保卫、 保险箱等 o 逻辑安全：使用非物理手段对资产进行保护 安全威胁：对计算机资产带来危险的任何行动 或对象。 4.1 安全概述 （3 ） 安全分类： o 必威体育官网网址：防止未授权的数据暴露并确保数据源 的可靠性。 o 完整：防止未经授权的数据修改。 o 即需：防止延迟或拒绝服务。 4.1 安全概述 （4 ） 安全措施：识别、降低或消除安全威胁 的物理或逻辑步骤的总称。 安全成本：保护资产免受安全威胁的成 本。 4.1 安全概述 （5 ） 安全策略：对所需保护的资产、保护的原因、 谁负责进行保护、哪些行为可接受、哪些不可 接受等的书面描述。 内容： o 认证：谁想访问电子商务网站？ o 访问控制：允许谁登录电子商务网站并访问它？ o 必威体育官网网址：谁有权利查看特定的信息？ o 数据完整性：允许谁修改数据，不允许谁修改数 据？ o 审计：在何时由何人导致了何事？ 4.2 对版权和知识产权的保护 4.2.1 对知识产权的安全威胁 版权：是对表现的保护，一般保护对象包括文 学和音乐作品、戏曲和舞蹈作品、等等 知识产权：思想的所有权和对思想的实际或虚 拟表现的控制权。 在Internet上产权保护困难： o 很多人不了解保护知识产权方面的版权规定 o 容易复制，而查找非法使用困难 版权网站： o / 侵权实例： o 抢注域名：用别人公司的商标来注册一个域名。 4.2.2 保护知识产权 （1） 保护数字化知识产权：在网站上发表知识产权 作品而又能保护这些作品。 方法一：ISP可用IP 阻塞、包过滤或代理服务器 来阻止某个违法网站的访问。 方法二：采用信息隐藏法来生成数字水印。 o 数字水印：隐藏地嵌入在数字图像或声音文件里的 数字码或数字流。可对其内容加密或简单地隐藏在 图像或声音文件的字节里。 4.2.2 保护知识产权 （2 ） ARIS公司的MusiCode,SoniCode Digimarc 公司也提供数字水印保护系统 和软件，Digimarc系统可在WWW跟踪嵌 入数字水印的作品。 SoftLock服务公司可锁住要在WWW 上 出售的数字信息文件。 / 4.3 保护客户机 4.3.1 对客户机的安全威胁 活动内容 Java 、Java小程序和JavaScript ActiveX控件 图形文件、插件和电子邮件的附件 1）活动内容 定义：活动内容是指在页面中嵌入的对用户透 明的程序。 形式：Java小程序、ActiveX控件、JavaScript 和VBScript ；图形和WWW浏览器插件。 安全威胁： o 特洛伊木马程序 o Cookie 中的信息 （信用卡号、用户名、密码等） 2 ）Java 、Java小程序和JavaScript Java ：OOPL、支持代码重用、与平台无关。 普遍应用在WWW 页面中。 安全威胁： o 下载的Java程序可在客户机上运行。 解决方法： o Java“运行程序安全区” ：约束Java小程序处理资源的 能力 o 安全级别：可信、“签名”、“不可信” JavaScript ：可嵌入到页面中的程序 3 ）ActiveX控件 定义：是一个对象 （控件），由页面设 计者放在页里来执行特定任务的程序。 可由多种语言开发，但只能在Windows 系统上运行。 示例：日