第4章电子商务系统的 安全技术 2021/2/22
2021/2/22 1 第4章 电子商务系统的 安全技术
41电子商务系统安全概述 311电子商务系统存在的安全隐患 1.计算机系统的安全隐患 (1)硬件系统 振荡、静电、潮湿、过热 (2)软件系统 2.电子商务系统的安全隐患 (1)数据的安全 (2)交易的安全 2021/222
2021/2/22 2 4.1 电子商务系统安全概述 3.1.1 电子商务系统存在的安全隐患 1. 计算机系统的安全隐患 (1) 硬件系统 振荡、静电、潮湿、过热 (2)软件系统 2. 电子商务系统的安全隐患 (1)数据的安全 (2)交易的安全
412电子商务系统可能遭受的攻击 系统穿透 没有经过授权的人或系统通过一定的手段 假冒合法的用户接入系统,对文件进行篡 改、窃取机密信息,非法使用资源等。 形式: 伪装、 利用系统的薄弱环节、 收集情报 2021/222
2021/2/22 3 4.1.2 电子商务系统可能遭受的攻击 1. 系统穿透 没有经过授权的人或系统通过一定的手段 假冒合法的用户接入系统,对文件进行篡 改、窃取机密信息,非法使用资源等。 形式: 伪装、 利用系统的薄弱环节、 收集情报
2.违反授权原则 个被授权使用系统用于一特定目的的人, 却将此系统用作其它非授权的目的。 又称内部攻击 2021/222
2021/2/22 4 2. 违反授权原则 一个被授权使用系统用于一特定目的的人, 却将此系统用作其它非授权的目的。 又称内部攻击
3植入 前两种攻击成功之后,入侵者通常要在系 统中植入一种能力,这种能力可为其以后 攻击系统提供方便条件 个外表上具有合法目的的软件应用程序, 还具有一个暗藏的目的,就是将用户的文 件拷贝到一个隐藏的秘密文件中,该种程 序被称为特洛伊木马。 2021/222 5
2021/2/22 5 3.植入 前两种攻击成功之后,入侵者通常要在系 统中植入一种能力,这种能力可为其以后 攻击系统提供方便条件。 一个外表上具有合法目的的软件应用程序, 还具有一个暗藏的目的,就是将用户的文 件拷贝到一个隐藏的秘密文件中,该种程 序被称为特洛伊木马
4.通信监视 这是一种在通信过程中从信道进行搭线窃 听的方式。 5.通信窜扰 攻击者通过对通信数据或通信过程进行干预, 对完整性进行攻击。 6.中断 对可用性进行攻击,破坏系统中的硬件、硬 盘、线路、文件,系统等,使系统不能正常 工作,破坏信息和网络资源。 2021/222 6
2021/2/22 6 4. 通信监视 这是一种在通信过程中从信道进行搭线窃 听的方式。 5. 通信窜扰 攻击者通过对通信数据或通信过程进行干预, 对完整性进行攻击。 6. 中断 对可用性进行攻击,破坏系统中的硬件、硬 盘、线路、文件,系统等,使系统不能正常 工作,破坏信息和网络资源
7拒绝服务 指合法接入信息、业务或其他资源受阻 8.否认 参与某次交换活动的一方,事后错误地否 认曾经发生过此次交换。 9病毒 功能:对其他程序进行非法修改; 引发损坏或产生额外行为。 2021/222
2021/2/22 7 7.拒绝服务 指合法接入信息、业务或其他资源受阻。 8. 否认 参与某次交换活动的一方,事后错误地否 认曾经发生过此次交换。 9. 病毒 功能:对其他程序进行非法修改; 引发损坏或产生额外行为
413电子商务的安全要求 1。信息的保密性 2.信息的不可抵赖、不可否认 3.信息的完整性 4.交易者身份的真实性 5.系统的可靠性 2021/222 8
2021/2/22 8 4.1.3 电子商务的安全要求 1. 信息的保密性 2. 信息的不可抵赖、不可否认 3. 信息的完整性 4. 交易者身份的真实性 5. 系统的可靠性
414电子商务的安全业务 1.保密业务 保护信息不被泄漏或披露给未经授权的 人或组织。 2.认证业务 保证身份的精确性 3.访问控制业务 保护资源以防止对它的非法使用和操纵。 2021/222 9
2021/2/22 9 4.1.4 电子商务的安全业务 1. 保密业务 保护信息不被泄漏或披露给未经授权的 人或组织。 2. 认证业务 保证身份的精确性。 3. 访问控制业务 保护资源以防止对它的非法使用和操纵
4.数据完整性业务 保护数据以防止未经授权的增加、删除、 修改或替代。 5.不可否认业务 防止参与某次通信交换的一方事后否认 本次交换曾经发生过。 2021/222 10
2021/2/22 10 4. 数据完整性业务 保护数据以防止未经授权的增加、删除、 修改或替代。 5. 不可否认业务 防止参与某次通信交换的一方事后否认 本次交换曾经发生过