第九章电子商务系统安全子系统设计
第九章 电子商务系统安全子系统设计
本章内容 ▣概述 ▣电子商务系统的安全要求 ▣ISO的安全体系结构与电子商务系统的安全 体系 ▣电子商务安全子系统的设计 ▣电子商务系统安全技术
本章内容 概述 电子商务系统的安全要求 ISO的安全体系结构与电子商务系统的安全 体系 电子商务安全子系统的设计 电子商务系统安全技术
案例:CDNow公司受到的攻击 口CDNow是美国一家从事音像制品电 子零售的电子商务企业。2000年1 月,俄罗斯的一个叫做Maxum的黑 客从该公司的网站上偷取了30万条 信用卡记录,并向该公司敲诈10万 美元。当CDNow公司拒绝其要求时, 黑客开始逐条公布信用卡记录的内 容。在这种情况下,当时美国运通 公司(American Express)不得 不暂时停止给该公司用户发行新卡
案例: CDNow公司受到的攻击 CDNow是美国一家从事音像制品电 子零售的电子商务企业。2000年1 月,俄罗斯的一个叫做Maxum的黑 客从该公司的网站上偷取了30万条 信用卡记录,并向该公司敲诈10万 美元。当CDNow公司拒绝其要求时, 黑客开始逐条公布信用卡记录的内 容。在这种情况下,当时美国运通 公司(American Express)不得 不暂时停止给该公司用户发行新卡
9.1概述 ▣9,1.1电子商务基础设施的安全 ■电子商务基础设施的安全主要指:保障电子商务系统的计 算机设备、系统软件平台、网络环境能够无故障运行、不 受外部入侵和破坏。这个层次,主要针对电子商务的信息 基础设施,与计算机、网络等系统环境的关系更为密切, 与企业的商务活动的联系较少。 口9.1.2电子交易的安全 ■电子交易的安全则是指通过一系列的措施保证交易过程的 真实可靠、完整、不可否认和机密。与基础设施安全相比, 电子交易安全更侧重于交易过程
9.1 概述 9.1.1 电子商务基础设施的安全 ◼ 电子商务基础设施的安全主要指:保障电子商务系统的计 算机设备、系统软件平台、网络环境能够无故障运行、不 受外部入侵和破坏。这个层次,主要针对电子商务的信息 基础设施,与计算机、网络等系统环境的关系更为密切, 与企业的商务活动的联系较少。 9.1.2 电子交易的安全 ◼ 电子交易的安全则是指通过一系列的措施保证交易过程的 真实可靠、完整、不可否认和机密。与基础设施安全相比, 电子交易安全更侧重于交易过程
9.1.1电子商务基础设施的安全 口(1)计算机主机系统安全 ■双机备份、容错系统、集群(cluster)结构以 及高性能系统HA(High Availability) ▣(2)数据库及存储设备安全 ■采用灾难恢复技术、SAN、RAID技术等 ▣(3)操作系统安全 目(4)网络环境安全 ■防止网络的非授权访问、减少网络故障
9.1.1 电子商务基础设施的安全 (1)计算机主机系统安全 ◼ 双机备份、容错系统、集群(cluster)结构以 及高性能系统HA(High Availability) (2)数据库及存储设备安全 ◼ 采用灾难恢复技术、SAN、RAID技术等 (3)操作系统安全 (4)网络环境安全 ◼ 防止网络的非授权访问、减少网络故障
9.1.2电子交易的安全 口基础设施的安全是电子交易安全的基础 ▣电子交易的安全是信息基础设施安全的延伸 ▣在设计电子商务系统的安全系统时,应当从 基础设施和电子交易两个层次出发,不能偏 废 ▣更多的威胁是来自电子商务企业的内部,考虑 相关的安全策略、安全管理问题
9.1.2 电子交易的安全 基础设施的安全是电子交易安全的基础 电子交易的安全是信息基础设施安全的延伸 在设计电子商务系统的安全系统时,应当从 基础设施和电子交易两个层次出发,不能偏 废 更多的威胁是来自电子商务企业的内部,考虑 相关的安全策略、安全管理问题
9.2电子商务系统的安全要求 ▣9.21电子商务的安全要求 ■安全问题主要是对方是否是存在的、真实的,购 买过程中一些隐私性的数据(例如个人信用卡密 码等)是否存在泄漏的风险,企业的服务器是香 会受到攻击而瘫痪等等 ▣9.2.2电子商务系统的安全威胁与防范技术 ■1.电子商务系统的安全威胁 ■2.电子商务系统的安全防范技术
9.2 电子商务系统的安全要求 9.2.1 电子商务的安全要求 ◼ 安全问题主要是对方是否是存在的、真实的,购 买过程中一些隐私性的数据(例如个人信用卡密 码等)是否存在泄漏的风险,企业的服务器是否 会受到攻击而瘫痪等等 9.2.2 电子商务系统的安全威胁与防范技术 ◼ 1. 电子商务系统的安全威胁 ◼ 2.电子商务系统的安全防范技术
9.2.1电子商务的安全要求 口1.交易的真实性 ▣2交易的保密性 ▣3,交易的完整性 ▣4.不可抵赖性
9.2.1 电子商务的安全要求 1.交易的真实性 2.交易的保密性 3.交易的完整性 4.不可抵赖性
9.2.1电子商务的安全要求 Web SVR 客户端 数据库 CGI, EB等 应用 认证 隐私/完整性 认证授权/审查 隐私完整性 防抵赖 加密、电子信封等 电子认学、电子 电子签字、电子证章等 电子商务系统的一般安全问题及技术对策
9.2.1 电子商务的安全要求 Internet Web SVR CGI、 JSP、 EJB等 应用 客户端 数据库 隐私/完整性 认证/授权/审查 认证 隐私/完整性 防抵赖 加密、电子信封等 电子签字、电子证章等 电子认证、加密、电子 签字等 电子商务系统的一般安全问题及技术对策
9.2.2电子商务系统的安全威胁与防范技术 ▣1.电子商务系统的安全威胁 ■(1)计算机网络的安全威胁 口1)针对计算机系统网络层的攻击和入侵 口2)针对计算机系统层的攻击和入侵 口3)针对计算机系统数据库层的攻击和入侵 ▣4)针对计算机系统应用层的攻击和入侵 ■(2)商务交易的安全威胁 口1)信息窃取 2)信息篡改 口3)身份假冒 4)交易的否认
9.2.2 电子商务系统的安全威胁与防范技术 1. 电子商务系统的安全威胁 ◼ (1)计算机网络的安全威胁 1)针对计算机系统网络层的攻击和入侵 2)针对计算机系统层的攻击和入侵 3) 针对计算机系统数据库层的攻击和入侵 4) 针对计算机系统应用层的攻击和入侵 ◼ (2) 商务交易的安全威胁 1)信息窃取 2)信息篡改 3)身份假冒 4)交易的否认