第十章电子商务安全 威胁
第十章 电子商务安全 威胁
第十章电子商务安全威胁 101案例 1988年11月3日,美国数千名计算机系统操作员和系统 管理员上班后都发现计算机系统不工作了,不管他们怎么 尝试,计算机都不响应。不幸的是,这次灾难只是计算机 系统受到攻击的漫长历史的开始,这类攻击事件至今仍然 案 存在。 1988年,追査这个灾难事件后发现,是康奈尔大学23 例 岁的研究生小罗伯特莫里斯( Robert morris jr.)干的。 他放了一个互联网蠕虫,制造了互联网有史以来最臭名昭 著的攻击事件:美国数千台计算机速度极慢或干脆不工作。 所谓“蠕虫”,是将自己的“繁殖”版传给其他计算机。 这个程序之所以能够在互联网迅速传播,主要是由于UNIX 电子邮件程序上有一个缺陷。蠕虫侵入和感染了六千两百 多台计算机(占当时互联网计算机的10%),导致大面积 的停机事件。由于媒体对这次事件大肆渲染,一些未被感 染的网站干脆切断了互联网连接。停机及其相关损失的成 本无法准确计算
案 例 10.1 案例 1988年11月3日,美国数千名计算机系统操作员和系统 管理员上班后都发现计算机系统不工作了,不管他们怎么 尝试,计算机都不响应。不幸的是,这次灾难只是计算机 系统受到攻击的漫长历史的开始,这类攻击事件至今仍然 存在。 1988年,追查这个灾难事件后发现,是康奈尔大学23 岁的研究生小罗伯特莫里斯(Robert Morris Jr.)干的。 他放了一个互联网蠕虫,制造了互联网有史以来最臭名昭 著的攻击事件:美国数千台计算机速度极慢或干脆不工作。 所谓“蠕虫” ,是将自己的“繁殖”版传给其他计算机。 这个程序之所以能够在互联网迅速传播,主要是由于UNIX 电子邮件程序上有一个缺陷。蠕虫侵入和感染了六千两百 多台计算机(占当时互联网计算机的10%),导致大面积 的停机事件。由于媒体对这次事件大肆渲染,一些未被感 染的网站干脆切断了互联网连接。停机及其相关损失的成 本无法准确计算。 第十章 电子商务安全威胁
第十章电子商务安全威胁 101案例 有些估计认为损失的计算时间(称为拒绝服务)价值 2400万美元,消除病毒和恢复计算机同互联网连接的 直接成本大约为4000万美元;有些估计则认为成本接 近1亿美元。 案例 研究蠕虫的专家发现蠕虫没有破坏性代码,损失 是由这种蠕虫在每台计算机内失控的复制引起的,这 种癌细胞式的生长最终会耗尽计算机所有的资源,导 致被感染的计算机停机。互联网蠕虫使计算机世界猛 醒过来。自从发生蠕虫攻击后,计算机安全成为计算 机软硬件采购和使用时很重要的考虑因素。蠕虫等病 毒和通过互联网非法侵入计算机系统等现象促使计算 机安全业的诞生,这些计算机安全专家致力于监视和 阻止对网上计算机的攻击和渗透
案 例 10.1 案例 有些估计认为损失的计算时间(称为拒绝服务)价值 2400万美元,消除病毒和恢复计算机同互联网连接的 直接成本大约为4000万美元;有些估计则认为成本接 近1亿美元。 研究蠕虫的专家发现蠕虫没有破坏性代码,损失 是由这种蠕虫在每台计算机内失控的复制引起的,这 种癌细胞式的生长最终会耗尽计算机所有的资源,导 致被感染的计算机停机。互联网蠕虫使计算机世界猛 醒过来。自从发生蠕虫攻击后,计算机安全成为计算 机软硬件采购和使用时很重要的考虑因素。蠕虫等病 毒和通过互联网非法侵入计算机系统等现象促使计算 机安全业的诞生,这些计算机安全专家致力于监视和 阻止对网上计算机的攻击和渗透。 第十章 电子商务安全威胁
历史上有名的黑客 理查德。M。史托漫与共享软件 >艾伯内与 phreaking Morris、偶像 米特尼克与FB、家境贫寒 帕沃森与洛山矶电台 ≯John。哈辛凯恩与电子邮件 普啦迪米勒。列宾、俄罗斯黑客头号人物,FB 为其辩护
➢理查德。M。史托漫与共享软件 ➢艾伯内与phreaking ➢Morris、偶像 ➢米特尼克与FBI、家境贫寒 ➢帕沃森与洛山矶电台 ➢John。哈辛凯恩与电子邮件 ➢普啦迪米勒。列宾、俄罗斯黑客头号人物,FBI 为其辩护 历史上有名的黑客
第十章电子商务安全威胁 互联网安全问题 知识产权面临的安全威胁 客户机面临的安全威胁 本章内容 计算机之间的通信信道面临的安全威胁 >服务器面临的安全威胁 推动计算机、网络和互联网安全的组织
本 章 内 容 ➢互联网安全问题 ➢知识产权面临的安全威胁 ➢客户机面临的安全威胁 ➢计算机之间的通信信道面临的安全威胁 ➢服务器面临的安全威胁 ➢推动计算机、网络和互联网安全的组织 第十章 电子商务安全威胁
第十章电子商务安全威胁 10.2互联网安全概述 计算机安全 保护企业资产不受未经授权的访问、使用、篡改 或破坏 主要有两大类:物理安全和逻辑安全 物理安全:可触及的保护设备,如警铃、保卫 防火们、安全栅栏、保险箱等。 逻辑安全:使用非物理手段对资产进行保护。 安全威胁:对计算机资产带来危险的任何行动或 对象
10.2 互联网安全概述 • 计算机安全 – 保护企业资产不受未经授权的访问、使用、篡改 或破坏 – 主要有两大类:物理安全和逻辑安全 – 物理安全:可触及的保护设备,如警铃、保卫、 防火们、安全栅栏、保险箱等。 – 逻辑安全:使用非物理手段对资产进行保护。 – 安全威胁:对计算机资产带来危险的任何行动或 对象 第十章 电子商务安全威胁
第十章电子商务安全威胁 安全措施:识别、降低或安全威胁的物理或逻 辑步骤的总称 1.计算机安全的分类(安全专家) 保密:防止未授权的数据暴露并确保数据源的可靠 性;频繁 完整:防止未经授权的数据修改;很少 急需:防止延迟或拒绝服务;很多
• 安全措施:识别、降低或安全威胁的物理或逻 辑步骤的总称 1. 计算机安全的分类(安全专家) – 保密:防止未授权的数据暴露并确保数据源的可靠 性;频繁 – 完整:防止未经授权的数据修改;很少 – 急需:防止延迟或拒绝服务;很多 第十章 电子商务安全威胁
第十章电子商务安全威胁 2.安全策略和综合安全 安全策略:明确描述对所需保护的资产、保护的原 因、谁负责进行保护、哪些行为可接受、哪些不可 接受的书面描述。一般包括物理安全、网络安全 访问安全、病毒保护和灾难恢复等内容。 综合安全:将所有的安全措施协同起来,以防止未 经授权的资产暴露、破坏或修改
2. 安全策略和综合安全 – 安全策略:明确描述对所需保护的资产、保护的原 因、谁负责进行保护、哪些行为可接受、哪些不可 接受的书面描述。一般包括物理安全、网络安全、 访问安全、病毒保护和灾难恢复等内容。 – 综合安全:将所有的安全措施协同起来,以防止未 经授权的资产暴露、破坏或修改。 第十章 电子商务安全威胁
第十章电子商务安全威胁 ·安全策略一般包括以下内容: 认证:谁想访问 ·访问控制:允许谁登录网站并访问 保密:谁有权利查看特定的信息 数据完整性:允许谁修改数据,不允许谁修改数据 审计:在何时由何人导致了何事
• 安全策略一般包括以下内容: • 认证:谁想访问 • 访问控制:允许谁登录网站并访问它 • 保密:谁有权利查看特定的信息 • 数据完整性:允许谁修改数据,不允许谁修改数据 • 审计:在何时由何人导致了何事 第十章 电子商务安全威胁
第十章电子商务安全威胁 103对知识产权的安全威胁 侵犯版权所导致的损失比侵犯计算机的保密、完整 和急需所带来的损失更难测量。 网络成为版权侵犯者的目标,原因: 网络信息非常容易复制 ·很多人不了解保护知识产权方面的版权规定
– 侵犯版权所导致的损失比侵犯计算机的保密、完整 和急需所带来的损失更难测量。 – 网络成为版权侵犯者的目标,原因: • 网络信息非常容易复制 • 很多人不了解保护知识产权方面的版权规定 10.3 对知识产权的安全威胁 第十章 电子商务安全威胁