試談電子商務中的安全問題課件

第5講電子商務安全

(4學時)哈爾濱工業(yè)大學管理學院王澤彬Wangzebin@

1第5講電子商務安全1

第13章電子商務中的安全問題

第13章電子商務中的安全問題

13.1安全概述13.2對知識產權的安全威脅13.3對電子商務的安全威脅13.4系統(tǒng)安全工程能力成熟度模型313.1安全概述313.1安全概述

13.1安全概述

1988年11月3日蠕蟲病毒康奈爾大學小羅伯特.莫里斯Unix電子郵件程序失控繁殖耗盡資源死機1999年4月26日CIH2000年2月6日yahoo、amazon、eBayDDOS分布式拒絕服務2000年春美、加、日、泰張貼信用卡號51988年11月3日蠕蟲病毒5安全威脅對計算機資產帶來危險的任何行動或對象都稱為安全威脅安全措施安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱6安全威脅6計算機安全計算機安全——保護企業(yè)資產不受未經(jīng)授權的訪問、使用、篡改或破壞。根據(jù)安全的形式可分為兩類安全：物理安全：是指通過可觸及的保護設備，如警鈴、保衛(wèi)、防火門、安全柵欄、保險箱、防暴建筑物等進行的保護。邏輯安全：使用非物理手段對資產進行保護稱為邏輯安全。7計算機安全計算機安全——保護企業(yè)資產不受未經(jīng)授權的訪問、使用影響小（成本）影響大（成本）概率高概率低ⅠⅡⅢⅣ一般控制嚴格預防不用理會保險或備份計劃IT系統(tǒng)風險管理模型Schneider&James8影響小影響大概率高概率低ⅠⅡⅢⅣ一般控制嚴格預防不用理會保險根據(jù)安全的內容對安全分類保密性防止未授權的數(shù)據(jù)暴露完整性防止未授權的數(shù)據(jù)篡改即需性防止延遲或拒絕服務9根據(jù)安全的內容對安全分類9計算機安全策略一個組織針對計算機安全問題制定的所需要保護的資產、保護的原因、誰負責保護、哪些行為可以接受、哪些行為不可以接受的方針政策。一般包括物理安全、網(wǎng)絡安全、訪問授權、病毒保護、災難恢復等內容。10計算機安全策略10安全策略的內容身份認證：誰想訪問電子商務網(wǎng)站訪問控制：允許誰登錄訪問保密：誰有權查看特定信息數(shù)據(jù)完整性：數(shù)據(jù)修改的授權審計：由誰在何時導致了何事(日志)11安全策略的內容11案例：醫(yī)藥電子商務安全案例金藥網(wǎng)：中國醫(yī)藥電子商務平臺是提供醫(yī)藥B2B的電子商務平臺同時也是提供對醫(yī)藥B2B進行監(jiān)督的電子政務平臺12案例：醫(yī)藥電子商務安全案例金藥網(wǎng)：中國醫(yī)藥電子商務平臺12醫(yī)藥及醫(yī)療器械招標采購電子商務平臺招標投標開標評標采購各監(jiān)督方全程監(jiān)控13醫(yī)藥及醫(yī)療器械招標采購電子商務平臺招標投標開標評標采購各監(jiān)督電子商務系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安全隱患。如果未加限制可以通過右鍵查看網(wǎng)頁源代碼，泄露一些網(wǎng)站的基本信息。會話期安全優(yōu)化，數(shù)據(jù)加密傳輸。即使傳輸中被截獲也不會泄露傳輸內容系統(tǒng)支持雙通道數(shù)據(jù)存取。避免數(shù)據(jù)存儲失敗導致信息遺失。14電子商務系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安電子商務系統(tǒng)的安全措施：邏輯鎖+表單、數(shù)據(jù)庫內容加密存儲。表單被非法修改，邏輯鎖會發(fā)現(xiàn)并修正原有數(shù)據(jù)信息數(shù)據(jù)維護人員也不能獲知存儲的內容，杜絕數(shù)據(jù)內部泄密案例：15電子商務系統(tǒng)的安全措施：151.計劃單

2.合同單

3.入庫單

4.發(fā)票5.結存單

1.計劃單2.合同單3.入庫單4.發(fā)票5.結存單16現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（1001）減少：摘要（餐費）金額：441.00第5號憑證財務要報的逐級追溯查詢功能要報信息第5號憑證的明細構成明細憑證明細步驟一步驟二步驟一：追溯某一條要報信息的構成明細。步驟二：根據(jù)某一條明細記錄追溯記賬憑證。現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（10017電子商務系統(tǒng)的安全措施：支持后臺定期自動備份，具有快速災難恢復功能。

自動備份分為脫離原介質（刻制光盤）、脫離操作系統(tǒng)（異地備份）、脫離數(shù)據(jù)庫（分離成備份文件）頻繁訪問自動屏蔽機制等安全篩選條件。如果達到每秒數(shù)百次的http請求，系統(tǒng)將自動屏蔽該訪問請求18電子商務系統(tǒng)的安全措施：18中國互聯(lián)網(wǎng)絡信息中心(ChinaInternetNetworkInformationCenter，簡稱CNNIC)是成立于1997年6月3日的非營利管理與服務機構，行使國家互聯(lián)網(wǎng)絡信息中心的職責。CNNIC在業(yè)務上接受信息產業(yè)部領導，在行政上接受中國科學院領導。中國科學院計算機網(wǎng)絡信息中心承擔CNNIC的運行和管理工作。由國內知名專家、各大互聯(lián)網(wǎng)絡單位代表組成的CNNIC工作委員會，對CNNIC的建設、運行和管理進行監(jiān)督和評定。

19中國互聯(lián)網(wǎng)絡信息中心(ChinaInternetNetwCNNIC承擔的主要職責：1．域名注冊管理

2．IP地址、AS號分配與管理

3．目錄數(shù)據(jù)庫服務

4．互聯(lián)網(wǎng)尋址技術研發(fā)

5．互聯(lián)網(wǎng)調查與相關信息服務

6．國際交流與政策調研

7.承擔中國互聯(lián)網(wǎng)協(xié)會政策與資源工作委員會秘書處的工作

20CNNIC承擔的主要職責：2013.2對知識產權的安全威脅13.2對知識產權的安全威脅網(wǎng)絡環(huán)境下對知識產權的侵犯變得更為容易和普遍。知識產權是指對智力勞動成果所享有的占有、使用、處分和收益的權利。知識產權的類型分為六種，即著作權（版權）、專利權、商標權、發(fā)現(xiàn)權、發(fā)明權和其他科技成果權。版權是指原創(chuàng)作品擁有人可行使以下權利，包括：復制權、發(fā)行權、公演權、改編權及廣播權，及有權禁止任何人于未獲授權的情況下行使上述權利目前互聯(lián)網(wǎng)上侵犯版權的損失額難以測量。N22網(wǎng)絡環(huán)境下對知識產權的侵犯變得更為容易和普遍。22域名安全

域名搶注1999年11月美國反域名搶注消費者保護法案(ACPC)生效（網(wǎng)上商標保護法）保護公司的商標名稱不被無此商標所有權者注冊成域名域名變異注冊某些著名域名的變體或易錯拼寫23域名安全域名搶注2313.3對電子商務的的安全威脅13.3對電子商務的的安全威脅對電子商務的的安全威脅:1、對客戶機的安全威脅2、對通信信道的安全威脅3、對服務器的安全威脅25對電子商務的的安全威脅:25

13.4系統(tǒng)安全工程能力成熟度模型

13.4系統(tǒng)安全工程能力成熟度模型

用來刻畫一個信息組織或信息系統(tǒng)安全工程過程基本特征的模型系統(tǒng)與認證體系。系統(tǒng)安全工程能力成熟度模型，SSE-CMM

SystemsSecurityEngineeringCapabilityMaturityModel

27用來刻畫一個信息組織或信息系統(tǒng)安全工程過程基本特征的模系統(tǒng)安全工程能力成熟度模型，SSE-CMM

SystemsSecurityEngineeringCapabilityMaturityModel

SSE-CMM的構想是1993年4月美國國家安全局(NSA)提出來的。在美國國家安全局、美國國防部、加拿大通信安全局的號召和推動下，匯聚了超過60個廠家，集中了大量的人力、物力和財力對該構想進行了開發(fā)實施1996年10月出版SSE-CMM模型的第一個版本1997年4月出版了評定方法的第一個版本1999年4月發(fā)布了SSE-CMM的2.0版本28系統(tǒng)安全工程能力成熟度模型，SSE-CMM

Systems1非正式實施2計劃與跟蹤3良好定義4定量控制5持續(xù)改進0沒有實施執(zhí)行了基礎實施承諾實施計劃實施規(guī)范實施跟蹤實施驗證實施定義標準過程剪裁標準過程使用數(shù)據(jù)執(zhí)行已定義過程建立可度量的質量目標確定完成目標的過程能力有目的的管理實施建立量化過程的有效性目標改善過程的有效性安全工程組織的成熟度

291非正式實施2計劃與跟蹤3良好定義4定量控制5持續(xù)改進0沒有

世界銀行的調查顯示印度軟件的出口規(guī)模、質量和成本三項綜合指數(shù)居世界首位。而包括SSE-CMM、SW-CMM在內的CMM體系在印度較廣泛的推廣，起了重要的作用。全球第5級的軟件公司有2/3在印度。中國0。30世界銀行的調查顯示印度軟件的出口規(guī)模、質量和成本三項綜第5講電子商務安全

(4學時)哈爾濱工業(yè)大學管理學院王澤彬Wangzebin@

31第5講電子商務安全1

第13章電子商務中的安全問題

第13章電子商務中的安全問題

13.1安全概述13.2對知識產權的安全威脅13.3對電子商務的安全威脅13.4系統(tǒng)安全工程能力成熟度模型3313.1安全概述313.1安全概述

13.1安全概述

1988年11月3日蠕蟲病毒康奈爾大學小羅伯特.莫里斯Unix電子郵件程序失控繁殖耗盡資源死機1999年4月26日CIH2000年2月6日yahoo、amazon、eBayDDOS分布式拒絕服務2000年春美、加、日、泰張貼信用卡號351988年11月3日蠕蟲病毒5安全威脅對計算機資產帶來危險的任何行動或對象都稱為安全威脅安全措施安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱36安全威脅6計算機安全計算機安全——保護企業(yè)資產不受未經(jīng)授權的訪問、使用、篡改或破壞。根據(jù)安全的形式可分為兩類安全：物理安全：是指通過可觸及的保護設備，如警鈴、保衛(wèi)、防火門、安全柵欄、保險箱、防暴建筑物等進行的保護。邏輯安全：使用非物理手段對資產進行保護稱為邏輯安全。37計算機安全計算機安全——保護企業(yè)資產不受未經(jīng)授權的訪問、使用影響小（成本）影響大（成本）概率高概率低ⅠⅡⅢⅣ一般控制嚴格預防不用理會保險或備份計劃IT系統(tǒng)風險管理模型Schneider&James38影響小影響大概率高概率低ⅠⅡⅢⅣ一般控制嚴格預防不用理會保險根據(jù)安全的內容對安全分類保密性防止未授權的數(shù)據(jù)暴露完整性防止未授權的數(shù)據(jù)篡改即需性防止延遲或拒絕服務39根據(jù)安全的內容對安全分類9計算機安全策略一個組織針對計算機安全問題制定的所需要保護的資產、保護的原因、誰負責保護、哪些行為可以接受、哪些行為不可以接受的方針政策。一般包括物理安全、網(wǎng)絡安全、訪問授權、病毒保護、災難恢復等內容。40計算機安全策略10安全策略的內容身份認證：誰想訪問電子商務網(wǎng)站訪問控制：允許誰登錄訪問保密：誰有權查看特定信息數(shù)據(jù)完整性：數(shù)據(jù)修改的授權審計：由誰在何時導致了何事(日志)41安全策略的內容11案例：醫(yī)藥電子商務安全案例金藥網(wǎng)：中國醫(yī)藥電子商務平臺是提供醫(yī)藥B2B的電子商務平臺同時也是提供對醫(yī)藥B2B進行監(jiān)督的電子政務平臺42案例：醫(yī)藥電子商務安全案例金藥網(wǎng)：中國醫(yī)藥電子商務平臺12醫(yī)藥及醫(yī)療器械招標采購電子商務平臺招標投標開標評標采購各監(jiān)督方全程監(jiān)控43醫(yī)藥及醫(yī)療器械招標采購電子商務平臺招標投標開標評標采購各監(jiān)督電子商務系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安全隱患。如果未加限制可以通過右鍵查看網(wǎng)頁源代碼，泄露一些網(wǎng)站的基本信息。會話期安全優(yōu)化，數(shù)據(jù)加密傳輸。即使傳輸中被截獲也不會泄露傳輸內容系統(tǒng)支持雙通道數(shù)據(jù)存取。避免數(shù)據(jù)存儲失敗導致信息遺失。44電子商務系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安電子商務系統(tǒng)的安全措施：邏輯鎖+表單、數(shù)據(jù)庫內容加密存儲。表單被非法修改，邏輯鎖會發(fā)現(xiàn)并修正原有數(shù)據(jù)信息數(shù)據(jù)維護人員也不能獲知存儲的內容，杜絕數(shù)據(jù)內部泄密案例：45電子商務系統(tǒng)的安全措施：151.計劃單

2.合同單

3.入庫單

4.發(fā)票5.結存單

1.計劃單2.合同單3.入庫單4.發(fā)票5.結存單46現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（1001）減少：摘要（餐費）金額：441.00第5號憑證財務要報的逐級追溯查詢功能要報信息第5號憑證的明細構成明細憑證明細步驟一步驟二步驟一：追溯某一條要報信息的構成明細。步驟二：根據(jù)某一條明細記錄追溯記賬憑證。現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（10047電子商務系統(tǒng)的安全措施：支持后臺定期自動備份，具有快速災難恢復功能。

自動備份分為脫離原介質（刻制光盤）、脫離操作系統(tǒng)（異地備份）、脫離數(shù)據(jù)庫（分離成備份文件）頻繁訪問自動屏蔽機制等安全篩選條件。如果達到每秒數(shù)百次的http請求，系統(tǒng)將自動屏蔽該訪問請求48電子商務系統(tǒng)的安全措施：18中國互聯(lián)網(wǎng)絡信息中心(ChinaInternetNetworkInformationCenter，簡稱CNNIC)是成立于1997年6月3日的非營利管理與服務機構，行使國家互聯(lián)網(wǎng)絡信息中心的職責。CNNIC在業(yè)務上接受信息產業(yè)部領導，在行政上接受中國科學院領導。中國科學院計算機網(wǎng)絡信息中心承擔CNNIC的運行和管理工作。由國內知名專家、各大互聯(lián)網(wǎng)絡單位代表組成的CNNIC工作委員會，對CNNIC的建設、運行和管理進行監(jiān)督和評定。

49中國互聯(lián)網(wǎng)絡信息中心(ChinaInternetNetwCNNIC承擔的主要職責：1．域名注冊管理

2．IP地址、AS號分配與管理

3．目錄數(shù)據(jù)庫服務

4．互聯(lián)網(wǎng)尋址技術研發(fā)

5．互聯(lián)網(wǎng)調查與相關信息服務

6．國際交流與政策調研

7.承擔中國互聯(lián)網(wǎng)協(xié)會政策與資源工作委員會秘書處的工作

50CNNIC承擔的主要職責：2013.2對知識產權的安全威脅13.2對知識產權的安全威脅網(wǎng)絡環(huán)境下對知識產權的侵犯變得更為容易和普遍。知識產權是指對智力勞動成果所享有的占有、使用、處分和收益的權利。知識產權的類型分為六種，即著作權（版權）、專利權、商標權、發(fā)現(xiàn)權、發(fā)明權和其他科技成果權。版權是指原創(chuàng)作品擁有人可行使以下權利，包括：復制權、發(fā)行權、公演權、改編權及廣播權，及有權禁止任何人于未獲授權的情況下行使上述權利目前互聯(lián)網(wǎng)上侵犯版權的損失額難以測量。N52網(wǎng)絡環(huán)境下對知識產權的侵犯變得更為容易和普遍。22域名安全

域名搶注1999年11月美國反域名搶注消費者保護法案(ACPC)生效（網(wǎng)上商標保護法）保護公司的商標名稱不被無此商標所有權者注冊成域名域名變異注冊某些著名域名的變體或易錯拼寫53域名安全域名搶注2313.3對電子商務的的安全威脅13.3對電子商務的的安全威脅對電子商務的的安全威脅:1、對客戶機的安全威脅2、對通信信道的安全威脅3、對服務器的安全威脅55對電子商務的的安全威脅:25

13.4系統(tǒng)安全工程能力成熟度模型

13.4系統(tǒng)安全工程能力成熟度模型

用來刻畫一個信息組織或信息系統(tǒng)安全工程過程基本特征的模型系統(tǒng)與認證體系。系統(tǒng)安全工程能力成熟度模型，SSE-CMM

SystemsSecuri