欢迎来到天天文库
浏览记录
ID:43230635
大小:267.50 KB
页数:21页
时间:2019-10-05
《电子商务安全第9章电子商务安全评估与法律》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第9章电子商务安全评估与法律保护第9章电子商务安全评估与法律保护任务驱动随着电子商务的发展,安全问题显得越来越突出。概括地说,电子商务的安全主要体现在交易的有效性和可执行性、交易机制的可靠性、交易过程的完整性和保密性。目前,电子商务安全问题的解决,可以分为技术与法律两方面。通过本章学习,学生应该能够掌握电子商务安全评估中的风险管理知识,了解安全成熟度模型,识别电子商务面临的威胁,了解电子商务的安全评估方法,熟悉有关电子商务的基本法律法规。第9章电子商务安全评估与法律保护本章内容9.1电子商务安全评估
2、9.2电子商务的法律法规9.1电子商务安全评估9.1.1风险管理1.风险的概念风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。如果没有风险,就不需要安全了。⑴漏洞⑵威胁⑶威胁+漏洞=风险9.1电子商务安全评估2.风险的识别与测量⑴风险的识别对一个组织而言,识别风险除了要识别漏洞和威胁外,还应考虑已有的对策和预防措施,如图9-1所示。9.1电子商务安全评估⑵风险的测量风险测量是必须识别出在受到攻击后该组织需要付出的代价。图9-2表示风险测量的全部。9.1电子商务安全评估认识到风险使该组
3、织付出的代价也是确定如何管理风险的决定因素。风险永远不可能完全去除,风险必须管理。代价是多方面的,包括:①资金②时间③资源④信誉9.1电子商务安全评估9.1.2安全成熟度模型成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效力。因此它可用于安全评估,以测量针对业界最佳实际的安全体系结构。可以就以下3个方面进行分析:计划、技术和配置、操作运行过程。安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则,在组织内的安置以及产品配置而定。操作运行过程包括
4、变更管理、报警和监控,以及安全教育方面。9.1电子商务安全评估1.安全计划一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。2.技术和配置3.运行过程运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控等。9.1电子商务安全评估9.1.3威胁威胁包含3个组成部分:⑴目标,可能受到攻击的方面。⑵代理,发出威胁的人或组织。⑶事件,做出威胁的动作类型。9.1电子商务安全评估1.威胁的来源⑴人为差错和设计缺陷⑵
5、内部人员⑶临时员工⑷自然灾害和环境危害⑸黑客和其他入侵者⑹病毒和其他恶意软件9.1电子商务安全评估2.威胁情况与对策⑴社会工程(系统管理过程)⑵电子窃听⑶软件缺陷⑷信任转移(主机之间的信任关系)⑸数据驱动攻击(恶意软件)⑹拒绝服务⑺DNS欺骗⑻源路由⑼内部威胁9.1电子商务安全评估9.1.4安全评估方法1.安全评估过程安全评估方法的第一步是发现阶段,所有有关安全体系结构适用的文本都必须检查,包括安全策略、标准、指南,信息等级分类和访问控制计划,以及应用安全需求。评估的第二步是人工检查阶段,将文本描述
6、的体系结构与实际的结构进行比较,找出其差别。可以采用手工的方法,也可采用自动的方法。评估的第三步是漏洞测试阶段。安全评估的最后一步是认证安全体系结构的处理过程部分。9.1电子商务安全评估2.网络安全评估网络评估的第一步是了解网络的拓扑。假如防火墙在阻断跟踪路由分组,这就比较复杂,因为跟踪路由器是用来绘制网络拓扑的。第二步是获取公共访问机器的名字和IP地址,这是比较容易完成的。只要使用DNS并在ARIN(AmericanRegistryforInternetNumber)试注册所有的公共地址。最后一步
7、是对全部可达主机做端口扫描的处理。端口是用于TCP/IP和UDP网络中将一个端口标识到一个逻辑连接的术语。9.1电子商务安全评估3.平台安全评估平台安全评估的目的是认证平台的配置(操作系统对已知漏洞不易受损、文件保护及配置文件有适当的保护)。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理,因为集中的管理程序由此开始。假如平台已经适当加固,那么就有一个基准配置。评估的第一部分是认证基准配置、操作系统、网络服务(FTP、rlogin、telnet、SSH等)没有变更。黑客首先是将这些文件替
8、换成自己的版本。这些版本通常是记录管理员的口令,并转发给Internet上的攻击者。假如任何文件需打补丁或使用服务包,代理将通知管理员。第二部分测试是认证管理员的口令,大部分机器不允许应用用户登录到平台,对应用的用户鉴别是在平台上运行的,而不是平台本身。4.应用安全评估9.1电子商务安全评估9.1.5安全评估准则1.可信计算机系统评估准则2.信息技术安全评估准则3.通用安全评估准则4.计算机信息系统安全保护等级划分准则9.2电子商务的法律法规9.2.1电子商务发展中遇
此文档下载收益归作者所有