电子商务网站管理与维护 第4章 网站的安全概述

《电子商务网站管理与维护 第4章 网站的安全概述》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、电子商务网站管理与维护孙博第二篇网站安全第4章网站的安全概述第5章网络病毒和防毒系统第6章黑客与反黑客技术第7章外部安全和防火墙技术第8章Web站点的安全技术第4章网络的安全概述网络安全的定义和评估01网络安全的主要威胁02网络安全保障体系034.1.1网络安全的定义网络安全定义:网络安全是指网络系统中的硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意地破坏、被非法使用。网络安全需求:保证数据的完整性、保证数据的保密性、保证数据的可获得性、信息的不可抵赖性、信息的可信赖性4．1网络安全的定义和评估4．1网络

2、安全的定义和评估4.1.2网络安全的评估美国国防部颁布的“可信计算机系统标准评估准则”把用户计算机系统的安全级别从低到高划分为四级七类，即：D1,C1,C2,B1,B2,B3,A1我国的计算机信息系统安全保护等级划分准则（GB17859-1999）规定了计算机系统安全保护能力的5个等级各安全等级详解D1级，整个系统是不可信任的，硬件和操作系统很容易被侵袭，任何人都可以使用该计算机系统，主要有：MS-Dos、MS-Windows3.x/Windows95、Apple的System7.x；C1级，自主安全保护级。系统要求

3、硬件有一定的安全机制，用户在使用前必须登录到系统，并建立了访问许可权限机制，但用户直接访问操作系统的根，不能控制进入系统的用户的访问级别，主要有：早期UNIX、XENIX、Novell3.x；各安全等级详解C2级，受控存取保护级。引进用户权限级别，进一步限制了用户执行某些系统指令，授权分级使系统管理员能够按用户分组。数据访问为目录级，还采用了系统审计，跟踪所有安全事件及系统管理员的工作，主要有：UNIX系统、Novell3.x以上版本、Windows NT、2000；B1级，安全标记保护级。B2级，结构化保护级。4.

4、2网络安全的主要威胁4.2.1威胁数据完整性的主要因素人员因素灾难因素逻辑问题　　硬件故障网络故障4.2.2威胁数据保密性的主要因素直接威胁　　　线缆链接身份鉴别　　　编程破坏系统漏洞4.3网络安全保障体系一个完整的网络安全保障体系涉及到以下几个方面：物理安全网络安全网络中的信息安全安全管理物理安全物理安全是保护计算网络设备、设施以及其媒体免遭地震水灾火灾等事故以及人为的操作失误或错误引起的计算机硬件的毁坏。包括以下３方面：环境安全：对系统所在环境的安全保护，包括区域保护和灾难保护。设备安全：指设备的防盗、防毁、防止

5、电　　　　　　磁辐射、防止电磁干扰、电源保护传输介质安全：包括传输线路及线路中的　　　　　　　　信息的安全网络安全内外网间隔及访问控制系统内部网不同网段的间隔及访问控制系统网络安全检测检测网络中最薄弱的环节并修正弱点和漏洞审计与控制审计是记录用户使用计算机网络所进行的所有活动过程。反黑与防毒网络备份系统网络中的信息安全信息传输安全：主体鉴别、数据加密、数据完整性鉴别、防抵赖；信息存储安全：数据库安全、终端安全。主体鉴别：对网络中的主体进行验证的过程。数据传输安全系统：数据传输加密技术、数据完整性鉴别技术、防抵赖技术数

6、据存储安全系统：数据库安全包括物理完整性、逻辑完整性、元素完整性、数据加密、用户鉴别、可获得性、可审计性。信息内容审计系统：实时对进出内部网的信息进行审计，以防止或追查可能的泄密行为安全管理(一)安全管理原则1.多人负责原则2.任期有限原则3.职权分离原则安全管理的实现1.根据工作的重要程度，确定该系统的安全等级2.根据确定的安全等级，确定安全管理范围3.制定相应的机房出入管理制度4.制定严格的操作规程5.制定完备的系统维护制度6.制定应急措施CNNS的七层次安全保障体系1.实体安全2.平台安全3.数据安全4.通信安

7、全5.应用安全6.运行安全7.管理安全安全管理(二)一般小型网络重点保证平台安全一个层次，中型网络实施实体安全、平台安全、管理安全几个层次，大型要实施实体安全、平台安全、应用安全、运行安全、管理安全几个层次，一个大型高级网络的安全体系则覆盖全部七个层次。本章结束ThankYou!