欢迎来到天天文库
浏览记录
ID:59718024
大小:243.00 KB
页数:52页
时间:2020-11-20
《电子商务安全教学文稿.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、电子商务安全河海大学商学院(常州)1.整理出计算机和网络安全攻击的趋势2.描述不同规模公司的一般安全活动3.了解电子商务安全的基本要素4.解释网络安全攻击的基本类型5.描述组织在管理安全问题上的常见错误6.讨论电子商务通信安全的一些主要技术手段7.详述电子商务网络安全组件的主要技术手段河海大学商学院(常州)10.1基本安全问题电子商务安全问题不仅仅是阻止或响应网络攻击和入侵。·例如,如果某用户连入营销网站服务器以获得一些产品信息,而作为回报,用户被要求填写一张表单来提供一些统计资料和个人信息。在这种情况下
2、,会产生哪些安全问题呢?河海大学商学院(常州)从用户的角度来看:用户如何确定网络服务器的所有者和操作者是合法的公司呢?用户如何知道网页和表格不包含一些恶意或者危险的代码与内容呢?用户如何知道网站服务器的拥有者不会将其提供的个人信息泄漏给其他人呢?河海大学商学院(常州)从公司的角度来看:公司如何知道用户不会试图闯入网络服务器或者修改网站网页和内容呢?公司如何知道用户不会试图干扰网站服务从而使得其他用户无法访问呢?河海大学商学院(常州)从用户和公司双方面来看:用户和公司如何知道网络连接中不会遭到第三方的在线窃
3、听呢?用户和公司如何知道服务器和用户浏览器之间传递的信息不会在中途被修改呢?这些问题描述了伴随电子商务交易发生的各种安全问题。由于交易中存在电子支付,因此更多的安全问题会随之产生。以下总结了一些电子商务过程中会产生的主要安全问题:河海大学商学院(常州)认证(authentication)当用户在网站上浏览网页的时候,他们如何确定网站不是欺骗性的呢?如果一个人编制了一个纳税申报单电子存档系统,纳税人如何知道其缴纳的税款已经被提交到权威部门了呢?如果一个人收到了一封电子邮件,他如何知道发送者就是其声称的那个人
4、呢?一个实体验证另一个实体身份与其所声称的身份一致,这一过程就叫认证。认证要求提供凭证表单,其形式可以多样,包括一些常见选项(如密码)或一些不常见选项(如个性化签名)。河海大学商学院(常州)授权(authorization)一旦通过认证,用户或程序就有权访问并获得特殊数据、程序或者系统资源(例如文件、注册、目录等等)了吗?授权可保证用户或程序有权访问并获得特定的资源。通常通过对比个人或程序信息与资源获取控制信息来决定是否具有这种权限。河海大学商学院(常州)审查(auditing)如果用户或程序进入网站,各
5、种信息都会显示在日志文件中。如果用户或程序调用数据库,也同样会在日志文件中显示。审查就是收集试图获取特殊资源、利用特定权限或者进行其他安全活动(既包括成功的也包括不成功的)的信息的过程。审查提供了一种再现行为详细情况的方法,使得IT人员能识别采取这些行为的个人或者程序。河海大学商学院(常州)保密性(confidentiality/privacy)所谓保密性就是指私人或者敏感信息不应该向未授权个人、实体或者计算机软件处理系统透露。这与已经在多个国家形成的条例——数字化隐私的含义相似。商业交易机密、企业计划、
6、健康记录、信用卡账号、甚至是个人浏览网页时留下的痕迹都应该是保密的。机密性要求个人和公司了解他们需要保护哪些数据或应用、谁具有访问权限。保密性通常通过加密手段实现。河海大学商学院(常州)完整性(integrity)数据在转移或存储后可能会被修改或破坏。保护数据在未授权或者突发事件中不被修改或破坏的能力就叫做完整性。金融交易就是数据完整性需要得到保证的一个例子。加密同样是保证数据在传递过程中的完整性的一种方法。河海大学商学院(常州)可用性(availability)如果某人试图通过在线服务系统进行股票交易,
7、那么需要有实时监测的能力。说一个在线网站是“可用的”,就是指如果个人或程序需要数据时他们可以访问网页、数据或服务。负载平衡软、硬件就是保证可用性的一种技术。河海大学商学院(常州)不可否认性(nonrepudiation)如果某人通过邮购目录订购某项产品并且用支票支付,那么就很难置疑订单的真实性。如果同样的操作通过编号为“1--800”的公司进行订购并且个人通过信用卡支付款项,那么交易的准确性就有可置疑的空间了。相似地,如果某人通过公司的网站并且通过信用卡支付货款,这个人可能总会称自己并没有下订单。所谓不可
8、否认性就是限制合法交易被拒绝的能力。其关键之一就是个性化签名,使得个人很难否认他们确实进行了交易。河海大学商学院(常州)10.2威胁和攻击的种类安全专家将攻击分为两种类型——技术型和非技术型。非技术型攻击(nontechnicalattack)是指那些犯罪者利用欺骗或者其他诱惑的手段使得人们泄漏敏感信息或者采取降低网络安全性的活动。这些类型的攻击也可以叫做社会型攻击(socialengineering)。网络钓鱼攻击最初就是以
此文档下载收益归作者所有