电子商务安全第9章_电子商务安全评估与法律教材教学课件.ppt

* * 第9章 电子商务安全评估与法律保护 第9章 电子商务安全评估与法律保护 任务驱动 随着电子商务的发展，安全问题显得越来越突出。概括地说，电子商务的安全主要体现在交易的有效性和可执行性、交易机制的可靠性、交易过程的完整性和必威体育官网网址性。目前，电子商务安全问题的解决，可以分为技术与法律两方面。通过本章学习，学生应该能够掌握电子商务安全评估中的风险管理知识，了解安全成熟度模型，识别电子商务面临的威胁，了解电子商务的安全评估方法，熟悉有关电子商务的基本法律法规。 第9章 电子商务安全评估与法律保护 本章内容 9.1电子商务安全评估 9.2电子商务的法律法规 9.1 电子商务安全评估 9.1.1风险管理 1．风险的概念 风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。如果没有风险，就不需要安全了。 ⑴漏洞 ⑵威胁 ⑶威胁+漏洞＝风险 9.1 电子商务安全评估 2．风险的识别与测量 ⑴风险的识别 对一个组织而言，识别风险除了要识别漏洞和威胁外，还应考虑已有的对策和预防措 施，如图9-1所示。 9.1 电子商务安全评估 ⑵风险的测量 风险测量是必须识别出在受到攻击后该组织需要付出的代价。图9-2表示风险测量的全部。 9.1 电子商务安全评估 认识到风险使该组织付出的代价也是确定如何管理风险的决定因素。风险永远不可能完全去除，风险必须管理。代价是多方面的，包括 ： ①资金 ②时间 ③资源 ④信誉 9.1 电子商务安全评估 9.1.2安全成熟度模型 成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效力。因此它可用于安全评估，以测量针对业界最佳实际的安全体系结构。可以就以下3个方面进行分析：计划、技术和配置、操作运行过程。安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则，在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和监控，以及安全教育方面。 9.1 电子商务安全评估 2．威胁情况与对策 ⑴社会工程(系统管理过程) ⑵电子窃听 ⑶软件缺陷 ⑷信任转移(主机之间的信任关系) ⑸数据驱动攻击(恶意软件) ⑹拒绝服务 ⑺DNS欺骗 ⑻源路由 ⑼内部威胁 9.1 电子商务安全评估 9.1.4安全评估方法 1．安全评估过程 安全评估方法的第一步是发现阶段，所有有关安全体系结构适用的文本都必须检查，包括安全策略、标准、指南，信息等级分类和访问控制计划，以及应用安全需求。 评估的第二步是人工检查阶段，将文本描述的体系结构与实际的结构进行比较，找出其差别。可以采用手工的方法，也可采用自动的方法。 评估的第三步是漏洞测试阶段。 安全评估的最后一步是认证安全体系结构的处理过程部分。 9.1 电子商务安全评估 2．网络安全评估 网络评估的第一步是了解网络的拓扑。假如防火墙在阻断跟踪路由分组，这就比较复杂，因为跟踪路由器是用来绘制网络拓扑的。 第二步是获取公共访问机器的名字和IP地址，这是比较容易完成的。只要使用DNS并在ARIN(American Registry for Internet Number)试注册所有的公共地址。 最后一步是对全部可达主机做端口扫描的处理。端口是用于TCP／IP和UDP网络中将一个端口标识到一个逻辑连接的术语。 9.1 电子商务安全评估 3．平台安全评估 平台安全评估的目的是认证平台的配置(操作系统对已知漏洞不易受损、文件保护及配置文件有适当的保护)。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理，因为集中的管理程序由此开始。假如平台已经适当加固，那么就有一个基准配置。 评估的第一部分是认证基准配置、操作系统、网络服务(FTP、rlogin、telnet、SSH等)没有变更。黑客首先是将这些文件替换成自己的版本。这些版本通常是记录管理员的口令，并转发给Internet上的攻击者。假如任何文件需打补丁或使用服务包，代理将通知管理员。 第二部分测试是认证管理员的口令，大部分机器不允许应用用户登录到平台，对应用的用户鉴别是在平台上运行的，而不是平台本身。 4．应用安全评估 *