第5講電子商務(wù)安全

(4學(xué)時(shí))哈爾濱工業(yè)大學(xué)管理學(xué)院王澤彬Wangzebin@

1第5講電子商務(wù)安全1

第13章電子商務(wù)中的安全問題

第13章電子商務(wù)中的安全問題

13.1安全概述13.2對知識產(chǎn)權(quán)的安全威脅13.3對電子商務(wù)的安全威脅13.4系統(tǒng)安全工程能力成熟度模型313.1安全概述313.1安全概述

13.1安全概述

1988年11月3日蠕蟲病毒康奈爾大學(xué)小羅伯特.莫里斯Unix電子郵件程序失控繁殖耗盡資源死機(jī)1999年4月26日CIH2000年2月6日yahoo、amazon、eBayDDOS分布式拒絕服務(wù)2000年春美、加、日、泰張貼信用卡號51988年11月3日蠕蟲病毒5安全威脅對計(jì)算機(jī)資產(chǎn)帶來危險(xiǎn)的任何行動(dòng)或?qū)ο蠖挤Q為安全威脅安全措施安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱6安全威脅6計(jì)算機(jī)安全計(jì)算機(jī)安全——保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、篡改或破壞。根據(jù)安全的形式可分為兩類安全：物理安全：是指通過可觸及的保護(hù)設(shè)備，如警鈴、保衛(wèi)、防火門、安全柵欄、保險(xiǎn)箱、防暴建筑物等進(jìn)行的保護(hù)。邏輯安全：使用非物理手段對資產(chǎn)進(jìn)行保護(hù)稱為邏輯安全。7計(jì)算機(jī)安全計(jì)算機(jī)安全——保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用影響小（成本）影響大（成本）概率高概率低ⅠⅡⅢⅣ一般控制嚴(yán)格預(yù)防不用理會(huì)保險(xiǎn)或備份計(jì)劃IT系統(tǒng)風(fēng)險(xiǎn)管理模型Schneider&James8影響小影響大概率高概率低ⅠⅡⅢⅣ一般控制嚴(yán)格預(yù)防不用理會(huì)保險(xiǎn)根據(jù)安全的內(nèi)容對安全分類保密性防止未授權(quán)的數(shù)據(jù)暴露完整性防止未授權(quán)的數(shù)據(jù)篡改即需性防止延遲或拒絕服務(wù)9根據(jù)安全的內(nèi)容對安全分類9計(jì)算機(jī)安全策略一個(gè)組織針對計(jì)算機(jī)安全問題制定的所需要保護(hù)的資產(chǎn)、保護(hù)的原因、誰負(fù)責(zé)保護(hù)、哪些行為可以接受、哪些行為不可以接受的方針政策。一般包括物理安全、網(wǎng)絡(luò)安全、訪問授權(quán)、病毒保護(hù)、災(zāi)難恢復(fù)等內(nèi)容。10計(jì)算機(jī)安全策略10安全策略的內(nèi)容身份認(rèn)證：誰想訪問電子商務(wù)網(wǎng)站訪問控制：允許誰登錄訪問保密：誰有權(quán)查看特定信息數(shù)據(jù)完整性：數(shù)據(jù)修改的授權(quán)審計(jì)：由誰在何時(shí)導(dǎo)致了何事(日志)11安全策略的內(nèi)容11案例：醫(yī)藥電子商務(wù)安全案例金藥網(wǎng)：中國醫(yī)藥電子商務(wù)平臺(tái)是提供醫(yī)藥B2B的電子商務(wù)平臺(tái)同時(shí)也是提供對醫(yī)藥B2B進(jìn)行監(jiān)督的電子政務(wù)平臺(tái)12案例：醫(yī)藥電子商務(wù)安全案例金藥網(wǎng)：中國醫(yī)藥電子商務(wù)平臺(tái)12醫(yī)藥及醫(yī)療器械招標(biāo)采購電子商務(wù)平臺(tái)招標(biāo)投標(biāo)開標(biāo)評標(biāo)采購各監(jiān)督方全程監(jiān)控13醫(yī)藥及醫(yī)療器械招標(biāo)采購電子商務(wù)平臺(tái)招標(biāo)投標(biāo)開標(biāo)評標(biāo)采購各監(jiān)督電子商務(wù)系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安全隱患。如果未加限制可以通過右鍵查看網(wǎng)頁源代碼，泄露一些網(wǎng)站的基本信息。會(huì)話期安全優(yōu)化，數(shù)據(jù)加密傳輸。即使傳輸中被截獲也不會(huì)泄露傳輸內(nèi)容系統(tǒng)支持雙通道數(shù)據(jù)存取。避免數(shù)據(jù)存儲(chǔ)失敗導(dǎo)致信息遺失。14電子商務(wù)系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安電子商務(wù)系統(tǒng)的安全措施：邏輯鎖+表單、數(shù)據(jù)庫內(nèi)容加密存儲(chǔ)。表單被非法修改，邏輯鎖會(huì)發(fā)現(xiàn)并修正原有數(shù)據(jù)信息數(shù)據(jù)維護(hù)人員也不能獲知存儲(chǔ)的內(nèi)容，杜絕數(shù)據(jù)內(nèi)部泄密案例：15電子商務(wù)系統(tǒng)的安全措施：151.計(jì)劃單

2.合同單

3.入庫單

4.發(fā)票5.結(jié)存單

1.計(jì)劃單2.合同單3.入庫單4.發(fā)票5.結(jié)存單16現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（1001）減少：摘要（餐費(fèi)）金額：441.00第5號憑證財(cái)務(wù)要報(bào)的逐級追溯查詢功能要報(bào)信息第5號憑證的明細(xì)構(gòu)成明細(xì)憑證明細(xì)步驟一步驟二步驟一：追溯某一條要報(bào)信息的構(gòu)成明細(xì)。步驟二：根據(jù)某一條明細(xì)記錄追溯記賬憑證。現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（10017電子商務(wù)系統(tǒng)的安全措施：支持后臺(tái)定期自動(dòng)備份，具有快速災(zāi)難恢復(fù)功能。

自動(dòng)備份分為脫離原介質(zhì)（刻制光盤）、脫離操作系統(tǒng)（異地備份）、脫離數(shù)據(jù)庫（分離成備份文件）頻繁訪問自動(dòng)屏蔽機(jī)制等安全篩選條件。如果達(dá)到每秒數(shù)百次的http請求，系統(tǒng)將自動(dòng)屏蔽該訪問請求18電子商務(wù)系統(tǒng)的安全措施：18中國互聯(lián)網(wǎng)絡(luò)信息中心(ChinaInternetNetworkInformationCenter，簡稱CNNIC)是成立于1997年6月3日的非營利管理與服務(wù)機(jī)構(gòu)，行使國家互聯(lián)網(wǎng)絡(luò)信息中心的職責(zé)。CNNIC在業(yè)務(wù)上接受信息產(chǎn)業(yè)部領(lǐng)導(dǎo)，在行政上接受中國科學(xué)院領(lǐng)導(dǎo)。中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心承擔(dān)CNNIC的運(yùn)行和管理工作。由國內(nèi)知名專家、各大互聯(lián)網(wǎng)絡(luò)單位代表組成的CNNIC工作委員會(huì)，對CNNIC的建設(shè)、運(yùn)行和管理進(jìn)行監(jiān)督和評定。

19中國互聯(lián)網(wǎng)絡(luò)信息中心(ChinaInternetNetwCNNIC承擔(dān)的主要職責(zé)：1．域名注冊管理

2．IP地址、AS號分配與管理

3．目錄數(shù)據(jù)庫服務(wù)

4．互聯(lián)網(wǎng)尋址技術(shù)研發(fā)

5．互聯(lián)網(wǎng)調(diào)查與相關(guān)信息服務(wù)

6．國際交流與政策調(diào)研

7.承擔(dān)中國互聯(lián)網(wǎng)協(xié)會(huì)政策與資源工作委員會(huì)秘書處的工作

20CNNIC承擔(dān)的主要職責(zé)：2013.2對知識產(chǎn)權(quán)的安全威脅13.2對知識產(chǎn)權(quán)的安全威脅網(wǎng)絡(luò)環(huán)境下對知識產(chǎn)權(quán)的侵犯變得更為容易和普遍。知識產(chǎn)權(quán)是指對智力勞動(dòng)成果所享有的占有、使用、處分和收益的權(quán)利。知識產(chǎn)權(quán)的類型分為六種，即著作權(quán)（版權(quán)）、專利權(quán)、商標(biāo)權(quán)、發(fā)現(xiàn)權(quán)、發(fā)明權(quán)和其他科技成果權(quán)。版權(quán)是指原創(chuàng)作品擁有人可行使以下權(quán)利，包括：復(fù)制權(quán)、發(fā)行權(quán)、公演權(quán)、改編權(quán)及廣播權(quán)，及有權(quán)禁止任何人于未獲授權(quán)的情況下行使上述權(quán)利目前互聯(lián)網(wǎng)上侵犯版權(quán)的損失額難以測量。N22網(wǎng)絡(luò)環(huán)境下對知識產(chǎn)權(quán)的侵犯變得更為容易和普遍。22域名安全

域名搶注1999年11月美國反域名搶注消費(fèi)者保護(hù)法案(ACPC)生效（網(wǎng)上商標(biāo)保護(hù)法）保護(hù)公司的商標(biāo)名稱不被無此商標(biāo)所有權(quán)者注冊成域名域名變異注冊某些著名域名的變體或易錯(cuò)拼寫23域名安全域名搶注2313.3對電子商務(wù)的的安全威脅13.3對電子商務(wù)的的安全威脅對電子商務(wù)的的安全威脅:1、對客戶機(jī)的安全威脅2、對通信信道的安全威脅3、對服務(wù)器的安全威脅25對電子商務(wù)的的安全威脅:25

13.4系統(tǒng)安全工程能力成熟度模型

13.4系統(tǒng)安全工程能力成熟度模型

用來刻畫一個(gè)信息組織或信息系統(tǒng)安全工程過程基本特征的模型系統(tǒng)與認(rèn)證體系。系統(tǒng)安全工程能力成熟度模型，SSE-CMM

SystemsSecurityEngineeringCapabilityMaturityModel

27用來刻畫一個(gè)信息組織或信息系統(tǒng)安全工程過程基本特征的模系統(tǒng)安全工程能力成熟度模型，SSE-CMM

SystemsSecurityEngineeringCapabilityMaturityModel

SSE-CMM的構(gòu)想是1993年4月美國國家安全局(NSA)提出來的。在美國國家安全局、美國國防部、加拿大通信安全局的號召和推動(dòng)下，匯聚了超過60個(gè)廠家，集中了大量的人力、物力和財(cái)力對該構(gòu)想進(jìn)行了開發(fā)實(shí)施1996年10月出版SSE-CMM模型的第一個(gè)版本1997年4月出版了評定方法的第一個(gè)版本1999年4月發(fā)布了SSE-CMM的2.0版本28系統(tǒng)安全工程能力成熟度模型，SSE-CMM

Systems1非正式實(shí)施2計(jì)劃與跟蹤3良好定義4定量控制5持續(xù)改進(jìn)0沒有實(shí)施執(zhí)行了基礎(chǔ)實(shí)施承諾實(shí)施計(jì)劃實(shí)施規(guī)范實(shí)施跟蹤實(shí)施驗(yàn)證實(shí)施定義標(biāo)準(zhǔn)過程剪裁標(biāo)準(zhǔn)過程使用數(shù)據(jù)執(zhí)行已定義過程建立可度量的質(zhì)量目標(biāo)確定完成目標(biāo)的過程能力有目的的管理實(shí)施建立量化過程的有效性目標(biāo)改善過程的有效性安全工程組織的成熟度

291非正式實(shí)施2計(jì)劃與跟蹤3良好定義4定量控制5持續(xù)改進(jìn)0沒有

世界銀行的調(diào)查顯示印度軟件的出口規(guī)模、質(zhì)量和成本三項(xiàng)綜合指數(shù)居世界首位。而包括SSE-CMM、SW-CMM在內(nèi)的CMM體系在印度較廣泛的推廣，起了重要的作用。全球第5級的軟件公司有2/3在印度。中國0。30世界銀行的調(diào)查顯示印度軟件的出口規(guī)模、質(zhì)量和成本三項(xiàng)綜第5講電子商務(wù)安全

(4學(xué)時(shí))哈爾濱工業(yè)大學(xué)管理學(xué)院王澤彬Wangzebin@

31第5講電子商務(wù)安全1

第13章電子商務(wù)中的安全問題

第13章電子商務(wù)中的安全問題

13.1安全概述13.2對知識產(chǎn)權(quán)的安全威脅13.3對電子商務(wù)的安全威脅13.4系統(tǒng)安全工程能力成熟度模型3313.1安全概述313.1安全概述

13.1安全概述

1988年11月3日蠕蟲病毒康奈爾大學(xué)小羅伯特.莫里斯Unix電子郵件程序失控繁殖耗盡資源死機(jī)1999年4月26日CIH2000年2月6日yahoo、amazon、eBayDDOS分布式拒絕服務(wù)2000年春美、加、日、泰張貼信用卡號351988年11月3日蠕蟲病毒5安全威脅對計(jì)算機(jī)資產(chǎn)帶來危險(xiǎn)的任何行動(dòng)或?qū)ο蠖挤Q為安全威脅安全措施安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱36安全威脅6計(jì)算機(jī)安全計(jì)算機(jī)安全——保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、篡改或破壞。根據(jù)安全的形式可分為兩類安全：物理安全：是指通過可觸及的保護(hù)設(shè)備，如警鈴、保衛(wèi)、防火門、安全柵欄、保險(xiǎn)箱、防暴建筑物等進(jìn)行的保護(hù)。邏輯安全：使用非物理手段對資產(chǎn)進(jìn)行保護(hù)稱為邏輯安全。37計(jì)算機(jī)安全計(jì)算機(jī)安全——保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用影響?。ǔ杀荆┯绊懘螅ǔ杀荆└怕矢吒怕实廷瘼颌螈粢话憧刂茋?yán)格預(yù)防不用理會(huì)保險(xiǎn)或備份計(jì)劃IT系統(tǒng)風(fēng)險(xiǎn)管理模型Schneider&James38影響小影響大概率高概率低ⅠⅡⅢⅣ一般控制嚴(yán)格預(yù)防不用理會(huì)保險(xiǎn)根據(jù)安全的內(nèi)容對安全分類保密性防止未授權(quán)的數(shù)據(jù)暴露完整性防止未授權(quán)的數(shù)據(jù)篡改即需性防止延遲或拒絕服務(wù)39根據(jù)安全的內(nèi)容對安全分類9計(jì)算機(jī)安全策略一個(gè)組織針對計(jì)算機(jī)安全問題制定的所需要保護(hù)的資產(chǎn)、保護(hù)的原因、誰負(fù)責(zé)保護(hù)、哪些行為可以接受、哪些行為不可以接受的方針政策。一般包括物理安全、網(wǎng)絡(luò)安全、訪問授權(quán)、病毒保護(hù)、災(zāi)難恢復(fù)等內(nèi)容。40計(jì)算機(jī)安全策略10安全策略的內(nèi)容身份認(rèn)證：誰想訪問電子商務(wù)網(wǎng)站訪問控制：允許誰登錄訪問保密：誰有權(quán)查看特定信息數(shù)據(jù)完整性：數(shù)據(jù)修改的授權(quán)審計(jì)：由誰在何時(shí)導(dǎo)致了何事(日志)41安全策略的內(nèi)容11案例：醫(yī)藥電子商務(wù)安全案例金藥網(wǎng)：中國醫(yī)藥電子商務(wù)平臺(tái)是提供醫(yī)藥B2B的電子商務(wù)平臺(tái)同時(shí)也是提供對醫(yī)藥B2B進(jìn)行監(jiān)督的電子政務(wù)平臺(tái)42案例：醫(yī)藥電子商務(wù)安全案例金藥網(wǎng)：中國醫(yī)藥電子商務(wù)平臺(tái)12醫(yī)藥及醫(yī)療器械招標(biāo)采購電子商務(wù)平臺(tái)招標(biāo)投標(biāo)開標(biāo)評標(biāo)采購各監(jiān)督方全程監(jiān)控43醫(yī)藥及醫(yī)療器械招標(biāo)采購電子商務(wù)平臺(tái)招標(biāo)投標(biāo)開標(biāo)評標(biāo)采購各監(jiān)督電子商務(wù)系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安全隱患。如果未加限制可以通過右鍵查看網(wǎng)頁源代碼，泄露一些網(wǎng)站的基本信息。會(huì)話期安全優(yōu)化，數(shù)據(jù)加密傳輸。即使傳輸中被截獲也不會(huì)泄露傳輸內(nèi)容系統(tǒng)支持雙通道數(shù)據(jù)存取。避免數(shù)據(jù)存儲(chǔ)失敗導(dǎo)致信息遺失。44電子商務(wù)系統(tǒng)的安全措施：屏蔽網(wǎng)頁右鍵菜單功能，杜絕最基本的安電子商務(wù)系統(tǒng)的安全措施：邏輯鎖+表單、數(shù)據(jù)庫內(nèi)容加密存儲(chǔ)。表單被非法修改，邏輯鎖會(huì)發(fā)現(xiàn)并修正原有數(shù)據(jù)信息數(shù)據(jù)維護(hù)人員也不能獲知存儲(chǔ)的內(nèi)容，杜絕數(shù)據(jù)內(nèi)部泄密案例：45電子商務(wù)系統(tǒng)的安全措施：151.計(jì)劃單

2.合同單

3.入庫單

4.發(fā)票5.結(jié)存單

1.計(jì)劃單2.合同單3.入庫單4.發(fā)票5.結(jié)存單46現(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（1001）減少：摘要（餐費(fèi)）金額：441.00第5號憑證財(cái)務(wù)要報(bào)的逐級追溯查詢功能要報(bào)信息第5號憑證的明細(xì)構(gòu)成明細(xì)憑證明細(xì)步驟一步驟二步驟一：追溯某一條要報(bào)信息的構(gòu)成明細(xì)。步驟二：根據(jù)某一條明細(xì)記錄追溯記賬憑證?，F(xiàn)金（1001）減少：金額：333，293.80現(xiàn)金（10047電子商務(wù)系統(tǒng)的安全措施：支持后臺(tái)定期自動(dòng)備份，具有快速災(zāi)難恢復(fù)功能。

自動(dòng)備份分為脫離原介質(zhì)（刻制光盤）、脫離操作系統(tǒng)（異地備份）、脫離數(shù)據(jù)庫（分離成備份文件）頻繁訪問自動(dòng)屏蔽機(jī)制等安全篩選條件。如果達(dá)到每秒數(shù)百次的http請求，系統(tǒng)將自動(dòng)屏蔽該訪問請求48電子商務(wù)系統(tǒng)的安全措施：18中國互聯(lián)網(wǎng)絡(luò)信息中心(ChinaInternetNetworkInformationCenter，簡稱CNNIC)是成立于1997年6月3日的非營利管理與服務(wù)機(jī)構(gòu)，行使國家互聯(lián)網(wǎng)絡(luò)信息中心的職責(zé)。CNNIC在業(yè)務(wù)上接受信息產(chǎn)業(yè)部領(lǐng)導(dǎo)，在行政上接受中國科學(xué)院領(lǐng)導(dǎo)。中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心承擔(dān)CNNIC的運(yùn)行和管理工作。由國內(nèi)知名專家、各大互聯(lián)網(wǎng)絡(luò)單位代表組成的CNNIC工作委員會(huì)，對CNNIC的建設(shè)、運(yùn)行和管理進(jìn)行監(jiān)督和評定。

49中國互聯(lián)網(wǎng)絡(luò)信息中心(ChinaInternetNetwCNNIC承擔(dān)的主要職責(zé)：1．域名注冊管理

2．IP地址、AS號分配與管理

3．目錄數(shù)據(jù)庫服務(wù)

4．互聯(lián)網(wǎng)尋址技術(shù)研發(fā)

5．互聯(lián)網(wǎng)調(diào)查與相關(guān)信息服務(wù)

6．國際交流與政策調(diào)研

7.承擔(dān)中國互聯(lián)網(wǎng)協(xié)會(huì)政策與資源工作委員會(huì)秘書處的工作

50CNNIC承擔(dān)的主要職責(zé)：2013.2對知識產(chǎn)權(quán)的安全威脅13.2對知識產(chǎn)權(quán)的安全威脅網(wǎng)絡(luò)環(huán)境下對知識產(chǎn)權(quán)的侵犯變得更為容易和普遍。知識產(chǎn)權(quán)是指對智力勞動(dòng)成果所享有的占有、使用、處分和收益的權(quán)利。知識產(chǎn)權(quán)的類型分為六種，即著作權(quán)（版權(quán)）、專利權(quán)、商標(biāo)權(quán)、發(fā)現(xiàn)權(quán)、發(fā)明權(quán)和其他科技成果權(quán)。版權(quán)是指原創(chuàng)作品擁有人可行使以下權(quán)利，包括：復(fù)制權(quán)、發(fā)行權(quán)、公演權(quán)、改編權(quán)及廣播權(quán)，及有權(quán)禁止任何人于未獲授權(quán)的情況下行使上述權(quán)利目前互聯(lián)網(wǎng)上侵犯版權(quán)的損失額難以測量。N52網(wǎng)絡(luò)環(huán)境下對知識產(chǎn)權(quán)的侵犯變得更為容易和普遍。22域名安全

域名搶注1999年11月美國反域名搶注消費(fèi)者保護(hù)法案(ACPC)生效（網(wǎng)上商標(biāo)保護(hù)法）保護(hù)公司的商標(biāo)名稱不被無此商標(biāo)所有權(quán)者注冊成域名域名變異注冊某些著名域名的變體或易錯(cuò)拼寫53域名安全域名搶注2313.3對電子商務(wù)的的安全威脅13.3對電子商務(wù)的的安全威脅對電子商務(wù)的的安全威脅:1、對客戶機(jī)的安全威脅2、對通信信道的安全威脅3、對服務(wù)器的安全威脅55對電子商務(wù)的的安全威脅:25

13.4系統(tǒng)安全工程能力成熟度模型

13.4系統(tǒng)安全工程能力成熟度模型

用來刻畫一個(gè)信息組織或信息系統(tǒng)安全工程過程基本特征的模型系統(tǒng)與認(rèn)證體系。系統(tǒng)安全工程能力成熟度模型，SSE-CMM

SystemsSecuri