掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
以利為利:財政關系與地方政府行為
-
>
立足飯碗 藏糧于地——基于中國人均耕地警戒值的耕地保護視角
-
>
營銷管理
-
>
茶葉里的全球貿易史(精裝)
-
>
近代華商股票市場制度與實踐(1872—1937)
-
>
麥肯錫圖表工作法
-
>
海龜交易法則
電子商務安全 版權信息
- ISBN:9787030694294
- 條形碼:9787030694294 ; 978-7-03-069429-4
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>>
電子商務安全 內容簡介
本書從系統工程的視角來研究和討論電子商務的安全問題,從全局視角來介紹電子商務安全的原理、技術和實施方法;從安全威脅、安全風險的分析著手,挖掘電子商務的安全需求,選擇適用的安全技術來構建電子商務安全防護體系,同時重視電子商務安全管理的作用;全面介紹了密碼技術、電子商務安全認證體系、網絡安全技術、系統安全技術、移動商務安全、云安全、電子商務安全管理等內容,并通過I/CA、電子支付等安全應用案例,幫助讀者掌握基本的安全技術及其應用方法。
電子商務安全 目錄
目錄
叢書序
前言
第1章 概論 1
1.1 安全性概念 1
1.1.1 密碼安全 1
1.1.2 計算機安全 1
1.1.3 網絡安全 2
1.1.4 信息安全 2
1.1.5 電子商務安全 3
1.2 電子商務安全威脅與防護措施 3
1.2.1 安全威脅 3
1.2.2 電子商務的安全風險 5
1.2.3 電子商務面臨的安全威脅 5
1.2.4 防護措施 6
1.3 安全策略 6
1.3.1 授權 7
1.3.2 訪問控制策略 7
1.3.3 責任 8
1.4 安全服務 8
1.4.1 電子商務的安全服務 8
1.4.2 安全服務與安全威脅的關系 9
1.4.3 安全服務與網絡層次間的關系 9
1.5 安全機制 10
1.5.1 電子商務的安全機制 10
1.5.2 安全服務與安全機制的關系 12
1.6 電子商務安全體系結構 12
習題 13
第2章 電子商務密碼技術 15
2.1 密碼學概述 15
2.1.1 密碼學基本概念 15
2.1.2 密碼學發展歷程 16
2.1.3 密碼體制分類 17
2.1.4 密碼分析基礎 19
2.2 古典密碼算法 20
2.2.1 代替密碼 20
2.2.2 換位密碼 22
2.3 對稱密鑰算法 23
2.3.1 數據加密標準 23
2.3.2 三重 28
2.3.3 國際數據加密算法 29
2.3.4 高級加密標準 29
2.3.5 分組密碼工作模式 30
2.4 公開密鑰算法 30
2.4.1 RSA算法 31
2.4.2 橢圓曲線密碼體制 32
2.4.3 其他公開密鑰算法 32
2.5 密鑰管理 33
2.5.1 密鑰種類 33
2.5.2 密鑰的生成 34
2.5.3 對稱密鑰分發 35
2.5.4 密鑰協定 37
2.6 機密性服務 37
2.6.1 機密性措施 38
2.6.2 機密性機制 39
2.7 網絡數據加密技術 40
2.7.1 鏈路加密 40
2.7.2 節點—節點加密 40
2.7.3 端—端加密 41
習題 42
第3章 數字證書 43
3.1 證書概述 43
3.1.1 證書的定義 43
3.1.2 證書的類型 43
3.2 證書的格式 44
3.2.1 證書的表示 44
3.2.2 證書的結構 44
3.2.3 字段的語義和作用 46
3.3 密鑰和證書生命周期管理 48
3.3.1 初始化階段 48
3.3.2 頒發階段 49
3.3.3 取消階段 49
3.4 證書發行 50
3.4.1 證書申請 50
3.4.2 證書創建、密鑰和證書簽發 51
3.5 證書驗證 52
3.5.1 拆封證書 52
3.5.2 證書鏈的驗證 52
3.5.3 序列號驗證 53
3.5.4 有效期驗證 53
3.5.5 證書撤銷列表查詢 53
3.5.6 證書使用策略的驗證 53
3.5.7 終端實體證書的確認 53
3.6 證書撤銷 54
3.6.1 撤銷請求 54
3.6.2 證書撤銷列表 55
3.6.3 完全CRL 56
3.6.4 機構撤銷列表 57
3.6.5 CRL分布點 57
3.6.6 重定向CRL 57
3.6.7 增量CRL 58
3.6.8 間接CRL 58
3.6.9 在線查詢機制 59
3.7 證書策略和認證慣例聲明 59
3.7.1 證書策略 60
3.7.2 認證慣例聲明 60
3.7.3 CP和CPS的關系 61
習題 61
第4章 電子商務認證技術 62
4.1 認證服務 62
4.1.1 認證與認證系統 62
4.1.2 認證系統的分類 62
4.1.3 認證系統的層次模型 63
4.2 哈希函數 63
4.2.1 哈希函數的分類 64
4.2.2 MD-5哈希算法 65
4.2.3 安全哈希算法 66
4.3 數字簽名 66
4.3.1 數字簽名的基本概念 66
4.3.2 RSA簽名體制 67
4.3.3 EIGamal簽名體制 68
4.3.4 數字簽名標準 69
4.3.5 盲簽名 69
4.3.6 雙聯簽名 69
4.3.7 SM2數字簽名 70
4.3.8 SM9數字簽名 70
4.4 時間戳 71
4.4.1 時間戳概念 71
4.4.2 時間戳服務 72
4.5 消息認證 72
4.5.1 基于對稱密鑰密碼體制的消息認證 73
4.5.2 基于公開密鑰密碼體制的消息認證 74
4.5.3 完整性服務 74
4.6 身份認證 76
4.6.1 身份認證概念 76
4.6.2 口令認證 77
4.6.3 基于個人特征的身份認證技術 79
4.6.4 基于密鑰的認證機制 79
4.6.5 零知識證明 80
4.6.6 身份認證協議 81
4.6.7 認證的密鑰交換協議 81
4.7 不可否認服務 82
4.7.1 不可否認服務的類型 83
4.7.2 可信賴的第三方 83
4.7.3 實現不可否認服務的過程 84
4.7.4 源的不可否認服務的實現 85
4.7.5 傳遞的不可否認服務的實現 86
習題 88
第5章 PKI基礎 89
5.1 PKI概述 89
5.1.1 PKI定義 89
5.1.2 PKI組成 89
5.2 PKI的基本功能 90
5.2.1 PKI的核心服務 90
5.2.2 PKI的支撐服務 91
5.3 PKI標準 93
5.4 CA的體系結構 94
5.4.1 CA認證中心的功能 94
5.4.2 CA認證中心的層次 94
5.5 信任模型 97
5.5.1 概念 97
5.5.2 嚴格層次結構模型 98
5.5.3 分布式信任結構模型 99
5.5.4 Web模型 99
5.5.5 以用戶為中心的信任模型 100
5.5.6 交叉認證 100
習題 101
第6章 電子商務網絡安全 102
6.1 網絡安全協議 102
6.1.1 安全套接層協議 102
6.1.2 安全電子交易協議 105
6.1.3 SSL與SET的比較 107
6.1.4 IPsec 108
6.1.5 傳輸層安全 112
6.2 虛擬專用網技術 114
6.2.1 VPN概述 114
6.2.2 VPN的安全技術 116
6.2.3 VPN的隧道協議 116
6.2.4 IPsec VPN與SSL VPN 118
6.3 防火墻技術 120
6.3.1 防火墻概述 120
6.3.2 基本的防火墻技術 121
6.3.3 防火墻的類型 125
6.3.4 WEB應用防火墻 126
6.4 入侵檢測與防護 131
6.4.1 入侵檢測系統概述 131
6.4.2 入侵檢測系統的體系結構 132
6.4.3 入侵檢測系統的分類 134
6.4.4 入侵檢測技術 138
6.4.5 入侵防御系統IPS 143
6.4.6 統一威脅管理 144
習題 145
第7章 系統安全技術 147
7.1 操作系統安全技術 147
7.1.1 訪問控制技術 147
7.1.2 安全審計技術 150
7.1.3 漏洞掃描技術 152
7.1.4 系統加固技術 156
7.2 計算機病毒及防范技術 164
7.2.1 計算機病毒概述 164
7.2.2 計算機病毒特點 166
7.2.3 計算機病毒的傳播 166
7.2.4 計算機病毒的防范 167
7.3 Web安全技術 168
7.3.1 Web服務器安全 169
7.3.2 Web客戶端安全 170
7.3.3 Web傳輸協議安全 172
7.4 電子郵件安全 173
7.4.1 電子郵件的安全威脅 173
7.4.2 電子郵件的安全措施 174
7.4.3 電子郵件安全協議 175
7.4.4 Outlook Express安全特性 175
7.5 數據庫安全技術 179
7.5.1 數據庫加密技術 179
7.5.2 數據庫訪問控制技術 180
7.5.3 數據庫審計 182
7.5.4 數據脫敏技術 183
7.5.5 數據庫備份與恢復 186
習題 189
第8章 移動網絡安全 190
8.1 移動網絡安全概述 190
8.1.1 移動網絡安全威脅 190
8.1.2 移動網絡安全需求 191
8.2 移動設備安全 191
8.2.1 移動設備面臨的風險 192
8.2.2 主要的安全攻擊 192
8.2.3 安全防范對策與方法 193
8.3 移動安全框架 195
8.3.1 藍牙安全框架 195
8.3.2 WiFi安全框架 199
8.4 WiFi安全解決方案 201
8.4.1 易被入侵 201
8.4.2 非法的AP 201
8.4.3 未經授權使用服務 201
8.4.4 服務和性能的限制 202
8.4.5 地址欺騙和會話攔截 202
8.4.6 流量分析與流量偵聽 202
8.4.7 高級入侵 203
習題 203
第9章 云安全基礎 204
9.1 云安全風險分析 204
9.1.1 網絡虛擬化安全 204
9.1.2 主機虛擬化安全 204
9.1.3 虛擬化平臺安全 205
9.1.4 存儲虛擬化安全 205
9.2 云安全總體架構 205
9.3 云平臺安全 205
9.3.1 物理與環境安全 205
9.3.2 操作系統安全 206
9.3.3 虛擬化平臺安全 207
9.3.4 分布式系統安全 208
9.3.5 賬號體系安全 208
9.3.6 容器安全 208
9.3.7 安全審計 209
9.4 云平臺網絡安全 209
9.4.1 網絡架構設計 209
9.4.2 基礎網絡安全 209
9.4.3 網絡設備安全 210
9.4.4 網絡邊界安全 210
9.4.5 流量安全監控 210
9.5 云平臺應用安全 211
9.6 數據安全 211
9.6.1 多副本冗余存儲 211
9.6.2 全棧加密 212
9.6.3 殘留數據清除 212
9.6.4 運維數據安全 212
9.6.5 租戶隔離 212
9.6.6 數據傳輸加密 212
9.6.7 數據庫審計 212
9.6.8 數據脫敏 212
9.6.9 數據查詢安全 213
9.6.10 數據變更安全 213
9.6.11
叢書序
前言
第1章 概論 1
1.1 安全性概念 1
1.1.1 密碼安全 1
1.1.2 計算機安全 1
1.1.3 網絡安全 2
1.1.4 信息安全 2
1.1.5 電子商務安全 3
1.2 電子商務安全威脅與防護措施 3
1.2.1 安全威脅 3
1.2.2 電子商務的安全風險 5
1.2.3 電子商務面臨的安全威脅 5
1.2.4 防護措施 6
1.3 安全策略 6
1.3.1 授權 7
1.3.2 訪問控制策略 7
1.3.3 責任 8
1.4 安全服務 8
1.4.1 電子商務的安全服務 8
1.4.2 安全服務與安全威脅的關系 9
1.4.3 安全服務與網絡層次間的關系 9
1.5 安全機制 10
1.5.1 電子商務的安全機制 10
1.5.2 安全服務與安全機制的關系 12
1.6 電子商務安全體系結構 12
習題 13
第2章 電子商務密碼技術 15
2.1 密碼學概述 15
2.1.1 密碼學基本概念 15
2.1.2 密碼學發展歷程 16
2.1.3 密碼體制分類 17
2.1.4 密碼分析基礎 19
2.2 古典密碼算法 20
2.2.1 代替密碼 20
2.2.2 換位密碼 22
2.3 對稱密鑰算法 23
2.3.1 數據加密標準 23
2.3.2 三重 28
2.3.3 國際數據加密算法 29
2.3.4 高級加密標準 29
2.3.5 分組密碼工作模式 30
2.4 公開密鑰算法 30
2.4.1 RSA算法 31
2.4.2 橢圓曲線密碼體制 32
2.4.3 其他公開密鑰算法 32
2.5 密鑰管理 33
2.5.1 密鑰種類 33
2.5.2 密鑰的生成 34
2.5.3 對稱密鑰分發 35
2.5.4 密鑰協定 37
2.6 機密性服務 37
2.6.1 機密性措施 38
2.6.2 機密性機制 39
2.7 網絡數據加密技術 40
2.7.1 鏈路加密 40
2.7.2 節點—節點加密 40
2.7.3 端—端加密 41
習題 42
第3章 數字證書 43
3.1 證書概述 43
3.1.1 證書的定義 43
3.1.2 證書的類型 43
3.2 證書的格式 44
3.2.1 證書的表示 44
3.2.2 證書的結構 44
3.2.3 字段的語義和作用 46
3.3 密鑰和證書生命周期管理 48
3.3.1 初始化階段 48
3.3.2 頒發階段 49
3.3.3 取消階段 49
3.4 證書發行 50
3.4.1 證書申請 50
3.4.2 證書創建、密鑰和證書簽發 51
3.5 證書驗證 52
3.5.1 拆封證書 52
3.5.2 證書鏈的驗證 52
3.5.3 序列號驗證 53
3.5.4 有效期驗證 53
3.5.5 證書撤銷列表查詢 53
3.5.6 證書使用策略的驗證 53
3.5.7 終端實體證書的確認 53
3.6 證書撤銷 54
3.6.1 撤銷請求 54
3.6.2 證書撤銷列表 55
3.6.3 完全CRL 56
3.6.4 機構撤銷列表 57
3.6.5 CRL分布點 57
3.6.6 重定向CRL 57
3.6.7 增量CRL 58
3.6.8 間接CRL 58
3.6.9 在線查詢機制 59
3.7 證書策略和認證慣例聲明 59
3.7.1 證書策略 60
3.7.2 認證慣例聲明 60
3.7.3 CP和CPS的關系 61
習題 61
第4章 電子商務認證技術 62
4.1 認證服務 62
4.1.1 認證與認證系統 62
4.1.2 認證系統的分類 62
4.1.3 認證系統的層次模型 63
4.2 哈希函數 63
4.2.1 哈希函數的分類 64
4.2.2 MD-5哈希算法 65
4.2.3 安全哈希算法 66
4.3 數字簽名 66
4.3.1 數字簽名的基本概念 66
4.3.2 RSA簽名體制 67
4.3.3 EIGamal簽名體制 68
4.3.4 數字簽名標準 69
4.3.5 盲簽名 69
4.3.6 雙聯簽名 69
4.3.7 SM2數字簽名 70
4.3.8 SM9數字簽名 70
4.4 時間戳 71
4.4.1 時間戳概念 71
4.4.2 時間戳服務 72
4.5 消息認證 72
4.5.1 基于對稱密鑰密碼體制的消息認證 73
4.5.2 基于公開密鑰密碼體制的消息認證 74
4.5.3 完整性服務 74
4.6 身份認證 76
4.6.1 身份認證概念 76
4.6.2 口令認證 77
4.6.3 基于個人特征的身份認證技術 79
4.6.4 基于密鑰的認證機制 79
4.6.5 零知識證明 80
4.6.6 身份認證協議 81
4.6.7 認證的密鑰交換協議 81
4.7 不可否認服務 82
4.7.1 不可否認服務的類型 83
4.7.2 可信賴的第三方 83
4.7.3 實現不可否認服務的過程 84
4.7.4 源的不可否認服務的實現 85
4.7.5 傳遞的不可否認服務的實現 86
習題 88
第5章 PKI基礎 89
5.1 PKI概述 89
5.1.1 PKI定義 89
5.1.2 PKI組成 89
5.2 PKI的基本功能 90
5.2.1 PKI的核心服務 90
5.2.2 PKI的支撐服務 91
5.3 PKI標準 93
5.4 CA的體系結構 94
5.4.1 CA認證中心的功能 94
5.4.2 CA認證中心的層次 94
5.5 信任模型 97
5.5.1 概念 97
5.5.2 嚴格層次結構模型 98
5.5.3 分布式信任結構模型 99
5.5.4 Web模型 99
5.5.5 以用戶為中心的信任模型 100
5.5.6 交叉認證 100
習題 101
第6章 電子商務網絡安全 102
6.1 網絡安全協議 102
6.1.1 安全套接層協議 102
6.1.2 安全電子交易協議 105
6.1.3 SSL與SET的比較 107
6.1.4 IPsec 108
6.1.5 傳輸層安全 112
6.2 虛擬專用網技術 114
6.2.1 VPN概述 114
6.2.2 VPN的安全技術 116
6.2.3 VPN的隧道協議 116
6.2.4 IPsec VPN與SSL VPN 118
6.3 防火墻技術 120
6.3.1 防火墻概述 120
6.3.2 基本的防火墻技術 121
6.3.3 防火墻的類型 125
6.3.4 WEB應用防火墻 126
6.4 入侵檢測與防護 131
6.4.1 入侵檢測系統概述 131
6.4.2 入侵檢測系統的體系結構 132
6.4.3 入侵檢測系統的分類 134
6.4.4 入侵檢測技術 138
6.4.5 入侵防御系統IPS 143
6.4.6 統一威脅管理 144
習題 145
第7章 系統安全技術 147
7.1 操作系統安全技術 147
7.1.1 訪問控制技術 147
7.1.2 安全審計技術 150
7.1.3 漏洞掃描技術 152
7.1.4 系統加固技術 156
7.2 計算機病毒及防范技術 164
7.2.1 計算機病毒概述 164
7.2.2 計算機病毒特點 166
7.2.3 計算機病毒的傳播 166
7.2.4 計算機病毒的防范 167
7.3 Web安全技術 168
7.3.1 Web服務器安全 169
7.3.2 Web客戶端安全 170
7.3.3 Web傳輸協議安全 172
7.4 電子郵件安全 173
7.4.1 電子郵件的安全威脅 173
7.4.2 電子郵件的安全措施 174
7.4.3 電子郵件安全協議 175
7.4.4 Outlook Express安全特性 175
7.5 數據庫安全技術 179
7.5.1 數據庫加密技術 179
7.5.2 數據庫訪問控制技術 180
7.5.3 數據庫審計 182
7.5.4 數據脫敏技術 183
7.5.5 數據庫備份與恢復 186
習題 189
第8章 移動網絡安全 190
8.1 移動網絡安全概述 190
8.1.1 移動網絡安全威脅 190
8.1.2 移動網絡安全需求 191
8.2 移動設備安全 191
8.2.1 移動設備面臨的風險 192
8.2.2 主要的安全攻擊 192
8.2.3 安全防范對策與方法 193
8.3 移動安全框架 195
8.3.1 藍牙安全框架 195
8.3.2 WiFi安全框架 199
8.4 WiFi安全解決方案 201
8.4.1 易被入侵 201
8.4.2 非法的AP 201
8.4.3 未經授權使用服務 201
8.4.4 服務和性能的限制 202
8.4.5 地址欺騙和會話攔截 202
8.4.6 流量分析與流量偵聽 202
8.4.7 高級入侵 203
習題 203
第9章 云安全基礎 204
9.1 云安全風險分析 204
9.1.1 網絡虛擬化安全 204
9.1.2 主機虛擬化安全 204
9.1.3 虛擬化平臺安全 205
9.1.4 存儲虛擬化安全 205
9.2 云安全總體架構 205
9.3 云平臺安全 205
9.3.1 物理與環境安全 205
9.3.2 操作系統安全 206
9.3.3 虛擬化平臺安全 207
9.3.4 分布式系統安全 208
9.3.5 賬號體系安全 208
9.3.6 容器安全 208
9.3.7 安全審計 209
9.4 云平臺網絡安全 209
9.4.1 網絡架構設計 209
9.4.2 基礎網絡安全 209
9.4.3 網絡設備安全 210
9.4.4 網絡邊界安全 210
9.4.5 流量安全監控 210
9.5 云平臺應用安全 211
9.6 數據安全 211
9.6.1 多副本冗余存儲 211
9.6.2 全棧加密 212
9.6.3 殘留數據清除 212
9.6.4 運維數據安全 212
9.6.5 租戶隔離 212
9.6.6 數據傳輸加密 212
9.6.7 數據庫審計 212
9.6.8 數據脫敏 212
9.6.9 數據查詢安全 213
9.6.10 數據變更安全 213
9.6.11
展開全部
電子商務安全 節選
第1章 概論 相對于傳統商務模式,電子商務由于其經濟、便捷、不受時空限制等特性而更具優勢。在Internet上開展電子商務的首要條件是保證商務過程各環節的安全性、可靠性和可用性,確保電子商務的安全,提高網民對網絡商務交易類應用的信任度,促進其發展。 1.1 安全性概念 在ISO安全框架文件中,“安全”被解釋為:一種使資產和資源遭受攻擊的可能性減少到*小的方法。可見,安全是相對的,并沒有絕對安全的網絡實體。 電子商務建立在Internet之上,電子商務安全基礎是Internet安全,它與密碼安全、計算機安全、網絡安全、信息安全等密不可分。 1.1.1 密碼安全 信息安全是國家信息化建設的關鍵,對信息安全問題的重視和解決程度,將直接制約信息化進程和發展。信息安全所要求的信息機密性、有效性、完整性和可用性,可以通過數據加密、完整性檢驗、身份認證和訪問控制等技術來解決。這些技術的核心是密碼技術。通信安全對從信源傳送到信宿的信息進行安全保護,密碼安全技術是通信安全*核心部分,通過在技術上提供強力的密碼系統及其正確的應用來實現。 密碼具有特殊性,密碼安全關系到國家的安全和利益。密碼同時又是一種技術手段,為保護國家利益和市場經濟領域中的各種商業活動服務。我國對密碼采取既大力發展又嚴格管理的基本政策,實行“統一領導、集中管理、定點研制、專控經營、滿足使用”的發展和管理方針。全國從事金融商業的密碼機構由國家密碼管理局統一領導,國家密碼管理局商用密碼管理辦公室具體管理。研究、生產和經銷密碼須經國家密碼主管部門批準。需要使用密碼技術手段保護信息安全的單位和部門,必須按照國家密碼管理規定,使用國家密碼管理局指定研制、生產的密碼,不得使用自行研制的密碼,也不得使用從國外引進的密碼。 1.1.2 計算機安全 計算機安全的定義并不統一,常見的定義是指計算機系統的硬件、軟件和數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改和顯露,系統連續正常運行。 “計算機安全”一詞的含義首先是信息的機密性,機密性指防止靜態信息被非授權訪問和動態信息被截取。其次是信息的完整性,完整性是指信息在存儲或傳輸時不被非授權的機構或個人修改、破壞,信息能保持一致性。另一個與計算機安全緊密相關的屬性是可用性,可用性是指合法用戶的合法請求能及時、準確、安全得到服務或響應,而不被拒絕。 計算機安全包括物理安全和邏輯安全。物理安全是指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息完整性、機密性和可用性。 1.1.3 網絡安全 網絡安全是指保證在任何兩個網絡實體之間的信息交流以及通信的安全可靠,滿足計算機網絡對信息安全的機密性、完整性、可用性、真實性和占有性的要求。 機密性、完整性、可用性的含義在1.1.2節“計算機安全”含義中已做介紹。真實性是指信息的來源是可信的,而且自信息生成之時就沒有被竄改過。或者網絡實體所聲稱的身份和其實際身份是一致的。占有性是指存儲信息的主機、磁盤等信息載體被盜用,導致對信息占用權的喪失。保護信息占有性的方法有使用版權、專利權、商業秘密性,提供物理和邏輯的存取限制方法;維護和檢查有關盜竊文件的審計記錄、使用標簽等。 網絡安全的研究內容從廣義上說,除包括計算機安全外,還包括物理安全、通信安全、管理安全、人事安全、媒體安全和輻射安全。非技術角度的研究內容還包括管理和法律兩個方面,它們綜合構成了一個完整的安全保障體系。 物理安全包括:門鎖、門衛以及其他物理訪問控制設施;敏感設備的防竄改能力,如紅外線報警裝置等不能被侵入者隨意停用;環境控制包括溫度、濕度、防塵等。 人事安全包括:員工的素質及敏感崗位的身份識別;雇員篩選過程;安全培訓和安全意識;安全監察等。 管理安全包括:控制軟件,防止外部攻擊;安全泄露事件調查;審計跟蹤;控制檢查的操作程序等。 媒體安全包括:存儲的信息保護;控制敏感信息的記錄、再生和銷毀過程;確保廢棄的紙張或含有敏感信息的磁性介質得到安全的銷毀;對媒體進行掃描,以便發現病毒。 輻射安全包括:控制射頻(radio frequency,RF)及其他電磁(electro magnetic,EM)輻射所造成的信息泄露。 1.1.4 信息安全 信息安全是指信息系統的系統資源與信息資源不受自然和人為有害因素的威脅和破壞,防止被竊取、竄改和非法操作。在信息的采集、存儲、處理、轉播和運用過程中,信息的機密性、完整性、可用性和共享性等能得到良好保護。信息安全傳輸是指在網絡上傳遞的信息沒有被非法泄露、更改、破壞,或是沒有被非法系統識別、控制,信息的機密性、完整性、可用性、可控性得到良好保護。 信息安全涉及信息存儲的安全(又稱信息狀態安全,即存儲保密)、信息傳輸的安全(又稱信息狀態轉移安全,即傳輸保密)和對網絡傳輸信息內容的審計三方面,也包括對用戶的鑒別和授權。為保證信息存儲的安全,必須保障數據庫安全和終端安全;為保障數據傳輸的安全,需采用數據傳輸加密技術、數據完整性鑒別技術;信息內容審計,則是實時對進出內部網絡的信息進行內容審計,以防止或追查可能的泄密行為。 1.1.5 電子商務安全 電子商務安全是指通過制定安全策略,并在安全策略的指導下構建一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行,滿足開展電子商務所需的機密性、認證性、完整性、可訪問性、防御性、不可否認性和合法性等安全性需求。認證性是指確認通信雙方身份的合法性;可訪問性確保系統、數據和服務只能由獲得授權的人員訪問;防御性是指能夠阻擋黑客和有害信息的進入;不可否認性是指防止通信或交易雙方對已進行的業務的否認;合法性是指保證各方的業務符合可適用的法律和法規。 密碼安全、計算機安全、網絡安全和信息安全是電子商務安全基礎。它們所采用的安全技術都是電子商務安全技術的重要組成部分。 電子商務安全包含相互關聯的兩個方面:一是面向技術的安全系統方法的研究與應用;二是社會人文環境的建設,包括法律、法規以及信息道德、倫理等網絡文化的構建。本書主要從技術層面討論電子商務的安全需求、安全服務和安全機制,并結合電子商務自身的屬性,探討電子商務安全認證系統的原理、設計、實施和應用。 1.2 電子商務安全威脅與防護措施 1.2.1 安全威脅 安全威脅是指某人、物、事件或概念對某一資源的機密性、完整性、可用性或合法使用所造成的危害。某種攻擊就是某種威脅的具體實現。 安全威脅可以被分類成故意的(如黑客滲透)和偶然的(如信息被發往錯誤的地址)。故意的威脅又可以分為被動威脅和主動威脅。被動威脅是指對信息只進行監聽(如搭線竊聽),而不對其進行修改的一類威脅,它所對應的攻擊為被動攻擊。主動威脅指對信息進行故意的修改(如改動某次金融會話過程中貨幣的數量)的一類威脅,它所對應的攻擊為主動攻擊。總體來說,被動攻擊比主動攻擊更容易實現。 按照安全威脅的存在形態,安全威脅可分為基本安全威脅、主要的可實現威脅、潛在威脅和網絡安全威脅。 1. 基本安全威脅 (1)信息泄露:指信息被泄露或透露給某個非授權的人或實體。這種威脅來自諸如竊聽、搭線,或其他更為復雜的信息探測攻擊。 (2)完整性破壞:指數據的一致性通過非授權的增刪、修改或破壞而受到損壞。 (3)服務拒絕:指對信息或其他資源的合法訪問被無條件的阻止。例如,攻擊者通過對系統進行非法的、根本無法實現的訪問嘗試而產生過量的負荷,從而導致系統的資源在合法用戶看來是不可使用的,或由于系統在物理及邏輯上受到破壞而中斷服務。 (4)非法使用:指某一資源被某個非授權的人或以某一非授權的方式使用,例如,侵入某個計算機系統的攻擊者會利用此系統侵入其他系統。 以上4種安全威脅又被稱為基本安全威脅。基本安全威脅中的某個威脅的實現是通過下述主要的可實現威脅中的某一種或幾種威脅而導致的。 2. 主要的可實現威脅 可實現威脅又可以分為滲入威脅和植入威脅。 1)滲入威脅 (1)假冒欺騙:指某個實體(人或者系統)偽裝成另外一個不同的實體。這是越過安全防線的*為通用的方法。某個非授權的實體欺騙某個防線的守衛者,使守衛者相信它是一個合法的實體,從而騙取合法實體的權利和特權。黑客大多采用假冒攻擊,采用源IP地址欺騙攻擊,入侵者偽裝成源自一臺內部主機的一個外部地點傳送信息包,這些信息包中包含有內部系統的源IP地址。 (2)旁路控制:為了獲得非授權的權利或特權,攻擊者會發掘系統的缺陷或安全性上的漏洞。例如,攻擊者通過各種手段發現原本應保密,但卻暴露出來的系統“特征”。利用這些“特征”可以精心設計一條繞過安全控制的路由,把信息包傳送到目的站點,并繞過防線侵入系統內部。 (3)身份攻擊:指用戶身份在通信時被非法截取。常用的攻擊方法有缺省的登錄界面攻擊法和誘入法。 (4)授權侵犯:指被授權以某一目的使用某一系統或資源的個人,將此權限用于其他非授權的目的,也被稱作內部攻擊。 2)植入威脅 (1)特洛伊木馬:指包含在合法程序里的未授權代碼。未授權代碼執行不為用戶所知的功能;或者已被未授權代碼更改過的合法程序,程序執行不為用戶所知的功能;或者是任何看起來像是執行用戶希望和需要的功能但實際上卻執行不為用戶所知的功能的程序(由于含有未授權代碼)。例如,一個具有合法目的的應用程序—文本編輯器,它具有一個暗藏的目的,就是將用戶的文件拷貝到一個隱藏的秘密文件中,這個文本編輯器就是特洛伊木馬。 (2)陷阱門:指在某個系統或其部件中設置“機關”,使其在提供特定的數據時,允許違反安全策略。例如,一個登錄處理子系統允許存在一個特別的用戶身份號,可以免除通常的口令檢測。 3. 潛在威脅 對安全威脅中任何一種基本安全威脅或可實現威脅進行分析,就可以發現某些特定的潛在威脅。而任何一種潛在威脅的出現都可能導致一些更基本的威脅的產生。例如,考察信息泄露這樣一種基本安全威脅,可以得出除主要可實現威脅以外的下述潛在威脅。 (1)竊聽:信息從被監視的通信過程中泄露出去。 (2)電磁/射頻截獲:信息從電子或機電設備所發出的無線頻率或其他輻射中被提取出來。 (3)人員疏忽:一個被授權的操作人員為了金錢和利益,或者由于粗心,將信息泄露給非授權方。 (4)業務流分析:非授權的實體通過對通信業務流模式進行觀察,而獲得秘密信息。 (5)媒體廢棄物:信息被從廢棄的磁性介質或打印的媒體中獲得。 4. 網絡安全威脅 在網絡環境中,除了上述安全威脅以外,其他的安全威脅還包括以下幾種。 (1)數據截收:這是一種常見的網絡威脅,指非法用戶截取通信網絡中的數據。例如,網絡間諜、黑客正是通過截取大量的信息包,進行分析解密,從而獲取信息或密碼。 (2)竄改數據:非法用戶改變信息的內容。即對數據進行替換、更改、插入、排序等非法操作。 (3)物理侵入:侵入方通過避開系統的物理控制設施,獲得對系統的訪問權。 (4)重放:出于非法目的的用戶將所截獲的某次合法通信數據進行拷貝,重新發送到網絡中。 (5)業務否認:是指通信中某一方,事后否認曾經參與某次通信活動的行為,不承認曾發送或接收信息的事實。 (6)資源耗盡:由于某一資源(如訪問接口)被故意超負荷的使用,使其無法響應其他用戶的服務請求,導致服務中斷。 (7)業務欺騙:某一非法系統(或系統部件)欺騙合法用戶(或系統),使它們自愿提供敏感信息。 (8)竊取:某一涉及安
書友推薦
- >
有舍有得是人生
- >
史學評論
- >
伯納黛特,你要去哪(2021新版)
- >
人文閱讀與收藏·良友文學叢書:一天的工作
- >
巴金-再思錄
- >
我從未如此眷戀人間
- >
李白與唐代文化
- >
企鵝口袋書系列·偉大的思想20:論自然選擇(英漢雙語)
本類暢銷
