电子商务安全基础课件.pptxVIP

网络安全认知 2.1 网络安全认知网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,服务不中断。网络安全从其本质上说是网络上的信息安全,它涉及的领域很广。 2.1.1 网络安全现状影响较大的网络攻击 1）1999年3月爆发的Melissa和2000年5月爆发的LoveLetter 2）在“9·11”恐怖袭击一个星期后出现的尼姆达(Nimda)蠕虫 3）2006年底爆发的“熊猫烧香”病毒 4）2014年，比特币交易站受到攻击，携程漏洞事件 5）2016年10月, 美国公共服务、社交平台、民众网络服务器等都遭到前所未有的严重攻击 2.1.1 网络安全现状随着互联网+的广泛应用,很多不安全不成熟技术的应用,使得信息泄露事件频频发生，网络安全仍然面临网络面临的安全问题越来越严峻着不少大问题。主要的安全威胁表现在以下几个方面： 1）更多网络攻击直接以经济利益为目的 2）拒绝服务攻击泛滥 3）垃圾邮件泛滥 4）恶意软件横行 5）对非PC设备的威胁增加 信息安全框架体系模型2.1.2 网络安全要素 网络安全主要涉及三个层次、四个层面网络安全涉及各个层面的问题2.1.2 网络安全要素 四个层面中所涉及的具体问题主要包括设备、系统、人员等2.1.2 网络安全要素 网络安全涉及的因素主要包括：机密性——主要防范技术是密码技术可控性——表示为保护机密性而进行访问控制可用性——主要实现手段：身份的识别、访问控制、业务流控制、路由选择控制、审计跟踪真实性——即保证数据的发送源头不被伪造，主要防范技术是校验与认证技术。完整性——即保证数据在传输、存储等过程中不被非法修改不可否认性 ——不可否认性就是建立有效的责任机制,防止实体否认其行为。实现不可否认性的主要手段有数字签名等方法2.1.2 网络安全要素 各要素与四个层面的关系2.2 网络安全策略及其制定原则2.2.1 网络安全策略网络安全区域是指属于某个组织的处理和通信资源之集。网络安全策略是指在某个安全区域内,用于所有与安全活动相关的一套规则。制定网络安全策略的目的就是决定一个组织机构怎样保护自己。一般来说,策略包括两个方面:总体策略和具体规则。 1）总体策略用于阐述公司安全政策的总体思路。 2）具体规则用于说明什么活动是被允许的,什么活动是被禁止的。2.2.1 网络安全策略 网络安全策略等级1)目标安全策略,即某个机构对所要保护的特定资源要达到的目的所进行的描述。(2)机构安全策略,即一套法律、法规和实际操作方法,用于规范某个机构如何来管理、保护和分配资源以达到安全策略的既定目标。(3)系统安全策略,描述的是如何将某个特定的信息系统付诸实现,以支持机构的安全策略要求。2.2.1 网络安全策略 影响网络安全策略的主要因素1)授权策略授权是一个安全策略的基本组成部分,是指赋予主体(用户、终端)对客体(数据)的支配权力,它等于规定了谁可以对什么做些什么2)访问控制策略访问控制策略迫使计算机系统和网络中自动执行授权。在目标安全策略描述中,访问控制策略主要是基于身份的策略；在机构安全策略中则以基于角色的策略描述；3)责任在系统安全策略中,访问控制策略为多级策略,即该策略是基于信息敏感性的等级以及工作人员许可证等级2.2.2 网络安全策略制定原则 网络安全设计原则 网络安全管理原则1) 最小特权2) 纵深防御3) 阻塞点4) 最薄弱链接5) 失效保护状态6) 普遍参与7) 防御多样化8) 简单化1) 适应性2) 可行性3) 动态性4) 简单性5) 系统性2.3 影响网络安全的因素 随着网络信息的共享应用日益深入,信息在公共通信网络上的存储、共享、传输可能面临的威胁也就日益增多,这些威胁给网络用户带来的损失也是巨大的。 安全威胁是某个人、物、事件或概念对某一资源的可用性、机密性、完整性、真实性或可用性所造成的危害。互联网中面临的威胁有很多种,但大致可以分为下面几类: 1）内部管理漏洞。信息系统内部缺乏健全的管理制度或制度执行不力,给内部工作人员违规和犯罪留下缝隙。 2）内部操作不当。系统管理员和安全管理员出现管理配置的操作失误。 3）外部攻击。来自外部或内部人员的恶意攻击和入侵,如黑客的攻击、计算机病毒和拒绝服务攻击等。2.3 影响网络安全的因素2.3 影响网络安全的因素2.3 影响网络安全的因素2.3.1 操作系统与程序漏洞威胁 操作系统是用户和硬件设备的中间层,在使用计算机之前都必须先安装操作系统,操作系统一般都自带一些应用程序或安装了一些其他厂商的软件工具。 漏洞也叫做脆弱性,是系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。常见的系统安全漏洞如下 1）sendmail 2