第四章电子商务的安全
第一节
概述
1.计算机安全的定义、分类
计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。
安全专家通常把计算机安全分成三类,即保密、完整和即需。保密是指防止未授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟或拒绝服务。
2.安全策略的内容
安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。
安全策略一般包含以下内容:
(1)认证:谁想访问电子商务网站?
(2)访问控制:允许谁登录电子商务网站并访问它?
(3)保密:谁有权利查看特定的信息?
(4)数据完整性:允许谁修改数据,不允许谁修改数据?
(5)审计:在何时由何人导致了何事?
第二节
对版权和知识产权的保护
版权:是对表现的保护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。
知识产权:是思想的所有权和对思想的实际或虚拟表现的控制权。
第三节
保护客户机
1.对客户机的安全威胁有哪些?
(1)活动内容;
(2)Java、Java小应用程序和java script;
(3)Active X控件;
(4)图形文件、插件和电子邮件附件。
信息隐蔽:是指隐藏在另一片信息中的信息(如命令),其目的可能是善意的,也可能是恶意的。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式。
数字证书:是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份。另外,数字证书还有向网页或电子邮件附件原发送者发送加密信息的功能。
第四节
保护通讯信道的安全
1.通讯信道的安全威胁有哪些?
在互联网上传输的信息,从起始节点到目标节点之间的路径是随机选择的。此信息在到达最终目标之前会通过许多中间节点。在同一起始节点和目标节点之间发送信息时,每次所用的路径都是不同的,根本就无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。所以有了“电子邮件传递的安全威胁”问题。
对保密性的安全威胁,是指未经授权的信息泄露。
对完整性的安全威胁也叫主动搭线窃听。当未经授权方同意改变了信息流时就构成了对完整性的安全威胁。
对即需性的安全威胁也叫延迟安全威胁或拒绝安全威胁,其目的是破坏正常的计算机处理或完全拒绝处理。
加密:就是用基于数学算法的程序和保密的密钥对信息进行编码,生成难以理解的字符串。将这些文字(称为明文)转成密文(位的随机组合)的程序称作加密程序。
安全套接层(SSL)和安全超文本传输协议(S-HTTP)支持客户机和服务器对彼此在安全WWW会话过程中的加密和解密活动的管理。
SSL是支持两台计算机间的安全连接,而S-HTTP则是为安全地传输信息。SSL和S-HTTP都是透明地自动完成发出信息的加密和收到信息的解密工作。SSL处于Internet多层协议集的传输层,而S-HTTP是在最高层——应用层。
第五节
对服务器的安全威胁
1.防火墙的定义和分类
防火墙是在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立的保护层,防火墙具有以下特征:首先,由内到外和由外到内的所有访问都必须通过它。其次。只有本地安全策略所定义的合法访问才被允许通过它。而且防火墙本身无法被穿透。
分类:防火墙的种类包括包过滤、网关服务器和代理服务器。