北方交通大学：《电子商务的系统分析与设计》 第九章 电子商务系统安全子系统设计

电子商务系统的分析与设计 Analysis and Design of e-Commerce System 刘军董宝田 北方交通大学

电子商务系统的分析与设计 1 电子商务系统的分析与设计 Analysis and Design of e-Commerce System ◼刘军 董宝田 ◼北方交通大学

第九章电子商务系统安全子系统设计 91概述 92电子商务集统的安全要求 93sO的安全体条结构与电子南 务泉统的安全体糸 94电子商务安金子泉统的设计 95电子南务条统安金技术 http 电子商务系统的分析与设计 2

电子商务系统的分析与设计 2 第九章 电子商务系统安全子系统设计 ◼ 9.1 概述 ◼ 9.2 电子商务系统的安全要求 ◼ 9.3 ISO的安全体系结构与电子商 务系统的安全体系 ◼ 9.4 电子商务安全子系统的设计 ◼ 9.5 电子商务系统安全技术

案例:CDNW公司曼到的攻击 口 CDNoW是美国一家从事音像制品 电子零售的电子商务企业。2000 年1月,俄罗斯的一个叫做 MaⅫum的黑客从该公司的网站上 偷取了30万条信用卡记录,并向 该公司敲诈10万美元。当 CDNow 公司拒绝其要求时,黑客开始逐 条公布信用卡记录的内容。在这 种情况下,当肘美国运通公司 ( American Express)不得不暂 肘停止给该公司用户发行新卡 httpylw 电子商务系统的分析与设计 3

电子商务系统的分析与设计 3 案例: CDNow公司受到的攻击 ◼ CDNow是美国一家从事音像制品 电子零售的电子商务企业。2000 年1月，俄罗斯的一个叫做 Maxum的黑客从该公司的网站上 偷取了30万条信用卡记录，并向 该公司敲诈10万美元。当CDNow 公司拒绝其要求时，黑客开始逐 条公布信用卡记录的内容。在这 种情况下，当时美国运通公司 （American Express）不得不暂 时停止给该公司用户发行新卡

91概述 9.1.1电子商务基础设施的安全 电子商务基础设施的安全主要指:保障电子商务集 统的计算机设备、糸统软件平台、网络环境能够无 故障运行、不受外部入侵和破坏。这个层次,主要 针对电子商务的信息基础设施,与计算机、网络等 糸统环境的关糸更为密切,与企业的商务活动的联 条较少。 9.1.2电子交易的安全 电子交易的安全则是指通过一列的措施保证交易 过程的真实可靠、完整、不可否认和机密。与基础 设施妥全相此,电子交易安全更侧重于交易爷p 电子商务系统的分析与设计

电子商务系统的分析与设计 4 9.1 概述 ◼ 9.1.1 电子商务基础设施的安全 ⚫ 电子商务基础设施的安全主要指：保障电子商务系 统的计算机设备、系统软件平台、网络环境能够无 故障运行、不受外部入侵和破坏。这个层次，主要 针对电子商务的信息基础设施，与计算机、网络等 系统环境的关系更为密切，与企业的商务活动的联 系较少。 ◼ 9.1.2 电子交易的安全 ⚫ 电子交易的安全则是指通过一系列的措施保证交易 过程的真实可靠、完整、不可否认和机密。与基础 设施安全相比，电子交易安全更侧重于交易过程

91.1电子商务基础设施的安全 (1)计算机主机余统安全 双机备份、容错糸统、集群( cluster)结构 以及高性能糸统HA( High Availability) (2)数据年及存储设备安全 ●采用灾唯恢复技术、SAN、RAD技术等 (3)操作糸统安全 (4)网络环境安全 ●防止网络的非授权访问、减少网络故障b 电子商务系统的分析与设计 5

电子商务系统的分析与设计 5 9.1.1 电子商务基础设施的安全 ◼ （1）计算机主机系统安全 ⚫ 双机备份、容错系统、集群（cluster）结构 以及高性能系统HA（High Availability） ◼ （2）数据库及存储设备安全 ⚫ 采用灾难恢复技术、SAN、RAID技术等 ◼ （3）操作系统安全 ◼ （4）网络环境安全 ⚫ 防止网络的非授权访问、减少网络故障

912电于交易的安全 基础设施的安全是电子交易安全的基础 电子交易的安全是信息基础设施安全的 延仲 在设计电子商务糸统的安全糸统肘,应 当从基础设施和电子交易两个层次出发, 不能偏废 更多的威胁是来自电子商务企业的内部 考虑相关的安全戴略、安全管狸间题。 电子商务系统的分析与设计 6

电子商务系统的分析与设计 6 9.1.2 电子交易的安全 ◼ 基础设施的安全是电子交易安全的基础 ◼ 电子交易的安全是信息基础设施安全的 延伸 ◼ 在设计电子商务系统的安全系统时，应 当从基础设施和电子交易两个层次出发， 不能偏废 ◼ 更多的威胁是来自电子商务企业的内部, 考虑相关的安全策略、安全管理问题

92电于商务系统的安全要求 92.1电子商务的安全要求 ◎安全问题主要是对方是否是存在的、真实的 购买过程中一些隐私性的数据(倒如个人信 用卡密码等)是否存在泄漏的风险,企业的 服务器是否会受到攻击而瘫痪等等 922电子商务集统的安全威胁与防 范披术 1.电子商务条统的安全威胁 httpylw 2.电子商务条统的安全防范技术验 电子商务系统的分析与设计 7

电子商务系统的分析与设计 7 9.2 电子商务系统的安全要求 ◼ 9.2.1 电子商务的安全要求 ⚫ 安全问题主要是对方是否是存在的、真实的， 购买过程中一些隐私性的数据（例如个人信 用卡密码等）是否存在泄漏的风险，企业的 服务器是否会受到攻击而瘫痪等等 ◼ 9.2.2 电子商务系统的安全威胁与防 范技术 ⚫ 1. 电子商务系统的安全威胁 ⚫ 2．电子商务系统的安全防范技术

92.1电子务的安全要求 1.交易的真实性 2.交易的保密性 3.交易的完整性 4.不可抵赖性 http 电子商务系统的分析与设计 8

电子商务系统的分析与设计 8 9.2.1 电子商务的安全要求 ◼ 1.交易的真实性 ◼ 2.交易的保密性 ◼ 3.交易的完整性 ◼ 4.不可抵赖性

92.1电子务的安全要求 Web svr 客户端 数据库 JSP Internet EJB等 应用 认证 隐私/完整性 隐私/完整性 认证权/审查 防抵赖 加密、电了信封等 电子认证、加密、电子 签字等 电子签字、电子证章等 h 图9-1:电子商务系统的一般安全问题及技术对策 电子商务系统的分析与设计 9

电子商务系统的分析与设计 9 9.2.1 电子商务的安全要求 Internet Web SVR CGI、 JSP、 EJB等 应用 数据库 客户端 隐私/完整性 认证/授权/审查 认证 隐私/完整性 防抵赖 加密、电子信封等 电子签字、电子证章等 电子认证、加密、电子 签字等 图9-1：电子商务系统的一般安全问题及技术对策

要92电子而务系纸的安全威胁与 防范技术 1.电子商务条统的安全威胁 ●(1)计算机网络的安全威胁 1)针对计算机统网络层的攻击和入侵 2)针对计算机统层的攻击和入侵 口3)针对计算机無统数据年层的攻击和入侵 4)针对计算机糸统应用层的攻击和入侵 2)商务交易的安全威胁 1)信息窃取 2)信息篡改 口3)身份假冒 4)交易的否认 httpylw 电子商务系统的分析与设计 10

电子商务系统的分析与设计 10 9.2.2 电子商务系统的安全威胁与 防范技术 ◼ 1. 电子商务系统的安全威胁 ⚫ （1）计算机网络的安全威胁 ◼ 1）针对计算机系统网络层的攻击和入侵 ◼ 2）针对计算机系统层的攻击和入侵 ◼ 3) 针对计算机系统数据库层的攻击和入侵 ◼ 4) 针对计算机系统应用层的攻击和入侵 ⚫ （2） 商务交易的安全威胁 ◼ 1）信息窃取 2）信息篡改 ◼ 3）身份假冒 4）交易的否认