-
>
營(yíng)銷管理
-
>
茶葉里的全球貿(mào)易史(精裝)
-
>
近代華商股票市場(chǎng)制度與實(shí)踐(1872—1937)
-
>
麥肯錫圖表工作法
-
>
底層邏輯:看清這個(gè)世界的底牌
-
>
李誕脫口秀工作手冊(cè)
-
>
成事:馮唐品讀曾國藩嘉言鈔
電子商務(wù)安全 版權(quán)信息
- ISBN:9787030694294
- 條形碼:9787030694294 ; 978-7-03-069429-4
- 裝幀:一般膠版紙
- 冊(cè)數(shù):暫無
- 重量:暫無
- 所屬分類:>>
電子商務(wù)安全 內(nèi)容簡(jiǎn)介
本書從系統(tǒng)工程的視角來研究和討論電子商務(wù)的安全問題,從全局視角來介紹電子商務(wù)安全的原理、技術(shù)和實(shí)施方法;從安全威脅、安全風(fēng)險(xiǎn)的分析著手,挖掘電子商務(wù)的安全需求,選擇適用的安全技術(shù)來構(gòu)建電子商務(wù)安全防護(hù)體系,同時(shí)重視電子商務(wù)安全管理的作用;全面介紹了密碼技術(shù)、電子商務(wù)安全認(rèn)證體系、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、移動(dòng)商務(wù)安全、云安全、電子商務(wù)安全管理等內(nèi)容,并通過I/CA、電子支付等安全應(yīng)用案例,幫助讀者掌握基本的安全技術(shù)及其應(yīng)用方法。
電子商務(wù)安全 目錄
叢書序
前言
第1章 概論 1
1.1 安全性概念 1
1.1.1 密碼安全 1
1.1.2 計(jì)算機(jī)安全 1
1.1.3 網(wǎng)絡(luò)安全 2
1.1.4 信息安全 2
1.1.5 電子商務(wù)安全 3
1.2 電子商務(wù)安全威脅與防護(hù)措施 3
1.2.1 安全威脅 3
1.2.2 電子商務(wù)的安全風(fēng)險(xiǎn) 5
1.2.3 電子商務(wù)面臨的安全威脅 5
1.2.4 防護(hù)措施 6
1.3 安全策略 6
1.3.1 授權(quán) 7
1.3.2 訪問控制策略 7
1.3.3 責(zé)任 8
1.4 安全服務(wù) 8
1.4.1 電子商務(wù)的安全服務(wù) 8
1.4.2 安全服務(wù)與安全威脅的關(guān)系 9
1.4.3 安全服務(wù)與網(wǎng)絡(luò)層次間的關(guān)系 9
1.5 安全機(jī)制 10
1.5.1 電子商務(wù)的安全機(jī)制 10
1.5.2 安全服務(wù)與安全機(jī)制的關(guān)系 12
1.6 電子商務(wù)安全體系結(jié)構(gòu) 12
習(xí)題 13
第2章 電子商務(wù)密碼技術(shù) 15
2.1 密碼學(xué)概述 15
2.1.1 密碼學(xué)基本概念 15
2.1.2 密碼學(xué)發(fā)展歷程 16
2.1.3 密碼體制分類 17
2.1.4 密碼分析基礎(chǔ) 19
2.2 古典密碼算法 20
2.2.1 代替密碼 20
2.2.2 換位密碼 22
2.3 對(duì)稱密鑰算法 23
2.3.1 數(shù)據(jù)加密標(biāo)準(zhǔn) 23
2.3.2 三重 28
2.3.3 國際數(shù)據(jù)加密算法 29
2.3.4 高級(jí)加密標(biāo)準(zhǔn) 29
2.3.5 分組密碼工作模式 30
2.4 公開密鑰算法 30
2.4.1 RSA算法 31
2.4.2 橢圓曲線密碼體制 32
2.4.3 其他公開密鑰算法 32
2.5 密鑰管理 33
2.5.1 密鑰種類 33
2.5.2 密鑰的生成 34
2.5.3 對(duì)稱密鑰分發(fā) 35
2.5.4 密鑰協(xié)定 37
2.6 機(jī)密性服務(wù) 37
2.6.1 機(jī)密性措施 38
2.6.2 機(jī)密性機(jī)制 39
2.7 網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù) 40
2.7.1 鏈路加密 40
2.7.2 節(jié)點(diǎn)—節(jié)點(diǎn)加密 40
2.7.3 端—端加密 41
習(xí)題 42
第3章 數(shù)字證書 43
3.1 證書概述 43
3.1.1 證書的定義 43
3.1.2 證書的類型 43
3.2 證書的格式 44
3.2.1 證書的表示 44
3.2.2 證書的結(jié)構(gòu) 44
3.2.3 字段的語義和作用 46
3.3 密鑰和證書生命周期管理 48
3.3.1 初始化階段 48
3.3.2 頒發(fā)階段 49
3.3.3 取消階段 49
3.4 證書發(fā)行 50
3.4.1 證書申請(qǐng) 50
3.4.2 證書創(chuàng)建、密鑰和證書簽發(fā) 51
3.5 證書驗(yàn)證 52
3.5.1 拆封證書 52
3.5.2 證書鏈的驗(yàn)證 52
3.5.3 序列號(hào)驗(yàn)證 53
3.5.4 有效期驗(yàn)證 53
3.5.5 證書撤銷列表查詢 53
3.5.6 證書使用策略的驗(yàn)證 53
3.5.7 終端實(shí)體證書的確認(rèn) 53
3.6 證書撤銷 54
3.6.1 撤銷請(qǐng)求 54
3.6.2 證書撤銷列表 55
3.6.3 完全CRL 56
3.6.4 機(jī)構(gòu)撤銷列表 57
3.6.5 CRL分布點(diǎn) 57
3.6.6 重定向CRL 57
3.6.7 增量CRL 58
3.6.8 間接CRL 58
3.6.9 在線查詢機(jī)制 59
3.7 證書策略和認(rèn)證慣例聲明 59
3.7.1 證書策略 60
3.7.2 認(rèn)證慣例聲明 60
3.7.3 CP和CPS的關(guān)系 61
習(xí)題 61
第4章 電子商務(wù)認(rèn)證技術(shù) 62
4.1 認(rèn)證服務(wù) 62
4.1.1 認(rèn)證與認(rèn)證系統(tǒng) 62
4.1.2 認(rèn)證系統(tǒng)的分類 62
4.1.3 認(rèn)證系統(tǒng)的層次模型 63
4.2 哈希函數(shù) 63
4.2.1 哈希函數(shù)的分類 64
4.2.2 MD-5哈希算法 65
4.2.3 安全哈希算法 66
4.3 數(shù)字簽名 66
4.3.1 數(shù)字簽名的基本概念 66
4.3.2 RSA簽名體制 67
4.3.3 EIGamal簽名體制 68
4.3.4 數(shù)字簽名標(biāo)準(zhǔn) 69
4.3.5 盲簽名 69
4.3.6 雙聯(lián)簽名 69
4.3.7 SM2數(shù)字簽名 70
4.3.8 SM9數(shù)字簽名 70
4.4 時(shí)間戳 71
4.4.1 時(shí)間戳概念 71
4.4.2 時(shí)間戳服務(wù) 72
4.5 消息認(rèn)證 72
4.5.1 基于對(duì)稱密鑰密碼體制的消息認(rèn)證 73
4.5.2 基于公開密鑰密碼體制的消息認(rèn)證 74
4.5.3 完整性服務(wù) 74
4.6 身份認(rèn)證 76
4.6.1 身份認(rèn)證概念 76
4.6.2 口令認(rèn)證 77
4.6.3 基于個(gè)人特征的身份認(rèn)證技術(shù) 79
4.6.4 基于密鑰的認(rèn)證機(jī)制 79
4.6.5 零知識(shí)證明 80
4.6.6 身份認(rèn)證協(xié)議 81
4.6.7 認(rèn)證的密鑰交換協(xié)議 81
4.7 不可否認(rèn)服務(wù) 82
4.7.1 不可否認(rèn)服務(wù)的類型 83
4.7.2 可信賴的第三方 83
4.7.3 實(shí)現(xiàn)不可否認(rèn)服務(wù)的過程 84
4.7.4 源的不可否認(rèn)服務(wù)的實(shí)現(xiàn) 85
4.7.5 傳遞的不可否認(rèn)服務(wù)的實(shí)現(xiàn) 86
習(xí)題 88
第5章 PKI基礎(chǔ) 89
5.1 PKI概述 89
5.1.1 PKI定義 89
5.1.2 PKI組成 89
5.2 PKI的基本功能 90
5.2.1 PKI的核心服務(wù) 90
5.2.2 PKI的支撐服務(wù) 91
5.3 PKI標(biāo)準(zhǔn) 93
5.4 CA的體系結(jié)構(gòu) 94
5.4.1 CA認(rèn)證中心的功能 94
5.4.2 CA認(rèn)證中心的層次 94
5.5 信任模型 97
5.5.1 概念 97
5.5.2 嚴(yán)格層次結(jié)構(gòu)模型 98
5.5.3 分布式信任結(jié)構(gòu)模型 99
5.5.4 Web模型 99
5.5.5 以用戶為中心的信任模型 100
5.5.6 交叉認(rèn)證 100
習(xí)題 101
第6章 電子商務(wù)網(wǎng)絡(luò)安全 102
6.1 網(wǎng)絡(luò)安全協(xié)議 102
6.1.1 安全套接層協(xié)議 102
6.1.2 安全電子交易協(xié)議 105
6.1.3 SSL與SET的比較 107
6.1.4 IPsec 108
6.1.5 傳輸層安全 112
6.2 虛擬專用網(wǎng)技術(shù) 114
6.2.1 VPN概述 114
6.2.2 VPN的安全技術(shù) 116
6.2.3 VPN的隧道協(xié)議 116
6.2.4 IPsec VPN與SSL VPN 118
6.3 防火墻技術(shù) 120
6.3.1 防火墻概述 120
6.3.2 基本的防火墻技術(shù) 121
6.3.3 防火墻的類型 125
6.3.4 WEB應(yīng)用防火墻 126
6.4 入侵檢測(cè)與防護(hù) 131
6.4.1 入侵檢測(cè)系統(tǒng)概述 131
6.4.2 入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu) 132
6.4.3 入侵檢測(cè)系統(tǒng)的分類 134
6.4.4 入侵檢測(cè)技術(shù) 138
6.4.5 入侵防御系統(tǒng)IPS 143
6.4.6 統(tǒng)一威脅管理 144
習(xí)題 145
第7章 系統(tǒng)安全技術(shù) 147
7.1 操作系統(tǒng)安全技術(shù) 147
7.1.1 訪問控制技術(shù) 147
7.1.2 安全審計(jì)技術(shù) 150
7.1.3 漏洞掃描技術(shù) 152
7.1.4 系統(tǒng)加固技術(shù) 156
7.2 計(jì)算機(jī)病毒及防范技術(shù) 164
7.2.1 計(jì)算機(jī)病毒概述 164
7.2.2 計(jì)算機(jī)病毒特點(diǎn) 166
7.2.3 計(jì)算機(jī)病毒的傳播 166
7.2.4 計(jì)算機(jī)病毒的防范 167
7.3 Web安全技術(shù) 168
7.3.1 Web服務(wù)器安全 169
7.3.2 Web客戶端安全 170
7.3.3 Web傳輸協(xié)議安全 172
7.4 電子郵件安全 173
7.4.1 電子郵件的安全威脅 173
7.4.2 電子郵件的安全措施 174
7.4.3 電子郵件安全協(xié)議 175
7.4.4 Outlook Express安全特性 175
7.5 數(shù)據(jù)庫安全技術(shù) 179
7.5.1 數(shù)據(jù)庫加密技術(shù) 179
7.5.2 數(shù)據(jù)庫訪問控制技術(shù) 180
7.5.3 數(shù)據(jù)庫審計(jì) 182
7.5.4 數(shù)據(jù)脫敏技術(shù) 183
7.5.5 數(shù)據(jù)庫備份與恢復(fù) 186
習(xí)題 189
第8章 移動(dòng)網(wǎng)絡(luò)安全 190
8.1 移動(dòng)網(wǎng)絡(luò)安全概述 190
8.1.1 移動(dòng)網(wǎng)絡(luò)安全威脅 190
8.1.2 移動(dòng)網(wǎng)絡(luò)安全需求 191
8.2 移動(dòng)設(shè)備安全 191
8.2.1 移動(dòng)設(shè)備面臨的風(fēng)險(xiǎn) 192
8.2.2 主要的安全攻擊 192
8.2.3 安全防范對(duì)策與方法 193
8.3 移動(dòng)安全框架 195
8.3.1 藍(lán)牙安全框架 195
8.3.2 WiFi安全框架 199
8.4 WiFi安全解決方案 201
8.4.1 易被入侵 201
8.4.2 非法的AP 201
8.4.3 未經(jīng)授權(quán)使用服務(wù) 201
8.4.4 服務(wù)和性能的限制 202
8.4.5 地址欺騙和會(huì)話攔截 202
8.4.6 流量分析與流量偵聽 202
8.4.7 高級(jí)入侵 203
習(xí)題 203
第9章 云安全基礎(chǔ) 204
9.1 云安全風(fēng)險(xiǎn)分析 204
9.1.1 網(wǎng)絡(luò)虛擬化安全 204
9.1.2 主機(jī)虛擬化安全 204
9.1.3 虛擬化平臺(tái)安全 205
9.1.4 存儲(chǔ)虛擬化安全 205
9.2 云安全總體架構(gòu) 205
9.3 云平臺(tái)安全 205
9.3.1 物理與環(huán)境安全 205
9.3.2 操作系統(tǒng)安全 206
9.3.3 虛擬化平臺(tái)安全 207
9.3.4 分布式系統(tǒng)安全 208
9.3.5 賬號(hào)體系安全 208
9.3.6 容器安全 208
9.3.7 安全審計(jì) 209
9.4 云平臺(tái)網(wǎng)絡(luò)安全 209
9.4.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì) 209
9.4.2 基礎(chǔ)網(wǎng)絡(luò)安全 209
9.4.3 網(wǎng)絡(luò)設(shè)備安全 210
9.4.4 網(wǎng)絡(luò)邊界安全 210
9.4.5 流量安全監(jiān)控 210
9.5 云平臺(tái)應(yīng)用安全 211
9.6 數(shù)據(jù)安全 211
9.6.1 多副本冗余存儲(chǔ) 211
9.6.2 全棧加密 212
9.6.3 殘留數(shù)據(jù)清除 212
9.6.4 運(yùn)維數(shù)據(jù)安全 212
9.6.5 租戶隔離 212
9.6.6 數(shù)據(jù)傳輸加密 212
9.6.7 數(shù)據(jù)庫審計(jì) 212
9.6.8 數(shù)據(jù)脫敏 212
9.6.9 數(shù)據(jù)查詢安全 213
9.6.10 數(shù)據(jù)變更安全 213
9.6.11
電子商務(wù)安全 節(jié)選
第1章 概論 相對(duì)于傳統(tǒng)商務(wù)模式,電子商務(wù)由于其經(jīng)濟(jì)、便捷、不受時(shí)空限制等特性而更具優(yōu)勢(shì)。在Internet上開展電子商務(wù)的首要條件是保證商務(wù)過程各環(huán)節(jié)的安全性、可靠性和可用性,確保電子商務(wù)的安全,提高網(wǎng)民對(duì)網(wǎng)絡(luò)商務(wù)交易類應(yīng)用的信任度,促進(jìn)其發(fā)展。 1.1 安全性概念 在ISO安全框架文件中,“安全”被解釋為:一種使資產(chǎn)和資源遭受攻擊的可能性減少到*小的方法?梢,安全是相對(duì)的,并沒有絕對(duì)安全的網(wǎng)絡(luò)實(shí)體。 電子商務(wù)建立在Internet之上,電子商務(wù)安全基礎(chǔ)是Internet安全,它與密碼安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全、信息安全等密不可分。 1.1.1 密碼安全 信息安全是國家信息化建設(shè)的關(guān)鍵,對(duì)信息安全問題的重視和解決程度,將直接制約信息化進(jìn)程和發(fā)展。信息安全所要求的信息機(jī)密性、有效性、完整性和可用性,可以通過數(shù)據(jù)加密、完整性檢驗(yàn)、身份認(rèn)證和訪問控制等技術(shù)來解決。這些技術(shù)的核心是密碼技術(shù)。通信安全對(duì)從信源傳送到信宿的信息進(jìn)行安全保護(hù),密碼安全技術(shù)是通信安全*核心部分,通過在技術(shù)上提供強(qiáng)力的密碼系統(tǒng)及其正確的應(yīng)用來實(shí)現(xiàn)。 密碼具有特殊性,密碼安全關(guān)系到國家的安全和利益。密碼同時(shí)又是一種技術(shù)手段,為保護(hù)國家利益和市場(chǎng)經(jīng)濟(jì)領(lǐng)域中的各種商業(yè)活動(dòng)服務(wù)。我國對(duì)密碼采取既大力發(fā)展又嚴(yán)格管理的基本政策,實(shí)行“統(tǒng)一領(lǐng)導(dǎo)、集中管理、定點(diǎn)研制、?亟(jīng)營(yíng)、滿足使用”的發(fā)展和管理方針。全國從事金融商業(yè)的密碼機(jī)構(gòu)由國家密碼管理局統(tǒng)一領(lǐng)導(dǎo),國家密碼管理局商用密碼管理辦公室具體管理。研究、生產(chǎn)和經(jīng)銷密碼須經(jīng)國家密碼主管部門批準(zhǔn)。需要使用密碼技術(shù)手段保護(hù)信息安全的單位和部門,必須按照國家密碼管理規(guī)定,使用國家密碼管理局指定研制、生產(chǎn)的密碼,不得使用自行研制的密碼,也不得使用從國外引進(jìn)的密碼。 1.1.2 計(jì)算機(jī)安全 計(jì)算機(jī)安全的定義并不統(tǒng)一,常見的定義是指計(jì)算機(jī)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改和顯露,系統(tǒng)連續(xù)正常運(yùn)行。 “計(jì)算機(jī)安全”一詞的含義首先是信息的機(jī)密性,機(jī)密性指防止靜態(tài)信息被非授權(quán)訪問和動(dòng)態(tài)信息被截取。其次是信息的完整性,完整性是指信息在存儲(chǔ)或傳輸時(shí)不被非授權(quán)的機(jī)構(gòu)或個(gè)人修改、破壞,信息能保持一致性。另一個(gè)與計(jì)算機(jī)安全緊密相關(guān)的屬性是可用性,可用性是指合法用戶的合法請(qǐng)求能及時(shí)、準(zhǔn)確、安全得到服務(wù)或響應(yīng),而不被拒絕。 計(jì)算機(jī)安全包括物理安全和邏輯安全。物理安全是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。邏輯安全包括信息完整性、機(jī)密性和可用性。 1.1.3 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是指保證在任何兩個(gè)網(wǎng)絡(luò)實(shí)體之間的信息交流以及通信的安全可靠,滿足計(jì)算機(jī)網(wǎng)絡(luò)對(duì)信息安全的機(jī)密性、完整性、可用性、真實(shí)性和占有性的要求。 機(jī)密性、完整性、可用性的含義在1.1.2節(jié)“計(jì)算機(jī)安全”含義中已做介紹。真實(shí)性是指信息的來源是可信的,而且自信息生成之時(shí)就沒有被竄改過;蛘呔W(wǎng)絡(luò)實(shí)體所聲稱的身份和其實(shí)際身份是一致的。占有性是指存儲(chǔ)信息的主機(jī)、磁盤等信息載體被盜用,導(dǎo)致對(duì)信息占用權(quán)的喪失。保護(hù)信息占有性的方法有使用版權(quán)、專利權(quán)、商業(yè)秘密性,提供物理和邏輯的存取限制方法;維護(hù)和檢查有關(guān)盜竊文件的審計(jì)記錄、使用標(biāo)簽等。 網(wǎng)絡(luò)安全的研究?jī)?nèi)容從廣義上說,除包括計(jì)算機(jī)安全外,還包括物理安全、通信安全、管理安全、人事安全、媒體安全和輻射安全。非技術(shù)角度的研究?jī)?nèi)容還包括管理和法律兩個(gè)方面,它們綜合構(gòu)成了一個(gè)完整的安全保障體系。 物理安全包括:門鎖、門衛(wèi)以及其他物理訪問控制設(shè)施;敏感設(shè)備的防竄改能力,如紅外線報(bào)警裝置等不能被侵入者隨意停用;環(huán)境控制包括溫度、濕度、防塵等。 人事安全包括:?jiǎn)T工的素質(zhì)及敏感崗位的身份識(shí)別;雇員篩選過程;安全培訓(xùn)和安全意識(shí);安全監(jiān)察等。 管理安全包括:控制軟件,防止外部攻擊;安全泄露事件調(diào)查;審計(jì)跟蹤;控制檢查的操作程序等。 媒體安全包括:存儲(chǔ)的信息保護(hù);控制敏感信息的記錄、再生和銷毀過程;確保廢棄的紙張或含有敏感信息的磁性介質(zhì)得到安全的銷毀;對(duì)媒體進(jìn)行掃描,以便發(fā)現(xiàn)病毒。 輻射安全包括:控制射頻(radio frequency,RF)及其他電磁(electro magnetic,EM)輻射所造成的信息泄露。 1.1.4 信息安全 信息安全是指信息系統(tǒng)的系統(tǒng)資源與信息資源不受自然和人為有害因素的威脅和破壞,防止被竊取、竄改和非法操作。在信息的采集、存儲(chǔ)、處理、轉(zhuǎn)播和運(yùn)用過程中,信息的機(jī)密性、完整性、可用性和共享性等能得到良好保護(hù)。信息安全傳輸是指在網(wǎng)絡(luò)上傳遞的信息沒有被非法泄露、更改、破壞,或是沒有被非法系統(tǒng)識(shí)別、控制,信息的機(jī)密性、完整性、可用性、可控性得到良好保護(hù)。 信息安全涉及信息存儲(chǔ)的安全(又稱信息狀態(tài)安全,即存儲(chǔ)保密)、信息傳輸?shù)陌踩ㄓ址Q信息狀態(tài)轉(zhuǎn)移安全,即傳輸保密)和對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面,也包括對(duì)用戶的鑒別和授權(quán)。為保證信息存儲(chǔ)的安全,必須保障數(shù)據(jù)庫安全和終端安全;為保障數(shù)據(jù)傳輸?shù)陌踩,需采用?shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù);信息內(nèi)容審計(jì),則是實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì),以防止或追查可能的泄密行為。 1.1.5 電子商務(wù)安全 電子商務(wù)安全是指通過制定安全策略,并在安全策略的指導(dǎo)下構(gòu)建一個(gè)完整的綜合保障體系,來規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn),以保證網(wǎng)上交易的順利進(jìn)行,滿足開展電子商務(wù)所需的機(jī)密性、認(rèn)證性、完整性、可訪問性、防御性、不可否認(rèn)性和合法性等安全性需求。認(rèn)證性是指確認(rèn)通信雙方身份的合法性;可訪問性確保系統(tǒng)、數(shù)據(jù)和服務(wù)只能由獲得授權(quán)的人員訪問;防御性是指能夠阻擋黑客和有害信息的進(jìn)入;不可否認(rèn)性是指防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn);合法性是指保證各方的業(yè)務(wù)符合可適用的法律和法規(guī)。 密碼安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全和信息安全是電子商務(wù)安全基礎(chǔ)。它們所采用的安全技術(shù)都是電子商務(wù)安全技術(shù)的重要組成部分。 電子商務(wù)安全包含相互關(guān)聯(lián)的兩個(gè)方面:一是面向技術(shù)的安全系統(tǒng)方法的研究與應(yīng)用;二是社會(huì)人文環(huán)境的建設(shè),包括法律、法規(guī)以及信息道德、倫理等網(wǎng)絡(luò)文化的構(gòu)建。本書主要從技術(shù)層面討論電子商務(wù)的安全需求、安全服務(wù)和安全機(jī)制,并結(jié)合電子商務(wù)自身的屬性,探討電子商務(wù)安全認(rèn)證系統(tǒng)的原理、設(shè)計(jì)、實(shí)施和應(yīng)用。 1.2 電子商務(wù)安全威脅與防護(hù)措施 1.2.1 安全威脅 安全威脅是指某人、物、事件或概念對(duì)某一資源的機(jī)密性、完整性、可用性或合法使用所造成的危害。某種攻擊就是某種威脅的具體實(shí)現(xiàn)。 安全威脅可以被分類成故意的(如黑客滲透)和偶然的(如信息被發(fā)往錯(cuò)誤的地址)。故意的威脅又可以分為被動(dòng)威脅和主動(dòng)威脅。被動(dòng)威脅是指對(duì)信息只進(jìn)行監(jiān)聽(如搭線竊聽),而不對(duì)其進(jìn)行修改的一類威脅,它所對(duì)應(yīng)的攻擊為被動(dòng)攻擊。主動(dòng)威脅指對(duì)信息進(jìn)行故意的修改(如改動(dòng)某次金融會(huì)話過程中貨幣的數(shù)量)的一類威脅,它所對(duì)應(yīng)的攻擊為主動(dòng)攻擊。總體來說,被動(dòng)攻擊比主動(dòng)攻擊更容易實(shí)現(xiàn)。 按照安全威脅的存在形態(tài),安全威脅可分為基本安全威脅、主要的可實(shí)現(xiàn)威脅、潛在威脅和網(wǎng)絡(luò)安全威脅。 1. 基本安全威脅 (1)信息泄露:指信息被泄露或透露給某個(gè)非授權(quán)的人或?qū)嶓w。這種威脅來自諸如竊聽、搭線,或其他更為復(fù)雜的信息探測(cè)攻擊。 (2)完整性破壞:指數(shù)據(jù)的一致性通過非授權(quán)的增刪、修改或破壞而受到損壞。 (3)服務(wù)拒絕:指對(duì)信息或其他資源的合法訪問被無條件的阻止。例如,攻擊者通過對(duì)系統(tǒng)進(jìn)行非法的、根本無法實(shí)現(xiàn)的訪問嘗試而產(chǎn)生過量的負(fù)荷,從而導(dǎo)致系統(tǒng)的資源在合法用戶看來是不可使用的,或由于系統(tǒng)在物理及邏輯上受到破壞而中斷服務(wù)。 (4)非法使用:指某一資源被某個(gè)非授權(quán)的人或以某一非授權(quán)的方式使用,例如,侵入某個(gè)計(jì)算機(jī)系統(tǒng)的攻擊者會(huì)利用此系統(tǒng)侵入其他系統(tǒng)。 以上4種安全威脅又被稱為基本安全威脅;景踩{中的某個(gè)威脅的實(shí)現(xiàn)是通過下述主要的可實(shí)現(xiàn)威脅中的某一種或幾種威脅而導(dǎo)致的。 2. 主要的可實(shí)現(xiàn)威脅 可實(shí)現(xiàn)威脅又可以分為滲入威脅和植入威脅。 1)滲入威脅 (1)假冒欺騙:指某個(gè)實(shí)體(人或者系統(tǒng))偽裝成另外一個(gè)不同的實(shí)體。這是越過安全防線的*為通用的方法。某個(gè)非授權(quán)的實(shí)體欺騙某個(gè)防線的守衛(wèi)者,使守衛(wèi)者相信它是一個(gè)合法的實(shí)體,從而騙取合法實(shí)體的權(quán)利和特權(quán)。黑客大多采用假冒攻擊,采用源IP地址欺騙攻擊,入侵者偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送信息包,這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址。 (2)旁路控制:為了獲得非授權(quán)的權(quán)利或特權(quán),攻擊者會(huì)發(fā)掘系統(tǒng)的缺陷或安全性上的漏洞。例如,攻擊者通過各種手段發(fā)現(xiàn)原本應(yīng)保密,但卻暴露出來的系統(tǒng)“特征”。利用這些“特征”可以精心設(shè)計(jì)一條繞過安全控制的路由,把信息包傳送到目的站點(diǎn),并繞過防線侵入系統(tǒng)內(nèi)部。 (3)身份攻擊:指用戶身份在通信時(shí)被非法截取。常用的攻擊方法有缺省的登錄界面攻擊法和誘入法。 (4)授權(quán)侵犯:指被授權(quán)以某一目的使用某一系統(tǒng)或資源的個(gè)人,將此權(quán)限用于其他非授權(quán)的目的,也被稱作內(nèi)部攻擊。 2)植入威脅 (1)特洛伊木馬:指包含在合法程序里的未授權(quán)代碼。未授權(quán)代碼執(zhí)行不為用戶所知的功能;或者已被未授權(quán)代碼更改過的合法程序,程序執(zhí)行不為用戶所知的功能;或者是任何看起來像是執(zhí)行用戶希望和需要的功能但實(shí)際上卻執(zhí)行不為用戶所知的功能的程序(由于含有未授權(quán)代碼)。例如,一個(gè)具有合法目的的應(yīng)用程序—文本編輯器,它具有一個(gè)暗藏的目的,就是將用戶的文件拷貝到一個(gè)隱藏的秘密文件中,這個(gè)文本編輯器就是特洛伊木馬。 (2)陷阱門:指在某個(gè)系統(tǒng)或其部件中設(shè)置“機(jī)關(guān)”,使其在提供特定的數(shù)據(jù)時(shí),允許違反安全策略。例如,一個(gè)登錄處理子系統(tǒng)允許存在一個(gè)特別的用戶身份號(hào),可以免除通常的口令檢測(cè)。 3. 潛在威脅 對(duì)安全威脅中任何一種基本安全威脅或可實(shí)現(xiàn)威脅進(jìn)行分析,就可以發(fā)現(xiàn)某些特定的潛在威脅。而任何一種潛在威脅的出現(xiàn)都可能導(dǎo)致一些更基本的威脅的產(chǎn)生。例如,考察信息泄露這樣一種基本安全威脅,可以得出除主要可實(shí)現(xiàn)威脅以外的下述潛在威脅。 (1)竊聽:信息從被監(jiān)視的通信過程中泄露出去。 (2)電磁/射頻截獲:信息從電子或機(jī)電設(shè)備所發(fā)出的無線頻率或其他輻射中被提取出來。 (3)人員疏忽:一個(gè)被授權(quán)的操作人員為了金錢和利益,或者由于粗心,將信息泄露給非授權(quán)方。 (4)業(yè)務(wù)流分析:非授權(quán)的實(shí)體通過對(duì)通信業(yè)務(wù)流模式進(jìn)行觀察,而獲得秘密信息。 (5)媒體廢棄物:信息被從廢棄的磁性介質(zhì)或打印的媒體中獲得。 4. 網(wǎng)絡(luò)安全威脅 在網(wǎng)絡(luò)環(huán)境中,除了上述安全威脅以外,其他的安全威脅還包括以下幾種。 (1)數(shù)據(jù)截收:這是一種常見的網(wǎng)絡(luò)威脅,指非法用戶截取通信網(wǎng)絡(luò)中的數(shù)據(jù)。例如,網(wǎng)絡(luò)間諜、黑客正是通過截取大量的信息包,進(jìn)行分析解密,從而獲取信息或密碼。 (2)竄改數(shù)據(jù):非法用戶改變信息的內(nèi)容。即對(duì)數(shù)據(jù)進(jìn)行替換、更改、插入、排序等非法操作。 (3)物理侵入:侵入方通過避開系統(tǒng)的物理控制設(shè)施,獲得對(duì)系統(tǒng)的訪問權(quán)。 (4)重放:出于非法目的的用戶將所截獲的某次合法通信數(shù)據(jù)進(jìn)行拷貝,重新發(fā)送到網(wǎng)絡(luò)中。 (5)業(yè)務(wù)否認(rèn):是指通信中某一方,事后否認(rèn)曾經(jīng)參與某次通信活動(dòng)的行為,不承認(rèn)曾發(fā)送或接收信息的事實(shí)。 (6)資源耗盡:由于某一資源(如訪問接口)被故意超負(fù)荷的使用,使其無法響應(yīng)其他用戶的服務(wù)請(qǐng)求,導(dǎo)致服務(wù)中斷。 (7)業(yè)務(wù)欺騙:某一非法系統(tǒng)(或系統(tǒng)部件)欺騙合法用戶(或系統(tǒng)),使它們自愿提供敏感信息。 (8)竊。耗骋簧婕鞍
- >
煙與鏡
- >
隨園食單
- >
月亮虎
- >
小考拉的故事-套裝共3冊(cè)
- >
經(jīng)典常談
- >
伯納黛特,你要去哪(2021新版)
- >
自卑與超越
- >
名家?guī)阕x魯迅:朝花夕拾