发布时间 : 2024/7/8 13:40:11 星期一 文章《电子商务安全》教案更新完毕开始阅读b7819d32df80d4d8d15abe23482fb4daa48d1d50

第一章 课 时 教学目的 2学时 电子商务安全 教学方法 第二节 电子商务系统安全的构成 讲授、启发式 进 程 第2次课 1．掌握电子商务系统安全的构成； 2．掌握电子商务系统安全的实体安全和信息安全，了解运行安全。 重 点 难 点 实施步骤： 掌握电子商务系统安全的构成、信息安全。 信息安全 教学提示： 一、组织教学、课前提问（5ˊ） 二、教学引导（5ˊ） 三、进入本次课讲授内容（包括课堂练习）（85ˊ） 四、小结巩固（重申教学目的、重点、难点）（5ˊ） 讲授内容： 第二节 电子商务系统安全的构成 二、EC系统的安全构成 1．实体安全（即物理安全） 即保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。实体安全是EC安全的最基本保障，是整个安全系统不可缺少或忽视的组成部分。 A．实体安全主要内容 （1） 环境安全：主要是对EC系统所在的环境实施安全保护。如区域保护和灾难保护。 （2） 设备安全：对EC系统的设备进行安全保护，主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。 （3） 媒体安全：包括媒体数据的安全和媒体本身的安全。

媒体的安全：提供对媒体的安全保管。如防霉变。 媒体数据的安全：指提供对媒体数据的保护，实施对媒体数据的安全删除和媒体的安全销毁。如防止媒体数据被非法拷贝。 B．实体安全常见的不安全因素 （1） 自然灾害（比如地震、火灾、水灾等）、物理损坏（如硬盘损坏、设备使用寿命到期、外力破损等）、设备故障（如停电断电、电 磁干扰等）。 特点：突发性、自然性、非针对性 破坏性：对EC信息的完整性和可用性威胁最大 解决方法：采取各种防护措施、随时数据备份等。 （2） 电磁辐射（监听微机操作过程）、乘机而入（如合法用户进入安全进程之后半途离开）、痕迹泄露（如口令密钥等保管不善，被非法用户获得）等。 特点：隐蔽性、人为实施的故意性、信息的无意泄露性 破坏性：破坏EC信息的保密性 解决方法：采取辐射防护、屏幕口令、隐藏销毁等手段。 （3） 操作失误（如偶然删除文件、格式化硬盘、线路拆毁等）、意外疏漏（如系统掉电、“死机”等）。 特点：人为实施的无意性、非针对性 破坏性：破坏EC信息的完整性和可用性 解决方法：状态检测、报警确认、应急恢复等。 C．防止信息在空间上扩散的措施 （1） 对机房及重要信息存储、收发部门进行屏蔽处理 （2） 对本地网、局域网传输线路传导辐射的抑制。 （3） 对终端设备辐射的防范。 （4） 一般采取的措施是： ① 订购设备上昼选取低辐射产品； ② 采取主动式的干扰设备，用干扰机来破坏对应信息的窃

取。 2．运行安全 即为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。 主要由四个部分组成：风险分析、审计跟踪、备份与恢复、应急措施。 （1） 风险分析 对系统进行动态的分析、测试、跟踪并记录系统的运行，以发现系统运行期的安全漏洞；对系统进行静态分析，以发现系统潜在的威胁，并对系统的脆弱性做出分析报告。 （2） 审计跟踪 即记录和跟踪系统各种状态的变化，保存、维护和管理审计日志。如记录对系统故意入侵的行为。 （3） 备份与恢复 对系统设备和系统数据的备份和恢复。 （4） 应急措施 在紧急事件或安全事故发生时，提供保障EC系统继续运行或紧急恢复所需要的策略。 3．信息安全 即指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，也就是要确保信息的完整性、保密性、可用性和可控性。 主要由七部分组成： OS安全、DB安全、网络安全、病毒防护安全、访问控制安全、加密、鉴别 （1） 操作系统（OS）安全 即对EC系统的硬件和软件资源衽有效的控制，为能管理的资源提供相应的安全保护。 包括2个部分：安全的OS，OS安全部件

? 安全OS：指从系统设计，实现和使用等各个阶段都遵循的一套完整的安全策略的OS。 根据 “可信任计算机系统评估准则（TCSEC）”的要求，将计算机系统的安全性分为4个等级ABCD、8个级别。 D级：最低的安全保护等级，如DOS。 C级：是自主型保护，按安全的高低分为C1、C2 2个安全等级，如Linux居于C1级；UNIX；Windows NT居于C2级。 C1特点：用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和作息拥有什么样的访问权。 如：让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其它用户以读的权力。 C2特点：系统对发生的事件加以审计，并写入日志当中； 如：用户在什么时候开机，哪个用户在什么时候从哪里登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以推测出可能有人想强行闯入系统，审计可以记录下Administrator执行的活动，审计加上身份验证，就可以知道谁在执行这些命令。 B级：强制式保护，安全级别较高。如Unix、Security-enhanced Linux安全性达到B1级 A级：可验证保护，最高级别。 安全性高低级别：（由低到高的顺序） D→C1→C2→B1→B2→B3→A 其它的安全评价标准： ? 操作系统安全部件，增强现有OS的安全性 （2） 数据库安全 DB安全的涵义（包括两层） 第一层：指系统运行安全 第二层：系统作息安全 （3） 网络安全 指网络系统的硬件、软件及其系统中的data受到保护，不受偶然