Download
1 / 97
970 likes | 1.06k Views
电子商务安全. 计算机网络安全基础. 电子商务安全. 课程说明 基本要求 教学方式 作业及联系方式 基本内容 专题讨论 信息系统 电子商务 安全基础. 课程说明. 本课程是电子商务的技术课程。它涵盖了电子商务安全需求的类型、技术、应用和发展趋势等各个环节的内容。由于条件的限制,对各个环节的实验将安排在课外进行。 电子商务信息安全是一个新学科,本身尚处于发展和完善过程之中。有些内容随时间的推移会有所变化。因此,课程内容与参考教材的叙述不一定一致。. 课程目的和要求. 1 、目的:
E N D
电子商务安全 计算机网络安全基础
电子商务安全 课程说明 基本要求 教学方式 作业及联系方式 基本内容 专题讨论 信息系统 电子商务 安全基础
课程说明 • 本课程是电子商务的技术课程。它涵盖了电子商务安全需求的类型、技术、应用和发展趋势等各个环节的内容。由于条件的限制,对各个环节的实验将安排在课外进行。 • 电子商务信息安全是一个新学科,本身尚处于发展和完善过程之中。有些内容随时间的推移会有所变化。因此,课程内容与参考教材的叙述不一定一致。
课程目的和要求 1、目的: 本课程是对外经济贸易大学信息学院开设,面向本专业的必修课,目的是为培养学生了解电子商务中信息安全技术的基本知识。 2、要求: • 掌握信息安全技术及应用基础知识。 • 充分认识电子商务中安全的重要性。 • 充分理解、掌握各种信息安全技术的基本概念和适用领域。 • 能使用学习的信息安全知识对信息系统进行基本的安全分析和设计。
教学方式 • 课堂讲授为主,自学为辅。 • 鼓励在课程内容的框架内,按照自己的兴趣查阅资料。 • 按照课程内容和兴趣组织专题讨论。 • 成绩评价:考勤+实验报告+期末考试 • 比重:考勤10%,实验30%,期末60%
参考书 • 密码编码学与网络安全——原理与实践 • William Stallings 著,电子工业出版社 • 计算机网络安全技术教程 • 谢冬青 等 编著,机械工业出版社
基础知识 • 计算机网络 • 操作系统 • 程序设计(Java)
作业及联系方法 1、课后的实验认真完成并提交到tas平台。 2、平时有问题可发到指定的邮箱。
作业及联系方法 黄浩 hvictory@126.com
电子商务安全 课程说明 基本要求 教学方式 作业及联系方式 基本内容 专题讨论 信息系统 电子商务 安全基础
基本内容 • 第一章 电子商务安全基础 • 课时:2学时 • 内容: • 信息安全基本概念; • 信息系统基本概念; • 电子商务概述; • 信息安全基础;
基本内容 • 第二章 密码技术 • 课时:8学时 • 内容: • 传统加密技术; • 对称密码技术; • 非对称密码技术; • 密钥管理; • 消息认证; • 数字签名;
基本内容 • 第三章 数字水印技术 • 课时:2学时 • 内容: • 信息隐藏技术原理; • 盲签名技术; • 隐匿通道技术原理; • 数字版权保护技术;
基本内容 • 第四章 访问控制 • 课时:2学时 • 内容: • 访问控制的基本概念; • 访问控制的结构; • 访问控制的基本策略; • 访问控制的应用;
基本内容 • 第五章 防火墙 • 课时:2学时 • 内容: • 防火墙的基本概念和结构; • 堡垒主机的; • 包过滤技术; • 代理服务技术; • 防火墙实例分析;
基本内容 • 第六章 入侵检测 • 课时:2学时 • 内容: • 入侵检测的相关概念; • 入侵检测技术的分类; • 基于主机的入侵检测技术; • 基于网络的入侵检测技术; • 混合型的入侵检测技术;
基本内容 • 第七章 网络攻防 • 课时:2学时 • 内容: • 网络攻击案例; • 网络攻击的一般过程; • 端口扫描; • 远程控制与木马原理; • 拒绝服务攻击; • 网络监听;
基本内容 • 第八章 PKI CA • 课时:4学时 • 内容: • PKI的基本概念和内容; • PKI的理论基础; • PKI的体系和功能; • CA的基本概念和建设原则; • CA的系统目标和系统功能; • CA的系统结构; • CA的安全体系; • 证书的运作声明;
基本内容 • 第九章IPSec与VPN • 课时:2学时 • 内容: • IP安全综述; • IPSec体协结构; • 封装安全载荷(ESP); • 验证头(AH); • Internet密钥交换; • 利用IPSec实现VPN; • IPSec的未来;
基本内容 • 第十章SSL • 课时:2学时 • 内容: • SSL协议的工作原理; • SSL记录层协议; • SSL握手协议; • SSL协议的安全性分析; • SSL协议的应用分析;
基本内容 • 第十一章SET • 课时:2学时 • 内容: • SET协议综述; • SET协议的结构; • SET协议的扩展; • SET实际应用中的工作流程; • SET应用实例分析;
基本内容 • 第十二章PGP • 课时:2学时 • 内容: • 电子邮件安全综述; • PGP安全算法; • PGP的信息格式; • PGP的认证格式; • PGP的信任管理;
专题讨论 • 数字水印技术 • 访问控制 • 防火墙技术 • 入侵检测 • PKI/CA • IPSec与VPN • SET协议 • SSL协议 • PGP协议 • 移动通信安全 • 网络攻防
实验要求 • 总共10课时,3次实验,综合型4学时的实验选做两个,2学时的实验选做一个,每次实验内容由小组自行调整,但必须在规定的10课时内完成必做的实验项目。
实验要求 • 网络扫描与信息收集(2学时) • 网络监听(2学时) • 口令攻击(2学时) • 木马攻击(2学时) • 拒绝服务攻击(4学时) • DES加解密算法(4学时) • 数据加密与鉴别(4学时) • 数字证书服务及加密认证(2学时) • 防火墙技术(2学时) • 网络安全通信(4学时) • PGP加密试验(2学时)
电子商务安全 课程说明 基本要求 教学方式 作业及联系方式 基本内容 专题讨论 信息系统 电子商务 安全基础
系统 • 系统(system)一词最早出现于古希腊语中,其中的“sys”有“共同”和 “给以位置”的含义,即是指事物中的共性部分和每一事物应占据的位置。 • 系统论认为系统是由若干个相互区别、相互联系、相互作用的要素组成的具有整体功能和综合行为的统一整体。
系统 • 系统必须由两个或两个以上的要素组成,要素是系统的基本单位,是系统存在的基础和载体。 • 要素与要素之间存在有机联系,使得系统的内部和外部都表现出一定秩序性。 • 任何系统都有特定的功能,并且这种功能是单个要素所不具备的新功能。
系统 系统的分类 • 简单系统(simple system)是指那些只有很少的组成要素,且要素之间的关系或相互作用非常明了的系统。 • 复杂系统(complex system)则是指组成要素众多,且要素之间的关系及其相互作用异常复杂的系统 。
系统 • 开放系统(open system)是指与环境之间存在着相互作用的系统,即在系统边界上存在输入和输出的流动 • 封闭系统(closed system)是指与环境之间不存在相互作用的系统
系统 • 静态系统(stable system)是指环境的变化不会引起系统内部的变化,或在系统内部只起很小的变化的系统。 • 动态系统(dynamic system)则是指由于环境的变化而发生迅速、不断变化的系统。
系统 • 自适应系统(adaptive system)能够对环境的不断变化作出响应或应答。它能够监测环境的变化,还能够在响应环境变化的过程中通过改变自身或改变环境来经受住变化。 • 非自适应系统(nonadaptive system)是指不会随着环境的变化而变化的系统。
信息处理器 信宿 信源 反馈 系统 • 闭环系统(closed-loop system)是指其内部存在反馈结构的系统,这种系统在执行决策过程中,不断地接收外部信息,并不断地传递给决策者,决策者则据此不断地调整决策。
信源 信息处理器 信宿 系统 • 开环系统(open-loop system)是指在系统内部不存在反馈结构的系统,这种系统在执行一项决策的过程中不接收外部信息,因而也不能根据外部信息的变化情况来改变决策。
系统 • 物理系统(physical system)是指由各种各样的实物所构建起来的系统。 • 概念系统(conceptual system)是指人类在认识自然、改造自然和战胜自然的过程中所积累起来,并经过系统化的组织而形成的知识和经验 。
系统 • 黑色系统(black system)是指人类对其内部结构完全不了解的系统。 • 白色系统(white system)是指人类对其内部结构已经完全了解的系统。 • 灰色系统(gray system)是介于这两种系统之间的一种系统。
信息系统 信息系统的含义与功能 • 信息系统是人员、地点、事件、业务流程以及相关的硬件和软件的集合。 • 信息系统功能是对信息进行收集、传输、处理、存储、使用和维护,支持依赖信息的决策、管理、协调和控制。
信息系统 信息的特征: • 共享性:能被多人同时使用,与物质资源不同。 • 准确性:客观反映现实世界。 • 时效性:在信息的生命周期内信息是有效的。 • 可存储性:信息的内容丰富,存储方式要多样化,需要安全、可靠的存储。 • 可传输性:能借用各种载体传播。 • 有序性:按照时间顺序关联,可供分析、预测使用。 • 可再生性:信息经过一系列的分析技术、挖掘技术处理后能得到更有价值的信息。 • 适用性:信息的利用价值会因人、因时、因地、因事而不同。
信息系统 信息使用的发展三个阶段 • 提高效率阶段:它与数据处理(DP)有密切的联系,人们运用信息技术是提高工作效率,即实现手工作业的机械化,目的是节省人力。 • 及时转化阶段,利用信息完善管理控制(MIS)。随着信息技术运用的扩展和工作效率的提高,人们认识到管理的艺术在于驾驭信息,而信息的价值只有及时转化才能实现。 • 寻找机会阶段,既然管理控制能从信息利用中获益,那么信息也可为管理决策提供支持(DSS)。
信息系统 • 事务处理系统:主要是执行例行的日常办公事务,文字处理、报表处理、档案资料管理、数据采集等。 • 办公自动化系统:目的是提高办公室工作人员的工作效率。 • 管理信息系统:与数据处理系统和事务处理系统的主要区别是能够提供分析、计划和辅助决策功能。 • 决策支持系统:解决半结构化或非结构化的决策问题,仅仅是辅助决策,用以改进决策质量,而不是提高效率。 • 高层支持系统:主要是以决策者为导向,而不是以问题为导向,并且决策问题是不断变化的,所涉及的范围更广泛,影响更深远。 • 企业间信息系统:一般是生产链上的企业之间建立的一种跨企业信息系统。
信息系统 • 建立基于计算机的信息系统是为了实现资源共享,但共享有范围限制,只有相互合作的用户或同一系统中不同层次的用户才能共享。 • 信息系统安全与保密是一个问题的两个方面 • 系统安全是指对人身的安全和系统本身承受自然灾害、人为破坏、操作员失误及系统故障后对信息系统的正确性、完整性、可用性的考验。 • 系统保密则是对系统中信息资源的存取、修改、扩散及使用权的控制 。
信息系统 不安全因素 • 自然因素 • 自然因素主要是指人力不可抗拒力,包括地震、水灾、风灾、火灾等自然灾害。 • 自然因素能危害机房设备、存贮介质、通信线路等。 • 自然因素只可能预防,却不可能避免。
信息系统 不安全因素 • 技术因素是指物理因素、软件和数据技术上的弱点,给犯罪分子有可乘之机,或是因技术因素造成重大事故,给系统带来巨大损失。 • 物理因素包括机房供电、空调、防震、计算机主系统及信道的稳定性和可靠性、数据库介质的保管和借阅使用。 • 软件、数据因素是资源共享的核心内容,既要保证相关用户能共享信息资源,又要防止犯罪分子窃取而失密。
信息系统 人为因素,可分为两种情况 • 对硬件和外部设备进行破坏,具体方式有炸毁、枪击、放火、破坏计算机中心、计算机子系统,捣毁通信设备等。 • 利用计算机系统本身进行犯罪,如非法盗用计算机系统的数据,出售国家安全机密、商业机密、商业信息,非法复印、拷贝各种程序软件等 。
信息系统 信息系统安全与保密对策 • 加强安全技术的理论和应用研究 • 树立安全保密观念 • 加强工作人员、各级领导的安全保密意识 • 改变计算机只会产生正效应的宣传 • 加强计算机安全保密知识的普及工作
信息系统 信息系统安全与保密对策 • 加强计算机应用方面的立法,建立和完善安 全管理机构、制订安全管理制度 • 美国自1965年以来制定了一系列法规,以保证信息系统的安全 • 瑞典政府在1973年就颁布了计算机和数据保护法,并成立了数据监察局 • 全世界已有30多个国定制定了信息系统安全方面的法规 • 我国公安部也成立了计算机监察局,并已制定了不少相关的法规 • 建立科学的信息系统管理制度
电子商务安全 课程说明 基本要求 教学方式 作业及联系方式 基本内容 专题讨论 信息系统 电子商务 安全基础
电子商务 电子商务概念 • 电子商务(Electronic Commerce)是以互联网为媒介、以商品交易双方为主体、以银行电子支付与结算为手段的全新商务模式。 • Internet + IT + Business
电子商务 电子商务三要素 • 信息流,社会信息化环境体系 • 物 流,物流配送服务体系 • 资金流,银行电子支付服务体系 电子商务应用 • CRM(客户关系管理) • SCM(供应链管理) • OPS(企业内部管理) • e-commerce(电子商贸)
电子商务 四个重要方面 • 网络(基础) • 安全(保障) • 软件(灵魂) • 规划(关键) 特定行业解决方案 商务智能
