《电子商务安全》教案.docx

资源描述

《电子商务安全》教案.docx

《《电子商务安全》教案.docx》由会员分享，可在线阅读，更多相关《《电子商务安全》教案.docx（60页珍藏版）》请在冰豆网上搜索。

《电子商务安全》教案.docx

《电子商务安全》教案

（此文档为word格式，下载后您可任意编辑修改！

）

《电子商务安全》教案

工商管理学院

（电子商务专业）

任课教师：

授课班级：

课程学分：

总学时数：

周学时数：

上课周次：

教学进度计划

章节

计划课时

教学手段

教学环境

第一章

共2节

CAI

课堂教学

第二章

共2节

CAI

课堂教学

第三章

共4节

CAI

课堂教学

第四章

共3节

CAI

课堂教学

第五章

共1节

CAI

课堂教学

第六章

共4节

CAI

课堂教学

总计

第一章电子商务安全导论……………………………………

第二章电子商务安全管理……………………………………

第三章信息安全技术…………………………………………

第四章数字证书………………………………………………

第五章公钥基础设施PKI……………………………………

第六章Internet安全…………………………………………

第一章

电子商务安全

第一节电子商务面临安全问题

第二节电子商务系统安全构成

课时

2学时

教学方法

讲授、启发式

进程

第1次课

教学目的

1．理解电子商务面临的安全问题

2．掌握电子商务系统的安全需求

重点

电子商务系统的安全需求

难点

电子商务系统的安全需求

实施步骤：

一、组织教学、熟悉学生情况（5ˊ）

二、课程简介、前期知识储备要求（10ˊ）

三、进入本次课讲授内容（包括课堂练习）（80ˊ）

四、小结巩固（重申教学目的、重点、难点）（5ˊ）

讲授内容：

第一章电子商务安全导论

第一节电子商务面临的安全问题

一、安全问题的提出

引入当前的最新案例

二、电子商务的安全问题

1．信息的安全问题

主要来自以下几个方面：

（1）冒名偷窃：

hacker为了获得一些商业机密资源和信息，通常采用源IP地址欺骗攻击。

（2）篡改数据：

攻击者XX进入EC系统，使用非法手段删除、修改、重发某些重要信息，破坏数据的完整性，损害他人利益。

例：

hacker在截获某些信息（如从银行转帐的信息）后，重复向银行服务器发出这条信息，这样将导致银行的经济遭受损失，实现自己的非法目的。

（3）信息丢失：

三种情况下可能丢失信息，一是由于线路问题造成信息丢失，如电源断电、通信线路断开等；二是安全措施不录导致丢失数据信息，如信息在传递过程中未加密，被hacker修改、删除了；三是不同的操作平台上转换操作从而丢失信息。

（4）信息传递出问题：

信息在传递的过程中，可能由于线路质量较差，水灾、火灾等问题而出现问题，或者被hacker搭线窃听致使重要数据泄露。

2．信用的安全问题

（1）来自买方的信用安全问题

消费者使用信用卡恶意透支或提交订单后不付款、提供虚假订单。

（2）来自卖方的信用安全问题

不能按质、按量、按时送寄消费者购买的货物，或者生成虚假的订单，将虚假的信息输入系统。

（3）双方都存在抵赖的情况

当交易一方发现交易行为对自己不利时，否认电子交易行为。

例：

某人以12元股购买1000股后，行情发生变化，每股降到10元，于是该股民就有可能否认以前的购买行为。

3．安全的管理问题

交易过程中的管理、人员管理

如：

交易过程中，要监督买方按时付款、卖方按时提供符合合同要求的货物。

在人员管理方面，主要是工作人员职业道德不高，或是离职人员在系统中没有及时清除。

4．安全的法律保障问题

主要涉及的法律有：

CA中心的法律、保护个人隐私、个人秘密的法律、电子合同法、EC的消费者权益保护法、网络知识产权保护法

第二节电子商务系统安全的构成

一、EC的安全需求

1．有效性、真实性

即对信息、实体的有效性、真实性进行鉴别。

2．机密性

即能保证信息不被泄露给非授权的人实体。

3．数据的完整性

即既要保证数据的一致性，又要防止数据被非法授权建立、修改和破坏。

4．可靠性、不可否认性和可控性

（1）可靠性：

即能保证合法用户对信息和资源的使用不会被不正当地拒绝。

（2）不可否认性：

即能建立有效的责任机制，防止实体否认其行为。

（3）可控性：

即能控制使用资源的人实体的使用方式。

5．可审查性

教学提示：

【课程介绍、课程地位、总体概论】

【以日常上网遇到的安全问题及互联网上安全问题实例引入】

小结巩固

一、电子商务安全问题的提出

二、电子商务存在的安全问题

三、电子商务的安全需求

课堂练习

重点概念：

信息的安全、信用的安全、安全需求

课后作业

思考：

举例说明什么是信息安全？

参考资料

教材1、2章等相关章节；

“互联网”及期刊杂志的相关内容。

第一章

电子商务安全

第二节电子商务系统安全的构成

课时

2学时

教学方法

讲授、启发式

进程

第2次课

教学目的

1．掌握电子商务系统安全的构成；

2．掌握电子商务系统安全的实体安全和信息安全，了解运行安全。

重点

掌握电子商务系统安全的构成、信息安全。

难点

信息安全

实施步骤：

一、组织教学、课前提问（5ˊ）

二、教学引导（5ˊ）

三、进入本次课讲授内容（包括课堂练习）（85ˊ）

四、小结巩固（重申教学目的、重点、难点）（5ˊ）

讲授内容：

第二节电子商务系统安全的构成

二、EC系统的安全构成

1．实体安全（即物理安全）

即保护计算机设备、设施及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。

实体安全是EC安全的最基本保障，是整个安全系统不可缺少或忽视的组成部分。

A．实体安全主要内容

（1）环境安全：

主要是对EC系统所在的环境实施安全保护。

如区域保护和灾难保护。

（2）设备安全：

对EC系统的设备进行安全保护，主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。

（3）媒体安全：

包括媒体数据的安全和媒体本身的安全。

媒体的安全：

提供对媒体的安全保管。

如防霉变。

媒体数据的安全：

指提供对媒体数据的保护，实施对媒体数据的安全删除和媒体的安全销毁。

如防止媒体数据被非法拷贝。

B．实体安全常见的不安全因素

（1）自然灾害（比如地震、火灾、水灾等）、物理损坏（如硬盘损坏、设备使用寿命到期、外力破损等）、设备故障（如停电断电、电

磁干扰等）。

特点：

突发性、自然性、非针对性

破坏性：

对EC信息的完整性和可用性威胁最大

解决方法：

采取各种防护措施、随时数据备份等。

（2）电磁辐射（监听微机操作过程）、乘机而入（如合法用户进入安全进程之后半途离开）、痕迹泄露（如口令密钥等保管不善，被非法用户获得）等。

特点：

隐蔽性、人为实施的故意性、信息的无意泄露性

破坏性：

破坏EC信息的保密性

解决方法：

采取辐射防护、屏幕口令、隐藏销毁等手段。

（3）操作失误（如偶然删除文件、格式化硬盘、线路拆毁等）、意外疏漏（如系统掉电、“死机”等）。

特点：

人为实施的无意性、非针对性

破坏性：

破坏EC信息的完整性和可用性

解决方法：

状态检测、报警确认、应急恢复等。

C．防止信息在空间上扩散的措施

（1）对机房及重要信息存储、收发部门进行屏蔽处理

（2）对本地网、局域网传输线路传导辐射的抑制。

（3）对终端设备辐射的防范。

（4）一般采取的措施是：

①订购设备上昼选取低辐射产品；

②采取主动式的干扰设备，用干扰机来破坏对应信息的窃取。

2．运行安全

即为保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。

主要由四个部分组成：

风险分析、审计跟踪、备份与恢复、应急措施。

（1）风险分析

对系统进行动态的分析、测试、跟踪并记录系统的运行，以发现系统运行期的安全漏洞；对系统进行静态分析，以发现系统潜在的威胁，并对系统的脆弱性做出分析报告。

（2）审计跟踪

即记录和跟踪系统各种状态的变化，保存、维护和管理审计日志。

如记录对系统故意入侵的行为。

（3）备份与恢复

对系统设备和系统数据的备份和恢复。

（4）应急措施

在紧急事件或安全事故发生时，提供保障EC系统继续运行或紧急恢复所需要的策略。

3．信息安全

即指防止信息被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，也就是要确保信息的完整性、保密性、可用性和可控性。

主要由七部分组成：

OS安全、DB安全、网络安全、病毒防护安全、访问控制安全、加密、鉴别

（1）操作系统（OS）安全

即对EC系统的硬件和软件资源衽有效的控制，为能管理的资源提供相应的安全保护。

包括2个部分：

安全的OS，OS安全部件

●安全OS：

指从系统设计，实现和使用等各个阶段都遵循的一套完整的安全策略的OS。

根据“可信任计算机系统评估准则（TCSEC）”的要求，将计算机系统的安全性分为4个等级ABCD、8个级别。

D级：

最低的安全保护等级，如DOS。

C级：

是自主型保护，按安全的高低分为C1、C22个安全等级，如Linux居于C1级；UNIX；WindowsNT居于C2级。

C1特点：

用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和作息拥有什么样的访问权。

如：

让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其它用户以读的权力。

C2特点：

系统对发生的事件加以审计，并写入日志当中；

如：

用户在什么时候开机，哪个用户在什么时候从哪里登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以推测出可能有人想强行闯入系统，审计可以记录下Administrator执行的活动，审计加上身份验证，就可以知道谁在执行这些命令。

B级：

强制式保护，安全级别较高。

如Unix、Security-enhancedLinux安全性达到B1级

A级：

可验证保护，最高级别。

安全性高低级别：

（由低到高的顺序）

D→C1→C2→B1→B2→B3→A

其它的安全评价标准：

●操作系统安全部件，增强现有OS的安全性

（2）数据库安全

DB安全的涵义（包括两层）

第一层：

指系统运行安全

第二层：

系统作息安全

（3）网络安全

指网络系统的硬件、软件及其系统中的data受到保护，不受偶然的恶意的原因而遭到破坏，更改泄漏，确保系统能够连续、可靠正常地运行，网络服务不中断

如：

①通过身份认证来登录过程进行保护，以防止hacker对网络资源的访问；

②利用Firewall来保护企业的内部网络

（4）计算机病毒防护

①定义：

（国外）：

是一段附着在其它程序上的可以实现自我繁殖的程序代码。

（国内）：

指编制插入计算机程序中的破坏计算机功能毁坏数据影响计算机使用，并能自我复制的一组计算机指令程序代码

②计算机病毒防护：

通过建立系统保护机制，来预防、检测和消除计算机病毒。

③分为单机系统，网络系统的防护，都包括预防病毒侵入系统、检测已侵入系统的病毒、定位已侵入系统的病毒、防止系统中病毒的传染、清除系统中已发现的病毒的安全功能。

（5）访问控制

定义：

对主体访问客体的权限能力以及进入物理区域的限制（即出入控制）和对计算机存储数据过程的限制（即存取控制）。

主体：

计算机中凡是实施操作的作主体，如用户进程等。

客体：

被操作的对象，如文件、设备、内存等。

访问控制主要是阻止非授权用户进入。

具体控制方法包括：

●物理通道的控制，如控制进入机房的人；

●门的控制：

如双重门、陷阱门

展开阅读全文