文档介绍:该【第3章 电子商务安全技术(8课时) 】是由【hhhhh】上传分享,文档一共【188】页,该文档可以免费在线阅读,需要了解更多关于【第3章 电子商务安全技术(8课时) 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。第3章电子商务(diànzǐshānɡwù)安全技术第一页,共一百八十八页。2024/5/201第3章电子商务(diànzǐshānɡwù)安全技术安全(ānquán)目标和威胁的对象计算机安全包含三个重要的安全目标:机密性、完整性、可用性。多数威胁(wēixié)都是以破坏机密性、完整性和可用性为目标。威胁实施者主要包括:自然现象、偶然事件、无恶意的用户和恶意攻击者。威胁的对象主要包括软件、硬件、数据和通信线路这四种资源。第二页,共一百八十八页。2024/5/202第3章电子商务安全(ānquán)技术适度(shìdù)安全准则上述三个安全目标之间可能存在彼此矛盾。在安全目标中找到一个恰当的平衡点。根据实际需要,提供适度的安全目标加以实现(shíxiàn);计算机资源被保护的程度应该与它们的价值是一致的。第三页,共一百八十八页。2024/5/203第3章电子商务(diànzǐshānɡwù)安全技术机密性与可用性的平衡(pínghéng)关系机密性可用性平衡点第四页,共一百八十八页。2024/5/204第3章电子商务(diànzǐshānɡwù)安全技术第3章电子商务(diànzǐshānɡwù)(chéngxù),共一百八十八页。2024/5/205第3章电子商务安全(ānquán)(chéngxù)(chéngxù),共一百八十八页。2024/5/206第3章电子商务安全(ānquán)(chéngxù)漏洞三种典型的非恶意程序漏洞:缓冲区溢出;不完全输入验证;“检查(jiǎnchá)时刻到使用时刻”错误第七页,共一百八十八页。2024/5/207第3章电子商务(diànzǐshānɡwù)安全技术缓冲区溢出(yìchū)缓冲区是一个用于存储数据并且容量有限的内存空间。1 charbuffer[10];2for(i=0;i<=10;i++)3buffer[i]=‘A’;在数据存储过程(guòchéng)中,若超过了缓冲区的最大容量,则将发生缓冲区溢出。缓冲区溢出是最为常见的一种安全漏洞。缓冲区溢出的位置可以出现在任何地方,如堆栈、堆和静态数据区等。第八页,共一百八十八页。2024/5/208第3章电子商务安全(ānquán)技术目标(mùbiāo)程序运行时存储区的典型划分Code(代码(dàimǎ)区)Staticdata(静态数据区)Stack(堆栈(duīzhàn))Heap(堆)用以存放目标代码,代码区长度是固定的,即编译时能确定的。它是只读的,不能存储程序变量用以存放编译时就能确定所占用空间的数据。可用于存储程序的变量,可读写。用于保存可变数据以及管理过程活动的控制信息。第九页,共一百八十八页。2024/5/209第3章电子商务安全技术缓冲(huǎnchōng)溢出(续)当出现缓冲溢出,运行的程序可能以下三种情况:运行正常被覆盖的是无用(wúyònɡ)数据,并且没有发生访问违例;运行出错包括输出错误和非法操作等;受到攻击,程序开始执行有害代码。攻击者精心设计覆盖哪些数据以及用什么数据来覆盖。第十页,共一百八十八页。2024/5/2010第3章电子商务安全(ānquán)技术