第八章电子商务安全技术.ppt
《第八章电子商务安全技术.ppt》由会员分享,可在线阅读,更多相关《第八章电子商务安全技术.ppt(53页珍藏版)》请在三一文库上搜索。
1、电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-1,电子商务概论 INTRODUCTION OF ELECTRONIC BUSINESS (第3版) 邵兵家 主编 高等教育出版社 2011年4月,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-2,第8章 电子商务安全技术,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-3,学习目标,了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 掌握防火墙的功能和工作原理 了解电子商务常用的加密技术 了解电子商务的认证体系 掌握SSL和SET的流程和工
2、作原理,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-4,开篇案例:广东发展银行网络安全架构,从1998年开始,广东发展银行最初的网络安全体系就依据思科SAFE蓝图部署。SAFE主张,网络安全建设不能一蹴而就,而应该是一个动态的过程。所以在最初的部署中,思科主要协助广东发展银行解决了最突出的网络安全问题网络对外连接出口的安全问题。 随着广东发展银行业务的迅速发展,尤其是近年来,用户纷纷把业务转移到网上进行,广东发展银行的网上业务呈几何数字增长。在这种情况下,广东发展银行提出,为了更好地抵御网上的非法访问,作好关键用户的网上认证,确保能够给用户提供不间断的高质量金融服务,
3、必须要在原有的基础上,进一步加强银行在网络安全方面的部署。 通过分析广东发展银行的具体业务流程和网络结构,思科在SAFE蓝图指导下,针对广东发展银行的不同网段,分别实施了可以统一管理的不同安全措施,具体措施如下。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-5,电子商务安全技术,8.1 电子商务的安全问题 8.2 防火墙技术 8.3 数据加密技术 8.4 认证技术 8.5 安全技术协议,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-6,8.1 电子商务的安全问题,8.1.1 电子商务的安全性问题 电子商务面临的安全威胁主要有以下5个方面: 1在
4、网络的传输过程中信息被截获 2传输的文件可能被篡改(从以下三个方面破坏信息的完整性) 篡改、删除、插入 3伪造电子邮件 (1)虚开网站和商店 (2)伪造大量用户:发电子邮件,穷尽商家资源 (3)伪造用户:窃取商家的商品信息和用户信用等信息,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-7,4假冒他人身份 (1)冒充他人身份,如冒充领导发布命令、调阅密件 (2)假冒他人消费,栽赃 (3)冒充主机欺骗合法主机及合法用户 (4)冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息 (5)接管合法用户,欺骗系统,占用合法用户的资源,电子商务概论(第3版) 邵兵家 主编 高等
5、教育出版社 2011版,8-8,5不承认或抵赖已经做过的交易 (1)发信后事后否认曾经发送过某条消息或内容 (2)发信后事后否认曾经收到过某条消息或内容 (3)购买者确认了订货单后又不承认 (4)商家卖出的商品因价格差异而不承认原有的交易,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-9,8.1.2 电子商务对安全的基本要求,目的:保障交易各方的合法权益,保证能够在安全的前提下开展电子商务 1授权合法性 安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利,被授权用户的访问不能被拒绝 2不可抵赖性 信息的发送方不能抵赖曾经发送的信息,不能否认自己的行为
6、。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-10,3保密性 电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,均有保密的要求。 要保证信息如信用卡的账号和用户名等不泄漏给未授权的他人或供其使用,防止信息被盗用和恶意的破坏 4身份的真实性 信息的真实性一方面是指网上交易双方提供信息内容的真实性,另一方面是指网上交易双方身份信息的真实性。双方交换信息之前通过各种方法获取对方的证书,以此识别交易双方身份不被假冒或伪装,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-11,5信息的完整性 要保证网上交易双方商业信息的完整性和统一
7、性。 数据输入时的意外差错或欺诈行为、信息传输过程中的丢失、信息传送的次序差异都会影响信息的完整性 6存储信息的安全性 存储在介质上信息的正确性应当得到保证。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-12,8.1.3 电子商务安全措施,可使用的网络安全措施主要包括以下6方面: 1确定通信中贸易伙伴身份的真实性 常用的处理技术是身份认证技术。 依赖某个可信赖的机构(CA认证中心)发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。 2保证电子单证的保密性 常用的处理技术是数据加密和解密。 3确定电子单证内容的完整性 主要采用散列技术来防止非法用户对单证
8、的篡改。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-13,4确定电子单证的真实性 鉴别单证真实性的主要手段是数字签名技术 5不可抵赖性 通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为仲裁依据。 6存储信息的安全性 使用访问控制权限、日志、敏感信息的加密存储等;WWW服务器应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-14,8.2.1 防火墙的含义及其分类,1. 防火墙的含义 Internet是一个开放的世界,它在拥有丰富信息量的同时也存在着
9、许多不安全因素。当内部网连上Internet,使它的用户能访问Internet上的服务时,非内部网用户也能通过Internet访问内部网用户,实现一些非法操作如:盗取重要资料、破坏文件等。这对于没有受到任何保护的内部网用户来说无疑是一种灾难。人们经常在建筑物之间修建一些墙壁,以便在火灾发生时,火势不至于从一幢建筑蔓延到别一幢建筑,这些墙被称为“防火墙”。与此类似,我们可以在内部网和Internet之间设置一堵“防火墙”以保护内部网免受外部的非法入侵。在网络世界中,防火墙是被配置在内部网 (如企业内部的Intranet)和外部网 (如Internet)之间的系统(或一组系统 ),通过控制内外网络
10、间信息的流动来达到增强内部网络安全性的目的。防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-15,2. 防火墙的分类,防火墙系统通常有两种类型:路由器和代理服务器 路由器 定义了一系列包过滤规则。 包过滤规则:以IP(Internet Protocol)信息包为基础,对IP报文中的源地址、IP目标地址、封装协议端口等进行筛选,由此决定是否要屏蔽此报文。 优点:简单和廉价(硬件) 缺点:包过滤规则的建立相对复杂,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-16,代理服
11、务器 通过执行特殊的TCP/IP 协议来为内部网用户提供Internet服务。 代理服务器是一个应用层的网关,内部网的用户若要使用Internet提供的服务(如WWW),首先必须与代理服务器连接,经身份确认后,再由代理服务器负责与Internet连接。目的是为了隔离内部主机和外部主机的直接通信,防止“黑客”入侵。 代理服务器还提供了用户级别的权限确认、日志和审计服务。 缺点:必须为每一个应用建立应用层的特殊网关,这在一定程度上限制了新应用的建立。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-17,堡垒主机 路由器和代理服务器结合在一起形成的一个复合型的防火墙系统,所用
12、主机称为堡垒主机,负责提供代理服务、保护内部网不受攻击、屏蔽内部主机的防火墙和子网防火墙,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-18,四种最基本的防火墙技术 (1)过滤性网关:容易建立,但难以配置得足够安全,以数据包(packet)的数据决定过滤与否 (2)电路层网关:运行于通信网络的会话层,不把内外网络直接连接起来,修改客户端去直接与它通信 (3)应用层网关:运行于通信网络的应用层,处理内部网络与外部网络之间所建立的任何客户服务器(C/S)式连接。不把内外网络直接连接起来。可以提供用户鉴别。 (4)状态核查:采用预先配置好的不同参数的报表,通过检查TCP上的信
13、息与该报表表内状态是否符合,决定信息的通过与否。,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-19,3.防火墙的功能,防火墙可以保护计算机免受以下几类攻击: (1)未经授权的内部访问 (2)危害证明 (3)未经授权的外部访问 (4)电子欺骗 (5)特洛伊木马 (6)渗透 (7)泛洪,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-20,8.2.2 防火墙技术,1. 防火墙系统设计 主要从以下三个方面考虑 (1)机构的整体安全策略的一部分 (2)防火墙的经济费用 从路由器中内置的包过滤功能到几千到上万美圆的专业防火墙产品 防火墙系统的管理、维护和故
14、障处理都需要费用 (3)防火墙系统的组成 典型的防火墙由以下一个或多个构件组成: 包过滤路由器、应用层网关(或代理服务器)、电路层网关,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-21,2. 包过滤路由器 审查每个数据包以便确定其是否与某一条包过滤规则匹配,允许或拒绝所接收的每个数据包 过滤规则:基于可以提供给IP转发过程的包头信息 包头信息:其中包括IP源地址、IP目标端地址、内装协议(ICP、UDP、ICMP)、TCP/UDP目标端口、ICMP消息类型 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口上
15、,如Telnet服务器在TCP的23号端口上监听远地连接,SMTP服务器在TCP的25号端口上监听远地连接 包过滤路由器工作在网络层,属网络层防火墙,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-22,包过滤路由器有两种过滤方式:与服务相关的过滤和与服务无关的过滤 (1)与服务相关的过滤 指根据特定的服务允许或拒绝流动的数据,因为大多数服务器都是在特定的TCP/UDP端口上监听,如Telnet的端口号为23,ftp为21, SMTP为25,HTTP的端口号为80 (2)与服务无关的过滤 有几种类型的攻击与服务无关,无法使用基本的包头信息来识别,只有通过审查路由表和特定的
16、IP选项,检查特定段的内容才能发现,如,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-23,A.源地址欺骗攻击 B.源路由攻击 C. 极小数据段攻击 该攻击利用了IP分段的特性,创建极小的分段并强行将TCP头信息分成多个数据包段。希望包过滤路由器只检查第一个分段而让其余分段通过,从而绕过用户定义的过滤规则 包过滤路由器优点:标准的路由软件中都内置了包过滤功能,无需额外费用;对用户和应用透明,用户无须改变使用习惯 包过滤路由器缺点:定义包过滤器比较复杂,要求网络管理员对Internet服务有深入了解,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-2
17、4,3. 应用层网关防火墙 能够实现比包过滤路由器更严格的安全策略,主要通过在应用层网关上安装代理软件(Proxy)来实现。每个代理模块分别针对不同的应用。如Telnet Proxy负责Telnet在防火墙上的转发,HTTP Proxy负责WWW,FTP Proxy负责FTP等,管理员可以根据自己的需要安装相应的代理。 每个代理相互无关,即使某个代理工作发生问题,只需将它简单的卸出,不会影响其他的代理模块,同时也保证了防火墙的失效安全,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-25,应用层网关常被称为“堡垒主机”,(Bastion Host),它安装了专门的系统,采
18、取一些安全措施,能够抵御各种攻击。主要有以下8个特点: (1)应用层网关的硬件之上执行一个安全的操作系统 (2)只安装代理模块、用户认证模块等防火墙必须的服务 (3)尽量不开多余账号,也不允许远程登陆到防火墙 (4)管理员可以根据机构所需要的服务在应用层网关安装相应的代理模块 (5)除了基本的代理模块外,应用层网关还维持自己的用户库和对象库。 用户库:保存了用户名、用户组、用户的认证方式、用户的管理级别等信息 对象库:保存了管理员定义的主机名、主机组、网络和网关,电子商务概论(第3版) 邵兵家 主编 高等教育出版社 2011版,8-26,(6)应用层网关另外一个重要特征是身份认证 常采取客户服
19、务器方式,对同一用户的身份认证可以根据他所在网络的安全级别采取不同的认证方式。如该用户来自内部子网,则对其采用类似 UNIX passwd的方式;若该用户来自外部非安全网段,则可以采取安全级别更高的认证方式,如一次性密钥(Skey) (7)管理员通过配置访问控制表中的访问规则,决定内部网络、外部网络的哪些用户可以使用应用层网关上的那个代理模块连接到那个目的站点 (8)代理的工作原理比较简单 a.首先是用户与代理服务器建立连接 b.将目的站点告知代理,对合法请求代理以应用层网关自己的身份与目的站点建立连接 c.代理在这两个连接中转发数据,如图8.2所示,电子商务概论(第3版) 邵兵家 主编 高等
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第八 电子商务 安全技术
链接地址:https://www.31doc.com/p-2981223.html