《精编》电子商务的安全威胁及其措施

资源描述

《《精编》电子商务的安全威胁及其措施》由会员分享，可在线阅读，更多相关《《精编》电子商务的安全威胁及其措施（26页珍藏版）》请在金锄头文库上搜索。

1、放置在互联网上的公司服务器随时都会受到有意或无意的攻击和损坏如何获得安全的保障不仅是个人或单个企业的要求也是整个互联网经济发展的最重要的基础病毒破坏黑客攻击第一节概述一安全的含义安全分物理安全和逻辑安全所谓物理安全指可触及的保护设备通常所说的计算机领域的安全指企业的信息不受他人未经授权的访问使用篡改或破坏用非物理手段进行的保护称为逻辑安全这种安全分为三类第一类保密防止未授权的数据暴露并确保数据源的可靠性密码帐户的安全不被他人知晓电子商务概论第四章电子商务的安全威胁和安全措施第二类完整防止未经授权的数据修改内容的改变第三类即需防止延迟或拒绝服务服务器

2、停止响应人们习惯于眼见为实对安全总是谨小慎微二安全措施对识别降低或消除安全威胁的物理或逻辑步骤的总称对不同类型的风险需要采取不同的安全措施实施的成本应该小于所受到的损失电子商务概论第四章电子商务的安全威胁和安全措施风险管理模型电子商务概论第四章电子商务的安全威胁和安全措施安全策略是对所需保护的资产保护的原因谁负责进行保护哪些行为可接受哪些行为不可接受等的书面描述安全策略一般要陈述物理安全网络安全访问授权病毒防护灾难恢复等内容并随时间变化需定期完善制定安全策略的步骤绝对的安全是不存在的损人不利己电子商务概论第四章电子商务的安全威胁和安全措施

3、安全策略的内容认证访问者访问控制访问许可保密用户的级别数据完整性权限的设定审计记录日志电子商务概论第四章电子商务的安全威胁和安全措施第二节对服务器的安全威胁及保护措施服务器是整个电子商务活动中最关键的一个环节一与服务器有关的安全威胁1 对WWW服务器的安全威胁存在安全漏洞超级用户的权利巨大设置不当带来的问题密码记忆 cookie 电子商务概论第四章电子商务的安全威胁和安全措施 3 对公用网关接口 CGI 的安全威胁CGI实现从WWW到另一个程序如数据库程序的信息传输 CGI脚本能以高权限运行且不易被追踪和管理 4 对其他程序的安全威胁缓存的溢出病毒攻击邮件

4、炸弹或垃圾邮件电子商务概论第四章电子商务的安全威胁和安全措施二保护电子商务服务器WWW商务服务器软件包括 FTP服务器 WWW服务器电子邮件服务器远程登陆服务器操作系统1 访问控制和认证指控制访问商务服务器的人和访问内容认证采用数字证书方式认证方式招行 1 证书是用户的许可证数字签名 2 检查证书上的时间标记以确认证书未过期并拒绝为过期证书提供服务 3 回叫系统即根据用户名和为其指定的客户机地址的清单来核对用户名和客户机地址 ccproxy 电子商务概论第四章电子商务的安全威胁和安全措施密码保证密码忘记服务密码保存明文存用户名加密存口令管理员也无法知道权限的

5、设定文件读取写入追加执行删除目录列表创建删除2 操作系统控制用户名口令win2000winxp 电子商务概论第四章电子商务的安全威胁和安全措施 3 防火墙指在需要保护的网络与可能带来安全威胁的互联网或其他网络之间建立的保护防火墙是具有以下特征的计算机天网系统 1 由内到外和由外到内的所有访问都必须通过它 2 只有本地安全策略所定义的合法访问才被允许通过 3 防火墙本身无法被穿越防火墙内的网络叫可信网络防火墙外的网络叫不可信网络防火墙相当于过滤设备允许特定的信息流入或流出被保护的网络理想状态下防火墙应阻止未经授权的用户访问防火墙内的网络又不妨碍合法用户用

6、作防火墙的计算机应尽量简化软件电子商务概论第四章电子商务的安全威胁和安全措施防火墙技术包过滤检查在可信网络和互联网之间传输的所有数据包括信息包的源地址目标地址及进入可信网络的信息包的端口并根据预先设定的规则拒绝或允许这些包进入网关服务器根据所请求的应用对访问进行过滤的防火墙在应用层过滤请求和登陆 telnet ftp http 如允许内向ftp 不允许外向ftp 代理服务器代表某个专用网络与互联网进行通讯的防火墙电子商务概论第四章电子商务的安全威胁和安全措施第三节对通讯信道的安全威胁及防护措施一通讯信道的安全威胁信息传送过程中无法保证传送线路及所通过的每台计算机

7、都是可靠的 1 对保密性的安全威胁保密与保护隐私保密防止未经授权的信息泄漏保护隐私保护个人不被曝光的权利 Email谁看在线探测软件电子商务概论第四章电子商务的安全威胁和安全措施 2 对完整性的安全威胁又称主动搭线窃听未经授权方同意改变信息完整性和保密性的差别对保密性的安全威胁指某人看到了不应该看到的信息对完整性的安全威胁指某人改动了传输的关键信息如银行的存款信息破坏网站电子伪装等3 对即需性的安全威胁又称延迟安全威胁或拒绝安全威胁其目的是破坏正常的计算机处理或完全拒绝处理电子商务概论第四章电子商务的安全威胁和安全措施二保护电子商务的通道1 交易的保密无法防

8、止对互联网的窃听明信片 1 加密用基于数学算法的程序和保密的密钥对信息进行编码生成难以理解的字符串加密程序的逻辑称为加密算法加密消息的保密性取决于加密所有密钥的长度 40 128 即使有人知道加密程序的细节没有消息加密所用的密钥是无法解开加密的消息电子商务概论第四章电子商务的安全威胁和安全措施按密钥和相关加密程序类型可把加密分为3类 1 散列编码用散列算法求出某个信息的散列值的过程散列值对于每条信息都是唯一的 2 非对称加密公开密钥加密用两个数学相关的密钥对信息进行编码极大的促进了网络交易的发展在此系统中其中一个密钥叫公开密钥可随意发给期望同密钥持有者进行安全通

9、讯的人第二个密钥是私有密钥属于密钥持有人公开密钥用于对信息加密锁与钥匙的关系私有密钥对信息解密RSA算法是非对称加密领域内最为著名的算法但是它存在的主要问题是算法的运算速度较慢其次它存在着公开密钥的分发问题因此在实际的应用中通常不采用这一算法对信息量大的信息如大的EDI交易进行加密当加密量大时公开密钥加密算法通常用于对对称加密方法密钥的加密电子商务概论第四章电子商务的安全威胁和安全措施 3 对称加密在对称加密方法中加密和解密都使用同一把密钥而且通信双方都必须获得这把钥匙并保持钥匙的秘密数据加密标准 DES 由美国国家标准局提出在1981年又被进一

10、步采纳为ANII标准是目前广泛采用的对称加密方式之一主要应用于银行业中的电子资金转帐 EFT 领域 DES的密钥长度为56位国际数据加密算法 IDEA 是一种使用一个密钥对64位数据块进行加密的常规保密密钥加密算法同样的密钥仍然用于将64位的密文数据块恢复成64位明文数据块 IDEA使用128位 16字节密钥进行加密操作电子商务概论第四章电子商务的安全威胁和安全措施公开密钥的优点 1 在多人之间进行保密信息传输所需的密钥组合数量很小 2 密钥的发布容易 3 公开密钥系统可实现数字签名公开密钥技术和传统加密方法各有优缺点公开密钥技术虽然安全性较好但运算量较大与传统的加密算

11、法比较在速度上有很大的差距技术资料表明RSA的软件实现比DES的软件实现慢100倍 RSA的硬件实现比DES的硬件实现慢1000 10000倍所以许多加密系统都采用公开密钥技术与传统加密算法结合的方式电子商务概论第四章电子商务的安全威胁和安全措施 2 加密算法和标准表4 13 安全套接层协议 SSL SSL协议是由Netscape公司研究制定的安全协议该协议向基于TCP IP的客户服务器应用程序提供了客户端和服务器的鉴别数据完整性及信息机密性等安全措施该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查处于传输层实现SSL的协议是HTTP的安全版

12、 HTTPS 电子商务概论第四章电子商务的安全威胁和安全措施 2 保证交易的完整性防止信息订单被非法修改可以采用多种技术的组合来创建能防止修改同时能认证的信息为消除因信息被更改而导致的欺诈和滥用行为可将两个算法同时应用到信息上首先用散列算法生成信息摘要散列算法是单向函数无法还原信息接受方同样计算信息摘要进行对比是否相同但由于散列算法是公开的所以还需要采用加密算法加密后的信息摘要称为数字签名带数字签名的采购订单就可让商家确认发送者的身份并确定此信息是否被更改过电子商务概论第四章电子商务的安全威胁和安全措施数字签名系统的目的是保证信息的完整性和真实性其目的是为

13、了保证接收者能够核实发送者对报文的签名发送者事后不能抵赖对报文的签名接收者不能伪造对报文的签名现在已有多种实现各种数字签名的方法以下讨论采用公开密钥加密技术实现的数字签名它是公开密钥技术和报文分解函数 MDF 的结合主要方式是报文的发送方从报文文本中生成一个128位的散列值或报文摘要称为报文分解函数的值发送方用公开密钥加密系统中的秘密密钥对这个报文散列值进行加密形成数字签名该过程如图电子商务概论第四章电子商务的安全威胁和安全措施然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方报文的接收方首先从接收到的原始报文中计算出128位的散列值或报文摘要

14、接着再用发送方的公开密钥来对报文附加的数字签名进行解密比较其结果如果两个散列值相同那么接收方就能确认该数字签名是发送方的通过数字签名能够实现对原始报文的鉴别和不可抵赖性保障了文件内容的完整性正确性和签名的真实性其过程如图电子商务概论第四章电子商务的安全威胁和安全措施 3 保证交易传输保密和数字签名都无法保护信息包不被盗取或速度降低但TCP IP中的传输控制协议负责对信息包的端到端的控制电子商务概论第四章电子商务的安全威胁和安全措施第四节对客户机的安全威胁及防护措施一对客户机的安全威胁1 活动内容活动内容指在页面上嵌入的对用户透明的程序活动页面可显示动态图像下载和

15、播放音乐或实现基于WWW的电子表格程序电子商务中使用的活动内容涉及将选中的商品放入购物车并计算发票总额活动内容主要包括Java小应用程序 ActiveX控件 JavaScript和VBScript Cookie容易被人利用 2 图形文件插件电子邮件的附件宏病毒邮件病毒电子商务概论第四章电子商务的安全威胁和安全措施二保护客户机1 数字证书数字证书是电子邮件附件或嵌在网页上的程序可用来验证用户或网站的身份还可向网页或电子邮件附件原发送者发送加密信息的功能证书不保证所下载软件的功能或质量只证明所提供的软件不是伪造的通常由认证中心发放证书电子商务概论第四章电子商务的安全威胁和安全措施 2 IE安全级别的设置表4 23 Navigator4 处理CookieIE中的设置5 使用防毒软件6 防黑客软件电子商务概论第四章电子商务的安全威胁和安全措施第五节对版权和知识产权的保护一对版权和知识产权的安全威胁非法拷贝传递使用等二保护版权和知识产权数字水印隐蔽的嵌入在数字图像或声音文件里的数字码或数字流电子商务概论第四章电子商务的安全威胁和安全措施

展开阅读全文