《第03章-电子商务安全精编版》由会员分享,可在线阅读,更多相关《第03章-电子商务安全精编版(71页珍藏版)》请在金锄头文库上搜索。
1、,第三章,电子商务安全,第一节 电子商务安全面临的问题、要素及内容 第二节 计算机网络安全技术 第三节 电子商务交易安全技术 第四节 电子商务安全交易协议,一、电子商务面临的安全问题,信息假冒,当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送信息来欺骗其他用户。,二、电子商务的基本安全要素,如何保证电子形式的贸易信息的有效性则是开展电子商务的前提。,要预防非法的信息存取和信息在传输过程中被非法窃取。,完整性一般可通过提取信息的数据摘要方式来获得。,不可抵赖性可通过对发送的消息进行数字签名来获取。,一般都通过证书机构CA和数字证书来实现。,三、电子商务安全的内容,电子商
2、务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。,电子商务安全框架,计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。 商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、可不伪造性和不可抵赖性。,一、计算机网络的潜在安全隐患,企业内部的典型风险有:没有好的备份系统导致数据丢失;有外来磁盘携带的病毒攻击计算机系统;业务人员的误操作;删除了
3、不该删除的数据,且无法恢复;系统硬件、通信网络或软件本身出故障。 如果企业的内部网连接上Internet,则Internet本身的不安全性对企业内部信息系统带来的潜在风险主要有:外部非法用户潜入系统胡作非为,甚至破坏系统;数据丢失,机密信息泄漏;互联网本身固有的风险的影响;网络病毒的攻击。,二、计算机网络安全体系,要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,及时修补;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟
4、踪入侵攻击等。,三、常用的计算机网络安全技术,(一)病毒及黑客防范技术,计算机病毒是带有一段恶意指令的程序,一旦用户运行了被病毒感染的程序,它就会隐藏在系统中不断感染内存或硬盘上的程序。 黑客程序实际上是人们编写的程序,它能够控制和操纵远程计算机,一般由本地和远程两部分程序组成。考虑到黑客程序的危害性,把黑客程序也归于计算机病毒。,1单机病毒 1)单机病毒的种类 单机病毒就是以前的DOS病毒、Windows病毒和能在多操作系统下运行的宏病毒。 DOS病毒是在MS-DOS及其兼容操作系统上编写的病毒程序,例如以前著名的“黑色星期五”“DIR”等病毒。 Windows病毒是在Win3.x/Win9
5、.x上编写的纯32位病毒,例如4月26日危害全球的CIH病毒等。 宏病毒是利用Office特有的“宏”编写的病毒,它专门攻击微软Office系列Word和Excel文件。,2)单机病毒的防范 考虑到每种杀毒产品都有其局限性,所以最好准备几套杀毒软件,用它们来交叉杀毒,杀毒软件还要及时升级;定期用杀毒软件检查硬盘,如果用的是Win9.x(CIH病毒对WINNT和WIN2000不起作用),每月的26号前一定要检查是否有CIH病毒,或者将系统日期跳过26号。,2网络病毒及其防范,特洛伊木马是一种黑客程序,与病毒有些区别,特洛伊木马本身一般并不破坏受害者硬盘上的数据,它只悄悄地潜伏在被感染的计算机里,
6、一旦这台计算机上网,就可能大祸临头。 特洛伊木马病毒的防范方法是:不要轻易泄漏IP地址,下载来历不明的软件时要警惕其中是否隐藏了特洛伊木马,使用下载软件前一定要用特洛伊木马检测工具进行检查。,2)邮件病毒 邮件病毒和普通病毒是一样的,只不过由于它们主要通过电子邮件传播,所以才称为“邮件病毒”,一般通过邮件中“附件”夹带的方法进行扩散,一旦你收到这类E-mail,运行了附件中的病毒程序,就能使你的计算机染毒。 邮件病毒的防范方法是:不要打开陌生人来信中的附件,特别是“.exe”等可执行文件;养成用最新杀毒软件及时查毒的好习惯,不要急于打开附件中的文件,先将其保存在特定目录中,然后用杀毒软件进行检
7、查;收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒的传播;对于通过脚本“工作”的病毒,可采用在浏览器中禁止Java或Active X运行的方法来阻止病毒的发作。,3)脚本病毒 脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。,4)蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒
8、邮件,阻塞网络的特性。,3网上炸弹及其防范 1)IP炸弹 IP炸弹一般是指用专用的攻击软件(如WinNuke、IGMPNuke等)发送大量的特殊数据,对远程计算机中的Windows系统的漏洞进行攻击,造成对方的Windows蓝屏死机。当用户在聊天室聊天时,其IP地址很容易被别人查到,如果对方要发起攻击,只要用专用软件攻击用户的IP就可以了。 对付IP炸弹最好的办法是安装个人防火墙。,2)邮件炸弹 邮件炸弹的原理是向有限容量的信箱投入足够多或者足够大的邮件,使邮箱崩溃。 防范邮件炸弹的方法有以下几种: 在邮件软件中设置好防范项目; 在邮件服务器上设置过滤器,防范邮件炸弹; 使用删除E-mail炸
9、弹的工具; 谨慎使用自动回信。,(二)身份识别技术,1口令 传统的认证技术主要采用基于口令的认证方法。 但是,传统的认证技术也有一些不足之处。用户每次访问系统时都要以明文方式输入口令,很容易泄漏;口令在传输过程中可能被截获;系统中所有用户的口令以文件形式存储在认证方,攻击者可以利用系统中存在的漏洞获取系统的口令文件;用户在访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆的方便,往往采用相同的口令;只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证。,2标记方法 标记是个人持有物,作用类似于钥匙,标记上记录着用于机器识别的个人信息。常用的标记有磁介质、智能卡。 3生物特
10、征法 每个人都有唯一且稳定的特征,如指纹、眼睛以及说话和书写等做事的标准方法。生物特征法是基于物理特征或行为特征自动识别人员的一种方法,其优点是严格依据人的物理特征并且不依赖任何迸被拷贝的文件或可被破解的口令,所以它是数字证书或智能卡的选择。,(三)防火墙技术,1防火墙概述 1)防火墙的概念 防火墙是指一个由软件和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于限制外界用户对内部网络访问及管理内部用户访问外界网络的权限,即确定哪些内部服务允许外部访问,以及允许哪些外部访问访问内部服务。,防火墙
11、的示意图,2)防火墙的设计原则 第一,一切未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放,只有经过精挑细选的服务才被允许使用。 第二,一切未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务,从而可为用户提供更多的服务。,3)防火墙的实现技术 按照建立防火墙的主要途径,防火墙的实现技术可分为分组过滤、代理服务和应用网关。 分组过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。 代理服务是
12、运行于内部网络与外部网络之间的主机之上的一种应用。 应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,即数据包分析并形成相关的报告。,2防火墙的原理 1)防火墙设计的基本原则 由内到外,或由外到内的业务流均经过防火墙; 只允许本地安全策略认可的业务流程通过防火墙; 尽可能控制外部用户访问专用网,应当严格限制外部人员进入专用网中; 具有足够的透明性,保证正常业务流通; 具有抗穿透攻击能力,强化记录、审计和报警功能。,2)防火墙的组成 防火墙主要由5部分组成:即安全操作系统、过滤器、网关、域名服务和E-mail处理。 安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击;过
13、滤器则执行由防火墙管理机构制定的一组规则,检验各数据组决定是否允许运行;应用网关可以在TCP/IP应用级上控制信息流和认证用户;域名访问使专用网的域名与Internet相隔离,专用网中主机的内部IP地址不至于暴露给Internet中的用户;函件处理能力保证专用网中用户和Internet用户之间的任何函件交换都必须经过防火墙处理。,防火墙的组成,3)防火墙不能对付的安全威胁 首先,防火墙不能防止专用网内部用户对资源的攻击,它只是设在专用网和Internet之间,对其间的信息流进行干预的安全设施。 其次,如果专用网中有些资源绕过防火墙直接与Internet连通,则得不到防火墙的保护。 另外,从病毒
14、防护来看,一般防火墙不对专用网提供防护外部病毒的侵犯。,4)防火墙的分类 (1)分组过滤网关,按源地址和目的地址或业务(即端口号)卸包(组),并根据当前组的内容作出决定。 (2)应用级网关,在专用网和外部网之间建立一个单独的子网,它将内部网屏蔽起来。 (3)线路级网关,它使内部与外部网之间实现中继TCP连接。,3防火墙产品,1)Checkpoint Firewall-1 Checkpoint公司是一家专门措施网络安全产品开发的公司,是软件防火墙领域中的佼佼者,其旗舰产品Checkpoint Firewall-1在全球软件防火墙产品中位居第一。,2)Sonicwall系列防火墙 Sonicwal
15、l系列防火墙是Sonic System公司针对中小型企业需求开发的产品,并以其高性能和极具竞争力的价格受到中小企业和ISP公司的青睐。 3)NetScreen 防火墙 NetScreen 公司推出的NetScreen防火墙是一种新型的网络安全硬件产品,把多种功能诸如流量控制、负载均衡、VPN等集成到一起,优势在于采用了新的体系结构,可以有效地消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全保护。,4)Alkatel Intenet Deices系列防火墙 Intenet Deices公司专门从事高性能计算机网络安全系统的设计、开发、销售和服务,其产品系列Intenet Deic
16、es1000/3000/5000和Intenet Deices10K分别适用于小型、中型、大型网络环境。其中Intenet Deices 3000、Intenet Deices 5000及Intenet Deices 10K带有VPN功能,支持VPN用户。 5)NAIGauntlet防火墙 NAI公司是全球著名的网络安全产品提供商,其产品包括网络检测、防火墙以及防病毒产品等。,(四)虚拟专用网技术,虚拟专用网是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,非常适合电子数据交换。在虚拟专用网中交易双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样可以大大提高电子商务的安全性。,一、加密技术,加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。明文变成密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。在加密和解密的过程中,由加密者和解密者使用的加解密可变
