《第8章 .安全技术PPT》由会员分享,可在线阅读,更多相关《第8章 .安全技术PPT(92页珍藏版)》请在金锄头文库上搜索。
1、第八 章 电子商务安全技术,安阳工学院冉丽敏 主讲E-mail: rlm_,关于电子商务方面的工作,从应用角度来看,从事电子商务工作 的人员可以分成三类:技术人员。 电子商务的实务操作人员。 电子商务管理、组织和控制人员。,技术人员,其主要工作是电子商务系统的实现 硬件设计制造 软件编制 网站建设等内容,实务操作人员,其主要工作是 电子商务在商业中的应用 网络营销 信息流 物流 资金流的实现等。,电子商务管理人员,其工作主要包括电子商务战略制定实施管理业务流程管理组织结构调整安全控制等,案例,2008年5月4日和6日两次 盗用账号支付,窃取人民币214400元。2009年10月17日早上10时
2、许,国内各地网民陆续发现自己的QQ出了问题,无法正常对话当天神州数码的网站也遭黑客攻击,江民公司的主页被篡改2005年10月26日中国人民银行发布电子支付指引(第一号),银行通过互联网为个人客户办理电子支付业务单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,CNNIC调查结果(2008年11月),l 不信任网站,怕受骗 62.4%l 担心商品质量问题 47.4%l 质疑网络购物的安全性 42.3%l 担心售后服务 36.8%l 程序繁琐,麻烦 30.5%l 担心付款环节 30.0%l 担心商品配送有问题 26.7%l 不熟悉,不了解,不知如何购买 26.1%l 商品信息
3、不够详细 17.8%l 价格不够低 15.3%l 商品不够丰富 9.4%l 不想买/不需要/没必要 6.0%l 无合适产品 1.1%其他 3.7%,用户没有尝试网络购物的主要原因,8.1 电子商务的安全问题,一、电子商务面临的安全问题一)信息泄露、篡改、身份识别问题,二)计算机病毒问题计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据、破坏计算机硬件从而影响计算机使用,并能自我复制的计算机指令或者程序代码。特征:传染性、非授权性、隐蔽性、破坏性、潜伏性、不可预见性。三)黑客问题Hacker 指利用计算机和计算机网络,非法调阅、盗窃、截获或篡改他人机密数据资料,或从事其他破坏活
4、动的人。,二、 电子安全交易的基本要求,信息的保密性信息的完整性信息的有效性信息的可靠性/不可抵赖性/可鉴别性审查能力,三、安全措施,安全措施包括法律、技术和管理三个方面,1.法律措施,1)完善法律法规,做到有法可依2)加重计算机犯罪处罚力度3)建立我国电子商务与国外在法律上的协调机制。,2.技术措施,电子商务的技术安全体系是为了保证电子商务顺利开展而采取的一系列安全措施的整体。,3.管理措施,1)加强安全管理的组织建设。2)完善安全管理的制度和标准。3)强化员工队伍的教育、管理和建设。4)加大安全管理的资源投入。,8.2防火墙技术8.3病毒、黑客防范技术,8.2 防火墙,定义1变电站内,在两
5、台充油设备间所建立的防止火焰从一台设备蔓延至另一台设备的隔墙。定义2防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。 定义3:一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。,是指一个由软件或和硬件设备组合而成,是加强因特网与内部网之间安全防范的一个或一组系统。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信
6、,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 二、 防火墙的安全策略“凡是未被准许的就是禁止的”“凡是未被禁止的就是允许的”,防火墙分类1,如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。第一种:软件防火墙 运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统
7、平台比较熟悉。,防火墙分类1,第二种:硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。,防火墙分类1,第三种:芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有
8、的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。,防火墙分类2,按防火墙使用的技术分包过滤型防火墙、应用网关防火墙、代理服务器防火墙,防火墙分类2,包过滤是安全映射最基本的形式,路由软件可根据包的源地址、目的地址或端口号建立许可权, 对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作, 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。,防
9、火墙分类2 1)包过滤型防火墙,包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。,包过滤防火墙,Internet,内部网络,1)包过滤型防火墙,包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。,2)应用网关技术,
10、网关,就是将两个使用不同协议的网络段连接在一起的设备。它的作用就是对两个网络段中的使用不同传输协议的数据进行互相的翻译转换。 应用网关是在使用不同数据格式间翻译数据的系统。,2)应用网关防火墙,是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,即数据过滤协议进行数据包的分析并形成相关的报告。,3)代理服务器防火墙,用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。,防火墙分类3,从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,单一主机防火墙是最
11、为传统的防火墙,独立于其它网络设备,它位于网络边界。 这种防火墙其实与一台计算机结构差不多,同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是它集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。,防火墙分类3,防火墙分类3,原
12、来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。,防火墙分类3,分布式防火墙再也不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发
13、送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。,防火墙分类4,如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。 边界防火墙是最为传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。,防火墙分类4,个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。 混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个
14、软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。,防火墙分类5,如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。 因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。,8、3 病毒和黑客防范技术,1、单机病毒及其防范DOS 病毒Windows病毒宏病毒,8、3 病毒和黑客防范技术
15、,一)安装防病毒软件二)定期下载并安装系统补丁法一:启用“自动更新”功能法二:到微软官方网站下载法三:到专业网站下载法四:借助专业软件修复,三)加强网络管理1、加强口令管理2、加强网站管理3、加强网络权限控制,8.4 加密算法,为了保证信息在网上传输过程中不被篡改,必须对所发送的信息进行加密。(替换,转置)例如:将字母a,b,c,d,e, x,y,z的自然顺序保持不变,但使之与D,E,F,G,H,Y,Z,A,B分别对应(即相差3个字符且转换大小写)。若明文为and,则对应密文为DQG。(接收方知其密码为3,它就能解开此密文)。,一、 对称密钥密码体系,对称密钥密码体系(Symmetric Cryptography)又称对称密钥技术。(DES,Data Enercription Standard 美国数据加密标准)64位,对称密钥密码体系,算法包括四个步骤:在密钥的控制下生成参加迭代的16个子密钥,每个密钥长度为64位;对明文分组按位地址进行初始位置置换;进行16轮迭代成积变换;再进行逆的初始位置置换即可得到密文。 对称密钥密码体系的优点是加密、解密速度很快(高效),但缺点也很明显:密钥难于共享,需太多密钥,难于管理;传递密钥过程中,容易被窃取。,
