《教学课件模式八电子商务安全及实操案例答案》由会员分享,可在线阅读,更多相关《教学课件模式八电子商务安全及实操案例答案(42页珍藏版)》请在金锄头文库上搜索。
1、PPT模板下载:/moban/ 行业PPT模板:/hangye/ 节日PPT模板:/jieri/ PPT素材下载:/sucai/PPT背景图片:/beijing/ PPT图表下载:/tubiao/ 优秀PPT下载:/xiazai/ PPT教程: /powerpoint/ Word教程: /word/ Excel教程:/excel/ 资料下载:/ziliao/ PPT课件下载:/kejian/ 范文下载:/fanwen/ 试卷下载:/shiti/ 教案下载:/jiaoan/ 字体下载:/ziti/ 教学课件模式八电子商务安全及实操案例答案 电子商务案例分析电子商务案例分析 电子商务案例分析电子商
2、务案例分析教材编写组教材编写组模块八模块八 电子商务安全电子商务安全项目1 7网络安全案例项目任务项目案例 零售行业网络安全知识点一 黑客攻击安全问题零售行业网络安全案例分析知识拓展 智能安全分析知识点二 WEB应用程序安全问题知识点三 协议欺骗攻击问题知识点四 内网安全问题项目项目17 电子商务安全案例电子商务安全案例u项项目目任任务务:能能说说出出电电子子商商务务网网络络安安全全的的相相关关技技术术与与防防范范措措施施,会会分分析析案案例例中中为为保保障障网网络络安安全全所所采采用用的的相相关关软软硬硬件件以以及及技技术术解解决决方方案案,能能够够为为企企业业电电子子商商务务网网络安全建设
3、提供合理化建议。络安全建设提供合理化建议。战略目标战略目标目标用户目标用户产品与服务产品与服务赢利模式赢利模式核心能力核心能力项目案例项目案例 零售行业网络安全零售行业网络安全全球范围内,零售行业是属于排名头三个容易被网络全球范围内,零售行业是属于排名头三个容易被网络攻击者定位为攻击目标的行业之一,原因是几乎全部攻击者定位为攻击目标的行业之一,原因是几乎全部的商户均接受支付卡支付、相对较低的安全防御、存的商户均接受支付卡支付、相对较低的安全防御、存在不少可用的攻击载体。移动设备与近场通信在不少可用的攻击载体。移动设备与近场通信(NFC:NearFieldCommunication)无线技术的集
4、合以及应无线技术的集合以及应用的激增,例如增强实现技术用的激增,例如增强实现技术(augmentedreality)等等等这些更加剧了问题。等这些更加剧了问题。一些来自美国被高度曝光的发生在零售行业的网络窃一些来自美国被高度曝光的发生在零售行业的网络窃取案例包括取案例包括THX、赛百味与巴诺书店。店内无线网络、赛百味与巴诺书店。店内无线网络、POS机系统与信用卡读卡器被攻击导致除了给这些商机系统与信用卡读卡器被攻击导致除了给这些商家带来的经济损失外,还有持信用卡支付用户数千万家带来的经济损失外,还有持信用卡支付用户数千万美元窃取、以及个人信息丢失。这些大规模的网络窃美元窃取、以及个人信息丢失。
5、这些大规模的网络窃取事件的发生无一昭示着零售行业需要在安全方面投取事件的发生无一昭示着零售行业需要在安全方面投入更多的注意力来保障业务的顺畅。入更多的注意力来保障业务的顺畅。项目案例项目案例 零售行业网络安全零售行业网络安全按照传统方式来讲,零售店使用基于店内的具有基础按照传统方式来讲,零售店使用基于店内的具有基础安全功能路由器或在店内网络的基础上覆盖端点保护安全功能路由器或在店内网络的基础上覆盖端点保护的解决方案或一个私有的的解决方案或一个私有的WAN使所有的流量都回到数使所有的流量都回到数据中心进行检测。这些方法都存在各自的缺陷,无论据中心进行检测。这些方法都存在各自的缺陷,无论在功能性方
6、面,还是可扩展性或是成本方面。在功能性方面,还是可扩展性或是成本方面。零售行业在打造安全的分布式环境上应聚焦在以下零售行业在打造安全的分布式环境上应聚焦在以下四个主要的方面,并采取相应的措施解决其面临的问四个主要的方面,并采取相应的措施解决其面临的问题。题。1、访问层。、访问层。2、店铺层。、店铺层。3、数据的聚合之所。、数据的聚合之所。4、管理。、管理。项目案例零售行业网络安全项目案例零售行业网络安全u提提出出问问题题:针针对对零零售售行行业业的的基基本本情情况况和和业业务务需需求求,为为了了保保障障其其网网络络安安全全,应应采采用用哪哪些些方方法法可可以解决零售店的网络安全问题呢?以解决零
7、售店的网络安全问题呢?知识点知识点1 1 黑客攻击安全问题黑客攻击安全问题一、黑客攻击安全问题一、黑客攻击安全问题1 1、网络不安全因素、网络不安全因素2、黑客攻击网络的一般过程、黑客攻击网络的一般过程(1)信息的收集)信息的收集(2)系统安全弱点的探测)系统安全弱点的探测(3)建立模拟环境,进行模拟攻击)建立模拟环境,进行模拟攻击(4)具体实施网络攻击)具体实施网络攻击知识点知识点2 WEB2 WEB应用程序安全问题应用程序安全问题Web应用系统是由操作系统和应用系统是由操作系统和Web应用程序组成的。应用程序组成的。Web应用的大多数安全问题都属于下面三种类型之一:应用的大多数安全问题都属
8、于下面三种类型之一:1、服务器向公众提供了不应该提供的服务,导致存在安、服务器向公众提供了不应该提供的服务,导致存在安全隐患。全隐患。2、服务器把本应私有的数据放到了公开访问的区域,导、服务器把本应私有的数据放到了公开访问的区域,导致敏感信息泄露。致敏感信息泄露。3、服务器信赖了来自不可信赖数据源的数据,导致受到、服务器信赖了来自不可信赖数据源的数据,导致受到攻击。攻击。许多许多Web应用程序容易受到通过服务器、应用程序和应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。内部已开发的代码进行的攻击。Web应用程序攻击包括应用程序攻击包括对应用程序本身的对应用程序本身的DoS(拒
9、绝服务拒绝服务)攻击、改变网页内容、攻击、改变网页内容、SQL注入、上传注入、上传Webshell以及获取对以及获取对Web服务的控制服务的控制权限等。权限等。知识点知识点3 3 协议欺骗攻击问题协议欺骗攻击问题1、源、源IP地址欺骗攻击地址欺骗攻击要防止源要防止源IP地址欺骗行为,可以采取以下措施来尽可地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:能地保护系统免受这类攻击:(1)抛弃基于地址的信任策略)抛弃基于地址的信任策略(2)进行包过滤)进行包过滤2、路由欺骗攻击、路由欺骗攻击为了防范源路由欺骗攻击,一般采用下面两种措施:为了防范源路由欺骗攻击,一般采用下面两种措施:一是
10、:对付这种攻击最好的办法是配置好路由器,使它抛一是:对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。弃那些由外部网进来的却声称是内部主机的报文。二是:在路由器上关闭源路由。二是:在路由器上关闭源路由。知识点知识点4 4 内网安全问题内网安全问题内网安全问题的提出跟国家信息化的进程息息相关,信息内网安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:化程度的提高,使得内部信息网络具备了以下三个特点:1、随着、随着ERP、OA和和CAD等生产和办公系统的普及,单位等生产和办公系统的普及,单位的日程运转对内部信息网络
11、的依赖程度越来越高,内网信息的日程运转对内部信息网络的依赖程度越来越高,内网信息网络已经成了各个单位的生命线,对内网稳定性、可靠性和网络已经成了各个单位的生命线,对内网稳定性、可靠性和可控性提出高度的要求。可控性提出高度的要求。2、内部信息网络由大量的终端、服务器和网络设备组成,内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对内网各个具体部分尤其是数都可能引发整个网络的瘫痪,对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。量巨大的终端可
12、控性和可靠性提出前所未有的要求。3、由于生产和办公系统的电子化,使得内部网络成为单位由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。不再使用,新的信息管理控制手段成为关注的焦点。一个整体一致的内网安全体系,应该包括身份认证、授权管一个整体一致的内网安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可是紧密结合、
13、相互联动的统一平台,才能达到构建可信、可控和可管理的安全内网的效果。控和可管理的安全内网的效果。 零售行业网络安全案例分析零售行业网络安全案例分析u一、一、高性能网络以满足消费者的体验高性能网络以满足消费者的体验u二、二、店内无线店内无线LAN的深度防护的深度防护u三、三、到低成本的公共网络的迁移到低成本的公共网络的迁移u四、店内创新服务的采用四、店内创新服务的采用u五、五、PCI-DSS法案合规支持法案合规支持 知识拓展知识拓展 智能安全分析智能安全分析2012年年Verizon调查报告指出,调查报告指出,99%的违规会导致数据的违规会导致数据在几天甚至更短时间内受损,而在几天甚至更短时间内
14、受损,而85%的违规需要几星期甚至更的违规需要几星期甚至更长时间才会发现。长时间才会发现。利用大数据进行分析已成为安全领域的黄金标准:越来利用大数据进行分析已成为安全领域的黄金标准:越来越多的组织正在将大数据用于安全领域。有越多的组织正在将大数据用于安全领域。有74%的企业正在或的企业正在或计划在一年内为安全目的搜集和分析计划在一年内为安全目的搜集和分析“大数据大数据”;56%的企业的企业已经或正在建立及运作安全营运中心,已经或正在建立及运作安全营运中心,15%的企业的企业2年内有此年内有此计划。计划。大数据改变了安全分析方式:利用大数据检测高级威胁的大数据改变了安全分析方式:利用大数据检测高
15、级威胁的企业有企业有50%,进行安全分析的有,进行安全分析的有46%,进行内部审计的有,进行内部审计的有45%,进行合规操作的有,进行合规操作的有45%,评估现有安全状况的有,评估现有安全状况的有40%,进行,进行安全取证的有安全取证的有38%,保留及分析记录的有,保留及分析记录的有37%。知识拓展知识拓展智能安全分析智能安全分析 但在目前,大数据尚未得到充分利用:但在目前,大数据尚未得到充分利用:40%40%的企业的企业所收集的安全数据都会被淹没;所收集的安全数据都会被淹没;35%35%的企业缺乏足够时间的企业缺乏足够时间及专业水平来分析所收集的数据;及专业水平来分析所收集的数据;38%38
16、%的企业表示,存储的企业表示,存储或数据管理成本阻碍他们搜集更多安全数据;或数据管理成本阻碍他们搜集更多安全数据;73%73%的企业的企业表示,如果数据能被好好利用表示,如果数据能被好好利用, , 他们愿意搜集更多数据用他们愿意搜集更多数据用于安全分析。于安全分析。 把正确信息在正确时间提供给正确人员,从而将攻把正确信息在正确时间提供给正确人员,从而将攻击活动与风险管理给业务带来的影响降至最低,这样企业击活动与风险管理给业务带来的影响降至最低,这样企业就能够对数字风险获得控制能力。就能够对数字风险获得控制能力。 模块八模块八 电子商务安全电子商务安全项目18 信息安全案例项目任务项目案例 信息
17、泄露事件知识点一 网络信息安全信息泄露事件案例分析知识拓展云服务的数据安全问题 项目项目18 信息安全案例信息安全案例u项项目目任任务务:能能说说出出电电子子商商务务信信息息安安全全的的需需求求与与防防范范措措施施,会会分分析析目目前前主主要要的的成成功功案案例例所所采采用用的的技技术术解解决决方方案案,能能够够为为企企业业电电子子商商务务信信息息安安全全建建设设提提供供合合理理化化建议。建议。战略目标战略目标目标用户目标用户产品与服务产品与服务赢利模式赢利模式核心能力核心能力项目案例项目案例 信息泄漏事件信息泄漏事件校园网在为广大师生提供便捷、高效的学习、工作校园网在为广大师生提供便捷、高效
18、的学习、工作环境的同时,也在宽带管理、计费和安全等方面存在环境的同时,也在宽带管理、计费和安全等方面存在许多问题:许多问题:(1)IP地址及用户账号的盗用地址及用户账号的盗用(2)多人使用同一账号)多人使用同一账号(3)网络计费管理功能的单一)网络计费管理功能的单一(4)对带宽资源的大量占用导致重要应用无法进行)对带宽资源的大量占用导致重要应用无法进行(5)访问权限难以控制)访问权限难以控制(6)安全问题日益突出)安全问题日益突出(7)异常网络事件的审计和追查)异常网络事件的审计和追查(8)多个校区的管理和维护)多个校区的管理和维护项目案例项目案例 信息泄漏事件信息泄漏事件u提提出出问问题题:
19、根根据据该该大大学学的的网网络络信信息息问问题题,其其应应该怎么进行信息安全的管理呢?该怎么进行信息安全的管理呢? 知识点知识点1 1 网络信息安全网络信息安全一、一、网络信息安全的定义网络信息安全的定义国际标准化组织国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系对计算机系统安全的定义是:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。据不因偶然和恶意的原因而遭到破坏、更改和显露。二、网络信息安全的特征二、网络信息安全的特征1、保密性、保密性(Confi
20、dentiality)2、完整性、完整性(Integrity):3、可用性、可用性(Availability)4、可控性、可控性三、网络信息安全的攻防技术三、网络信息安全的攻防技术1、安全基础技术、安全基础技术2、入侵及防范技术、入侵及防范技术3、系统安全体系及策略、系统安全体系及策略4、内容安全分析及保障技术、内容安全分析及保障技术 某大学信息安全案例分析某大学信息安全案例分析针对这些问题,该大学进行了一套完整的校园网宽带管理、计费方案。针对这些问题,该大学进行了一套完整的校园网宽带管理、计费方案。该方案提供了一个融合防火墙、接入服务器、访问控制、认证、计费功该方案提供了一个融合防火墙、接入
21、服务器、访问控制、认证、计费功能的强大系统,该系统针对该大学原存在的每个问题都能提供完全的能的强大系统,该系统针对该大学原存在的每个问题都能提供完全的应对策略。应对策略。(1)客户账号与)客户账号与IP地址、地址、MAC地址、地址、NAS设备地址和设备地址和NAS端口绑定端口绑定(2)限定账号登录次数)限定账号登录次数(3)完善计费管理功能)完善计费管理功能(4)带宽的限定和业务优先级的设定)带宽的限定和业务优先级的设定(5)访问区域和访问时间的有效控制)访问区域和访问时间的有效控制(6)内外网)内外网IP地址间的地址间的NAT功能功能(7)强大的事件追查功能)强大的事件追查功能(8)多校区远
22、程管理功能)多校区远程管理功能 知识拓展知识拓展 云服务的数据安全问题云服务的数据安全问题一、一、数据分类存储数据分类存储二、闲时数据管理二、闲时数据管理三、动态数据保护三、动态数据保护 四、密钥管理密钥管理 五、访问控制访问控制 六、加密系统的长期性加密系统的长期性 模块八模块八 电子商务安全电子商务安全项目19 认证技术案例项目任务项目案例 某银行USB Key身份认证应用 知识点一 认证中心某银行USB Key身份认证应用案例分析知识拓展虹膜认证知识点二网上银行身份认证与交易的安全防范项目项目19 认证技术案例认证技术案例u项项目目任任务务:能能讲讲清清楚楚基基本本的的认认证证技技术术的
23、的工工作作原原理理与与功功能能作作用用,能能说说出出网网上上银银行行身身份份认认证证与与交交易易的的安安全全防防范范措措施施,能能够够为为企企业业应应用用认认证证技技术术进进行行初初步步规规划划,并并配合企业认证技术的开展与应用。配合企业认证技术的开展与应用。战略目标战略目标目标用户目标用户产品与服务产品与服务赢利模式赢利模式核心能力核心能力项目案例某银行项目案例某银行USBKey身份认证应用身份认证应用 u某某国国有有银银行行始始建建于于1908年年,是是中中国国早早期期四四大大银银行行之之一一,总总行行设设在在上上海海。为为了了适适应应激激烈烈的的市市场场竞竞争争,近近年年来来该该银银行行
24、大大力力开开展展网网上上银银行行业业务务。在在短短短短的的三三年年中中,该该银银行行完完成成了了网网上上银银行行的的整整体体框框架架构构建建,形形成成了了以以特特色色信信用用卡卡、全全国国通通、外外汇汇宝宝、基基金金买买卖卖等等功功能能为为支支撑撑的的网网上上银银行行服服务务体体系系和和以以普普通通版版、大大众众版版、专专业业版版为为特特征征的的对对公公网网上上银银行行服服务务体体系系,并并实实现现了了网网上上银银行行的的功功能能完完善善和和业业务量的快速增长。务量的快速增长。u通通常常国国内内网网上上银银行行都都会会分分为为大大众众版版和和企企业业版版两两个个版版本本,它它们们的的本本质质区
25、区别别在在于于安安全全级级别别不不同同。用用户户只只要要凭凭借借身身份份证证号号码码、账账号号和和密密码码就就可可以以在在网网上上自自助助开开通通大大众众版版网网上上银银行行,操操作作简简便便,手手续续极极为为简简单单,但但运运行行后后安安全全保保密密性性较较差差,唯唯一一的的防防护护措措施施就就是是客客户户在开通时自行设置的登录密码和付款密码。在开通时自行设置的登录密码和付款密码。项目案例某银行项目案例某银行USBKey身份认证应用身份认证应用申请专业版网上银行就要复杂得多,首先需要用户本人到银行网申请专业版网上银行就要复杂得多,首先需要用户本人到银行网点进行业务申请,通过安装应用数字证书和
26、点进行业务申请,通过安装应用数字证书和PKI体系实现网上账户体系实现网上账户资金的交易和转移。资金的交易和转移。数字证书是网上银行业务中确认用户身份的唯一标志,具有不数字证书是网上银行业务中确认用户身份的唯一标志,具有不可复制性和不可替代性,所有网上交易必须要事先通过数字证书可复制性和不可替代性,所有网上交易必须要事先通过数字证书进行安全认证,它可以看作是用户的网上身份证。既然是网上身进行安全认证,它可以看作是用户的网上身份证。既然是网上身份认证的唯一标志,确保其安全性就至关重要。普通个人用户常份认证的唯一标志,确保其安全性就至关重要。普通个人用户常把数字证书存储在电脑硬盘中,这种做法的危险性
27、不言而喻。对把数字证书存储在电脑硬盘中,这种做法的危险性不言而喻。对于资金交易量较大的企业用户,为了确保其资金安全,该银行强于资金交易量较大的企业用户,为了确保其资金安全,该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制。制要求使用更加安全的存储介质以达到更加有效的资源访问控制。经过充分的测试和详细的比较后,他们选择经过充分的测试和详细的比较后,他们选择SafeNetiKey2032作作为其网上银行企业客户的身份验证工具。为其网上银行企业客户的身份验证工具。SafeNetiKey2032之所以在这样一家大型国有银行竞标中胜出之所以在这样一家大型国有银行竞标中胜出的原因主要源于其
28、突出的产品特性。的原因主要源于其突出的产品特性。iKey2032是一款基于是一款基于USB接接口的可移动身份认证设备,专门针对银行业或其它数字证书用户。口的可移动身份认证设备,专门针对银行业或其它数字证书用户。项目案例某银行项目案例某银行USBKey身份认证应用身份认证应用u提提出出问问题题:该该银银行行采采用用的的数数字字签签名名和和PKIPKI体体系系,可可生生成成并并储储存存私私钥钥和和数数字字证证书书,可可以以满满足足个个人人身身份份认认证证安安全全级级别别要要求求,那那么么这这些些技技术术具具体体是是如何实现其客户身份认证的呢?如何实现其客户身份认证的呢?知识点知识点1 1 认证中心
29、认证中心u一、一、CACA认证中心认证中心uCA又又称称认认证证权权威威、认认证证中中心心、证证书书授授予予机机构构,是是承承担担网网上上认认证证服服务务,能能签签发发数数字字证证书书并并能能确确认认用用户户身身份份的的受受大大家家信信任任的的第第三三方方机机构构。CA通通常常是是企企业业性性的的服服务务机机构构,其其主主要要任任务务是是受受理理数数字字证证书书的的申申请请、签签发发及及对对数数字字证书进行管理。证书进行管理。u二、数字证书二、数字证书u数数字字证证书书是是用用电电子子手手段段来来证证实实一一个个用用户户的的身身份份和和对对网网络络资资源源的的访访问问权权限限。证证书书就就是是
30、一一份份文文档档,记记录录了了用用户户的的公公开开密密钥钥和和其其他他身身份份信信息息。数数字字证证书书是是由由CA认认证证中中心心颁颁发发的的、包包含含了了公公开开密密钥钥持持有有者者信信息息以以及及公公开开密密钥钥的的文件,证书上还有文件,证书上还有CA认证中心的数字签名。认证中心的数字签名。数字证书一般分为三种类型:数字证书一般分为三种类型:个人数字证书、服务器证书、开发者证书个人数字证书、服务器证书、开发者证书。知识点知识点1 1 认证中心认证中心u三、数字签名三、数字签名u数数字字签签名名(DigitalSignature)技技术术是是不不对对称称加加密密算算法法的的典典型型应应用用
31、。数字签名的主要功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。四、四、PKI体系体系PKI(PublicKeyInfrastructure)即)即“公开密钥体系公开密钥体系”,是一种,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务
32、的关键和基础技术。技术是信息安全技术的核心,也是电子商务的关键和基础技术。完整的完整的PKI系统必须具有权威认证机构系统必须具有权威认证机构(CA)、数字证书库、密钥、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(备份及恢复系统、证书作废系统、应用接口(API)等基本构成部)等基本构成部分,构建分,构建PKI也将围绕着这五大系统来着手构建。也将围绕着这五大系统来着手构建。知识点知识点2 2 网上银行身份认证与交网上银行身份认证与交易的安全防范易的安全防范u防范网上银行支付安全应有两大保障:防范网上银行支付安全应有两大保障:u一、法律保障一、法律保障u二、技术安全保障。二、技术安全保障
33、。某银行某银行USB KeyUSB Key身份认证应用案例分析身份认证应用案例分析u一、一、用双因素认证方式替代不可靠的口令分析用双因素认证方式替代不可靠的口令分析u二、二、硬件实现加密算法确保系统安全性硬件实现加密算法确保系统安全性u三、三、支持多个支持多个CA和和PKI应用应用u四、应用简单,携带方便四、应用简单,携带方便 知识拓展知识拓展 虹膜认证虹膜认证虹膜识别是基于人眼虹膜特征的生物识别技术。这种技术对人干虹膜识别是基于人眼虹膜特征的生物识别技术。这种技术对人干扰较少。不需要人的直接接触就能够进行识别,并且虹膜与指纹一样扰较少。不需要人的直接接触就能够进行识别,并且虹膜与指纹一样是独
34、一无二的。没有两个完全一样的虹膜,即使是一个人的左右眼也是独一无二的。没有两个完全一样的虹膜,即使是一个人的左右眼也不会一样,因此虹膜识别技术有着公认的精确性和便捷性。有绝对唯不会一样,因此虹膜识别技术有着公认的精确性和便捷性。有绝对唯一,虹膜纹理具有稳定性和不可变性。虹膜特征稳定性强,其结构特一,虹膜纹理具有稳定性和不可变性。虹膜特征稳定性强,其结构特征外部可见,在人出生后八个月到两周岁左右基本发育完全。此外虹征外部可见,在人出生后八个月到两周岁左右基本发育完全。此外虹膜的活体和死体存在本质区别,想要造假是非常难的,而虹膜识别的膜的活体和死体存在本质区别,想要造假是非常难的,而虹膜识别的识错
35、率也是生物识别中最低的。因此,即使虹膜识别系统的造价相对识错率也是生物识别中最低的。因此,即使虹膜识别系统的造价相对较高但是其应用价值和普及性仍然在生物识别中处于备选状态。较高但是其应用价值和普及性仍然在生物识别中处于备选状态。虹膜图像获取具有安全性。作为一种高安全级别的身份认证技术,虹膜图像获取具有安全性。作为一种高安全级别的身份认证技术,生物识别的使命在于创建人类便捷、安全的沟通关系,网络经济环境生物识别的使命在于创建人类便捷、安全的沟通关系,网络经济环境下更是如此。下更是如此。实操案例实操案例1 1 某省县电力公司网络安全某省县电力公司网络安全u某某省省电电网网作作为为中中国国最最大大的
36、的跨跨省省联联合合电电网网华华东东电电网网的的重重要要组组成成部部分分,已已发发展展成成为为以以火火电电为为主主,水水力力发发电电为为辅辅,500kv输输电电线线路路为为骨骨干干,220kv线线路路为为网网架架、分分层层分分区区结结构构完完整整的的全全省省统统一一电电网网。与与生生产产网网络络的的发发展展相相匹匹配配,该该公公司司已已经经组组建建了了全全省省的的调调度度网网络络和和OA网网络络,并并正正在在发发展展和和银银行行之之间间的的互互联联,开开展展业业务务往往来来;而而且且随随着着信信息息化化的的深深入入发发展展,各各个个公公司司也也有有接接入入internet网网的的需需求求,这这就
37、就对电力内部的各种信息构成威胁。对电力内部的各种信息构成威胁。u某某省省电电力力县县级级对对网网络络安安全全采采取取的的主主要要措措施施有有:利利用用操操作作系系统统、数数据据库库、电电子子邮邮件件、应应用用系系统统本本身身的的安安全全性性,对对用用户户进进行行权权限限控控制制。在在连连接接地地级级的的广广域域网网接接口口处处,通通过过Cisco2600路路由由器器的的IP包包过过滤滤及及访访问问控控制制列列表表(ACL)功功能能,做做了了一一定定的的安安全全控控制制。实实际际上上,仅仅靠以上几项安全措施,不能达到某省电力县级网络安全的要求。靠以上几项安全措施,不能达到某省电力县级网络安全的要
38、求。实操案例实操案例1 1 某省县电力公司网络安全某省县电力公司网络安全u某某省省电电力力县县级级的的主主要要网网络络安安全全威威胁胁包包括括:各各县县级级电电力力局局与与地地市市局局之之间间目目前前主主要要采采用用星星型型拓拓扑扑结结构构,利利用用专专用用线线路路作作为为传传输输通通道道,与与地地市市局局相相连连;目目前前主主要要有有办办公公网网和和调调度度网网。由由于于某某省省电电力力县县级级的的管管理理信信息息网网上上的的网网络络体体系系越越来来越越复复杂杂,应应用用系系统统越越来来越越多多,网网络络规规模模不不断断扩扩大大,逐逐渐渐由由Intranet发发展展到到Extranet,有有
39、的的已已经经扩扩展展到到Internet,网网络络用用户户也也已已经经不不单单单单某某省省电电力力县县级级的的内内部部用用户户,由由于于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁。内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁。u对对某某省省电电力力县县级级网网络络安安全全构构成成威威胁胁的的主主要要因因素素有有:内内部部网网络络和和外外部部网网络络之之间间的的连连接接为为直直接接连连接接,外外部部用用户户不不但但可可以以访访问问对对外外服服务务的的服服务务器器,同同时时也也容容易易地地访访问问内内部部的的网网络络服服务务器器,这这样样,由由于于内内部部和和外外部部
40、没没有有隔隔离离措措施施,内内部部系系统统较较容容易易遭遭到到攻攻击击。来来自自内内部部网网的的病病毒毒的的破破坏坏;内内部部用用户户的的恶恶意意攻攻击击、误误操操作作,但但由由于于目目前前发发生生的的概概率率较较小小,本本部部分分暂暂不不作作考考虑虑。如如果果调调度度网网与与办办公公网网相相联联,调调度度网网的的安安全全将将受受到到来来自自办办公公网网的的威威胁胁。来来自自外外部部网网络络的的攻攻击击,具具体体有有三三条条途途径径:Internet连连接接的的部部分分;与与同同级级单单位位或或不不同同级级单单位位连连接接的的部部分分;与与银银行连接的部分。行连接的部分。实操案例实操案例1 1
41、某省县电力公司网络安全某省县电力公司网络安全u工工作作任任务务:结结合合该该电电力力公公司司的的实实际际情情况况,应应从从哪哪些些方方面面解解决决网网络络安安全全问问题题,请请你你根根据据所所学学的的网网络络安安全全方方案案的的相相关关知知识识,为为某某省省电电力力县县级级的的网络设计网络安全的解决方案?网络设计网络安全的解决方案?某省县电力公司网络安全案例分析某省县电力公司网络安全案例分析一、内部网络、外部网络与互联网之间设置防火墙一、内部网络、外部网络与互联网之间设置防火墙二、与同级或不同级单位之间设置防火墙及访问权限二、与同级或不同级单位之间设置防火墙及访问权限三、与银行连接的部分设置支
42、付网关三、与银行连接的部分设置支付网关实操案例实操案例2 2某省电力公司身份认证系统应用某省电力公司身份认证系统应用某省电力公司设计身份认证技术体系,保证信息系统中用户身份某省电力公司设计身份认证技术体系,保证信息系统中用户身份的真实性,实现以数字证书技术为基础的统一身份认证和用户管理,的真实性,实现以数字证书技术为基础的统一身份认证和用户管理,并基于统一身份认证之上,实现对应用系统的统一应用安全支撑和并基于统一身份认证之上,实现对应用系统的统一应用安全支撑和单点登录。单点登录。某省电力公司是某电网有限公司的全资子公司。承担着全省的电某省电力公司是某电网有限公司的全资子公司。承担着全省的电力生
43、产、建设、调度、经营及电力规划研究等任务。现有所属单位力生产、建设、调度、经营及电力规划研究等任务。现有所属单位38个,其中供电单位个,其中供电单位19个,发电单位个,发电单位3个,直属生产企业个,直属生产企业4个,施个,施工修造企业工修造企业15个,科研院校个,科研院校10个,其它单位个,其它单位5个。拥有资产个。拥有资产585亿亿元。共有员工元。共有员工6万人。万人。在企业目前建设的多个信息系统中,都是采用传统的用户名在企业目前建设的多个信息系统中,都是采用传统的用户名/密密码方式来实现身份认证。但这种方式早已被证明是不安全的。新一码方式来实现身份认证。但这种方式早已被证明是不安全的。新一
44、代基于数字证书的智能卡身份认证系统目前已成为安全认证的标准,代基于数字证书的智能卡身份认证系统目前已成为安全认证的标准,在国内各行业被广泛采用,建立数字证书认证体系,能够为用户网在国内各行业被广泛采用,建立数字证书认证体系,能够为用户网络访问、应用系统访问提供可信的身份识别方式。目前用户在业务络访问、应用系统访问提供可信的身份识别方式。目前用户在业务系统中进行的关键数据交换和关键操作,非常可能被恶意用户进行系统中进行的关键数据交换和关键操作,非常可能被恶意用户进行窃听或非法篡改,无法保证数据的安全性、完整性和不可否认性,窃听或非法篡改,无法保证数据的安全性、完整性和不可否认性,存在安全隐患。而
45、采用安全传输等技术,即可解决相关安全问题。存在安全隐患。而采用安全传输等技术,即可解决相关安全问题。 实操案例实操案例2 2某省电力公司身份认证系统应用某省电力公司身份认证系统应用该电力公司所要建设的是能够解决以下问题的身份认该电力公司所要建设的是能够解决以下问题的身份认证技术体系。证技术体系。(1)解决信息系统的身份鉴别问题)解决信息系统的身份鉴别问题(2)解决信息传输加密问题)解决信息传输加密问题(3)解决基于证书的统一用户管理问题)解决基于证书的统一用户管理问题(4)解决跨域的单点登录问题)解决跨域的单点登录问题由于目前的应用系统服务器都处于各自分散的环境中由于目前的应用系统服务器都处于
46、各自分散的环境中分别部署,因此身份验证系统必须支持跨域。针对如上分别部署,因此身份验证系统必须支持跨域。针对如上需求,建设基于需求,建设基于PKI技术的统一身份认证和用户管理系技术的统一身份认证和用户管理系统,可有效地提高信息系统的安全性、易用性、稳定性。统,可有效地提高信息系统的安全性、易用性、稳定性。在此体系上,一方面在技术上实现了用户的统一认证和在此体系上,一方面在技术上实现了用户的统一认证和管理、实现了人员和数据的安全,另一方面在管理上做管理、实现了人员和数据的安全,另一方面在管理上做到了易于操作、权限清晰和责任明确,是提高信息安全到了易于操作、权限清晰和责任明确,是提高信息安全水平的
47、保障。水平的保障。实操案例实操案例2 2某省电力公司身份认证系统应用某省电力公司身份认证系统应用 u工工作作任任务务:统统一一身身份份认认证证和和用用户户管管理理系系统统是是促促进进该该企企业业信信息息化化发发展展的的重重要要保保障障措措施施,该该公公司司应应具具体体采采用用哪哪些些相相关关技技术术使使得得其其顺顺利利实实现现统统一一身份认证和用户管理的功能呢?身份认证和用户管理的功能呢?某省电力公司身份认证系统应用案例分析某省电力公司身份认证系统应用案例分析 u一、一、PKIPKI系统系统u二、加密技术二、加密技术u三、数字信封技术三、数字信封技术u四、数字签名技术四、数字签名技术u五、身份
48、认证技术五、身份认证技术实操案例实操案例3 3支付宝用户交易信息泄露支付宝用户交易信息泄露 u2013年年3月月,网网友友在在网网上上爆爆料料称称谷谷歌歌搜搜索索结结果果中中出出现现支支付付宝宝转转账账支支付付信信息息,可可能能涉涉及及用用户户隐隐私私泄泄露露问问题题。网网友友只只需需要要在在谷谷歌歌(google)中中输输入入site:,搜搜索索结结果果中中即即可可看看到到每每个个笔笔详详细细的的订订单单明明细细。这这是是一一起起比比较较严严重重的的个个人人信信息息泄泄漏漏事事件件,泄泄漏漏的的内内容容直直接接涉涉及及大大量量敏敏感感信信息息,包包括括付付款款账账户户、收收款款账账户户、付付
49、款款金金额额、付付款款说说明明等等。这这些些信信息息的的敏敏感感和和重重要要程程度度超超过过以以往往信信息息泄泄漏漏事事件件中中的的网网络络服服务务账账号号,泄泄漏漏之之后后更更容容易易给给不不法法分分子子提提供供可可乘乘之之机,给用户带来重大的财产安全隐患。机,给用户带来重大的财产安全隐患。u此此次次个个人人信信息息泄泄漏漏的的原原因因,存存在在两两种种可可能能,一一是是支支付付宝宝存存在在安安全全漏漏洞洞,二二是是谷谷歌歌在在抓抓取取数数据据方方面面越越界界,突突破破了了支支付付宝宝的的技技术术保保护护措措施施。若若是是第第一一种种情情况况,支支付付宝宝自自身身作作为为提提供供第第三三方方
50、支支付付服服务务的的企企业业,应应该该采采取取远远超超一一般般互互联联网网企企业业的的安安全全保保护护措措施施,否否则则因因为为自自身身存存在在安安全全漏漏洞洞导导致致用用户户信信息息泄泄漏漏,应应该该承承担担法法律律责责任任,赔赔偿偿给给用用户户造造成成的的损损失失。若若是是第第二二种种情情况况,则则属属于于谷谷歌歌的的责责任任,虽虽然然搜搜索索引引擎擎通通过过技技术术手手段段自自动动抓抓取取信信息息,但但是是不不能能超超出出必必要要限限度度,尤尤其其是是不不能能逾逾越越其其他他企企业业的的技技术术保保护护措措施施,抓抓取取不不公公开开的的商商业业信信息息和和个个人人信信息。息。实操案例实操案例3 3 支付宝用户交易信息泄露支付宝用户交易信息泄露 u工工作作任任务务:网网上上个个人人信信息息泄泄露露的的根根本本原原因因是是什什么?如何预防?么?如何预防?支付宝用户交易信息泄露案例分析支付宝用户交易信息泄露案例分析 u一、根本原因:技术保护措施和管理安全漏洞一、根本原因:技术保护措施和管理安全漏洞u二二、预预防防方方法法:提提升升技技术术安安全全措措施施和和加加强强公公司司和和网网站站的安全管理制度的安全管理制度
