《电子商务网络安全》由会员分享,可在线阅读,更多相关《电子商务网络安全(29页珍藏版)》请在金锄头文库上搜索。
1、本章小本章小结结1电子商务面临的安全威胁归纳起来主要有以下几个方面:在网络的传输过程中被截获、传输的文件可能被篡改、伪造电子邮件,假冒他人身份、不承认或抵赖已作过的交易。从而提出电子商务安全问题的六项基本要求:授权合法性、不可抵赖性、不密性、身份的真实性、信息的完整性、储存信息的安全性。2常用的电子商务安全技术主要有:防火墙、加密技术、身份认证技术等。防火墙的作用是保护内部网络免受外部的非法入侵,主要有三种类型:包过滤型、应用网关型和电路网关型等。3常见的加密方法有:一种是加密和解密同采用一把密钥,且通信双方必须都要获得这把密钥,叫对称密钥;另一种是公私成对的两把密钥,即加密使用一把密钥(一般
2、是公钥),收到秘文后用私钥解密。9/8/20249/8/2024. .本章小本章小结结4认证技术是为了解决身份验证、交易的不可抵赖。通常采用以下几种方法:数字签名、身份认证、数字时间戳和数字证书。5为了保证交易过程中数据来源可靠、传输安全、不被篡改并且能为交易各方的行为提供无可抵赖等,许多公司提出了不同的标准,其中比较有名的是SET安全电子交易协议和SSL安全套层协议。6计算机病毒是带有一段恶意指令的程序,一旦运行了被病毒感染的程序,它就会隐藏在系统中不断感染内存或硬盘上的程序,条件成熟就立即发作;黑客程序是人们编写的程序,它能够控制和操纵远程计算机,随意拷贝、修改、删除远程机器上的文件。我们
3、要对病毒与黑客用不同的方法进行防范。9/8/20249/8/2024. .1网上零售商遭受比网上消费者更大的在线信用卡欺诈的危险。()练习练习与思考与思考一、判断一、判断题题2数字签名是指通过Internet传送的“网络签名”的密文。()3认证中心是发放数字证书的受信任的第三方。()4防火墙是一种在企业的专用网络与Internet间起过滤作用的软件。(x)9/8/20249/8/2024. .5数字时间戳是电子商务企业向消费者进行时间不过期的一种数字凭证。()练习练习与思考与思考一、判断一、判断题题6安装了防病毒软件的电脑就可以对病毒产生免疫了。()7黑客是企图在未经授权的情况下进入计算机系统
4、的人。()8计算机病毒又分为单机病毒和网络病毒两大类。()9/8/20249/8/2024. .练习练习与思考与思考二、二、选择题选择题1()是确保电子商务参与者无法抵赖其网上行为的能力。A不可否认性B真实性C机密性D完整性A2()是确认与你在Internet上交易的个人身份的能力。A不可否认性B真实性C机密性D完整性B9/8/20249/8/2024. .练习练习与思考与思考3()是确保信息和数据只能被得到授权的人读取的能力。A不可否认性B真实性C机密性D完整性二、二、选择题选择题C4SET是指()。A安全电子交易B安全套接层协议C安全HTTPD安全电子技术A9/8/20249/8/2024
5、. .练习练习与思考与思考5()是可以组织远程客户机登录到你的内部网络。A代理服务器B防病毒软件C操作系统控制D防火墙二、二、选择题选择题6()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。A恶意代码B电子欺骗C网络窃听D内部人行为DC9/8/20249/8/2024. .练习练习与思考与思考8()很可能成为电子商务中最典型的犯罪行为。A网上信用卡诈骗B电子欺骗C网络窃听D恶意代码7()是用来保护信道安全的常用的方式。A安全超文本传输协议B安全套接层协议C虚拟专用网D公共网络二、二、选择题选择题BA9/8/20249/8/2024. .练习练习与思考与思考9()通常感染可执行
6、文件。A宏病毒B脚本病毒C文件感染型病毒D特洛伊木马二、二、选择题选择题10()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。A拒绝服务进攻B阻止服务进攻C分布式拒绝服务进攻D分散式拒绝服务进攻CA9/8/20249/8/2024. .1电子商务网络安全问题一般会遇到下列问题:、,以及。练习练习与思考与思考三、填空题信息泄漏信息泄漏 篡篡改改 身份身份识别问题识别问题 病毒病毒问题问题黑客黑客问题问题2信息在存储时,网站上的信息要防止和。在传输过程中,如果收到的信息与发送的信息的话,说明在传输过程中信息。非法非法篡篡改改 破坏破坏 一一样样 没有遭到破坏没有遭到破坏 3对明文进行所采用
7、的称作加密算法,对密文进行所采用的一组规则称作。加密加密 一一组规则组规则解密解密 解密算法解密算法9/8/20249/8/2024. .练习练习与思考与思考三、填空题4数字摘要具有,不同的明文的摘要,其结果是,而同样的明文其摘要。固定固定长长度度 不相同不相同必必须须相同相同5数字证书是用电子手段来证实一个。在网上进行时,如果双方都出示了,那么双方就不必为而担心了。用用户户身份身份 电电子交易子交易数字数字证书证书对对方身份真方身份真伪伪6黑客程序是人们,它能够控制和操纵,一般由和两部分程序组成。编编写的程序写的程序 远远程程计计算机算机本地本地远远程程7如果信箱突然出现,或者出现的E-ma
8、il,这些E-mail撑破了邮箱,就说明已受到的攻击。无数莫名其妙的无数莫名其妙的邮邮件件体体积积超超过邮过邮箱容量箱容量邮邮件炸件炸弹弹9/8/20249/8/2024. .练习练习与思考与思考四、思考题1防火墙的主要作用是什么?它有哪些类型?各有什么局限性?答:防火答:防火墙墙主要作用是,在内部网与外部网之主要作用是,在内部网与外部网之间间形成一定的隔离。所有内形成一定的隔离。所有内外部网之外部网之间间的的连连接都必接都必须经过须经过此,并在此此,并在此进进行行检查检查和和连连接,只有被授接,只有被授权权的信息的信息才能通才能通过过此屏障,防止非法入侵、非法盗用系此屏障,防止非法入侵、非法
9、盗用系统资统资源。源。 主要有包主要有包过滤过滤型型 、代理服、代理服务务型型 、应应用网关型、用网关型、电电路网关型路网关型 ,以及复合型,以及复合型 防火防火墙墙。 包包过滤过滤型防火型防火墙墙缺陷是无法有效的区分同一缺陷是无法有效的区分同一IP地址下不同的用地址下不同的用户户,所以安,所以安全性相全性相对较对较低些;代理服低些;代理服务务型防火型防火墙墙每一个新的需保每一个新的需保护护的的应应用加入用加入时时,必,必须为须为其其编编制制专专用的程序代用的程序代码码,编编制程序比制程序比较较复复杂杂;电电路网关型防火路网关型防火墙墙向最向最终终用用户户提提供供较较好的透明性,但它的代价是好
10、的透明性,但它的代价是损损失了某些安全性,即不能失了某些安全性,即不能实实施施强强制的制的验证验证和和协议过滤协议过滤;复合型防火;复合型防火墙结墙结构比构比较较复复杂杂。造价也比。造价也比较较高。高。 2常用的密码体制有哪些?它们的工作原理是什么?答:答:对对称密称密钥钥体制和非体制和非对对称密称密码码体制两种。体制两种。 对对称密称密钥钥体制是加密和解密使用的是同一个密体制是加密和解密使用的是同一个密钥钥和算法,如果不相同,也和算法,如果不相同,也可以由一个密可以由一个密钥钥来推来推导导出另一个密出另一个密钥钥来。当来。当A发发送数据送数据给给B时时,A用加密密用加密密钥钥将将明文明文进进
11、行加密后成行加密后成为为密文,而密文,而B在接收到密文后,必在接收到密文后,必须须用用A的密的密钥进钥进行解密,行解密,还还原成明文。原成明文。 非非对对称密称密码码体制有一体制有一对对互互补补的的钥钥匙,一个称匙,一个称为为公公钥钥,另一个称,另一个称为为私私钥钥,由,由于于这这两个密两个密钥钥之之间间存在一定的数学关系,因此存在一定的数学关系,因此这这两个密两个密钥钥中的一个密中的一个密钥钥加密,加密,只能被另一个密只能被另一个密钥钥解开。使用的解开。使用的时时候,候,A用用B的公的公钥钥将明文加密成将明文加密成为为密文,然后密文,然后通通过过网网络传络传送送给给B,B用自己的私用自己的私
12、钥钥将密文解密,将密文解密,还还原成明文。原成明文。3数字签名的原理是什么?它使用的是什么技术?答:答:报报文的文的发发送方从送方从报报文文本中生成一个文文本中生成一个128Bit的数字摘要,的数字摘要,发发送方再用送方再用自己的密自己的密钥对钥对数字摘要数字摘要进进行加密形成行加密形成发发送方的数字送方的数字签签名。然后,名。然后,这这个数字个数字签签名名将作将作为报为报文的附件和文的附件和报报文一起文一起发发送送给给接收方。收方首先从接收到的接收方。收方首先从接收到的报报文中文中计计算算出出128Bit的数字摘要,再用的数字摘要,再用发发送方的公开密送方的公开密钥钥来来对报对报文附加的数字
13、文附加的数字签签名名进进行解行解密。如果密。如果这这两个数字摘要相同,那么接收方就能确两个数字摘要相同,那么接收方就能确认该认该数字数字签签名是名是发发送方的。送方的。 主要使用的数字摘要和非主要使用的数字摘要和非对对称加密技称加密技术术。9/8/20249/8/2024. .练习练习与思考与思考4计算机病毒和黑客程序有什么不同?为什么本书将黑客程序归类为计算机病毒?答:答:计计算机病毒是算机病毒是带带有一段有一段恶恶意指令的程序,只要意指令的程序,只要满满足病毒足病毒发发作条件,病作条件,病毒就会毒就会发发作,其后果作,其后果轻则轻则开个玩笑,在屏幕上开个玩笑,在屏幕上显显示几行文字或示几行
14、文字或图图片;重片;重则则会破会破坏硬坏硬盘盘数据,擦除主板数据,擦除主板BIOS芯片。芯片。 黑客程序黑客程序实际实际上也是黑客上也是黑客编编写的程序,它能写的程序,它能够够控制和操控制和操纵远纵远程程计计算机。算机。 考考虑虑到黑客程序和到黑客程序和计计算机病毒具有同算机病毒具有同样样的危害性,就把黑客程序的危害性,就把黑客程序归归于于计计算算机病毒机病毒类类了。了。四、思考题5按传播方式可以把病毒分为哪两类?如何进行防范?答:按答:按传传播方式划分,可以把病毒分播方式划分,可以把病毒分为单为单机病毒和网机病毒和网络络病毒。病毒。 杀杀毒毒软软件件还还要及要及时时升升级级;定期用;定期用杀
15、杀毒毒软软件件检查检查硬硬盘盘,在系,在系统统中最好安装病中最好安装病毒毒实时监实时监控控软软件;件;备备份系份系统统。 不要不要轻轻易泄露易泄露IP地址,下地址,下载载来来历历不明的不明的软软件,件,实时监视计实时监视计算机端口上是否算机端口上是否有有“异常活异常活动动”。 不要打开陌生人来信中的附件,收到自不要打开陌生人来信中的附件,收到自认为认为有趣的有趣的邮邮件件时时,不要盲目,不要盲目转发转发,因因为这样为这样会帮助病毒的会帮助病毒的传传播。播。9/8/20249/8/2024. .本章案例本章案例K K公司公司电电子商子商务务网网络络安全解决方案安全解决方案K公司是一家跨国石化企业
16、,1998年8月开通了石化产品销售和物资采购供应的B2B电子商务系统。石化产品销售系统网上客户1700余家。该系统的主要功能包括:在线交易、会员管理、产品信息管理、销售系统数据交换、综合查询分析、客户信息反馈、信息发布、以及其他辅助功能;物资采购供应系统网上供应商1200家左右,物资12万余种,预计最终上网供应商将达到1900家,物资38万种,年交易额900亿元。该系统功能包括供应商管理、采购计划和订单管理、采购管理、统计报表管理、信息发布、物资信息查询、采购绩效分析等。9/8/20249/8/2024. .本章案例本章案例一、K公司电子商务系统的安全需求该系统的安全需求可分为两个层次和一个方
17、面,一个是网络层的安全需求;一个是应用层的安全需求。一个方面是后台管理的安全需求。(1)网络层风险网络中心连通Internet之后,可能遭受到来自Internet的不分国籍、不分地域的恶意攻击;在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器;更有一些黑客程序也将通过这种方式进入企业网,为黑客和竞争对手获取企业数据创造条件;该系统内部注册连接的会员用户很多,很难保证没有用户会攻击B2B电子商务的服务器。目标主要是获取其他会员企业的机密信息,如产品的价格、订货数据等。9/8/20249/8/2024. .本章案例本章案
18、例(2)网络层安全需求基于以上风险,网络层安全主要解决企业网络互联时和在网络通信层面安全问题,需要解决的问题有:B2B电子商务网络进出口控制(IP过滤);网络和链路层数据加密;安全检测和报警、防杀病毒。(3)应用层的安全需求应用系统安全风险分为两类:如果由于攻击者对网络结构和系统应用模式不了解,通过对Web应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取企业的重要数据;如果攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息。9/8/20249/8/2024. .本章案例本章案例(4)B2B电子商务应用的安全需求Web应用
19、是B2B电子商务的主要模式。在基于Internet等公共网络上,在交易过程中,必须按照会员的身份进行控制,对服务器也必须进行必要的身份认证。在认证的基础上根据会员用户的身份对信息进行授权,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。(5)后台管理的安全需求所谓后台管理是指企业内部对电子商务的数据库、应用服务器等系统进行的日常管理工作,这些工作直接涉及到客户保密信息。在管理过程中,系统管理员也要进行身份认证和授权管理,这样可以将内部风险降到最低限度。9/8/20249/8/2024. .本章案例本章案例二、K公司电子商务的整体安全解决方案根据K公司电子商务的各层次安全需求,采用各种成熟
20、的安全技术和产品,配备有效的管理策略和手段,给出的电子商务安全解决方案。1网络层安全解决方案根据提出的网络层安全需求,一是要保证B2B电子商务的网络结构不能被攻破,二是要求对攻击能够预警,三是防杀病毒。所以要有针对性地采用成熟技术和产品。(1)安全网络结构设计K公司的网络安全结构是在外网和内网之间增加一个子网,起着缓冲隔离作用,如图5-7所示。这样就将B2B电子商务网络划分为三个区域:9/8/20249/8/2024. .本章案例本章案例外部网络,通过路由器连接到的Internet及其他公网;外部服务子网,由安全代理服务器、公共服务器(DNS、E-Mail)构成;内部网络,由B2B电子商务的实
21、际应用服务器和数据库组成。在安全结构中改变了防火墙的位置,通过配置防火墙,将网络分为三个区域。在安全结构下,外部网络的远程客户不能直接访问到K公司电子商务的各个应用服务器,而是只能访问到外部服务子网中代理服务器,再由代理服务器访问K公司电子商务中心内网的对应应用服务器。对外公开服务器,如WWW、E-Mail等,也可以放在外部服务子网中。9/8/20249/8/2024. .Internet外部服务器外部服务器电子商务中心Internet外部服务子网管理工作站NetSEAL安全客户代理CA管理工作站数据库服务器数据库服务器对内WWW服务器DNS、E-Mail内部CA服务器经销商NetSEAT安全
22、客户代理经销商SSL安全协议供应商NetSEAT安全客户代理供应商SSL安全协议对外WWW服务器复制WebCAWebSEALNetSEALPKMSWebCAWebSEALNetSEALPKMS防火墙9/8/20249/8/2024. .本章案例本章案例(2)防火墙技术防火墙在技术上已经相对成熟,但需要选择支持三网段的防火墙产品。防火墙接入路由器后端与Internet相连,将K公司电子商务网络划分为三个网段。通过合理地配置防火墙过滤规则,满足下列需求:远程客户只能访问外部服务子网的安全代理服务器,不能直接对内部网络的B2B电子商务应用服务器和数据库进行访问;内部网络的客户端只能访问本网段的应用服
23、务器,不能访问防火墙以外的任何其他网络;外部服务子网中的安全代理服务器可以通过防火墙,访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口。防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。9/8/20249/8/2024. .本章案例本章案例(3)入侵检测技术随着Internet应用的不断普及,黑客入侵事件也呈上升趋势,对于B2B电子商务这样以公开主页提供业务服务,面临被攻击的可能性大幅度增加。在安装防火墙和划分三网段安全结构后,降低了这种风险后,还要安装入侵检测系统(IDS)。该系统
24、安装的入侵检测产品是ISS公司的RealSecure。它根据系统的安全策略做出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,它可列出全线链接的网络系统易被黑客利用和可能被利用的薄弱环节,防范黑客攻击。9/8/20249/8/2024. .本章案例本章案例(4)杀病毒技术防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查和过滤,可以防止病毒通过邮件、FTP等方式从Internet进入企业网。9/8/20249/8/2024. .本章案例本章案例2应
25、用层安全解决方案目前K公司安装的是WebCA安全组件,WebCA安全组件解决方案如下:双向身份认证,客户和B2B电子商务应用服务器要互相取得身份信任,这是基于Kerberos身份认证协议的;对象访问控制,细粒度的对象访问控制,对象是网络系统中的资源总和,最具特色的是对动态对象(动态URL)的访问控制,使得动态Web应用可以纳入到安全体系;数据传输加密,所有数据在传输过程中均可以加密,保证了数据的机密性和完整性;审计日志服务,提供详实的审计日志文件,记录客户、各个应用服务器在网络中的活动;安全管理服务,提供WebCT管理控制台,以图形界面对用户、资源对象、服务器以及访问控制授权策略进行管理和维护
26、。9/8/20249/8/2024. .本章案例本章案例WebCA组件的功能如下:WebCA安全服务器,对安全域中的所有成员(客户和应用服务器)提供集中的身份认证服务。同时它提供一个中央注册数据库,内含被保护的所有合法用户和组的登录帐号;WebSEAL服务器,作为HTTP安全代理,保护指定的Web应用。来自客户端的Web请求,无论来自授权用户还是非授权用户,首先由WebSEAL服务器处理。如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给第三方Web服务器。NetSEAL服务器,NetSEAL作为TCP安全代理,保护安全域内的网络应用服务器。NetSEAL可以允许或阻止用户运行某个
27、服务器上的某个网络应用,如FTP、Telnet以及用户自行设计的网络应用。9/8/20249/8/2024. .本章案例本章案例WebCT控制台,用来对WebCT的用户帐号、访问控制策略、服务器对象等进行管理。NetSEAT安全客户端,是一个轻量型的客户端软件,运行在客户端上,用来与安全服务器、WebSEAL/NetSEAL服务器进行身份认证和建立安全通信通道。NetSEAT对应用的客户端软件不作任何改变,采用陷阱方式,由NetSEAT设置IP陷阱、截取IP数据包,由NetSEAT进行处理。PKMS服务器,将基于公共密钥的SSL策略集成在一起,用在Web应用方面。WebSEAL服务器通过公共密
28、钥管理服务器(PKMS)与SSL连接起来。PKMS实际是身份认证网关和建立基于SSL的加密通道。9/8/20249/8/2024. .本章案例本章案例3安全的后台管理后台管理的安全漏洞主要是口令的泄露。现有的网管软件和应用管理软件在身份认证上基本都是明码口令,极容易被窃取。K公司将后台管理纳入WebCA的统一安全体系内。在B2B电子商务的外部服务子网里安装NetSEAL服务器,对内网中所有应用服务器进行保护。在管理工作站上增加NetSEAT安全客户端。这样,管理员要想直接访问应用服务器进行管理操作时,就必须经过WebCA身份认证,为后台管理起到安全保障作用。9/8/20249/8/2024.
29、.本章案例本章案例4电子商务内部CA解决方案在K公司电子商务应用方案和安全解决方案中,配备了CA认证,为会员客户颁发代表身份的CA证书。CA设施主要由三个组件构成:CA服务器,也称为证书服务器,它的主要作用是签发和管理所有的证书以及证书作废表。CA服务器接受证书服务申请并提供相应的服务;CA管理客户端,CA管理客户端是由CA超级管理员使用,负责CA系统本身的管理,并不签发最终用户的证书;CA维护客户端,CA维护客户端是由CA操作员使用,负责用户的证书申请、证书更新、证书作废、证书查询、作废证书查询等工作。9/8/20249/8/2024. .3K公司内部为什么要进行CA认证?从安全网从安全网络
30、结络结构构设计设计、防火、防火墙墙技技术术、入侵、入侵检测检测技技术术、杀杀病毒技病毒技术术4方面方面给给于回答。于回答。2K公司在网络结构设计上在哪些方面突出了安全要求?从网从网络层络层安全需求、安全需求、应应用用层层的安全需求、的安全需求、B2B电电子商子商务务应应用的安全需求、后台管理的安全需求用的安全需求、后台管理的安全需求4方面方面给给于回答。于回答。本章案例本章案例1K公司电子商务网络安全有哪些要求?案例思考案例思考题题从后台管理口令的泄露。网管从后台管理口令的泄露。网管软软件和件和应应用管理用管理软软件在身件在身份份认证认证上基本都是明上基本都是明码码口令,极容易被窃取等方面口令,极容易被窃取等方面给给于回于回答。答。9/8/20249/8/2024. .
