版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、第4章 電子商務(wù)安全保障,學(xué)習(xí)目標(biāo)了解電子商務(wù)安全問(wèn)題所涉及的范圍概括電子商務(wù)安全的重要組成部分理解在保障安全和其他價(jià)值之間的矛盾關(guān)系認(rèn)識(shí)電子商務(wù)環(huán)境中的主要威脅理解如何利用不同的加密技術(shù)來(lái)保護(hù)Internet上信息的安全了解用來(lái)在Internet上建立安全通信的技術(shù)了解用來(lái)保護(hù)網(wǎng)絡(luò)、服務(wù)器和客戶機(jī)的技術(shù)正確評(píng)價(jià)各種政策在創(chuàng)造安全環(huán)境中的重要性,,電子商務(wù)是在計(jì)算機(jī)網(wǎng)絡(luò)(主要是因特網(wǎng))上進(jìn)行的,支付信息、訂貨信息、談判信
2、息、機(jī)密的商務(wù)往來(lái)文件等大量商務(wù)信息在計(jì)算機(jī)系統(tǒng)中存放、傳輸和處理,所以,保證商務(wù)信息的安全是進(jìn)行電子商務(wù)的前提。,4.1 電子商務(wù)安全環(huán)境,對(duì)于犯罪分子來(lái)說(shuō),Internet創(chuàng)造了一個(gè)全新的,同時(shí)也是對(duì)其有利的盜竊途徑。產(chǎn)品、服務(wù)、資金、信息都可以獲得網(wǎng)上犯罪風(fēng)險(xiǎn)較小匿名發(fā)出虛假訂單、攔截電郵、攻擊網(wǎng)站等使企業(yè)和消費(fèi)者付出很大代價(jià),1、問(wèn)題涉及的領(lǐng)域,出于各種原因,很難對(duì)電子商務(wù)犯罪的實(shí)際數(shù)量進(jìn)行準(zhǔn)確統(tǒng)計(jì)企業(yè)害怕失去合法的消
3、費(fèi)者很難確定實(shí)際遭受的損失,案例:美國(guó)10億美元被“釣”釣魚攻擊愈演愈烈,2005年6月26日消息,Gartner(高德納全球最具權(quán)威的IT研究與顧問(wèn)咨詢公司 )公司的一項(xiàng)調(diào)查結(jié)果顯示,過(guò)去12個(gè)月估計(jì)有120萬(wàn)美國(guó)人的帳戶被盜取,失款總數(shù)達(dá)10億美元。 嵌入郵件中的惡意信息。植入密鑰監(jiān)視器等,時(shí)刻監(jiān)視一些特殊的URL登錄行為,竊取用戶名和密碼等敏感信息 。需要的是雙向認(rèn)證(目前互聯(lián)網(wǎng)只從單方面驗(yàn)證身份的合法性)。,,,電子商
4、務(wù)的安全問(wèn)題,1)信息泄露、篡改、身份識(shí)別問(wèn)題,2)計(jì)算機(jī)病毒問(wèn)題計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)、破壞計(jì)算機(jī)硬件從而影響計(jì)算機(jī)使用,并能自我復(fù)制的計(jì)算機(jī)指令或者程序代碼。特征:傳染性、非授權(quán)性、隱蔽性、破壞性、潛伏性、不可預(yù)見(jiàn)性。3)黑客問(wèn)題Hacker 指利用計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò),非法調(diào)閱、盜竊、截獲或篡改他人機(jī)密數(shù)據(jù)資料,或從事其他破壞活動(dòng)的人。,犯罪的特點(diǎn),與傳統(tǒng)的犯罪相比有許多不同的特
5、點(diǎn):危害性:犯罪后果嚴(yán)重。成本低,傳播快,范圍廣。知識(shí)性:智慧型白領(lǐng)犯罪,年輕、專業(yè)化 。隱蔽性:偵破與取證困難。 廣域性:作案場(chǎng)所不受地理區(qū)域的限制。,國(guó)內(nèi)信息安全重要網(wǎng)站,信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室http://www.is.ac.cn/中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)http://www.infosec.org.cn/全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)http://www.tc260.org.cn/,2、電子商務(wù)安全環(huán)境,
6、3、電子商務(wù)的安全需求,Integrity(完整性): ability to ensure that information being displayed on a Web site or transmitted/received over the Internet has not been altered in any way by an unauthorized partyNonrepudiation(不可否認(rèn)性): abili
7、ty to ensure that e-commerce participants do not deny online actionsAuthenticity(真實(shí)性): ability to identify the identity of a person or entity with whom you are dealing on the Internet,Dimensions of E-commerce Security,電
8、子商務(wù)的安全需求,Confidentiality(機(jī)密性): ability to ensure that messages and data are available only to those authorized to view themPrivacy(隱私性): ability to control use of information a customer provides about himself or herself
9、 to merchant Availability(可用性): ability to ensure that an e-commerce site continues to function as intended(按照預(yù)期的功能運(yùn)行),4.2 電子商務(wù)環(huán)境中的安全威脅,從技術(shù)角度看,在電子商務(wù)中有3個(gè)關(guān)鍵的薄弱點(diǎn):客戶機(jī)、服務(wù)器、通信信道(線路)Most common threats:Malicious code(惡意代碼)
10、Hacking and cybervandalism(黑客網(wǎng)絡(luò)破壞行為)Credit card fraud/theft(信用卡詐騙與盜竊)Spoofing(電子欺騙)Denial of service attacks(服務(wù)拒絕攻擊)Sniffing(網(wǎng)絡(luò)竊聽(tīng))Insider jobs(內(nèi)部人員行為),A Typical E-commerce Transaction,Vulnerable(受攻擊) Points in an E-
11、commerce Environment,1、 Malicious code(惡意代碼),病毒(Viruses):具有復(fù)制或者自我復(fù)制并傳播到其他文件中的能力的計(jì)算機(jī)程序。蠕蟲(Worms):一種可以在計(jì)算機(jī)間進(jìn)行傳播的病毒。特洛伊木馬(Trojan horse):看起來(lái)似乎是良性的,但是往往產(chǎn)生預(yù)想不到的后果。通常是病毒或其他惡意代碼感染計(jì)算機(jī)系統(tǒng)的一種途徑。惡意插件(Bad applets ):malicious Java a
12、pplets or ActiveX controls that may be downloaded onto client and activated merely by surfing to a Web site,2、 Hacking and cybervandalism(黑客和網(wǎng)絡(luò)破壞行為),黑客(Hacker):指對(duì)電腦系統(tǒng)的非法侵入者,企圖在未經(jīng)授權(quán)的情況下進(jìn)入計(jì)算機(jī)系統(tǒng)的人。黑客(hacker):對(duì)技術(shù)的局限性有充分認(rèn)識(shí),具
13、有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí),熱衷編程,查找漏洞,表現(xiàn)自我。他們不斷追求更深的知識(shí),并公開(kāi)他們的發(fā)現(xiàn),與其他人分享;主觀上沒(méi)有破壞數(shù)據(jù)的企圖。駭客(cracker):以破壞系統(tǒng)為目標(biāo)。網(wǎng)絡(luò)破壞行為(cybervandalism):故意破壞網(wǎng)站、損壞企業(yè)名譽(yù)甚至摧毀網(wǎng)站。,3、信用卡欺詐(Credit Card Fraud),deters online purchasesHackers target credit card f
14、iles and other customer information files on merchant servers; use stolen data to establish credit under false identityOne solution: New identity verification mechanisms(如電子簽名),4、Spoofing, DoS , Attacks, Sniffing, Insid
15、er Jobs,Spoofing(電子欺騙): Misrepresenting oneself by using fake e-mail addresses or masquerading(假扮) as someone elseDenial of service (DoS) attack(服務(wù)拒絕攻擊):向服務(wù)器發(fā)送大量無(wú)用的通信請(qǐng)求從而使之與網(wǎng)絡(luò)一并癱瘓Sniffing(網(wǎng)絡(luò)竊聽(tīng)): type of eavesdropping(偷
16、聽(tīng)) program that monitors information traveling over a network; enables hackers to steal proprietary information from anywhere on a networkInsider jobs(內(nèi)部人員行為):single largest financial threat,4.3 技術(shù)解決方案概述,Protecting Inte
17、rnet communications :保護(hù)Internet的通信通過(guò)加密、簽名、數(shù)字證書和PKI等技術(shù)解決Securing channels of communication:通信信道的安全通過(guò)SSL,VPN等技術(shù)(網(wǎng)絡(luò)安全協(xié)議)解決Protecting networks:保護(hù)網(wǎng)絡(luò)通過(guò)防火墻 (firewalls)等技術(shù)解決Protecting servers and clients:保護(hù)服務(wù)器和客戶機(jī)通過(guò)操作系統(tǒng)控制
18、和防病毒軟件等方法解決,4.4 保護(hù)Internet的通信安全(Protecting Internet communications):加密與認(rèn)證,Internet是開(kāi)放的網(wǎng)絡(luò)(與專用網(wǎng)有很大區(qū)別),數(shù)據(jù)包在傳送中要經(jīng)過(guò)許多路由器和服務(wù)器,最大的安全威脅發(fā)生在Internet的通信過(guò)程中?,F(xiàn)代電子商務(wù)交易要經(jīng)過(guò)Internet進(jìn)行,必須重視通信安全。最基本的技術(shù)是加密和認(rèn)證。,1.加密算法,為了保證信息在網(wǎng)上傳輸過(guò)程中不被篡改,必須
19、對(duì)所發(fā)送的信息進(jìn)行加密。(替換,轉(zhuǎn)置)?例如:將字母a,b,c,d,e,… x,y,z的自然順序保持不變,但使之與D,E,F(xiàn),G,H,…,Y,Z,A,5B分別對(duì)應(yīng)(即相差3個(gè)字符且轉(zhuǎn)換大小寫)。若明文為and,則對(duì)應(yīng)密文為DQG。(接收方知其密碼為3,它就能解開(kāi)此密文)。,1) 對(duì)稱密鑰密碼體系,?對(duì)稱密鑰密碼體系(Symmetric Cryptography)又稱對(duì)稱密鑰技術(shù)。(DES,Data Enercription Stand
20、ard 美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn))64位,著名的加密標(biāo)準(zhǔn),DES:對(duì)稱加密的典型代表,使用最廣泛。由IBM研制,1975年公布,1977年正式作為美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)。3DES:三重加密標(biāo)準(zhǔn)AES:高級(jí)加密標(biāo)準(zhǔn),美國(guó)國(guó)家標(biāo)準(zhǔn)于技術(shù)協(xié)會(huì)(NIST)歷時(shí)4年,于2001年開(kāi)發(fā)成功。,特點(diǎn),優(yōu)點(diǎn):密鑰簡(jiǎn)短,算法較簡(jiǎn)單,運(yùn)行效率高 。缺點(diǎn):對(duì)交換(分配)密鑰要求很高單獨(dú)使用很難適應(yīng)Internet上的商務(wù)應(yīng)用無(wú)法支持信息的不可抵賴性,DES
21、算法(根據(jù)2000年計(jì)算機(jī)的運(yùn)算速度),2) 非對(duì)稱密鑰密碼體系,?非對(duì)稱密鑰密碼體系(Asymmetric Cryptography)也稱公開(kāi)密鑰技術(shù)。(RSA算法)?特點(diǎn):成對(duì)出現(xiàn),唯一性。原理:?非對(duì)稱密鑰技術(shù)的優(yōu)點(diǎn)是:易于實(shí)現(xiàn),使用靈活,密鑰較少。?弱點(diǎn)在于要取得較好的加密效果和強(qiáng)度,必須使用較長(zhǎng)的密鑰。,RSA算法,RSA公鑰加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美國(guó)
22、麻省理工學(xué)院)開(kāi)發(fā)的。RSA取名來(lái)自開(kāi)發(fā)他們?nèi)叩拿?。RSA是目前最有影響力的公鑰加密算法,它能夠抵抗到目前為止已知的所有密碼攻擊,已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA算法基于一個(gè)十分簡(jiǎn)單的數(shù)論事實(shí):將兩個(gè)大素?cái)?shù)相乘十分容易,但那時(shí)想要對(duì)其乘積進(jìn)行因式分解卻極其困難,因此可以將乘積公開(kāi)作為加密密鑰。(13*15),3)對(duì)稱密鑰與非對(duì)稱密鑰比較,典型代表是RSA體制,1977年由MIT的3位科學(xué)家提出。優(yōu)點(diǎn):解決密鑰分配(交換)
23、和數(shù)字簽名問(wèn)題 。缺點(diǎn):密鑰比較長(zhǎng),算法復(fù)雜,所以運(yùn)行效率較低。商用時(shí),建議使用1024比特或以上密鑰長(zhǎng)度。,2、數(shù)字摘要和數(shù)字簽名,數(shù)字摘要:也稱為散列編碼(hash function)用于對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行運(yùn)算生成固定長(zhǎng)度(如128位)的數(shù)字摘要生成信息的數(shù)字“指紋”,保證信息的完整性不被破壞散列函數(shù)的特點(diǎn)散列值:固定長(zhǎng)度;散列值的唯一性:對(duì)于相同的數(shù)據(jù)進(jìn)行Hash后,總是能得到同樣的摘要(散列值)散列函數(shù)是單向的
24、:無(wú)法通過(guò)生成的數(shù)字摘要恢復(fù)出源數(shù)據(jù)常用的數(shù)字摘要算法列表:見(jiàn)P133MAC(消息認(rèn)證碼):解決:截獲消息和摘要后,修改消息,生成新的摘要,偽裝發(fā)送。見(jiàn)教材P133-134.,接收方生成,數(shù)字簽名,方法:結(jié)合數(shù)字摘要算法和公開(kāi)密鑰算法,共同使用。原理:將摘要用發(fā)送者的私鑰加密,生成數(shù)字簽名,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。解決的問(wèn)題信息的完整性防抵賴,生成簽名,生成數(shù)字信封,5、數(shù)字信封
25、(Digital Envelopes),見(jiàn)教材P132:混合加密系統(tǒng)對(duì)稱密鑰體制:密鑰分發(fā)困難;高效;數(shù)據(jù)的加密公開(kāi)密鑰體制:加解密時(shí)間長(zhǎng);靈活;密鑰的加密Uses symmetric key encryption to encrypt document but public key encryption to encrypt and send symmetric key(利用數(shù)據(jù)接收者的公鑰來(lái)封裝保護(hù)加密數(shù)據(jù)的對(duì)稱密鑰)創(chuàng)建數(shù)
26、字信封的目的是為了傳送對(duì)稱密鑰,數(shù)字信封,發(fā)方: A1:生成對(duì)稱密鑰,用該密鑰對(duì)報(bào)文加密; A2 :用收方的公鑰加密上述對(duì)稱密鑰; A3 :將A1、A2步驟的結(jié)果傳給收方;收方: B1: 用自己的私鑰解密對(duì)稱密鑰; B2 :用得到的對(duì)稱密鑰解密報(bào)文。,數(shù)字信封,6、數(shù)字證書和認(rèn)證技術(shù),為了在網(wǎng)上建立一種信任及信任驗(yàn)證機(jī)制,需要使用認(rèn)證技術(shù)。認(rèn)證技術(shù)的核心:是數(shù)字證書(Digital Cert
27、ificate)和認(rèn)證中心(Certificate Authority,CA)。公開(kāi)密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI):由各方所接受的認(rèn)證中心及數(shù)字證書規(guī)程所組成。是一套集成了加密、數(shù)字證書、認(rèn)證和相關(guān)安全策略的Internet安全解決方案。,PKI應(yīng)用系統(tǒng)(見(jiàn)教材P141),認(rèn)證機(jī)構(gòu)X.500目錄服務(wù)器具有高性能加密算法的安全Web服務(wù)器Web安全通信平臺(tái)自行開(kāi)發(fā)的安全應(yīng)用系統(tǒng),數(shù)字證
28、書(Digital Certificate),數(shù)字證書是一份電子文檔,它記錄了用戶的公鑰和其它身份信息,它由CA簽發(fā),是網(wǎng)上的身份證明。接受方可驗(yàn)證證書的真?zhèn)?;使用證書中的公鑰進(jìn)行加密和驗(yàn)證簽名。,數(shù)字證書,Digital certificate: Digital document that includes:Name of subject or companySubject’s public keyDigital certif
29、icate serial numberExpiration dateIssuance dateDigital signature of certification authority (trusted third party (institution) that issues certificateOther identifying information證書格式通常采用X.509標(biāo)準(zhǔn),證書的類型,證書的類型很多,主要有2大類
30、:個(gè)人數(shù)字證書:安裝在瀏覽器上;服務(wù)器證書:安裝在服務(wù)器上;單位證書安全電子郵件證書如何從瀏覽器查看和管理數(shù)字證書?,證書的生成,首先為用戶生成一對(duì)公/私密鑰對(duì)CA為用戶生成用戶自己生成(通常由瀏覽器生成)向CA申請(qǐng)合法證書用戶把證書請(qǐng)求和用戶公鑰一起提交CACA審核請(qǐng)求,簽發(fā)證書CA為證書創(chuàng)建一個(gè)數(shù)字摘要,并用CA的私鑰簽名,數(shù)字證書的使用,先安裝CA的根證書一般所訪問(wèn)的系統(tǒng)如果需要使用數(shù)字證書會(huì)自動(dòng)彈出提示框
31、要求安裝根證書,用戶直接選擇確認(rèn)即可;也可以直接登陸CA中心的網(wǎng)站,下載安裝根證書。安裝用戶證書用戶必須準(zhǔn)備好裝有證書的存儲(chǔ)介質(zhì)和證書文件。證書的檢查(由系統(tǒng)自動(dòng)進(jìn)行)證書路徑->信任的CA證書(取出公鑰)->被檢查證書,認(rèn)證中心,是一個(gè)權(quán)威的、可信賴的、公正的第三方信任機(jī)構(gòu),它產(chǎn)生、發(fā)放并管理所有參與網(wǎng)上交易各方的數(shù)字證書。國(guó)內(nèi)外著名的CA:http://www.verisign.com/世界著名的認(rèn)證中心
32、http://www.sheca.com/上海市電子商務(wù)安全證書管理中心http://www.cfca.com.cn/中國(guó)金融認(rèn)證中心http://www.cnca.net 廣東省電子商務(wù)認(rèn)證中心,4.5 通信信道的安全(Securing channels of communication),Secure Sockets Layer (SSL): Most common form of securing channels of c
33、ommunication; used to establish a secure negotiated sessionVirtual Private Networks (VPNs): 使用點(diǎn)到點(diǎn)隧道協(xié)議(Point-to-Point Tunneling Protocol ,PPTP),使得遠(yuǎn)程用戶可以通過(guò)Internet安全地訪問(wèn)內(nèi)部網(wǎng)絡(luò),使用場(chǎng)合 (了解)在商業(yè)伙伴之間總公司與分支機(jī)構(gòu)之間,SSL協(xié)議,SSL建立在TCP協(xié)議
34、之上,它的優(yōu)勢(shì)在于與應(yīng)用層協(xié)議獨(dú)立無(wú)關(guān)SSL是目前在電子商務(wù)中應(yīng)用最廣泛的安全協(xié)議之一SSL被大部分Web瀏覽器和Web服務(wù)器所內(nèi)置,SSL基本功能,SSL服務(wù)器認(rèn)證,確認(rèn)用戶身份(可選擇) 保證數(shù)據(jù)傳輸?shù)臋C(jī)密性保證數(shù)據(jù)傳輸?shù)耐暾許SL兩種加密方式在建立連接過(guò)程中采用公開(kāi)密鑰;在會(huì)話過(guò)程中采用了對(duì)稱密鑰。,SSL,Secure Negotiated Sessions(會(huì)話協(xié)商) Using SSL,會(huì)話密鑰,識(shí)別SSL
35、聯(lián)機(jī),SSL協(xié)議為用戶提供了安全功能,而且不需要對(duì)細(xì)節(jié)的介入,但是,用戶應(yīng)識(shí)別SSL聯(lián)機(jī)的狀態(tài)。瀏覽器地址欄(URL)http變?yōu)閔ttps窗口右下方的加密鎖狀態(tài),4.5 保護(hù)網(wǎng)絡(luò)(Protecting Networks):防火墻(Firewalls),定義廣義:強(qiáng)制實(shí)施訪問(wèn)控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)狹義:指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng),1、防火墻的特性,防火墻被放在兩個(gè)網(wǎng)絡(luò)之間,并具有以下特性:所有從內(nèi)部到外部或從外
36、部到內(nèi)部的通信都必須經(jīng)過(guò)它。只有有內(nèi)部訪問(wèn)策略授權(quán)的通信才被允許通過(guò)。,2、防火墻的主要功能,保障網(wǎng)絡(luò)安全:過(guò)濾不安全的服務(wù)和非法用戶。強(qiáng)化網(wǎng)絡(luò)安全策略:口令、加密、身份認(rèn)證,控制對(duì)特殊站點(diǎn)的訪問(wèn)。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)。防止內(nèi)部信息外泄,3、防火墻的種類,包過(guò)濾型防火墻應(yīng)用網(wǎng)關(guān)型防火墻代理服務(wù)型防火墻特點(diǎn):包過(guò)濾防火墻通?;诼酚善鳎?jiǎn)單價(jià)格便宜。應(yīng)用網(wǎng)關(guān)和代理服務(wù)方式的防火墻大多是基
37、于主機(jī)的,價(jià)格比較貴,但性能好,安裝和使用也比包過(guò)濾防火墻復(fù)雜,包過(guò)濾防火墻,包過(guò)濾防火墻應(yīng)用數(shù)據(jù)包過(guò)濾(Packet Filtering)技術(shù)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,截獲每個(gè)通過(guò)防火墻的IP包,并進(jìn)行安全檢查。如果通過(guò)檢查,就將該IP包正常轉(zhuǎn)發(fā)出去否則,阻止該IP包通過(guò),包過(guò)濾防火墻,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯,被稱為訪問(wèn)控制表(Access Control Table)。規(guī)則一般基于下述5元組:<協(xié)議類型、源地址、目
38、的地址,源端口,目的端口>,判斷依據(jù)有(只考慮IP包),數(shù)據(jù)包協(xié)議類型:TCP、UDP、ICMP等 源、目的IP地址 源、目的端口:FTP、 HTTP、 DNS等 數(shù)據(jù)包流向:in或out 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口:eth0、eth1,,,IP封包,目的地址源地址,,,,目的端口號(hào)源端口號(hào),,信息,TCP/UDP封包,,,,,,,,,,,,分組過(guò)濾原理,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對(duì)應(yīng)的控制策略,拆開(kāi)數(shù)據(jù)包
39、,根據(jù)策略決定如何處理該數(shù)據(jù)包,控制策略,數(shù)據(jù)包,過(guò)濾依據(jù)主要是TCP/IP報(bào)頭里面的信息,不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理,,分組過(guò)濾判斷信息,包過(guò)濾防火墻的優(yōu)缺點(diǎn),優(yōu)點(diǎn):邏輯簡(jiǎn)單,價(jià)格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,通常安裝在路由器上。適合安全性要求低的小型系統(tǒng)。缺點(diǎn):數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽(tīng)或假冒包過(guò)濾的規(guī)則可能比較復(fù)雜,且不易驗(yàn)證其正確性一般的包過(guò)濾路由器審計(jì)功能較弱,因
40、而安全性不足,應(yīng)用網(wǎng)關(guān)型防火墻,應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。如:超文本傳輸協(xié)議(HTTP)、遠(yuǎn)程文件傳輸協(xié)議(FTP)等,使用指定的數(shù)據(jù)過(guò)濾規(guī)則。例如在一個(gè)HTTP連接中,包過(guò)濾只能記錄單個(gè)的數(shù)據(jù)包,無(wú)法記錄文件名、URL等信息。 。在過(guò)濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。,應(yīng)用網(wǎng)關(guān)型防火墻,代理服務(wù)型防火墻,代理服務(wù)(Proxy S
41、ervice)的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。當(dāng)一個(gè)遠(yuǎn)程用戶請(qǐng)求內(nèi)部服務(wù)時(shí),它首先與這個(gè)代理相連,經(jīng)過(guò)認(rèn)證后,再由代理連到目的主機(jī),同時(shí)將服務(wù)器的響應(yīng)傳送給所代理的客戶。代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。,代理服務(wù),應(yīng)用代理原理,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對(duì)應(yīng)的控制策略,拆開(kāi)數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包
42、,數(shù)據(jù)包,應(yīng)用代理可以對(duì)數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析,并以此判斷數(shù)據(jù)是否允許通過(guò),控制策略,,,,分組過(guò)濾判斷信息,應(yīng)用代理判斷信息,代理服務(wù)型防火墻,易于配置;軟件實(shí)現(xiàn);界面友好便于與其它安全手段集成:認(rèn)證、授權(quán)、加密,,,用戶級(jí)權(quán)限控制,,,,,,,Host C,Host D,,,Host B,Host A,受保護(hù)網(wǎng)絡(luò),,Internet,,預(yù)先可在防火墻上設(shè)定用戶,Chenaf,123,Yes,Liwy,883,No,,,不管那臺(tái)電腦
43、都可以用相同的用戶名來(lái)登陸防火墻,,,,,,,,,,只需在防火墻設(shè)置該用戶的規(guī)則即可,應(yīng)用控制可以對(duì)常用的高層應(yīng)用做更細(xì)的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,應(yīng)用層,,,,,,應(yīng)用層,內(nèi)部網(wǎng)絡(luò),外部網(wǎng)絡(luò),,防火墻,內(nèi)部接口,外部接口,,根據(jù)策略檢查應(yīng)用層的數(shù)據(jù),,符合策略,,,,內(nèi)容安全,,IP與MAC綁定,Internet,,,,,,,Host B,199.168.1.3,Host C,199
44、.168.1.4,Host D,199.168.1.5,,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.2 To 00-50-04-BB-71-BC,,,IP與MAC地址綁定后,不允許Host B假冒Host A的IP地址上網(wǎng),防火墻允許Host A上網(wǎng),,安全遠(yuǎn)程管理,,,Int
45、ernet,202.102.14.5,Superman,******,管理員,,,,黑客,,如何實(shí)現(xiàn)安全管理呢,采用一次性口令認(rèn)證來(lái)實(shí)現(xiàn)安全管理,用戶名,口令,用戶名,口令,,,,,,,身份認(rèn)證,,,,,Host C,Host D,,,Host B,Host A,受保護(hù)網(wǎng)絡(luò),,Internet,,預(yù)先可在防火墻上設(shè)定用戶,Chenaf,123,,,,,驗(yàn)證通過(guò)則允許訪問(wèn),Chenaf,123,Yes,Liwy,883,No,用戶身份認(rèn)
46、證 根據(jù)用戶控制訪問(wèn),,,,信息審計(jì) & 日志,,,,,,,Internet,,,,202.102.1.2,202.102.1.3,,寫入日志,,寫入日志,一旦出現(xiàn)安全事故可以查詢此日志,,天網(wǎng)防火墻,4、防火墻主要的不足,防火墻不能防范來(lái)自內(nèi)部的攻擊防火墻不能防范不經(jīng)由防火墻的攻擊防火墻不能防止受到病毒感染的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊,4.6 保護(hù)服務(wù)器和客戶機(jī)(Protecting servers
47、 and clients),Operating system controls: Authentication and access control mechanismsAnti-virus software: Easiest and least expensive way to prevent threats to system integrity入侵檢測(cè)系統(tǒng),4.7 安全管理,多數(shù)電子商務(wù)企業(yè)的CEO和CIO認(rèn)為:技術(shù)并不一定
48、是電子商務(wù)安全管理中的關(guān)鍵問(wèn)題,技術(shù)只是為安全提供了一個(gè)基礎(chǔ)保障。如果缺乏明智的管理策略,即使最好的技術(shù)也會(huì)被輕易擊敗。還需要制定有關(guān)網(wǎng)絡(luò)犯罪的法律并積極加以實(shí)施,以此提高網(wǎng)絡(luò)犯罪行為所付出的代價(jià),并制止企業(yè)濫用信息。,制定電子商務(wù)安全計(jì)劃,1、進(jìn)行風(fēng)險(xiǎn)評(píng)估(Perform risk assessment),對(duì)風(fēng)險(xiǎn)及薄弱環(huán)節(jié)進(jìn)行評(píng)估,詳細(xì)清點(diǎn)網(wǎng)站和企業(yè)的信息,確定哪些信息暴露在風(fēng)險(xiǎn)中?對(duì)每類信息都有估計(jì)如果此類信息受到侵害,企業(yè)可
49、能遭受的損失。做完之后,把結(jié)果排序。,2、制定安全政策 (Develop security policy),一系列說(shuō)明,包括按優(yōu)先級(jí)排列的信息風(fēng)險(xiǎn)、識(shí)別可接受的風(fēng)險(xiǎn)目標(biāo),以及實(shí)現(xiàn)這些目標(biāo)的機(jī)制。從優(yōu)先級(jí)最高的信息安全開(kāi)始對(duì)每一種信息風(fēng)險(xiǎn),你愿意接受的等級(jí),及付出的代價(jià)全面徹底的安全可能需要驚人的資金支持,3、制定實(shí)施計(jì)劃(Develop implementation plan),為實(shí)現(xiàn)安全計(jì)劃目標(biāo)所采取的行動(dòng)步驟確定如何把可接
50、受的風(fēng)險(xiǎn)級(jí)別轉(zhuǎn)化為一套工具、技術(shù)、策略和程序。4、建立安全組織機(jī)構(gòu)(Create security organization) 負(fù)責(zé)培訓(xùn)用戶,使管理層了解安全威脅和破壞的存在,管理安全工作。,5、執(zhí)行安全審計(jì)(Perform security audit),review of security practices and procedures包括對(duì)訪問(wèn)日志的常規(guī)檢查(確定外包人員如何使用網(wǎng)站以及內(nèi)部人員如何訪問(wèn)網(wǎng)站資源)大企業(yè)的
51、網(wǎng)站經(jīng)常利用老虎隊(duì)來(lái)評(píng)估現(xiàn)有安全措施的強(qiáng)度,6、安全管理制度,信息安全管理制度的內(nèi)涵網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度病毒防范制度人員管理制度保密制度跟蹤、審計(jì)、稽核制度應(yīng)急措施制度,練習(xí)與思考題,1、電子商務(wù)的安全需求?(分別從商家和消費(fèi)者角度考慮)2、Why is it less risky to steal online? Explain some of the ways criminals deceive consumers
52、and merchants.3、Explain why an e-commerce site might not want to report being the target of cybercriminals. 4、Name the major points of vulnerability in a typical online transaction.,練習(xí)與思考題,5、電子商務(wù)的安全解決方案有哪幾類?舉例說(shuō)明。6、說(shuō)明S
53、SL協(xié)議的基本功能,圖示并說(shuō)明SSL協(xié)議的會(huì)話協(xié)商過(guò)程。7、Identify and discuss the five steps in developing an e-commerce security plan.教材P150-151練習(xí)與思考,Projects,1、選擇一個(gè)適合的CA,申請(qǐng)個(gè)人安全電子郵件證書,對(duì)證書進(jìn)行導(dǎo)入、導(dǎo)出操作。并在Outlook Express中使用安全電子郵件(加密和簽名郵件)。寫出操作步驟(拷屏)
54、。(作業(yè))自己選擇一個(gè)合適的CA,申請(qǐng)安全電子郵件證書(免費(fèi)證書)。注意在申請(qǐng)時(shí),電子安全電子郵件證書要與電郵地址對(duì)應(yīng),可以為2個(gè)電郵申請(qǐng)各自證書,進(jìn)行測(cè)試,也可以2位同學(xué)合作. 申請(qǐng)免費(fèi)電子郵件證書參考網(wǎng)站http://www.trustwork.com.cn/https://testca.netca.net/,Projects,1、選擇一個(gè)適合的CA,申請(qǐng)個(gè)人安全電子郵件證書,對(duì)證書進(jìn)行導(dǎo)入、導(dǎo)出操作。并在Outlook
55、160;Express中使用安全電子郵件(加密和簽名郵件)。寫出操作步驟(拷屏)。(作業(yè)) 自己選擇一個(gè)合適的CA,申請(qǐng)安全電子郵件證書(免費(fèi)證書)。注意在申請(qǐng)時(shí),電子安全電子郵件證書要與電郵地址對(duì)應(yīng),可以為2個(gè)電郵申請(qǐng)各自證書,進(jìn)行測(cè)試,也可以2位同學(xué)合作. 申請(qǐng)免費(fèi)電子郵件證書參考網(wǎng)站https://testca.netca.net/,,2、 Find three certification auth
56、orities and compare the features of each company’s digital certificates. Provide a brief description of each company as well, including number of clients. Prepare a brief presentation of your findings. Students should
57、start by conducting an online search for the names of certification authorities. Certification authorities that students might locate include, but are not limited to: VeriSign, Entrust, beTrusted.com, RSA Security, GeoTr
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
評(píng)論
0/150
提交評(píng)論