电子商务安全学习.ppt

电子商务安全管理 江西师范大学商学院电子商务教研室 陈建副教授 E mail 88888k 博客 第4章Internet安全 互联网安全状况令人担忧 黑客攻击的目标对象和行为性质已从最初的政府机构 知名的社会及大公司网站的炫耀式走访入侵的简单举动 发展到了对中小企业的站点进行刻意破坏的极端局面 该类事件涉及的覆盖面越来越大 程度越来越深 以至于现在很多企业都不敢真正利用互联网进行电子商务建设 4 1Internet安全概述4 2防火墙技术4 3入侵检测技术4 4IP安全协议4 5电子商务应用安全协议 目录 4 1Internet安全概述 4 1 1网络层安全4 1 2应用层安全4 1 3系统安全 服务器 电子商务系统可能受到攻击的三个方面 4 1 1网络层安全网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护 典型的网络层安全服务包括 认证和完整性保密性访问控制 4 1Internet安全概述 4 1 2应用层安全应用层安全指的是建立在某个特定的应用程序内部 不依赖于任何网络层安全措施而独立运行的安全措施 应用层安全措施包括 认证访问控制保密性数据完整性不可否认性 4 1Internet安全概述 4 1 3系统安全系统安全是指对特定终端系统及其局部环境的保护 而不考虑对网络层安全或应用层安全措施所承担的通信保护 系统安全措施包括 确保在安装的软件中没有已知的安全缺陷确保系统的配置能使入侵风险降低至最低确保所下载的软件其来源是可信任的和可靠的确保系统能得到适当管理以使侵入风险最小确保采用合适的审计机制 采取新的合适的防御性措施 4 1Internet安全概述 4 2防火墙技术 4 2 1防火墙的概念及功能特征4 2 2各种防火墙的基本原理及特点4 2 3防火墙的实现方式4 2 4防火墙的安全策略 4 2 1防火墙的概念 防火墙是具有以下特征的计算机硬件或软件 1 由内到外和由外到内的所有访问都必须通过它 2 只有本地安全策略所定义的合法访问才被允许通过它 3 防火墙本身无法被穿透 通常意义上讲的硬防火墙为硬件防火墙 它是通过硬件和软件的结合来达到隔离内 外部网络的目的 价格较贵 但效果较好 一般小型企业和个人很难实现 软件防火墙是通过软件的方式来达到 价格很便宜 但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的 为什么需要防火墙 为什么需要防火墙 保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略 对防火墙的两大需求 保障内部网安全保证内部网同外部网的连通 4 2 1防火墙的功能特征 防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄防火墙的抗攻击能力 4 2 2各种防火墙的基本原理及特点 包过滤型防火墙应用网关型防火墙代理服务型防火墙 包过滤型防火墙 1 包过滤型防火墙的工作原理采用这种技术的防火墙产品 通过在网络中的适当位置对数据包进行过滤 根据检查数据流中每个数据包的源地址 目的地址 所有的TCP端口号和TCP链路状态等要素 然后依据一组预定义的规则 以允许合乎逻辑的数据包通过防火墙进入到内部网络 而将不合乎逻辑的数据包加以删除 2 包过滤型防火墙的优缺点包过滤型防火墙最大的优点是 价格较低 对用户透明 对网络性能的影响很小 速度快 易于维护 但它也有一些缺点 包过滤配置起来比较复杂 它对IP欺骗式攻击比较敏感 它没有用户的使用记录 这样就不能从访问记录中发现黑客的攻击记录 而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的 他们在这一方面已经积累了大量的经验 应用网关型防火墙 1 应用网关型防火墙的工作原理应用网关型防火墙是在网络应用层上建立协议过滤和转发功能 它针对特定的网络应用服务协议使用指定的数据过滤逻辑 并在过滤的同时 对数据包进行必要的分析 登记和统计 形成报告 2 应用级网关型防火墙的特点依靠特定的逻辑判定是否允许数据包通过 一旦满足逻辑 则防火墙内外的计算机系统建立直接联系 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态 这不利于抗击非法访问和攻击 代理服务型防火墙 1 代理服务型防火墙的工作原理代理服务型防火墙运行在两个网络之间 它对于客户来说像是一台真的服务器一样 而对于外界的服务器来说 它又是一台客户机 当代理服务器接收到用户的请求后 会检查用户请求的站点是否符合公司的要求 如果公司允许用户访问该站点的话 代理服务器会像一个客户一样 去那个站点取回所需信息再转发给客户 2 代理服务型防火墙的优缺点代理服务型防火墙的优点 可以将被保护的网络内部结构屏蔽起来 增强网络的安全性 可用于实施较强的数据流监控 过滤 记录和报告等 代理服务型防火墙的缺点 使访问速度变慢 因为它不允许用户直接访问网络 应用网关需要针对每一个特定的Internet服务安装相应的代理服务器软件 用户不能使用未被服务器支持的服务 这就意味着用户可能会花费一定的时间等待新服务器软件的安装 并不是所有的Internet应用软件都可以使用代理服务器 4 2 3防火墙的实现方式 包过滤路由器双穴防范网关过滤主机网关过滤子网防火墙复合体系结构 包过滤路由器 ScreeningRouter 也叫屏蔽路由器或安全路由器 它可以由厂家专门生产的路由器实现 也可以用主机来实现 包过滤路由器作为内外连接的惟一通道 要求所有的报文都必须在此通过检查 路由器上可以安装基于IP层的报文过滤软件 实现报文过滤功能 许多路由器本身带有报文过滤配置选项 但一般比较简单 单纯由包过滤路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机 包过滤路由器的缺点是一旦被攻击后很难发现 而且不能识别不同的用户 包过滤路由器 双穴防范网关 双重宿主主机防火墙 过滤主机网关 被屏蔽主机防火墙 设防主机 过滤子网防火墙 被屏蔽子网防火墙 设防主机 子网 一般有以下几种形式 使用多设防主机 合并内部路由器与外部路由器 合并设防主机与外部路由器 合并设防主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个子网 使用双穴防范网关与过滤子网防火墙 复合体系结构 4 2 4防火墙的安全策略 凡是没有被列为允许访问的服务都是被禁止的 凡是没有被列为禁止访问的服务都是被允许的 4 3入侵检测 系统 IDS 入侵检测系统存在与发展的必然性 一 网络攻击的破坏性 损失的严重性二 日益增长的网络安全威胁三 单纯的防火墙无法防范复杂多变的攻击 为什么需要IDS 关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得 网络安全工具的特点 传统的信息安全方法采用严格的访问控制和数据加密策略来防护 但在复杂系统中 这些策略是不充分的 它们是系统安全不可缺的部分 但不能完全保证系统的安全 入侵检测 IntrusionDetection 是对入侵行为的发觉 它通过从计算机网络或计算机系统的关键点收集信息并进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测与传统信息安全方法的比较 入侵检测的定义 对系统的运行状态进行监视 发现各种攻击企图 攻击行为或者攻击结果 以保证系统资源的机密性 完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS IntrusionDetectionSystem 入侵检测的起源 1 审计技术 产生 记录并检查按时间顺序排列的系统事件记录的过程审计的目标 确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用 入侵检测的起源 2 1980年4月 JamesP Anderson ComputerSecurityThreatMonitoringandSurveillance 计算机安全威胁监控与监视 第一次详细阐述了入侵检测的概念计算机系统威胁分类 外部渗透 内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作 入侵检测系统的需求特性 1 一个成功的入侵检测系统至少要满足以下五个主要要求 1 实时性要求如果攻击或者攻击的企图能够被尽快发现 就有可能查出攻击者的位置 阻止进一步的攻击活动 有可能把破坏控制在最小限度 并能够记录下攻击过程 可作为证据回放 实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制 入侵检测系统的需求特性 2 2 可扩展性要求攻击手段多而复杂 攻击行为特征也各不相同 所以必须建立一种机制 把入侵检测系统的体系结构与使用策略区分开 入侵检测系统必须能够在新的攻击类型出现时 可以通过某种机制在无需对入侵检测系统本身体系进行改动的情况下 使系统能够检测到新的攻击行为 在入侵检测系统的整体功能设计上 也必须建立一种可以扩展的结构 以便适应扩展要求 入侵检测系统的需求特性 3 3 适应性要求入侵检测系统必须能够适用于多种不同的环境 比如高速大容量计算机网络环境 并且在系统环境发生改变 比如增加环境中的计算机系统数量 改变计算机系统类型时 入侵检测系统应当依然能够正常工作 适应性也包括入侵检测系统本身对其宿主平台的适应性 即 跨平台工作的能力 适应其宿主平台软 硬件配置的不同情况 入侵检测系统的需求特性 4 4 安全性与可用性要求入侵检测系统必须尽可能的完善与健壮 不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患 并且入侵检测系统在设计和实现时 应该考虑可以预见的 针对该入侵检测系统的类型与工作原理的攻击威胁 及其相应的抵御方法 确保该入侵检测系统的安全性与可用性 入侵检测系统的需求特性 5 5 有效性要求能够证明根据某一设计所建立的入侵检测系统是切实有效的 即 对于攻击事件的错报与漏报能够控制在一定范围内 IDS基本结构 实现步骤 入侵检测系统包括三个功能部件 一 信息收集 二 信息分析 三 结果处理 响应 一 信息收集 1 入侵检测的第一步是信息收集 收集内容包括系统 网络 数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点 一 信息收集 2 入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹 因此 充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型 每种类型又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户ID改变 用户对文件的访问 授权和认证信息等内容 显然 对用户活动来讲 不正常的或不期望的行为就是重复登录失败 登录到不期望的位置以及非授权的企图访问重要文件等等 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变 包括修改 创建和删除 特别是那些正常情况下限制访问的 很可能就是一种入侵产生的指示和信号 入侵者经常替换 修改和破坏他们获得访问权的系统上的文件 同时为了隐藏系统中他们的表现及活动痕迹 都会尽力去替换系统程序或修改系统日志文件 二 信息分析 模式匹配统计分析完整性分析 往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为 一般来讲 一种攻击模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值和偏差将被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的 被安装木马的应用程序方面特别有效 三 结果处理 响应 IDS在发现入侵会及时作出响应 包括切断网络连接 记录事件和报警等 响应分为主动响应 阻止攻击或影响进而改变攻击的进程 和被动响应 报告和记录所检测出的问题 两种类型 入侵检测性能关键参数 误报 falsepositive 如果系统错误地将异常活动定义为入侵漏报 falsenegative 如果系统未能检测出真正的入侵行为 入侵检测的分类 按照数据来源分类 基于主机的IDS IDS获取数据的来源是系统的审计日志 一般只能检测该主机上发生的入侵 基于网络的IDS IDS获取的数据是网络传输的数据包 能检测该网段上发生的网络入侵 混合型IDS 能够同时分析来自主机系统的审计日志和网络传输的数据包 Desktops WebServers Telecommuters Customers Servers Network BranchOffice Partners 基于主机的入侵检测 Hacker Host basedIDS Host basedIDS 基于主机的入侵检测系统模型 Internet 基于主机入侵检测系统工作原理 网络服务器1 客户端 网络服务器2 检测内容 系统调用 端口调用 系统日志 安全审记 应用日志 HIDS HIDS Desktops WebServers Telecommuters Customers Servers Network BranchOffice Partners 基于网络的入侵检测 Network basedIDS Network basedIDS Network basedIDS Internet NIDS 基于网络入侵检测系统工作原理 网络服务器1 数据包 包头信息 有效数据部分 客户端 网络服务器2 检测内容 包头信息 有效数据部分 两类IDS监测软件 网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少 主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感 匿名汇票的问题 商业汇票是由出票人签发的 委托付款人在指定日期无条件支付确定的金额给收款人或者持票人的票据 商业汇票分为商业承兑汇票和银行承兑汇票 银行承兑汇票是由出票人签发并由其开户银行承兑的票据 匿名汇票 匿名性 合法性 真实性 一个有关匿名汇票的简单化的物理协议 Alice准备了100张1000美元的匿名汇票 Alice把每张汇票和一张复写纸放进100个不同信封内 她把这些全部交给银行 银行开启99个信封并确认每个信封都是一张1000美元的汇票 银行在余下的一个未开启的信封上签名 签名通过复写纸印到汇票上 银行把这个未开启的信封交还Alice 并从她的帐户上扣除1000美元 Alice打开信封并在一个商人处花掉了这张汇票 商人检查银行的签名以确信这张汇票是合法的 商人拿着这张汇票到银行 银行验证它的签名并把1000美元划入这个商人的帐户 4 4IPSec安全协议 4 4 1IPSec安全结构4 4 2IPSec的工作原理4 4 3IP认证头协议 AH 4 4 4分组加密协议 ESP 4 4 5Windows2000的IPSec策略 为了改善现有IPv4协议在安全等方面的不足 IETF的下一代网络协议 IPng 工作组于1995年底确定了IPng协议规范 称为IP版本6 IPv6 IPv6利用新的网络安全体系结构IPSec 通过AH和ESP两个安全协议分别为IP协议提供了基于无连接的数据完整性和数据保密性 加强了IP协议的安全 克服了原有IPv4协议安全的不足 IPv6为IP数据在IP层上实现数据完整性 数据保密性 认证 访问控制和不可否认性等安全服务 并保证网络层上应用程序不被改 同时实现IP网络的通信安全 4 4 1IPSec安全结构 IPSec安全协议有 ESP EncapsulatingSecurityPayload 和AH AuthenticationHeader 两个安全协议 还有一系列与IPSec相关的技术标准 如加密算法及实现数据完整性的Hash算法的规范 密钥的交换标准IKE InternetKeyExchange 安全关联 SA 等 4 4 2IPSec的工作原理 4 4 3IP认证头协议 AH AH协议是为IP数据报文提供数据源认证 无连接数据完整性检测 同时也提供重放攻击的保护 AH可以单独使用 也可以与ESP结合一起使用 提供相连的主机之间 相连的安全网关之间和主机与网关之间的安全服务 AH还能维护数据的完整性 在传输过程中只要数据发生一点改变 数据包的认证和验证都能将其检测出来 从而保证数据的完整性验证 AH不支持数据包的加密 因而AH无机密性保护 在AH标准中最普遍使用的认证算法是MD5和SHA 1 MD5使用最高到128位的密钥 而SHA 1通过最高到160位密钥提供更强的保护 4 4 4分组加密协议 ESP ESP同AH一样是提供IP的安全性 但它比AH有更强的安全性 ESP除了有AH对数据源的认证 数据完整性和反重放攻击外 还提供数据保密和有限数据流保密服务 ESP的认证服务是通过使用消息认证码 MAC 来实现 这与AH认证的使用一样通过使用HMAC来达到对数据包的认证和完整性检测 ESP协议可以单独使用也可以与AH结合使用 在IPSec的规范中ESP协议的加密和认证是可选的 但为保证操作的交互性 规范中规定了强制实现的算法 如加密算法是使用CBC模式的DES和NULL加密算法 认证算法是使用HMAC MD5 HMAC SHA 1和NULL认证算法 加密NULL算法和认证NULL算法就是不加密和不认证选项 但不能同时使用NULL加密和NULL认证 4 4 5Windows2000的IPSec策略 在Windows2000安全结构和框架中 除了能够保护网络资源和硬盘资源的合法使用以外 还应该提供多种技术措施来保证网络传输数据的安全性 为满足这种需求 Windows2000中集成了对Internet协议安全IPSec的支持 在Win2000的计算机中 有三种预定的策略 安全服务器 必须安全性 如果采用这条策略 表示与这台计算机进行通信的计算机必须采用IPSec安全策略 如果对方计算机没有采用安全策略 将不能与本机进行通信 服务器 请求安全设置 如果采用这条策略 表示这台计算机与其他计算机进行通信时 首先要求进行安全通信 如果对方计算机不支持安全通信 这台计算机也可以与对方计算机进行通信 但这一通信是不可靠的 客户机 只用于响应 如果采用这种策略 只有当对方计算机要求进行安全通信时 本机才会应用IPSec安全策略 如果对方计算机没有要求 则采用正常方法进行通信 这一策略是最不安全的设置 4 5电子商务应用安全协议 4 5 1安全电子邮件协议4 5 2安全超文本传输协议 S HTTP 4 5 3安全套接层协议 SecureSocketsLayer SSL 4 5 4安全电子交易协议 SecureElectronicTransaction SET 4 5 1安全电子邮件协议 增强的私密电子邮件 PEM 安全多用途网际邮件扩充协议 S MIME OutlookExpress下的安全电子邮件传送 增强的私密电子邮件 PEM 增强的私密电子邮件 PrivateEnhancedMail PEM 是增强Internet电子邮件隐秘性的标准草案 是美国RSA实验室基于RSA和DES算法而开发的产品 其目的是为了增强个人的隐私功能 它在Internet电子邮件的标准格式上增加了加密 鉴别和密钥管理的功能 允许使用公开密钥和私有密钥的加密方式 并能够支持多种加密工具 对于每个电子邮件报文可以在报文头中规定特定的加密算法 数字签名算法 散列功能等安全措施 PEM是通过Internet传输安全性商务邮件的非正式标准 安全多用途网际邮件扩充协议 S MIME S MIME是Secure MultipurposeInternetMailExtensions的简称 它是Internet中用来发送安全电子邮件的协议 S MIME为电子邮件提供了数字签名和加密功能 该标准允许不同的电子邮件客户程序彼此之间收发安全电子邮件 S MIME是从PEM PrivacyEnhancedMail 和MIME Internet邮件的附件标准 发展而来的 OutlookExpress下的安全电子邮件传送 获取数字标识使用数字标识备份数字标识安全电子邮件 4 5 1安全超文本传输协议 S HTTP S HTTP协议概述S HTTP与SSL的比较 S HTTP协议概述 S HTTP是用于互联网进行安全信息传输的协议 该协议对客户机和服务器双方进行安全管理 S HTTP建立在HTTP之上 S HTTP好似HTTP协议之外的一个封闭层 旨为HTTP事务提供身份认证和加密手段 S HTTP中的URL以shttp机制开头 S HTTP使用HTTP的MIME网络数据包进行签名 验证和加密 数据加密可以采用对称或非对称加密 S HTTP提供了文件级的安全机制 S HTTP提供了对多种单向散列 Hash 函数的支持 如 MD2 MD5和SHA 对多种单钥体制的支持 如 DES 三重DES RC2 RC4和CDMF 对数字签名体制的支持 如 RSA和DSS S HTTP与SSL的比较 S HTTP和SSL是从不同角度提供Web的安全性的 S HTTP建立在HTTP之上 旨为HTTP事务提供身份认证和加密手段 SSL则建立在HTTP的下一层 并可用于FTPGopher等其他协议 目前SSL基本取代了S HTTP 大多数Web贸易均采用传统的Web协议 并使用SSL加密的HTTP来传输敏感的账单信息 4 5 3安全套接层协议 SSL 由美国Netscape公司1995年开发和倡导的安全套接层SSL协议 Secur