新编电子商务导论-电子教案-濮小金-第3章 电子商务安全技术.ppt

第3章 电子安全技术 导言 随着通信网络技术的飞速发展 特别是Internet的不断普及 使得电子商务系统在全球范围内掀起了阵阵狂潮 但却没有像人们想象的那样普及和深入 其中一个很重要的原因就是电子商务系统的安全性 它成为阻碍电子商务迅速发展的一个重大瓶颈 引例 网络钓鱼 是一种窃取银行帐号和密码的电子邮件 发现于2005年的2月份的美邦银行 SmithBarney 该邮件利用了IE的图片映射地址欺骗漏洞 并设计了完美的脚本程序 用一个显示假地址的弹出窗口挡住了IE浏览器的地址栏 使用户看不到此网站的真实地址 当用户使用未打补丁的Outlook打开此邮件时 状态栏显示的链接不是美邦银行 SmithBarney 的真实地址 而是一个和美邦银行 SmithBarney 网站页面非常相似的 钓鱼网站 页面 用户一旦在该钓鱼网站上输入自己的帐号和密码后 这些信息就会被黑客窃取 3 1电子商务安全概述3 1 1电子商务安全要求 真实性计算机安全网络安全不可否认保密性完整性及时性 3 1 2电子商务主要安全技术 计算机安全技术数据加密技术认证技术安全电子交易协议黑客防范技术虚拟专网技术反病毒技术 3 2电子商务中计算机安全技术3 2 1计算机安全定义 国际标准化委员会定义 为数据处理系统建立和采取的技术和管理的安全保护 保护计算机硬件 软件 数据不因偶然的或恶意的原因而遭破坏 更改 显露 我国公安部计算机管理监察司对计算机的安全也有一定的声明 他认为计算机安全是指计算机资产安全 即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害 3 2 2计算机硬件系统安全 计算机硬件也存在漏洞在制定采购计划时 多搜集相关信息 了解供应商的机器品牌 型号的特点和使用情况在具体的采购过程中 应尽量避免使用刚刚上市的新产品 而尽可能采用比较成熟 稳定的型号 3 2 3计算机系统运行环境的安全 1 系统运行中的安全问题电源问题磁场自然环境灾害 2 保证运行环境的安全措施几种日常系统运行环境的维护措施 采用不间断电源系统 UPS 保证电源的稳定 在核心机房设立隔离门 室外电源开关等应急设备 对重要数据和设备进行异地备份 并制定灾难恢复计划 采用空气湿度和温度控制系统 加强机房管理制度 严禁在机房饮食 采用水灾和火灾实时监测系统 选取合适的灭火设备 加强员工的安全教育 提高安全防范意识 3 2 4软件系统的安全 软件系统风险防范 打补丁 安装防火墙 使用杀毒软件 其他防范措施 网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 3 3 电子商务网络系统安全3 3 1网络安全概述 数据加密就是按照确定的密码算法将需要隐藏的明文数据变换成另一种隐蔽形式的密文数据 当需要明文数据时可使用密钥将密文数据还原成明文数据 称为解密 对明文加密时采用的一组规则称为加密算法对密文解密时采用的规则称为解密算法 3 3 2加密技术 对称加密技术 它的加密与解密过程中使用相同的密钥 它的保密性取决于对密钥的保密程度上 它的优点是数字运算量小 加密速度快 弱点是密钥管理困难 在对称加密技术中 最典型的有DES DataEncryptionStandard 它是由IBM公司在20世纪70年代研制的 经过美国政府的筛选 1976年11月被美国政府采用 国家标准局和技术局 NIST 在1997年对该数据加密标准认可 非对称加密技术的设计比对称加密技术的设计具有很大的挑战性 在非对称加密技术中所使用的公钥算法是公开的 任何一位攻击者都可依据该信息对网络中的数据实施破坏 公钥密码体制的公钥加密方案由6部分组成 分别是明文 加密算法 公钥 私钥 密文和解密算法 与对称加密方案相比 公钥加密方案需要两个密钥 即公钥和私钥 而对称加密方案只有一个密钥 的公钥 的私钥 明文 明文 非对称加密结构 的解密算法 的加密算法 密文 RSA加密算法是由 ivest hamir和adleman 于1978年在麻省理工学院研制出来的 主要是建立在 大数分解和素数检测 的理论基础上的 两个大素数相乘在计算上是容易实现的 而分解两个大素数的积在计算上是不可行的 3 沟通和互动方式的改变 在传统的政务模式下 政府主要借助各种公共传媒来发布政务信息 而公众主要借助于电话 信件 口头传播和传真等手段向政府传递信息 这些方式的一个重要缺陷就使速度慢 政府与公众之间难以做到及时沟通和信息互动 现在政府通过网络化手段 就能实现及时沟通和实时对话 使沟通和互动方式发生了根本性的变化 3 3 3认证技术 认证技术是解决电子商务活动中的安全问题的技术基础 是计算机网络安全技术的重要内容 认证指的是证实被认证对象是否属实和是否有效的一个过程 它主要有两种认证模式 消息认证用于保证信息的完整性和抗否认性 身份认证用于鉴别用户身份 在电子商务系统中有时候认证技术可能比信息加密本身更加重要 比如在网上购物和支付系统中 用户往往对购物信息的保密性不是很重要 而对网上商店的身份真实性则倍加关注 消息认证技术 消息认证实际上是对消息本身产生一个冗余的信息 MAC 消息认证码 消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的 它对于要保护的信息来说是唯一的 因此可以有效地保护消息的完整性 以及实现发送方消息的不可抵赖和不能伪造 身份认证技术 身份认证 Authentication 是证实实体身份的过程 是保证系统安全的重要措施之一 当服务器提供服务时 需要确认来访者的身份 访问者有时也需要确认服务提供者的身份 常用的身份认证方法 1 基于口令的认证方法 2 双因素认证 3 一次口令机制 4 生物特征认证 5 USBKey认证 3 3 4虚拟专用网技术 虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络 如因特网 上安全地通信 它采用复杂的算法来加密传输的信息 使得需要受保护的数据不会被窃取 虚拟专用网是企业内部网在internet上的延伸 可将远程用户 企业分支机构 公司的业务合作伙伴等与公司的内部网联结起来 构成一个扩展的企业内部网 传统意义VPN的分类 根据VPN所起的作用 可以将VPN分为三类 VPDN IntranetVPN和ExtranetVPN IPVPN的分类 按照网络连接方式的不同 一般把IPVPN分为以下三种类型 远程访问虚拟专网 AccessVPN 企业内部虚拟专网 IntranetVPN 扩展的企业内部虚拟专网 ExtranetVPN 3 3 5病毒及防范措施 引例 熊猫烧香 会烧香的不一定是和尚 还可能是熊猫 2007年网络上流传着这样一句话 一只熊猫拿着三支香 这个图像一度令电脑用户胆战心惊 病毒的概念 计算机病毒是一种有很强的破坏力和感染力的计算机程序 计算机病毒与其他的程序不同 当其进入计算机以后 使正常运行的计算机软件和硬件受到影响 或者毁坏计算机内保存的文件信息 病毒的特点 感染性流行性欺骗性破坏性潜伏性隐蔽性 引导型病毒文件型病毒混合型病毒 病毒的类型 病毒的防御措施 定期进行数据备份 一旦遭受病毒破坏可以及时恢复重要数据 安装防毒软件 进行升级规范计算机操作和限制上网内容使用主动防御功能 防火墙的概念 防火墙在建筑学中指用来防止大火从建筑物的一部分蔓延到另一部分而设置的阻挡机构 计算机术语中的防火墙是指在两个网络之间加强访问控制的一整套装置 即防火墙是构造在一个可信网络 一般指内部网 和不可信网络 一般指外部网 之间的保护装置 强制所有的访问和连接都必须经过这个保护层 并在此进行连接和安全检查 只有合法的数据包才能通过此保护层 从而保护内部网资源免遭非法入侵 3 3 6防火墙技术 防火墙的类型 包过滤型防火墙代理服务器型防火墙电路层防火墙 3 4电子商务数据与交易安全3 4 1安全套接层协议 SecureSockedLayer SSL Internet上的安全套接层协议是1994年底由Netscape首先引入的 目前已有2 0和3 0版本 其主要目的是解决Web上信息传输的安全顾虑 除了Netscape外 参与制定SSL协议的厂商还包括 IBM Microsoft Spyglass 他们都将SSL加入到自己的客户端和服务器的应用方面 SSL中的握手协议 是在客户机和服务器之间交换消息的强化性协议 一般有六个阶段 1 接通阶段 2 密钥交换阶段 3 会话密钥生成阶段 4 服务器证实阶段 5 客户机认证阶段 6 结束阶段 SSL记录协议SSL记录协议提供通信 认证功能 并且在一个面向连接的可靠传输协议 TCP 之上提供保护 使用SSL的情况 3 4 2公钥基础设施 PublicKeyInfrastructure PKI 公钥基础设施的产生什么是PKI PKI的目的信任问题信任模型 直接交叉模型和双层模型 安全电子交易 SET 是目前已经标准话且被业界广泛接受的一种网际网络信用卡付款机制 SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议 它是一种基于消息流的协议 用来保证公共网络上银行卡支付交易的安全性 因而成为Internet上进行在线交易的电子付款系统规范 3 4 3安全电子交易协议 SecureElectronicTransaction SET SET的流程 持卡人注册申请证书商户注册申请证书购买请求支付认证获取支付 连接性认证机制风险性SET的缺陷及补救措施 3 4 4SSL与SET协议的比较 3 5黑客防范技术3 5 1黑客概述 中华人民共和国公共安全行业标准GA163 1997 中早有定义 黑客 英文名为Hacker 是指对计算机信息系统进行非授权访问的人员 攻击前奏实施攻击巩固控制继续深入 3 5 2黑客攻击的目的及步骤 3 5 3黑客攻击类型及防御方法 拒绝服务型攻击利用型攻击信息收集型攻击虚假信息型攻击 3 5 4个人PC机安全设置 系统用户名和密码安全本地安全策略设置删掉不必要的协议关闭 文件和打印共享 把Guest账号禁用禁止建立空连接关闭不必要的端口安装必要的安全软件防范木马程序不要回陌生人的邮件设置相应的权限 3 6电子商务安全制度 人员管理网络系统的日常维护管理制度跟踪 审计 稽核制度保密制度 课后思考题 1 电子商务安全要求主要涉及哪几个方面 2 什么是对称加密 图示说明对称加密的结构 它的只要缺点是什么 3 什么是非对称加密 图示说明非对称加密的结构 3 计算机及网络系统中常用的身份认证方法有哪些 5 简述防火墙的分类 及各自的特点 6 病毒的特点及分类 7 图示并说明SSL中握手协议的各个阶段 8 图示并说明SET交易中的五个流程 9 黑客的攻击类型有哪些 如何防御 10 个人PC机安全设置有