电子商务网络安全PPT课件.ppt

2020 3 5 可编辑 本章小结 1 电子商务面临的安全威胁归纳起来主要有以下几个方面 在网络的传输过程中被截获 传输的文件可能被篡改 伪造电子邮件 假冒他人身份 不承认或抵赖已作过的交易 从而提出电子商务安全问题的六项基本要求 授权合法性 不可抵赖性 不密性 身份的真实性 信息的完整性 储存信息的安全性 2 常用的电子商务安全技术主要有 防火墙 加密技术 身份认证技术等 防火墙的作用是保护内部网络免受外部的非法入侵 主要有三种类型 包过滤型 应用网关型和电路网关型等 3 常见的加密方法有 一种是加密和解密同采用一把密钥 且通信双方必须都要获得这把密钥 叫对称密钥 另一种是公私成对的两把密钥 即加密使用一把密钥 一般是公钥 收到秘文后用私钥解密 1 2020 3 5 可编辑 本章小结 4 认证技术是为了解决身份验证 交易的不可抵赖 通常采用以下几种方法 数字签名 身份认证 数字时间戳和数字证书 5 为了保证交易过程中数据来源可靠 传输安全 不被篡改并且能为交易各方的行为提供无可抵赖等 许多公司提出了不同的标准 其中比较有名的是SET安全电子交易协议和SSL安全套层协议 6 计算机病毒是带有一段恶意指令的程序 一旦运行了被病毒感染的程序 它就会隐藏在系统中不断感染内存或硬盘上的程序 条件成熟就立即发作 黑客程序是人们编写的程序 它能够控制和操纵远程计算机 随意拷贝 修改 删除远程机器上的文件 我们要对病毒与黑客用不同的方法进行防范 2 2020 3 5 可编辑 1 网上零售商遭受比网上消费者更大的在线信用卡欺诈的危险 练习与思考 一 判断题 2 数字签名是指通过Internet传送的 网络签名 的密文 3 认证中心是发放数字证书的受信任的第三方 4 防火墙是一种在企业的专用网络与Internet间起过滤作用的软件 3 2020 3 5 可编辑 5 数字时间戳是电子商务企业向消费者进行时间不过期的一种数字凭证 练习与思考 一 判断题 6 安装了防病毒软件的电脑就可以对病毒产生免疫了 7 黑客是企图在未经授权的情况下进入计算机系统的人 8 计算机病毒又分为单机病毒和网络病毒两大类 4 2020 3 5 可编辑 练习与思考 二 选择题 1 是确保电子商务参与者无法抵赖其网上行为的能力 A 不可否认性B 真实性C 机密性D 完整性 A 2 是确认与你在Internet上交易的个人身份的能力 A 不可否认性B 真实性C 机密性D 完整性 B 5 2020 3 5 可编辑 练习与思考 3 是确保信息和数据只能被得到授权的人读取的能力 A 不可否认性B 真实性C 机密性D 完整性 二 选择题 C 4 SET是指 A 安全电子交易B 安全套接层协议C 安全HTTPD 安全电子技术 A 6 2020 3 5 可编辑 练习与思考 5 是可以组织远程客户机登录到你的内部网络 A 代理服务器B 防病毒软件C 操作系统控制D 防火墙 二 选择题 6 可以监视通过网络传递的信息 从网络上任何地方盗取企业的专有信息 A 恶意代码B 电子欺骗C 网络窃听D 内部人行为 D C 7 2020 3 5 可编辑 练习与思考 8 很可能成为电子商务中最典型的犯罪行为 A 网上信用卡诈骗B 电子欺骗C 网络窃听D 恶意代码 7 是用来保护信道安全的常用的方式 A 安全超文本传输协议B 安全套接层协议C 虚拟专用网D 公共网络 二 选择题 B A 8 2020 3 5 可编辑 练习与思考 9 通常感染可执行文件 A 宏病毒B 脚本病毒C 文件感染型病毒D 特洛伊木马 二 选择题 10 向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪 A 拒绝服务进攻B 阻止服务进攻C 分布式拒绝服务进攻D 分散式拒绝服务进攻 C A 9 2020 3 5 可编辑 1 电子商务网络安全问题一般会遇到下列问题 以及 练习与思考 三 填空题 信息泄漏 篡改 身份识别问题 病毒问题 黑客问题 2 信息在存储时 网站上的信息要防止和 在传输过程中 如果收到的信息与发送的信息的话 说明在传输过程中信息 非法篡改 破坏 一样 没有遭到破坏 3 对明文进行所采用的称作加密算法 对密文进行所采用的一组规则称作 加密 一组规则 解密 解密算法 10 2020 3 5 可编辑 练习与思考 三 填空题 4 数字摘要具有 不同的明文的摘要 其结果是 而同样的明文其摘要 固定长度 不相同 必须相同 5 数字证书是用电子手段来证实一个 在网上进行时 如果双方都出示了 那么双方就不必为而担心了 用户身份 电子交易 数字证书 对方身份真伪 6 黑客程序是人们 它能够控制和操纵 一般由和两部分程序组成 编写的程序 远程计算机 本地 远程 7 如果信箱突然出现 或者出现的E mail 这些E mail撑破了邮箱 就说明已受到的攻击 无数莫名其妙的邮件 体积超过邮箱容量 邮件炸弹 11 2020 3 5 可编辑 练习与思考 四 思考题 1 防火墙的主要作用是什么 它有哪些类型 各有什么局限性 答 防火墙主要作用是 在内部网与外部网之间形成一定的隔离 所有内外部网之间的连接都必须经过此 并在此进行检查和连接 只有被授权的信息才能通过此屏障 防止非法入侵 非法盗用系统资源 主要有包过滤型 代理服务型 应用网关型 电路网关型 以及复合型防火墙 包过滤型防火墙缺陷是无法有效的区分同一IP地址下不同的用户 所以安全性相对较低些 代理服务型防火墙每一个新的需保护的应用加入时 必须为其编制专用的程序代码 编制程序比较复杂 电路网关型防火墙向最终用户提供较好的透明性 但它的代价是损失了某些安全性 即不能实施强制的验证和协议过滤 复合型防火墙结构比较复杂 造价也比较高 2 常用的密码体制有哪些 它们的工作原理是什么 答 对称密钥体制和非对称密码体制两种 对称密钥体制是加密和解密使用的是同一个密钥和算法 如果不相同 也可以由一个密钥来推导出另一个密钥来 当A发送数据给B时 A用加密密钥将明文进行加密后成为密文 而B在接收到密文后 必须用A的密钥进行解密 还原成明文 非对称密码体制有一对互补的钥匙 一个称为公钥 另一个称为私钥 由于这两个密钥之间存在一定的数学关系 因此这两个密钥中的一个密钥加密 只能被另一个密钥解开 使用的时候 A用B的公钥将明文加密成为密文 然后通过网络传送给B B用自己的私钥将密文解密 还原成明文 3 数字签名的原理是什么 它使用的是什么技术 答 报文的发送方从报文文本中生成一个128Bit的数字摘要 发送方再用自己的密钥对数字摘要进行加密形成发送方的数字签名 然后 这个数字签名将作为报文的附件和报文一起发送给接收方 收方首先从接收到的报文中计算出128Bit的数字摘要 再用发送方的公开密钥来对报文附加的数字签名进行解密 如果这两个数字摘要相同 那么接收方就能确认该数字签名是发送方的 主要使用的数字摘要和非对称加密技术 12 2020 3 5 可编辑 练习与思考 4 计算机病毒和黑客程序有什么不同 为什么本书将黑客程序归类为计算机病毒 答 计算机病毒是带有一段恶意指令的程序 只要满足病毒发作条件 病毒就会发作 其后果轻则开个玩笑 在屏幕上显示几行文字或图片 重则会破坏硬盘数据 擦除主板BIOS芯片 黑客程序实际上也是黑客编写的程序 它能够控制和操纵远程计算机 考虑到黑客程序和计算机病毒具有同样的危害性 就把黑客程序归于计算机病毒类了 四 思考题 5 按传播方式可以把病毒分为哪两类 如何进行防范 答 按传播方式划分 可以把病毒分为单机病毒和网络病毒 杀毒软件还要及时升级 定期用杀毒软件检查硬盘 在系统中最好安装病毒实时监控软件 备份系统 不要轻易泄露IP地址 下载来历不明的软件 实时监视计算机端口上是否有 异常活动 不要打开陌生人来信中的附件 收到自认为有趣的邮件时 不要盲目转发 因为这样会帮助病毒的传播 13 2020 3 5 可编辑 本章案例 K公司电子商务网络安全解决方案K公司是一家跨国石化企业 1998年8月开通了石化产品销售和物资采购供应的B2B电子商务系统 石化产品销售系统网上客户1700余家 该系统的主要功能包括 在线交易 会员管理 产品信息管理 销售系统数据交换 综合查询分析 客户信息反馈 信息发布 以及其他辅助功能 物资采购供应系统网上供应商1200家左右 物资12万余种 预计最终上网供应商将达到1900家 物资38万种 年交易额900亿元 该系统功能包括供应商管理 采购计划和订单管理 采购管理 统计报表管理 信息发布 物资信息查询 采购绩效分析等 14 2020 3 5 可编辑 本章案例 一 K公司电子商务系统的安全需求该系统的安全需求可分为两个层次和一个方面 一个是网络层的安全需求 一个是应用层的安全需求 一个方面是后台管理的安全需求 1 网络层风险 网络中心连通Internet之后 可能遭受到来自Internet的不分国籍 不分地域的恶意攻击 在Internet上广为传播的网络病毒将通过Web访问 邮件 新闻组 网络聊天以及下载软件 信息等传播 感染企业网内部的服务器 更有一些黑客程序也将通过这种方式进入企业网 为黑客和竞争对手获取企业数据创造条件 该系统内部注册连接的会员用户很多 很难保证没有用户会攻击B2B电子商务的服务器 目标主要是获取其他会员企业的机密信息 如产品的价格 订货数据等 15 2020 3 5 可编辑 本章案例 2 网络层安全需求基于以上风险 网络层安全主要解决企业网络互联时和在网络通信层面安全问题 需要解决的问题有 B2B电子商务网络进出口控制 IP过滤 网络和链路层数据加密 安全检测和报警 防杀病毒 3 应用层的安全需求应用系统安全风险分为两类 如果由于攻击者对网络结构和系统应用模式不了解 通过对Web应用服务器进行系统攻击 破坏操作系统或获取操作系统管理员的权限 再对应用系统进行攻击 以获取企业的重要数据 如果攻击者了解了网络结构和系统应用模式 直接通过对应用模式的攻击 获取企业的机密信息 16 2020 3 5 可编辑 本章案例 4 B2B电子商务应用的安全需求Web应用是B2B电子商务的主要模式 在基于Internet等公共网络上 在交易过程中 必须按照会员的身份进行控制 对服务器也必须进行必要的身份认证 在认证的基础上根据会员用户的身份对信息进行授权 如有需要建立应用层的数据加密 保证数据隐秘性和完整性 5 后台管理的安全需求所谓后台管理是指企业内部对电子商务的数据库 应用服务器等系统进行的日常管理工作 这些工作直接涉及到客户保密信息 在管理过程中 系统管理员也要进行身份认证和授权管理 这样可以将内部风险降到最低限度 17 2020 3 5 可编辑 本章案例 二 K公司电子商务的整体安全解决方案根据K公司电子商务的各层次安全需求 采用各种成熟的安全技术和产品 配备有效的管理策略和手段 给出的电子商务安全解决方案 1 网络层安全解决方案根据提出的网络层安全需求 一是要保证B2B电子商务的网络结构不能被攻破 二是要求对攻击能够预警 三是防杀病毒 所以要有针对性地采用成熟技术和产品 1 安全网络结构设计K公司的网络安全结构是在外网和内网之间增加一个子网 起着缓冲隔离作用 如图5 7所示 这样就将B2B电子商务网络划分为三个区域 18 2020 3 5 可编辑 本章案例 外部网络 通过路由器连接到的Internet及其他公网 外部服务子网 由安全代理服务器 公共服务器 DNS E Mail 构成 内部网络 由B2B电子商务的实际应用服务器和数据库组成 在安全结构中改变了防火墙的位置 通过配置防火墙 将网络分为三个区域 在安全结构下 外部网络的远程客户不能直接访问到K公司电子商务的各个应用服务器 而是只能访问到外部服务子网中代理服务器 再由代理服务器访问K公司电子商务中心内网的对应应用服务器 对外公开服务器 如WWW E Mail等 也可以放在外部服务子网中 19 2020 3 5 可编辑 20 2020 3 5 可编辑 本章案例 2 防火墙技术防火墙在技术上已经相对成熟 但需要选择支持三网段的防火墙产品 防火墙接入路由器后端与Internet相连 将K公司电子商务网络划分为三个网段 通过合理地配置防火墙过滤规则 满足下列需求 远程客户只能访问外部服务子网的安全代理服务器 不能直接对内部网络的B2B电子商务应用服务器和数据库进行访问 内部网络的客户端只能访问本网段的应用服务器 不能访问防火墙以外的任何其他网络 外部服务子网中的安全代理服务器可以通过防火墙 访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口 防火墙的功能就是提供网络层访问控制 所以其配置准确严密与否至关重要 只要配置正确 关闭不需要的服务端口 就可以基本实现网络层的安全 21 2020 3 5 可编辑 本章案例 3 入侵检测技术随着Internet应用的不断普及 黑客入侵事件也呈上升趋势 对于B2B电子商务这样以公开主页提供业务服务 面临被攻击的可能性大幅度增加 在安装防火墙和划分三网段安全结构后 降低了这种风险后 还要安装入侵检测系统 IDS 该系统安装的入侵检测产品是ISS公司的RealSecure 它根据系统的安全策略做出反映 实现了对非法入侵的定时报警 记录事件 方便取证 自动阻断通信连接 重置路由器 防火墙 同时及时发现并提出解决方案 它可列出全线链接的网络系统易被黑客利用和可能被利用的薄弱环节 防范黑客攻击 22 2020 3 5 可编辑 本章案例 4 杀病毒技术防病毒产品包括网络防病毒产品和主机防病毒产品 主机防病毒产品只能对单一主机进行保护 而网络防病毒产品通过在网络入口实施内容检查和过滤 可以防止病毒通过邮件 FTP等方式从Internet进入企业网 23 2020 3 5 可编辑 本章案例 2 应用层安全解决方案目前K公司安装的是WebCA安全组件 WebCA安全组件解决方案如下 双向身份认证 客户和B2B电子商务应用服务器要互相取得身份信任 这是基于Kerberos身份认证协议的 对象访问控制 细粒度的对象访问控制 对象是网络系统中的资源总和 最具特色的是对动态对象 动态URL 的访问控制 使得动态Web应用可以纳入到安全体系 数据传输加密 所有数据在传输过程中均可以加密 保证了数据的机密性和完整性 审计日志服务 提供详实的审计日志文件 记录客户 各个应用服务器在网络中的活动 安全管理服务 提供WebCT管理控制台 以图形界面对用户 资源对象 服务器以及访问控制授权策略进行管理和维护 24 2020 3 5 可编辑 本章案例 WebCA组件的功能如下 WebCA安全服务器 对安全域中的所有成员 客户和应用服务器 提供集中的身份认证服务 同时它提供一个中央注册数据库 内含被保护的所有合法用户和组的登录帐号 WebSEAL服务器 作为HTTP安全代理 保护指定的Web应用 来自客户端的Web请求 无论来自授权用户还是非授权用户 首先由WebSEAL服务器处理 如果用户具有访问权限 WebSEAL服务器将HTTP请求递交给第三方Web服务器 NetSEAL服务器 NetSEAL作为TCP安全代理 保护安全域内的网络应用服务器 NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用 如FTP Telnet以及用户自行设计的网络应用 25 2020 3 5 可编辑 本章案例 WebCT控制台 用来对WebCT的用户帐号 访问控制策略 服务器对象等进行管理 NetSEAT安全客户端 是一个轻量型的客户端软件 运行在客户端上 用来与安全服务器 WebSEAL NetSEAL服务器进行身份认证和建立安全通信通道 NetSEAT对应用的客户端软件不作任何改变 采用陷阱方式 由NetSEAT设置IP陷阱 截取IP数据包 由NetSEAT进行处理 PKMS服务器 将基于公共密钥的SSL策略集成在一起 用在Web应用方面 WebSEAL服务器通过公共密钥管理服务器 PKMS 与SSL连接起来 PKMS实际是身份认证网关和