网络安全与电子商务（PPT89页).ppt

网络安全与电子商务总体内容 网络安全基础网络安全电子商务安全网络及通信安全Web安全 服务器 浏览器安全 电子邮件安全黑客病毒 各种安全技术防火墙技术加密技术数字签名与身份认证数据安全操作系统电子商务安全交易协议网络安全管理 网络安全与电子商务特色 1 先讲授网络安全 后讲授电子商务安全 2 先讨论网络的安全威胁 后研究防范技术 3 每一章均附有小结和习题以及实训 并附有习题答案 4 习题组成 选择题填空题判断题思考题5 实训部分 只给出一个大概的提纲有讨论和上机操作两种形式 但以上机操作为主 网络安全基础 网络面临很多威胁例如人为攻击 网络安全基础 网络面临很多威胁例如物理破坏 网络安全基础 网络面临很多威胁例如传输安全 网络安全基础 网络面临很多威胁例如主机安全 网络安全基础 网络安全是有等级标准的 美国标准中国标准 网络安全基础 网络安全的关键技术主机安全技术身份认证技术访问控制加密技术防火墙技术安全审计技术安全管理技术 网络安全基础 电子商务安全要素有效性机密性完整性不可否认性 网络及通信安全 Internet给我们提供很多服务 但也带来了许多安全隐患 在信息的传输过程中 主要安全威胁有 解决办法 1 加强线路安全 2 加密 链路 节点 端到端加密 网络通信中的安全协议IP安全 截获 窃听 篡改 伪造 网络及通信安全 Web面临以下安全威胁 信息泄漏 拒绝服务 系统崩溃 跳板Web的安全主要包括以下几个方面 Web服务器的安全 Web浏览器的安全 Web传输过程的安全 网络及通信安全 浏览器中Cookie安全Cookie是一个储存于浏览器目录中的文本文件 可储存诸如注册口令 用户名 信用卡号等私人信息 只要找到Cookie文件 用文本编辑器或字处理软件打开它就可以了 在浏览器中禁止Cookie注册表中禁止CookieActiveX和Java的设置同上 网络及通信安全 通常 我们可以通过IE浏览器提供的Cookie设置选项进行设置 具体如下 打开浏览器 在 工具 菜单中 选定 Internet选项 选择 安全 选项卡 单击窗口列表中白色编辑框中的Internet图标 单击窗口列表下方的 自定义级别 在弹出的 安全设置 对话框中 移动对话框中的垂直滚动滑块 直至出现Cookies设置选项为止 根据需要设置即可 网络及通信安全 网络及通信安全 网络及通信安全 网络及通信安全 一个邮件系统的传输包含了用户代理 传输代理及接受代理三大部分 E mail的安全问题主要在两个方面 1 电子邮件在网上传送时随时都可能被人窃取 同时 邮件是用ASCII字符编写 任何人都可以看懂 2 可以假冒别人发信 网络及通信安全 OutlookExpress安全安全设置定义接收邮件的规则邮件加密阻止邮件 黑客及其防范 黑客能够对网络进行攻击的主要原因是 网络系统的缺陷与漏洞攻击准备 网络监听端口扫描口令破解常见的攻击 特洛伊木马IP欺骗拒绝服务攻击缓冲区溢出 黑客及其防范 网络系统的缺陷与漏洞物理结构缺陷TCP IP协议的缺陷漏洞分三级漏洞的检测漏洞与后门的区别 黑客及其防范 黑客的含义黑客的表现形式黑客入侵级别黑客攻击过程黑客入侵的简单防范 黑客及其防范 网络监听网络监听的关键是将网卡设置为混杂模式的状态 常用的监听工具有Sniffit Windump防范监听的办法之一是加密端口扫描手工扫描 Ping命令 Tracert命令等 常用的扫描工具 SATAN NSS Strobe Superscan端口扫描的防范 关闭闲置和有潜在危险的端口各端口有扫描的症状时 立即屏蔽该端口 黑客及其防范 口令破解从存放许多常用的口令的数据库中 逐一地取出口令进行尝试 另一种做法是设法偷走系统的口令文件 如E mail欺骗 然后用口令破解工具破译这些经过加密的口令具体做法 穷举法分布式破解法口令破解器一般由候选口令产生器 口令加密和口令比较三部分组成 黑客及其防范 什么是特洛伊木马特洛伊木马是一个程序 它驻留在目标计算机中 在目标计算机启动时 它自动启动 然后在某一端口进行侦听 如果在该端口收到数据 则对这些数据进行识别 识别后 在目标计算机上进行一些操作 比如窃取口令 复制或删除文件 或者重新启动计算机 黑客及其防范 特洛伊木马的特点 隐蔽性顽固性潜伏性自动运行性包含具有未公开并且可能产生危险后果的功能的程序和功能的特殊性 黑客及其防范 特洛伊木马分类 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型 特洛伊木马的删除与预防通过查看系统的启动组 注册表等方法 我们可以发现木马的存在 并删除之 还可以通过不执行任何来历不明的软件 不随意打开邮件附件 重新选择新的客户端软件 将资源管理器配置成始终显示扩展名 尽量少用或不用共享文件夹 运行反木马实时监控程序以及经常升级系统等来预防木马 特洛伊木马实例 木马实例 201木马 黑客会通过恶意网站 电子邮件 聊天工具等途径主动散播此类病毒 用户电脑被 201木马 感染后 会自动弹出伪造的窗口 如果用户把自己的QQ号 电话卡号和密码等资料输入病毒伪造的对话窗口 就会失窃 病毒弹出的伪造窗口如下 木马实例 201木马 黑客及其防范 间谍软件间谍软件是指能够在用户不知情的情况下偷偷进行安装 并悄悄把截获的一些机密信息发送给第三者的软件 间谍软件大都是因为用户在网上下载了免费软件 浏览了一些不适合的网站 或者打开了某些恶意的邮件造成的 网络个人隐私渗透实例 仅仅知道某一个人的名字 当然名字不是那种非常普通的那种 如何查处他的个人信息 如Email 电话 住址 甚至密码等等 前提条件 此人上网 拥有多个Email QQ等 下面我们来达到这个目标 目标 知道一个人的姓名 此处假定为张三 现在要查出他的网络常用身份 前提 此人 张三 名字不是太普通 不能太多重名 否则还需要知道另外信息 具体步骤如下 网络个人隐私渗透实例 一 收集信息由于只知道其名字 需要了解其在网上的活动 首先登陆和 输入其名字进行搜索 但是均没有搜索结果 那么在哪里去知道更多信息了 打开 登陆 校友录提供一个很好的功能那就是 同学大搜捕 输入姓名 点搜索 但是提示非手机绑定用户 无法使用此 同学大搜捕 功能 没有办法 只好用手机绑定 再重新搜索 结果出来了 如下图所示 网络个人隐私渗透实例 网络个人隐私渗透实例 通过搜索 我们已经获得了毕业学校信息 接下来 打开搜索结果中的各个班级的链接 由于现在很多班级都把自己班级设置为不公开状态 访客登陆是无法看到校友录留言的 所幸的是在以上搜索结果中有两个班级是设置为公开状态 可以随意浏览校友录留言和班级个人地址 在个人地址中 查看张三的个人信息 提示非班级成员 不能查看 那好 直接点加入班级 都不需要批准就加入了此班级 接下来查看个人信息 可以得到张三在校友录的注册帐号 aaa 常用Email bbb QQ 3 接下来 打开 众所周知 chinaren和5460是两个最著名人气也是最旺的校友录 去5460看看是否能获得更多的信息 在5460上面依然使用同学搜索功能 不同的是此功能不象那样需要绑定手机 果然不出所料 在5460上很快搜索到其资料 注册帐号为aaa111 Email依然是bbb 网络个人隐私渗透实例 二 确定突破点至此 我们已经在只知道其姓名的情况下 获得了其常用Email QQ 注册帐号等网络信息 接下来该如何寻找突破点 进一步获得更详细的信息了 当然 知道Email QQ等 可以使用暴力破解密码之后进入其邮箱或者QQ 接下来该如何做了 接下来我们来使用忘记密码看能否找到密码 或者相关信息 打开 点击忘记密码 就提示输入出生年月日 再把从校友录上获取的张三的生日信息输入 输入正确后提示问题答案为 whoareyou 答案跟问题一样输入试了之后发现不对 此条路不通 在QQ的忘记密码中 密码忘记的提示问题为 whoareyou 那么可以想到的是他的答案肯定不会跟问题一模一样 Chinaren的密码取回功能改为了人工 自然不能玩了 而上的取回密码比较有意思 画面如下 网络个人隐私渗透实例 网络个人隐私渗透实例 在这个页面中我们点击IE上面的 查看源文件 可以看到如下内容 网络个人隐私渗透实例 这样我们知道了密码发送到哪个邮箱 也知道了5460的密码肯定的明文保存在数据库的 不象QQ等只是发一个更改密码的链接 这样 能够进入他的邮箱 就能够获得他的密码 接下来 由于知道了他的注册帐号 联想到是否他会用此帐户注册登陆很多论坛 还是使用google和baidu 但是这次搜索关键词使用他的注册帐号而不是真实姓名 这次到是有了搜索结果 第一个就是天涯论坛 打开链接 在天涯中打开此帐户的个人信息 然后搜索其在天涯论坛的文章 看来他还是比较活跃 分析他发表帖子的版块就知道他平时上网的个人兴趣了 但是此时还是离我们的目标很远 再重新查看张三的在校友录的注册信息 可以知道他的大学和中学名称 以这个为突破口 看能否实现 网络个人隐私渗透实例 首先进入其大学主页 浏览了一下 估计可以利用的漏洞不是很多 而且应该也没张三的个人信息 就在一筹莫展的时候 随便在上搜索其所在中学名称 居然发现其所在的中学也已经有了自己的网站 打开其主页 发现新闻文章发布系统是采用asp系统 心中大喜 可能存在sql注入 再看其主页上居然还有一个自己学校建设的校友录版块 而且一看就知道肯定是采用网上那些免费的校友录程序的 看来此网站能够拿下的几率已经非常大了 等下就只需要确定张三是否在这个校友录上有注册 打开校友录中张三的中学班级 成员名单中显示他已经注册并登陆过 好 已经选顶了突破口 只要能够拿到这个网站的数据库 那么就可以拿到张三的密码 如果此密码和其在上的邮箱密码一致 那么就大功告成 如果不同 那么也可以得到进一步信息 网络个人隐私渗透实例 先看首页的新闻系统 使用asp程序 随便打开一条新闻http www net include shownews asp id 453 在URL后面添加and1 1 居然没有报错 显然存在sql注入 拿出NBSI2 进行扫描 扫描结果如下 可以看到网站采用SqlServer数据库 而且使用sa进行登陆 在自动猜解中 已经知道校友录数据库为alumni user 在列名中 选中name truename password进行破解 破解条件直接输入truename 张三 即可 密码立刻就破解成功 大功告成 网络个人隐私渗透实例 网络个人隐私渗透实例 三 乘胜追击用破解的密码登陆其的邮箱 居然密码一致 进入之后 查看其收件箱 可以发现其注册过易趣和当当网上书店 并使用过密码忘把密码发送到邮箱过 如下图 网络个人隐私渗透实例 网络个人隐私渗透实例 可以看到 其在当当网注册密码 与当前邮箱密码不一致 接下来登陆当当网 使用帐户和密码登陆 此时当当网的个人信息中 个人的身份证号码信息 手机号码 家庭住址均一览无遗 在此邮箱中 查看邮箱设置中的个人资料 忘记密码栏中 提示问题的答案都已经明文显示在那里 在这里说明一下 的邮箱把忘记密码的答案明文保存在个人信息中 增加了安全隐患 在邮箱中和QQ等其他一些密码忘记答案设置中 答案都是不显示的 如果要更改答案 需要输入原答案和新答案进行修改 再使用已经获得的两个密码登陆张三的QQ 居然提示密码不对 到QQ主页 使用忘记密码功能 密码答案使用的密码提示答案 顺利通过 而且将QQ密码的修改链接发到了的邮箱 看来此次渗透是收获颇丰 不仅得到了他在网上所常用的Email QQ 常登陆论坛信息 而且成功获取其常用密码 黑客及其防范 IP欺骗所谓IP欺骗 就是伪造某台主机的IP地址的技术 其实质就是让一台机器来扮演另一台机器 以达到蒙混过关的目的 被伪造的主机往往具有某种特权或者被另外的主机所信任 IP欺骗通常都要用编写的程序实现 另外 也有大量的可以发送伪造的IP地址的工具可用 使用它可以任意指定源IP地址 以免留下自己的痕迹 黑客及其防范 拒绝服务攻击简称DoS 这种攻击行动使网站服务器充斥大量要求回复的信息 消耗网络带宽或系统资源 导致网络或系统不胜负荷以至瘫痪而停止提供正常的网络服务 缓冲区溢出 又称堆栈溢出 攻击是最常用的黑客技术之一 这主要是因为C语言不检查缓冲区的边界 在某些情况下 如果用户输入的数据长度超过应用程序给定的缓冲区 就会覆盖其他数据区 这称做 堆栈溢出或缓冲溢出 计算机病毒及其防治 本章主要介绍了以下内容 计算机病毒概念 特征 分类和作用机理 计算机病毒的特点及破坏行为 宏病毒及网络病毒 病毒的预防 检查和清除以及几种常见的病毒 计算机病毒及其防治 计算机病毒分类 文件病毒引导扇区病毒多裂变病毒秘密病毒异形病毒宏病毒 计算机病毒及其防治 计算机病毒在结构上有着共同性 一般由引导部分 传染部分 表现部分三部分组成 病毒一旦进入系统以后 通常用以下两种方式传播 通过磁盘的关键区域 在可执行的文件中 计算机病毒及其防治 计算机病毒的主要特点 刻意编写人为破坏传染性破坏性隐蔽性潜伏性和不可预见性 计算机病毒及其防治 病毒的破坏行为主要体现在 攻击系统数据区 攻击文件 攻击内存 干扰系统运行 使运行速度下降 干扰键盘 喇叭或屏幕 干扰打印机 网络病毒破坏网络系统等 计算机病毒及其防治 宏病毒 就是利用软件所支持的宏命令编写成的具有复制 传染能力的宏 宏病毒的特征宏病毒的清除方法 手工清除工具清除 计算机病毒及其防治 网络病毒的特点 传染方式多 传播速度快 扩散范围大 清除难度大 破坏性强 网络病毒的防范分为基于工作站和基于服务器两类 计算机病毒及其防治 病毒的检查方法检测的原理主要是基于下列四种方法 比较被检测对象与原始备份的比较法利用病毒特征代码串的搜索法病毒体内特定位置的特征字识别法运用反汇编技术分析被检测对象 确认是否为病毒的分析法 防火墙技术 防火墙是在两个网络之间执行访问控制策略的一个或一组系统 它在不同网络间执行访问控制策略 它可以是软件 也可以是硬件 或是他们的结合 其目的是保护网络不被外部网络侵犯 它提供可控的过滤网络通信 只允许授权的通信 防火墙的作用是保护Web站点和公司的内部网 使之免遭因特网上各种危险的侵犯 防火墙技术 防火墙产品实例 防火墙技术 防火墙的具有以下优点 防火墙能够强化安全策略 防火墙能有效地记录因特网上的活动 防火墙可以实现网段控制 防火墙是一个安全策略的检查站 防火墙的不足之处 不能防范恶意的知情者的侵犯 防火墙不能防范不通过它的连接 防火墙不能防备全部的威胁 防火墙不能防范病毒 防火墙技术 防火墙的分类 基本型防火墙和复合型防火墙 基本型防火墙可分为包过滤路由器和应用型防火墙 复合型是将上述两种防火墙结合使用的 主要有屏蔽主机防火墙和屏蔽子网防火墙 防火墙的配置 Web服务器置于防火墙之内 Web服务器置于防火墙之外 Web服务器置于防火墙之上 防火墙技术 在选购防火墙软件时 应该考虑以下几点 防火墙应该是一个整体网络的保护者 防火墙必须能弥补其他操作系统的不足 防火墙应该为使用者提供不同平台的选择 防火墙应能向使用者提供完善的售后服务 加密技术 加密技术是保护信息安全的重要手段之一 它综合了数学 计算机科学 电子与通信等诸多学科 具有信息加密 数字签名 身份验证等多项功能 使用加密技术可以保证信息的机密性 信息的完整性和正确性 密钥体系是一切加密技术的核心 密码体制从原理上可分为两大类 即单钥密码体制和双钥密码体制 加密技术 单钥密码体制是加密和解密使用相同密钥的加密制度 常见的单钥密码体制有两种加密法 一是流密码 即明文按字符逐位地加密 二是分组密码 即把明文消息分组 逐组进行加密 单钥体制不仅可用于数据加密 也可用于消息的认证 DES是一种对二元数据进行加密的算法 数据分组长度为64bit 密文分组长度也是64bit 没有数据扩展 IDEA国际数据加密算法是最好 最安全的 已在PGP中采用 RC5加密算法使用可变参数的分组迭代密码体制 加密技术 双钥密码体制采用两个密钥 一个密钥K1用于加密 称为公钥 可以公开公布和散发 另一个密钥K2用于解密 是秘密的 为用户所专用的 称为私钥 公钥加密体制可实现仅仅用一对密钥就能够对多个用户的信息进行加密 而由一个密钥接收解读 反之 以用户专用私钥作为加密密钥 而以公钥作为解密密钥 则可实现由一个用户加密的消息而使多个用户解读 前者可于保密通信 后者可用于数字签名 加密技术 RSA密码体制DES与RSA的比较与单钥密码体制加密相比 双钥密码体制加密有许多优点 它没有特殊的发布要求 所需的密钥组合数量很小 可用于数字签名 双钥密码体制的缺点 加密 解密的速度慢得多 加密 解密累积的时间很长 密钥的管理 数字签名与身份认证 数字签名是利用数字技术实现在网络传送文件时 附加个人标记 完成传统意义上手书签名或印章的作用 以表示确认 负责 经手等 使用数字签字可以保证交易中的认证性和不可否认性 数字签名可以防范 接收方伪造 发送者或接收者否认 第三方冒充 接收方篡改 数字签名与身份认证 证书是一个担保个人 计算机系统 服务器 组织的身份和密钥所有权的电子文档 身份认证证书分为以下几种类型 个人证书 企业证书 服务器证书 代码签名证书 信用卡身份证书 证书由以下两部分组成 证书数据的组成 发行证书的CA签名与签名算法 证书只有在满足某些条件的情况下才有效 用户申请证书要向CA注册 填证书申请表 并向CA提供必要的信息 证书在发行时规定了失效期 其值由CA根据安全策略来定 CRL吊销的方式有 广播和立即吊销 数字签名与身份认证 建立公钥基础设施是发展电子商务的重要基础之一 它可以从技术和法律上来支持有关业务 如多证书机构 不同证书政策 不同的证实链 不同管理协议等 所谓认证系统是为了使接收者或第三者能够识别和确认消息的完整性的密码系统 数字签名与身份认证 数字时间戳这是一个经加密后形成的证书文件 它包含三个部分 相联系文件的摘要DTS机构收到文件的日期和时间DTS机构的数字签名 数字签名与身份认证 不可否认业务是电子商务中用来防止交易参与者对已进行过的网上业务的否认 其基本类型是源的不可否认性和递送的不可否认性 不可否认业务实现步骤 事先取得一致意见 形成证据文件 传送证据 验证证据 保存证据 数字签名与身份认证 可信赖第三方在实现不可否认业务中起着重要作用 他的公正性 独立性 可靠性和为所有成员所接受是实现安全电子商务的保证 第三方可通过公钥证书 身份证实 时戳 证据保存 中介传送 解决纠纷和仲裁支持不可否认业务 操作系统与数据安全 操作系统实现的安全功能 用户身份识别 存储器保护 通用目标分配和存取控制 文件和I O设备控制 进程通信和同步以及保证公平服务 隔离性设计是指采用一定措施使系统某一部分的问题不影响其他的部分 隔离可以通过物理 时间 密码和逻辑等方式来实现 安全操作系统设计的环节包括用户接口 用户身份认证 验证数据比较和验证数据修改 操作系统与数据安全 操作系统采用的安全控制方法主要是隔离控制和访问控制 访问控制是安全控制的核心 存取控制必须解决两个基本问题 一是访问控制策略 二是访问控制机构 访问控制策略是根据系统安全保密需求以及实际可能而提出的一系列安全控制方法和策略 访问控制机构则是系统具体实施访问控制策略的硬件 软件或固件 用户身份识别是访问控制的主要内容 身份识别主要是基于口令的身份识别 操作系统与数据安全 访问控制方式可以分为 自主访问控制强制访问控制有限访问控制共享 独占型访问控制 操作系统与数据安全 数据库系统安全包含两层含义 即系统运行安全和系统信息安全 系统运行安全包括 法律 政策的保护 物理控制安全 硬件运行安全 操作系统安全 灾害 故障恢复 死锁的避免和解除 防止电磁信息泄露 系统信息安全包括 用户口令字鉴别 用户存取权限控制 数据存取权限 方式控制 审计跟踪 数据加密 操作系统与数据安全 危及数据库安全的因素有脆弱的账号设置 缺乏角色分离 缺乏审计跟踪 未利用的数据库安全特征 数据库安全管理原则有管理细分和委派原则 最小权限原则 账号安全原则 有效的审计 数据库基本安全架构是用户分类 数据分类 审计功能 操作系统与数据安全 数据库文件安全通过以下途径实现 操作系统的访问控制功能用户身份认证对数据库加密 操作系统与数据安全 数据备份是把文件或数据库从原来存储的地方复制到其他地方的活动取回原先备份的文件的过程称为恢复数据 安全电子交易协议 SSL所提供的安全业务有实体认证 完整性 保密性 还可通过数字签名提供不可否认性 其成本低 设置方便 SSL协议中使用了许多加密解密技术 信息摘要技术 数字签名与认证技术 SSL依靠证书来验证通信双方的身份 SSL保证了Internet上浏览器 服务器会话中三大安全内容 机密性 完整性和认证性 安全电子交易协议 SET协议规定了交易各方进行安全交易的具体流程 在SET协议中 使用DES算法 RSA算法等提供数据加密 数字签名 数字信封等功能 SET协议通过DES算法和RSA算法的结合使用 保证了数据的一致性和完整性 并可预防抵赖 通过数字信封 双重签名 确保用户信息的隐私性和关联性 安全电子交易协议 SET协议执行步骤与常规的信用卡交易过程基本相同 只是它是通过因特网来实现的 在SET协议系统中 参与交易的主要有持卡人 电子商家 收单银行 发卡银行等 此外 在协议系统中 还有认证中心 它是一些发卡机构共同委托的公证代理组织 其主要功能是产生 分配和管理发卡人 商家和参与电子交易等 SET协议规定了参加电子交易各方在交易中的行为规范和信息交换的过程和规则 有助于实现安全 可靠