电子商务实用教程第四章

电子商务实用教程,第4章电子商务安全,第4章电子商务安全,第一节电子商务的主要安全要素第二节电子商务安全体系结构第三节电子商务的安全管理需求第四节电子商务的安全威胁第五节电子商务的安全防护体系第六节数据安全第七节信息加密第八节数字签名与数字证书第九节电子商务安全交易协议第十节电子商务安全管理制度,本章学习目标,了解电子商务的主要安全要素了解电子商务安全体系结构了解电子商务的安全管理需求掌握电子商务中存在的安全威胁掌握电子商务的安全防护体系掌握数据安全中的访问控制技术和数据容灾技术理解信息加密技术掌握数字签名与数字证书的概念熟悉电子商务安全交易协议,第一节电子商务的主要安全要素,一、信息的保密性二、信息的完整性三、信息的有效性四、信息的不可抵赖性五、交易身份的真实性六、系统的可靠性,一、电子商务的主要安全要素,一、信息的保密性信息的保密性是指一些敏感的交易信息在存储和传输过程中不被非授权用户窃取。二、信息的完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异，此外，数据传输过程中信息的丢失、重复或传输次序的差异也会导致贸易各方信息的不同。因此，信息的完整性要求在信息的发送端和接收端的信息一致，以防止信息的丢失、出错以及非法用户对信息的恶意篡改。电子商务系统应该提供对信息进行完整性验证的手段，确保能够发现数据在传输过程中是否发生改变。三、信息的有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。一旦签订交易后，这项交易就应受到保护，防止被篡改或伪造。,一、电子商务的主要安全要素,四、信息的不可抵赖性在传统的纸张贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的交易方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，一旦交易开展后便不可撤销，交易中的任何一方都不得否认其在该交易中的作用，即对交易的约定不可抵赖。五、交易身份的真实性网上交易的双方很可能素昧平生，远隔千里甚至是跨国界的。要交易成功，首先要能确认交易双方身份的合法性以防假冒。因此，电子商务系统应该提供交易双方进行身份鉴别的机制。六、系统的可靠性电子商务系统是计算机系统，其可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，以确保系统的安全可靠。计算机系统安全是保证电子商务系统数据传输、存储及完整性的基础。,二、电子商务安全体系结构,电子商务安全体系结构,第二节电子商务安全体系结构,整个电子商务安全体系从下到上是由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成，各个层次之间相互依赖、相互关联从而构成统一整体。各个层次只有通过合理应用相应的控制技术，并进行有机结合，才能实现电子商务系统的安全，从而进一步确保电子商务活动的保密性、完整性、有效性、不可抵赖性、真实性和可靠性。,第三节电子商务的安全管理需求,一、信息传输具有保密性二、交易文件具有完整性三、信息具有不可否认性四、交易者身份具有真实性,一、信息传输具有保密性,信息的保密性是指信息在传输过程或存储中不被他人窃取，因此，信息需要加密以及在必要的结点上设置防火墙。例如，信用卡号在网上传输时，如果非持卡人从网上拦截，并知道了该号码，他也可以用这个号码在网上购物，因此，必须对要保密的信息进行加密，然后再放到网上传输。,二、交易文件具有完整性,信息的完整性是从信息传输和存储两个方面来看的。在存储时，要防止非法篡改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密，能保证第三方看不到真正的信息，但并不能保证信息不被修改。例如，如果发送的信用卡号码是“2012”，接收端收到的却是“2021”，这样，信息的完整性就遭到了破坏。,三、信息具有不可否认性,信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。由于商情的千变万化，交易达成后是不能否认的，否则，必然会损害一方的利益。例如，买方向卖方订购石油，订货时世界市场的价格较低，收到订单时价格上涨了，如果卖方否认收到的订单的时间，甚至否认收到订单，那么买方就会受到损失。,四、交易者身份具有真实性,交易者身份的真实性是指在虚拟市场中确定交易者的实际身份。网上交易的双方很可能素昧平生，相隔千里，要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份的认证工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等问题。,第四节电子商务的安全威胁,电子商务是基于因特网环境开展的，由于因特网的TCP/IP协议及源代码的开放和共享是为了更好地共享资源，但电子商务中的一些信息是不能共享的，比如个人隐私、商业机密等，这就出现了矛盾。每天都有成千上万的交易在因特网上进行，网络系统也面临着来自黑客攻击、计算机病毒、拒绝服务攻击、间谍软件和利用操作系统的网络的漏洞、缺陷从外部非法侵入，进行不法行为的安全隐患。这自然使得某些别有用心的人有机可乘，在电子商务交易中窃取商业机密，冒用他人信用卡、篡改订单等犯罪行为时有发生，因此，因特网的安全直接影响着电子商务的安全。网络安全是信息安全的基础，一个完整的电子商务系统应该建立在安全的网络基础设施之上。,第四节电子商务的安全威胁,一、黑客攻击二、病毒和蠕虫攻击三、通过建立欺骗性的网站攻击四、利用垃圾邮件及钓鱼方式进行攻击五、利用网络间谍活动和间谍软件进行攻击,一、黑客攻击,1.黑客的分类2.黑客入侵网络方式的基本分类,一、黑客攻击,1.黑客的分类根据其行为分析，黑客大致可分为以下几种类型：恶作剧型：此种黑客喜欢进入他人网络的主机中，更改别人的网页内容，以显示自己高超的网络侵略技巧。商业间谍型：由竞争对手派出，以各种应聘方式进入目标公司，在深入了解该公司网络运行状况后，窃取商业机密。报复型：员工在职时对公司不满，在离职前将病毒或黑客软件放入原公司电脑系统中。待离职后，电脑病毒发作，破坏该公司的计算机系统，造成损失。不正当竞争型：非法进入他人网络，修改其电子邮件内容或订单信息，窃取其报价，扰乱对方的经营策略，并乘机介入到其商品竞争中。,一、黑客攻击,2.黑客入侵网络方式的基本分类被动式：入侵者仅仅窃听信息，希望收集一些有用的信息，并不修改通过网络传输的信息或数据。主动式：入侵者与目标系统交互，试图影响目标系统的行为，一般会对数据进行修改。无论哪种进攻策略，最终的目的都是获得进入目标系统的一个入口，这个入口可以是口令、用户名甚至是一个主机地址，作为一个看上去“合法”的用户登录系统。3.电子商务黑客攻击的主要类型猜测口令猜测口令也称为字典攻击，基本上是一种被动攻击方式。木马攻击这是一种较为严重的主动攻击方式，也成“特洛伊木马”。端口窃听端口窃听是通过隐蔽的方式或在网络的接口上接入一台主机，即使不登录到网络中，也能通过软件来截获其他计算机的数据包。,二、病毒和蠕虫攻击,1.利用计算机病毒进行攻击2.利用蠕虫进行攻击,二、病毒和蠕虫攻击,(1)利用计算机病毒进行攻击计算机病毒是一段附着在其它程序上的可以实现自我复制、自我扩散的程序代码。计算机病毒种类繁多，极易传播，影响范围广，它动辄删除、修改文件，导致程序运行出错、死机，甚至毁坏硬件，对计算机网络造成了严重的威胁。感染病毒的常见途径：从互联网上下载含病毒程序的文件。运行电子邮件中含病毒的附件。通过磁盘等存储设备交换含病毒的文件。将含病毒的文件在局域网中复制。,二、病毒和蠕虫攻击,(2)利用蠕虫进行攻击蠕虫(worm)也是病毒中的一种，但与普通病毒有很大的区别，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合等。普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制，普通病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能，一旦您的系统感染蠕虫，蠕虫即可自行传播，将自己从一台计算机复制到另一台计算机。网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。,三、通过建立欺骗性的网站攻击,欺骗者建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，并且利用后台数据库把这些信息存储起来，欺骗者在取得这些信息后就可以通过真正的网上银行、网上证券系统盗窃资金。欺骗者可能会把假冒网站的链接发布到与目标机构相关的一些聊天室或论坛上，或者通过电子邮件群发的方式发送给用户。,四、利用垃圾邮件及钓鱼方式进行攻击,1.利用垃圾邮件和手机短信进行网络钓鱼垃圾邮件发送者拥有包括几百万使用中电子邮件地址的数据库，因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。2.利用病毒、木马网络钓鱼最早引起广泛关注的“网络钓鱼”事件，正是借助了一款名为“Mimail.J”的病毒，该病毒伪装成由Paypal网站寄出的信息，表示收件者的账户将在5个工作日后失效，要求用户更新个人信息，才能重新启动账户。有些恶意网站，如（）伪装成联想主页（），前者将数字1取代英文字母L，利用多种IE漏洞植入木马病毒。3.利用“鸡尾酒”钓鱼术这是一种比较巧妙的欺骗方法，通过发送一个包含链接的垃圾邮件，用户点击邮件中的链接，就会被带到一个正常网站，同时恶意脚本会在用户电脑上弹出一个小窗口，这样看起来小窗口就像是网站的一部分，用户往往就会在这个小窗口中填入登录账号和密码等。,五、利用网络间谍活动和间谍软件进行攻击,1.电子商务中网络间谍活动入侵手段多样化间谍活动的入侵手段是多种多样的，主要包括以下几点：通过软件捆绑下载安装。分享软件及免费软件下载是间谍软件最普遍的传播方式。通过恶意电子邮件。网站登录。一些间谍软件会通过网站登录被触发并自动下载安装到计算机当中。监视你的上网活动和截获你所发送的一切信息。操作系统的漏洞也是网络间谍的入侵方式之一。通过移动存储介质入侵。电子商务中网络间谍活动具有隐蔽性，它是通过互联网等电子渠道窃取电子商务企业组织和个人的机密数据。它不像病毒那样具有立竿见影的破坏性，网络间谍只是偷偷地窃取一些机密数据，并且不会留下任何痕迹，所以很难引起人们的注意。随着软件技术和网络技术的发展，电子商务中网络间谍活动的隐蔽性会越来越强，越来越难以被检测到。从破获的网络间谍案例来看，都是长期、多次作案后被偶尔发现的。近几年，网络间谍活动呈上升趋势，软件技术及信息技术的发展使得这一威胁的防御极其困难。商业驱动的网络间谍是这些秘密活动中增长最快的领域。,5.利用网络间谍活动和间谍软件进行攻击,2.电子商务中间谍软件种类随着间谍软件对企业网络基础设施的完整性及其所保护的数据造成威胁，了解这种类型的恶意软件显得至关重要。间谍软件具体可分为以下三类:广告软件广告软件的破坏性主要是监控用户网页浏览行为，并基于此行为将目标广告发送至用户界面，并通过安装浏览器辅助工具栏改变用户工作方式和默认设置。键盘记录器该类工具也可能以机械装置的方式嵌入计算机键盘，用来记录网购用户银行卡账号和密码。木马间谍软件不但消耗计算机资源和带宽，还会造成计算机的安全问题，比如侵犯个人隐私，泄露商业秘密等，对电子商务造成了相当大的影响。,六、拒绝服务攻击,当一个用户占用太多的共享资源（服务）以至达到饱和时，那么其它用户就没有资源可用，则对于新的服务请求，只能被拒绝。这是一种非常野蛮的主动攻击方式，它破坏资源分配规则使所有用户都不能使用，或用尽某些资源，使服务器减缓甚至停顿，其目的是为阻止其他用户使用服务资源。攻击过程通常是利用软件快速、大量地向一个提供服务的主机（WWW主机）发出服务的请求，该主机无法判断这个连接是善意还是恶意的，在处理这个请求的同时，接连不断的收到相同请求，导致系统非常忙，而不能按时处理常规的任务，并拒绝了许多合法的请求，同时也可能使该主机所在的内部网络变得缓慢，甚至造成被攻击的主机崩溃。,第五节电子商务的安全防护体系,电子商务系统是一个计算机系统，其安全性是一个系统的概念，不仅与计算机系统机构有关，还与电子商务应用的环境、人员素质和社会因素有关，它包括电子商务系统的硬件安全、软件安全、运行安全和电子商务安全立法。1.电子商务系统硬件安全硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。2.电子商务系统软件安全软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是保证计算机系统逻辑上的安全，主要是使系统中的信息的存取、处理和传输满足系统安全策略的要求。3.电子商务系统运行安全运行安全是指保护系统能连续和正常地运行。4.电子商务安全立法电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。,第五节电子商务的安全防护体系,一、防火墙技术二、入侵检测系统三、VPN技术四、无线网络安全,一、防火墙技术,防火墙（FIREWALL）是指一个由软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护层，并以此作为检查和确认连接的措施，只有被授权的连接请求或数据才能通过此保护层，从而使内部网络与外部网络在一定意义下被隔离，达到安全的目的。(1)包过滤型防火墙(PACKETFILTER)(2)代理服务型防火墙(PROXYSERVICE)(3)双宿主主机防火墙(4)屏蔽主机防火墙,一、防火墙技术,根据防火墙使用的技术和系统设备配置，可以分为以下几种类型：1.包过滤型防火墙(PACKETFILTER)在网络中传输的信息被划分成固定大小与格式的片段，称数据包，通过对每个数据包的发送地址、接收地址及端口验证，并按既定的安全规则对数据包作出是否准许通过的判断，来实现防火墙的过滤功能。包过滤型防火墙安装简便，数据分析快，成本低，用户的操作较少，但是对网络的保护有限。因为它只检查地址及端口，对网络的高级协议信息，如用户名称、密码等都无法理解。,一、防火墙技术,2.代理服务型防火墙(PROXYSERVICE)代理服务型防火墙通常由两部分构成：服务器端程序和客户端程序。客户端程序与代理服务器连接，代理服务器再与要访问的外部网络(Internet)相连。数据包在经过代理服务器时，由服务器复制传递，并按规定的安全法则，如用户、口令、密码等进行检查，有效地防止了内部计算机系统与外部不可信主机间的直接连接，如图4.2所示。图代理服务型防火墙,一、防火墙技术,3.双宿主主机防火墙双宿主主机防火墙防火墙是一种复合型防火墙，双宿主主机防火墙(把包过滤和代理服务两种方法结合应用的主机)充当包过滤节点，并在其上运行防火墙软件。内部网络与外部网之间不能直接进行通信，必须通过双宿主主机防火墙。如果内部网络被隔离，而双宿主主机防火墙却暴露出来。除非双宿主主机防火墙的安全措施足够强大，否则，被攻陷的堡垒主机可能反过来成为内部网络最大的障碍。图双宿主主机防火墙,一、防火墙技术,4.屏蔽主机防火墙屏蔽主机防火墙由一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，确保内部网及堡垒主机不受外部非授权用户的访问，从而避免遭到攻击，如图屏蔽主机防火墙,一、防火墙技术,防火墙并不是万能的，它只能抵御经过防火墙的攻击，如果攻击不经防火墙，所面临的风险是同样巨大的。如果内部网的一个用户使用ISP提供的直接连接，如拨号上网(PPP)，则绕过了防火墙的安全保护，造成了一个潜在的后门。合法用户的错误操作，内部人员口令的泄露或来自内部的恶意攻击，同样使防火墙形同虚设。受病毒感染的软件和病毒在内部网络传输时，要防火墙软件逐个扫描文件以查找病毒，这是不现实的。,二、入侵检测系统,1.入侵检测系统的概念和分类2.入侵检测的主要方法,1.入侵检测系统的概念和分类,入侵检测(IntrusionDetection)是对入侵行为的发觉，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。根据输入的数据将入侵检测分为三种：(1)基于网络的入侵检测基于网络的入侵检测产品(NIDS)放置在比较重要的网段内，不停地监视网段中的各种数据包，对每一个数据包进行特征分析。如果数据包与产品内置的某些规则符合，入侵检测系统就会发出警报甚至直接切断网络连接。(2)基于主机的入侵检测基于主机的人侵检测产品(HIDS)通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。(3)分布式入侵检测能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。,2.入侵检测的主要方法,入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。(1)特征检测特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审查的事件与已知的入侵事件模式相匹配时，即报警。(2)统计检测统计模型常用异常检测，在统计模型中常用的测量参数包括：审查事件的数量、间隔时间、资源消耗情况等。常用于入侵检测5种统计模型为：操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列分析模型。(3)专家系统用专家系统对入侵进行检测，经常是针对有特征的入侵行为。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。人侵的特征抽取与表达，是入侵检测专家系统的关键，在系统实现中，将有关入侵的知识转化为条件结构(也可以是复合结构)，条件部分为入侵特征，操作部分是系统防范措施。,三、VPN技术,1.VPN技术简介2.VPN的分类,1.VPN技术简介,VPN（VirtualPrivateNetwork，虚拟专用网络）是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接，还可用于实现企业网站之间安全通信的虚拟专用线路，可有效地连接到商业伙伴和用户的安全外联网。VPN是利用接入服务器、路由器及VPN专用设备在公用的WAN上实现虚拟专用网的技术。也就是说，用户觉察不到他在利用公用WAN获得专用网的服务。从客观上可以认为VPN就是一种具有私有和专用特点网络通信环境。它是通过虚拟的组网技术，而非构建物理的专用网络的手段来达到的目的，所以VPN技术的核心就是在利用公共网络建立虚拟私有网。VPN主要采用隧道技术、加解密技术、密钥管理技术对使用者和设备进行身份认证的技术。,2.VPN的分类,根据不同的需要，可以构造不同类型的VPN，因此按用途可将VPN可以分为以下三类：(1)内部网VPN在公司总部和它的分支机构之间建立VPN，称为内部网VPN,内部网VPN是通过公共网络将一个机构和它的各个分支机构的LAN连接而成的网络，被称为IntranetVPN。当一个数据传输通道的两个端点被认为是可信的时候，公司可以选择内部网VPN解决方案，安全性主要在于加强两个VPN服务器之间的加密和认证手段上。大量的数据(2)远程访问VPN在公司总部和远地雇员或旅行中的雇员之间建立VPN，称为远程访问VPN。如果一个用户无论是在家里还是在旅途之中，他想同公司的内部网建立一个安全连接，可以用“远程访问VPN”来实现。(3)外部网VPN在公司和商业伙伴、供应商、投资者之间建立VPN，称为外部网VPN。外部网VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。,四、无线网络安全,1.无线网络受到的攻击2.实现无线网络安全的途径和方法,1.无线网络受到的攻击,插入攻击:插入攻击以安装非授权的设备或创建新的无线网络为基础，这种安装或创建往往没有经过安全检查。漫游攻击者:攻击者不一定在物理上位于企业内部网，他们可以使用网络扫描器，在移动的交通工具上用笔记本电脑或其它移动设备搜寻无线网络，伺机进行攻击。欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点，有些企业的网络是无保护措施的网络，这就充当了入侵者进入企业网络的开放门户。双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”，是一个以邻近的网络名称隐藏起来的欺诈性接入点，双面恶魔等待着一些盲目信任的用户进入错误的接入点，然后窃取个别网络的数据或攻击计算机。窃取网络资源:有些用户出于某些目的“蹭网”，即使他们没有什么恶意企图，但仍会占用大量的网络带宽，严重影响网络性能，而更多的不速之客会利用这种连接从公司范围内发送邮件，或下载盗版内容。对无线通信的劫持和监视:正如在有线网络中一样，劫持和监视通过无线网络的网络通信是完全可能的，它包括两种情况，一是无线数据包分析，即熟练的攻击者用类似于有线网络的技术捕获无线通信。当然，还有其它一些威胁，如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等，这些都会给无线网络带来风险。,2.实现无线网络安全的途径和方法,实现无线网络安全的途径:无线网络的安全性与有线网络相差无几，在许多办公室，入侵者可以轻易地访问并挂在有线网络上，这种情况可能不会产生什么安全问题，但会占用带宽，而远程攻击者可以通过后门获得对网络的访问权，这种情况可以采用一个端到端的加密，并对所有的资源采用独立的身份验证。实现无线网络安全的方法防火墙安全标准加密和身份验证漏洞扫描降低功率教育用户,2.实现无线网络安全的途径和方法,验证物理上的安全性无线安全并不仅仅是技术问题，即使有最强健的WiFi加密，也不能阻止某些人将电缆线接入到暴露的以太网端口，或者将路由器恢复到了出厂设置，让无线网络没有任何加密设置。安装入侵检测系统和入侵防御系统入侵检测系统和入侵防御系统通常靠一个软件来工作，并且使用用户的无线网卡来探测无线信号并查找问题，这种系统可以检测欺诈性的接入点，该系统还可以分析网络数据包，查看是否有人正在使用黑客技术或是正在实施干扰。构建无线使用策略设置可获得授权访问无线网络的设备，最好先禁用所有的设备，在路由器上使用MAC地址的过滤功能来明确地指明准许哪些设备访问网络。设置可通过无线连接访问网络的人员的资格。设置无线路由器或接入点AP的建立规则。,第六节数据安全,一、访问控制技术二、数据容灾技术,一、访问控制技术,访问控制技术：主要用于控制用户可否进入系统以及进入系统的用户能否对数据集进行读写。数据流控制技术：该技术和用户可访问数据集的分发有关，用于防止数据从授权范围扩散到非授权范围。推理控制技术：用于保护可统计的数据库，以防止查询者通过精心设计的查询序列推理出机密信息。数据加密技术：用于保护机密信息在传输或存储时被非法读取或篡改。数据保护技术：用于防止数据遭到意外或恶意的破坏，保证数据的可用性和完整性。在上述技术中，访问控制技术占有重要的地位，其中前三项属于访问控制范畴，访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权与审计等，其中安全模型是访问控制的理论基础，其它技术是则实现安全模型的技术保障。,一、访问控制技术,1.访问控制技术2.访问控制策略3.访问控制的实现,1.访问控制技术,信息流模型是一种基于事件或踪迹的模型，其焦点是系统用户可见的行为，虽然信息流模型在信息安全的理论分析方面有着优势，但在实际应用中，信息流模型对具体的信息安全还没有发挥出其指导作用。访问控制模型是从访问控制的角度描述系统安全，主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体，以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常访问控制可以分自主访问控制(DAC)和强制访问控制(MAC)。通常DAC通过授权列表（或访问控制列表ACL）来限定哪些主体针对哪些客体可以执行什么操作，如此可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。目前的主流操作系统，如UNIX、Linux和Windows等操作系统都提供自主访问控制功能。自主访问控制的一个最大问题是主体的权限太大，无意间就可能泄露信息，而且不能防备木马的攻击。强制访问控制系统给主体和客体分配不同的安全属性，而且这些安全属性不像ACL那样轻易被修改，系统通过比较主体和客体的安全属性决定主体是否能够访问客体。强制访问控制可以防范木马和用户滥用权限，具有更高的安全性，但其实现的代价也更大，一般用在安全级别要求比较高的军事上。,2.访问控制策略,制定和实施安全策略的原则最小特权原则:该原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。最小泄漏原则:该原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。多级安全策略:该策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的优点是避免敏感信息的扩散，具有安全级别的信息资源，只有安全级别比它高的主体才能够访问。,2.访问控制策略,基于身份的安全策略:基于身份的安全策略（IDBACP：Identification-basedAccessControlPolicies）的目的是过滤主体对数据或资源的访问，只有能通过认证的那些主体才有可能正常使用客体资源。基于个人的策略:基于个人的策略（INBACP：Individual-basedAccessControlPolicies）是指以用户为中心建立的一种策略，这种策略由一组列表组成，这些列表限定了针对特定的客体，哪些用户可以实现何种操作行为。基于组的策略：:基于组的策略（GBACP：Group-basedAccessControlPolicies）是基于个人的策略的扩充，指一些用户(构成安全组)被允许使用同样的访问控制规则访问同样的客体。基于规则的安全策略:基于规则的安全策略中的授权通常依赖于敏感性，在一个安全系统中，数据或资源被标注安全标记(Token)，代表用户进行活动的进程可以得到与其原发者相应的安全标记。,3.访问控制的实现,权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施，用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作，受托者指派和继承权限屏蔽可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备；继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为特殊用户，一般用户和审计用户。目录级安全控制网络应允许控制用户对目录、文件、设备的访问，用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。,3.访问控制的实现,入网访问控制用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查，三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线，为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每个用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员可以在以下几方面的限制控制口令：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查，网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。,3.访问控制的实现,属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性，属性安全在权限安全的基础上提供更进一步的安全性，网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限，属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。服务器安全控制网络允许在服务器控制台上执行一系列操作，用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据，可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。,二、数据容灾技术,1.RTO和RPO2.容灾方案的分类,1.RTO和RPO,RTO(RecoveryTimeObjective，复原时间目标)是企业可允许服务中断的时间长度，比如说灾难发生后半天内便需要恢复，RTO值就是十二小时。RPO(RecoveryPointObjective，复原点目标)是指当服务恢复后，恢复得来的数据所对应的时间点。如某企业每天凌晨零时进行备份一次，当服务恢复后，系统内储存的只会是最近灾难发生前那个凌晨零时的资料。根据以上两个简单的原则，企业不但可以对现有的数据系统作出容灾方案，也可以按照既定的RTO及RPO要求，选购最适合的容灾方案。RTO及RPO与方案受价格的影响，当然，一个完美的方案应该是RTO及RPO皆为零，表示当灾难发生后，系统立即恢复，而且完全没有数据丢失，可是其造价是非常昂贵的，而且也不一定有这个必要。因此，最佳方案必需在RTO、RPO、维护及价钱多方面，都能达致平衡，尤其是中小企业，应先好好了解对RTO及RPO的要求，找到适合企业的方案。,2.容灾方案的分类,目前有很多种容灾技术，分类也比较复杂。但总体上可以区分为离线式容灾(冷容灾)和在线容灾(热容灾)两种类型。所谓的离线式容灾主要依靠备份技术来实现，其重要步骤是将数据通过备份系统备份到磁盘上，而后将磁盘保存管理。这种方式主要由备份软件来实现备份和磁盘的管理，除了磁盘的保存外，其他步骤可实现自动化管理。整个方案的部署和管理比较简单，相应的投资也较少，但缺点数据恢复较慢，实时性较差。对于资金受限、对数据恢复RTO和RPO要求不高的用户可以选择这种方式。在线式容灾要求生产中心和灾备中心同时工作，生产中心和灾备中心之间有传输链路连接。数据自生产中心实时复制传送到灾备中心。在此基础上，可以在应用层进行集群管理，当生产中心遭受灾难，出现故障时，可由灾备中心自动接管并继续提供服务。应用层的管理一般由专门的软件来实现，可以代替管理员实现自动管理。实现在线容灾的关键是数据的实时复制，因此，数据恢复的RTO和RPO都可以满足用户的高要求，数据重要性很高的用户都应选择这种方式，比如金融行业的用户。但要实现这种方式的容灾必须有很高的投入，所以，选择容灾方案一定要结合自己的实际情况，并不一定非要求无数据丢失，只要能确保在业务的可承受范围内就可以了。,第七节信息加密,一、加密和解密二、密码系统的构成三、密钥密码体制,一、加密和解密,加密技术目的是为了防止合法接受者之外的人获取信息系统中的机密信息，是实现信息保密性的一种重要手段。所谓信息加密技术，就是采用数字方法对原始信息（通常称为“明文”）进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字（加密后的信息通常成为“密文”），通过解密过程得到原始数据（即“明文”）。加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。算法是加密或解密的一步一步的过程，在这个过程中需要一串数字，这个数字就是密钥。由此可见，在加密和解密的过程中，都要涉及信息(明文、密文)、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这三项内容。密钥是用于加、解密的一些特殊信息，它是控制明文与密文之间变换的关键，它可以是数字、词汇或语句。密钥分为加密密钥和解密密钥，完成加密和解密的算法称为密码体制。传统的密码体制所用的加密密钥和解密密钥相同，形成了对称式密钥加密技术。在一些新体制中，加密密钥和解密密钥不同，形成非对称式密码加密技术，即公开密钥加密技术。,二、密码系统的构成,密码系统的工作过程是，发送方用加密密钥Ke和加密算法E对明文M加密，得到密文C=E(Ke，M)，然后传输密文C。接收方用解密密钥Kd(与加密密钥Ke成对)和解密算法D对密文解密，得到原来的明文M=D(Kd，C)。对于不知道Kd的第三者，在得到密文C后，很难破解出明文M(解密)。下图密码系统的构成,三、密钥密码体制,通用密钥密码体制公开密钥密码体制,三、密钥密码体制,通用密钥密码体制所谓通用密钥密码体制就是加密密钥和解密密钥是通用的，即发送方和接收方使用同样密钥的密码体制，通用密钥密码体制可采用各种不同的算法，构成各种不同类型的密钥，例如，人类历史上最古老的“恺撒密码”算法是在古罗马时代使用的密码方式。以英语为例，恺撒密码的原理是，对于明文的各个字母，根据它在26个英文字母表中的排列位置，按某个固定间隔n变换字母，即得到对应的密文。这个固定间隔的数字n就是加密密钥，也是解密密钥。例如，英文单词CRYPTOGRAPHY是明文，使用密钥n=4，加密过程如图所示。,三、密钥密码体制,通用密钥密码体制恺撒密码方式的密钥只有26种，只要知道了算法，最多将密钥变换26次做试验，即可破解密码。因此，恺撒密码的安全性依赖于算法的保密性，是最原始的密码技术，但是，其原理为现代高级密码技术奠定了基础。简单的多表式密码的例子如下图所示，本例中密钥字串与明文具有同样长度(也可不同长度)，明文中每一个字母往后移动的间隔与它在密钥字串中对应的字母本身在字母表中的位置有关。本例中，明文的第1个字母H对应密钥字串的第1个字母E，E在字母表中的位置是5，则H往后第5个字母是L，因此将H置换为L。依次类推，明文每个字母置换时，移动的间隔不同。,三、密钥密码体制,公开密钥密码体制公开密钥密码体制的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥(PrivateKey)，而加密密钥完全公开，称为公共密钥(PublicKey)，该系统也称为“非对称密码体制”。当然，对于从加密密钥破解出解密密钥的过程必须设计得足够复杂，使用该系统，可以解决通用密钥系统密钥管理的问题，即对应于各个使用者的加密密钥(公共密钥)是公开的，可以像电话簿一样，存储于文件中，文件保存在密钥中心。如下图所示，各使用者只需保存一个只有自己使用的解密密钥(私人密钥)，因此，解决了密钥管理问题。通过公众通信网，与众多非特定的通信对象通信时，为了保密，使用公开密钥密码体制显然有极大的优越性。,专题讨论信息加密与不可抵赖,1.电子商务交易安全的不可抵赖性的分析交易抵赖包括多个方面，发信者事后否认曾经发送过某条信息内容，收信者事后否认曾经收到过某条消息或内容，购买者做了订货单后予以否认，商家卖出的商品因价格差而不承认原有的交易，银行收到了款项拒绝承认等。发送信息方的不可抵赖发送信息方的不可抵赖（身份认证）可以用数字签名技术来实现，签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，当收发双方产生争议时，第三方就能够根据消息上的数字签名来裁定这条信息是否确实由发送方发出，从而实现发送信息方的不可抵赖(身份认证)。数字签名技术以加密技术为基础，其核心是采用加密技术来实现对报文的数字签名。信息的接收方的不可抵赖性信息的接收方的不可抵赖性的实现是基于可信任的第三方的基础之上的，信息的接收方的不可抵赖性可以通过FNP(FairNon-RepudiationProtocol)或CPM(CertifiedElectronicMailProtocol)来实现。这两个协议能同时实现不可抵赖性，也就是说，既可以实现发送方的身份认证又能实现接收方的不可抵赖。,专题讨论信息加密与不可抵赖,2.不可抵赖性的实际应用不可抵赖性保证了恶意发送方无法在事后抵赖其创建并发送特定消息的事实，这就意味着不可抵赖性保证了消息的发送方与消息的创建者为同一人。为了满足不可抵赖性的要求，会同时需要消息身份验证和发送方身份验证，此时接收方身份验证与不可抵赖性无关。3.提高电子商务不可抵赖性的对策首先，要保证网络本身的安全。其次，要保证电子交易各个环节的不可抵赖性。不可抵赖性主要由数字签名和身份认证技术实现，SET协议应用数字签名技术能有效地解决网上购物交易信息的不可抵赖性等安全问题，但是多次签名以及灵活的代理签名技术也是实际中常遇到的问题。近年来，数字签名技术在电子商务安全应用中出现了诸多新的协议，如改进的不可否认SET协议，多方不可否认协议，代理商签名体制及其改进等研究结果，这些都将有效地解决电子商务交易活动的不可抵赖性问题。但由于网络在变化，交易要求的不断变化，入侵和破坏的手段也在变化，相关技术还需要不断改进，相关的法律法规还需不断完善。,第八节数字签名与数字证书,一、数字签名二、数字证书,一、数字签名,1.数字摘要2.数字签名3.数字时间戳,1.数字摘要,数字摘要(DigitalDigest)也称为安全Hash(散列)编码法(SecureHashAlgorithm，SHA)或MD5，由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文也称为数字指纹(FingerPrint)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样，这串摘要便可成为验证明文是否“真身”的“指纹”。数字摘要的应用使交易文件的完整性(不可修改性)得以保证。,2.数字签名,在书面文件上签名的作用有两点：一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名(DigitalSignature)与书面文件签名有相同之处，也能确认以下两点,一是信息是由签名者发送的；二是信息自签发后到收到为止未曾作过任何修改。这样数字签名可用来防止电子信息被人伪造篡改，或冒用他人名义发送信息，或发出(收到)信件后又加以否认等情况发生。数字签名并非用“手写签名”类型的图形标志，它采用了双重加密的方法，即用SHA加密和RSA加密的方法来实现防伪造、防抵赖，其原理如图所示。,2.数字签名,数字签名的操作步骤如下所述。受信方用SHA编码加密产生128bit的数字摘要；受信方用自己的私人密钥(PrivateKey)对摘要加密，形成数字签名；将原文和加密的摘要同时传输给对方；受信方用发信方的公共密钥(PublicKey)对摘要解密，同时对收到的信息用SHA编码加密产生又一摘要；将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比，若二者一致，则说明传送过程中信息没有被破坏或篡改过，否则不然。RSA密码体系用于数字签名和信息加密时，对密钥的使用有所不同。,3.数字时间戳,交易文件中，时间是十分重要的信息，在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需要对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DigitalTimestampService，DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务是网上安全服务项目，由专门的机构提供。数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：一是需加时间戳的文件的摘要，二是DTS收到文件的日期和时间；三是DTS的数字签名。时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加人了收到文件摘要的日期和时间信息后，再对该文件加密(数字签名)，然后送回用户。DTS采用如下的过程：加密是将摘要信息归并到二叉树的数据结构，再将二叉树的根值公布，这样更有效地为文件发表时间提供了佐证。书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加注的，以DTS收到文件的时间为依据。,二、数字证书,1.数字证书2.认证中心（CA）3.身份认证技术,1.数字证书,(1)数字证书的概念数字证书也叫数字凭证、数字标识。是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决“我是谁”的问题。(2)数字证书的类型个人身份证书符合X.509标准的数字安全证书，证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于E-key中，用于个人在网上进行合同签订、订单、录入审核、操作权限、支付信息等活动中标明身份。企业或机构身份证书符合X.509标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。可以用于确定企业在电子商务方面的对外活动，如合同签订、网上证券交易、交易支付等信息。,1.数字证书,支付网关证书支付网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，可用于数字签名和信息加密。服务器证书符合X.509标准的数字安全证书，证书中包含服务器信息和服务器的公钥，在网络通讯中用于标识和验证服务器的身份。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性和可信任度等。企业或机构签名证书代码签名证书是CA中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及CA的签名。软件提供商使用代码签名证书对软件进行