网络安全超强PPT课件

电子商务安全,引言,据公安部资料显示，利用计算机网络进行的各类违法行为在我国以每年30%的速度递增。黑客的攻击方法已经超过计算机病毒的种类，总数达到近千种。目前已发现的黑客攻击案约占所有安全事件的15%，多数时间由于没有造成严重危害或商家不愿透漏而没被曝光。有媒体报道中国95%的与INTERNET相连的网络管理中心，都遭到过境内外黑客的攻击或侵入。其中银行，证券机构是黑客攻击的重点。,开篇案例：网络钓鱼,网络钓鱼一词最早出现于1996年，起因于黑客始祖们利用电话线犯案，因而结合Fishing与Phone创造Phishing一词。Phishing与英文fishing发音相同，Fishing是钓鱼，Phishing的意思又蕴含：姜太公钓鱼，愿者上钩的典故。网络钓鱼的诱饵千百种，网络上面的钓鱼网站骗术层出不穷，也有不少的朋友被“钓”，归根到底，还是一个“贪”字在作怪！实际上，钓鱼的第一步，就是先抛出一个“鱼饵”把“鱼”引诱过来，然后一步步请君入瓮！,工商银行ICBC的钓鱼网站,一、电子商务安全概述,1、电子商务安全的含义电子商务安全是指在整个电子商务流程中的信息安全，即信息在采集、存储、处理、传播和运用过和中得到良好保护的状态。包括网络信息的存储安全和信息的传输安全两方面。,2、电子商务安全的控制要求A、信息传输的保密性是指信息在传输或者存储的过程中不被他人盗取。如：信用卡的号码和密码在网上传输的时候被非持卡人拦截并知道了该号码。因此对商务系统中存储的资料要严格管理，必须对重要的和敏感的信息进行加密，然后再放到网上传输，确保非授权用户不能侵入、查看、使用。,B、交易文件的完整性信息的完整性是指信息的正确性。是从信息传输和存储两方面来看的。信息传输的保密性只能保证第三方看不到信息的真正内容，但并不能保证信息不被修改或保持完整。比如：发送方发送1234567，接收方接收到123456。防止方法：奇偶校验,C、信息的不可否认性信息的不可否认性是指信息的发送方不能否认已经发送的信息，信息的接收方不能否认已经接收到的信息。例如：买方向卖方订购某器材。,D、交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的，不是假冒的。网上交易的双方相隔甚远，互不了解，要使交易成功，除了互相信任外，确认对方的真实、合法性是很重要的。对商家而言要考虑客户是不是骗子，对客户而言要考虑商店不是黑店且有信誉。因此能方便而可靠地确认对方身份是交易的前提。,3、电子商务安全的分类物理安全问题网络安全问题TCP/IP协议本身就存在漏洞对操作系统攻击问题应用系统安全问题黑客、病毒攻击问题人员管理安全问题,4、电子商务安全的主要隐患电子商务系统的攻击者:内部攻击者和黑客据统计70%以上的信息安全案是由于内部管理疏忽导致的。例如：1996年2月，EPSON公司离职人员侵入公司系统事件就是一个典型。黑客攻击对于网络安全更是致命的。,二、电子商务网络安全,1、网络安全概述系统互联与网络互联数量的增加，使任何系统都潜在地存在着已知或者未知的用户对网络进行非法访问的可能性，电子商务环境下，人们越来越多地使用网络传递安全敏感信息。对于攻击者来说，可以得到的技术是越来越先进了，并且这些技术的成本在下降，从而使密码分析技术的实现变得越来越容易。网络安全的根本在于保护网络中的信息免受各种攻击。,2、安全威胁和防护措施安全威胁的分类信息泄露：即一些不该公开的信息泄露给了非授权的人，如窃听、搭线等完整性破坏：如数据的一致性受到破坏，文本合同数据被修改。业务据绝：使服务器繁忙，不能对外提供服务。,防范措施物理安全：对环境、线路、设备等方面的控制；媒体安全：媒体的防盗，防毁管理安全：主要是落实到各种制度上辐射安全：对电磁泄露和电磁干扰的控制软件安全：包括对软件生命周期的控制。,3、安全业务在网络中，主要的安全防护措施被称为安全业务。目前主要的安全业务有以下五种：1、认证2、访问控制,3、保密业务4、数据完整性5、不可否认业务,电子商务常用的安全措施,1、防火墙防火墙是在INTERNET和intranet之间构筑的一道屏障。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。,网络七层参考模型,（1）物理层物理层所处理的数据单位是比特(bit)，物理层向上为数据链路层提供物理链路，实现透明的比特流(bitstream)传输服务，物理层向下与物理媒体相连，要确定连接物理媒体的网络接口的机械、电气、功能和过程方面的特性。（2）数据链路层数据链路层负责在单个链路上的结点间传送以帧(frame)为PDU的数据，在不太可靠的物理链路上实现可靠的数据传输。数据链路层的主要功能包括：建立、维持和释放数据链路的连接，链路的访问控制，流量控制和差错控制。（3）网络层网络层传送的PDU称为分组或包(packet)，在物理网络间传送分组，负责将源端主机的报文通过中间转发结点传送到目的端。网络层是通信子网的最高层，为主机提供虚电路和数据报两种方式的服务。网络层主要负责分组转发和路由选择，根据路由表把分组逐跳地由源站传送到目的站，并能适应网络的负载及拓扑结构的变化，动态地更新路由表。,（4）传输层传输层传输的PDU称为报文(message)，传输层为源结点和目的结点的用户进程之间提供端到端的可靠的传输服务。端到端的传输指的是源结点和目的结点的两个传输层实体之间，不涉及路由器等中间结点。为了保证可靠的传输服务，传输层具备以下一些功能：面向连接、流量控制与拥塞控制、差错控制相网络服务质量的选择等。（5）会话层会话层在传输层服务的基础上增加控制会话的机制，建立、组织和协调应用进程之间的交互过程。会话层提供的会话服务种类包括双工、半双工和单工方式。会话管理的一种方式是令牌管理，只有令牌持有者才能执行某种操作。会话层提供会话的同步控制，当出现故障时，会话活动在故障点之前的同步点进行重复，而不必从头开始。（6）表示层表示层定义用户或应用程序之间交换数据的格式，提供数据表示之间的转换服务，保证传输的信息到达目的端后意义不变。（7）应用层应用层直接面向用户应用，为用户提供对各种网络资源的方便的访问服务。,实现防火墙的主要技术,包过滤技术：在网络层通过对数据包进行过滤把满足规则的数据包都发送到目地地址，把不满足过滤规则的数据包从数据流中除掉。实现方法：是在系统内部设置一张访问控制表，当数据流通过时，首先检查数据流中每一个数据包的源地址，目的地址，所有的端口号，协议状态等因素或因素的组合，来确定是否允许该数据包通过。,应用网关：建立在网络应用层上的协议过滤技术，它在内部网络和外部网络之间设置多个代理主机，并针对特定的网络应用服务采取特定的数据过滤规则或逻辑，同时还对数据进行统计分析，形成数据报告。,网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。,能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。,代理服务器英文全称是ProxyServer，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。更重要的是：ProxyServer（代理服务器）是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联（OSI）模型的会话层。主要的功能有：,防火墙的应用实例：360个人防火墙,身份识别技术,身份识别技术的目的是证实被识别对象是否属实，和是否有效。被识别的对象可以是口令、问题解答或指纹、声音等生理特征，常用的身份识别技术有口令，标记法和生物特征法。口令：是传统的识别技术。标记法：是记录着用于机器识别的个人信息的介质，共作用类似于钥匙，比如饭卡，IC卡。由于易被修改和转录，已逐渐被智能卡所代替。智能卡是内部带有CPU和存储单元的集能电路卡，可以存储用户的私钥和数字证书等信息，比如工商银行的U盾。,生物特征法：采用模式识别技术，基于物理特征和行为特征自动识别人员，它是数字证书和智能卡未来的方向。比如：指纹识别机。,病毒防范技术,病毒的防范主要用到三种技术1、预防病毒技术2、检测病毒技术3、消除病毒技术杀毒软件，由于杀毒软件的更新是在病毒出现后才能研制，因此有很大的被动性与滞后性，特别是由于计算机软件所要求的精确性，致使某些病毒无法消除，因此应该经常升级杀毒软件。,安装可靠的杀毒软件杀毒软件品牌很多。国产：瑞星、江民、金山国外：卡巴、诺顿。这些杀毒软件均可以放心的使用，但是注意以下几点。A、杀毒软件互不兼容。举例：两个杀毒软件同时使用的方法。B、杀毒软件不是万能的。一般都是先出现某种病毒，再出现杀毒方法。所以杀毒软件不是万能的。因此一定概要养成良好的上网和下载习惯。譬如：不要访问不正规的网站，特别是色情网站不要和陌生人聊天，病毒携带这通常会有意无意地把病毒传播给别人下载软件后不要直接打开或运行，用杀毒软件查杀。,除此以外，养成良好的计算机操作习惯。举例：C盘只安装软件，不要存放各种文件。做好数据备份操作系统应该及时更新。,加密技术,采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中，加密技术是通过使用代码或密码来保障信息数据的安全性。加密的主要目的是防止敌方破译信息系统中的机密信息。1、加密技术简介加密学有着悠久的历史。历史上有四种人用到过加密并为之做出了贡献。他们是：军事人员，外交使者，写日记者，情侣。,加密和解密的原理很简单，但是密码学需要高深的数学知识支持。,加密举例：,发送端发送ABC,密钥为3，网络中传输的密文是什么？,加密的分类：替换密码和换位密码替换密码举例：密码表：明码表ABCDEFGHIJKLMNOPQRSTUVWXYZ密码表QWERTYUIOPASDFGHJKLZXCVBNM明文FOREST密文YGKTLZ,换位密码举例：1、列换位明文:Howareyou,密钥为4，列换位的结果是？HOWAREYOU*结果：HRUOE*WY*AO*,2、矩阵换位明文：ENGINEER密钥为：F=(1234)(2413)1234ENGINEER2413NIEGERNE密文：NIEGERNE提问：解密的逆过程是什么？,除此以外，密钥还可以是字母串明文：ENGINEER密钥为：HERHER213ENGINEER*结果为NNREIEGE*,现代密码体制从原理上可分为两大类：单钥密码体制和双钥密码体制单钥密码体制（对称加密）,对称加密对称加密又称为私有密钥加密，它有且只有一个密钥对信息进行加密和解密，加密密钥和解密密钥相同。,对称加密的特点：从上图中可以看到，因为对称加密体系加密方和解密方采用的同一个密钥，因此密钥的传输显得尤为重要。必须通过安全有效的途径将密钥送到接收端。对称加密的算法：DESIDEADES密钥长度56BITIDEA密钥长度128BIT,双钥密码加密体制：利用在数学指数运算中，顺着运算容易，反过来难的特点进行加密。原理：与单钥体制不同，在此系统中有一对密码，给别人用的密码称之为公钥，给自己用的称为私钥，由收信人保管。收信人先公开一把自己的公钥，让收信人用来加密，然后收件人再利用自己的私钥进行解密。适用场所：特别适合多用户的网络环境。,双钥加密体制模型。,E加密方法,D解密密钥,密钥对产生源,密文,加密密钥（公钥PK）,解密密钥SK,明文P,明文P,分析对比两种加密体制的不同。优势劣势,回忆之前讲过的对电子商务安全控制里面有一项称之为不可抵赖性。分析利用公钥体制如何实现不可抵赖性。,D,E,发送者,接收者,明文P,明文P,用私密密钥进行签名,用公开密钥核实签名,认证技术,数字摘要数字签名数字信封数字时间戳数字证书,数字证书的概念由于电子商务是在网络上完成，交易双方互相之间不见面，为了保证每个人及机构（如银行、商家）都能唯一而且被无误的识别，需要进行身份认证。身份验证可以通过参与各方的数字证书来实现。而数字证书是由认证中心(CA)颁发的。CA（认证中心）仅仅是一个统称，是拥有和颁发数字证书的权威机构的统称。目前比较有名的具有颁