第五章电子商务网站常用防御方法

第五章电子商务网站常用防御方法

10/18/20221电子商务安全本章主要要内容：：本章主要要内容：：●防火墙墙(Firewall)工作作原理●非军事事区域((DMZ)概念念●虚拟专专用网((VPN)●入侵检检测系统统(IDS)●认证2/11/20202电子商务务安全一、防火火墙(Firewan)(一)防防火墙的的工作原原理所谓防火火墙指的是一一个由软软件和硬硬件设备备组合而而成、在在内部网网和外部部网之间间、专用用网与公公共网之之间的界界面上构构造的保保护屏障障。防火墙主主要有三种类型型：包过滤滤防火墙墙、代理理服务器器防火墙墙和应用用层网关关防火墙墙。2/11/20203电子商务务安全1．包过过滤防火火墙包过滤防防火墙主主要有两两种实现现方式：：基于路路由器的的防火墙墙和基于于独立运运行软件件(如PacketFilter)的防防火墙。。下面主主要介绍绍基于路路由器的的防火墙墙。包是网络上上信息流流动的单单位。每个包有有两个部部分：数据部分和包头。包头中含含有源地址和和目标地地址的信息。。优点：透透明性好好，简单单易用，，费用低低。缺点：设设置繁多多，易留留下安全全漏洞。。2/11/20204电子商务务安全1．包过过滤防火火墙包过滤路路由器防防火墙可可能遇到到的攻击击方式：：(1)源源IP地地址欺骗骗(2)源源路由攻攻击(3)微微小碎片片攻击包过滤防防火墙2/11/20205电子商务务安全2．代理理服务器器(ProxyServer)防防火墙在Internet网网络和Intranet互连连时，广广泛采用用一种称称为代理理服务的的工作方方式，使使Internet用用户在访访问Intranet的同时时，提供供的是一一种类似似网关的的代理服务务器型防防火墙。优点：代理服务务可提供供详细的的日志((Log)和审审计(Audit)记记录，提提高了网网络的安安全性和和可靠性性。缺点：不能处理理高负荷荷通信量量，且对对用户的的透明性性不好。。2/11/20206电子商务务安全3．应用用层网关关防火墙墙应用层网网关防火火墙可使使网络管管理员实实现比包包过滤路路由器防防火墙更更严格的的安全策策略。应用层网网关不使使用包过过滤工具具来限制制Internet服服务进出出防火墙墙系统，，而是采采用为每每种所需需服务在在网关上上安装专专用程序序代码，，否则该该服务就就不被支支持且不不能通过过防火墙墙来转发发。网络的安安全性比比较高。。过程复杂杂、费用用比较高高、透明明性差、、限制严严格，使使用带来来不便。。2/11/20207电子商务务安全(二)防防火墙规规则集设计规则则集的基基本过程程：1．拒绝绝一切未未特别允允许的连连接彻底分析析每个系系统和网网段确定定实现它它们的功功能所需需要的服服务和连连接。2．常见见通信的的常用端端口确定每个个服务器器和网段段需要什什么端口口和协议议。3．将伪伪代码转转换成防防火墙规规则查看手册册，确定定特定的的方法和和要求。。4．协议议和风险险：作出出最佳决决策需要保证证只允许许了必要要的协议议，并且且只能用用于需要要它们的的服务器器和网段段。2/11/20208电子商务务安全二、非军军事区域域(DMZ)(一)DMZ的的概念(二)非非军事区区域的设设置(三)电电子商务务非军事事区域的的实现(四)多多区网络络存在的的问题2/11/20209电子商务务安全(一)DMZ的的概念DMZ((demilitarizedzone)的定定义：是是指为不不信任系系统提供供服务的的孤立网网段，它它是两个个防火墙墙之间的的网段。。DMZ网网段的创创建方法法通常有有两种。。1.两个个防火墙墙的DMZ系统放置置在有不不同规则则的两个个防火墙墙之间，，这就能能允许Internet上的的系统连连接到DMZ系系统提供供的服务务，但不不能连接接到企业业内部网网段(通通常叫做做受保护护网络))中的电电脑。2/11/202010电子商务务安全二、非军军事区域域(DMZ)图示为：：两个防防火墙的的DMZ2/11/202011电子商务务安全二、非军军事区域域(DMZ)2.单个个防火墙墙的DMZ（如如上图））实现DMZ网段段的方法法是在防防火墙上上实际增增加第三三个接口口，并将将DMZ系统放放置在那那个网段段。允许同一一个防火火墙管理理Internet。。降低了了硬件的的花费，，集中了了网络的的规则集集，使管管理和处处理问题题更容易易。现在在已成为为创建DMZ网网段的主主要方法法。2/11/202012电子商务务安全DMZ目目的：就就是把敏敏感的内内部网络络和其他他提供访访问服务务的网络络分离开开，为网网络层提提供深度度的防御御。DMZ作作用：防防火墙上上的策略略和访问问控制系系统定义义限制了了通过DMZ的的全部通通信数据据。相反反，在Internet和企企业内部部网之间间的通信信数据通通常是不不受限制制的。2/11/202013电子商务务安全(二)非非军事区区域的设设置安全的DMZ配配置2/11/202014电子商务务安全(二)非非军事区区域的设设置DMZ是是放置公公共信息息的最佳佳位置，，把没有有包含敏敏感数据据、担当当代理数数据访问问职责的的主机放放置于DMZ中中，这样样用户、、潜在用用户和外外部访问问者都可可以直接接获得他他们所需需的关于于公司的的一些信信息，而而不用通通过内部部网。企业的机机密和私私人的信信息可以以安全地地存放在在内部网网中，即即DMZ的后面面。2/11/202015电子商务务安全(二)非非军事区区域的设设置可以在下下列系统统中装入入非军事事区域((DMZ)安全全网络：：①载有公公共信息息的网络络服务器器。②与电子子商务交交易服务务器相连连接的前前端机，，该前端端机用来来接收客客户订单单。存放放客户资资料的后后端应置置于防火火墙之后后。③把外来来电子邮邮件中转转至内部部的邮件件服务器器。④可据此此进入内内部网络络的证书书服务及及服务器器。⑤虚拟专专用网络络上的各各端点。。⑥应用((层)网网关。⑦测试及及登录服服务器((根据系系统要求求或用户户请求，，使数据据从一个个脱机或或优先权权低的设设备返回回到一个个联机的的或优先先权高的的设备的的过程))。2/11/202016电子商务务安全(三)电电子商务务非军事事区域的的实现网络存储储顾客信信息和金金融数据据与存储储商业处处理的普普通信息息的需求求是不同同的。很很多网站站通过实实现一个个多网段段结构来来更好地地管理和和安全化化商业信信息。第一个网网段是用用于信息息存储的的，第二二个网段段则是特特别用于于商业信信息的处处理的。。电子商务务系统中中DMZ的实现现2/11/202017电子商务务安全(四)多多区网络络存在的的问题随着网站站的成长长，要提提供新的的功能，，可能需需要建立立新的区区。重复复上面的的过程，，建立管管理这些些新网段段的规则则集。注意事项项：一定要要监视和和检查任任何变动动，备份份旧的规规则集以以备紧急急的时候候需要回回复过去去。管理原则则：创建和和管理诸诸如防火火墙、IDS入入侵检测测系统（（即IntrusionDetectionSystem）签名名和用户户访问规规则之类类的安全全控制是是个很大大的任务务，在不损害害安全和和可用性性的前提提下要尽尽可能地地简化这这些过程程。2/11/202018电子商务务安全2/11/202019电子商务务安全三、虚拟拟专用网网(VPN)InternetIntranet内部网信息防火墙VPN2/11/202020电子商务务安全三、虚拟拟专用网网(VPN)虚拟专用用网（VPN））目的：：通过Internet或其他他线路((如私有有网络和和租用的的线路等等)在公公司外地地雇员、、驻外机机构、公公司总部部及其相相关企业业和组织织机构之之间建立一个个信息传传输的安安全通道道，以保证证所传输输信息的的安全性性和完整整性，并并设置用用户对特特定资源源的访问问权限。。2/11/202021电子商务务安全三、虚拟拟专用网网(VPN)(一)技术(二)IPSec协议议2/11/202022电子商务务安全(一)VPN技术VPN（（VirtualPrivateNetwork，即虚拟拟专用网网络）概念：通过一个个公共网网络(通通常是Internet)建建立一个个临时的的、安全全的与内内网的连连接。作用：①安全连连接。可以帮助助远程用用户与公公司的内内部网建建立可信信的安全全连接，，并保证证数据的的安全传传输。②成本较较低。即大幅度地地减少用用户花费费在WAN上和和远程网网络连接接上的费费用。③管理方方便。使用VPN将简化网网络的设设计和管管理，加加速连接接新的用用户和网网站。④网络结结构灵活活。可以保护护现有的的网络投投资。2/11/202023电子商务务安全(一)VPN技术VPN的的功能：①加密数数据。以保证通通过公网网传输的的信息即即使被他他人截获获也不会会泄露。。②信息认认证和身身份认证证。保证信息息的完整整性、合合法性，，并能鉴鉴别用户户的身份份。③提供访访问控制制。不同的用用户有不不同的访访问权限限。2/11/202024电子商务务安全(一)VPN技术VPN采采用了多多种安全全技术和和网络技技术：①安全隧隧道技术术(SecureTunnelingTechnology)。将待传输输的原始始信息经经过加密密和协议议封装处处理后再再嵌套装装入另一一种协议议的数据据包送人人公共网网络(如如Internet))中，像像普通数数据包一一样传输输。经过这样样的处理理，只有有源端和目标端的用户对对隧道中中的嵌套套信息能进行解释和处处理，其他用用户看到到的只是是无意义义的信息息，就像像是在源源端和目目标端的的用户之之间建立立了一个个安全的的信息专专用隧道道。2/11/202025电子商务务安全(一)VPN技术隧道模式式的VPN框架架2/11/202026电子商务务安全(一)VPN技术②用户认认证技术术(UserAuthenticationTechnology)。在隧道连连接开始始之前需需要确认认用户的的身份，，以便于于系统进进一步实实施资源源访问控控制或用用户授权权。③访问控控制技术术(AccessControlTechnology)。。由VPN服务务的提供供者与最最终网络络信息资资源的提提供者共共同确定定特定用用户对特特定资源源的访问问权限，，以此实实现基于于用户访访问的访访问控制制，以实实现对信信息资源源的最大大限度的的保护。。2/11/202027电子商务务安全(一)VPN技术隧道模式式的VPN框架架示意图图VPN隧隧道组成成：①一个隧隧道启动动器；②②一一个路由由网络((Internet))；③一个可可选的隧隧道交换换机；④④一个或或多个隧隧道终结结器。2/11/202028电子商务务安全(二)IPSec协协议IPsec主要要提供IP网络络层上的的加密通通信能力力。IPsec组成成：(1)IPsecurityProtocolproper，，定义IPsec报文文格式。。(2)ISAKMP／／Oakley，负责责加密通通信协商商。2/11/202029电子商务务安全(二)IPSec协协议IPsec采用用的加密密通信手手段：(1)IPsecTunnel：：整个IP封装装在Ipsec报文。。提供IPsecgateway之之间的通通信。(2)IPsectransport：：对IP包内的的数据进进行加密密，使用用原来的的源地址址和目的的地址。。2/11/202030电子商务务安全四、入侵侵检测系系统(IDS))（（即IntrusionDetectionSystem）(一)入侵检测测概念(二)基于主机机的IDS(三)基于网络络的IDS(四)入侵检测测技术发发展方向向2/11/202031电子商务务安全(一)入入侵检测测概念概念:通过计算算机网络络或计算算机系统统中的若若干关键键点收集集信息并并对其进进行分析析，以发发现网络络或系统统中是否否有违反反安全策策略的行行为和遭遭到袭击击的迹象象。作用：入侵检测测是对防防火墙的的合理补补充，帮帮助系统统对付网网络攻击击，扩展展了系统统管理员员的安全全管理能能力(包包括安全全审计、、监视、、攻击识识别和响响应)，，提高了了信息安安全基础础结构的的完整性性。2/11/202032电子商务务安全(一)入入侵检测测概念主要任务务:①监视、、分析用用户及系系统活动动；②系统构构造和弱弱点的审审计；③识别反反映已知知进攻的的活动模模式并向向相关人人士报警警；④异常行行为模式式的统计计分析；；⑤评估重重要系统统和数据据文件的的完整性性；⑥操作系系统的审审计跟踪踪管理，，并识别别用户违违反安全全策略的的行为。。2/11/202033电子商务务安全(二)基基于主机机的IDS基于主机机的IDS主要要用于运行关键键应用层层的服务器器，它是是早期的入侵检检测系统统。主要目标标：是检测主主机系统统是否受受到外部部或内部部的攻击击以及系系统本地地用户是是否有滥滥用或误误用行为为。检测原理理：是根据系系统审计计记录和和系统日日志文件件、应用用程序日日志、目目录和文文件的不不期望改改变、程程序执行行中的非非正常行行为等信信息来发发现系统统是否存存在可疑疑事件的的。2/11/202034电子商务务安全(二)基基于主机机的IDS基于主机机的IDS之优点：①基于主主机的IDS可可以从系系统审计计和事件件日志中中提取攻攻击信息息，从而而判断本本地或远远程用户户是否做做了系统统的安全全规则。。②基于主主机的IDS可可以精确确地判断断入侵事事件，并并可对入入侵事件件立即进进行反应应。③基于主主机的IDS还还可以针针对不同同的操作作系统的的特点判判断应用用层的入入侵事件件。2/11/202035电子商务务安全(二)基基于主机机的IDS基于主机机的IDS之缺点：①占用主主机资源源，在服服务器上上产生额额外的负负载。②缺乏跨跨平台支支持，可可移植性性差，因因而应用用范围受受到严重重限制。。2/11/202036电子商务务安全(三)基基于网络络的IDS网络环境境下，单单独依靠靠主机的的审计信信息进行行入侵检检测难以以适应网网络安全全的需求求。主要表现现：①主机的审审计信息息容易受受到攻击击，入侵侵者可通通过使用用某些系系统特权权或调用用比审计计本身更更低级的的操作来来逃避审审计；②不能通过过分析主主机审计计记录来来检测网网络攻击击(域名名欺骗、、端口扫扫描等))；③基于主机机的IDS的运运行或多多或少地地影响服服务器的的性能；；④只能对服服务器的的特定用用户和应应用程序序的执行行动作、、日志进进行检测测，所能能检测到到的攻击击类型有有限。2/11/202037电子商务务安全(三)基基于网络络的IDS基于网络络的IDS原理：基于网络络的入侵侵检测IDS放放置在比比较重要要的网段段内，不不停地监监视网段段中的各各种数据据包。对对每一个个数据包包或可疑疑的数据据包进行行特征分分析。如如果数据据包与产产品内置置的某些些规则吻吻合，入入侵检测测系统认认为受到到攻击，，就会发发出通知知、警报报甚至直直接切断断网络连连接。基于网络络的IDS位置：基于网络络的入侵侵检测IDS通通常放置置在防火墙的的后面。2/11/202038电子商务务安全(三)基基于网络络的IDS探测器可以安装装在网络络中重要要的服务务器、路路由器或或单独的的主机上上。2/11/202039电子商务务安全(三)基基于网络络的IDS优点：①实时性性强。通过实时时监视网网络数据据包和网网络管理理信息，，来寻找找具有网网络供给给特征的的活动。。②检测范范围广。。可以检测测包括协协议攻击击和某些些特定攻攻击在内内的各种种攻击。。③监视粒粒度更细细。④可移植植性强。。基于网络络的入侵侵检测系系统通常常可以适适合多种种网络环环境。⑤具有服服务器平平台独立立性。基于网络络的入侵侵检测系系统不会会对服务务器以及及网络整整体性能能造成影影响。2/11/202040电子商务务安全(三)基基于网络络的IDS基于网络络的入侵侵检测系系统存在在的缺点：①只能监监视经过过本网段段的活动动，精确确度不高高。②在交换换网络环环境下难难以配置置。③防入侵侵欺骗的的能力较较差，难难以定位位入侵。。2/11/202041电子商务务安全(四)入入侵检测测技术发发展方向向入侵技术术的发展展与演化化主要反映映在下列列几个方方面：(1)入入侵或攻攻击的综综合化与与复杂化化。(2)入入侵主体体对象的的间接化化，即实实施入侵侵与攻击击的主体体的隐蔽蔽性。(3)人人侵或攻攻击的规规模扩大大。(4)入入侵或攻攻击技术术的分布布化。(5)攻攻击对象象的转移移。2/11/202042电子商务务安全(四)入入侵检测测技术发发展方向向三个方向向发展：：(1)分分布式入入侵检测测。含义一是是针对分分布式网网络攻击击的检测测方法；；含义二二是使用用分布式式的方法法来检测测分布式式的攻击击。(2)智智能化入入侵检测测。使用智能能化的方方法与手手段来进进行入侵侵检测。。所谓的的智能化方方法，现阶段段常用的的有神经网络络、遗传算法法、模糊技术术、免疫原理理等方法，，这些方方法常用用于入侵侵特征的的辨识与与泛化。。利用专家系统统的思想想来构建入入侵检测测系统也也是常用用的方法法之一。。(3)全全面的安安全防御御方案。。即使用安安全工程程风险管管理的思思想与方方法来处处理网络络安全问问题，将将网络安安全作为为一个整整体工程程来处理理。从管理、网络结构构、加密通道道、防火墙、病毒防护护、入侵检测测等多方位位对所关关注的网网络作全全面的评评估，然然后提出出可行的的解决方方案。2/11/202043电子商务务安全五、认证证(一)第三方认认证(二)PKI组组成(三)证书认证证机构CA2/11/202044电子商务务安全(一)第第三方认认证在电子商商务中，，必须从从技术上上保证在在交易过过程中能能够实现现身份认认证、安安全传输输、不可可否认性性、数据据完整性性。数字证书书认证技技术采用用了加密密传输和和数字签签名，能能够实现现上述要要求，因因此在国国内外电电子商务务中，得得到了广广泛的应应用。PKI采采用证书书进行公公钥管理理，通过过第三方方的可信信任机构构(认证证中心，，即CA)，把把用户的的公钥和和用户的的其他标标识信息息捆绑在在一起，，其中包包括用户户名和电电子邮件件地址等等信息，，以在Internet网上上验证用用户的身身份。2/11/202045电子商务务安全(二)PKI组组成PKI（（PublicKeyInfrastructure）即即“公钥基础础设施”。PKI在在实际应应用上是是一套软软硬件系系统和安安全策略略的集合合，它提提供了一一整套安安全机制制，使用用户在不不知道对对方身份份或分布布地很广广的情况况下，以以证书为为基础，，通过一一系列的的信任关关系进行行通信和和电子商商务交易易。2/11/202046电子商务务安全(二)PKI组组成PKI组组成：一个简单单的PKI系统统包括证证书机构构CA、、注册机机构RA和相应应的PKI存储储库。其各部分分作用如如下：CA(CertificateAuthority))用于签签发并管管理证书书；RA(RegistrationAuthority)，数数字证书书注册审审批机构构。RA系统是是CA的的证书发发放、管管理的延延伸。它它负责证证书申请请者的信信息录入入、审核核以及证证书发放放等工作作(安全全审计))。同时时，对发发放的证证书完成成相应的的管理功功能(安安全管理理)。PKI存存储库包包括LDAP目目录服务务器和普普通数据据库，用用于对用用户申请请、证书书、密钥钥、CRL和日日志等信信息进行行存储和和管理，，并提供供一定的的查询功功能。2/11/202047电子商务务安全(三)证证书认证证机构CA1．数字证书书基础2．发行证书书的CA签名3．CA框架架模型4．证书的申申请和撤撤消5．证书管理理6．密钥管理理7．证书的使使用2/11/202048电子商务务安全1．数字字证书基基础CA(CertificateAuthority))是数字字证书认认证中心心的简称称，是指指发放、、管理、、废除数数字证书书的机构构。数字证书书是一个个经证书书授权中中心数字字签名的的包含公公开密钥钥拥有者者信息和和公开密密钥的文文

件。。数字证书书是一种种数字标标识，是是Internet上上的安全全护照或或身份证证明。2/11/202049电子商务务安全数字证书书的格式式2/11/202050电子商务务安全2．发行行证书的的CA签签名证书第二二部分包包括CA的签名名和用来来生成数数字签名名的签名名算法。。任何人收收到证书书后都能能使用签签名算法法来验证证证书是是不是由由CA的的签名密密钥签署署的。2/11/202051电子商务务安全3．CA框架模模型证书机构构CA用用于创建建和发布布证书，，它通常常为一个个称为安安全域((SecuritvDomain)的有有限群体体发放证证书。创建证书书的时候候，CA系统首首先获取取用户的的请求信信息，其其中包括括用户公公钥(公公钥一般般由用户户端产生生，如电电子邮件件程序或或浏览器器等)，，CA将将根据用用户的请请求信息息产生证证书，并并用自己己的私钥钥对证书书进行签签名。其其他用户户、应用用程序或或实体将将使用CA的公公钥对证证书进行行验证。。如果一一个CA系统是是可信的的，则验验证证书书的用户户可以确确信，他他所验证证的证书书中的公公钥属于于证书所所代表的的那个实实体。2/11/202052电子商务务安全3．CA框架模模型CA还负负责维护护和发布布证书废废除列表表CRL(CertificateRevocationLists，又又称为证书撤销销列表)。当一一个证书书，特别别是其中中的公钥钥因为其其他原因因无效时时(不是是因为到到期)，，CRL提供了了一种通通知用户户和其他他应用的的中心管管理方式式。CA系统统生成CRL以以后，要要么是放放到LDAP((目录访访问协议议，LightweightDirectoryAccessProtocol)服务器器中供用用户查询询或下载载，要么么是放置置在Web服务务器的合合适位置置，以页页面超级级链接的的方式供供用户直直接查询询或下载载。2/11/202053电子商务务安全3．CA框架模模型典型CA框架模模型2/11/202054电子商务务安全4．证书书的申请请和撤消消证书的申申请有两两种方式式，一是是在线申申请，另另外一种种就是离离线申请请。在线申请请就是通过过浏览器器或其他他应用系系统通过过在线的的方式来来申请证证书，这这种方式式一般用用于申请请普通用用户证书书或测试试证书。。离线方式式一般通过过人工的的方式直直接到证证书机构构证书受受理点去去办理证证书申请请手续，，通过审审核后获获取证书书，这种种方式一一般用于于比较重重要的场场合，如如服务器器证书和和商家证证书等。。2/11/202055电子商务务安全4．证书书的申请请和撤消消在线申请请步骤如如下：用户使用用浏览器器通过Internet访问问安全服服务器，，下载CA的数数字证书书(又叫叫做根证证书)，，然后注注册机构构服务器器对用户户进行身身份审核核，认可可后便批批准用户户的证书书申请，，然后操操作员对对证书申申请表进进行数字字签名，，并将申申请及其其签名一一起提交交给CA服务器器。CA操作作员获得得注册机机构服务务器操作作员签发发的证书书申请，，发行证证书或者者拒绝发发行证书书，然后后将证书书通过硬硬拷贝的的方式传传输给注注册机构构服务器器。注册机构构服务器器得到用用户的证证书以后后将用户户的一些些公开信信息和证证书放到到LDAP服务务器上提提供目录录