第四章 网络与安全.ppt

1、第1，4章网络交易和安全，第2，1节电子商务安全问题第2节防火墙技术第3节安全技术第4节虚拟私人网路技术第5节认证中心6节安全协议，第4章网络交易和安全，第3，1节电子商务安全问题，第1，电子商务安全因素1有效性，可靠性：信息，实体的有效性2保密：将信息泄露给未经授权的人或实体3数据完整性：确保数据一致性，防止未经授权的用户设置、修改和破坏数据。(1)数据传输的完整性；(2)数据存储的完整性；(3)完整性检查；4，4可靠性；不可否认的预防和可控制性；(1)可靠性：防止合法用户不正当地拒绝信息和资源的使用。(2)否认：建立有效的责任机制，防止实体否认其行为。(3)可控性：控制使用资源的人或实体的

2、使用方式。审查功能应根据机密性和完整性要求记录数据审查结果。第1节电子商务安全问题，第5，1节电子商务安全问题，第2，电子商务安全内容，6，1。计算机网络安全1)计算机网络安全风险(1)没有操作系统相关安全配置(2)没有CGI节目代码审核(3)拒绝服务(DOS Denial of Service)攻击(4)安全产品使用不当(5)缺乏严格的网络安全管理系统，1节电子商务建立从路由器到用户级别的完整访问控制措施，安装防火墙，加强权限管理和认证。第8、1节电子商务安全问题，应利用数据存储技术(如RAID)加强数据备份和恢复措施制定敏感设备和数据所需的物理或逻辑隔离措施。为公共网络上传输的敏感信息安装

3、高强度数据加密病毒防护软件，加强内部网总体病毒防范措施，为入侵攻击检测和跟踪构建详细的安全审核日志，第9、1节电子商务安全问题，2。业务交易安全1)交易安全风险(1)信息盗用(破坏机密):攻击者可能会通过网络、公共电话网络、布线或在电磁波辐射范围内安装拦截装置等窃取传输机密，或者通过信息流、通信频率、长度等参数分析推断出消耗的银杏帐户、密码等有用信息，从而导致信息泄露。10，1节电子商务安全问题，(2)信息调制(破坏完整性):攻击者从3茄子的角度对破坏信息进行完整性：信息流顺序调制，信息内容更改(例如，所购买商品的送货地址)；删除信息或部分信息。在信息中插入信息，以便收件人读取或接收错误的信息

4、。第11，第1节电子商务安全问题，(3)伪造信息(破坏真实性):主要包括虚耗网站或商店向用户发送电子邮件、订单。伪造大量电子邮件、耗尽商业资源、使合法用户不能正确访问网络资源，从而防止具有严格时间要求的服务及时响应。伪造用户、窃取大量电子邮件、商家的商品信息、用户信息等。(4)伪造身份(破坏真实性):主要包括假装别人的身份，下达命令和阅读密函。(。冒充他人消费。通过主机欺骗欺骗合法主机和合法用户。假扮网络控制程序收集或修改权限、通行者、密钥等信息。收购合法用户，欺骗系统，占有合法用户的资源。，12，第一节电子商务安全问题，(5)拒绝(破坏可靠性):主要包括否认发送者后来发送了任何信息或内容的事

5、实。收信人后来否认收到了任何信息或内容。买方做了订单，但不承认。商家销售的商品因价钱差异不承认现有交易。13，第一节电子商务安全问题，2)交易安全措施(1)在通信中确认贸易伙伴身份的真实性：常用的处理技术是身份认证，并依靠双方信任的机构(认证中心CA)颁发证书。在双方交换信息之前，通过CA获取对方的证书，相互识别。(2)确保信息的机密性：常用的处理技术是数据加密，通过将信息转换为机密文本，防止信息内容被盗或篡改。(3)确认信息的真实性：确认信息真实性的主要手段是数位签章技术。(4)免责声明：通常需要引入认证中心进行管理，由CA发放密钥，将发送的信息和签名的备份发送给CA，作为争议性的仲裁依据。

6、第14，1节电子商务安全问题，3。电子商务安全体系结构包括服务层传输层交换层业务层、第15、2节防火墙技术、第1、防火墙和功能1。防火墙概念防火墙是保护内部网络不受外部世界影响的逻辑设备。防火墙是指在内部网-外部网之间的接口上配置保护层，所有链接都必须通过牙齿保护层重新检查和连接。16，防火墙主要用于实现网络路由的安全性。网络路由的安全性有两个茄子方面。这意味着限制外部网对内部网的访问，保护内部网特定资源不受非法侵犯。限制内部网团队外部网访问，主要限制对不健康信息和敏感信息的访问。第二个防火墙技术，17，第二个防火墙技术，2 .防火墙基本功能(1)过滤进出网络的数据包。(2)管理网络出入访问。

7、(3)封锁一些被禁止的访问；(4)记录通过防火墙的信息内容和活动。(5)网络检测和警报。18，防火墙图表，第二防火墙技术，19，第二防火墙技术，2，防火墙实现技术1。组过滤结构将路由器和过滤器一起完成对外部计算机的内部网络访问限制，并且可以指定或限制内部网络访问。路由器仅路由位于筛选器的特定端口上的数据通信。过滤器的主要功能是网络层内包实现的选择性遍历，它根据包信息、源地址、目标地址、封装的协议通信端口编号确定包是否可以通过。20，第二防火墙技术，牙齿防火墙措施的最大优点是对用户透明。也就是说，登录不需要输入帐号和密码，因此比代理服务器速度快，并且不易出现屏幕脖子现象。但是缺点是，由于没有用户

8、的使用记录，访问记录无法发现非法入侵的攻击记录。21，2节防火墙技术，2 .代理服务技术将不安全的服务(如FTP、telnet等)置于防火墙上，以便同时充当服务器并响应外部请求。内部网络电脑用户与代理服务器之间的网络网络协议、代理服务器和网络之间的通信还成功实现了另一种网络通信协议-代理服务器两端的其他协议标准、防火墙内部和外部计算机系统隔离，从而有效地防止外部直接非法入侵。22，2节防火墙技术，优点：进出包检查、传输数据复制、了解应用层协议、改进访问控制、精细注册和审核是当前最安全的防火墙技术。缺点：透明度不足(登录需要用户输入帐户及密码)，内部网络终端很多的情况下，代理服务器负担很重，效率

9、也会受到影响。因此，代理服务器工作通常是在性能好、处理速度快、容量大的计算机上完成的。目前比较完善的防火墙系统通常同时使用两种茄子技术。代理服务可以大大降低组过滤规则的复杂性，是补充组过滤技术的重要因素。23，2节防火墙技术，3，防火墙设计1。防火墙操作系统必须通过防火墙：属性(1)内部网络和外部网络之间进出的所有数据。(2)只有批准的数据(即防火墙系统安全策略中允许的数据)才能通过防火墙。(3)防火墙本身具有防渗透攻击功能、加强记录、审计和警报功能。24，2节防火墙技术，(4)具有适当的透明度，确保正常的业务流通。(5)使用现代密码技术、密码技术、智能卡等当前新的信息安全技术。(6)轻松控制

10、用户界面良好、系统管理员防火墙配置、访问者、被访问者、访问协议和访问方式。25，2节防火墙技术，2 .防火墙设计准则一切都不允许的是，禁止的防火墙必须对所有信息流都进行封锁，并对想要提供的服务进行逐项开放。牙齿方法可以创建非常安全的环境，但用户易用性、服务范围有限。所有未禁止的是允许的防火墙转发所有信息流，然后逐项阻止有害服务。牙齿方法构成了更灵活的应用环境，可以为用户提供更多服务。但是，在日益增加的网络服务面前，望务员的急迫性可能难以提供可靠的安全保护。(威廉莎士比亚，泰姆，安全名言) (威廉莎士比亚，安全名言)，26，第二防火墙技术，4，防火墙体系结构(1)数据包过滤防火墙：使用过滤路由器

11、，为接收的每个数据包做出允许或拒绝的决定。(2)双主机网关防火墙是一种配置，通过一台具有两个网络适配器的双主机创建防火墙。双主机主机使用两个网络适配器分别连接两个网络(要塞主机)。要塞主机运行防火墙软件(通常是代理服务器)，可以传递应用节目、提供服务等。27、第二防火墙技术、28、第二防火墙技术、(3)阻塞主机防火墙由包过滤路由器和要塞主机组成，强制所有外部主机连接到要塞主机，而不直接连接到内部主机。网络层安全性和应用层安全性。29，第二防火墙技术，30，第二防火墙技术，31，第二防火墙技术，第二数据包过滤路由器位于子网的两端，在子网内形成“缓冲区”，两个路由器之一控制网络数据流，另一个控制网

12、络数据流，internet和网络都可以访问屏蔽的子网，但不能通过屏蔽的子网进行通信。32，第二防火墙技术，33，第二防火墙技术，5，防火墙限制和安全服务1防火墙无法应对的安全威胁，(1)内部攻击，(2)直接网络数据流：防火墙可能会影响通过它的数据流。(3)病毒保护：常规防火墙不提供对内部域网络的保护外部病毒冲突，可以通过FTP或其他工具病毒传输到内部域网络。34，2防火墙安全业务(1)用户身份验证：(2)域名服务：防火墙为内部域网络内部和外部用户提供目录修改服务功能。(3)信件处理：一种广泛使用的方法，通常使用简单信件传输协议(SMTP)。这些信函必须通过防火墙检查，内部网必须通过信函网关、防

13、火墙连接，并与互联网上的用户连接。(David aser，Northern Exposure(美国电视电视剧)，互联网)，第二节防火墙技术，35，(4)IP安全：从1993年开始开发IP安全结构，对internet上的通信进行密码保护，1996年IPv6协议发布IP层的安全包括两个茄子功能：身份验证和机密性。(5)防火墙的IP安全性：防火墙提供机密性和完整性功能。第二节防火墙技术，第36，3节安全技术，第1，加密技术加密密码分析技术，又名密码技术，即利用技术手段将有序信息转变为“乱码”传输，到达目的地后用相同或不同的手段还原(密码分析)。主要目的是防止信息未经授权的泄露。数据加密技术在技术实现

14、中分为软件和硬件两个方面。根据功能的不同，数据加密技术主要分为资料传输、数据存储、数据完整性身份验证和密钥管理技术。37，第3节安全技术，1对称加密对称密钥加密，又称私钥加密，即信息的发送方和接收方使用一个密钥加密和解密数据。对称加密技术的主要优点是加密/密码分析速度快，适合加密大数据量，但密钥管理困难。38，第三节安全技术，对称密钥加密技术算法使用数据加密标准(DES)作为典型代表。对称加密算法在电子商务交易过程中存在问题：需要提供安全通道，以便在通信双方牙齿首次通信时使用公共密钥。密钥数量会迅速增加，难以管理。对称加密算法通常不提供信息完整性身份验证。39，对称密钥加密，密码分析进程，40

15、，第3节安全技术，2不对称加密对称密钥加密系统，也称为公钥加密。需要密钥对来分别执行加密和密码分析操作。这称为公钥(Public-Key)。另一个是用户自己，称为私钥，秘密保存。信息发送者用公钥加密，信息接收者用私钥解密。公钥机制很灵活，但加密和密码分析速度比对称密钥加密速度慢得多。通常显示为Rivest Sharnir Adleman(RSA)算法。41，第3节安全技术，42，第3节安全技术，非对称密钥算法加密，密码分析进程，43，44，3。对称加密与非对称加密比较，第3节安全技术，第45，第3节安全技术，第46，第3节安全技术第二，数字摘要数字摘要是单向散列函数(Hash Digital

16、Digital Digital Digital Digital Digital Digital Digital)在数字信封中，信息发送者使用对称密钥加密信息，然后使用接收方的公钥(称为数字信封)加密牙齿对称密钥，并随信息一起发送给接收方。收件人首先使用其私有密钥打开数字信封，获取对称密钥，然后使用对称密钥释放信息。49，例如，如果A向B发送机密信息(如下图所示)，则A生成随机对称密钥，即会话密钥。2)A使用会话密钥加密纯文本。3)A使用b的公钥加密会话密钥。4)将A密文和加密会话密钥传递给b。5)使用B自己的私钥解密会话密钥。6)使用B会话密钥解密密文以获得明文。50，第3节安全技术，4，可以在数位签章网络环境下模拟，电子商务不可否认的