极速互联苏瑞-电子商务安全技术第一讲.ppt

Page 1,计算机网络安全：计算机网络设备/系统安全、数据库安 全等商务交易安全：围绕传统商务在互联网络上应用时产生的 各种安全问题,电子商务安全技术第一讲4.1 电子商务安全 电子商务的安全性问题,电子商务安全,Page 2,一、电子商务的安全性问题1、信息安全问题（1）信息的截获和窃取：银行帐号、密码以及商业机密等（2）篡改:删除/插入（3）伪造电子邮件（4）假冒他人身份（5）信息丢失,破坏完整性,Page 3,2、信用安全问题主要涉及交易抵赖(1)发信者事后否认曾经发送过某条消息或内容(2)收信者事后否认曾经收到过某条消息或内容(3)购买者做了订货单不承认(4)商家卖出的商品因价格差而不承认原有的交易,Page 4,3、安全的管理问题4、安全的法律问题5、电脑病毒及黑客问题,Page 5,（二）安全问题对电子商务的影响（1）严重打击消费者对电子商务的信心（2）造成运营商巨大的经济损失（3）涉及的地域范围广（4）威胁个人及组织的资金安全、货物安全和信誉安全,Page 6,1、授权合法性:安全管理人员能够控制用户的权限、分配或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。2、不可抵赖性(non-repudiation),4.1.2 电子商务对安全的基本要求,数字签名、CA证书,3、机密性(confidentiality):信息发送和接收是在安全的通道进行，保证通信双方的信息保密。加密技术,防火墙技术、口令,Page 7,4、真实性(authenticity)数字签名、数字证书5、信息的完整性(integrity)数字摘要、时间戳 6、存储信息的安全性,交易信息交易方身份,Page 8,4.1.3 电子商务交易安全措施（一）交易安全技术,（1）身份认证：确定贸易伙伴的真实性（2）数据加密和解密：保证电子单证的保密性（3）数字摘要技术：保证电子单证内容的完整性（4）数字签名技术：保证电子单证的真实性（5）CA认证：不可抵赖性(6)时间戳、消息的流水作业号：保证被传输的业务单 证不会丢失,Page 9,（二）安全交易标准和技术,（1）安全超文本传输协议（S-HTTP）保障WEB站点间的交易信息传输的安全性（2）安全套接层协议（SSL，Secure Sockets Layer）提供加密、认证服务和保证报文的完整性（Netscape）,(3)安全电子交易协议（SET，Secure Electronic Transaction 信用卡网上交易安全，提高网络支付服务的质量,Page 10,https:/,Page 11,4.2 防火墙技术4.2.1 防火墙的含义及其分类 1、防火墙（Firewall）：指 Internet上广泛应用的一种安全措施，是指设置在互联网(Internet)与内部网(Intranet)之间系统，通过控制内外网络间信息的流动，提高内部网络的安全性。防火墙可以阻止外界对内部资源的非法访问，也可以防止内部对外部的不安全访问。,Page 12,内网,防火墙系统组成示意图：,Page 13,Web Server处于防火墙内,Page 14,2、防火墙的分类,网络层防火墙：过滤性网关（对数据包的过滤）应用层防火墙,应用层网关（对协议的过滤）电路层网关（设置代理服务器，内外部网络间 不能直接接触）,Page 15,（1）保护那些易受攻击的服务（2）控制对特殊站点的访问（3）集中化的安全管理（4）对网络访问进行记录和统计,3、防火墙的功能,Page 16,4.2.2 防火墙技术1、防火墙系统设计（1）机构 的整体安全策略（2）防火墙的经济费用（3）防火墙系统的组成(路由器、应用层网关、电路层网关),Page 17,2、包过滤路由器（1）包过滤技术（Packet Filtering）是一个网络安全保护机制，它用来控制流出和流入网络的数据。过滤的项目有：,IP地址（源地址、目的地址）端口号（源端口、目的端口）协议号（TCP、UDP、ICMP）连接状态、IP包文的标志位,Page 18,某一网络级防火墙的访问控制规则允许网络使用FTP(21口)访问主机；允许IP地址为和的用户到主机上；允许任何地址的Email(25口)进入主机；允许任何WWW数据（80口）通过；不允许其他数据包进入。,Page 19,Page 20,（2）包过滤防火墙：逻辑简单、价格便宜、易于安装和使用、网络性能和透明性好。,小型电子商务系统,5、缺点（1）设置的规则复杂，不易验证其正确性（2）安全性能不高（3）数据包的过滤项目很容易被窃听或假冒，形成安全漏洞（4）内外网络间直接建立连接,Page 21,3、应用层网关防火墙 应用网关技术：是建立在网络应用层上的协议过滤，针对特定的应用层服务协议。依靠特定的逻辑判定是否允许数据通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系。,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。,Page 22,应用网关技术工作原理,Page 23,4、电路层防火墙 采用代理服务技术，提供内部和外部系统之间可控网络的代理。基于应用代理的防火墙可以在网络应用层提供授权检查及代理服务。,可以成功地实现防火墙内外计算机系统的隔离,Page 24,提供代理服务,Page 25,4.2.3 防火墙的安全策略及局限性1、防火墙的安全策略只有防火墙所定义的合法访问才被允许通过（1）一切未被允许的就是禁止的（安全性能高，用户使用的范围受限）（2）一切未被禁止的就是允许的（安全性能低，但更灵活）,Page 26,2、防火墙的局限性（1）不能阻止来自内部的攻击（2）不能保护绕过它的连接（3）无法阻止新出现的网络威胁（4）不能防止病毒防护（病毒可通过FTP或其他工具传入）,Page 27,4.3 数据加密技术4.3.1 数据加密、解密基本过程,加密技术：解决数据的加密及其解密的技术，整个过程组成一个加密系统。,加密：就是把信息转换为不可辨识的形式的过程。解密：将信息内容转变为明文的过程,明文 密文,密文 明文,Page 28,明文P,加密算法E,加密密钥Ke,解密密钥Kd,解密算法D,明文P,密文C,明文 密文 算法 密钥（加密/解密密钥）,加密系统,加密算法解密算法,Page 29,对称密钥加密(Symmetric Cryptography)非对称密钥加密(Asymmetric Cryptography),加密技术,（公开密钥加密）,