第九章-电子商务安全

第九章电子商务安全与风险管理学习要点及目标1．了解电子商务对安全的基本要求2．了解电子商务面临的主要安全威胁3．熟悉并掌握电子商务常用的加密技术、访问控制和身份认证技术4．理解防火墙、VPN、入侵检测系统的基本原理以及SET和SSL协议本章主要内容第一节电子商务安全的概念第二节威胁和攻击的种类第三节电子商务通信安全第四节电子商务网络安全第一节电子商务安全的概念一、电子商务安全的概念二、电子商务安全的主要问题三、电子商务安全问题产生的原因四、电子商务对安全的基本需求五、电子商务的安全管理策略一、电子商务安全的概念电子商务系统硬件安全电子商务系统软件安全电子商务系统运行安全电子商务安全立法二、电子商务安全的主要问题网络协议安全性问题用户信息安全性问题电子商务网站的安全性问题三、电子商务安全问题产生的原因管理问题技术问题环境问题四、电子商务对安全的基本需求信息的保密性/机密性信息的完整性信息的有效性信息的不可否认性信息的可认证性/交易者身份的真实性系统的可靠性审查能力五、电子商务的安全管理策略物理安全策略自然灾害安全防范策略人为风险防范策略硬件防护策略网络安全策略技术策略管理策略灾难恢复策略灾难备份数据恢复第二节威胁和攻击的种类一、入侵性病毒二、扩展类威胁三、网络侵害四、黑客网络攻击的发展趋势一、入侵性病毒系统病毒蠕虫病毒木马病毒、黑客病毒脚本病毒宏病毒破坏性程序病毒玩笑病毒捆绑机病毒二、扩展类威胁间谍软件(Spyware)广告软件(Adware)网络钓鱼软件(Phishing)放置特洛伊木马程序截获或窃取信息拒绝服务三、网络侵害电子邮件攻击的欺骗技术获取口令网络监听利用帐号进行攻击偷取特权四、黑客网络攻击的发展趋势盗取个人资料“僵尸”入侵Adware、Spyware偷袭垃圾邮件改头换面第三节电子商务通信安全一、访问控制与身份认证二、PKI一、访问控制与身份认证(一)加密介绍(二)对称加密体系与DES算法(三)非对称加密体系与RSA算法(四)数字摘要与Hash算法(五)数字签名(六)数字信封(七)数字时间戳(八)SET简介(九)SSL简介加密介绍加密解密密钥加密算法对称加密体系与DES算法数据加密标准——DES对称加密机制加密流程解密发送方接收方密钥(途径安全通道）原文加密密文文密文文原文Internet非对称加密体系与RSA算法RSA算法非对称加密体制的工作流程发送方接收方②用接收方的公钥加密原文密文文密文文原文Internet③接收方用自己的私钥解密①取得接收方的公开密钥数字摘要与Hash算法Hash算法数字摘要的原理发送方接收方原文InternetHash算法数字摘要原文Hash算法数字摘要数字摘要对比？数字签名发送方原文InternetHash算法数字摘要Hash算法数字摘要对比？发送方的私钥加密数字签名原文数字签名发送方的公钥解密数字摘要接收方数字信封发送方原文Internet对称密钥加密原文接收方密文解密密钥发送方的公钥加密数字信封数字信封解密密钥接收方的私钥解密密文解密数字时间戳发送方原文InternetHash算法数字摘要Hash算法数字时间戳用DTS机构的私钥加密DTS机构数字摘要加时间数字摘要+时间加了时间后的新摘要数字时间戳SET简介安全电子交易(SET)协议，SET协议是针对开放网络上安全、有效的银行卡交易，由维萨(Visa)公司和万事达(Mastercard)公司联合研制的，为Internet上卡支付交易提供高层的安全和反欺诈保证。SSL简介安全套接层(SSL)协议。SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。二、PKI(一)PKI的定义(二)PKI的基本组成(三)PKI的优势PKI的定义PKI是PublicKeyInfrastructure的缩写，即“公钥基础设施”，是指用公钥概念和技术来实施，支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。PKI的基本组成认证机构(CA)数字证书库密钥备份及恢复系统证书作废系统应用接口(API)PKI的优势支持数字签名保护机密性可以由用户独立验证拥有证书撤销机制具有极强的互联能力第四节电子商务网络安全一、防火墙技术二、VPN三、入侵检测系统一、防火墙技术(一)防火墙的基本概念(二)防火墙的构成(三)防火墙的功能(四)防火墙的优点(五)防火墙的类型(六)防火墙的安全策略及局限性防火墙的基本概念计算机网络的防火墙是一个由软件和硬件设备组合而成的、在内部网(可信赖的安全网路)和外部网(不可靠的网路环境)之间的界面上构造的保护屏障，如所示防火墙的构成询问姓名／地址E-mailE-mail处理域名服务Socks代理认证网关过滤器安全操作系统企业内部网IP级数据组高级协议访问互联网防火墙防火墙的功能未经授权的内部访问。危害证明。未经授权的外部访问电子欺骗特洛伊木马渗透泛洪防火墙的优点1.保护那些易受攻击的服务2.控制对特殊站点的访问3.集中化的安全管理4.对网络访问进行记录和统计防火墙的类型包过滤型防火墙应用网关型防火墙电路层网关规则检查防火墙防火墙的安全策略及局限性防火墙的安全策略①没有被列为允许访问的服务都是被禁止的；②没有被列为禁止访问的服务都是被允许的。防火墙的局限性防火墙不能阻止来自内部的破坏防火墙不能保护绕过它的连接防火墙无法完全防止新出现的网络威胁防火墙不能防止病毒二、VPN(一)什么是VPN(二)VPN的特点(三)VPN安全技术(四)VPN解决方案什么是VPNVPN的英文全称是VirtualPrivateNetwork，中文就叫着虚拟专用网络，虚拟专用网不是真实的专用网络，但却能够实现专用网络的功能，可以理解为虚拟出来的企业内部专线。VPN通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN的特点安全保障服务质量保证可扩充性和灵活性可管理性VPN安全技术隧道技术加解密技术密钥管理技术使用者与设备身份认证技术VPN解决方案AccessVPNIntranetVPNExtranetVPN三、入侵检测系统(一)入侵检测系统概念(二)入侵检测系统的功能(三)入侵检测系统的CEDF模型(四)入侵检测系统的分类(五)入侵检测技术入侵检测系统概念入侵检测(IntrusionDetection)，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统的功能(1)监测并分析用户和系统的活动；(2)核查系统配置和漏洞；(3)评估系统关键资源和数据文件的完整性；(4)识别已知的攻击行为；(5)统计分析异常行为；(6)操作系统日志管理，并识别违反安全策略的用户活动。入侵检测系统的CEDF模型CommonIntrusionDetectionFramework(CIDF)①事件产生器(Eventgenerators)；②事件分析器(Eventanalyzers)；③响应单元(Responseunits)；④事件数据库(Eventdatabases)。入侵检测系统的分类主机型入侵检测系统网络型入侵检测系统入侵检测技术基于标志(signature-based)基于异常情况(anomaly-based)。