第九章-電子商務(wù)安全.ppt

1、,第九章 電子商務(wù)安全與風(fēng)險(xiǎn)管理,學(xué)習(xí)要點(diǎn)及目標(biāo) 1了解電子商務(wù)對(duì)安全的基本要求 2了解電子商務(wù)面臨的主要安全威脅 3熟悉并掌握電子商務(wù)常用的加密技術(shù)、訪問(wèn)控制和身份認(rèn)證技術(shù) 4理解防火墻、VPN、入侵檢測(cè)系統(tǒng)的基本原理以及SET和SSL協(xié)議,本章主要內(nèi)容,第一節(jié) 電子商務(wù)安全的概念 第二節(jié) 威脅和攻擊的種類 第三節(jié) 電子商務(wù)通信安全 第四節(jié) 電子商務(wù)網(wǎng)絡(luò)安全,第一節(jié) 電子商務(wù)安全的概念,一、電子商務(wù)安全的概念 二、電子商務(wù)安全的主要問(wèn)題 三、電子商務(wù)安全問(wèn)題產(chǎn)生的原因 四、電子商務(wù)對(duì)安全的基本需求 五、電子商務(wù)的安全管理策略,一、電子商務(wù)安全的概念,電子商務(wù)系統(tǒng)硬件安全 電子商務(wù)系統(tǒng)軟件安全

2、 電子商務(wù)系統(tǒng)運(yùn)行安全 電子商務(wù)安全立法,二、電子商務(wù)安全的主要問(wèn)題,網(wǎng)絡(luò)協(xié)議安全性問(wèn)題 用戶信息安全性問(wèn)題 電子商務(wù)網(wǎng)站的安全性問(wèn)題,三、電子商務(wù)安全問(wèn)題產(chǎn)生的原因,管理問(wèn)題 技術(shù)問(wèn)題 環(huán)境問(wèn)題,四、電子商務(wù)對(duì)安全的基本需求,信息的保密性/機(jī)密性 信息的完整性 信息的有效性 信息的不可否認(rèn)性 信息的可認(rèn)證性/交易者身份的真實(shí)性 系統(tǒng)的可靠性 審查能力,五、電子商務(wù)的安全管理策略,物理安全策略 自然災(zāi)害安全防范策略 人為風(fēng)險(xiǎn)防范策略 硬件防護(hù)策略 網(wǎng)絡(luò)安全策略 技術(shù)策略 管理策略 災(zāi)難恢復(fù)策略 災(zāi)難備份 數(shù)據(jù)恢復(fù),第二節(jié) 威脅和攻擊的種類,一、入侵性病毒 二、擴(kuò)展類威脅 三、網(wǎng)絡(luò)侵害 四、黑客

3、網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì),一、入侵性病毒,系統(tǒng)病毒 蠕蟲(chóng)病毒 木馬病毒、黑客病毒 腳本病毒 宏病毒 破壞性程序病毒 玩笑病毒 捆綁機(jī)病毒,二、擴(kuò)展類威脅,間諜軟件(Spyware) 廣告軟件(Adware) 網(wǎng)絡(luò)釣魚(yú)軟件(Phishing) 放置特洛伊木馬程序 截獲或竊取信息 拒絕服務(wù),三、網(wǎng)絡(luò)侵害,電子郵件攻擊 www的欺騙技術(shù) 獲取口令 網(wǎng)絡(luò)監(jiān)聽(tīng) 利用帳號(hào)進(jìn)行攻擊 偷取特權(quán),四、黑客網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì),盜取個(gè)人資料 “僵尸”入侵 Adware、Spyware偷襲 垃圾郵件改頭換面,第三節(jié) 電子商務(wù)通信安全,一、訪問(wèn)控制與身份認(rèn)證 二、 PKI,一、訪問(wèn)控制與身份認(rèn)證,(一)加密介紹 (二)對(duì)稱加

4、密體系與DES算法 (三)非對(duì)稱加密體系與RSA算法 (四)數(shù)字摘要與Hash算法 (五)數(shù)字簽名 (六)數(shù)字信封 (七)數(shù)字時(shí)間戳 (八)SET簡(jiǎn)介 (九)SSL簡(jiǎn)介,加密介紹,加密 解密 密鑰 加密算法,對(duì)稱加密體系與DES算法,數(shù)據(jù)加密標(biāo)準(zhǔn)DES 對(duì)稱加密機(jī)制加密流程,非對(duì)稱加密體系與RSA算法,RSA算法 非對(duì)稱加密體制的工作流程,數(shù)字摘要與Hash算法,Hash算法 數(shù)字摘要的原理,數(shù)字簽名,數(shù)字信封,數(shù)字時(shí)間戳,SET簡(jiǎn)介,安全電子交易(SET)協(xié)議，SET協(xié)議是針對(duì)開(kāi)放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由維薩(Visa)公司和萬(wàn)事達(dá)(Mastercard)公司聯(lián)合研制的，為Inter

5、net上卡支付交易提供高層的安全和反欺詐保證。,SSL簡(jiǎn)介,安全套接層(SSL)協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。,二、 PKI,(一)PKI的定義 (二)PKI的基本組成 (三)PKI的優(yōu)勢(shì),PKI的定義,PKI是Public Key Infrastructure的縮寫，即“公鑰基礎(chǔ)設(shè)施”，是指用公鑰概念和技術(shù)來(lái)實(shí)施，支持公開(kāi)密鑰的管理并提供真實(shí)性、保密性、完整性以及可追究性安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。,PKI的基本組成,認(rèn)證機(jī)構(gòu)(CA) 數(shù)字證書(shū)庫(kù) 密鑰備份及恢復(fù)系統(tǒng) 證書(shū)作廢系統(tǒng) 應(yīng)用

6、接口(API),PKI的優(yōu)勢(shì),支持?jǐn)?shù)字簽名 保護(hù)機(jī)密性 可以由用戶獨(dú)立驗(yàn)證 擁有證書(shū)撤銷機(jī)制 具有極強(qiáng)的互聯(lián)能力,第四節(jié) 電子商務(wù)網(wǎng)絡(luò)安全,一、防火墻技術(shù) 二、VPN 三、入侵檢測(cè)系統(tǒng),一、防火墻技術(shù),(一)防火墻的基本概念 (二)防火墻的構(gòu)成 (三)防火墻的功能 (四)防火墻的優(yōu)點(diǎn) (五)防火墻的類型 (六)防火墻的安全策略及局限性,防火墻的基本概念,計(jì)算機(jī)網(wǎng)絡(luò)的防火墻是一個(gè)由軟件和硬件設(shè)備組合而成的、在內(nèi)部網(wǎng)(可信賴的安全網(wǎng)路)和外部網(wǎng)(不可靠的網(wǎng)路環(huán)境)之間的界面上構(gòu)造的保護(hù)屏障，如所示,防火墻的構(gòu)成,防火墻的功能,未經(jīng)授權(quán)的內(nèi)部訪問(wèn)。 危害證明。 未經(jīng)授權(quán)的外部訪問(wèn) 電子欺騙 特洛伊木

7、馬 滲透 泛洪,防火墻的優(yōu)點(diǎn),1. 保護(hù)那些易受攻擊的服務(wù) 2. 控制對(duì)特殊站點(diǎn)的訪問(wèn) 3. 集中化的安全管理 4. 對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì),防火墻的類型,包過(guò)濾型防火墻 應(yīng)用網(wǎng)關(guān)型防火墻 電路層網(wǎng)關(guān) 規(guī)則檢查防火墻,防火墻的安全策略及局限性,防火墻的安全策略 沒(méi)有被列為允許訪問(wèn)的服務(wù)都是被禁止的； 沒(méi)有被列為禁止訪問(wèn)的服務(wù)都是被允許的。 防火墻的局限性 防火墻不能阻止來(lái)自內(nèi)部的破壞 防火墻不能保護(hù)繞過(guò)它的連接 防火墻無(wú)法完全防止新出現(xiàn)的網(wǎng)絡(luò)威脅 防火墻不能防止病毒,二、VPN,(一)什么是VPN (二)VPN的特點(diǎn) (三)VPN安全技術(shù) (四)VPN解決方案,什么是VPN,VPN的英文全稱

8、是Virtual Private Network，中文就叫著虛擬專用網(wǎng)絡(luò)，虛擬專用網(wǎng)不是真實(shí)的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能，可以理解為虛擬出來(lái)的企業(yè)內(nèi)部專線。VPN通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。,VPN的特點(diǎn),安全保障 服務(wù)質(zhì)量保證 可擴(kuò)充性和靈活性 可管理性,VPN安全技術(shù),隧道技術(shù) 加解密技術(shù) 密鑰管理技術(shù) 使用者與設(shè)備身份認(rèn)證技術(shù),VPN解決方案,Access VPN Intr

9、anet VPN Extranet VPN,三、入侵檢測(cè)系統(tǒng),(一)入侵檢測(cè)系統(tǒng)概念 (二)入侵檢測(cè)系統(tǒng)的功能 (三)入侵檢測(cè)系統(tǒng)的CEDF模型 (四)入侵檢測(cè)系統(tǒng)的分類 (五)入侵檢測(cè)技術(shù),入侵檢測(cè)系統(tǒng)概念,入侵檢測(cè)(Intrusion Detection)，顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。,入侵檢測(cè)系統(tǒng)的功能,(1) 監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)； (2) 核查系統(tǒng)配置和漏洞； (3) 評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； (4) 識(shí)別已知的攻擊行為； (5) 統(tǒng)計(jì)分析異常行為； (6) 操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。,入侵檢測(cè)系統(tǒng)的CEDF模型,Common Intrusion Detection Framework (CIDF) 事件產(chǎn)生器(Event generators)； 事件分析器(