第二章 電子商務安全技術

第二章電子商務安全技術第1頁，課件共45頁，創(chuàng)作于2023年2月內容提要網絡安全概述信息安全概述公開密鑰體系結構網絡安全技術1234第2頁，課件共45頁，創(chuàng)作于2023年2月2.1網絡安全概述電子商務的安全技術，蘊含于網絡安全應用的各個方面，其目的是保證整個電子商務系統(tǒng)安全、有效地運行。然而，因特網本身的開放性、跨國界、無主管、不設防、無法律約束等特性，在給人們帶來巨大便利的同時，也帶來了一些不容忽視的問題。由于網絡安全漏洞，導致敏感信息泄漏、信息篡改、數(shù)據(jù)破壞、惡意信息發(fā)布、計算機病毒發(fā)作等現(xiàn)象屢見不鮮，由此造成的經濟損失和社會不良影響難以估計。第3頁，課件共45頁，創(chuàng)作于2023年2月2.1.1網絡安全的含義從內容看網絡安全大致包括4個方面:網絡安全實體軟件安全數(shù)據(jù)安全安全管理從特征看網絡安全包括5個基本要素:機密性完整性可用性可控性可審查性第4頁，課件共45頁，創(chuàng)作于2023年2月2.1.2影響網絡安全的因素網絡系統(tǒng)自身的脆弱性硬件系統(tǒng)軟件系統(tǒng)網絡和通信協(xié)議缺乏用戶身份鑒別機制缺乏路由協(xié)議鑒別認證機制缺乏保密性TCP/UDP的缺陷TCP/IP服務的脆弱性第5頁，課件共45頁，創(chuàng)作于2023年2月2.1.2影響網絡安全的因素(續(xù))安全威脅基本威脅信息泄露完整性破壞服務拒絕未授權訪問威脅網絡安全的主要方法假冒旁路控制破壞系統(tǒng)的完整性破壞系統(tǒng)的可用性重放陷門木馬抵賴威脅和攻擊的來源內部操作不當內部管理漏洞來自外部的威脅和犯罪第6頁，課件共45頁，創(chuàng)作于2023年2月2.1.3網絡安全模型網絡安全的基本模型第7頁，課件共45頁，創(chuàng)作于2023年2月2.1.3網絡安全模型(續(xù))網絡安全訪問模型第8頁，課件共45頁，創(chuàng)作于2023年2月保密性物理保密防竊聽防輻射信息加密身份驗證完整性良好的協(xié)議密碼校驗和數(shù)字簽名公證不可抵賴性訪問控制可用性身份的識別與確認訪問控制業(yè)務流控制路由選擇控制審計跟蹤2.1.4網絡安全服務第9頁，課件共45頁，創(chuàng)作于2023年2月2.1.5基本安全技術防火墻(Firewall)加密(Encryption)身份認證(Authentication)數(shù)字簽名(DigitalSignature)內容檢查(ContentInspection)第10頁，課件共45頁，創(chuàng)作于2023年2月2.2信息安全技術2.2.1密碼技術加密是一種通過使信息變得混亂的方式，從而使未經授權的人無法訪問，而被授權的人卻可以訪問的信息安全技術。通過使用加密，我們可以提供六種安全服務中的三種服務：保密性——加密可以用于對未經授權的人隱藏傳輸中的信息和存儲的信息完整性——加密可以用于識別對信息做出的更改，無論是傳輸中的信息還是存儲的信息不可抵賴性——加密用于認證信息的來源驗證并用于防止原始信息的來源被篡改第11頁，課件共45頁，創(chuàng)作于2023年2月對稱密碼技術對稱密碼系統(tǒng)模型分組密碼技術數(shù)據(jù)加密標準DES三重DES流密碼技術A5RC-4PKZIP第12頁，課件共45頁，創(chuàng)作于2023年2月公鑰密碼技術Diffie-Hellman密鑰交換RSA算法橢圓曲線密碼算法第13頁，課件共45頁，創(chuàng)作于2023年2月2.2.2報文鑒別技術報文加密:以整個消息的密文作為它的鑒別碼報文鑒別碼(MAC):以一個報文的公共函數(shù)和一個密鑰作用于報文，產生一個數(shù)據(jù)分組，即報文鑒別碼，并將其附加在報文中散列函數(shù):一個將任意長度的報文映射為定長的散列值的公共函數(shù)，以散列值作為驗證碼第14頁，課件共45頁，創(chuàng)作于2023年2月2.2.3數(shù)字簽名數(shù)字簽名具有以下性質:必須能夠證實是作者本人的簽名以及簽名的日期和時間在簽名時必須能對內容進行鑒別簽名必須能被第三方證實以便解決爭端第15頁，課件共45頁，創(chuàng)作于2023年2月數(shù)字簽名分類RSA簽名體制數(shù)字簽名標準不可否認簽名防失敗簽名盲簽名群簽名第16頁，課件共45頁，創(chuàng)作于2023年2月2.3公開密鑰體系結構(PublicKeyInfrastructure,PKI)PKI包含:安全策略，以規(guī)定加密系統(tǒng)在何種規(guī)則下運行產生、存儲、管理密鑰的產品怎樣產生、分發(fā)、使用密鑰和證書的一套過程PKI為電子商務提供了4個主要的安全功能:保密性——保證信息的私有性完整性——保證信息沒有被篡改真實性——證明一個人或一個應用的身份不可否認性——保證信息不能被否認第17頁，課件共45頁，創(chuàng)作于2023年2月2.3.1PIK的定義PKI是一種遵循標準的利用公鑰理論和技術建立的提供安全服務的基礎設施。公鑰基礎設施希望從技術上解決網上身份證、電子信息的完整性和不可抵賴性等安全問題，為網絡應用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務。PKI是遵循標準的密鑰管理平臺，所以它能為所有網絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所需要的密鑰和證書管理。第18頁，課件共45頁，創(chuàng)作于2023年2月2.3.2PKI的內容認證中心CA注冊中心RA證書發(fā)布庫密鑰備份及恢復證書撤銷PKI應用接口第19頁，課件共45頁，創(chuàng)作于2023年2月2.3.3PKI服務認證完整性保密性不可否認性安全時間戳安全公證第20頁，課件共45頁，創(chuàng)作于2023年2月2.4網絡安全技術2.4.1防火墻技術網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備，它對兩個或多個網絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。第21頁，課件共45頁，創(chuàng)作于2023年2月防火墻概述防火墻的一般模型第22頁，課件共45頁，創(chuàng)作于2023年2月分組過濾分組過濾(PacketFiltering)作用于網絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。第23頁，課件共45頁，創(chuàng)作于2023年2月分組過濾(續(xù))優(yōu)點透明的防火墻系統(tǒng)高速的網絡性能易于配置支持網絡內部隱藏缺點易于IP地址假冒記錄日志信息不充分源路易受攻擊設計和配置一個真正安全的分組過濾規(guī)則比較困難分組過濾防火墻并不能過濾所有的協(xié)議無法阻止數(shù)據(jù)驅動式攻擊第24頁，課件共45頁，創(chuàng)作于2023年2月應用代理應用代理(ApplicationProxy)也叫應用網關(ApplicationGateway)，它作用于應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流。實際中的應用網關通常由專用工作站實現(xiàn)。第25頁，課件共45頁，創(chuàng)作于2023年2月應用代理(續(xù))優(yōu)點在網絡連接建立之前可以對用戶身份進行認證所有通過防火墻的信息流可以被記錄下來易于配置支持內部網絡的信息隱藏與分組過濾規(guī)則相比較為簡單易于控制和管理缺點對每種類型的服務都需要一個代理網絡性能不高源路易受攻擊防火墻對用戶不透明客戶應用可能需要修改需要多個防火墻主機第26頁，課件共45頁，創(chuàng)作于2023年2月電路中繼電路中繼(CircuitRelay)也叫電路網關(CircuitGateway)或TCP代理(TCPProxy)，其工作原理與應用代理類似，不同之處是該代理程序是專門為傳輸層的TCP協(xié)議編制的。電路中繼工作在OSI（開發(fā)系統(tǒng)互聯(lián)）參考模型的會話層或TCP/IP協(xié)議模型的傳輸層。電路中繼服務器常常提供網絡地址翻譯，將通過一臺網絡主機將內部網絡主機的包進行修改，這樣，修改后的包就能夠通過Internet發(fā)出去了。第27頁，課件共45頁，創(chuàng)作于2023年2月包過濾路由器包過濾流程圖第28頁，課件共45頁，創(chuàng)作于2023年2月防火墻系統(tǒng)模型篩選路由器模型單宿主堡壘主機模型雙宿主堡壘主機模型屏蔽子網模型第29頁，課件共45頁，創(chuàng)作于2023年2月防火墻的局限性防火墻不能防范網絡內部的攻擊防火墻也不能防范沒有防范心理的管理員授予其些入侵者臨時的網絡訪問權限防火墻不能防止傳送已感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒第30頁，課件共45頁，創(chuàng)作于2023年2月防火墻應用的發(fā)展趨勢防火墻將從目前對子網或內部網管理方式向遠程網上集中管理方式轉變過濾深度不斷加強，從目前的地址、服務過濾，發(fā)展到URL過濾，關鍵字過濾和對ActiveX、JavaApplet等服務的過濾，并逐漸具有病毒掃除功能利用防火墻建立專用網單向防火墻將作為一種產品門類而出現(xiàn)對網絡攻擊的檢測和示警將成為防火墻的重要功能安全管理工具不斷完善，特別是可疑活動的日志分析工具將成為防火墻產品中的一個重要組成部分第31頁，課件共45頁，創(chuàng)作于2023年2月2.4.2VPN技術隨著全球化步伐的加快，移動辦公人員越來越多，公司客戶關系越來越龐大，這樣的方案必然導致高昂的長途線路租用費及長途電話費。于是，虛擬專用網VPN(VirtualPrivateNetwork)的概念與市場隨之出現(xiàn)。第32頁，課件共45頁，創(chuàng)作于2023年2月VPN概述VPN被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。VPN作為一種組網技術的概念，有3種應用方式：遠程訪問虛擬專用網(AccessVPN)、企業(yè)內部虛擬專用網(IntranetVPN)、擴展的企業(yè)內部虛擬專用網(ExtranetVPN)。目前，VPN主要采用四種技術來保證安全。這四種技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。其中，隧道技術是VPN的基本技術。第33頁，課件共45頁，創(chuàng)作于2023年2月VPN的解決方案隧道技術虛擬電路SOCKSv5IPSec第34頁，課件共45頁，創(chuàng)作于2023年2月2.4.3計算機病毒美國計算機研究專家F.Cohen博士最早提出了“計算機病毒”的概念。計算機病毒是一段人為編制的計算機程序代碼。這段代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。1994年2月18日《中華人民共和國計算機信息系統(tǒng)安全保護條例》第二十八條規(guī)定：計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。以上是我國司法部門對電腦病毒的法律解釋，司法部門憑該解釋所賦予的法律要件，就可以逮捕病毒制作和散播者。目前，我國仍然沿用此條例，沒有新的修訂。第35頁，課件共45頁，創(chuàng)作于2023年2月病毒的發(fā)展階段原始病毒階段混合型病毒階段多態(tài)性病毒階段網絡病毒階段主動攻擊階段手機病毒階段第36頁，課件共45頁，創(chuàng)作于2023年2月病毒的特征非授權可執(zhí)行性隱蔽性傳染性潛伏性表現(xiàn)性(破壞性)可觸發(fā)性第37頁，課件共45頁，創(chuàng)作于2023年2月病毒的分類宏病毒(MacroVirus)引導型病毒(BootStrapSectorVirus)傳統(tǒng)引導型病毒隱型引導型病毒目錄型引導病毒文件型病毒(FileInfectorVirus)非常駐型病毒常駐型病毒隱型文件型病毒復合型病毒(Multi-PartiteVirus)第38頁，課件共45頁，創(chuàng)作于2023年2月病毒的結構病毒的一般結構第39頁，課件共45頁，創(chuàng)作于2023年2月病毒的工作機理病毒的引導機理病毒的傳播機理病毒的破壞表現(xiàn)機理第40頁，課件共45頁，創(chuàng)作于2023年2月病毒產生的原因一些計算機愛好者出于好奇或興趣，也有的是為了滿足自己的表現(xiàn)欲來源于軟件加密產生于游戲用于研究或實驗而設計的“有用”程序，由于某種原因失去控制而擴散出來由于政治、經濟和軍事等特殊目的第41頁，課件共45頁，創(chuàng)作于2023年2月病毒的傳播途徑通過軟盤、U盤、光盤、移動硬盤等移動存儲設備傳染，大量的移動存儲設備的使用，是造成病毒傳染并泛濫蔓延的溫床通過點對點通信系統(tǒng)和無線信道傳播通過網絡傳染，這種傳播擴散的速度很快，能在短時間內使網絡上的機器受到感染第42頁，課件共45頁，創(chuàng)作于2023年2月病毒的危害破壞文件或數(shù)據(jù)，造成用戶數(shù)據(jù)丟失或損毀搶占系統(tǒng)網絡資源，造成網絡阻塞或系統(tǒng)癱瘓破壞操作系統(tǒng)等軟件或計算機主板等硬件，造成計算機無法啟動第43頁