ch4 电子商务安全管理.pptVIP

4.2 电子商务网络安全保障技术 1.防火墙的安全策略 没有被列为允许访问的服务都是被禁止的 没有被列为禁止访问的服务都是被允许的 2. 防火墙的局限性 防火墙不能阻止来自内部的破坏 防火墙不能保护绕过它的连接 防火墙无法完全防止新出现的网络威胁 防火墙不能防止病毒 二、入侵检测技术 做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 主要的 IDS 生产商与产品有：国外 Cisco 公司的 NetRanger；Internet SecuritySystem公司的RealSecure；国内的有紫光网络的UnisIDS；重庆爱思软件技术有限公司的ODD_NIDS；上海金诺网络安全技术发展股份有限公司的KIDS。 三、反病毒技术 长期以来，计算机病毒一直是计算机信息系统中的一个很大的不安全因素。由于在网络环境下，计算机病毒更具有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。 四、虚拟专用网技术 VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。 4.3 电子商务交易安全技术 一、数字加密技术 二、数字签名 （三）数字时间戳（digital time-stamp） 时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签字三个部分。 时间戳产生的过程为：用户首先将需要加时间戳的文件用Hash函数转化为报文摘要，然后将该摘要加密后发送到提供时间戳服务的机构，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签字），然后送回用户。 数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。 　　(2) 资信认证。资信等级是AAA级，还是CCC级，这一点必须由银行提供证明。我国开展企业资信等级的评定已有多年历史，将这一工作网络化，即可用于电子商务交易的认证。这项认证可以由银行来做。 　　(3) 税收认证。我国企业税收资料历年积累完整，可以全面反映一个企业的整体经营情况。所以，可以增加税收认证机制，以衡量一个企业整体素质的高低。这项认证可以由税务部门来做。 　 (4) 外贸认证。对于外贸企业来说，由于其行业的特殊性，在信用证贸易和EDI贸易中已经实行了类似的认证制度，积累了大量的宝贵资料。可以将这部分资料整理用于电子商务交易。这项工作可以由商务部门来做。 　　上述四个方面实际上形成了四个行业认证系统，可以把它们叫做“职能认证系统”，它们是为根认证发放认证证书提供依据的。在职能认证系统上面，还需要有一个根认证系统，即国家电子商务认证中心，通管职能认证系统。为便于开展业务，国家认证中心可以在各省和直辖市设立相应的分支机构，从而形成类似于管理上直线职能制组织结构的认证系统。 国家电子认证服务机构组织结构设想图 　　国家电子商务认证中心主要承担根认证工作。这些工作包括： 　　(1) 对职能认证系统和省市分认证中心进行政策指导和业务管理。 　　(2) 汇总职能认证中心和省市分认证中心的数据。 　　(3) 负责数字凭证的管理与签发。 　　(4) 提供数字时间戳服务。 　　(5) 负责使用者密码的产生与保管。 　　(6) 对交易纠纷提供证明资料等。 四、 防止黑客入侵（补充） （一）黑客的基本概念 　　黑客(Hacker)源于英语动词hack，意为“劈、砍”，引申为“辟出、开辟”；进一步的意思是“干了一件非常漂亮的工作”。在20世纪麻省理工学院校园俚语中,“黑客”则有“恶作剧”之意。到了20世纪60～70年代，它又专用来形容独立思考却奉公守法的计算机迷。今天的黑客可分为两类。一类是骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧，他们追求的是从侵入行为本身获得巨大的满足。另一类黑客是窃客，他们的行为带有强烈的目的性，早期这些黑客主要窃取国家情报、科研情报，而现在的目标大都瞄准了银行的资金和电子商务交易过程。 （二） 网络黑客常用的攻击手段 　　1. 口令攻击 　 口令攻击是网上攻击最常用的方法，也是大多数黑客开始网络攻击的第一步。黑客首先进入系统