第四章电子商务安全.ppt

第三节防火墙技术 五、防火墙的优缺点 没有任何一个防火墙的设计能适用于所有的环境。它就似一个防盗门，在通常情况下能 起到安全防护的作用，但当有人强行闯入时可能失效。所以在选择购买时，应根据站点的特 择合适的防火墙。 1.防火墙的优点 (1)保护脆弱的服务。通过定义一个中心“扼制点”及过滤不安全的网络服务，防火墙可防止非法用户进人内部网络，减少内网中主机的风险。 (2)控制对系统的访问。可提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机，允许内部员工使用某些资源而不能使用其他资源等。 (3)集中的安全管理。对内网实行集中的安全管理。通过制定安全策略，其安全防护| 措施可运行于整个内网系统中而无须在每个主机中分别设立。同时还可将内网中需改动的程| 序都存于防火墙中而不是分散到每个主机中，便于集中保护。 (4)增强保密性。可阻止攻击者获取攻击网络系统的有用信息。 (5)有效地记录Internet上的活动。因为所有进出信息都必须通过防火墙，所以非常便： 于收集关于系统和网络使用和误用的信息。 2.防火墙的不足之处 (1)不能防范来自内部的攻击。对内部用户偷窃数据，破坏硬件和软件等行为无能为力。 (2)不能防范不通过它的连接。对有意绕过它进/出内网的用户或数据无法阻止，从而 给系统带来威胁，如用户可以将数据复制到磁盘中带出内网。 (3)不能防范未知的威胁。能较好地防备已知的威胁，但不能自动防御所有新的威胁。 (4)不能完全防范病毒的破坏。 (5)为了提高安全性，限制和关闭了^些有用但存在安全缺陷的网络服务，给用户带 来了使用的不使。 第四节 SSL与SET安全协议 为了保障电子商务的安全性，人们制定了一些安全协议其中比较著名的有SST安全套接层协议和SET安全协议。 一、SSL安全套接层协议 安全套接层协议(Secure Sockets Layer, SSL)是由Netscape公司于1994年研究制定的安全通信协议，主要用于Internet计算机之间的通信，它能加密浏览器与服务器之间的通信| 数据。因此，可以采用SSL传输密码和信用卡号等敏感信息，采用SSL协议在浏览器和服务器之间建立了一个安全通道。 第四节 SSL与SET安全协议 SSL协议工作在TCP层上，髙层的应用协议可以在SSL层之上透明地工作。它由两层协| 议构成，共包含四个子协议。 其中比较重要的是SSL握手协议和记录协议。 SSL握手协议位于SSL记录协议之上。它用于数据传输前进行服务器和浏览器之间的身份认证，同时确定双方协商采用的协议版本、加密算法等参数，确定加密数据所需的对称密钥，采用公钥加密技术产生共享机密。 SSL记录协议定义要传输的数据格式。它位于TCP层之上，从高层的SSL子协议接收数 据进行封装，同时用对称密钥加密，通过TCP层进行传输。 SSL可以实现浏览器和服务器相互的身份认证。 第四节 SSL与SET安全协议 二、SET安全协议 安全协议（Secure Electronic Transaction, SET)是 1996 年 Master Card 与 Visa 两大国际 信用卡组织会同IBM、Netscape等一些计算机供应商共同开发的。 SET主要是为了实现在Internet环境下，用户、商家和银行之间通过信用卡支付而设计 的。它给出了一套电子交易的过程规范，通过SET实现电子商务交易中的加密、认证机制 和密钥管理机制等，从而保证支付信息的机密、支付过程的完整和商家及持卡人的合法 权益。 SET中主要包含：信用卡持卡人、商家、支付网关、CA及信用卡结算中心。SET协议 比SSL协议复杂，它不仅可以加密两个端点间的单个会话，还可以加密和认证三方之间的多 条信息。 第四节 SSL与SET安全协议 三、SSL与SET协议的比较 SET协议定义了银行、商家和持卡人之间交换的报文的标准，SSL只是在通信的两方之间建立了一条安全通道。SSL是面向链接的，而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网或者其他网络上传输。 从费用上看，SET协议过于复杂，处理速度慢，支持SET系统的费用很高，它需要持卡 人、商家、支付网关等计算机系统上均安装相应的软件，而使用SSL协议成本很低，大部分浏览器都内置了能支持SSL的代码。 SET协议也可以用在系统的一部分或者全部。 从认证方面看，SET的安全需求较高，持卡人、商家和支付网关都必须先申请数字证书 来识别身份，而在SSL中，只有商家的Web服务器需要认证，客户认证则是可选的，也可以选择不使用客户认证。 从安全方面看，一般认为SET的安全性较SSL高。在整个交易过程中，持卡人到商家、I 商家到支付网关再到银行网络的通信都受到严密的保护。 从市场占有率看，由于SE