第4章 电子商务中的安全.pptVIP

电子商务中的安全 本章要点： 电子商务系统安全概念 电子商务的安全需求 防火墙技术 网络路由安全技术 网络通信安全技术 信息加密技术 信息认证技术 公钥基础设施 安全电子交易标准 4.1.1电子商务系统安全概念 电子商务系统硬件安全：是指保护计算机系统中硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制 电子商务系统软件安全：是指保护软件和数据不被篡改、破坏和非法复制。根据计算机软件系统的组成，软件安全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全 电子商务系统运行安全：是指保护系统能连续和正常地运行 电子商务安全立法：是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志 电子商务安全交易体系 4.1.2 电子商务的安全需求 信息的保密性 信息的完整性 信息的不可否认性 交易者身份的真实性 系统的可靠性 4.2 电子商务常用安全技术 防火墙技术 网络路由安全 网络通信安全 信息加密技术 信息认证技术 安全电子交易标准 4.2.1 防火墙技术 防火墙通常是运行在一台单独的计算机上的一个服务软件，用以保护由多台计算机构成的内部网络，可以识别并屏蔽非法请求，有效阻止跨越权限的访问。 防火墙不仅可以保护内网中的敏感数据不被窃取、破坏，还可以记录内外网之间通信的有关状态信息，形成日志，例如通信发生的时间和进行了哪些操作，以备分析和追踪管理。 防火墙的安全策略 没有被列为允许访问的服务都是被禁止的 没有被列为禁止访问的服务都是被允许的 防火墙的种类 防火墙 硬件形式 软件形式 具体分为: 包过滤 应用级网关 状态监视器 带有虚拟专用网的防火墙 包过滤防火墙(屏蔽路由器) 在TCP/IP协议的网络中，所有往来的信息都是按固定长度的信息包进行发送的，信息包中包含发送者的IP地址和接收者的IP地址等信息。这些信息包在发送途中，由路由器读取接收方的IP地址并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包均抵达目的地后在进行重新组装还原。 包过滤式的防火墙（如图4.3）会检查所有通过的信息包中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。 常用攻击方法:IP地址欺骗 应用级网关(代理服务器 ) 应用级网关在逻辑上起着防火墙的作用，它位于一个网络的内部用户和外部用户之间，并详细记录所有的访问状态信息，从外部只能看到该代理服务器而无法获知内部用户IP数据等任何内部资源。 应用级网关适用于特定的Internet服务，如HTTP、FTP等。 应用级网关由于不允许用户直接访问网络，多了一层访问控制机制，访问速度通常比较明显地变慢；应用级网关需要对每一类特定地Internet服务安装相应的代理服务软件；用户不能使用未被服务器支持地服务，对每一类服务要使用特殊的客户端软件。因此，实际使用中，应用级网关常和包过滤路由器结合使用（如图4.4）； 状态检测防火墙 使用一个称之为“监测引擎”的软件模块在网关上执行网络安全策略。与前两种防火墙不同，当用户访问请求达到网关的操作系统前，状态监视器要抽取有关数据进行分析，根据不同的情况，并结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或对该通信加密等各种处理操作。 状态监测防火墙的主要优点是，一旦某个访问违反安全规定，该访问就会被拒绝，并将有关状态进行记录、写入日志。另一个显著优点是可监测无连接状态的远程过程调用和用户数据报告之类的端口信息，这一优点是前两类防火墙所不具备的；但相应地，为获得该优点，状态监测防火墙付出的代价是网络速度变慢，配置比较复杂，实现成本也相应较高。 带有虚拟专用网（VPN）的防火墙 在Internet和Intranet之间接续的普通防火墙，虽然通过访问控制有效提高应用系统的安全性，但是这样的防火墙不能防止对网上信息的监听和窃取。为了保证信息不受攻击，数据加密是行之有效的方法。 一种在内网上接续具有加密功能的路由器和防火墙的新安全机制，该机制的核心是把网络上的数据加密再传送，这就是带有虚拟专用网的防火墙。 虚拟专用网是通过Internet这样的公用网络建立的一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网络是对企业内部网的扩展。VPN在关键路由或通信节点允许操作保证所有的网络通信都是安全的。 防火墙的基本体系结构 防火墙体系结构基本可分为3类 双宿主主机结构 主机过滤结构 子网过滤结构。 双宿主主机结构 基于双宿主主机的防火墙结构比较简单，双宿主主机位于内外网之间并与内外网相连（如图4.6所示），但只有用代理服务的方式，或者让用户直接注册到双宿主主机上，才能提供安全控制服务。 主机过滤结构 提供安全保护的主机仅仅与内网相连;主机过滤结