第2章 电子商务安全技术管理.ppt

2 电子商务安全的技术保障 学习目标 ◆了解电子商务安全技术保障的主要手段 ◆掌握常用的防病毒技术及其工作原理 ◆了解主要的加密体系，掌握对称密码和公钥密码的加密原理 ◆了解主要的认证技术，掌握数字证书的类型和工作原理 ◆了解如何建立安全的电子商务交易系统 本章内容 从技术角度讲，电子商务交易安全的需求突出表现为网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，系统连续可靠地运行，网络上的信息都是安全的。 为了保证上述各个方面的安全，电子商务网站或从事电子商务的企业通常会采用一些网络安全技术措施。 本章重点介绍了防火墙技术、加密技术、认证技术等，这些安全技术的使用可以从一定程度上满足网络安全需求，但不能满足整体的安全需求，因为它们只能保护特定的某一方面。如防火墙最主要的功能是访问控制，加密技术可以保证信息传输的安全性。 对于电子商务系统还需要一种整体的安全策略，这种安全策略不仅包括安全技术，还包括安全管理、实时监控、响应和恢复等措施。 内容概要 2.1 防火墙技术 2.1 防火墙技术 2.1 防火墙技术 防火墙是由软件系统和硬件系统组成的，在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障，并在此进行检查和连接，只有被授权的信息才能通过此保护屏障，从而使内部网与外部网形成一定的隔离，防止非法入侵、非法盗用系统资源，执行安全管制机制，记录可疑事件等。 防火墙用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。 2.1 防火墙技术 防火墙技术的基本思想：并不是要对每台主机系统进行保护，而是让所有对系统的访问都通过上述所设的保护层，并且对这一保护层加以保护，尽可能地对外界屏蔽所保护网络的信息和结构。 它是设置在可信任的内部网络和不可信任的外部网络之间的一道中间屏障，可以实施较为广泛的安全策略来控制信息流，防止各种潜在的、不可预料的入侵破坏。 2.1 防火墙技术 2.1 防火墙技术 防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从主体上看，防火墙具有的五大基本功能： （1）过滤进、出网络的数据 （2）管理进、出网络的访问行为 （3）封堵某些禁止的业务 （4）记录通过防火墙的信息内容和活动 （5） 对网络攻击检测和报警 2.1 防火墙技术 防火墙的类型： （1）包过滤防火墙 （2）代理服务器型防火墙 （3）复合型防火墙 包过滤防火墙 基本思想简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 安全缺省策略 两种基本策略，或缺省策略 没有被拒绝的流量都可以通过(默认转发) 管理员必须针对每一种新出现的攻击，制定新的规则 没有被允许的流量都要拒绝（默认丢弃） 比较保守 根据需要，逐渐开放 包过滤防火墙 数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。 通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 包过滤路由器示意图 包过滤防火墙(小结) 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制 代理服务器 也称为应用层网关 特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 代理服务器 应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。 应用层网关的结构