第四章篇 电子商务安全.ppt

第四章 电子商务安全;;;目录;电子商务安全的概念;电子商务安全的层次;电子商务安全的特点 ;盘点2014安全漏洞事件 ;盘点2014安全漏洞事件 ;电子商务面临的交易安全威胁;安全威胁的类型;电子商务面临的安全威胁;我国电子商务安全现状;我国电子商务安全现状;电子商务安全的要素;4.1.3 电子商务的安全需求;*;*;*;*;*;*;4.1.4电子商务安全体系结构;电子商务安全体系结构;4.2 电子商务的网络安全技术;防火墙概述;防火墙具有如下特点 ;防火墙的性质;防火墙基本类型 ;1. 包过滤防火墙 包过滤是防火墙的核心功能之一，防火墙的包过滤标准依赖于防火墙的安全策略，通常防火墙的安全策略由网络管理员预置在防火墙设备的ACL（Access Control List，访问控制列表）中，防火墙根据ACL规则对网络数据流进行过滤，阻止不符合安全策略的通信。 （1）包过滤原理 网络通信的数据包分为报头和数据两个部分。报头的内容主要包括封装协议、IP源地址、IP目标地址、ICMP消息类型、TCP和UDP目标端口、TCP报头中的ACK位等。而数据的内容是各种网络应用的通信数据。网络通信系统中的路由器就是根据数据包的IP目标地址选择合适的路由，将数据包发送给目标机器。 ;（2）包过滤防火墙的优点 包过滤防火墙具有操作简单、运行高效、易于安装和使用等特点，通常包过滤防火墙内嵌在路由器中对通信数据包实施过滤。路由器是网络互联的关键节点设备，因此在路由器中内嵌包过滤功能几乎不需要任何额外的费用。 包过滤防火墙的优点主要体现在下面几个方面： · 包过滤防火墙不会影响到应用程序的正常运行。 · 包过滤防火墙可以保护整个内网安全。 · 包过滤防火墙对于用户是透明的。 · 包过滤防火墙具有良好的网络性能。 ;（3）包过滤防火墙的缺点 包过滤防火墙主要缺点是安全性较差、功能相对单一以及不能防止地址欺骗等。 · 包过滤防火墙的安全性较差。 · 包过滤防火墙对个别协议并不支持，例如UDP协议、RPC协议，并且包过滤防火墙缺乏审计和报警机制，另外，无法提供完整的安全策略服务，例如，数据包的报头信息只能说明数据包的来源主机，而不能确定用户、端口或应用程序。 · 包过滤防??墙不能防止地址欺骗。 ;2. 代理服务型防火墙 （1）代理服务型防火墙概述 代理服务型防火墙是利用代理服务器将内部网络和外部网络分开，在数据通过代理服务器时利用防火墙对进出网络的数据进行安全检测，并阻止各类网络攻击。代理服务器基于应用层实现代理服务，访问外网的用户首先向代理服务器发出连接请求，代理服务器对其进行验证，然后将验证后的请求转发给外网服务器，外网服务器将应答交给代理服务器，经代理服务器检测后发送给请求用户。;（2）应用层网关防火墙 应用层网关防火墙是典型的代理服务型防火墙，运行于网络协议的应用层，实现数据包的过滤和转发功能。应用层网关防火墙针对于特定的网络应用服务协议采用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成检测报告。 应用层网关防火墙的核心是代理服务器，其主要功能是基于网络协议的应用层实现协议的过滤和转发。外部网络用户访问内部网络时，应用层网关防火墙首先会对数据包进行过滤，同时对数据包进行必要的分析、登记和统计，并形成检查报告。;（3）电路级网关防火墙 电路级网关防火墙，也称TCP通道防火墙。在电路级网关防火墙中，数据包被提交给用户的应用层进行处理，电路级网关用来在两个通信终端之间转换数据包。 电路级网关防火墙与包过滤防火墙都是依靠特定的逻辑来判断是否允许数据包通过，但是两者之间存在明显的区别，即包过滤防火墙允许内、外网之间的计算机直接建立连接，而电路级网关防火墙则禁止它们直接建立端到端的TCP连接，而是要以防火墙为中转设备分别建立连接。;（4）代理服务型防火墙的优点 · 易于配置和管理。 · 能生成各项记录。 · 提供其他安全服务。;（5）代理服务型防火墙的缺点 · 速度相对较低。 · 需要用户配置和管理。 · 无法控制底层协议。;3. 复合型防火墙 复合型防火墙也称自适应代理防火墙，是将包过滤防护墙的高效率和代理服务型防火墙的高安全性等优点结合起来，在保证安全性的前提下，提高了防火墙系统的运行效率，主要由自适应代理服务器和包过滤器组成。目前，复合型防火墙还融合了入侵检测技术、安全认证和评估技术以及虚拟专网等技术，使之成为真正复合型网络安全防护系统。复合型防火墙的功能如下： · 复合型防火墙以网络安全防护为基本功能，同时融合入侵检测、安全评估、虚拟专网等网络安全通信模块。 · 复合型防火墙采用安全评估和识别技术实现网络对象检测、控制和管理，安全评估模块可以自动地检测内部网络。 · 复合型防火墙可以提供系统入侵检测功能，通过监测网络中的数据包