电子商务安全技术幻灯片课件.pptVIP

1 电子商务安全技术 4 案例： 国外 2000年2月7日－9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。 国内 2000年春天，有人利用普通的技术，从多个电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。 5 4000万信用卡用户资料被窃 2005年6月17日(美国当地时间)，万事达公司公布了一条震惊全球的消息：4000万信用卡用户的信息可能被窃。共涉及1390万名万事达卡客户、2200万名维萨卡用户以及数量不详的美国运通Visa客户和Discover卡用户。 通过侵入一家信用卡结算处理公司的计算机，黑客显然偷走了20万张信用卡和借记卡账户的数据，并可能访问了4000万名信用卡的信息。 6 8.1电子商务的安全性问题 8.1.1电子商务存在的安全问题 网络传输过程中信息被截获； 传输的文件被篡改； 伪造电子邮件:虚开网站发送邮件；伪造大量用户访问，穷尽商家资源；伪造用户窃取商家信息 假冒他人身份:盗取信息、欺骗、栽赃； 不承认或抵赖已经做过的交易。 7 8.1.2 电子商务对安全的基本要求 1.授权合法性: 控制用户权限，保证为授权者提供信息和服务，对未授权者则拒绝提供； 2.不可抵赖性: 信息的发送方不能抵赖曾经发送的信息； 3.信息的保密性: 信息在传播、存储、使用时均有保密要求； 4.交易者身份的真实性: 获取对方证书以鉴别交易方的身份； 5.信息的完整性: 数据输入差错、人为欺诈、传输错误等都会影响信息的完整性； 6.存储信息的安全性: 指存储在介质上的信息要保证正确性。 8 8.1.3 电子商务安全措施 确认通信中贸易伙伴身份的真实性：身份认证(CA)； 确定电子单证的真实性:数字签名技术+散列技术 保证电子单证的保密性：数据加密与解密； 确定电子单证内容的完整性：主要采用散列技术； 不可抵赖性：数字签名技术;将传输的单证及签名的备份发至CA或第三方机构，作为可能争议的仲裁依据； 授权合法性、存储信息的安全性：访问控制权限和日志，敏感信息的加密存储，数据备份、恢复，防火墙技术。 9 8.2 防火墙技术 8.2.1 防火墙的含义及其分类 含义： 防火墙是被配置在内部网和外部网之间的系统，通过控制内外网络间信息的流动来达到增强内部网络安全性的目的。 防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。 分类： 路由器，定义包过滤规则，以IP信息包为基础进行筛选； 代理服务器，用户在使用internet提供的服务前需身份确认； 复合型（路由器＋代理服务器），所用主机称为堡垒主机。 四种最基本的防火墙技术： 包过滤性网关，电路层网关，应用层网关，状态核查 10 防火墙的功能 使系统免受以下攻击： 未经授权的访问：外部用户未经授权访问内部网络 电子欺骗：通过伪装的Internet用户进行远程登录从事破坏活动； 渗透：用假装的主机隐蔽攻击企图； 泛洪：用增加访问服务器次数的方法使其过载。 11 8.2.2 防火墙技术 防火墙系统设计 机构的整体安全策略 需要完整、全面，保证不会被迂回过去； 防火墙的经济费用 参照防火墙产品的功能、复杂度、包含主机数和维护费用，根据实际情况选择； 防火墙系统的组成 可由一个或多个包过滤器、应用层网关（或代理服务器）、电路层网关组成。 12 2. 包过滤路由器 特点根据出入接口和规则，允许或拒绝所接收的每个数据包； 工作在网络层，属网络层防火墙。 优点： 简单、便宜； 对用户和应用透明，无须改变使用习惯。 缺点： 定义复杂； 内外网直接建立连接，无法抵御数据驱动型攻击； 会随过滤路由器规则的数目增加而吞吐量下降； 不能理解特定服务的上下文环境和数据。 13 3. 应用层网关 特点 应用层网关防火墙通过安装代理软件来实现，每个代理模块（Telnet，FTP，WWW）分别针对不同的应用； 对不同用户采用不同安全级别的认证。常称为堡垒主机。 优点： 能够针对各种服务进行全面控制； 支持可靠的身份认证； 提供详细的审计功能和方便的日志分析工具； 相对包过滤路由器更易配置和测试。 缺点： 非透明性，要求用户改变使用习惯。 14 4.电路层防火墙 特点：可以由应用层网关实现；进行简单的中继（如双网卡），不进行包处理和过滤； 对外部隐藏了受保护子网的信息； 优点：堡垒主机可以被设置成混合网关，进入的连接使用应用层网关或代理服务器，出去的连接使用电路层网关。 15 4. 状态核查防火墙 状态核查防火墙保持对连接状态的跟踪：连接是否处于初始化、数据传输或终止状态。  从传输层的角度看，状态防火墙检查数据包头和报文头中的信息。比如，查看T