电子商务安全的管理保障.pptVIP

PKI ( Public Key Infrastructure) PKI不是电子商务或电子政务的附属物，也不是单纯的密码算法或密码产品。 PKI是在数字社会里实现身份公证、进而实现基于身份公证的各种信息安全手段的公共信息基础设施。它可以为数字社会里各种需要身份公证的现实的与潜在的业务提供支撑。 PKI的唯一和最终目的是证明“You are who you say you are（你是你声称你是的那个人）” 数字签名技术 数字签名必须保证以下几点： 接收者能够核实发送者对报文的签名； 发送者事后不能抵赖对报文的签名； 接收者不能伪造对报文的签名。 数字签名的加密算法 数字签名的加密算法很多，应用最为广泛的三种是： Hash签名、DSS签名、RSA签名。这三种算法可单独使用，也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的，常用的HASH算法有MD2、MD5、SHA-1，用DES算法、RSA算法都可实现数字签名。 6 电子商务的身份认证需求 一是身份的惟一性，用以保证身份的确定性； 二是身份的确定性，用以保证交易方代表性； 三是身份的有效性，防止商务交易方的交易行为的抵毁性； 四是身份机密性，以保证商务密秘的安全性。 电子商务环境下主要身份认证方式 基于口令的传统认证方式 基于物理证件的认证方式 基于动态口令的认证方式 基于生物特征的认证方式 身份认证是整个电子商务安全的基础，是电子商务安全的第一道关。只有实现了有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。在电子商务环境下，要想实现高安全强度的电子身份认证，需要把上述几种方式结合使用。当然，要想真正实现安全的身份认证，还需要综合考虑高安全性的加密算法以及相关的法律保障。 网络环境下的身份认证的威胁 （1）中间人攻击。非法用户截获信息，替换或修改信息后再传送给接收者，以冒充合法用户发送信息。 （2）重放攻击。网络认证还需防止认证信息在网络传输过程中被第三方获取，并记载下来，然后再传送给接收者。 （3）密码分析攻击。攻击者通过密码分析，破译用户口令/身份信息或猜测下一次用户身份认证信息。 （4）口令猜测攻击。侦听者在知道了认证算法后，可以对用户的口令字进行猜测：使用计算机猜测口令字，利用得到的报文进行验证。 （5）身份信息的暴露。 网络访问控制策略 入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 防火墙控制 7 防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙技术 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。 防火墙 信任网络 非信任网络 防火墙能做什么 ? 1. 防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 2. 防火墙同时可以保护网络免受基于路由的攻击。 3. 防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。 4. 防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 防火墙的基本功能 数据包过滤（Packet Filtering） 网络地址转换（Network Address Translation） 应用级代理（Proxy Service） 身份认证（Authentication） 虚拟专用网（Virtual Private Network） 防火墙种类 1. 分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作