电子商务安全学习.pptVIP

电子商务安全学习;第4章 Internet安全;互联网安全状况令人担忧;4.1 Internet安全概述 4.2 防火墙技术 4.3 入侵检测技术 4.4 IP安全协议 4.5 电子商务应用安全协议;4.1 Internet安全概述;服 务 器;第七页，共一百零五页，2022年，8月28日;第八页，共一百零五页，2022年，8月28日;4.1.1 网络层安全 网络层安全指的是对从一个网络的终端系统传送到另一个网络的终端系统的通信数据的保护。 典型的网络层安全服务包括： 认证和完整性 保密性 访问控制 ;4.1.2 应用层安全 应用层安全指的是建立在某个特定的应用程序内部，不依赖于任何网络层安全措施而独立运行的安全措施。 应用层安全措施包括： 认证 访问控制 保密性 数据完整性 不可否认性 ;4.1.3 系统安全 系统安全是指对特定终端系统及其局部环境的保护，而不考虑对网络层安全或应用层安全措施所承担的通信保护。 系统安全措施包括： 确保在安装的软件中没有已知的安全缺陷 确保系统的配置能使入侵风险降低至最低 确保所下载的软件其来源是可信任的和可靠的 确保系统能得到适当管理以使侵入风险最小 确保采用合适的审计机制，采取新的合适的防御性措施;4.2 防火墙技术;4.2.1 防火墙的概念;第十四页，共一百零五页，2022年，8月28日;为什么需要防火墙？;为什么需要防火墙？;对防火墙的两大需求;4.2.1 防火墙的功能特征;4.2.2 各种防火墙的基本原理及特点 ;包过滤型防火墙;第二十一页，共一百零五页，2022年，8月28日;2.包过滤型防火墙的优缺点 包过滤型防火墙最大的优点是：价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。 但它也有一些缺点：包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。 ;应用网关型防火墙;第二十四页，共一百零五页，2022年，8月28日;2.应用级网关型防火墙的特点 依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联???，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这不利于抗击非法访问和攻击。 ;代理服务型防火墙 ;第二十七页，共一百零五页，2022年，8月28日;2. 代理服务型防火墙的优缺点 代理服务型防火墙的优点：可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。 代理服务型防火墙的缺点：使访问速度变慢，因为它不允许用户直接访问网络；应用网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这就意味着用户可能会花费一定的时间等待新服务器软件的安装；并不是所有的Internet应用软件都可以使用代理服务器。 ;4.2.3 防火墙的实现方式 ; 　　包过滤路由器(Screening Router)，也叫屏蔽路由器或安全路由器。它可以由厂家专门生产的路由器实现，也可以用主机来实现。包过滤路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由包过滤路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。包过滤路由器的缺点是一旦被攻击后很难发现，而且不能识别不同的用户。 ;双穴防范网关（双重宿主主机防火墙 ）;过滤主机网关（被屏蔽主机防火墙 ）;过滤子网防火墙（被屏蔽子网防火墙）; 一般有以下几种形式： ①使用多设防主机 ②合并内部路由器与外部路由器 ③合并设防主机与外部路由器 ④合并设防主机与内部路由器 ⑤使用多台内部路由器 ⑥使用多台外部路由器 ⑦使用多个子网 ⑧使用双穴防范网关与过滤子网防火墙 ;4.2.4 防火墙的安全策略 ;4.3 入侵检测（系统）IDS;入侵检测系统存在与发展的必然性;为什么需要IDS;网络安全工具的特点;传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分，但不能完全保证系统的安全。 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。;入侵检测的定义;入侵检测的起源（1）;入侵检测的起源（2）;入侵检测系