第七章电子商务安全技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第七章电子商务安全技术课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第七 电子商务 安全技术 课件
- 资源描述:
-
1、7.1 7.1 电子商务安全概述电子商务安全概述7.2 7.2 网络安全保障技术网络安全保障技术7.3 7.3 电子商务的认证技术电子商务的认证技术7.4 7.4 防火墙技术及应用防火墙技术及应用第第7 7章章 电子商务安全技术电子商务安全技术7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题7.1.2 7.1.2 电子商务的安全性需求电子商务的安全性需求7.1.3 7.1.3 电子商务安全架构电子商务安全架构7.1 7.1 电子商务安全概述电子商务安全概述 互联网是一个完全开放的网络,任何一台计算机、互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可与之相连,并利用互联网
2、发布信息,任何一个网络都可与之相连,并利用互联网发布信息,获取与共享网络资源,或进行各种网上商务活动,直获取与共享网络资源,或进行各种网上商务活动,直接促成了一个网络经济时代的到来。但是这种开放式接促成了一个网络经济时代的到来。但是这种开放式的信息交换、资源共享和分布方式增加了网络的脆弱的信息交换、资源共享和分布方式增加了网络的脆弱性和易受攻击性。性和易受攻击性。电子商务依赖于互联网,因而互联网所面临的威电子商务依赖于互联网,因而互联网所面临的威胁,也同样是电子商务所面临的威胁。如果把网络系胁,也同样是电子商务所面临的威胁。如果把网络系统的运转看成是一种信息的流动(如电子商务中的信统的运转看成
3、是一种信息的流动(如电子商务中的信息流或资金流),则正常情况下,信息从信息源(如息流或资金流),则正常情况下,信息从信息源(如网站或文件)流向目标(如用户或文件),这种正常网站或文件)流向目标(如用户或文件),这种正常的信息流如图的信息流如图7.1(a)所示。)所示。7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题信息源接收方(a)正常信息流(c)截取(d)修改(e)伪造(b)中断图7.1 安全威胁的类型(1)系统的中断)系统的中断n由于操作错误、应用程序错误、硬件故障、系统软件由于操作错误、应用程序错误、硬件故障、系统软
4、件错误、网络故障以及计算机病毒等恶意攻击导致系统错误、网络故障以及计算机病毒等恶意攻击导致系统不能正常工作。如图不能正常工作。如图7.1(b)所示。)所示。(2)信息的截获和窃取)信息的截获和窃取n信息在传输过程中被某些非授权实体所截获和窃取。信息在传输过程中被某些非授权实体所截获和窃取。如图如图7.1(c)所示。这里的实体可以是一个人、一个)所示。这里的实体可以是一个人、一个程序或一个计算机系统。例如,在网络中为得到数据程序或一个计算机系统。例如,在网络中为得到数据而对程序或数据进行的非法拷贝、电话线上的窃取、而对程序或数据进行的非法拷贝、电话线上的窃取、以太网上对数据包的嗅探等。以太网上对
5、数据包的嗅探等。(3)信息的篡改)信息的篡改n如果非授权实体不但截取了资源,而且还对其进行了如果非授权实体不但截取了资源,而且还对其进行了修改,则这种攻击就是篡改。如图修改,则这种攻击就是篡改。如图7.1(d)所示。例)所示。例如,某人可能修改数据库中的数值,修改程序使之完如,某人可能修改数据库中的数值,修改程序使之完成额外的任务或修改正在传送的数据。成额外的任务或修改正在传送的数据。7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题(4)信息的伪造或假冒)信息的伪造或假冒n非授权实体伪造计算机系统中的实体或信息。如图非授权实体伪造计算机系统中的实体或信息。如图7.1(e)所示。)所
6、示。n在电子商务中,由于交易非面对面进行,如果安全措施在电子商务中,由于交易非面对面进行,如果安全措施不完善,无法对信息发送者或者接收者的身份进行验证,不完善,无法对信息发送者或者接收者的身份进行验证,那么入侵者就有可能潜入企业的内部网络,冒充合法用那么入侵者就有可能潜入企业的内部网络,冒充合法用户发送或者是接收信息,从而给合法用户造成商务损失。户发送或者是接收信息,从而给合法用户造成商务损失。主要有两种方式:主要有两种方式:信息的伪造信息的伪造 假冒身份假冒身份(5)交易抵赖)交易抵赖n交易双方进行了某种通信或交易活动,但当参与一方事交易双方进行了某种通信或交易活动,但当参与一方事后发现交易
7、行为对自己不利时,就有可能不承认获抵赖后发现交易行为对自己不利时,就有可能不承认获抵赖已经做过的交易。交易抵赖包括多个方面,如发送方事已经做过的交易。交易抵赖包括多个方面,如发送方事后否认曾经发送过某个信息或内容;收信方事后否认曾后否认曾经发送过某个信息或内容;收信方事后否认曾经收到过某个信息或内容;购买者做了订货单不承认;经收到过某个信息或内容;购买者做了订货单不承认;商家卖出的商品因价格差而不承认原有的交易。商家卖出的商品因价格差而不承认原有的交易。7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题n电子商务安全的核心和关键是电子交易的安全性。针对电子商务安全的核心和关键是电子交
8、易的安全性。针对上述在电子商务开展过程中可能发生的问题,为了保证上述在电子商务开展过程中可能发生的问题,为了保证电子商务整个交易过程中的安全性和可靠性,由此提出电子商务整个交易过程中的安全性和可靠性,由此提出了相应的安全控制要求。电子商务安全的基本要求主要了相应的安全控制要求。电子商务安全的基本要求主要包括真实性、有效性、机密性、完整性和不可抵赖性。包括真实性、有效性、机密性、完整性和不可抵赖性。(1)真实性)真实性 对交易各方身份真实性的确认是电子交易中的首要安全需求。这意对交易各方身份真实性的确认是电子交易中的首要安全需求。这意味着,在双方进行交易之前,首先要确认对方的身份,确保交易味着,
9、在双方进行交易之前,首先要确认对方的身份,确保交易双方的身份不能被假冒或伪装。目前,网上对客户、商家、银行、双方的身份不能被假冒或伪装。目前,网上对客户、商家、银行、网关等实体的鉴别,一般都是通过网关等实体的鉴别,一般都是通过CA认证机构和其发放的数字证认证机构和其发放的数字证书来实现的。书来实现的。(2)有效性)有效性 对网络故障、操作错误、应用程序错误、硬件故障、系统软件错对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的,要求电子商务系
10、统能数据在确定的时刻、确定的地点是有效的,要求电子商务系统能够保证随时提供稳定的网络服务。够保证随时提供稳定的网络服务。7.1.2 7.1.2 电子商务的安全性需求电子商务的安全性需求(3)机密性)机密性 保证信息为授权者使用而不会泄露给非授权的人或实体。保证信息为授权者使用而不会泄露给非授权的人或实体。(4)完整性)完整性 要求能保证只有授权的各方能够修改计算机系统的有价值的内容和要求能保证只有授权的各方能够修改计算机系统的有价值的内容和传输的数据,防止数据被非授权者建立、修改和破坏。传输的数据,防止数据被非授权者建立、修改和破坏。(5)不可抵赖性)不可抵赖性 防止参与某次通信交换的任何一方
11、事后否认本次通信或通信的内防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。容。7.1.2 7.1.2 电子商务的安全性需求电子商务的安全性需求(1)电子商务安全因素)电子商务安全因素 n电子商务建立在互联网技术的基础上,但又不是孤立的依赖于电子商务建立在互联网技术的基础上,但又不是孤立的依赖于互联网技术,在电子商务的开展过程中,还需要社会环境、管互联网技术,在电子商务的开展过程中,还需要社会环境、管理环境提供相应的保障。因此,电子商务安全架构应该是一个理环境提供相应的保障。因此,电子商务安全架构应该是一个涵盖技术因素,管理因素等在内的一个综合体系,如图涵盖技术因素,管理因素等在内的
12、一个综合体系,如图7.2所示。所示。7.1.3 7.1.3 电子商务安全架构电子商务安全架构 保护protect恢复restore检测detect反应react人过程技术图7.2 电子商务安全架构电子商务安全涉及人(电子商务安全涉及人(people)、过程()、过程(procedure)及技术(及技术(technology)三种因素。)三种因素。人人n电子商务不是电子设备之间独立进行的交易行为,电子商务交电子商务不是电子设备之间独立进行的交易行为,电子商务交易的主体仍然是人。人作为一种实体在电子商务交易中存在,易的主体仍然是人。人作为一种实体在电子商务交易中存在,则必然对电子商务的安全产生重要
13、的影响。则必然对电子商务的安全产生重要的影响。过程过程n在电子商务的交易过程中,人需要对电子商务系统进行操作,在电子商务的交易过程中,人需要对电子商务系统进行操作,如系统登录,数据库更新等。在这些过程中,应有严格的操作如系统登录,数据库更新等。在这些过程中,应有严格的操作手册和制度来规范各种操作,避免各种不规范的行为的产生。手册和制度来规范各种操作,避免各种不规范的行为的产生。技术技术n互联网技术是电子商务实现的基础,技术因素对电子商务安全互联网技术是电子商务实现的基础,技术因素对电子商务安全的影响最为直接。电子商务系统不恰当的设计,安全性设计的的影响最为直接。电子商务系统不恰当的设计,安全性
14、设计的欠缺,计算机系统自身的漏洞都会成为安全问题的隐患。因此欠缺,计算机系统自身的漏洞都会成为安全问题的隐患。因此在开展电子商务交易的过程中,首先要从技术上保障系统的安在开展电子商务交易的过程中,首先要从技术上保障系统的安全可靠。全可靠。7.1.3 7.1.3 电子商务安全架构电子商务安全架构(2)电子商务安全措施)电子商务安全措施n电子商务安全包括保护(电子商务安全包括保护(protect)、检测)、检测(detect)、反应()、反应(react)及恢复()及恢复(restore)四)四个环节,简称为个环节,简称为PDRR。保护保护 n保护是预先阻止攻击可以发生的条件产生,让攻击者无法顺利
15、保护是预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵系统。一般采用一些网络安全产品、工具和技术保护网地入侵系统。一般采用一些网络安全产品、工具和技术保护网络系统和数据。这种保护可以称作静态保护,通常是指一些基络系统和数据。这种保护可以称作静态保护,通常是指一些基本防护,不具有实时性。本防护,不具有实时性。检测检测n检测就是实时监控系统的安全状态,是实时保护的一种策略,检测就是实时监控系统的安全状态,是实时保护的一种策略,主要满足一种动态安全的需求。主要满足一种动态安全的需求。7.1.3 7.1.3 电子商务安全架构电子商务安全架构 反应反应n反应是当已知一个攻击(入侵)事件发生之后,能
16、够及时进行反应是当已知一个攻击(入侵)事件发生之后,能够及时进行处理,如向管理员报告,或者自动阻断连接等,防止攻击进一处理,如向管理员报告,或者自动阻断连接等,防止攻击进一步发生,将安全事件的影响降低到最小范围。步发生,将安全事件的影响降低到最小范围。恢复恢复n恢复是当入侵事件发生后,把系统恢复到原来的正确状态,或恢复是当入侵事件发生后,把系统恢复到原来的正确状态,或者比原来更安全的状态,这对电子商务交易的正常开展是非常者比原来更安全的状态,这对电子商务交易的正常开展是非常重要。恢复是最终措施,因为当攻击已经发生,系统已经受到重要。恢复是最终措施,因为当攻击已经发生,系统已经受到破坏,这时只有
17、让系统以最快的速度正常运行起来才是最重要破坏,这时只有让系统以最快的速度正常运行起来才是最重要的,否则损失会更严重。的,否则损失会更严重。n安全的电子商务环境的构建需要考虑到技术、人、过安全的电子商务环境的构建需要考虑到技术、人、过程三个因素,也需要从保护、检测、反应及恢复四个程三个因素,也需要从保护、检测、反应及恢复四个环节去控制,这样才能保证电子商务的安全,促进电环节去控制,这样才能保证电子商务的安全,促进电子商务持续健康发展。子商务持续健康发展。7.1.3 7.1.3 电子商务安全架构电子商务安全架构 7.2.1 7.2.1 数据加密技术数据加密技术 7.2.2 7.2.2 入侵检测技术
18、入侵检测技术7.2.3 7.2.3 虚拟专用网虚拟专用网7.2.4 7.2.4 防病毒技术防病毒技术7.2 7.2 网络安全保障技术网络安全保障技术(1)数据加密过程)数据加密过程n数据加密技术是电子商务采用的最基本的安全技术,数据加密技术是电子商务采用的最基本的安全技术,是解决诸如信息的窃取、信息的假冒、信息的篡改、是解决诸如信息的窃取、信息的假冒、信息的篡改、信息的抵赖等问题的一种重要手段,同时也是签名技信息的抵赖等问题的一种重要手段,同时也是签名技术、认证技术的基础。术、认证技术的基础。n数据加密技术是指将一个信息(或称明文)经过加密数据加密技术是指将一个信息(或称明文)经过加密密钥及加
19、密函数转换,变成无意义的密文,而接收方密钥及加密函数转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密密钥还原成明文。攻则将此密文经过解密函数、解密密钥还原成明文。攻击者即使窃取到经过加密的信息(密文),也无法辨击者即使窃取到经过加密的信息(密文),也无法辨识原文。这样能够有效地对抗截收、非法访问、窃取识原文。这样能够有效地对抗截收、非法访问、窃取信息等威胁。数据加密的过程如图信息等威胁。数据加密的过程如图7.3所示。所示。7.2.1 7.2.1 数据加密技术数据加密技术n根据密码算法所使用的加密密钥和解密密钥是否相同、根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密密钥推
20、导出解密密钥,可将密码算法分为能否由加密密钥推导出解密密钥,可将密码算法分为对称加密算法和非对称加密算法。对称加密算法和非对称加密算法。7.2.1 7.2.1 数据加密技术数据加密技术密钥加密明文密文明文密文图7.3 数据加密技术互联网密钥解密(2)对称密钥加密技术)对称密钥加密技术n对称密钥加密是指信息发送方对要发送的信息统统一对称密钥加密是指信息发送方对要发送的信息统统一定的算法和密钥进行加密,变为密文,密文通过网络定的算法和密钥进行加密,变为密文,密文通过网络到达接收方后,接收方使用相同的算法和密钥进行解到达接收方后,接收方使用相同的算法和密钥进行解密,还原成明文。它只用一个密钥对信息进
21、行加密和密,还原成明文。它只用一个密钥对信息进行加密和解密。由于加密和解密用的是同一密钥,所以发送者解密。由于加密和解密用的是同一密钥,所以发送者和接收者都必须知道密钥。和接收者都必须知道密钥。n用对称加密对信息编码和解码的速度很快,效率也很用对称加密对信息编码和解码的速度很快,效率也很高,但也有比较大的局限性。所有各方都必须相互了高,但也有比较大的局限性。所有各方都必须相互了解,并且完全信任,而且每一方都必须妥善保管一份解,并且完全信任,而且每一方都必须妥善保管一份密钥。如果发送者和接收者处在不同地点,就必须当密钥。如果发送者和接收者处在不同地点,就必须当面或在公共传送系统(电话系统、邮政服
22、务)中无人面或在公共传送系统(电话系统、邮政服务)中无人偷听偷看的情况下交换密钥。在密钥的交换过程中,偷听偷看的情况下交换密钥。在密钥的交换过程中,任何人一旦截获了它,就都可用它来读取所有加密消任何人一旦截获了它,就都可用它来读取所有加密消息。息。n对称密钥加密算法的典型代表是对称密钥加密算法的典型代表是DES算法算法 7.2.1 7.2.1 数据加密技术数据加密技术(3)非对称密钥加密技术)非对称密钥加密技术n非对称密钥加密算法采用一对密钥:一个公共密钥和非对称密钥加密算法采用一对密钥:一个公共密钥和一个专用密钥。公共密钥则可以发布出去,专用密钥一个专用密钥。公共密钥则可以发布出去,专用密钥
23、要保证绝对的安全。用公共密钥加密的信息只能用专要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密,反之亦然。用密钥解密,反之亦然。n非对称密钥的优点就在于,尽管通信双方不认识,但非对称密钥的优点就在于,尽管通信双方不认识,但只要提供密钥的只要提供密钥的CA可靠,就可以进行安全通信,这可靠,就可以进行安全通信,这正是电子商务所要求的。非对称密钥加密算法的典型正是电子商务所要求的。非对称密钥加密算法的典型代表是代表是RSA算法。算法。7.2.1 7.2.1 数据加密技术数据加密技术n从计算机安全的目标来看,入侵指企图破坏资源的完从计算机安全的目标来看,入侵指企图破坏资源的完整性、保密性、可用
24、性的任何行为,也指违背系统安整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。从入侵策略的角度看,入侵可分全策略的任何事件。从入侵策略的角度看,入侵可分为企图进入、冒充合法用户、成功闯入等方面。入侵为企图进入、冒充合法用户、成功闯入等方面。入侵者一般称为黑客或解密高手。者一般称为黑客或解密高手。n入侵检测指对计算机和网络资源的恶意使用行为进行入侵检测指对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵识别和响应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测出内部用户的未授权活动,是一行为,同时也能检测出内部用户的未授权活动,是一种增强系统安
25、全的有效方法。种增强系统安全的有效方法。n入侵检测技术是为保证计算机系统的安全而设计与配入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(是入侵检测系统(IDS)。)。7.2.2 7.2.2 入侵检测技术入侵检测技术(1)入侵检测技术的分类)入侵检测技术的分类n 异常检测(异常检测(Anomaly detect
展开阅读全文