电子商务的安全威胁及其措施.pptx

1、 放置在互联网上的公司服务器随时都会受到有意或无意的攻击和损坏。如何获得安全的保障，不仅是个人或单个企业的要求，也是整个互联网经济发展的最重要的基础。病毒破坏 黑客攻击第一节 概述一、安全的含义 安全分物理安全和逻辑安全。所谓物理安全指可触及的保护设备。通常所说的计算机领域的安全指企业的信息不受他人未经授权的访问、使用、篡改或破坏。用非物理手段进行的保护称为逻辑安全，这种安全分为三类：第一类 保密：防止未授权的数据暴露并确保数据源的可靠性；密码、帐户的安全，不被他人知晓电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施第二类 完整：防止未经授权的数据修改；内容的改变第三类 即需：防止

2、延迟或拒绝服务。服务器停止响应 人们习惯于“眼见为实”，对安全总是谨小慎微。二、安全措施 对识别、降低或消除安全威胁的物理或逻辑步骤的总称。对不同类型的风险需要采取不同的安全措施，实施的成本应该小于所受到的损失。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施风险管理模型电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施预防预防控制控制不理会不理会备份备份影响大概率高影响小概率低 安全策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些行为不可接受等的书面描述。安全策略一般要陈述物理安全、网络安全、访问授权、病毒防护、灾难恢复等内容，并随时间变化，需定

3、期完善。制定安全策略的步骤：绝对的安全是不存在的 损人不利己电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施确定保确定保护对象护对象确定访确定访问权限问权限确定所确定所需资源需资源制定安制定安全策略全策略开发或开发或购买购买不断不断完善完善安全策略的内容：认证：访问者 访问控制：访问许可 保密：用户的级别 数据完整性：权限的设定 审计：记录、日志电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施

4、密码保证密码忘记服务密码保存：明文存用户名，加密存口令(管理员也无法知道)权限的设定：文件：读取、写入、追加、执行、删除 目录：列表、创建、删除2.操作系统控制用户名/口令 win2000 winxp电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施3.防火墙 指在需要保护的网络与可能带来安全威胁的互联网或其他网络之间建立的保护。防火墙是具有以下特征的计算机:(天网系统)1)由内到外和由外到内的所有访问都必须通过它；2)只有本地安全策略所定义的合法访问才被允许通过；3)防火墙本身无法被穿越。防火墙内的网络叫可信网络，防火墙外的网络叫不可信网络。防火墙相当于过滤设备，允许特定的信息流入

5、或流出被保护的网络。理想状态下，防火墙应阻止未经授权的用户访问防火墙内的网络，又不妨碍合法用户。用作防火墙的计算机应尽量简化。(软件)电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施防火墙技术 包过滤：检查在可信网络和互联网之间传输的所有数据，包括信息包的源地址、目标地址及进入可信网络的信息包的端口，并根据预先设定的规则拒绝或允许这些包进入。网关服务器：根据所请求的应用对访问进行过滤的防火墙。在应用 层过滤请求和登陆。(telnet,ftp,http)如允许内向 ftp,不允许外向ftp。代理服务器：代表某个专用网络与互联网进行通讯的防火墙。电子商务概论电子商务概论第四章 电子商务

6、的安全威胁和安全措施第三节 对通讯信道的安全威胁及防护措施一、通讯信道的安全威胁 信息传送过程中无法保证传送线路及所通过的每台计算机都是可靠的。1.对保密性的安全威胁 保密与保护隐私 保密：防止未经授权的信息泄漏；保护隐私：保护个人不被曝光的权利。Email 谁看 在线“探测软件”电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施2.对完整性的安全威胁又称主动搭线窃听，未经授权方同意改变信息。完整性和保密性的差别：对保密性的安全威胁指某人看到了不应该看到的信息；对完整性的安全威胁指某人改动了传输的关键信息。如银行的存款信息。破坏网站、电子伪装等3.对即需性的安全威胁又称延迟安全威胁或

7、拒绝安全威胁。其目的是破坏正常的计算机处理或完全拒绝处理。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施二、保护电子商务的通道1.交易的保密 无法防止对互联网的窃听(明信片)。1)加密：用基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。加密程序的逻辑称为加密算法。加密消息的保密性取决于加密所有密钥的长度(40128)，即使有人知道加密程序的细节，没有消息加密所用的密钥是无法解开加密的消息。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施按密钥和相关加密程序类型可把加密分为 3 类：1.散列编码：用散列算法求出某个信息的散列值的过程。散列值对于每条信

8、息都是唯一的。2.非对称加密：公开密钥加密 用两个数学相关的密钥对信息进行编码。极大的促进了网络交易的发展。在此系统中，其中一个密钥叫公开密钥，可随意发给期望同密钥持有者进行安全通讯的人。第二个密钥是私有密钥，属于密钥持有人。公开密钥：用于对信息加密(锁与钥匙的关系)私有密钥：对信息解密 RSA 算法是非对称加密领域内最为著名的算法，但是它存在的主要问题是算法的运算速度较慢。其次，它存在着公开密钥的分发问题。因此，在实际的应用中通常不采用这一算法对信息量大的信息(如大的 EDI 交易)进行加密。当加密量大时，公开密钥加密算法通常用于对对称加密方法密钥的加密。电子商务概论电子商务概论第四章 电子

9、商务的安全威胁和安全措施3.对称加密：在对称加密方法中，加密和解密都使用同一把密钥。而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。数据加密标准(DES)由美国国家标准局提出,在 1981 年又被进一步采纳为 ANII 标准，是目前广泛采用的对称加密方式之一，主要应用于银行业中的电子资金转帐(EFT)领域。DES 的密钥长度为 56 位。国际数据加密算法（IDEA）是一种使用一个密钥对 64 位数据块进行加密的常规保密密钥加密算法。同样的密钥仍然用于将 64 位的密文数据块恢复成 64 位明文数据块。IDEA 使用128 位(16 字节)密钥进行加密操作。电子商务概论电子商务概论第四章 电子

10、商务的安全威胁和安全措施公开密钥的优点：1.在多人之间进行保密信息传输所需的密钥组合数量很小；2.密钥的发布容易；3.公开密钥系统可实现数字签名。公开密钥技术和传统加密方法各有优缺点，公开密钥技术虽然安全性较好，但运算量较大，与传统的加密算法比较在速度上有很大的差距。技术资料表明 RSA 的软件实现比 DES 的软件实现慢 100 倍，RSA 的硬件实现比 DES 的硬件实现慢100010000 倍。所以许多加密系统都采用公开密钥技术与传统加密算法结合的方式。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施2)加密算法和标准 表 4-13)安全套接层协议(SSL)SSL 协议是由

11、Netscape 公司研究制定的安全协议，该协议向基于 TCP/IP 的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换 SSL 初始握手信息来实现有关安全特性的审查。处于传输层。实现 SSL 的协议是 HTTP 的安全版，HTTPS 电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施2.保证交易的完整性 防止信息(订单)被非法修改。可以采用多种技术的组合来创建能防止修改同时能认证的信息。为消除因信息被更改而导致的欺诈和滥用行为，可将两个算法同时应用到信息上。首先用散列算法生成信息摘要，散列算法是单向函数，无法还

12、原信息。接受方同样计算信息摘要，进行对比是否相同。但由于散列算法是公开的，所以还需要采用加密算法。加密后的信息摘要称为数字签名。带数字签名的采购订单就可让商家确认发送者的身份并确定此信息是否被更改过。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施 数字签名系统的目的是保证信息的完整性和真实性。其目的是为了保证：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法，以下讨论采用公开密钥加密技术实现的数字签名。它是公开密钥技术和报文分解函数（MDF）的结合，主要方式是：报文的发送方从报文文本中生成一个 128

13、 位的散列值(或报文摘要)，称为报文分解函数的值。发送方用公开密钥加密系统中的秘密密钥对这个报文散列值进行加密，形成数字签名。该过程如图。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施 然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。比较其结果，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。保障了文件内容的完整性、正确性和签名的真实性。其过程如图。电子商务概论电子商务概论

14、第四章 电子商务的安全威胁和安全措施3.保证交易传输 保密和数字签名都无法保护信息包不被盗取或速度降低。但 TCP/IP 中的传输控制协议负责对信息包的端到端的控制。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施二、保护客户机1.数字证书 数字证书是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。还可向网页或电子邮件附件原发送者发送加密信息的功能。证书不保证所下载软件的功能或质量，只证明所提供的软件不是伪造的。通常由认证中心发放证书。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施2.IE安全级别的设置表 4-23.Navigator4.处理 Cookie IE 中的设置5.使用防毒软件6.防黑客软件电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施第五节 对版权和知识产权的保护一、对版权和知识产权的安全威胁 非法拷贝、传递、使用等二、保护版权和知识产权 数字水印：隐蔽的嵌入在数字图像或声音文件里的数字码或数字流。电子商务概论电子商务概论第四章 电子商务的安全威胁和安全措施