Web电子商务安全1资料教程.ppt

1.1 安全问题安全问题 据权威机构调查表明，目前国内企业发展据权威机构调查表明，目前国内企业发展电子商务的最大顾虑是网上交易的安全问题电子商务的最大顾虑是网上交易的安全问题 1 1、电子商务安全问题与安全需求、电子商务安全问题与安全需求1从信息安全角度考察，电子商务面临的安全从信息安全角度考察，电子商务面临的安全威胁主要有以下方面：威胁主要有以下方面：1. 1. 信息的截获和窃取信息的截获和窃取2. 2. 信息的篡改信息的篡改3. 3. 信息假冒信息假冒4. 4. 交易抵赖交易抵赖5. 5. 非授权访问非授权访问2从网络安全角度考察，电子商务面临的从网络安全角度考察，电子商务面临的主要安全威胁有以下几种：主要安全威胁有以下几种：1 1物理实体引发的安全问题物理实体引发的安全问题（1 1）设备的功能失常设备的功能失常2 2）电源故障电源故障3 3）由于电磁泄漏引起的信息失密由于电磁泄漏引起的信息失密4 4）搭线窃听搭线窃听2 2自然灾害的威胁自然灾害的威胁3 3黑客的恶意攻击黑客的恶意攻击4 4软件的漏洞和软件的漏洞和“后门后门”5 5网络协议的安全漏洞网络协议的安全漏洞6 6计算机病毒和蠕虫的攻击计算机病毒和蠕虫的攻击3l2买方（消费者）面临的安全威胁：买方（消费者）面临的安全威胁：l（1）虚假订单）虚假订单l（2）付款后收不到商品）付款后收不到商品l（3）机密性丧失）机密性丧失l（4）拒绝服务）拒绝服务5l电子商务在电子商务在Internet实现了实现了“物流、信息流、物流、信息流、资金流资金流”三者的统一，流动的是金钱和财富三者的统一，流动的是金钱和财富（信息）。

金钱和财富刺激着有人去冒险，不（信息）金钱和财富刺激着有人去冒险，不管安全技术发展到何等完善的地步，对安全的管安全技术发展到何等完善的地步，对安全的威胁永远存在因此，对电子商务的安全威胁威胁永远存在因此，对电子商务的安全威胁应时刻警惕应时刻警惕61.1 电子商务安全问题电子商务安全问题问题问题问题问题数据被非法截获、读取或者修改数据被非法截获、读取或者修改 冒名顶替和否认行为冒名顶替和否认行为 一个网络的用户未经授权访问了一个网络的用户未经授权访问了另一个网络另一个网络 计算机病毒计算机病毒 措施措施措施措施数据加密数据加密 数字签名、加密、认证等数字签名、加密、认证等 防火墙防火墙计算机病毒防治措施计算机病毒防治措施 71.2 安全需求安全需求电子商务的安全需求包括两方面：电子商务的安全需求包括两方面：电子商务的安全需求包括两方面：电子商务的安全需求包括两方面：v 计算机网络系统的安全计算机网络系统的安全v 电子交易中的信息安全需求电子交易中的信息安全需求81.2 电子商务的安全需求电子商务的安全需求1、电子交易的安全需求l电子交易安全则紧紧围绕传统商务在互联网络电子交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在网络安全的上应用时产生的各种安全问题，在网络安全的基础上，保障以电子交易和电子支付为核心的基础上，保障以电子交易和电子支付为核心的电子商务过程的顺利进行。

即实现电子商务的电子商务过程的顺利进行即实现电子商务的保密性、完整性、可认证性、不可拒绝性、不保密性、完整性、可认证性、不可拒绝性、不可伪造性和不可抵赖性可伪造性和不可抵赖性91.2 电子商务的安全需求电子商务的安全需求（1 1 1 1）身份的可认证性）身份的可认证性）身份的可认证性）身份的可认证性 在双方进行交易前，首先要能在双方进行交易前，首先要能确认对方的身份确认对方的身份，要求交，要求交易双方的身份不能被假冒或伪装易双方的身份不能被假冒或伪装2 2 2 2）信息的保密性）信息的保密性）信息的保密性）信息的保密性 要对敏感重要的商业信息进行要对敏感重要的商业信息进行加密加密，即使别人截获或窃，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露机密信息难以被泄露 1、电子交易的安全需求、电子交易的安全需求101.2 电子商务的安全需求电子商务的安全需求1 1、电子交易的安全需求、电子交易的安全需求（3 3 3 3）信息的完整性）信息的完整性）信息的完整性）信息的完整性 请给丁汇100元乙乙甲甲请给丁汇100元请给丙汇100元丙丙请给丙汇100元 交易各方能交易各方能够够验证收到的信验证收到的信息是否完整息是否完整，即，即信息是否被人篡信息是否被人篡改过，或者在数改过，或者在数据传输过程中是据传输过程中是否出现信息丢失、否出现信息丢失、信息重复等差错信息重复等差错。

111.2 电子商务的安全需求电子商务的安全需求1 1、电子交易的安全需求、电子交易的安全需求（4 4 4 4）不可抵赖性）不可抵赖性）不可抵赖性）不可抵赖性 在电子交易通信过程的各个环节中都必须是在电子交易通信过程的各个环节中都必须是在电子交易通信过程的各个环节中都必须是在电子交易通信过程的各个环节中都必须是不可否认不可否认不可否认不可否认的，的，的，的，即交易一旦达成，发送方不能否认他发送的信息，接收方则即交易一旦达成，发送方不能否认他发送的信息，接收方则即交易一旦达成，发送方不能否认他发送的信息，接收方则即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息不能否认他所收到的信息不能否认他所收到的信息不能否认他所收到的信息 （5 5 5 5）不可伪造性）不可伪造性）不可伪造性）不可伪造性 电子交易文件也要能做到不可修改电子交易文件也要能做到不可修改电子交易文件也要能做到不可修改电子交易文件也要能做到不可修改 121.2 电子商务的安全需求电子商务的安全需求2. 2. 计算机网络系统的安全计算机网络系统的安全l网络安全的内容包括：网络设备安全、网络网络安全的内容包括：网络设备安全、网络系统安全、数据库安全等。

其特征是针对网系统安全、数据库安全等其特征是针对网络本身可能存在的安全问题，实施网络安全络本身可能存在的安全问题，实施网络安全增强方案，以保证网络自身的安全为目标增强方案，以保证网络自身的安全为目标13l网络安全与商务交易安全实际上是密不可分的，网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可没有网络安全作为两者相辅相成，缺一不可没有网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈基础，商务交易安全就犹如空中楼阁，无从谈起没有商务交易安全保障，即使网络本身再起没有商务交易安全保障，即使网络本身再安全，仍然无法达到电子商务所特有的安全要安全，仍然无法达到电子商务所特有的安全要求电子商务安全是以网络安全为基础但是，求电子商务安全是以网络安全为基础但是，电子商务安全与网络安全又是有区别的电子商务安全与网络安全又是有区别的14l首先，网络不可能绝对安全，在这种情况下，还需要首先，网络不可能绝对安全，在这种情况下，还需要运行安全的电子商务其次，即使网络绝对安全，也运行安全的电子商务其次，即使网络绝对安全，也不能保障电子商务的安全电子商务安全除了基础要不能保障电子商务的安全电子商务安全除了基础要求之外，还有特殊要求。

求之外，还有特殊要求l从安全等级来说，从下至上有网络基础设施安全、局从安全等级来说，从下至上有网络基础设施安全、局域网安全、域网安全、InternetInternet安全和电子交易安全之分安全和电子交易安全之分l其中，电子交易安全属于信息安全的范畴，涉及信息其中，电子交易安全属于信息安全的范畴，涉及信息的机密性、完整性、认证性等方面这几个安全概念的机密性、完整性、认证性等方面这几个安全概念之间的关系如图所示之间的关系如图所示15电子交易安全电子交易安全Internet安全安全内部网络安全内部网络安全网络基础设施网络基础设施安全安全图1-1 电子商务的信息安全层次结构162.1 防火墙防火墙l这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统l在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示2. 网络系统安全技术网络系统安全技术1718防火墙的功能防火墙的功能 l根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。

可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点l由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后19防火墙的必要性防火墙的必要性l随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”Internet已经成为信息化社会发展的重要保证已深入到国家的政治、军事、经济、文教等诸多领域许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理因此，难免会遭遇各种主动或被动的攻击例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等因此，网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化 20通过防火墙，设置在可信任的内部网络和不可信任的外界之间的一道屏障n通过安全政策控制信息流出入，防止不可预料的潜在的入侵破坏 n尽可能地对外界屏蔽和保护网络的信息和结构,确保可信任的内部网络的安全。

防火墙的必要性防火墙的必要性21防火墙的分类防火墙的分类 l常见的放火墙有三种类型：1、分组过滤防火墙；2、应用代理防火墙；3、状态检测防火墙l分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃l应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用实际中的应用网关通常由专用工作站实现l状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过22分组过滤防火墙分组过滤防火墙l数据包过滤可以在网络层截获数据使用一些规则来确定是否转发或丢弃所各个数据包l通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 23 分组过滤防火墙分组过滤防火墙分组过滤防火墙分组过滤防火墙24l一个可靠的分组过滤防火墙依赖于规则集，下表列出了几条典型的规则集。

l第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1允允许许10.1.1.1*TCP2允允许许*10.1.1.120*TCP3禁止禁止*10.1.1.120Security Logs”，察看日志纪录如图所示36案例案例2 用用WinRoute禁用禁用FTP访问访问 lFTP服务用TCP协议， FTP占用TCP的21端口，主机的IP地址是“172.18.25.109”，首先创建规则如表所示组组序号。