电子商务安全案例.ppt

普通高等教育普通高等教育“十一五十一五”国家级国家级规划教材规划教材（高职高专教育）（高职高专教育） 电子商务案例分析（第三版） 大连理工大学出版社第8章 电子商务安全案例 【【任任务及目及目标】】　　　　　　 了解网络信息的安全要素，明确电子商务安全的重大意义，掌握网络安全的防范措施，能利用数字证书、数字签名等技术进行安全的电子商务交易通过电子商务安全案例分析，培养学习者的安全意识，风险防范能力，安全技术的应用能力和实践精神8.1网络安全案例网络安全案例【【教学要求教学要求】】 了解电子商务网络安全的相关技术与防范措施，会分析案例中为保障网络安全所采用的相关软硬件以及技术解决方案，能够为企业电子商务网络安全建设提供合理化建议案例案例8-1 某法院网络安全案例某法院网络安全案例【【案例背景案例背景】】 随着某市中级法院电子政务广域网络平台的搭建，网络安全日益成为影响网络效能的重要问题，由于广域网络自身所具有的开放性和自由性等特点，在增加应用自由度的同时，对安全提出了更高的要求。

如何使网络信息系统不受黑客和病毒的入侵，已成为政府部门信息化健康发展所要考虑的重要问题【【案例简介案例简介】】 为了加强网站和内部网络的安全性，某市中院决定制定一整套网络安全策略，应用相应的网络安全产品，真正做到有备无患 该市中级人民法院广域网系统，主要包括市中级法院广域网络中心节点（1个）、５个区级法院，并实现了其他相关安全防御系统和相应6个本地网络的接入，最终构成一个安全、可靠、高效的分布式广域网络的法院电子政务系统支持平台【【案例简介案例简介】】 该市中级法院广域网络系统以市中级法院为核心、５个区级法院本地子网为节点，整个广域网络拓扑是一个典型的“星形”结构广域网的核心是中级法院局域网的Cisco7505路由器，通过防火墙，平滑完成5个区级法院局域网的接入；区级法院本地子网通过广域网，平滑完成现有的信息处理系统的接入该市中级法院广域网络系统是基于计算机、网络通信、信息处理技术、网络安全管理技术，并融入已建成的市中级人民法院信息系统，组成了一个高性能、大容量、高带宽的信息处理系统平台广域网信息平台上传输的信息包括数据库信息、监控系统信息、图形信息、文本信息以及将来可扩展的语音、视频信息等等各种信息。

【案例分析】 问题： 针对该法院的基本情况和业务需求，为了保障其网络安全，应采用哪些方法可以解决该法院的网络安全问题呢？【案例分析】 该法院根据网络的现实情况，选择了恰当产品，根据安全规划先行、分步实施的原则，对网络重新进行了规划，取得了良好的效果【案例分析】 （1）首先调整原有的网络结构，在广域网各个单位之间出口处安装了防火墙，并对中级人民法院核心节点对外提供服务的服务器群用RJ-iTopⅠ型联动式网络隐患扫描系统定期进行扫描，通过RJ-iTopⅠ型联动式扫描服务器及时对服务器群进行重点保护，并通过RJ-iTopⅠ型联动式手持扫描仪对各个分散的系统和设备进行扫描【案例分析】 （2）安装入侵检测系统，在防火墙的后面增加另一道安全防线，辅助防火墙进行入侵检测，进一步加强对服务器的保护，一旦有黑客透过防火墙对系统发起攻击，及时报警并切断攻击行为【案例分析】（3）加装防病毒系统防止病毒通过电子邮件、HTTP、FTP等方式进入该市中级法院广域网络中，通过适当配置，病毒过滤网关在完成对进出网流的病毒检测之后，对带毒文件进行杀毒或其他处理。

这种工作模式极大程度地控制了病毒的传染途径，因此保证了系统的安全【案例分析】 （4）除安装以上软硬件产品外，企业充分考虑了在安全防范中人的因素，通过提供详细的安装和使用说明，与网站管理员共同协商制定安全制度，实施定期的巡视服务，避免由于人员疏忽造成安全隐患5.2信息安全案例【【教学要求教学要求】】 了解电子商务信息安全的需求与防范措施，会分析目前主要的成功案例所采用的技术解决方案，能够为企业电子商务信息安全建设提供合理化建议8-2案例 某大学信息安全案例 【【案例背景案例背景】】 在各行业中，大学在信息化方面一直扮演着领头羊的角色，率先建立了校园网，并作为教育网的网节点某大学师生人数众多，拥有两万多台主机，上网用户也在2万人左右，而且用户数量一直成上升趋势校园网在为广大师生提供便捷、高效的学习、工作环境的同时，也在宽带管理、计费和安全等方面存在许多问题【【案例简介案例简介】】（1）IP地址及用户账号的盗用 由于校园网中用户数量众多，难免出现盗用他人IP地址和用户账号的行为，这就大大增加了学校网络管理的难度，IP地址冲突不断、用户无法正常上网，也给学校计费、缴费工作带来麻烦。

2）多人使用同一账号 由于某些计费软件功能相对简单，没有对同一账号同时登录次数进行限制，使得多个用户可以使用一个账号上网，造成了学校资费流失【【案例简介案例简介】】（3）网络计费管理功能的单一 随着校园网规模的不断扩大和用户群体的日益增多，原有的单一计费管理功能已不能满足要求4）对带宽资源的大量占用导致重要应用无法进行 对于每个学校来说，它的带宽资源都是有限的而上网人数的急增和各种各样游戏的流行使有限的带宽资源不堪重负，由于没有带宽限制和优先级设置，一些重要用户和重要应用得不到必要的带宽保证而影响了正常的教学和科研工作【【案例简介案例简介】】（5）访问权限难以控制 互联网上充斥了许多色情、暴力、反动信息，如何让学校、家长放心，使孩子尽量远离这些不良信息也是必须解决的一个问题6）安全问题日益突出 来自校园内部或外部的网络攻击行为不但会影响校园网的正常运行，还可能造成学校重要数据的丢失、损坏和泄露，给学校带来不可估量的损失【【案例简介案例简介】】（7）异常网络事件的审计和追查 当异常网络事件发生后，如何尽快的追根溯源，找出幕后“黑手”，防止事件的再次发生，成了网络维护人员不得不面对的棘手问题。

8）多个校区的管理和维护 由于现在校园网的规模越来越大，呈现出多校园、跨地区的特点，这就要求网络管理员能对分布在各个校区的管理、计费设备进行管理和维护，管理员的工作量相当大【案例分析】问题： 根据该大学的网络信息问题，其应该怎么进行信息安全的管理呢？ 【案例分析】 针对这些问题，该大学进行了一套完整的校园网宽带管理、计费方案该方案所采用的软、硬件是由信利自行研发的蓝信系列产品，包括：蓝信AC（访问控制系统）、蓝信AAA（管理、认证系统）、蓝信BL（计费系统）该方案提供了一个融合防火墙、接入服务器、访问控制、认证、计费功能的强大系统，该系统针对该大学原存在的每个问题都能提供完全的应对策略【案例分析】 （1）客户账号与IP地址、MAC地址、NAS设备地址和NAS端口绑定 系统将客户账号与客户使用的IP地址、MAC地址、连接的NAS设备地址和NAS端口进行四重绑定，极大的提高了客户行为的唯一性，有效的防止了IP地址和客户账号盗用现象的发生2）限定账号登录次数 系统对同一账号同时登录次数做出明确的限定，避免了多人次使用同一账号上网的现象。

【案例分析】 （3）完善计费管理功能 系统可以支持以账号为单位的三大类、十三种计费方式，不同种类用户可以选择不同计费方式此外，系统还能详细记录计费过程，以供用户打印计费清单、查阅详情；系统还根据客户的信用状况，设定对应的信用级别，采用不同的催费方式，实现欠费停机和强制下线功能对校园网中最常用的卡业务也完全支持【案例分析】 （4）带宽的限定和业务优先级的设定 系统能对每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源还能对不同的用户数据设定业务优先级（例如实验室、教师机房与学生宿舍、普通机房相区别），以保证重要数据能得到更好的服务 【案例分析】 （5）访问区域和访问时间的有效控制 系统能将用户可能访问的区域划分为国内、国外、校园网，并根据不同用户制定不同的访问规则和访问方式，使网络上的色情、暴力、反动信息远离校园6）内外网IP地址间的NAT功能 系统提供了内、外网IPNAT功能（地址转换功能），避免了内网IP地址的暴露，为不怀好意者对校园网的攻击增加了难度，减少遭受网络攻击的可能性。

【案例分析】 （7）强大的事件追查功能 系统中丰富的日志信息和便捷的追查工具能使网络管理员在面对异常事件时，能及时作出反应，迅速找出幕后“黑手”8）多校区远程管理功能 系统能同时对位于不同校区的NAS设备提供远程管理功能，在实现统一多个校区资费策略的同时还大大减少了网络管理员的工作量案例8-3 认证技术案例【【教学要求教学要求】】 了解基本的认证技术的工作原理与功能作用，掌握网上银行身份认证与交易的安全防范措施，能够为企业应用认证技术进行初步规划，并配合企业认证技术的开展与应用案例8-3某银行USB Key身份认证应用案例 【【案例背景案例背景】】 某国有银行始建于1908年，是中国早期四大银行之一，总行设在上海目前，该银行拥有辐射全国、面向海外的机构体系和业务网络在境内的分支机构有：27家省分行、7家直属分行、营业机构近3000个左右在纽约、东京、香港、新加坡、汉城设有分行，在伦敦、法兰克福设有代表处他们与全球100多个国家和地区的800家银行的总分支机构建立了代理行关系现在，全行员工5.5万人按总资产排名，该银行位列世界1000家大银行的前100位，已跻身全球银行百强行列。

【【案例简介案例简介】】 为了适应激烈的市场竞争，近年来该银行大力开展网上银行业务在短短的三年中，该银行完成了网上银行的整体框架构建，形成了以特色信用卡、全国通、外汇宝、基金买卖等功能为支撑的网上银行服务体系和以普通版、大众版、专业版为特征的对公网上银行服务体系，并实现了网上银行的功能完善和业务量的快速增长然而，随着钓鱼网站、专业偷盗银行账号和密码的木马程序“网银大盗”的泛滥，人们对网上银行的安全性越来越表示质疑怎样才能加强系统应用的安全性，提升人们对网上银行的信任度，成为各家银行网上银行业务中最为亟待解决的问题当然，该银行也面临同样的问题【【案例简介案例简介】】 通常国内网上银行都会分为大众版和企业版两个版本，它们的本质区别在于安全级别不同用户只要凭借身份证号码、账号和密码就可以在网上自助开通大众版网上银行，操作简便，手续极为简单，但运行后安全保密性较差，唯一的防护措施就是客户在开通时自行设置的登录密码和付款密码而申请专业版网上银行就要复杂得多，首先需要用户本人到银行网点进行业务申请，通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移【【案例简介案例简介】】 数字证书是网上银行业务中确认用户身份的唯一标志，具有不可复制性和不可替代性，所有网上交易必须要事先通过数字证书进行安全认证，它可以看作是用户的网上身份证。

既然是网上身份认证的唯一标志，确保其安全性就至关重要普通个人用户常把数字证书存储在电脑硬盘中，这种做法的危险性不言而喻对于资金交易量较大的企业用户，为了确保其资金安全，该银行强制要求使用更加安全的存储介质以达到更加有效的资源访问控制经过充分的测试和详细的比较后，他们选择SafeNet iKey2032作为其网上银行企业客户的身份验证工具【【案例简介案例简介】】SafeNet iKey2032之所以在这样一家大型国有银行竞标中胜出的原因主要 源 于 其 突 出 的 产 品 特 性 iKey2032是一款基于USB接口的可移动身份认证设备，专门针对银行业或其它数字证书用户【案例分析】 问题： 该银行采用的数字签名和PKI体系，可生成并储存私钥和数字证书，可以满足个人身份认证安全级别要求，那么这些技术具体是如何实现其客户身份认证的呢？【案例分析】（1）用双因素认证方式替代不可靠的口令分析 iKey2032系列采用双因素认证机制，用户需要通过iKey硬件和相对应的PIN码两方面共同确认身份，其安全性、可靠性远远高于仅靠密码保护的传统口令认证方式作为一种智能卡技术的延伸，用户在使用iKey2032产品时，无需购置昂贵的读卡器设备，只需要将它插入电脑USB口即可进行用户身份确认。

【案例分析】（2）硬件实现加密算法确保系统安全性 iKey2032系列支持公钥体系，可在iKey内部生成密钥对，存储密钥对和X.509数字证书，以及在iKey内部执行签名操作iKey硬件内部生成密钥对，私钥从生成、管理到销毁始终在Key硬件内部完成，消除了密钥外流的危险性目前，iKey2032系列通过了FIPS140-1, Level 2级认证，该认证为美国最权威的安全产品认证【案例分析】（3）支持多个CA和PKI应用 通过与众多软硬件供应商建立战略合作关系，SafeNet iKey2032具备了广泛的安全解决方案支持能力ikey2032支持多种CA和Microsoft、 Entrust、 Computer Associates、VeriSign等公司提供的众多PKI应用另外，由于iKey2032系列支持PKCS#11和Microsoft CryptoAPI，可以方便地与其他多种客户端应用相互集成【案例分析】（4）应用简单，携带方便 iKey2032外形小巧、携带方便，用户可以把iKey2032挂在钥匙串上随身携带，因而极大提高了使用的方便性和灵活性。

另外，iKey2032支持热插拔，当拔出iKey2032后，系统对话自动关闭【案例分析】 为了更好地满足该银行对网上银行认证的需求，SafeNet专门定制设计了用户登陆界面和产品外观从2004年1月正式启用，到目前为止，该银行总部及各分行已经共计采购iKey2032已超过2万只，各分行反映应用效果良好现在，该银行正计划将iKey2032 USB Key从企业客户向个人客户推广。