电子商务系统的安全措施培训教程PPT课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,电子商务系统的安全措施培训教程,为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，主要包括鉴别服务、访问控制服务、机密性服务、不可否认服务等3.1,数据安全,3.2,网络安全性,3.3,应用系统安全,3.1,数据安全,我们将源信息称之为明文为了保护明文，将其通过某种方式变换成局外人难以识别的另外一种形式，即密文这个变换处理的过程称之为加密密文可以经过相应的逆变换还原成为明文仅变换处理的过程称之为解密整个加密和解密过程可以用图,3-1,来表示明文通过加密变换成为密文，网上交易的各方使用密文进行通信，密文通过解密还原为明文图,3-1,加密和解密,3.1.1,传统密码体制,3.1.1.1,概述,传统密钥密码体制的特点是无论加密还是解密都共用一把密钥，即加密密钥和解密密钥相同（,ke,kd,）。

加密算法是将字母位置按照顺序向后移动,4,位，并一一对应，,4,就是加密密钥解密密钥也是,4,，但是解密算法是加密算法的逆运算保密的关键就是密钥，只要密钥不泄露，仅仅知道算法要想破译密文还是有一定困难的3.1.1.2 DES,加密算法,DES,，即,Data Encryption Standard,（数据加密标准），它是分组密码的一个典型代表采用多次位与代替相组合的处理方法DES,加密算法可分为加密处理、加密变换及子密钥的生成几个部分加密过程可用数学公式表示如下：,DES,的解密与,DES,的加密一样，只不过是子密钥的顺序相反3.1.1.3,传统密钥密码体制的分类和工作原理,传统密钥密码体制中，密码按加密方式不同可以分为序列密码与分组密码著名的,DES,算法就属于分组加密算法1,序列密码的工作原理,序列密码的工作原理非常直观图,3-2,序列密码的加密过程,图,3-3,序列密码的解密过程,2,分组密码的工作原理,图,3-4,分组密码的工作原理,3.1.2,公开密钥密码体制,传统的对称密钥密码体制，特点是加密密钥等于解密密钥（,ke=kd,），但无法解决密钥分发问题，这是传统密钥密码体制的缺陷。

公开密钥密码体制的特点是加密密钥不等于解密密钥（,ke,kd,），并且在计算上不能由加密密钥推出解密密钥，所以将加密密钥公开不会危害解密的安全，也就不需要一条额外的保密通道来传送密钥了用户的加密密钥与解密密钥不再相同，而且从加密密钥求解密密钥是非常困难的3.1.2.1 RSA,加密体制,RSA,体制是第一个成熟的、迄今为止理论上最为成功的公开密钥密码体制1,RSA,算法的理论基础,RSA,算法运用了数论中的,Euler,定理，即,a,、,r,是两个互素的正整数，则,az,1,（,mod r,），其中,z,为与,r,互素且不大于,r,的正整数的个数（即,Euler,函数）2,RSA,算法的实施,设计密钥（,e,，,r,）和（,d,，,P,，,Q,）,(2),设计密文,(3),恢复明文,3,素数的检测,素数检测的方法可分为两大类：一为概率方法，二为确定性方法3.1.2.2,良好隐私加密算法（,PGP,）,1,PGP,简介,PGP,是一个基于公开密钥加密算法的应用程序,PGP,加密算法有以下几个特点：,加密速度快,可移植性出色,源代码是免费的，可以削减系统预算2,PGP,加密算法的功能,(1),加密文件,(2),密钥生成,(3),密钥管理,(4),收发电子函件,(5),数字签名,(6),认证密钥,3,PGP,加密算法构成,PGP,加密算法包括四个方面：,(1),一个私钥加密算法（,IDEA,）,(2),一个公钥加密算法（,RSA,）,(3),一个单向散列算法（,MD5,）,(4),一个随机数产生器,4,PGP,工作过程,3.2,网络安全性,3.2.1,网络安全规划,3.2.1.1,威胁评估,非授权访问,信息泄露,拒绝服务,3.2.1.2,分布式控制,实现网络安全的一种方法，是将一个大型网络中各段的责任和控制权分配给单位内部的一些小组。

3.2.1.3,编写网络安全策略,网络用户的安全责任,系统管理员的安全责任,正确利用网络资源,检测到安全问题时的对策,3.2.2 Internet,网络服务及对策,3.2.2.1 Internet,网络服务,(1),电子函件,E-mail,服务,(2),文件传输服务,FTP,(3),远程登录服务,(4),网络新闻服务,(5)WWW,服务,Internet,的应用服务还包括电子购物、电子决策和信息提供服务等3.2.2.2,网络安全对策,(1),电子函件,E-mail,的安全对策,(2)WWW,服务器和客户间的安全对策,(3),实现应用服务的加密和签名技术,(4),把,Internet,接到企业信息网,Intranet,时要保证企业信息网的安全性,3.2.2.3,动态网络安全对策,图,3-5,P2DR,模型示意图,P2DR,模型包含,4,个主要部分：,Policy(,安全策略,),Protection(,防护,),Detection(,检测,),Response(,响应,),3.2.3,防火墙技术,3.2.3.1,基本概念,1,防火墙的概念,防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。

2,防火墙的实质,1,数据包过滤,数据包过滤是依据系统内设置的过滤逻辑通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或通过检查它们的组合来确定是否允许该数据包通过其实现原理如图,3-6,所示3.2.3.2,防火墙的分类及其原理,根据防范的方式和侧重点的不同，防火墙可分为三大类：,图,3-6,数据包过滤防火墙原理示意图,2,应用级网关,应用级网关（,Application Level Gateways,）是在网络应用层上建立协议过滤和转发功能图,3-7,应用网关防火墙原理示意图,3,代理服务,代理服务是针对数据包过滤和应用网关技术的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段应用层代理服务数据控制及传输过程如图,3-8,所示图,3-8,代理服务防火墙应用层数据控制及传输过程示意图,有屏蔽子网型防火墙是防火墙的基本类型，如图,3-9,所示图,3-9,有屏蔽子网型防火墙,在,Internet,和企业局域网之间接续多宿主机，作为代理中继，可以构成多宿主机型防火墙，如图,3-10,所示图,3-10,多宿主机型防火墙,保垒主机与分组过滤路由组合成功能较强的防火墙，如图,3-11,所示。

图,3-11,堡垒主机型防火墙,3.2.3.3,防火墙的优点与用途,(1),防火墙可以作为内部网络安全屏障2),防火墙限制了企业网,Intranet,对,Internet,的暴露程度3),防火墙是设置网络地址翻译器,NAT,的最佳位置3.2.3.4,虚拟私人网,VPN,3.2.3.5,主流防火墙产品介绍,(1),对应用程序的广泛支持,(2),集中管理下的分布式客户机,/,服务器结构,(3),状态监视技术,(4),远程网络访问的安全保障,(Fire Wall-1 SecuRemote),(5)SecuRemote,远程加密功能,(6),虚拟专用网络,(7),集成的、易操作的密钥管理程序,3.3,应用系统安全,3.3.1,计算机系统安全,计算机系统安全性是指特定端系统及其局域环境的保护问题，它与计算机系统的硬件平台、操作系统、所运行的各种应用软件等都有密切关系一个计算机系统的系统安全可能包含下述一些措施：,(1),确保安装软件中没有已知的安全弱点2),技术上确保系统具有最小穿透风险3),从管理上确保系统被穿透的风险极小化4),对入侵进行检测、审计和追踪3.3.1.1,安全性管理概述,计算机系统的安全性，就是要保证系统中的各种数据（包括用户数据和系统数据）不会受到任何形式的损害，如失窃、被破坏等等。

我们将要介绍的是各种流行版本的,UNIX,系统中广泛采用的安全性机制用户账号的管理用户组管理口令维护超级用户3.3.1.2,用户账号管理,用户账号作为某个用户能否使用一个系统的标志，在系统的安全性策略中占据重要的位置用户信息将记录在文件,/etc/passwd,中/etc/passwd,文件中有如下内容1,登录名称,2,口令,3,用户标识号,4,组标识,5,GCOS,域,6,用户注册目录,7,注册,shell,3.3.1.3,用户组管理,在,/etc/passwd,的第四个域中记录的是相应用户所属的用户组系统对用户组的管理采取的方法同对用户的管理是类似的：,UNIX,使用了一个名为,/etc/group,的数据库文件进行用户组的管理1,组名,2,口令,3,组标识,4,组中用户,3.3.1.4,口令维护,口令是系统安全性的第一道大门，也是最为重要的一道门坎口令的保密和维护不光是系统的事情，用户对此也应负起责任从用户角度而言，要想使自己的口令是安全的，不易被别人窃取，必须注意以下几个问题：,选择口令时应使口令尽可能离奇、古怪口令应尽可能比较长在不同的机器上最好使用不同的口令口令在网络上作为某种数据传送时一定要加密。

要经常地改变自己的口令,3.3.1.5,超级用户的管理,UNIX,系统中有一个享有至高无上权力的超级用户，通常以,root,的账号出现作为超级用户，他可以完成其他用户所不能完成的一些工作，如：文件系统的安装与拆卸；生成设备文件；设置系统时间；改变系统中任何文件的所有者、组以及访问权限；增大系统资源使用限额；对用户、组进行管理；配置各种外围设备；设置系统主机名称；关闭系统。