《电子商务安全智晟科技.ppt》由会员分享,可在线阅读,更多相关《电子商务安全智晟科技.ppt(49页珍藏版)》请在三一文库上搜索。
1、电子商务安全,,2019/7/15,2,主要内容,互联网安全的概述 加密技术 客户机的安全 通讯信道的安全 服务器的安全,2019/7/15,3,荷银客户巨额存款被盗 企业信息安全再引关注,2009年11月25日 荷兰银行日前发生客户巨额存款被盗事件,涉及金额达2000万人民币。针对此事11月24日荷兰银行对每日经济新闻表示“不作评论”,但此事所揭露出的金融系统安全隐患已经引起各方关注。 与此同时,普华永道24日发布的2010年全球信息安全状况调查显示,2009年企业安全事件数量呈现上升趋势,这正成为经济危机以来的一个新的挑战。,2019/7/15,4,2009企业遭电脑犯罪事件调查,2019
2、/7/15,5,纽约时报:中国黑客调查,代号为Majia的黑客熟练地敲了几下键盘,屏幕上就出现一个窗口,显示被攻击者的相关信息。Majia说:“这些电脑都感染了我的木马病毒,但电脑的主人还不知道。”Majia工作地点在长沙郊区的一幢简陋公寓。 互联网安全专家表示,中国有大量的像Majia一样的黑客,他们正发起越来越多的全球性黑客攻击,从而盗取信用卡信息、从事商业间谍活动,甚至对其他国家发起网络战。对一些网络攻击的追踪发现,攻击源自中国。 在中国、俄罗斯和部分东欧国家,黑客攻击已经成为一种全国性的问题,一些人从中牟取了巨额经济利益。在这些国家,有专门的黑客研讨会和黑客培训学校;黑客X档案和黑客防
3、线等杂志也大行其道,提供入侵系统、制造病毒的详细教程。 只要花上不到6美元,就可以买到一本黑客入侵手册。美国和其他国家也有类似的书籍出售,但数量没有这么多。,2019/7/15,6,消费者对网上购物的担心,由此造成的销售下降近50%,2019/7/15,7,阿喀琉斯之足,2019/7/15,8,计算机安全,所谓计算机安全,即要实现数据传输的保密性、完整性和即需(也称为拒绝服务)。 保密(secrecy):防止未授权的数据暴露并确保数据源的可靠性。 完整(integrity):防止未经授权的数据修改 即需(necessity)防止延迟或拒绝服务。,2019/7/15,9,安全策略,电子商务的安全
4、要求,2019/7/15,10,参与安全策略的制定,攻击者,防卫者,执法者,管理者,制定安全策略,组建,报告,角色分工,2019/7/15,11,Network security library,2019/7/15,12,安全策略的内容,认证 谁想防卫电子商务网站? 访问控制 允许谁登录电子商务网站并访问它? 保密 谁有权利查看特定的信息? 数据完整性 允许谁修改数据? 审计 何时由何人导致何事?,2019/7/15,13,特别关注企业内部,财务报表 产品设计图 新产品企划案 客户名单 成本分析表等,2019/7/15,14,加密技术,最早的加密 公元前1900年 在埃及小镇发现加密墓志铭,2
5、019/7/15,15,加密技术之散列编码,用散列算法求出某个消息散列值的过程 消息的指纹 对每条消息都是唯一的 由不同消息计算出同一散列值的概率很小 对判别信息是否被改变十分方便 如果信息被改变,原散列值就会与由接受者所接消息计算出的散列值不符 数字摘要,2019/7/15,16,数字摘要,采用单向Hash函数对文件进行变换运算得到摘要码,并把摘要码和文件一同送给接收方,接收方接到文件后,用相同的方法对文件进行变换计算,用得出的摘要码与发送来的摘要码进行比较来断定文件是否被篡改。,2019/7/15,17,加密技术之对称加密,对称加密技术 小张和小李都知道共同的密钥 用同一个密钥加解密 少数
6、人之间进行临时安全通讯 必须保证密钥安全,2019/7/15,18,转置,不改变信息,只是重新安排位置 五世纪,斯巴达人的加密系统,2019/7/15,19,置换,置换字母 公元6世纪,罗马皇帝,2019/7/15,20,常用置换:一次性数表,发送者与接收者拥有一套相同的随机数表 数字n意味着用字母表中后n个字母来置换,2019/7/15,21,DES(data encryption standard),DES=数据加密标准 对称加密系统 加解密使用相同密钥 密钥决定置换操作次序 由硬件实现,只有密钥是可变的 IBM在70年代开发的 无级别政府通讯的指定标准,金融交易的事实标准,2019/7/
7、15,22,加密技术之非对称加密,加解密用不同的两个密钥 加密用公钥e,解密用私钥d 公钥e可以从公开渠道获得 RSA算法 数字签名,2019/7/15,23,数字签名,最早的伪装,2019/7/15,24,数字签名 只有信息的发送者能产生的,加密后别人无法伪造的一段数字串,该数字串同时是信息真实性的有效凭证。,概念,2019/7/15,25,报文,发送方,固定位数 报文摘要值,Hash函数计算,接收方,发送方 私钥加密,Hash函数计算报文摘要值、用发送方公钥解密对比,数字签名,2019/7/15,26,公共密钥基础结构PKI,?如何保证获得的公钥是合法的,真实的 认证中心CA是可信的第三方
8、,负责授予数字证书,上有CA数字签名的公钥 发证书前中心会核实申请者的身份 认证中心CA: Verisign、Entrust、RSA、Cybertrust 中国数字认证网,2019/7/15,27,客户机的安全威胁,可乘之机 活动内容 Cookie 攻击 特洛伊木马 窃取客户机上的保密信息 改变或删除客户机上的信息 幽灵Zombie 秘密接管一台计算机,从这台计算机上发起对其他计算机的攻击 窃取Cookie信息 客户机的物理安全,2019/7/15,28,活动内容,嵌在页面上并对用户透明的程序 可以完成一些动作,丰富了页面 将计算密度大的活动分布到多台计算机上执行 活动内容: Java小应用程
9、序 Active X控件 JavaScript VBscript 图形、浏览器插件、邮件附件等,2019/7/15,29,Active 插件或控件,2019/7/15,30,2019/7/15,31,Cookie,使用方式 可以存储在客户机上 也可在会话浏览中创建、使用并删除 可收集或储存 任何信息,2019/7/15,32,保护,做好备份 下载时查看数字证书 浏览器禁用活动内容和Cookie 及时更新防病毒软件,免费的Cookie管理软件:识别、管理、显示和删除Cookie,2019/7/15,33,通信信道的威胁,对保密性的安全威胁 探测程序 “后门” 服务器短时转换 对完整性的安全威胁
10、破坏他人网站 电子伪装 钓鱼攻击 对即需性的安全威胁,2019/7/15,34,保护通讯信道,保密 加密技术 SSL SET 完整 散列算法、数字签名 即需 防黑客软件,2019/7/15,35,安全套接层协议SSL (Secure Socket Layer),由Netscape公司开发,保证通信安全的国际电子支付安全标准协议,也一是国际上最早的一种电子商务安全协议。 处于应用层与传输层之间 采用公开密钥体制和数字证书技术保护信息传输的机密性和完整性 “表单签名”,不可否认性,2019/7/15,36,客 户 浏 览 器,商 家 服 务 器,银 行 网 络,商品信息,信用卡号、订单,交易完成信
11、息,安全通道,传统的银行清算,基于SSL的电子交易流程,2019/7/15,37,基于SSL的电子交易流程,SSL如何建立安全信息通道? 1、客户通过网络向商家握手,商家回应 2、加密方式的选择 3、身份识别 4、会话密钥的确定 5、电文传输,2019/7/15,38,SSL协议实现简单,被大部分的浏览器和Web服务器所内置,便于在电子交易中应用。国际著名的电子货币CyberCash信用卡支付系统就支持这种简单加密模式,IBM等公司也提供这种简单加密模式的支付系统。 SSL并不能协调各方间的安全传输和信任关系,因此,为了实现更加完善的电子交易,MasterCard和Visa以及其他一些IT业界
12、厂商制定并发布了SET协议。,2019/7/15,39,安全电子交易协议SET (Secure Electronic Transaction),SET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性。 用到了对称密钥系统、公钥系统、数字签名、数字信封、双重签名、身份认证等技术; 消费者、在线商店、支付网关都通过CA来验证通信主体的身份。 对购物信息和支付信息采用双重签名,保证商户看不到信用卡信息,银行看不到购物信息; 速度偏慢,但是进行电子商务的最佳协议标准,主要适用于B-C模式,2019/7/15,40,SET的交易流程,持 卡 人,特 约 商 店,收 单 银 行,确认商家的合
13、法性,商家的数字证书,数字证书、加密的 电子货币和订单信息,订单确认、交易完成,请求交易授权,确认授权信息,请求付款信息,确认付款信息,2019/7/15,41,保护服务器,身份认证 口令、数字证件、位置认证、生物测定、访问权限 防火墙 主动防御系统(蜜罐) 诱骗、威慑、监测、研究,2019/7/15,42,防火墙(firewall),开放环境 (外部网络),私有环境 (内部网络),构造逻辑意义上的封闭私有网络,2019/7/15,43,防火墙的作用,作用 识别用户并进行登录管理 对进出行为进行访问控制 保护易受攻击的服务 控制对特殊站点的服务 对网络访问进行记录、统计和控制 对进出的保密信息
14、进行加解密,2019/7/15,44,防火墙的类型,包过滤路由器,缺点:不能鉴别不同的用户和防止IP地址盗用,优点:对用户来说是透明的,处理简单、速度快,易于维护,2019/7/15,45,防火墙的类型,应用网关,Internet,路 代 由 理 器 服 务 器,内部服务器,缺点:速度慢,不允许用户直接访问网络,透明性差,优点:比包过滤式防火墙更为安全,可靠,详细记录所有访问状态信息,2019/7/15,46,防火墙的类型,线路网关(Circuit-level Gateway) 也叫会话网关,不允许进行端对端的连接,需要通过建立两个TCP连接。 堡垒主机 作为应用网关或线路网关的平台,是一个专门的系统,有特殊装备,可以抵御攻击。,2019/7/15,47,防火墙在金融网络中的配置1,Internet,包过滤 路由器,Web 服务器,堡垒 主机,专用网 主机,专用网 主机,专用网 主机,2019/7/15,48,防火墙在金融网络中的配置2,Internet,包过滤 路由器,Web 服务器,堡垒 主机,专用网 主机,专用网 主机,专用网 主机,2019/7/15,49,防火墙在金融网络中的配置3,Internet,包过滤 路由器,Web 服务器,堡垒 主机,内部 路由器,专用网,