《电子商务概论》第8章：电子商务安全.ppt

学习目标 了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 掌握防火墙的功能和工作原理 了解电子商务常用的加密技术 了解电子商务的认证体系 掌握SSL和SET的流程和工作原理 开篇案例：广东发展银行网络安全架构 从1998年开始，广东发展银行最初的网络安全体系就依据思科SAFE蓝图部署。SAFE主张，网络安全建设不能一蹴而就，而应该是一个动态的过程。所以在最初的部署中，思科主要协助广东发展银行解决了最突出的网络安全问题——网络对外连接出口的安全问题。 随着广东发展银行业务的迅速发展，尤其是近年来，用户纷纷把业务转移到网上进行，广东发展银行的网上业务呈几何数字增长。在这种情况下，广东发展银行提出，为了更好地抵御网上的非法访问，作好关键用户的网上认证，确保能够给用户提供不间断的高质量金融服务，必须要在原有的基础上，进一步加强银行在网络安全方面的部署。 通过分析广东发展银行的具体业务流程和网络结构，思科在SAFE蓝图指导下，针对广东发展银行的不同网段，分别实施了可以统一管理的不同安全措施，具体措施如下。 电子商务安全技术 8.1 电子商务安全 8.2 防火墙技术 8.3 数据加密技术 8.4 认证技术 8.5 安全技术协议 8.1 电子商务安全 8.1.1 电子商务的安全性问题 8.1.2 电子商务对安全的基本要求 8.1.3 电子商务安全措施 8.1.1 电子商务的安全性问题 1．在网络的传输过程中信息被截获 2．传输的文件可能被篡改 3．伪造电子邮件 4．假冒他人身份 5．不承认或抵赖已经做过的交易 8.1.2 电子商务对安全的基本要求 1．授权合法性 2．不可抵赖性 3．保密性 4．身份的真实性 5．信息的完整性 6．存储信息的安全性 8.1.3 电子商务安全措施 1．确定通信中的贸易伙伴身份的真实性 2．保证电子单证的保密性 3．确定电子单证内容的完整性 4．确定电子单证的真实性 5．不可抵赖性 6．存储信息的安全性 8.2 防火墙技术 8.2.1 防火墙的含义及其分类 8.2.2 防火墙技术 8.2.3 防火墙的安全策略及局限性 8.2.1 防火墙的含义及其分类 防火墙的含义 Internet是一个开放的世界,当内部网连上Internet，它的用户能访问Internet，非内部网用户也能通过Internet访问内部网，实现一些非法操作如：盗取重要资料、破坏文件等。这对于没有受到任何保护的内部网用户来说无疑是一种灾难。 人们经常在建筑物之间修建一些墙壁，以便在火灾发生时，火势不至于从一幢建筑蔓延到别一幢建筑，这些墙被称为“防火墙”。与此类似，我们可以在内部网和Internet之间设置一堵“防火墙”以保护内部网免受外部的非法入侵。 在网络世界中，防火墙是被配置在内部网和外部网之间的系统，通过控制内外网络间信息的流动来达到增强内部网络安全性的目的。防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。 防火墙的分类 防火墙的功能 防火墙的分类 路由器：定义了一系列的包过滤规则。规则以IP信息包为基础，对报文中的IP源地址、IP目标地址、封装协议、端口等进行筛选，决定是否要屏蔽此报文。优点是简单廉价，缺点是规则复杂。 代理服务器：通过执行特殊的TCP/IP协议，为内部网用户提供Internet服务。它是一个应用层网关。优点是安全性高，缺点是速度和应用受限。 四种最基本的防火墙技术 (1)过滤性网关 (2)电路层网关 (3)应用层网关 (4)状态检查 防火墙的功能 防火墙可以保护计算机免受以下几类攻击： 未经授权的内部访问：外网用户访问内网用户。 危害证明：用非法手段取得访问权限。 未经授权的外部访问：内网用户访问外网用户。 电子欺骗：伪装的Internet用户进行远程登录。 特洛伊木马：在合法文件中隐藏非法指令来达到进行破坏的目的。 渗透：通过一个假装的主机隐蔽其攻击意图。 泛洪：用增加访问服务器次数的方法，使其过载。 8.2.2 防火墙技术 防火墙系统设计 机构的整体安全策略：安全策略必须完整、全面，保证防火墙系统不会被迂回过去。 防火墙的经济费用：根据经济能力和实际情况选择合适的防火墙。 防火墙系统的组成：由包过滤路由器、应用层网关（或代理服务器）、电路层网关等组成。 包过滤路由器 应用层网关防火墙 电路层防火墙 包过滤路由器 审查每一个数据包以便确定是否与某一条包过滤规则相匹配。决定允许或拒绝所接收的每个数据包。 应用层网关防火墙 应用层网关能够实现比包过滤路由器更严格的安全策略。它常常被称作堡垒主机，在其上安装各种代理软件，分别针对不同的