电子商务关键技术-安全相关概要.ppt

电子商务概论 Ch3 电子商务关键技术 6 电子商务的安全 6 信息传递的安全隐患 网络硬件的安全缺陷 可靠性差、电磁辐射、电磁泄漏等 通信链路的安全缺陷 搭线、串音、数据截获 技术被动引起的网络安全缺陷 计算机的核心芯片多依赖于进口，不少关键网络设备也依赖于进口 缺乏系统的安全标准引起的安全缺陷 中国虽然已经有了一些网络安全标准，但还是很不完善 6 电子商务系统安全的内容 6 业务系统的安全解决方案 数字证书登录 表单域签名加密 数字时间戳服务 文档电子签名与加密 安全电子邮件 可信站点认证服务 软件代码签名 6.1 防火墙体系 防火墙体系 防火墙是Internet上的第一道安全屏障 防火墙是在专用网和互联网之间设置的安全系统，提供接入控制，可以干预两个网之间的任何消息传送 防火墙主要包括安全OS、过滤器、网关、域名服务和EMAIL处理 防火墙分为分组过滤网关、应用级网关、线路级网关 防火墙在Internet上的架构 6.1 防火墙体系 分组过滤网关（Packet Gateway) 又称包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上，所有信息都是以包的形式传输的，信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤信息包，那些不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。这是一种基于网络层的安全技术，对于应用层的黑客行为是无能为力的。 6.1 防火墙体系 应用级网关（Application Proxy） 又称代理服务器，接收客户请求后会检查验证其合法性，如其合法，代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全被封锁住。这一点对系统安全是很重要的，只有那些被认为“可信赖的”服务才允许通过防火墙。另外代理服务还可以过滤协议，如可以过滤FTP连接，拒绝使用FTP put(放置)命令，以保证用户不能将文件写到匿名服务器。 代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。 网络地址转换服务(NAT Network Address Translation)可以屏蔽内部网络的IP地址，使网络结构对外部来讲是不可见的。 6.1 防火墙体系 线路级网关(Circuit Gateway) 电路级网关又称线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息，如Syn、Ack和序列数据等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据，而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制，其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。 在不同方向上拒绝发送放置和取得命令，就可限制FTP服务的使用。如不允许放置命令输入，外部用户就不能写到FTP服务器破坏其内容；如不允许放置命令输出，则不可能将信息存储在网点外部的FTP服务器了。 电路级网关的防火墙的安全性比较高，但它仍不能检查应用层的数据包以消除应用层攻击的威胁。 6.1 防火墙体系 防火墙的安全业务 限制人们从一个特别的控制点进入 防止侵入者接近其它计算机系统 限定人们从一个特别的点离开 有效的阻止破坏者对计算机系统进行破坏 6.1 防火墙体系 防火墙的优点 防火墙能强化安全策略 执行站点的安全策略，仅仅容许认可的和符合规则的请求通过。 防火墙能有效地记录Internet上的活动 因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息 防火墙限制暴露用户点 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播 6.3 防火墙体系 防火墙的不足之处 不能防范恶意的知情者 如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙 不能防范不通过它的连接 如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵 不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 防火墙不能防范病毒 防火墙不能消除网络上的PC机的病毒 防火墙使用示例 联想防火墙产品 6.2 VP