收藏
下载资源 加入VIP免费专享

第五章电子商务网站常用防御方法要点课件.ppt

上传人:牧羊曲112 文档编号:4091510 上传时间:2023-04-03 格式:PPT 页数:60 大小:2.48MB
返回 下载 相关 举报
第五章电子商务网站常用防御方法要点课件.ppt_第1页
第1页 / 共60页
第五章电子商务网站常用防御方法要点课件.ppt_第2页
第2页 / 共60页
第五章电子商务网站常用防御方法要点课件.ppt_第3页
第3页 / 共60页
第五章电子商务网站常用防御方法要点课件.ppt_第4页
第4页 / 共60页
第五章电子商务网站常用防御方法要点课件.ppt_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《第五章电子商务网站常用防御方法要点课件.ppt》由会员分享,可在线阅读,更多相关《第五章电子商务网站常用防御方法要点课件.ppt(60页珍藏版)》请在三一办公上搜索。

1、2023/4/3,电子商务安全,1,第五章 电子商务网站常用防御方法,2023/4/3,电子商务安全,2,本章主要内容:,本章主要内容:防火墙(Firewall)工作原理 非军事区域(DMZ)概念 虚拟专用网(VPN)入侵检测系统(IDS)认证,2023/4/3,电子商务安全,3,一、防火墙(Firewan),(一)防火墙的工作原理 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙主要有三种类型:包过滤防火墙、代理服务器防火墙和应用层网关防火墙。,2023/4/3,电子商务安全,4,1包过滤防火墙,包过滤防火墙主要有两种实现方

2、式:基于路由器的防火墙和基于独立运行软件(如Packet Filter)的防火墙。下面主要介绍基于路由器的防火墙。包是网络上信息流动的单位。每个包有两个部分:数据部分和包头。包头中含有源地址和目标地址的信息。优点:透明性好,简单易用,费用低。缺点:设置繁多,易留下安全漏洞。,2023/4/3,电子商务安全,5,1包过滤防火墙,包过滤路由器防火墙可能遇到的攻击方式:(1)源IP地址欺骗(2)源路由攻击(3)微小碎片攻击,包过滤防火墙,2023/4/3,电子商务安全,6,2代理服务器(Proxy Server)防火墙,在Internet网络和Intranet互连时,广泛采用一种称为代理服务的工作方

3、式,使Internet用户在访问Intranet的同时,提供的是一种类似网关的代理服务器型防火墙。优点:代理服务可提供详细的日志(Log)和审计(Audit)记录,提高了网络的安全性和可靠性。缺点:不能处理高负荷通信量,且对用户的透明性不好。,2023/4/3,电子商务安全,7,3应用层网关防火墙,应用层网关防火墙可使网络管理员实现比包过滤路由器防火墙更严格的安全策略。应用层网关不使用包过滤工具来限制Internet服务进出防火墙系统,而是采用为每种所需服务在网关上安装专用程序代码,否则该服务就不被支持且不能通过防火墙来转发。网络的安全性比较高。过程复杂、费用比较高、透明性差、限制严格,使用带

4、来不便。,2023/4/3,电子商务安全,8,(二)防火墙规则集,设计规则集的基本过程:1拒绝一切未特别允许的连接 彻底分析每个系统和网段确定实现它们的功能所需要的服务和连接。2常见通信的常用端口 确定每个服务器和网段需要什么端口和协议。3将伪代码转换成防火墙规则 查看手册,确定特定的方法和要求。4协议和风险:作出最佳决策 需要保证只允许了必要的协议,并且只能用于需要它们的服务器和网段。,2023/4/3,电子商务安全,9,二、非军事区域(DMZ),(一)DMZ的概念(二)非军事区域的设置(三)电子商务非军事区域的实现(四)多区网络存在的问题,2023/4/3,电子商务安全,10,(一)DMZ

5、的概念,DMZ(demilitarized zone)的定义:是指为不信任系统提供服务的孤立网段,它是两个防火墙之间的网段。DMZ网段的创建方法通常有两种。1.两个防火墙的DMZ 系统放置在有不同规则的两个防火墙之间,这就能允许Internet上的系统连接到DMZ系统提供的服务,但不能连接到企业内部网段(通常叫做受保护网络)中的电脑。,2023/4/3,电子商务安全,11,二、非军事区域(DMZ),图示为:两个防火墙的DMZ,2023/4/3,电子商务安全,12,二、非军事区域(DMZ),2.单个防火墙的DMZ(如上图)实现DMZ网段的方法是在防火墙上实际增加第三个接口,并将DMZ系统放置在那

6、个网段。允许同一个防火墙管理Internet。降低了硬件的花费,集中了网络的规则集,使管理和处理问题更容易。现在已成为创建DMZ网段的主要方法。,2023/4/3,电子商务安全,13,DMZ目的:就是把敏感的内部网络和其他提供访问服务的网络分离开,为网络层提供深度的防御。DMZ作用:防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据。相反,在Internet和企业内部网之间的通信数据通常是不受限制的。,2023/4/3,电子商务安全,14,(二)非军事区域的设置,安全的DMZ配置,2023/4/3,电子商务安全,15,(二)非军事区域的设置,DMZ是放置公共信息的最佳位置,把没有包

7、含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息,而不用通过内部网。企业的机密和私人的信息可以安全地存放在内部网中,即DMZ的后面。,2023/4/3,电子商务安全,16,(二)非军事区域的设置,可以在下列系统中装入非军事区域(DMZ)安全网络:载有公共信息的网络服务器。与电子商务交易服务器相连接的前端机,该前端机用来接收客户订单。存放客户资料的后端应置于防火墙之后。把外来电子邮件中转至内部的邮件服务器。可据此进入内部网络的证书服务及服务器。虚拟专用网络上的各端点。应用(层)网关。测试及登录服务器(根据系统要求或用户

8、请求,使数据从一个脱机或优先权低的设备返回到一个联机的或优先权高的设备的过程)。,2023/4/3,电子商务安全,17,(三)电子商务非军事区域的实现,网络存储顾客信息和金融数据与存储商业处理的普通信息的需求是不同的。很多网站通过实现一个多网段结构来更好地管理和安全化商业信息。第一个网段是用于信息存储的,第二个网段则是特别用于商业信息的处理的。,电子商务系统中DMZ的实现,2023/4/3,电子商务安全,18,(四)多区网络存在的问题,随着网站的成长,要提供新的功能,可能需要建立新的区。重复上面的过程,建立管理这些新网段的规则集。注意事项:一定要监视和检查任何变动,备份旧的规则集以备紧急的时候

9、需要回复过去。管理原则:创建和管理诸如防火墙、IDS入侵检测系统(即Intrusion Detection System)签名和用户访问规则之类的安全控制是个很大的任务,在不损害安全和可用性的前提下要尽可能地简化这些过程。,2023/4/3,电子商务安全,19,2023/4/3,电子商务安全,20,三、虚拟专用网(VPN),Internet,Intranet内部网,信息,防火墙,VPN,2023/4/3,电子商务安全,21,三、虚拟专用网(VPN),虚拟专用网(VPN)目的:通过Internet或其他线路(如私有网络和租用的线路等)在公司外地雇员、驻外机构、公司总部及其相关企业和组织机构之间建

10、立一个信息传输的安全通道,以保证所传输信息的安全性和完整性,并设置用户对特定资源的访问权限。,2023/4/3,电子商务安全,22,三、虚拟专用网(VPN),(一)技术(二)IPSec协议,2023/4/3,电子商务安全,23,(一)VPN技术,VPN(Virtual Private Network,即虚拟专用网络)概念:通过一个公共网络(通常是Internet)建立一个临时的、安全的与内网的连接。作用:安全连接。可以帮助远程用户与公司的内部网建立可信的安全连接,并保证数据的安全传输。成本较低。即大幅度地减少用户花费在WAN上和远程网络连接上的费用。管理方便。使用VPN将简化网络的设计和管理,

11、加速连接新的用户和网站。网络结构灵活。可以保护现有的网络投资。,2023/4/3,电子商务安全,24,(一)VPN技术,VPN的功能:加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。信息认证和身份认证。保证信息的完整性、合法性,并能鉴别用户的身份。提供访问控制。不同的用户有不同的访问权限。,2023/4/3,电子商务安全,25,(一)VPN技术,VPN采用了多种安全技术和网络技术:安全隧道技术(Secure Tunneling Technology)。将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送人公共网络(如Internet)中,像普通数据包一样传输。经

12、过这样的处理,只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理,其他用户看到的只是无意义的信息,就像是在源端和目标端的用户之间建立了一个安全的信息专用隧道。,2023/4/3,电子商务安全,26,(一)VPN技术,隧道模式的VPN框架,2023/4/3,电子商务安全,27,(一)VPN技术,用户认证技术(User Authentication Technology)。在隧道连接开始之前需要确认用户的身份,以便于系统进一步实施资源访问控制或用户授权。访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息资源的提供者共同确定特定用户对特定资源

13、的访问权限,以此实现基于用户访问的访问控制,以实现对信息资源的最大限度的保护。,2023/4/3,电子商务安全,28,(一)VPN技术,隧道模式的VPN框架示意图VPN隧道组成:一个隧道启动器;一个路由网络(Internet);一个可选的隧道交换机;一个或多个隧道终结器。,2023/4/3,电子商务安全,29,(二)IPSec协议,IPsec主要提供IP网络层上的加密通信能力。IPsec组成:(1)IP security Protocol proper,定义IPsec报文格式。(2)ISAKMPOakley,负责加密通信协商。,2023/4/3,电子商务安全,30,(二)IPSec协议,IPs

14、ec采用的加密通信手段:(1)IPsec Tunnel:整个IP封装在Ipsec报文。提供IPsecgateway之间的通信。(2)IPsec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。,2023/4/3,电子商务安全,31,四、入侵检测系统(IDS)(即Intrusion Detection System),(一)入侵检测概念(二)基于主机的IDS(三)基于网络的IDS(四)入侵检测技术发展方向,2023/4/3,电子商务安全,32,(一)入侵检测概念,概念:通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的

15、行为和遭到袭击的迹象。作用:入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。,2023/4/3,电子商务安全,33,(一)入侵检测概念,主要任务:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。,2023/4/3,电子商务安全,34,(二)基于主机的IDS,基于主机的IDS主要用于运行关键应用层的服务器,它是早期的入侵检测系统。主要目标:

16、是检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或误用行为。检测原理:是根据系统审计记录和系统日志文件、应用程序日志、目录和文件的不期望改变、程序执行中的非正常行为等信息来发现系统是否存在可疑事件的。,2023/4/3,电子商务安全,35,(二)基于主机的IDS,基于主机的IDS之优点:基于主机的IDS可以从系统审计和事件日志中提取攻击信息,从而判断本地或远程用户是否做了系统的安全规则。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件立即进行反应。基于主机的IDS还可以针对不同的操作系统的特点判断应用层的入侵事件。,2023/4/3,电子商务安全,36,(二)基于主机的I

17、DS,基于主机的IDS之缺点:占用主机资源,在服务器上产生额外的负载。缺乏跨平台支持,可移植性差,因而应用范围受到严重限制。,2023/4/3,电子商务安全,37,(三)基于网络的IDS,网络环境下,单独依靠主机的审计信息进行入侵检测难以适应网络安全的需求。主要表现:主机的审计信息容易受到攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计;不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等);基于主机的IDS的运行或多或少地影响服务器的性能;只能对服务器的特定用户和应用程序的执行动作、日志进行检测,所能检测到的攻击类型有限。,2023/4/3,电子商务安全,38

18、,(三)基于网络的IDS,基于网络的IDS原理:基于网络的入侵检测IDS放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统认为受到攻击,就会发出通知、警报甚至直接切断网络连接。基于网络的IDS位置:基于网络的入侵检测IDS通常放置在防火墙的后面。,2023/4/3,电子商务安全,39,(三)基于网络的IDS,探测器可以安装在网络中重要的服务器、路由器或单独的主机上。,2023/4/3,电子商务安全,40,(三)基于网络的IDS,优点:实时性强。通过实时监视网络数据包和网络管理信息,来寻找具有网络供给特

19、征的活动。检测范围广。可以检测包括协议攻击和某些特定攻击在内的各种攻击。监视粒度更细。可移植性强。基于网络的入侵检测系统通常可以适合多种网络环境。具有服务器平台独立性。基于网络的入侵检测系统不会对服务器以及网络整体性能造成影响。,2023/4/3,电子商务安全,41,(三)基于网络的IDS,基于网络的入侵检测系统存在的缺点:只能监视经过本网段的活动,精确度不高。在交换网络环境下难以配置。防入侵欺骗的能力较差,难以定位入侵。,2023/4/3,电子商务安全,42,(四)入侵检测技术发展方向,入侵技术的发展与演化主要反映在下列几个方面:(1)入侵或攻击的综合化与复杂化。(2)入侵主体对象的间接化,

20、即实施入侵与攻击的主体的隐蔽性。(3)人侵或攻击的规模扩大。(4)入侵或攻击技术的分布化。(5)攻击对象的转移。,2023/4/3,电子商务安全,43,(四)入侵检测技术发展方向,三个方向发展:(1)分布式入侵检测。含义一是针对分布式网络攻击的检测方法;含义二是使用分布式的方法来检测分布式的攻击。(2)智能化入侵检测。使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。(3)全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安

21、全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方位对所关注的网络作全面的评估,然后提出可行的解决方案。,2023/4/3,电子商务安全,44,五、认证,(一)第三方认证(二)PKI组成(三)证书认证机构CA,2023/4/3,电子商务安全,45,(一)第三方认证,在电子商务中,必须从技术上保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据完整性。数字证书认证技术采用了加密传输和数字签名,能够实现上述要求,因此在国内外电子商务中,得到了广泛的应用。PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和

22、用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在Internet网上验证用户的身份。,2023/4/3,电子商务安全,46,(二)PKI组成,PKI(Public Key Infrastructure)即“公钥基础设施”。PKI在实际应用上是一套软硬件系统和安全策略的集合,它提供了一整套安全机制,使用户在不知道对方身份或分布地很广的情况下,以证书为基础,通过一系列的信任关系进行通信和电子商务交易。,2023/4/3,电子商务安全,47,(二)PKI组成,PKI组成:一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。其各部分作用如下:CA(Certif

23、icate Authority)用于签发并管理证书;RA(Registration Authority),数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作(安全审计)。同时,对发放的证书完成相应的管理功能(安全管理)。PKI存储库包括LDAP目录服务器和普通数据库,用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。,2023/4/3,电子商务安全,48,(三)证书认证机构CA,1数字证书基础 2发行证书的CA签名 3CA框架模型 4证书的申请和撤消 5证书管理 6密钥管理 7证书的使用,2023/4

24、/3,电子商务安全,49,1数字证书基础,CA(Certificate Authority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。数字证书是一种数字标识,是Internet上的安全护照或身份证明。,2023/4/3,电子商务安全,50,数字证书的格式,2023/4/3,电子商务安全,51,2发行证书的CA签名,证书第二部分包括CA的签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是不是由CA的签名密钥签署的。,2023/4/3,电子商务安全,52,3CA框架模型,证

25、书机构CA用于创建和发布证书,它通常为一个称为安全域(Securitv Domain)的有限群体发放证书。创建证书的时候,CA系统首先获取用户的请求信息,其中包括用户公钥(公钥一般由用户端产生,如电子邮件程序或浏览器等),CA将根据用户的请求信息产生证书,并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。如果一个CA系统是可信的,则验证证书的用户可以确信,他所验证的证书中的公钥属于证书所代表的那个实体。,2023/4/3,电子商务安全,53,3CA框架模型,CA还负责维护和发布证书废除列表CRL(Certificate Revocation Lists,又称

26、为证书撤销列表)。当一个证书,特别是其中的公钥因为其他原因无效时(不是因为到期),CRL提供了一种通知用户和其他应用的中心管理方式。CA系统生成CRL以后,要么是放到LDAP(目录访问协议,Lightweight Directory Access Protocol)服务器中供用户查询或下载,要么是放置在Web服务器的合适位置,以页面超级链接的方式供用户直接查询或下载。,2023/4/3,电子商务安全,54,3CA框架模型,典型CA框架模型,2023/4/3,电子商务安全,55,4证书的申请和撤消,证书的申请有两种方式,一是在线申请,另外一种就是离线申请。在线申请就是通过浏览器或其他应用系统通过

27、在线的方式来申请证书,这种方式一般用于申请普通用户证书或测试证书。离线方式一般通过人工的方式直接到证书机构证书受理点去办理证书申请手续,通过审核后获取证书,这种方式一般用于比较重要的场合,如服务器证书和商家证书等。,2023/4/3,电子商务安全,56,4证书的申请和撤消,在线申请步骤如下:用户使用浏览器通过Internet访问安全服务器,下载CA的数字证书(又叫做根证书),然后注册机构服务器对用户进行身份审核,认可后便批准用户的证书申请,然后操作员对证书申请表进行数字签名,并将申请及其签名一起提交给CA服务器。CA操作员获得注册机构服务器操作员签发的证书申请,发行证书或者拒绝发行证书,然后将

28、证书通过硬拷贝的方式传输给注册机构服务器。注册机构服务器得到用户的证书以后将用户的一些公开信息和证书放到LDAP服务器上提供目录浏览服务,并且通过电子邮件的方式通知用户从安全服务器上下载证书。用户根据邮件的提示到指定的网址下载自己的数字证书,而其他用户可以通过LDAP服务器获得他的公钥数字证书。,2023/4/3,电子商务安全,57,5证书管理,实际中的证书系统以树型结构存在,并根据需要和系统级别分为不同的层次。如一个全国性的证书系统,根CA集中控制,每一个省级单位可建立一个二级CA,市级地区可建立一个三级CA,依此类推,并根据需要和级别,在不同的CA处为用户颁发证书。,2023/4/3,电子

29、商务安全,58,6密钥管理,(1)密钥的产生:密钥对的产生是证书申请过程中重要的一步,其中产生的私钥由用户保留,公钥和其他信息则交于CA中心进行签名,从而产生证书。(2)密钥备份和恢复:PKI系统必须备份用于加密的密钥对,并允许用户进行恢复,否则,用于解密的私钥丢失将意味着加密数据的完全不可恢复。(3)密钥更新:对每一个由CA颁发的证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定,各CA系统的证书有效期限有所不同,一般为23年。,2023/4/3,电子商务安全,59,7证书的使用,在电子商务系统中,证书的持有者可以是个人、企事业单位、商家、银行等。完整的验证过程:将客户端发来的数据解密。将解密后的数据分解成原始数据、签名数据和客户证书三部分。用CA根证书验证客户证书的签名完整性。检查客户证书是否有效(当前时间在证书结构中的所定义的有效期内)。检查客户证书是否作废。验证客户证书结构中的证书用途。验证客户证书原始数据的签名完整性。如果以上各项均验证通过,则接受该数据。,2023/4/3,电子商务安全,60,思考题,1简述防火墙的工作原理。2描述包过滤防火墙的基本原理及特点。3描述代理防火墙的基本原理及特点。4DMZ的主要原理及实现方式有哪些?5什么是入侵检测系统?试比较基于网络的入侵检测系统和基于主机的入侵检测系统?6叙述PKI原理。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号