《电子商务安全-智晟科技.ppt》由会员分享,可在线阅读,更多相关《电子商务安全-智晟科技.ppt(49页珍藏版)》请在三一办公上搜索。
1、电子商务安全,主要内容,互联网安全的概述加密技术客户机的安全通讯信道的安全服务器的安全,荷银客户巨额存款被盗 企业信息安全再引关注,2009年11月25日荷兰银行日前发生客户巨额存款被盗事件,涉及金额达2000万人民币。针对此事11月24日荷兰银行对每日经济新闻表示“不作评论”,但此事所揭露出的金融系统安全隐患已经引起各方关注。与此同时,普华永道24日发布的2010年全球信息安全状况调查显示,2009年企业安全事件数量呈现上升趋势,这正成为经济危机以来的一个新的挑战。,2009企业遭电脑犯罪事件调查,纽约时报:中国黑客调查,代号为Majia的黑客熟练地敲了几下键盘,屏幕上就出现一个窗口,显示被
2、攻击者的相关信息。Majia说:“这些电脑都感染了我的木马病毒,但电脑的主人还不知道。”Majia工作地点在长沙郊区的一幢简陋公寓。互联网安全专家表示,中国有大量的像Majia一样的黑客,他们正发起越来越多的全球性黑客攻击,从而盗取信用卡信息、从事商业间谍活动,甚至对其他国家发起网络战。对一些网络攻击的追踪发现,攻击源自中国。在中国、俄罗斯和部分东欧国家,黑客攻击已经成为一种全国性的问题,一些人从中牟取了巨额经济利益。在这些国家,有专门的黑客研讨会和黑客培训学校;黑客X档案和黑客防线等杂志也大行其道,提供入侵系统、制造病毒的详细教程。只要花上不到6美元,就可以买到一本黑客入侵手册。美国和其他国
3、家也有类似的书籍出售,但数量没有这么多。,消费者对网上购物的担心,由此造成的销售下降近50%,阿喀琉斯之足,计算机安全,所谓计算机安全,即要实现数据传输的保密性、完整性和即需(也称为拒绝服务)。保密(secrecy):防止未授权的数据暴露并确保数据源的可靠性。完整(integrity):防止未经授权的数据修改即需(necessity)防止延迟或拒绝服务。,安全策略,电子商务的安全要求,参与安全策略的制定,攻击者,防卫者,执法者,管理者,制定安全策略,组建,报告,角色分工,Network security library,安全策略的内容,认证谁想防卫电子商务网站?访问控制允许谁登录电子商务网站并
4、访问它?保密谁有权利查看特定的信息?数据完整性允许谁修改数据?审计何时由何人导致何事?,特别关注企业内部,财务报表产品设计图新产品企划案客户名单成本分析表等,加密技术,最早的加密公元前1900年在埃及小镇发现加密墓志铭,加密技术之散列编码,用散列算法求出某个消息散列值的过程消息的指纹对每条消息都是唯一的由不同消息计算出同一散列值的概率很小对判别信息是否被改变十分方便如果信息被改变,原散列值就会与由接受者所接消息计算出的散列值不符数字摘要,数字摘要,采用单向Hash函数对文件进行变换运算得到摘要码,并把摘要码和文件一同送给接收方,接收方接到文件后,用相同的方法对文件进行变换计算,用得出的摘要码与
5、发送来的摘要码进行比较来断定文件是否被篡改。,加密技术之对称加密,对称加密技术小张和小李都知道共同的密钥用同一个密钥加解密少数人之间进行临时安全通讯必须保证密钥安全,转置,不改变信息,只是重新安排位置五世纪,斯巴达人的加密系统,置换,置换字母公元6世纪,罗马皇帝,常用置换:一次性数表,发送者与接收者拥有一套相同的随机数表数字n意味着用字母表中后n个字母来置换,DES(data encryption standard),DES=数据加密标准对称加密系统加解密使用相同密钥密钥决定置换操作次序由硬件实现,只有密钥是可变的IBM在70年代开发的无级别政府通讯的指定标准,金融交易的事实标准,加密技术之非
6、对称加密,加解密用不同的两个密钥加密用公钥e,解密用私钥d公钥e可以从公开渠道获得RSA算法数字签名,数字签名,最早的伪装,数字签名 只有信息的发送者能产生的,加密后别人无法伪造的一段数字串,该数字串同时是信息真实性的有效凭证。,概念,报文,发送方,固定位数报文摘要值,Hash函数计算,接收方,发送方私钥加密,Hash函数计算报文摘要值、用发送方公钥解密对比,数字签名,公共密钥基础结构PKI,?如何保证获得的公钥是合法的,真实的认证中心CA是可信的第三方,负责授予数字证书,上有CA数字签名的公钥发证书前中心会核实申请者的身份认证中心CA:Verisign、Entrust、RSA、Cybertr
7、ust中国数字认证网,客户机的安全威胁,可乘之机活动内容Cookie攻击特洛伊木马窃取客户机上的保密信息改变或删除客户机上的信息幽灵Zombie秘密接管一台计算机,从这台计算机上发起对其他计算机的攻击窃取Cookie信息客户机的物理安全,活动内容,嵌在页面上并对用户透明的程序可以完成一些动作,丰富了页面将计算密度大的活动分布到多台计算机上执行活动内容:Java小应用程序Active X控件JavaScriptVBscript图形、浏览器插件、邮件附件等,Active 插件或控件,Cookie,使用方式可以存储在客户机上也可在会话浏览中创建、使用并删除可收集或储存 任何信息,保护,做好备份下载时
8、查看数字证书浏览器禁用活动内容和Cookie及时更新防病毒软件,免费的Cookie管理软件:识别、管理、显示和删除Cookie,通信信道的威胁,对保密性的安全威胁探测程序“后门”服务器短时转换对完整性的安全威胁破坏他人网站电子伪装钓鱼攻击对即需性的安全威胁,保护通讯信道,保密加密技术SSLSET完整散列算法、数字签名即需防黑客软件,安全套接层协议SSL(Secure Socket Layer),由Netscape公司开发,保证通信安全的国际电子支付安全标准协议,也一是国际上最早的一种电子商务安全协议。处于应用层与传输层之间采用公开密钥体制和数字证书技术保护信息传输的机密性和完整性“表单签名”,
9、不可否认性,客户浏览器,商家服务器,银行网络,商品信息,信用卡号、订单,交易完成信息,安全通道,传统的银行清算,基于SSL的电子交易流程,基于SSL的电子交易流程,SSL如何建立安全信息通道?1、客户通过网络向商家握手,商家回应2、加密方式的选择 3、身份识别4、会话密钥的确定 5、电文传输,SSL协议实现简单,被大部分的浏览器和Web服务器所内置,便于在电子交易中应用。国际著名的电子货币CyberCash信用卡支付系统就支持这种简单加密模式,IBM等公司也提供这种简单加密模式的支付系统。SSL并不能协调各方间的安全传输和信任关系,因此,为了实现更加完善的电子交易,MasterCard和Vis
10、a以及其他一些IT业界厂商制定并发布了SET协议。,安全电子交易协议SET(Secure Electronic Transaction),SET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性。用到了对称密钥系统、公钥系统、数字签名、数字信封、双重签名、身份认证等技术;消费者、在线商店、支付网关都通过CA来验证通信主体的身份。对购物信息和支付信息采用双重签名,保证商户看不到信用卡信息,银行看不到购物信息;速度偏慢,但是进行电子商务的最佳协议标准,主要适用于B-C模式,SET的交易流程,持卡人,特约商店,收单银行,确认商家的合法性,商家的数字证书,数字证书、加密的电子货币和订单信息
11、,订单确认、交易完成,请求交易授权,确认授权信息,请求付款信息,确认付款信息,保护服务器,身份认证口令、数字证件、位置认证、生物测定、访问权限防火墙主动防御系统(蜜罐)诱骗、威慑、监测、研究,防火墙(firewall),开放环境(外部网络),私有环境(内部网络),构造逻辑意义上的封闭私有网络,防火墙的作用,作用识别用户并进行登录管理对进出行为进行访问控制保护易受攻击的服务控制对特殊站点的服务对网络访问进行记录、统计和控制对进出的保密信息进行加解密,防火墙的类型,包过滤路由器,缺点:不能鉴别不同的用户和防止IP地址盗用,优点:对用户来说是透明的,处理简单、速度快,易于维护,防火墙的类型,应用网关
12、,Internet,路 代由 理器 服 务 器,内部服务器,缺点:速度慢,不允许用户直接访问网络,透明性差,优点:比包过滤式防火墙更为安全,可靠,详细记录所有访问状态信息,防火墙的类型,线路网关(Circuit-level Gateway)也叫会话网关,不允许进行端对端的连接,需要通过建立两个TCP连接。堡垒主机 作为应用网关或线路网关的平台,是一个专门的系统,有特殊装备,可以抵御攻击。,防火墙在金融网络中的配置1,Internet,包过滤路由器,Web服务器,堡垒主机,专用网主机,专用网主机,专用网主机,防火墙在金融网络中的配置2,Internet,包过滤路由器,Web服务器,堡垒主机,专用网主机,专用网主机,专用网主机,防火墙在金融网络中的配置3,Internet,包过滤路由器,Web服务器,堡垒主机,内部路由器,专用网,
