網上支付與電子商務安全.ppt

《網上支付與電子商務安全.ppt》由會員分享，可在線閱讀，更多相關《網上支付與電子商務安全.ppt（37頁珍藏版）》請在裝配圖網上搜索。

網上支付與電子商務安全 章學拯zxz 課程目標 正確理解電子商務安全的重要性及其面臨的問題掌握密碼學的基本概念了解信息加密和數字簽名原理掌握信息加密和數字簽名的操作了解互聯網基本技術 TCP IP和WWW技術及其安全問題了解計算機網絡中的身份認證技術和應用掌握保障網絡安全基本工具的使用方法了解網絡攻擊方式和防御措施了解電子商務的發(fā)展需求和金融電子化進程掌握網絡支付與結算的整體理論與應用體系系統學習以電子銀行為主的網絡金融服務知識 安全部分課程體系 信息安全基礎知識安全概念 安全特征 安全體系 安全策略 安全技術 安全現狀和趨勢信息安全基本技術密碼學 對稱密鑰密碼 非對稱密鑰密碼 密鑰管理 數字簽名 PKI 身份認證 訪問控制TCP IP與WWW網站安全TCP IP協議安全 Web網站安全系統的攻擊與防御攻擊方法和工具 系統安全策略 防火墻技術 檢測和掃描 病毒防止 考核 教學方案 電子商務安全 第1章電子商務安全基礎知識第2章信息加密技術與應用第3章數字簽名技術與應用第4章數字證書與公鑰基礎設施第5章TCP IP與WWW安全第6章身份認證 訪問控制與安全協議第7章防火墻的構造與選擇第8章網絡攻擊與防御第9章計算機病毒及其防治技術 第1章電子商務安全基礎知識 第1節(jié)電子商務安全概述第2節(jié)電子商務安全保障第1章小結第1章作業(yè)要求 第1節(jié)電子商務安全概述 電子商務安全的關鍵是信息安全計算機信息處理過程和基礎電子商務安全問題及其根源電子商務安全特征及其防范技術 電子商務安全的關鍵是信息安全 電子商務是利用計算機網絡所進行的商務活動 電子商務的關鍵是商務信息的電子化處理 存儲 傳輸 電子商務安全的關鍵是信息處理 存儲 傳輸的安全 信息傳輸安全 網絡運行安全 計算機信息處理過程 應用知識進行數據加工 數據 信息 數據存儲器 接收者 數據輸入 Web表單條形碼掃描 數據加工 統計軟件MIS系統數據挖掘 數據傳輸 局域網廣域網無線網絡 數據存儲 服務器PC機存儲介質 數據輸出 MIS系統計算機屏幕紙面打印音頻 采集 輸入者 計算機信息處理的基礎硬件 軟件 網絡 信息處理的基礎 硬件 信息處理的基礎 軟件 會計 通用賬務等市場 銷售分析等制造 產品控制等財務 投資預算等 操作系統操作環(huán)境數據庫管理系統通信系統 程序設計語言翻譯器DSS生成器 系統應用程序執(zhí)行管理器安全管理器 字處理軟件電子表格數據庫管理網頁制作通信繪圖 信息處理的基礎 網絡 自身缺陷 網絡開放性 管理問題 電子商務安全問題及其根源 網絡運行安全 問題思考 網絡的缺陷管理的欠缺非法攻擊網絡系統運行安全體系結構系統安全系統軟件的漏洞和后門系統故障 崩潰信息傳輸安全 問題思考 信息被泄密 篡改或假冒 網絡安全事件 信用卡數據中心被非法闖入2005年6月 美國約有4000萬張信用卡資料可能外泄 其中包括5500張中國大陸信用卡 CSDN 中國軟件開發(fā)聯盟 用戶數據庫被盜2011年12月22日 國內開發(fā)者社區(qū)CSDN遭到黑客攻擊 其數據庫中超過600萬用戶資料遭到泄露 經過驗證確認有其他網站用戶數據庫信息也被泄露 隨后黑客又相繼爆出人人網 178 多玩 百合網 51CTO 天涯論壇等用戶資料 美國第二大折扣零售商Target 塔基特 網站連續(xù)二次崩潰2011年10月25日周二美國中央時區(qū)早上11點50分該網站出現崩潰現象 到下午2點多時 該網站重新上線 一個月前的9月13日 由于大批用戶涌向Target網站 購買其感興趣的新產品 Target網站已經出現崩潰現象 酒店網站被黑 CSDN泄漏的600萬用戶帳號和密碼的統計信息 大約有189307個密碼是以手機號形式存在的 139211711382099613520248 大約有437296個密碼是以日期形式存在的 按數量排序如下時間數量198743307198638670198837917 關于網絡運行安全的思考 你家有幾個門 這些門是否已安裝了合適的鎖 這些鎖是否在必要的時候鎖好了 如何才能控制或不受限制的進入互聯網上的一臺服務器 攻擊互聯網上計算機與攻擊所在局域網中的其它計算機在操作程序上可能會有哪些差別 獲取他人賬號和密碼的方法有哪些 通訊線路 網絡端口 用戶權限 數據庫安全 通訊協議 非法攻擊流程 踩點FootPrinting 木馬TrojanHorse 網絡系統運行安全體系結構 電子商務安全的基本特征 保密性確保信息不暴露給未授權的實體或進程完整性只有得到允許的人才能修改數據 并且能夠判別出數據是否已被篡改可用 訪問 性得到授權的實體在需要時可訪問數據 即攻擊者不能占用所有的資源而阻礙授權者的工作 關于信息傳輸安全的思考 電子商務活動中存在或可能存在的信息傳輸安全問題有哪些 試列舉具體的問題 信用卡帳戶信息泄密的途徑有哪些 用戶計算機感染木馬病毒 證券大盜 網銀大盜 軟鍵盤 密碼傳輸過程中被竊 假冒網站 信息保密性身份真實性不可抵賴性 電子商務安全的其他特征 不可否認性防止通信或交易雙方對已進行業(yè)務的否認認證性信息發(fā)送者或系統登陸者身份的確認可控性可以控制授權范圍內的信息流向及行為方式可審查性對出現的網絡安全問題提供調查的依據和手段合法性各方的業(yè)務行為存在可適用的法律和法規(guī) 電子商務安全特征及其防范技術 第2節(jié)電子商務安全保障 電子商務安全層次與安全技術環(huán)安全環(huán)境 目標 威嚴的法律先進的技術嚴格的管理安全策略物理安全策略網絡安全控制策略信息加密策略網絡安全管理策略 安全實施安全攻擊與服務安全技術與產品 電子商務安全層次與安全技術環(huán) 電子商務安全層次電子商務安全技術環(huán) 應用安全 系統安全 網絡安全 安全協議 安全的密碼算法 20世紀90年代以前 通信保密 COMSEC 時代該時代采用的信息安全保障措施就是加密和基于計算機規(guī)則的訪問控制 20世紀90年代 信息安全 INFOSEC 時代數字化信息除了有保密性的需要外 還有信息的完整性 信息和信息系統的可用性需求 因此 該時代提出了信息安全就是要保證信息的保密性 完整性和可用性 90年代后期起 信息安全保障 IA 時代該時代信息安全在原來的基礎上增加了信息和系統的可控性 信息行為的不可否認性要求 并且需要對整個信息和信息系統的保護和防御 包括對信息的保護 檢測 反應和恢復能力 由此形成了包括預警 保護 檢測 反應和恢復五個環(huán)節(jié)的信息保障概念 即信息保障的WPDRR模型 信息安全的目標要求 預警W 保護P 監(jiān)測D 響應R 恢復R 技術 操作 人 物理安全策略的目的 保護計算機系統 網絡服務器 打印機等硬件實體和通信鏈路免受自然災害 人為破壞和搭線攻擊 防止非法進入計算機控制室和各種偷竊 破壞活動的發(fā)生 確保計算機系統有一個良好的電磁兼容和防止電磁泄漏 即TEMPEST技術 的工作環(huán)境 采用各種電磁屏蔽措施 如對設備的金屬屏蔽和各種接插件的屏蔽 同時對機房的下水管 暖氣管和金屬門窗進行屏蔽和隔離 干擾的防護措施 即在計算機系統工作的同時 利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征 網絡安全控制策略 網絡安全防范和保護的主要任務是保證網絡資源不被非法使用和非常訪問 它也是維護網絡系統安全 保護網絡資源的重要手段 各種電子商務安全策略必須相互配合才能真正起到保護作用 但網絡安全控制可以說是保證網絡安全最重要的核心策略之一 網絡安全控制策略包括 入網訪問控制網絡的權限控制網絡服務器安全控制網絡監(jiān)測和鎖定控制網絡端口和節(jié)點的安全控制防火墻控制 信息加密策略 網絡加密常用的方法有鏈路加密 端點加密和節(jié)點加密三種 鏈路加密 保護網絡節(jié)點之間的鏈路信息安全 端到端加密 對從源端用戶到目的端用戶的數據傳輸提供保護 節(jié)點加密 在節(jié)點處采用一個與節(jié)點機相連的密碼裝置 對明文進行加密 避免了鏈路加密節(jié)點處易受攻擊的缺點 對稱密碼信息的接收者和發(fā)送者使用相同的密鑰 即加密密鑰和解密密鑰是相同或等價的 比較著名的對稱密碼算法有 美國的DES TripleDES GDES NewDES 歐洲的IDEA 日本的FEAL N LOKI 91 Skipjack RC4 RC5以及以替代密碼和置換密碼為代表的古典密碼等 在眾多的對稱密碼算法中影響最大的是DES算法 非對稱密碼收信方和發(fā)信方使用的密鑰互不相同 而且?guī)缀醪豢赡軓募用苊荑€推導出解密密鑰 比較著名的不對稱密碼算法有 RSA 背包密碼 McEliece密碼 Diffe Hellman Rabin Ong Fiat Shamir 零知識證明的算法 橢園曲線 EIGamal算法等等 最有影響的不對稱密碼算法是RSA 網絡安全管理策略 確定安全管理等級和安全管理范圍 制訂有關網絡操作使用規(guī)程和人員出入機房管理制度 制定網絡系統的維護制度和應急措施等 網絡安全管理策略實施中存在的問題沒有建立信息安全組織 或人員缺乏專業(yè)信息安全訓練 僅依靠網管員個人力量 信息安全崗位設置不恰當 安全職責劃分不合理 本位現象嚴重 安全攻擊 安全攻擊是一種針對電子商務系統的故意的威脅行為 它致力于避開安全服務并且侵犯系統的安全策略 安全攻擊分為被動攻擊 Passiveattack 和主動攻擊 Activeattack 被動攻擊被動攻擊具有偷聽或者監(jiān)控傳輸的性質 攻擊者的目的就是獲得正在傳輸的信息 被動攻擊有釋放消息內容和流量分析兩種類型 主動攻擊主動攻擊與更改數據流或偽造假的數據流有關 主動攻擊可以分為四類 偽裝 Masquerade 重放 Reply 更改消息內容 Modification 和拒絕服務 Denialofservice 被動攻擊 釋放消息內容釋放消息內容 Releaseofmassagecontents 是攻擊者通過一定的方式讀取發(fā)送者發(fā)送給接受者的信息的行為 但這種讀取并不影響信息的正常傳輸 攻擊者竊取的消息往往是帶有機密性或者是非常敏感的信息 流量分析流量分析 Trafficanalysis 是攻擊者分析信息傳輸的模式 包括分析發(fā)收雙方 交換信息的頻率和信息的長度等數據來獲取有用的信息 使用流量分析的攻擊者往往是在無法釋放消息內容的情況下不得已的做法 譬如 攻擊者所得到的釋放消息內容是經過加密的消息 主動攻擊 1 偽裝偽裝 Masquerade 是指一個實體假裝成為另一個不同的實體向第三方發(fā)送消息 譬如 一個假冒工商銀行的網站向網民發(fā)送網頁內容 誘騙網民輸入銀行賬戶信息 重放重放 Reply 是指攻擊者使用被動攻擊捕獲消息后 按照原來的順序重新發(fā)送 從而產生未經授權進入系統的效果 它是一種針對身份鑒別服務的攻擊 具體參見第5章 主動攻擊 2 更改消息內容更改消息內容 Modification 是指攻擊者使用被動攻擊捕獲消息后 更改原始消息的一部分 或者延遲或重行排序消息后重新發(fā)送給接收方的行為 拒絕服務拒絕服務 Denialofservice 是指攻擊者阻止或禁止他人對系統的正常使用或管理 這種攻擊通常具有明確的攻擊目標 譬如 使用超載消息來降低網絡的性能甚至造成網絡癱瘓 另一種形式的拒絕服務攻擊是刪除系統文件或數據使得授權使用者無法得到相應的服務或獲取數據 安全服務與安全攻擊之間的關系 信息安全技術與產品 安全操作系統防火墻 軟件或硬件 安全掃描 掃描器 掃描軟件 網絡監(jiān)控 入侵檢測 安全審計 安全日志 信息加密 加密軟件 身份認證 身份認證與數字簽名軟件 卡 認證令牌 通信加密 移動通訊網加密技術 SSL產品 災難恢復 系統或文件備份和恢復軟件 防病毒 防病毒軟件 以上安全產品共同組成了一個完整的網絡安全系統 每一個單獨的組件只能完成其中部分功能 而不能完成全部功能 信息安全技術分類 安全防護類身份認證 PAP PKI 網絡訪問控制 防火墻 接入控制 NAC 加密技術 SSH VNP SSL 攻擊阻斷 IPS 惡意代碼防護 防病毒 木馬隔離 安全操作系統檢測分析類漏洞掃描非法外聯檢查合規(guī)性檢查入侵檢測 IDS 網絡分析工具 TCPdump Windump sniffer 主機分析工具 fport ActivePorts strace strings 應急恢復類事故和系統恢復技術與工具 Ghost 雨過天晴 評估審計類安全日志漏洞掃描入侵檢測安全滲透測試 蜜罐技術 Honeyd 虛擬主機技術 安全管理類網絡內容管理上網行為管理帶寬管理補丁管理終端設備管理網絡接入控制管理統一威脅管理 UTM 第1章小結 電子商務安全基礎知識 安全的關鍵 信息處理過程 安全問題 安全特征 安全層次 安全目標 安全策略 安全實施 五大技術三大基礎 信息傳輸網絡運行 系統 保密性完整性認證性不可否認性可用性可控性可審性合法性 四面一線五技術環(huán) 預警保護監(jiān)測響應恢復 物理安全網絡安全控制信息加密網絡安全管理 攻擊與服務安全技術及其分類 概述 安全保障 第1章作業(yè)要求 閱讀艾瑞咨詢 2012年個人網絡安全年度報告 在全文閱讀的基礎上 在作業(yè)模板中做1個Page的重要內容 自認為就可以 摘要 將作業(yè)模板的文件名 xxxxxxx x作業(yè) doc 改為自己的學號和章節(jié)號 并在實驗管理系統