1 / 95

第 四 章 电子商务安全

第 四 章 电子商务安全. 3. 4. 服务器安全. 电子商务安全技术. 1. 2. 6. 5. 电子商务安全概述. 客户端安全. 电子商务交易安全. 电子商务安全协议. 内容概要. 4.1.1 电子商务的安全问题现状. 4.1.2 电子商务安全的要素. 4.1.3 电子商务安全体系. 4.1 电子商务安全概述. 4.1.1 电子商务的安全问题现状. 在电子商务的发展过程中,企业与社会对网络已经出现了一定程度的依赖性。随着信息化进程的加快,病毒泛滥、黑客破坏、交易欺诈等电子商务安全问题也日益严重起来。

fatima-ortega
Télécharger la présentation

第 四 章 电子商务安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第四章 电子商务安全

  2. 3 4 服务器安全 电子商务安全技术 1 2 6 5 电子商务安全概述 客户端安全 电子商务交易安全 电子商务安全协议 内容概要 南通纺织职业技术学院

  3. 4.1.1 电子商务的安全问题现状 4.1.2 电子商务安全的要素 4.1.3 电子商务安全体系 4.1 电子商务安全概述 南通纺织职业技术学院

  4. 4.1.1 电子商务的安全问题现状 • 在电子商务的发展过程中,企业与社会对网络已经出现了一定程度的依赖性。随着信息化进程的加快,病毒泛滥、黑客破坏、交易欺诈等电子商务安全问题也日益严重起来。 • 1997年以前,我国已发现的计算机犯罪案件主要集中在金融领域,1997年以后,网络犯罪活动逐步转向电子商务领域,国内各大网络几乎都不同程度地遭到过黑客的攻击。我国曾发生过影响较大的“熊猫烧香”病毒事件,制作木马病毒、贩卖病毒、散布木马病毒、利用病毒木马技术进行网络盗窃、诈骗等系列网络犯罪活动已经形成一条产业链,制作、散布病毒的趋利性进一步增强。 南通纺织职业技术学院

  5. 可靠性 4.1.2 电子商务安全的要素 • 电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁,通过控制与预防等来确保系统安全可靠。电子商务系统的可靠性是保证数据传输与存储、进行电子商务完整性检查的基础。系统的可靠性可以通过各种网络安全技术来实现。 真实性 机密性 完整性 不可抵赖性 南通纺织职业技术学院

  6. 真实性 可靠性 4.1.2 电子商务安全的要素 • 交易的真实性是指商务活动中交易者身份的真实性,也就是要确定交易双方是真实存在的。身份认证通常采用电子签名、数字证书等技术来实现。 机密性 完整性 不可抵赖性 南通纺织职业技术学院

  7. 机密性 可靠性 真实性 4.1.2 电子商务安全的要素 • 信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获,就可能被盗用;企业的订货和付款信息如被竞争对手获悉,该企业就可能贻误商机。信息机密性的保护一般通过数据加密技术来实现。 完整性 不可抵赖性 南通纺织职业技术学院

  8. 完整性 可靠性 真实性 4.1.2 电子商务安全的要素 • 信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放,以确保信息的顺序完整性和内容完整性。数据完整性的保护通过安全散列函数(如数字摘要)与电子签名技术来实现。 机密性 不可抵赖性 南通纺织职业技术学院

  9. 不可抵赖性 可靠性 真实性 4.1.2 电子商务安全的要素 • 交易的不可抵赖性是指保证发送方不能否认自己发送了信息,同时接收方也不能否认自己接收到信息。交易的不可抵赖性通过电子签名技术来实现。 机密性 完整性 南通纺织职业技术学院

  10. 4.1.3 电子商务安全体系 • 完整电子商务安全体系一般包括4个组成部分:客户端、服务器端、银行端与认证机构。由于篇幅所限,本章重点介绍客户端安全、服务器端安全,并根据电子商务应用的实际需要介绍了电子商务安全技术、电子商务安全协议和电子商务交易安全。 南通纺织职业技术学院

  11. 本节将从以下几方面方面来简述实现客户机安全的常见软件及操作:本节将从以下几方面方面来简述实现客户机安全的常见软件及操作: 4.2.1 计算机病毒及其防范 4.1.1 电子商务的安全问题现状 4.2.2 软件防火墙的安装与配置 4.1.3 电子商务安全体系 4.1.2 电子商务安全的要素 4.2 客户端安全 南通纺织职业技术学院

  12. 4.2.1 计算机病毒及其防范 • 1)计算机病毒的产生于发展 • 2)计算机病毒的类型与机理 • 计算机病毒可以按照传染方式、连接方式、破坏程度、机理等来进行分类: • 按传染方式分,可分为引导区型病毒、文件型病毒、混合型病毒和宏病毒。 • 按连接方式分,可分为源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。 • 按破坏性来分病毒可分为良性病毒、恶性病毒、极恶性病毒、灾难性病毒。 • 病毒按其机理来分类有伴随型病毒、寄生型病毒、蠕虫病毒和木马病毒。 • 较为常见的四大类恶意病毒:宏病毒、CIH病毒、蠕虫病毒和木马病毒。 南通纺织职业技术学院

  13. 4.2.1 计算机病毒及其防范 • 3)计算机病毒的防范 • ①正确安装和使用杀毒软件。 • ②安装防火墙。 • ③修改系统配置。防范病毒还可以通过修改系统配置、增强系统自身安全性来提高系统的抵抗能力。卸载、删除系统不必要的系统功能和服务,修改系统安全配置,提高系统安全性。如:关闭自动播放功能,防止各类Autorun病毒。取消不必要的默认共享等。 • ④修补系统漏洞。对于Windows系统,必须及时通过Windows Update下载系统补丁来修补系统漏洞。 南通纺织职业技术学院

  14. 4.2.2 软件防火墙的安装与配置 • 本节通过windows防火墙和天网防火墙来介绍如何使用软件防火墙保护客户机的安全。 • 1)Windows 防火墙 • Windows 防火墙是一个基于主机的状态防火墙,它会断开非请求的传入通信,Windows防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护。 • 点击“开始”-“程序”-“附件”-“系统工具”-“安全中心”命令,即可打开Windows安全中心,点击右下的“Windows 防火墙”,弹出如图5-1左所示的对话框,该对话框包括常规、例外、高级三个选项卡。 南通纺织职业技术学院

  15. 4.2.2 软件防火墙的安装与配置 图5-1 Windows防火墙 图5-2 Windows防火墙“例外”选项卡 南通纺织职业技术学院

  16. 4.2.2 软件防火墙的安装与配置 • 2)天网防火墙 • 如图4-3是天网防火墙软件启动后的界面,一般情况下使用默认设置就可以保证基本的安全需求,但有时需要对防火墙进行一些设置,以让某些特定病毒无法入侵。比如冲击波病毒是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵系统的,所以要防范该病毒,就是封住以上端口,需要先把“允许互联网上的机器使用我的共享资源”这项划掉(如图4-4),这样就已经禁止了135和139两个端口。然后依图4-5所示操作依次禁止4444、69、445端口。 南通纺织职业技术学院

  17. 4.2.2 软件防火墙的安装与配置 图4-3 天网防火墙启动后的界面 南通纺织职业技术学院

  18. 4.2.2 软件防火墙的安装与配置 图4-4 天网防火墙规则设定 南通纺织职业技术学院

  19. 4.2.2 软件防火墙的安装与配置 图4-5 天网防火墙的禁止端口 南通纺织职业技术学院

  20. 4.2.3系统任务的管理 • 杀毒软件不停地弹出病毒提醒,但却又无法有效清除病毒,这时候有经验的用户通常果断地按下“Ctrl+Alt+Del”组合键,打开Windows的任务管理器,寻找到可疑的病毒进程并关闭它。 图5-6任务管理器 南通纺织职业技术学院

  21. 4.2.3系统任务的管理 任务管理器 南通纺织职业技术学院

  22. 4.2.4 浏览器安全设置 • 1)设置“Internet选项”的安全选项 • 以IE浏览器为例,点击“工具”-“Internet选项”,在弹出的对话框中点“安全”选项卡(如图5-7左所示),点击右下的“自定义级别”可以打开如图5-7右所示的安全设置对话框,可以设置ActiveX控件、脚本程序的安全配置,进而保证WEB安全。 南通纺织职业技术学院

  23. 4.2.4 浏览器安全设置 浏览器安全设置 南通纺织职业技术学院

  24. 4.2.4 浏览器安全设置 • 2)通过修改注册表还原IE设置 • 在Windows启动后,点击“开始”-“运行”菜单项,在“打开”栏中键入“regedit”,然后按“确定”键; 在注册表编辑器的窗口中展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”;再展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 在右半部分窗口中找到串值“Start Page”,同样修改其键值,然后退出注册表编辑器,重新启动计算机。 南通纺织职业技术学院

  25. 4.2.4 浏览器安全设置 • 有时病毒还会修改注册表,让IE的默认首页按扭变为灰色不可选状态。这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。只需将“ 1”改回为“0”即可。 • 而对于开机弹出网页的解决可采用如下方法:选择“开始”-“运行”,输入“msconfig”,在弹出的对话框中选“启动”选项卡,把里面有网址类的(比www.cnoicq.com),后缀为url、html、htm的都勾掉。如果有类似regedit/s ***的也去掉,它的作用是每次都改注册表。 南通纺织职业技术学院

  26. 4.2.4 浏览器安全设置 • 3)Cookie安全 • Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。当你浏览某网站时,Cookies是由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时,网站通过读取Cookies,得知你的相关信息,就可以做出相应的动作,如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。虽然Cookies不能作为代码执行,也不会传送病毒,且为你所专有,并只能由提供它的服务器来读取,但黑客通过简单的方法即可窃取这些文件,这给安全和隐私带来很大威胁。 • 面对可能带来的安全威胁的Cookie,只要在IE的“Internet选项”-“常规”选项卡下,点击“删除Cookie”按钮即可删除计算机中所有的Cookie。 南通纺织职业技术学院

  27. 本节从系统还原、数据恢复、系统备份三个方面选择了一些代表软件进行讲解。本节从系统还原、数据恢复、系统备份三个方面选择了一些代表软件进行讲解。 系统还原是系统关键信息恢复工具,如果你误装了驱动程序、误删了系统文件或电脑出现各种奇怪故障,利用系统还原就可以令“时光倒流”,将操作系统“恢复”到以前健康的状态。 系统还原 系统备份 4.2.5 系统备份与恢复 数据恢复 南通纺织职业技术学院

  28. 系统还原 系统备份 4.2.5 系统备份与恢复 数据恢复 系统还原 南通纺织职业技术学院

  29. 系统还原 系统备份 4.2.5 系统备份与恢复 数据恢复 选择还原点 南通纺织职业技术学院

  30. 数据恢复 系统还原 系统备份 4.2.5 系统备份与恢复 • 经常会碰到由于硬盘误格式化(Format)、误分区(如用Fdisk)而失去全部硬盘数据,或者由于病毒而使得某个分区完全消失使保存的大量数据化为灰烬,如果这些数据非常重要而又没有做相应备份的时候,如何来处理呢?有一些软件可以实现修复硬盘数据的功能,常见的有EasyRecovery和FinalData,EasyRecovery可从其开发公司Ontrack的主页http://www.ontrack.com下载最新的版本。 南通纺织职业技术学院

  31. 数据恢复 系统还原 系统备份 4.2.5 系统备份与恢复 数据恢复 南通纺织职业技术学院

  32. 系统备份 系统还原 数据恢复 4.2.5 系统备份与恢复 • 使用Ghost进行系统备份,有整个硬盘(Disk)和分区(Partition)两种方式。在菜单中点击Local(本地)项,在右面弹出的菜单中有3个子项,其中Disk表示备份整个硬盘(即克隆)、Partition表示备份硬盘的单个分区、Check表示检查硬盘或备份的文件,查看是否可能因分区、硬盘被破坏等造成备份或还原失败。 南通纺织职业技术学院

  33. 系统备份 系统还原 数据恢复 4.2.5 系统备份与恢复 • 分区备份作为个人用户来保存系统数据,特别是在恢复和复制系统分区时具有实用价值。要备份一个分区,选Local-Partition-To Image菜单,一旦备份分区的数据受到损坏,用一般数据修复方法不能修复,或者系统被破坏后不能启动,就可以用备份的数据进行完全的复原而无须重新安装程序或系统。要恢复备份的分区,在界面中选择菜单Local-Partition-From Image,在弹出窗口中选择还原的备份文件,再选择还原的硬盘和分区,点击Yes按钮即可。 南通纺织职业技术学院

  34. 4.3.5 服务器的物理安全 4.3.1 操作系统安全 4.3.2 服务的访问控制与管理 4.3.3 防火墙与入侵检测 4.3.4 数据库安全 4.3 服务器安全 南通纺织职业技术学院

  35. 4.3.1 操作系统安全 • 1)操作系统安全原理 • 操作系统安全主要集中于系统的及时更新、对于攻击的防范和访问控制权限的设置三个方面。前两者分别通过更新操作系统与安装防火墙等方法来实现,所以本小节更多从访问权限控制角度来展开。 南通纺织职业技术学院

  36. 4.3.1 操作系统安全 • 2)用户安全配置 用户安全配置 南通纺织职业技术学院

  37. 4.3.1 操作系统安全 用户安全配置 南通纺织职业技术学院

  38. 4.3.1 操作系统安全 • 为了计算机的安全,进行用户安全配置时一般进行如下操作: • ①禁止Guest用户。 • ②给Administrator账号改名, Windows 2000 的Administrator用户一般为超级管理员的账号,该账号是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。把Administrator账号改名可以有效地解决这一问题。 • ③创建陷阱用户,所谓陷阱用户,就是把Administrator的权限设置成最低,并且加上一个超过10位的超级复杂密码。 南通纺织职业技术学院

  39. 4.3.1 操作系统安全 • ④把共享文件的权限从Everyone组改成授权用户。Everyone在Windows 2000中意味着任何有权进入网络的用户都能够获得这些共享资料。 • ⑤不让系统显示上次登录的用户名。 • ⑥开启账户策略可以有效地防止字典式攻击,比如可以设置为当某一用户连续5次登录都失败后将自动锁定该账户,30分钟之后自动复位被锁定的账户。 南通纺织职业技术学院

  40. 4.3.1 操作系统安全 • 3)系统安全配置 • 除了安装杀毒软件、防火墙、更新操作系统等客户端常用的系统安全措施之外,服务器端安全一般还会进行如下操作: • ①因为NTFS文件系统要比FAT、FAT32的文件系统安全得多,所以最好把服务器的所有分区都改成NTFS格式。 • ②关闭默认共享。 • ③锁住注册表。 • ④禁止用户从软盘和光驱启动系统。 • ⑤开启审核策略。 南通纺织职业技术学院

  41. 2)禁止建立空链接 1)关闭不必要的端口 4.3.2 服务的访问控制与管理 • 服务的访问控制与管理 3)关闭不必要的服务 南通纺织职业技术学院

  42. 4.3.2 服务的访问控制与管理 Windows 2000可禁用的服务 南通纺织职业技术学院

  43. 4.3.3 防火墙与入侵检测 • 网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在内部网和外部网之间的保护装置,强制所有的访问和连接都必须经过这个保护层,并在此进行连接和安全检查。只有合法的数据包才能通过此保护层,从而保护内部网资源免遭非法入侵。 • 1)防火墙的安全策略。 • 通常,防火墙采用的安全策略有如下两个基本准则。 • ①一切未被允许的访问就是禁止的。 • ②一切未被禁止的访问就是允许的。 南通纺织职业技术学院

  44. 4.3.3 防火墙与入侵检测 • 2)防火墙的类型 • 从所采用的技术上看,防火墙有6种基本类型:①包过滤型;②代理服务器型;③电路层网关;④混合型;⑤应用层网关;⑥自适应代理技术。 • 3)防火墙的功能 • ①保护易受攻击的服务。 • ②控制对特殊站点的访问。 • ③集中化的安全管理。 • ④检测外来黑客攻击的行动。 • ⑤对网络访问进行日志记录和统计。 南通纺织职业技术学院

  45. 4.3.3 防火墙与入侵检测 • 4)入侵检测系统(IDS) • 入侵检测是系统安全的重要组成部分,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 • 入侵检测技术的一个独有的特征是有一个基于规则的参考引擎,系统通过这个引擎来匹配所有已知的攻击方法,入侵检测系统支持的攻击模式集是根据国内外许多安全专家的宝贵经验得到的。入侵检测技术的另一个特点是它并不需要频繁更新规则库,黑客攻击程序千变万化,但并不是没有规律可循。 南通纺织职业技术学院

  46. 4.3.4 数据库安全 • 1)不良的口令政策 • 在安装SQL Server后,SQL Server会将产生一个默认的SA用户,而且初始密码在管理员没有设置的情况下为空。如密码为空,黑客就可以通过SQL Server的客户端进行数据库远程连接,然后再通过SQL的远程数据库管理命令来进行命令操作,在SQL Server的服务器上新建一个管理员级别的用户。 • 2)SQL注入攻击 • SQL注入攻击就其本质而言,利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据库,往应用程序中插入一些SQL语句时,SQL注入攻击就发生了。 南通纺织职业技术学院

  47. 4.3.4 数据库安全 • 3)交叉站点脚本 • 验证和清洁从用户那里收到的数据的理由是防止交叉站点脚本攻击。黑客通过一个网络蠕虫把JavaScript等客户方面的脚本注入到一个网络应用程序的输出中。这些脚本用于收集cookie数据,这些数据经常被用来存储用户账户登录信息等资料。 • 还有一个重要的措施是定期进行数据库备份,以备在数据库遭到破坏后能迅速还原数据库。 南通纺织职业技术学院

  48. 4.3.5 服务器的物理安全 • 服务器运行的物理安全环境是很重要的,很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等,这些因素会影响到服务器的寿命和所有数据的安全。物理安全是指计算机所在的物理环境是否可靠,会不会受到自然灾害(如火灾、水灾、雷电、地震等引起设施能源供应中断、设施设备损坏引起业务中断)和人为的破坏(失窃、破坏)等。物理安全并不完全是系统或者网络管理员的责任,还需要公司的其他部门如行政、保安等一起协作。 南通纺织职业技术学院

  49. 4.3.5 服务器的物理安全 • 要保证服务器的物理安全,首先要特别保证所有的重要设备与服务器要集中在机房里,并制订机房相关制度,无关人员不得进入机房等。 • 人们研制开发了“物理隔离卡”。这些网络安全物理隔离卡可以实现对计算机的两个网络(内网和外网)进行物理上的完全隔离,其功能包括“网络隔离”和“数据隔离”两方面,“网络隔离”是指对内、外两个网络进行隔离,使两个网络之间不能存在物理连接。 • 最后还得考虑服务器对环境的要求,比如机房需要安装空调,以防止高温对服务器的影响,需要安装不间断电源UPS,防止断电等。 南通纺织职业技术学院

  50. 4.4.1 加密技术 4.4.2 电子签名技术 4.4.3 CA认证与数字证书 4.4.4 公开密钥基础设施 4.4 电子商务安全技术 南通纺织职业技术学院

More Related