电子商务安全技术第3章 网络安全技术
- 格式:pptx
- 大小:1.13 MB
- 文档页数:38
下载文档原格式
合集下载
第三章电子商务的关键技术
4
3. 2 电子商务的安全技术
1. 电子商务安全概述 2. 加密技术 3. 认证技术 4. 签名技术 5. 公钥基础设施
5
安安全全是是保保证证电电子子商商务务健健康康有有序序发发展展的的关关键键因因素素,,也也是是目目前前大大家家十十分分关关注注的的话话题题。。 由于非法入侵者的侵入,造成商务信息被篡改、盗窃或丢失; 商业机密在传输过程中被第三方获悉,甚至被恶意窃取、篡改和破坏; 虚假身份的交易对象及虚假订单、合同;
22
公开密钥加解密算法的特点如下:
■ 用加密算法E和加密密钥PK对明文X加密后,再用 解密算法D和解密密钥SK解密,即可恢复出明文; 或写成:DSK[EPK(X)]=X;
■ 加密算法和加密密钥不能用来解密,即EPK[EPK(X)] ≠ X;
■ 在计算机上可以容易地产生成对的PK和SK; ■ 从已知的PK实际上不可能(或者说很难)推导出SK。
控制明文与密文之间变换的关键,可以是数字、词汇或语 句等。密钥可以分为加密密钥和解密密钥,分别使用于加 密过程和解密过程。
15
举例
将字母A、B、C、……X、Y、Z的自然顺序保持不变, 但使之与E、F、G、 … … B、C、D相对应,即相差4个 字母顺序。这条规则就是加密算法,其中4即为密钥。
明文字母 an bo cp dq er fs gt hu iv jw xk ly mz 密文字母 RE FS GT HU IV JW KX LY MZ NA OB CP QD
6
电子商务的安全要求分为:EC交易方自身网络安全、电子交易数据的传输安全、电子商务的支付安全
二、电子商务的安全要求
在网络基础设施上开展电子交易
EC交易方
EC交易方
Interne t 或其他 网络设
3. 2 电子商务的安全技术
1. 电子商务安全概述 2. 加密技术 3. 认证技术 4. 签名技术 5. 公钥基础设施
5
安安全全是是保保证证电电子子商商务务健健康康有有序序发发展展的的关关键键因因素素,,也也是是目目前前大大家家十十分分关关注注的的话话题题。。 由于非法入侵者的侵入,造成商务信息被篡改、盗窃或丢失; 商业机密在传输过程中被第三方获悉,甚至被恶意窃取、篡改和破坏; 虚假身份的交易对象及虚假订单、合同;
22
公开密钥加解密算法的特点如下:
■ 用加密算法E和加密密钥PK对明文X加密后,再用 解密算法D和解密密钥SK解密,即可恢复出明文; 或写成:DSK[EPK(X)]=X;
■ 加密算法和加密密钥不能用来解密,即EPK[EPK(X)] ≠ X;
■ 在计算机上可以容易地产生成对的PK和SK; ■ 从已知的PK实际上不可能(或者说很难)推导出SK。
控制明文与密文之间变换的关键,可以是数字、词汇或语 句等。密钥可以分为加密密钥和解密密钥,分别使用于加 密过程和解密过程。
15
举例
将字母A、B、C、……X、Y、Z的自然顺序保持不变, 但使之与E、F、G、 … … B、C、D相对应,即相差4个 字母顺序。这条规则就是加密算法,其中4即为密钥。
明文字母 an bo cp dq er fs gt hu iv jw xk ly mz 密文字母 RE FS GT HU IV JW KX LY MZ NA OB CP QD
6
电子商务的安全要求分为:EC交易方自身网络安全、电子交易数据的传输安全、电子商务的支付安全
二、电子商务的安全要求
在网络基础设施上开展电子交易
EC交易方
EC交易方
Interne t 或其他 网络设
电子商务网络安全技术
电子商务网络安全技术随着电子商务的不断发展,网络安全问题也日益突出。
为了保护电子商务的安全,确保电子商务交易的可靠性和信任度,需要采用一系列的网络安全技术来防止恶意攻击和数据泄露。
首先,传输层安全技术是保护电子商务网络安全的基础。
它通过加密和验证数据传输来确保数据的机密性和完整性,防止第三方对数据进行窃听和篡改。
其中最常用的传输层安全技术包括SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议。
这些协议使用公钥加密和数字证书来保护数据的传输,同时提供服务器身份验证,确保数据传输的安全性和可信度。
其次,身份认证技术是防止未经授权访问的重要手段。
身份认证技术通过验证用户的身份来限制对电子商务系统的访问权限,防止非法用户的入侵和恶意操作。
常见的身份认证技术包括用户名和密码、指纹识别、声纹识别、面部识别等。
此外,双因素认证技术将多种身份认证技术结合起来,提高了系统的安全性。
再次,防火墙技术是电子商务网络安全的重要保障。
防火墙能够实时监控网络流量并根据预先设定的安全策略来过滤和阻止不符合要求的数据流,从而防止恶意攻击和病毒的入侵。
防火墙技术可以在网络层、传输层和应用层等不同的网络层次上进行设置和管理,实现对电子商务系统的全面保护。
此外,入侵检测和入侵防御技术也是电子商务网络安全的重要组成部分。
入侵检测系统(IDS)可以实时监测电子商务系统的安全状态,及时发现和报警非法入侵行为。
入侵防御系统(IPS)能够根据入侵检测系统的报警信息,动态调整网络安全策略,阻止入侵者的进一步攻击,确保电子商务系统的安全性。
最后,数据加密技术是保障电子商务交易安全的重要手段。
数据加密技术通过将原始数据转化为密文,使非授权用户无法理解和识别数据内容,从而保护交易数据不被窃取和篡改。
常见的数据加密技术包括对称加密、非对称加密和哈希算法等。
其中,对称加密和非对称加密通常结合使用,保护交易数据的安全性和隐私性。
电子商务网络及支付安全技术
电子商务网络及支付安全技术随着信息技术的快速发展和互联网的普及,电子商务成为一种时尚的购物方式。
越来越多的人开始通过电子商务网站进行购物,这不仅便利而且节省了时间和精力。
但是,网络安全问题是电子商务发展中必须要面对的一个重要问题,尤其是涉及到支付安全方面。
本文将从电子商务网络和支付安全技术两个方面进行探讨。
一、电子商务网络安全在电子商务的初期发展阶段,由于网络技术还未成熟,很容易受到黑客、病毒等各种网络攻击,从而导致电子商务行业的发展受到严重威胁。
为了确保电子商务的安全,我们必须从以下几个方面入手:1. 网络架构安全网络架构是电子商务系统的基础,也是保证网络安全的首要条件。
因此,在搭建电子商务系统时,我们必须根据公司需求选择合适的网络架构,并采用多层防御措施,以保护网络安全。
2. 数据安全电子商务涉及到大量的用户信息,如个人身份信息、支付信息、历史交易记录等等。
因此,我们必须采用合适的加密技术,保护用户数据的安全。
同时,定期备份数据也是不可或缺的,以防止数据丢失。
3. 安全验证安全验证是保证电子商务系统安全的关键。
现在,常用的安全验证方式包括密码验证、人脸识别、指纹识别等。
但是,这些验证方式都不是完美的。
因此,我们还需要采用多种验证方式,以确保电子商务系统的安全。
二、支付安全技术在电子商务中,支付环节是最关键的环节之一。
因为这牵扯到用户最重要的资金安全。
为了保证支付安全,我们可以采取以下措施:1. 支付平台安全支付平台的安全是电子商务支付安全的基础。
所以,在支付平台的选取过程中,我们必须选择有良好信誉的支付平台,并使用多层加密和安全协议,以确保支付过程的安全。
2. 双重保障支付过程中,单一的安全验证方式是不可靠的,至少需要采用两种验证方式来保证支付安全。
例如,支付过程中需要输入密码和短信验证码。
3. 安全防范措施除了加密和验证技术外,支付过程中必须还需要采用其他防范措施,如实时监控、异常警报机制、实时反欺诈机制等等,以保障支付的安全。
电子商务安全复习题(答案)
第1章 概论1、电子商务安全问题主要涉及哪些方面? p5答:信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。
2、电子商务系统安全由系统有哪些部分组成? p7答:实体安全、系统运行安全、系统信息安全。
3、电子商务安全的基本需求包括哪些? P16答:保密性、完整性、认证性、可控性、不可否认性。
4、电子商务安全依靠哪些方面支持? P17答:技术措施、管理措施、法律环境。
5、什么是身份鉴别,什么是信息鉴别? p15答:所谓身份鉴别,是提供对用户身份鉴别,主要用于阻止非授权用户对系统资源的访问。
信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。
第2章 信息安全技术1、信息传输中的加密方式主要有哪些? P27答:链路-链路加密、节点加密、端-端加密。
2、简述对称加密和不对称加密的优缺点。
P35 p40答:(1)对称加密优点:由于加密算法相同,从而计算机速度非常快,且使用方便、 计算量小 、加密与解密效率高。
缺点:1)密钥管理较困难;2)新密钥发送给接收方也是件较困难的事情,因为需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。
(2)不对称加密优点:由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程,因此有助于加强数据的安全性。
缺点:加密和解密的速度很慢,不适合对大量的文件信息进行加密。
3、常见的对称加密算法有哪些? P35答:DES、AES、三重DES。
4、什么是信息验证码,有哪两种生成方法? P36答:信息验证码(MAC)校验值和信息完整校验。
MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑联系。
两种生成方式:1)j基于散列函数的方法;2)基于对称加密的方法。
5、如何通过公开密钥加密同时实现信息的验证和加密?P39答:1)发送方用自己的私有密钥对要发送的信息进行加密,得到一次加密信息。
2)发送方用接收方的 公开密钥对已经加密的信息再次加密;3)发送方将两次加密后的信息通过 网络传送给接收方;4)接收方用自己的私有密钥对接收到的两次加密信息进行解密,得到一次加密信息;5)接收方用发送方的公开密钥对一次加密信息进行解密,得到信息明文。
电子商务安全技术实用教程第3章
防火墙应用的局限性
(1)不能防范不经过防火墙的攻击 (2)不能解决来自内部网络的攻击和安全问题
(3)不能防止受病毒感染的文件的传输
(4)不能防止数据驱动式的攻击 (5)不能防止系统安全体系不完善的攻击
3.防火墙的安全策略
(1)一切未被允许的都是禁止的(限制政策)
防火墙只允许用户访问开放的服务, 其它未开放的服务都是 禁止的。这种策略比较安全,因为允许访问的服务都是经过 筛选的, 但限制了用户使用的便利性。 防火墙允许用户访问一切未被禁止的服务, 除非某项服务被 明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。
2. 网络安全的特征
(1)保密性:也称机密性,是强调有用信息只被授权对象使用的 安全特征。
(2)完整性:是指信息在传输、交换、存储和处理过程中,保持 信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。 (3)可用性:也称有效性,指信息资源可被授权实体按要求访问、 正常使用或在非正常情况下能恢复使用的特性。 (4)可控性:是指信息系统对信息内容和传输具有控制能力的特 性,指网络系统中的信息在一定传输范围和存放空间内可控程度。 (5)可审查性:又称拒绝否认性、抗抵赖性或不可否认性,指网 络通信双方在信息交互过程中,确信参与者本身和所提供的信息 真实同一性。
(2)一切未被禁止的都是允许的(宽松政策)
3.2.2 防火墙的分类与技术
1.防火墙的分类
(1)软件防火墙与硬件防火墙
(2)主机防火墙与网络防火墙
(1)包过滤技术 (2)代理服务技术 (3)状态检测技术
2.防火墙的技术
(4)NAT技术
电子商务基础课件-电子商务安全技术
防火墙屏障
Internet
Intranet
业务服务器
业务数据库
客户I
客户II
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
防火墙的功能
*
门——在网络之间移动数据,体现信息传输的功能 闸——将未授权的数据移动进行进行过滤,保证网络安全,体现管理控制的功能 反向追踪——保护站点不被任意链接,甚至建立反向追踪,记录所有网络活动。
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
*
乙银行: 请将100万元从 ZX888账户上 转移至贵行 LJ666账户上 客户甲
Htfckle &%$hT^$#gc n,$$$&H^
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
*
AAA公司的安全防护机制
*
因为要求隔绝外部对电子商务保密性信息文档的访问,必须设置良好的防火墙等内部网络防护措施 因为要求严格控制内部人员对电子商务有关的重要文档的访问,因此一方面从技术上使用一切预防和监察手段,如网络监控与追踪软件;另一方面,制定内部人员对整体信息文档的访问权限守则和监督制度
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
*
电子商务安全方法与工具
Internet
Intranet
业务服务器
业务数据库
客户I
客户II
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
防火墙的功能
*
门——在网络之间移动数据,体现信息传输的功能 闸——将未授权的数据移动进行进行过滤,保证网络安全,体现管理控制的功能 反向追踪——保护站点不被任意链接,甚至建立反向追踪,记录所有网络活动。
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
*
乙银行: 请将100万元从 ZX888账户上 转移至贵行 LJ666账户上 客户甲
Htfckle &%$hT^$#gc n,$$$&H^
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
*
AAA公司的安全防护机制
*
因为要求隔绝外部对电子商务保密性信息文档的访问,必须设置良好的防火墙等内部网络防护措施 因为要求严格控制内部人员对电子商务有关的重要文档的访问,因此一方面从技术上使用一切预防和监察手段,如网络监控与追踪软件;另一方面,制定内部人员对整体信息文档的访问权限守则和监督制度
安全问题&需求
网络平台安全&防火墙
数据机密性技术
数据完整性技术
数字证书与认证中心CA
SSL与SET协议机制
*
电子商务安全方法与工具
第三章 现代密码技术及应用
② 计算(n)。用户再计算出 n 的欧拉函数
(n) (p 1)(q 1)
(9-9)
(n) 定义为不超过 n 并与 n 互素的数的个数。
③ 选择 e。用户从[0, (n) 1]中选择一个与 (n)互素的
数 e 作为公开的加密指数。
(2) 密钥的产生(续)
④ 计算 d。用户计算出满足下式的 d
但从已知的PK不可能推导出SK。
(2)认证模型:发方私钥加密,发方公钥解密 数字签名的原理
RSA算法: RSA算法是由Rivest,Shamir和Adleman于1978年 提出的,曾被ISO/TC97的数据加密委员会SC20推 荐为公开数据加密标准。 RSA体制是根据寻求两个大素数容易,而将他们的 乘积分解开则极其困难这一原理来设计的。
ed 1 mod (n)
作为解密指数。 ⑤ 得出所需要的公开密钥和秘密密钥:
公开密钥(即加密密钥)PK {e, n} 秘密密钥(即解密密钥)SK {d, n}
(9-10)
(3) 正确性的例子说明
设选择了两个素数,p 7, q 17。 计算出 n pq 7 17 119。 计算出 (n) (p 1)(q 1) 96。 从[0, 95]中选择一个与 96 互素的数e。 选 e 5。然后根据(9-10)式,
公钥加密机制根据不同的用途有两种基本的模型: (1)加密模型:收方公钥加密,收方私钥解密
用于加密模式的公开密钥算法具有以下特点:
用加密密钥PK对明文X加密后,再用解密密钥 SK解密即得明文,即DSK(EPK(X))=X;
加密密钥不能用来解密,即DPK(EPK(X)≠X; 在计算机上可以容易地产生成对的PK和SK,
将明文数据进行某种变换,使其成为不可理解 的形式,这个过程就是加密,这种不可理解的 形式称为密文。
电子商务课后习题及答案
电子商务概论复习思考题第一章电子商务概述一、判断题1、网络商务信息是指通过计算机传输的商务信息,包括文字、数据、表格、图形、影像、声音以及内容能够被人工或计算机察知的符号系统。
(√)2、电子商务的核心是人。
(√)3、电子商务是一种以消费者为导向,强调个性化的营销方式。
(×)二、选择题(包括单选题和多选题)1、下列关于电子商务与传统商务的描述,正确的是(A )A、传统商务受到地域的限制,通常其贸易伙伴是固定的,而电子商务充分利用Internet,其贸易伙伴可以不受地域的限制,选择范围很大B、随着计算机网络技术的发展,电子商务将完全取代传统商务C、客户服务职能采用传统的服务形式,电子商务在这一方面还无能为力D、客服购买的任何产品都只能通过人工送达2、电子商务以满足企业、商人和顾客的需要为目的,增加(D),改善服务质量,降低交易费用。
A、交易时间B、贸易机会C、市场范围D、服务传递速度3、电子商务实质上形成了一个(ABC )的市场交换场所。
A、在线实时B虚拟C、全球性D、网上真实三、问答题1、E-Commerce和E-Business的区别在哪里?答:E-Commerce是实现整个贸易过程中各贸易活动的电子化,从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:E―Commerce是一种多技术的集合体,包括交换数据、获得数据以及自动捕获数据等。
它的业务包括:信息交换、售前售后服务、销售、电子支付、运输、组建虚拟企业、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。
E-Business是利用网络实现所有商务活动业务流程的电子化,不仅包括了E-Commerce 面向外部的所有业务流程,还包括了企业内部的业务流程,如企业资源计划、管理信息系统、客户关系管理、供应链管理、人力资源管理、网上市场调研、战略管理及财务管理等。
E-Commerce集中于电子交易,强调企业与外部的交易和合作,而E-Business则把涵盖范围扩大到企业外部。
电子商务安全技术
第一章:一.电子商务的安全需求电子商务的安全需求包括两方面:1.电子交易的安全需求(1)身份的可认证性在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。
(2)信息的保密性要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
(3)信息的完整性交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
(4)不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
(5)不可伪造性电子交易文件也要能做到不可修改2.计算机网络系统的安全(1)物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听(2)自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
(3)黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系统的非法入侵者。
黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(4)软件的漏洞和“后门”(5)网络协议的安全漏洞(6)计算机病毒的攻击二.电子商务安全技术电子商务安全从整体上可分为两大部分,1.计算机网络安全常用的网络安全技术:安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等①安全评估技术通过扫描器发现远程或本地主机所存在的安全问题。
②防火墙防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一,可用于防止未授权的用户访问企业内部网,也可用于防止企业内部的保密数据未经授权而发出。
③虚拟专用网虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸,通过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来,构成一个扩展的企业内部网。
第三章 电子商务 安全技术
包(分组)过滤防火墙
应用级网关
代理服务型防火墙
• 包过滤防火墙是在网络层对数据包实施有选择的放行。 事先在防火墙内设定好一个过滤逻辑,指定允许哪些类 型的数据包可以流入或流出内部网络。对于通过防火墙 的数据流中的每一个数据包,根据其源地址、目的地址、 所用的TCP端口与TCP链路状况等方面进行检查,再确定 该数据包是否可以通过。例如:只接收来自某些指定的 IP地址的数据包,或者内部网络的数据包只可以流向某 些指定的端口,以及哪些类型数据包的传输应该被拦截。 • 数据包过滤的防火墙安装在网络的路由器上,网络之间 的各个路由器总是备有一份称之为“黑名单”的访问表, 根据这张访问表对通过路由器的各种数据进行检查和过 滤,凡是符合条件的就放行。
加密的目的是为了防止合法接收者之外的人获
取信息系统中的机密信息。
在加密和解密过程中,都要涉及三个要素:信 息(明文 / 密文)、算法(加密算法 / 解密算
法)、密钥(加密密钥 / 解密密钥)。
算法是将明文(或者可以理解的信息)与一窜
参数(密钥)的结合,产生不可理解的密文的
过程(步骤)。密钥是一组信息编码,一般是
应用级网关也是通过设置过滤逻辑条件来限制数
据和服务的进出。它在网络的应用层上工作,可
以针对不同的服务协议设置不同的过滤条件。同
时具备登记和审核功能,可以对通过它的信息和
服务进行记录,形成分析报告。 应用级网关的缺陷是:由于针对不同的协议和应 用要设置不同的代理软件,因而实现起来较复杂, 且效率低。一般安装在专用工作站系统上。
务能做到以下要求:
1. 交易方自身网络安全需求:
计算机网络设备安全;计算机网络系统安全、数
据库安全等。特征:针对计算机网络本身可能 存在的安全问题,实施网络安全增强方案,以 保证计算机网络自身的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VPN使用实例:某公司总部在北京,而上海和杭州各有分公司, MIS主管需 要彼此之间能够实时交换数据,为了安全考虑和提高工作效率,使用VPN技 术。(总公司路由器上开放两个VPN账户,允许分公司路由器拨入,以建立 VPN通道)。
ห้องสมุดไป่ตู้
3.4.2 VPN的工作原理
1.VPN的协议
(1)点对点隧道协议PPTP(Point to Point Tunneling Protocol)
3.防火墙的安全策略
(1)一切未被允许的都是禁止的(限制政策)
防火墙只允许用户访问开放的服务, 其它未开放的服务都是 禁止的。这种策略比较安全,因为允许访问的服务都是经过 筛选的, 但限制了用户使用的便利性。
(2)一切未被禁止的都是允许的(宽松政策)
防火墙允许用户访问一切未被禁止的服务, 除非某项服务被 明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。
(2)运行安全:包括网络运行和网络访问控制的安全,如设置防火墙 实现内外网的隔离、备份系统实现系统的恢复。
(3)系统安全:包括操作系统安全、数据库系统安全和网络系统安全。
(4)应用安全:由应用软件开发平台安全和应用系统数据安全两部分 组成。
(5)管理安全:主要指对人员及网络系统安全管理的各种法律、法规、 政策、策略、规范、标准、技术手段、机制和措施等内容。
2.入侵检测系统的功能
(1)监测、分析用户和系统的活动; (2)核查系统配置和漏洞; (3)评估重要系统和数据文件的完整性; (4)识别已知的攻击行为并采取适当的措施; (5)统计分析异常行为; (6)审计操作系统日志,识别违反安全策略的行为。
3.IDS的分类
(1)基于主机的入侵检测系统(HIDS) (2)基于网络的入侵检测系统(NIDS) (3)分布式入侵检测系统(DIDS)
的一个或一组系统,包括硬件和软件,构成一道屏障,以防 止发生对被保护网络的不可预测的、潜在破坏性的侵扰。 通过安全规则来控制外部用户对内部网资源的访问。 在逻辑上,防火墙是分离器,限制器,也是一个分析器。 在物理上,防火墙通常是一组硬件设备。
图3-1 一个典型的防火墙使用形态
2.防火墙的功能
3.2.2 防火墙的分类与技术
1.防火墙的分类 (1)软件防火墙与硬件防火墙 (2)主机防火墙与网络防火墙 2.防火墙的技术 (1)包过滤技术 (2)代理服务技术 (3)状态检测技术 (4)NAT技术
3.2.3 防火墙的应用模式
1.包过滤防火墙 这种模式采用单一的分组过滤型防火墙或状态检测型防火墙
2.双穴主机防火墙
这种模式采用单一的代理服务型防火墙来实现。防火墙由一 个运行代理服务软件的主机(即堡垒主机)实现, 该主机具 有两个网络接口(称为双穴主机)
3.屏蔽主机防火墙
屏蔽主机防火墙一般由一个包过滤路由器和一个堡垒主机组成,一个外部 包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。
从狭义上讲,具有病毒特征的恶意代码称为计算机病毒。所 谓病毒特征就是生物界所具有的病毒特征是一样的。
3.2.4 个人防火墙
1.个人防火墙的概念 个人防火墙是一套安装在个人计算机上的软件系统,它能够监视计算机
的通信状况,一旦发现有对计算机产生危险的通信就会报警通知管理员 或立即中断网络连接,以此实现对个人计算机上重要数据的安全保护。 比如:瑞星,赛门铁克, 天网防火墙 ,冰盾DDOS防火墙等等。 2.个人防火墙的主要功能 (1)防止Internet上用户的攻击 (2)阻断木马及其他恶意软件的攻击 (3)为移动计算机提供安全保护 (4)与其他安全产品进行集成 3.Windows防火墙
来实现。通常,防火墙功能由带有防火墙模块的路由器提供, 所以也称为屏蔽路由器。
表3-1:包过滤防火墙规则示例:
组序 号 1
2
3
动作
允许 允许 禁止
源IP 目的IP 源端口 目的端 协议类
口
型
10.1.1.1 *
*
*
TCP
* 10.1.1.1 20
*
TCP
* 10.1.1.1 20 <1024 TCP
2.VPN的实现方法
(1)MPLS VPN:是一种基于MPLS技术的IP VPN,是在网络 路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由 选择方式,利用结合传统路由技术的标记交换实现的IP虚拟 专用网络(IP VPN)
这种模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网第一 道屏障;另一个是堡垒主机,构成内部网第二道屏障。
4.屏蔽子网防火墙
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层 保护体系(周边网络)。堡垒主机位于周边网络上,周边网络和内部网络被 内部路由器分开。
非军事区DMZ:屏蔽子网防火墙在内部网络和外部网络之间建立一个被隔离 的子网,用两台路由器将这一子网分别与内部网络和外部网络分开,两个包 过滤路由器放置在子网的两端,形成的子网构成一个“非军事区”。
(1)监控并限制访问:防火墙通过采取控制进出内、外网络数据包的方 法,实时监控网络上数据包的状态,并对这些状态加以分析和处理。
(2)控制协议和服务:防火墙对相关协议和服务进行控制,从而大大降 低了因某种服务、协议的漏洞而引起安全事故的可能性。
(3)保护内部网络:针对受保护的内部网络,防火墙能够及时发现系统 中存在的漏洞,对访问进行限制。
(1)内部主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的 数据包 都允许通过。
(2)任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据 包允许通过。
(3)任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协 议的数据包都禁止通过(与1、2作为系列规则时该规则无效)。
与其他概念不同,网络安全的具体定义和侧重点会随着观察 者的角度而不断变化。
2. 网络安全的特征
(1)保密性:也称机密性,是强调有用信息只被授权对象使用的 安全特征。
(2)完整性:是指信息在传输、交换、存储和处理过程中,保持 信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。
(3)可用性:也称有效性,指信息资源可被授权实体按要求访问、 正常使用或在非正常情况下能恢复使用的特性。
3.3 入侵检测技术
3.3.1 入侵检测系统的概念 1. 入侵检测系统的定义 入侵检测系统IDS(Intrusion Detection System)是一种对网
络传输进行即时监视,在发现可疑传输时发出警报或者采取 主动反应措施的网络安全设备。 入侵检测系统是对防火墙的合理补充,是一个实时的网络违 规识别和响应系统,是继防火墙之后的又一道防线。
第三章 网络安全技术
3.1 网络安全技术概述 3.2 防火墙技术 3.3 入侵检测系统IDS 3.4 虚拟专用网VPN 3.5 防病毒技术
3.1 网络安全技术概述
3.1.1 网络安全技术的概念
1.网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到 保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行,网络服务不中断,保障网络信息 的保密性、完整性、可用性、可控性、可审查性。
3.3.3 入侵检测系统的应用
图3-8 入侵检测系统一般部署图
图3-9 IDS引擎分布图
3.4 虚拟专用网技术
3.4.1 虚拟专用网的概念 虚拟专用网VPN,就是建立在公共网络上的私有专用网。它是一个利用基于公众
基础架构的网络,来建立一个安全的、可靠的和可管理的企业间通信的通道。
图3-10 VPN实例图
(4)可控性:是指信息系统对信息内容和传输具有控制能力的特 性,指网络系统中的信息在一定传输范围和存放空间内可控程度。
(5)可审查性:又称拒绝否认性、抗抵赖性或不可否认性,指网 络通信双方在信息交互过程中,确信参与者本身和所提供的信息 真实同一性。
3.1.3 网络安全层次
(1)实体安全:也称物理安全,指保护计算机网络设备、设施及其他 媒介免遭地震、水灾、火灾、有害气体、电磁辐射、系统掉电和其他 环境事故破坏的措施及过程。
3.5 防病毒技术
3.5.1. 病毒的基本概念
1.病毒的概念
病毒指“编制或者在计算机程序中插入的破坏计算机功能或 者破坏数据,影响计算机使用并且能够自我复制的一组计算 机指令或者程序代码” 《中华人民共和国计算机信息系统安 全保护条例》。
从广义上讲,凡是人为编制的、干扰计算机正常运行并造成 计算机软硬件故障,甚至破坏计算机数据的、可自我复制的 计算机程序或指令集合都是计算机病毒。从这个概念来说计 算机病毒就是恶意代码。
(2)SSL VPN:是以HTTPS(安全的HTTP)为基础的VPN技 术,工作在传输层和应用层之间。
(3)IPSec VPN:是基于IPSec协议的VPN技术,由IPSec协议 提供隧道安全保障。
3.4.3 VPN的应用环境
远程访问虚拟网(Access VPN) 企业内部虚拟网(Intranet VPN) 企业扩展虚拟网(Extranet VPN)
(4)网络地址转换:NAT可以缓解目前IP地址紧缺的局面、屏蔽内部网 络的结构和信息、保证内部网络的稳定性。
(5)日志记录与审计:当防火墙系统被配置为所有内部网络与外部网络 连接均需经过的安全节点时,防火墙会对所有的网络请求做出日志记录。
防火墙应用的局限性
(1)不能防范不经过防火墙的攻击 (2)不能解决来自内部网络的攻击和安全问题 (3)不能防止受病毒感染的文件的传输 (4)不能防止数据驱动式的攻击 (5)不能防止系统安全体系不完善的攻击
是1996年Microsoft 和Ascend等在PPP协议上开发的,是PPP的一种扩 展。客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方 式拨号到ISP的接入服务器,建立PPP连接;在此基础上,客户进行二 次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。
ห้องสมุดไป่ตู้
3.4.2 VPN的工作原理
1.VPN的协议
(1)点对点隧道协议PPTP(Point to Point Tunneling Protocol)
3.防火墙的安全策略
(1)一切未被允许的都是禁止的(限制政策)
防火墙只允许用户访问开放的服务, 其它未开放的服务都是 禁止的。这种策略比较安全,因为允许访问的服务都是经过 筛选的, 但限制了用户使用的便利性。
(2)一切未被禁止的都是允许的(宽松政策)
防火墙允许用户访问一切未被禁止的服务, 除非某项服务被 明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。
(2)运行安全:包括网络运行和网络访问控制的安全,如设置防火墙 实现内外网的隔离、备份系统实现系统的恢复。
(3)系统安全:包括操作系统安全、数据库系统安全和网络系统安全。
(4)应用安全:由应用软件开发平台安全和应用系统数据安全两部分 组成。
(5)管理安全:主要指对人员及网络系统安全管理的各种法律、法规、 政策、策略、规范、标准、技术手段、机制和措施等内容。
2.入侵检测系统的功能
(1)监测、分析用户和系统的活动; (2)核查系统配置和漏洞; (3)评估重要系统和数据文件的完整性; (4)识别已知的攻击行为并采取适当的措施; (5)统计分析异常行为; (6)审计操作系统日志,识别违反安全策略的行为。
3.IDS的分类
(1)基于主机的入侵检测系统(HIDS) (2)基于网络的入侵检测系统(NIDS) (3)分布式入侵检测系统(DIDS)
的一个或一组系统,包括硬件和软件,构成一道屏障,以防 止发生对被保护网络的不可预测的、潜在破坏性的侵扰。 通过安全规则来控制外部用户对内部网资源的访问。 在逻辑上,防火墙是分离器,限制器,也是一个分析器。 在物理上,防火墙通常是一组硬件设备。
图3-1 一个典型的防火墙使用形态
2.防火墙的功能
3.2.2 防火墙的分类与技术
1.防火墙的分类 (1)软件防火墙与硬件防火墙 (2)主机防火墙与网络防火墙 2.防火墙的技术 (1)包过滤技术 (2)代理服务技术 (3)状态检测技术 (4)NAT技术
3.2.3 防火墙的应用模式
1.包过滤防火墙 这种模式采用单一的分组过滤型防火墙或状态检测型防火墙
2.双穴主机防火墙
这种模式采用单一的代理服务型防火墙来实现。防火墙由一 个运行代理服务软件的主机(即堡垒主机)实现, 该主机具 有两个网络接口(称为双穴主机)
3.屏蔽主机防火墙
屏蔽主机防火墙一般由一个包过滤路由器和一个堡垒主机组成,一个外部 包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。
从狭义上讲,具有病毒特征的恶意代码称为计算机病毒。所 谓病毒特征就是生物界所具有的病毒特征是一样的。
3.2.4 个人防火墙
1.个人防火墙的概念 个人防火墙是一套安装在个人计算机上的软件系统,它能够监视计算机
的通信状况,一旦发现有对计算机产生危险的通信就会报警通知管理员 或立即中断网络连接,以此实现对个人计算机上重要数据的安全保护。 比如:瑞星,赛门铁克, 天网防火墙 ,冰盾DDOS防火墙等等。 2.个人防火墙的主要功能 (1)防止Internet上用户的攻击 (2)阻断木马及其他恶意软件的攻击 (3)为移动计算机提供安全保护 (4)与其他安全产品进行集成 3.Windows防火墙
来实现。通常,防火墙功能由带有防火墙模块的路由器提供, 所以也称为屏蔽路由器。
表3-1:包过滤防火墙规则示例:
组序 号 1
2
3
动作
允许 允许 禁止
源IP 目的IP 源端口 目的端 协议类
口
型
10.1.1.1 *
*
*
TCP
* 10.1.1.1 20
*
TCP
* 10.1.1.1 20 <1024 TCP
2.VPN的实现方法
(1)MPLS VPN:是一种基于MPLS技术的IP VPN,是在网络 路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由 选择方式,利用结合传统路由技术的标记交换实现的IP虚拟 专用网络(IP VPN)
这种模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网第一 道屏障;另一个是堡垒主机,构成内部网第二道屏障。
4.屏蔽子网防火墙
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层 保护体系(周边网络)。堡垒主机位于周边网络上,周边网络和内部网络被 内部路由器分开。
非军事区DMZ:屏蔽子网防火墙在内部网络和外部网络之间建立一个被隔离 的子网,用两台路由器将这一子网分别与内部网络和外部网络分开,两个包 过滤路由器放置在子网的两端,形成的子网构成一个“非军事区”。
(1)监控并限制访问:防火墙通过采取控制进出内、外网络数据包的方 法,实时监控网络上数据包的状态,并对这些状态加以分析和处理。
(2)控制协议和服务:防火墙对相关协议和服务进行控制,从而大大降 低了因某种服务、协议的漏洞而引起安全事故的可能性。
(3)保护内部网络:针对受保护的内部网络,防火墙能够及时发现系统 中存在的漏洞,对访问进行限制。
(1)内部主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的 数据包 都允许通过。
(2)任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据 包允许通过。
(3)任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协 议的数据包都禁止通过(与1、2作为系列规则时该规则无效)。
与其他概念不同,网络安全的具体定义和侧重点会随着观察 者的角度而不断变化。
2. 网络安全的特征
(1)保密性:也称机密性,是强调有用信息只被授权对象使用的 安全特征。
(2)完整性:是指信息在传输、交换、存储和处理过程中,保持 信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。
(3)可用性:也称有效性,指信息资源可被授权实体按要求访问、 正常使用或在非正常情况下能恢复使用的特性。
3.3 入侵检测技术
3.3.1 入侵检测系统的概念 1. 入侵检测系统的定义 入侵检测系统IDS(Intrusion Detection System)是一种对网
络传输进行即时监视,在发现可疑传输时发出警报或者采取 主动反应措施的网络安全设备。 入侵检测系统是对防火墙的合理补充,是一个实时的网络违 规识别和响应系统,是继防火墙之后的又一道防线。
第三章 网络安全技术
3.1 网络安全技术概述 3.2 防火墙技术 3.3 入侵检测系统IDS 3.4 虚拟专用网VPN 3.5 防病毒技术
3.1 网络安全技术概述
3.1.1 网络安全技术的概念
1.网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到 保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行,网络服务不中断,保障网络信息 的保密性、完整性、可用性、可控性、可审查性。
3.3.3 入侵检测系统的应用
图3-8 入侵检测系统一般部署图
图3-9 IDS引擎分布图
3.4 虚拟专用网技术
3.4.1 虚拟专用网的概念 虚拟专用网VPN,就是建立在公共网络上的私有专用网。它是一个利用基于公众
基础架构的网络,来建立一个安全的、可靠的和可管理的企业间通信的通道。
图3-10 VPN实例图
(4)可控性:是指信息系统对信息内容和传输具有控制能力的特 性,指网络系统中的信息在一定传输范围和存放空间内可控程度。
(5)可审查性:又称拒绝否认性、抗抵赖性或不可否认性,指网 络通信双方在信息交互过程中,确信参与者本身和所提供的信息 真实同一性。
3.1.3 网络安全层次
(1)实体安全:也称物理安全,指保护计算机网络设备、设施及其他 媒介免遭地震、水灾、火灾、有害气体、电磁辐射、系统掉电和其他 环境事故破坏的措施及过程。
3.5 防病毒技术
3.5.1. 病毒的基本概念
1.病毒的概念
病毒指“编制或者在计算机程序中插入的破坏计算机功能或 者破坏数据,影响计算机使用并且能够自我复制的一组计算 机指令或者程序代码” 《中华人民共和国计算机信息系统安 全保护条例》。
从广义上讲,凡是人为编制的、干扰计算机正常运行并造成 计算机软硬件故障,甚至破坏计算机数据的、可自我复制的 计算机程序或指令集合都是计算机病毒。从这个概念来说计 算机病毒就是恶意代码。
(2)SSL VPN:是以HTTPS(安全的HTTP)为基础的VPN技 术,工作在传输层和应用层之间。
(3)IPSec VPN:是基于IPSec协议的VPN技术,由IPSec协议 提供隧道安全保障。
3.4.3 VPN的应用环境
远程访问虚拟网(Access VPN) 企业内部虚拟网(Intranet VPN) 企业扩展虚拟网(Extranet VPN)
(4)网络地址转换:NAT可以缓解目前IP地址紧缺的局面、屏蔽内部网 络的结构和信息、保证内部网络的稳定性。
(5)日志记录与审计:当防火墙系统被配置为所有内部网络与外部网络 连接均需经过的安全节点时,防火墙会对所有的网络请求做出日志记录。
防火墙应用的局限性
(1)不能防范不经过防火墙的攻击 (2)不能解决来自内部网络的攻击和安全问题 (3)不能防止受病毒感染的文件的传输 (4)不能防止数据驱动式的攻击 (5)不能防止系统安全体系不完善的攻击
是1996年Microsoft 和Ascend等在PPP协议上开发的,是PPP的一种扩 展。客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方 式拨号到ISP的接入服务器,建立PPP连接;在此基础上,客户进行二 次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。