网上支付与电子商务安全ppt课件

《网上支付与电子商务安全ppt课件》由会员分享，可在线阅读，更多相关《网上支付与电子商务安全ppt课件（37页珍藏版）》请在装配图网上搜索。

1、网上支付与电子商务平安章学拯课程目的o正确了解电子商务平安的重要性及其面临的问题o掌握密码学的根本概念o了解信息加密和数字签名原理o掌握信息加密和数字签名的操作o了解互联网根本技术TCP/IP和WWW技术及其平安问题o了解计算机网络中的身份认证技术和运用o掌握保证网络平安根本工具的运用方法o了解网络攻击方式和防御措施o了解电子商务的开展需求和金融电子化进程o掌握网络支付与结算的整体实际与运用体系o系统学习以电子银行为主的网络金融效力知识 平安部分课程体系o 信息平安根底知识o 平安概念、平安特征、平安体系、平安战略、平安技术、平安现状和趋势o 信息平安根本技术o 密码学、对称密钥密码、非对称密

2、钥密码、密钥管理、数字签名、PKI、身份认证、访问控制o TCP/IP与WWW网站平安o TCP/IP协议平安、Web网站平安o 系统的攻击与防御o 攻击方法和工具、系统平安战略、防火墙技术、检测和扫描、病毒防止考核o 教学方案项目项目比例比例平时成绩网上支付作业20安全实验20期中测验10期末成绩网上支付案例20上机考试30测验与考试题型判断、单选、多选、简答等电子商务平安第1章 电子商务平安根底知识第2章 信息加密技术与运用第3章 数字签名技术与运用第4章 数字证书与公钥根底设备第5章 TCP/IP与WWW平安第6章 身份认证、访问控制与平安协议第7章 防火墙的构造与选择第8章 网络攻击与

3、防御第9章 计算机病毒及其防治技术第1章 电子商务平安根底知识第1节 电子商务平安概述第2节 电子商务平安保证第1章小结第1章作业要求第1节 电子商务平安概述o 电子商务平安的关键是信息平安o 计算机信息处置过程和根底o 电子商务平安问题及其根源o 电子商务平安特征及其防备技术电子商务平安的关键是信息平安计算机信息处置过程运用知识进展数据加工数据信息数据存储器接纳者数据输入：Web表单 条形码扫描 数据加工：统计软件 MIS系统 数据发掘 数据传输：局域网 广域网 无线网络 数据存储：效力器 PC机 存储介质 数据输出：MIS系统 计算机屏幕 纸面打印 音频 采集/输入者o 计算机信息处置的根

4、底o 硬件+软件+网络信息处置的根底硬件处置器设备控制单元算术/逻辑单元存放器CPU内存通讯设备辅助存储器输入设备输出设备信息处置的根底软件会计通用账务等市场销售分析等制造产品控制等财务投资预算等系统软件计算机软件运用软件系统管理软件系统支持软件系统开发软件通用软件专业运用软件操作系统操作环境数据库管理系统通讯系统程序设计言语翻译器DSS生成器系统运用程序执行管理器平安管理器字处置软件电子表格数据库管理网页制造通讯绘图信息处置的根底网络 本身缺陷本身缺陷+网络开放性网络开放性+管理问题管理问题电子商务平安问题及其根源o 网络运转平安问题思索o 网络的缺陷o 管理的欠缺o 非法攻击o 网络系统运

5、转平安体系构造o 系统平安o 系统软件的破绽和后门o 系统缺点、解体o 信息传输平安问题思索o 信息被泄密、篡改或冒充网络平安事件o信誉卡数据中心被非法闯入o2005年6月，美国约有4000万张信誉卡资料能够外泄，其中包括5500张中国大陆信誉卡。oCSDN中国软件开发联盟用户数据库被盗o2021年12月22日，国内开发者社区CSDN遭到黑客攻击，其数据库中超越600万用户资料遭到泄露，经过验证确认有其他网站用户数据库信息也被泄露。随后黑客又相继爆出人人网、178、多玩、百合网、51CTO、天涯论坛等用户资料。o美国第二大折扣零售商Target(塔基特)网站延续二次解体o2021年10月25日

6、周二美国中央时区早上11点50分该网站出现解体景象，到下午2点多时，该网站重新上线。一个月前的9月13日，由于大批用户涌向Target网站，购买其感兴趣的新产品，Target网站曾经出现解体景象。o酒店网站被黑o12306/o半月之内铁道部订票网站流量飙升 跻身中国大陆第11大电商网站o上海车牌拍卖网络缺点CSDN走漏的走漏的600万用户帐号和密码的统计信息：万用户帐号和密码的统计信息：关于网络运转平安的思索o 他家有几个门？这些门能否已安装了适宜的锁？这些锁能否在必要的时候锁好了？o 如何才干控制或不受限制的进入互联网上的一台效力器？o 攻击互联网上计算机与攻击所在局域网中的其它计算机在操作

7、程序上能够会有哪些差别？o 获取他人账号和密码的方法有哪些？通讯线路网络端口用户权限数据库平安通讯协议非法攻击流程踩点FootPrinting扫描Scann ing资源探查Enumeration窃取资源Pilfer假设ing去除痕迹Covering tracks创建后门Creating back doors提升权限Escalating privilegeY木马Trojan Horse进入系统Gaining Access回绝效力攻击DoSN网络系统运转平安体系构造电子商务平安的根本特征o 严密性o 确保信息不暴露给未授权的实体或进程o 完好性o 只需得到允许的人才干修正数据，并且可以判别出数据能

8、否已被篡改o 可用访问性o 得到授权的实体在需求时可访问数据，即攻击者不能占用一切的资源而妨碍授权者的任务关于信息传输平安的思索o电子商务活动中存在或能够存在的信息传输平安问题有哪些？试列举详细的问题。o信誉卡帐户信息泄密的途径有哪些？o用户计算机感染木马病毒证券大盗、网银大盗软键盘；o密码传输过程中被窃？o冒充网站boc/b0co信誉卡信息泄密的后果被盗用？o如何防止被盗用？o这些详细的问题能否归纳为有限的几类？o信息完好性信息严密性o身份真实性不可抵赖性电子商务平安的其他特征o 不可否认性o 防止通讯或买卖双方对已进展业务的否认o 认证性o 信息发送者或系统登陆者身份确实认o 可控性o 可

9、以控制授权范围内的信息流向及行为方式 o 可审查性o 对出现的网络平安问题提供调查的根据和手段 o 合法性o 各方的业务行为存在可适用的法律和法规电子商务平安特征及其防备技术信息传输网络运行系统安全安全防范技术保密性防止电磁泄漏、加密技术完整性单向加密、备份可用性容错、容灾、防攻击可控性防火墙、监测、权限、审计认证性数字签名、身份认证不可否认性数字签名第2节 电子商务平安保证 o 电子商务平安层次与平安技术环o 平安环境目的o 威严的法律o 先进的技术o 严厉的管理o 平安战略o 物理平安战略o 网络平安控制战略o 信息加密战略o 网络平安管理战略o 平安实施o 平安攻击与效力o 平安技术与产

10、品电子商务平安层次与平安技术环o 电子商务平安层次o 电子商务平安技术环物理层面网络层面系统层面应用层面安全管理（线）计算机场地节点安全 操作系统信息保密性安全政策制度防雷保安器链路安全 数据库系统信息完整性管理的权限和级别划分电磁泄漏网络协议安全 B/S开发平台 身份确认电磁兼容广域网安全中间件访问控制资源的合理配置和调度电器安全数据传输安全路由安全功能的实现应用安全系统安全网络安全安全协议平安的密码算法o 20世纪90年代以前通讯严密COMSEC时代o 该时代采用的信息平安保证措施就是加密和基于计算机规那么的访问控制。o 20世纪90年代信息平安INFOSEC时代o 数字化信息除了有严密性

11、的需求外，还有信息的完好性、信息和信息系统的可用性需求。因此，该时代提出了信息平安就是要保证信息的严密性、完好性和可用性。o 90年代后期起信息平安保证IA时代o 该时代信息平安在原来的根底上添加了信息和系统的可控性、信息行为的不可否认性要求。并且需求对整个信息和信息系统的维护和防御，包括对信息的维护、检测、反响和恢复才干。由此构成了包括预警、维护、检测、反响和恢复五个环节的信息保证概念，即信息保证的WPDRR模型。信息平安的目的要求预警W维护P监测D呼应R恢复R技术操作人物理平安战略的目的o 维护计算机系统、网络效力器、打印机等硬件实体和通讯链路免受自然灾祸、人为破坏和搭线攻击；o 防止非法

12、进入计算机控制室和各种偷窃、破坏活动的发生。o 确保计算机系统有一个良好的电磁兼容和防止电磁走漏即TEMPEST技术的任务环境；o 采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进展屏蔽和隔离；o 干扰的防护措施，即在计算机系统任务的同时，利用干扰安装产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的任务频率和信息特征。网络平安控制战略o 网络平安防备和维护的主要义务是保证网络资源不被非法运用和非常访问。它也是维护网络系统平安、维护网络资源的重要手段。各种电子商务平安战略必需相互配合才干真正起到维护作用，但网络平安控制可以说是保证

13、网络平安最重要的中心战略之一。网络平安控制战略包括：o 入网访问控制o 网络的权限控制o 网络效力器平安控制 o 网络监测和锁定控制o 网络端口和节点的平安控制o 防火墙控制 信息加密战略o网络加密常用的方法有链路加密、端点加密和节点加密三种。o链路加密维护网络节点之间的链路信息平安；o端到端加密对从源端用户到目的端用户的数据传输提供维护；o节点加密在节点处采用一个与节点机相连的密码安装，对明文进展加密，防止了链路加密节点处易受攻击的缺陷。o对称密码o信息的接纳者和发送者运用一样的密钥，即加密密钥和解密密钥是一样或等价的。比较著名的对称密码算法有：美国的DES、Triple DES、GDES、

14、New DES;欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以替代密码和置换密码为代表的古典密码等。在众多的对称密码算法中影响最大的是DES算法。o非对称密码o收信方和发信方运用的密钥互不一样，而且几乎不能够从加密密钥推导出解密密钥。比较著名的不对称密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的不对称密码算法是RSA。网络平安管理战略o 确定平安管理等级和平安管理范围；o 制定有关网络操作运用规程和人员出入机房管理制

15、度；o 制定网络系统的维护制度和应急措施等；o 网络平安管理战略实施中存在的问题o 没有建立信息平安组织，或人员缺乏专业信息平安训练，仅依托网管员个人力量。o 信息平安岗位设置不恰当，平安职责划分不合理，本位景象严重。平安攻击o 平安攻击是一种针对电子商务系统的故意的要挟行为，它努力于避开平安效力并且进犯系统的平安战略。平安攻击分为被动攻击Passive attack和自动攻击Active attack。o 被动攻击o 被动攻击具有偷听或者监控传输的性质。攻击者的目的就是获得正在传输的信息。被动攻击有释放音讯内容和流量分析两种类型。o 自动攻击o 自动攻击与更改数据流或伪造假的数据流有关，自动

16、攻击可以分为四类：伪装Masquerade、重放Reply、更改音讯内容Modification和回绝效力Denial of service。被动攻击o 释放音讯内容o 释放音讯内容Releaseof massage contents是攻击者经过一定的方式读取发送者发送给接受者的信息的行为，但这种读取并不影响信息的正常传输。攻击者窃取的音讯往往是带有性或者是非常敏感的信息。o 流量分析o 流量分析Traffic analysis是攻击者分析信息传输的方式，包括分析发收双方、交换信息的频率和信息的长度等数据来获取有用的信息。运用流量分析的攻击者往往是在无法释放音讯内容的情况下不得已的做法。譬如：

17、攻击者所得到的释放音讯内容是经过加密的音讯。自动攻击(1)o 伪装o 伪装Masquerade是指一个实体伪装成为另一个不同的实体向第三方发送音讯。譬如：一个冒充工商银行的网站向网民发送网页内容，诱骗网民输入银行账户信息。o 重放o 重放Reply是指攻击者运用被动攻击捕获音讯后，按照原来的顺序重新发送，从而产生未经授权进入系统的效果。它是一种针对身份鉴别效力的攻击，详细参见第5章。自动攻击(2)o 更改音讯内容o 更改音讯内容Modification是指攻击者运用被动攻击捕获音讯后，更改原始音讯的一部分，或者延迟或重行排序音讯后重新发送给接纳方的行为。o 回绝效力o 回绝效力Denial o

18、f service是指攻击者阻止或制止他人对系统的正常运用或管理，这种攻击通常具有明确的攻击目的。譬如：运用超载音讯来降低网络的性能甚至呵斥网络瘫痪。另一种方式的回绝效力攻击是删除系统文件或数据使得授权运用者无法得到相应的效力或获取数据。平安效力与平安攻击之间的关系 攻击服务释放消 息内容流量 分析伪装重放更改 信息拒绝 服务对等实体鉴别Y数据源鉴别Y访问控制Y信息机密性Y流量机密性Y数据完整性YY抗抵赖可用性Y信息平安技术与产品n平安操作系统n防火墙软件或硬件n平安扫描扫描器、扫描软件n网络监控入侵检测n平安审计平安日志n信息加密加密软件n身份认证身份认证与数字签名软件/卡、认证令牌n通讯加

19、密挪动通讯网加密技术、SSL产品n灾难恢复系统或文件备份和恢复软件n防病毒防病毒软件n 以上平安产品共同组成了一个完好的网络平安系统，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。信息平安技术分类o平安防护类o身份认证PAP、PKIo网络访问控制防火墙、接入控制-NACo加密技术SSH、VNP、SSLo攻击阻断IPSo恶意代码防护防病毒、木马隔离o平安操作系统o检测分析类o破绽扫描o非法外联检查o合规性检查o入侵检测IDSo网络分析工具TCPdump、Windump、sniffero主机分析工具 fport、ActivePorts、strace、stringso应急恢复类o事故和系

20、统恢复技术与工具Ghost、雨过天晴o评价审计类o平安日志o破绽扫描o入侵检测o平安浸透测试蜜罐技术(Honeyd)虚拟主机技术o平安管理类o网络内容管理o上网行为管理o带宽管理o补丁管理o终端设备管理o网络接入控制管理o一致要挟管理-UTM第1章 小结电子商务平安根底知识电子商务平安根底知识平安的关键信息处置过程平安问题平安特征平安层次平安目的平安战略平安实施信息平安五大技术三大根底信息传输网络运转(系统)严密性完好性认证性不可否认性可用性可控性可审性合法性四面一线五技术环预警 维护监测 呼应恢复物理平安网络平安控制信息加密网络平安管理攻击与效力平安技术及其分类概述概述平安保证平安保证第1章 作业要求o 阅读艾瑞咨询“2021年个人网络平安年度报告；o 在全文阅读的根底上，在作业模板中做1个Page的重要内容自以为就可以摘要；o 将作业模板的文件名xxxxxxx-x作业.doc改为本人的学号和章节号，并在实验管理系统eclab.shift.edu/labsys中递交。