第1章 电子商务安全导论精选文档.ppt

第1章 电子商务安全导论本讲稿第一页，共一百零一页信息安全学科信息安全学科 信息安全是一个综合性交叉学科领域，它涉及数学、密码信息安全是一个综合性交叉学科领域，它涉及数学、密码学、计算机、通信、控制、人工智能、物理学、生物学、学、计算机、通信、控制、人工智能、物理学、生物学、安全工程、人文科学等诸多学科，是近几年迅速发展的一安全工程、人文科学等诸多学科，是近几年迅速发展的一个热点学科领域。信息对抗和信息防护是其核心热点，它个热点学科领域。信息对抗和信息防护是其核心热点，它的研究和发展又将刺激、推动和促进相关学科的研究和发的研究和发展又将刺激、推动和促进相关学科的研究和发展。展。本讲稿第二页，共一百零一页电商安全涉及的领域电商安全涉及的领域n综合、交叉的学科：综合、交叉的学科：密码学理论、计算机网络、操作系统、密码学理论、计算机网络、操作系统、数据库技术、安全协议、数据库技术、安全协议、通信技术、通信技术、电子技术。电子技术。安全体系结构安全体系结构 安全的策略与管理，安全风险分析安全的策略与管理，安全风险分析 与计算机安全有关的法律问题与计算机安全有关的法律问题本讲稿第三页，共一百零一页课程体系课程体系n密码学基础：古典密码、对称密码、公开密码、密钥管理、机密性服密码学基础：古典密码、对称密码、公开密码、密钥管理、机密性服务、网络加密、务、网络加密、PGPn认证理论与技术：认证基础、哈希算法、数字签名、时间戳、认证理论与技术：认证基础、哈希算法、数字签名、时间戳、消息认证、完整性服务、身份认证、不可否认服务、消息认证、完整性服务、身份认证、不可否认服务、PKI认认证体系、认证系统证体系、认证系统n网络安全：安全协议、网络安全：安全协议、VPN、防火墙技术、入侵检测与防护、防火墙技术、入侵检测与防护、移动安全移动安全n系统安全：操作系统的安全、访问控制服务、病毒防范、系统安全：操作系统的安全、访问控制服务、病毒防范、Web的安的安全、电子邮件的安全、数据库安全全、电子邮件的安全、数据库安全n安全应用：电子支付、安全应用：电子支付、PKI/CA应用、企业安全解决应用、企业安全解决n安全管理：风险管理、安全制度、法律法规、安全标准安全管理：风险管理、安全制度、法律法规、安全标准本讲稿第四页，共一百零一页讲授内容讲授内容n密码学基础密码学基础 古典密古典密码学、现代加密方法、公码学、现代加密方法、公钥密码学等钥密码学等n密码应用密码应用身份鉴别、身份鉴别、访问控制等访问控制等n防火墙技术及其应用防火墙技术及其应用n网络扫描网络扫描nPKIn入侵检测技术入侵检测技术n响应和跟踪响应和跟踪nIPsec和和VPNnWeb安全安全n电子邮件的安全电子邮件的安全n操作系统安全操作系统安全n安全管理与安全评估安全管理与安全评估本讲稿第五页，共一百零一页参考资料参考资料教材教材：n胡伟雄胡伟雄 主编，主编，电子商务安全与认证电子商务安全与认证，高等教育出版社，高等教育出版社，2010.1 参考书：参考书：n胡伟雄胡伟雄 主编，主编，电子商务安全认证系统电子商务安全认证系统，华中师范大学出版社，华中师范大学出版社，2005.9 n Charles P.Pfleeger etc.,Security in Computing,Third Editionn李毅超李毅超 等译，等译，信息安全原理与应用信息安全原理与应用（第三版）（第三版）,电子工业出版社，电子工业出版社，2004，7nRoss J.Anderson，Security Engineeringn蒋佳蒋佳 等译，等译，信息安全工程信息安全工程，机械工业出版社，机械工业出版社，2003，8nBruce Schneier，Applied Cryptography,Protocols,algorithms,and source code in C(2nd Edition)n吴世忠、祝世雄、张文政等译，吴世忠、祝世雄、张文政等译，应用密码学应用密码学 协议、算法与协议、算法与C源程序源程序，机械工业，机械工业出版社，出版社，2000，1n安全网站安全网站本讲稿第六页，共一百零一页本课程对学生的要求本课程对学生的要求n基本课堂讲授基本课堂讲授+上机实践上机实践+课外研究型学习课外研究型学习的教学方式的教学方式n了解和掌握信息安全的基本原理、技术及最新研究了解和掌握信息安全的基本原理、技术及最新研究成果成果n具有信息安全的理论基础和较强实践能力具有信息安全的理论基础和较强实践能力n课程教学分成基本、中级、高级三个层次要求，不同学课程教学分成基本、中级、高级三个层次要求，不同学生可以自主选择时间和投入，以达基本以上的更高级别生可以自主选择时间和投入，以达基本以上的更高级别n考试分平时作业考试分平时作业(40%20作业作业20试验试验)和期和期末笔试末笔试(60%)本讲稿第七页，共一百零一页课时安排课时安排n第第27周，全部采用课堂讲授周，全部采用课堂讲授n第第8周起，每周一课堂讲授或讨论；双周三实验周起，每周一课堂讲授或讨论；双周三实验n第第18周，周三课堂总结周，周三课堂总结n实验地点：实验地点：9号楼号楼8楼实验室楼实验室n上课地点：上课地点：8110n如有异动，另行通知。如有异动，另行通知。本讲稿第八页，共一百零一页1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录本讲稿第九页，共一百零一页本讲稿第十页，共一百零一页本讲稿第十一页，共一百零一页本讲稿第十二页，共一百零一页本讲稿第十三页，共一百零一页网络安全形势网络安全形势n网络安全事件造成巨大损失网络安全事件造成巨大损失n任何组织都会遭受各种各样的攻击任何组织都会遭受各种各样的攻击n每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升n发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强n黑客职业化趋势明显黑客职业化趋势明显n面临严峻的安全形势面临严峻的安全形势本讲稿第十四页，共一百零一页网络安全事件造成巨大损失网络安全事件造成巨大损失n在在FBI/CSI的一次抽样调查中，被调查的企业的一次抽样调查中，被调查的企业2004年度由于网络年度由于网络安全事件直接造成的损失就达到安全事件直接造成的损失就达到1.4亿美元亿美元怠工、蓄意破坏 系统渗透 Web页面替换 电信欺诈 电脑盗窃 无线网络的滥用 私有信息窃取 公共web应用的滥用 非授权访问 金融欺诈 内部网络的滥用 拒绝服务攻击 病毒事件 本讲稿第十五页，共一百零一页任何组织都会遭受攻击任何组织都会遭受攻击本讲稿第十六页，共一百零一页每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升 2004年年CVE全年收集漏洞信息全年收集漏洞信息1707条条 到到2005年到年到5月月6日就已经达到日就已经达到1470条条年份漏洞数量1999742200040420018322002100620031049200417072005*1479本讲稿第十七页，共一百零一页发起攻击越来越容易、攻击能力越来越强发起攻击越来越容易、攻击能力越来越强本讲稿第十八页，共一百零一页黑客的职业化趋势黑客的职业化趋势n不再是小孩的游戏，而是与不再是小孩的游戏，而是与￥挂钩挂钩n职业入侵者受网络商人或商业间谍雇佣职业入侵者受网络商人或商业间谍雇佣n不在网上公开身份，不为人知，但确实不在网上公开身份，不为人知，但确实存在！存在！n计算机水平通常很高，精通多种技术计算机水平通常很高，精通多种技术n攻击者对自己提出了更高的要求，不再攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究满足于普通的技巧而转向底层研究本讲稿第十九页，共一百零一页面临严峻的安全形势面临严峻的安全形势nSQL Injection等攻击方式对使用者要求较低，一个中学生等攻击方式对使用者要求较低，一个中学生就可以很快掌握并灵活应用就可以很快掌握并灵活应用n缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧握这些技巧n少部分人掌握自行挖掘漏洞的能力，并且数量在增加少部分人掌握自行挖掘漏洞的能力，并且数量在增加n漏洞挖掘流程专业化，工具自动化：新工具的完善、自动化程度漏洞挖掘流程专业化，工具自动化：新工具的完善、自动化程度的提高使得漏洞挖掘时间缩短，单位时间内能挖掘出更多漏洞的提高使得漏洞挖掘时间缩短，单位时间内能挖掘出更多漏洞n厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知n“看不见的风险看不见的风险”只有前瞻的专业服务才能解决只有前瞻的专业服务才能解决本讲稿第二十页，共一百零一页不断发展的攻击技术不断发展的攻击技术一个典型网络环境一个典型网络环境n最有可能发生的安全事件最有可能发生的安全事件 病毒病毒n最有可能发生的安全事件最有可能发生的安全事件 恶意攻击者的攻击（恶意攻击者的攻击（SQL Injection）n最有可能发生的安全事件最有可能发生的安全事件 拒绝服务攻击（拒绝服务攻击（DDoS、BotNet）n客户端攻击客户端攻击nGoogle Hacking（搜索引擎的利用）（搜索引擎的利用）nPhishing（网络钓鱼）（网络钓鱼）本讲稿第二十一页，共一百零一页客户端攻击技术客户端攻击技术n在攻击服务端变得困难时，聪明的黑客把目标转向管理员的在攻击服务端变得困难时，聪明的黑客把目标转向管理员的PC以及其以及其他客户机群，通过攻击客户端，安装内核键盘记录器，获取密他客户机群，通过攻击客户端，安装内核键盘记录器，获取密码后折返攻击服务器码后折返攻击服务器n利用对象：利用对象：Windows漏洞、漏洞、IE、Outlook、Foxmail、Serv-U、IRC软件等软件等n客户端往往不被重视，加上客户端往往不被重视，加上ARP欺骗、欺骗、SMB会话劫持等嗅探密码的会话劫持等嗅探密码的手段较容易控制手段较容易控制n通常还掺杂大量的社会工程学通常还掺杂大量的社会工程学本讲稿第二十二页，共一百零一页Google HackingnGoogle Hacking 即：利用搜即：利用搜索引擎输入特定语法、关键字索引擎输入特定语法、关键字寻找可利用的渗透点，最终完寻找可利用的渗透点，最终完成入侵。敏感的信息包括：成入侵。敏感的信息包括：n目标站点的信息目标站点的信息n存储密码的文件存储密码的文件n后台管理和上传文件的后台管理和上传文件的 Web 页页n数据库数据库n特定扩展名的文件特定扩展名的文件n特定的特定的 Web 程序，如论坛程序，如论坛本讲稿第二十三页，共一百零一页Phishingn以假乱真，视觉陷阱以假乱真，视觉陷阱n域名类似域名类似 n身份伪装身份伪装 ?n编码编码 http:/210.134.161.35 http:/3532038435 http:/0 xD286A123n姜太公钓鱼，愿者上钩姜太公钓鱼，愿者上钩本讲稿第二十四页，共一百零一页为什么安全变得非常重要为什么安全变得非常重要n进行网络攻击变得越来越简单n越来越多的个人或公司连入Internetn并不是所有的用户都具有基本的安全知识本讲稿第二十五页，共一百零一页电子商务的安全风险电子商务的安全风险 信息传输风险信息传输风险 信用风险信用风险管理风险管理风险本讲稿第二十六页，共一百零一页电子商务的信息传输风险电子商务的信息传输风险 n客户面临的风险客户面临的风险：欺骗性网站：欺骗性网站、客户信、客户信息被盗、息被盗、Cookies文件文件、骗取密码、骗取密码 n销售商面临的风险销售商面临的风险：假客户：假客户、服务拒绝、服务拒绝、数据被窃取、数据被窃取 n企业自身面临的风险企业自身面临的风险：灾难风险：灾难风险、企业、企业内部网内部网、商务活动风险、商务活动风险 本讲稿第二十七页，共一百零一页电子商务的信用风险电子商务的信用风险 n来自买方的信用风险来自买方的信用风险 n来自卖方的信用风险来自卖方的信用风险 n买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况本讲稿第二十八页，共一百零一页电子商务的管理风险电子商务的管理风险 n交易流程管理风险交易流程管理风险 n人员管理风险人员管理风险 n网络交易技术管理的漏洞网络交易技术管理的漏洞 本讲稿第二十九页，共一百零一页电子商务的安全需求电子商务的安全需求n机密性机密性n完整性完整性n真实性（认证性）真实性（认证性）n可控性可控性n不可否认性不可否认性n可用性可用性本讲稿第三十页，共一百零一页1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录本讲稿第三十一页，共一百零一页安全（安全（SecuritySecurity）nSecurity is“the quality or state of being secure-to be free from danger”n采取保护，防止来自攻击者的有意或无意的破坏本讲稿第三十二页，共一百零一页密码安全密码安全 n密码系统与密码的安全保护与安全应用密码系统与密码的安全保护与安全应用n密码安全是通信安全的最核心部分密码安全是通信安全的最核心部分 本讲稿第三十三页，共一百零一页计算机安全计算机安全 n计算机系统的硬件、软件和数据受到保护，不因偶然的计算机系统的硬件、软件和数据受到保护，不因偶然的和恶意的原因而遭到破坏、更改和显露，系统连续正常和恶意的原因而遭到破坏、更改和显露，系统连续正常运行。运行。n计算机安全包括物理安全和逻辑安全。物理安全指计算机安全包括物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、机密性和可用性。失等。逻辑安全包括信息完整性、机密性和可用性。可用性指合法用户的正常请求能及时、正确、安全可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。地得到服务或回应。本讲稿第三十四页，共一百零一页网络安全网络安全 n指保证在任何两个实体之间的信息交流以指保证在任何两个实体之间的信息交流以及通信的安全可靠，满足计算机网络对信及通信的安全可靠，满足计算机网络对信息安全的可用性、实用性、完整性、真实息安全的可用性、实用性、完整性、真实性、机密性和占有性的要求。性、机密性和占有性的要求。n包括物理安全、通信安全、计算机安全、包括物理安全、通信安全、计算机安全、管理安全、人事安全、媒体安全和辐射安管理安全、人事安全、媒体安全和辐射安全。从系统外来看，研究内容还包括管理全。从系统外来看，研究内容还包括管理和法律两个方面和法律两个方面 本讲稿第三十五页，共一百零一页信息安全信息安全 n指信息的机密性、完整性、可用性和共享指信息的机密性、完整性、可用性和共享性等都能得到良好保护的一种状态。性等都能得到良好保护的一种状态。n信息安全涉及到信息存储的安全（又称信信息安全涉及到信息存储的安全（又称信息状态安全，即存储保密）、信息传输的息状态安全，即存储保密）、信息传输的安全（又称信息状态转移安全，即传输保安全（又称信息状态转移安全，即传输保密）和对网络传输信息内容的审计密）和对网络传输信息内容的审计 本讲稿第三十六页，共一百零一页安全环安全环 密码安全计算机安全网络安全信息安全密码安全计算机安全网络安全信息安全本讲稿第三十七页，共一百零一页1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录本讲稿第三十八页，共一百零一页概念概念 n安全威胁安全威胁是指某个人、物、事件或概念对是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合某一资源的机密性、完整性、可用性或合法使用所造成的危险。某种法使用所造成的危险。某种攻击攻击就是某种就是某种威胁的具体实现。威胁的具体实现。n脆弱性脆弱性是指在防护措施中和在缺少防护措是指在防护措施中和在缺少防护措施时系统所具有的弱点。施时系统所具有的弱点。n风险风险是关于某个已知的、可能引发某种成是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。功攻击的脆弱性的代价的测度。n防护措施防护措施是指保护资源免受威胁的一些物是指保护资源免受威胁的一些物理的控制、机制、策略和过程。理的控制、机制、策略和过程。本讲稿第三十九页，共一百零一页主要安全威胁主要安全威胁 完整性破坏完整性破坏信息泄露信息泄露拒绝服务拒绝服务非法使用非法使用窃听窃听业务流分析业务流分析电磁电磁/射频截获射频截获人员疏忽人员疏忽媒体废弃物媒体废弃物渗入渗入假冒欺骗假冒欺骗旁路控制旁路控制授权侵犯授权侵犯物理侵入物理侵入植入植入特洛伊木马特洛伊木马陷门陷门业务欺骗业务欺骗窃取窃取截获截获/修改修改否认否认资源耗尽资源耗尽完整性破坏完整性破坏信息泄露信息泄露完整性破坏完整性破坏窃取窃取重放重放基本安全基本安全威胁威胁潜在威胁潜在威胁可实现威胁可实现威胁可实现威胁可实现威胁主要攻击主要攻击本讲稿第四十页，共一百零一页威胁的种类威胁的种类 1、按威胁的、按威胁的来源来源可分为可分为内部威胁内部威胁和和外部威胁外部威胁；内内部部威威胁胁：系系统统的的合合法法用用户户以以非非授授权权方方式式访访问问系系统统。多多数数已已知知的的计计算算机机犯犯罪都和系统安全遭受损害的内部攻击有密切的关系。罪都和系统安全遭受损害的内部攻击有密切的关系。防止内部威胁的保护方法防止内部威胁的保护方法:a.a.对工作人员进行仔细审查；对工作人员进行仔细审查；b.b.仔仔细细检检查查硬硬件件、软软件件、安安全全策策略略和和系系统统配配制制，以以便便在在一一定定程程度度上上保证运行的正确性保证运行的正确性(称为可信功能度称为可信功能度)；c.审计跟踪以提高检测出这种攻击的可能性。审计跟踪以提高检测出这种攻击的可能性。本讲稿第四十一页，共一百零一页威胁的种类威胁的种类 外部威胁外部威胁：外部威胁的实施也称远程攻击。：外部威胁的实施也称远程攻击。外部攻击可以使用的办法外部攻击可以使用的办法:a.搭线搭线(主动的与被动的主动的与被动的);b.截取辐射截取辐射;c.冒充为系统的授权用户冒充为系统的授权用户,或冒充为系统的组成部分或冒充为系统的组成部分;d.为鉴别或访问控制机制设置旁路。为鉴别或访问控制机制设置旁路。本讲稿第四十二页，共一百零一页威胁的种类威胁的种类2、从威胁的、从威胁的动机动机上看可以分为上看可以分为偶发性偶发性与与故意性故意性；偶偶发发性性威威胁胁：指指那那些些不不带带预预谋谋企企图图的的威威胁胁，包包括括自自然然灾灾害害、系统故障系统故障,操作失误和软件出错。操作失误和软件出错。故故意意性性威威胁胁：指指对对计计算算机机系系统统的的有有意意图图、有有目目的的的的威威胁胁。范范围围可可使使用用简简单单的的监监视视工工具具进进行行随随意意的的检检测测，或或使使用用特特别别的的系系统统知知识识进进行行精精心心的的攻攻击击。一一种种故故意意的的威威胁胁如如果果实实现现就就可可认认为为是一种是一种“攻击攻击”、“入侵入侵”。本讲稿第四十三页，共一百零一页威胁的种类威胁的种类3、从威胁造成的从威胁造成的结果结果可分成可分成主动主动/被动威胁被动威胁。被被动动威威胁胁：对对信信息息的的非非授授权权泄泄露露但但是是未未篡篡改改任任何何信信息息，并并且系统的操作与状态也不受改变。例：搭线窃听。且系统的操作与状态也不受改变。例：搭线窃听。主主动动威威胁胁：对对系系统统的的状状态态进进行行故故意意地地非非授授权权改改变变。包包括括：系系统统中中信信息息、状状态态或或操操作作的的篡篡改改。比比如如：非非授授权权的的用用户户改改动路由选择表。动路由选择表。例例:篡篡改改消消息息、重重发发消消息息、插插入入伪伪消消息息、冒冒充充已已授授权权实实体体以以及及服务拒绝等。服务拒绝等。本讲稿第四十四页，共一百零一页威胁评估威胁评估 系系统统的的安安全全特特性性通通常常会会提提高高系系统统的的造造价价，并并且且可可能能使使该该系系统统难难于于使使用用。所所以以，在在设设计计一一个个安安全全系系统统之之前前，应应该该明明确确哪哪些些具具体体威威胁胁需需要要保保护护措措施施来来对对付付。这这叫叫做做威威胁胁评估。关于威胁评估的范围包括评估。关于威胁评估的范围包括:a.a.该系统的薄弱环节；该系统的薄弱环节；b.b.利用这些薄弱环节进行威胁的可能性；利用这些薄弱环节进行威胁的可能性；c.c.评估每种威胁实施成功的后果；评估每种威胁实施成功的后果；本讲稿第四十五页，共一百零一页威胁评估威胁评估 d.d.评估每种攻击的代价；评估每种攻击的代价；e.e.估算可能的应付措施的费用；估算可能的应付措施的费用；f.f.选取恰当的安全机制选取恰当的安全机制(使用价值效益分析使用价值效益分析)。非非技技术术性性措措施施：例例如如交交付付保保险险，对对于于技技术术性性安安全全措措施施而而言言在在价价值上也可能是一种有效的选择。值上也可能是一种有效的选择。技技术术上上要要做做到到完完全全安安全全好好比比要要做做到到安安全全的的物物理理保保护护，同同样样是是不不可可能能。所所以以，目目标标应应该该是是使使攻攻击击所所化化的的代代价价足足够够高高而而把把风风险降低到可接受的程度。险降低到可接受的程度。本讲稿第四十六页，共一百零一页信息传递的一般问题信息传递的一般问题信源、信道、信宿信源、信道、信宿攻击的种类：攻击的种类：中断（中断（Interruption)（干扰）（干扰）截取（截取（Interception)(侦听）侦听）修改（修改（Modification）伪造（伪造（Fabrication)角色：通信双方、可信第三方、不可信第三方角色：通信双方、可信第三方、不可信第三方介质：软件、硬件、数据介质：软件、硬件、数据本讲稿第四十七页，共一百零一页数据的性质数据的性质nInterruption -nInterception -nModification -nFabrication -AvailabilityConfidentialityIntegrityAuthenticity本讲稿第四十八页，共一百零一页n 信息安全包括数据安全和系统安全信息安全包括数据安全和系统安全n 数据安全受到四个方面的威胁数据安全受到四个方面的威胁n 设信息是从源地址流向目的地址，那么正常设信息是从源地址流向目的地址，那么正常的信息流向是：的信息流向是：信息源信息源信息目的地信息目的地威胁类型威胁类型本讲稿第四十九页，共一百零一页中断威胁中断威胁n 使在用信息系统毁坏或不能使用的攻击，破使在用信息系统毁坏或不能使用的攻击，破坏可用性（坏可用性（availability）。）。n 如硬盘等一块硬件的毁坏，通信线路的切如硬盘等一块硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。断，文件管理系统的瘫痪等。信息源信息源信息目的地信息目的地本讲稿第五十页，共一百零一页窃听威胁窃听威胁 n一个非授权方介入系统的攻击，破坏保密性一个非授权方介入系统的攻击，破坏保密性(confidentiality).n非授权方可以是一个人，一个程序，一台微机。非授权方可以是一个人，一个程序，一台微机。n这种攻击包括搭线窃听，文件或程序的不正当拷这种攻击包括搭线窃听，文件或程序的不正当拷贝。贝。信息源信息源信息目的地信息目的地本讲稿第五十一页，共一百零一页篡改威胁篡改威胁 n 一个非授权方不仅介入系统而且在系统中一个非授权方不仅介入系统而且在系统中瞎瞎捣乱捣乱的攻击，破坏完整性（的攻击，破坏完整性（integrity）.n这些攻击包括改变数据文件，改变程序使之不这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。能正确执行，修改信件内容等。信息源信息源信息目的地信息目的地本讲稿第五十二页，共一百零一页伪造威胁伪造威胁 n一个非授权方将伪造的客体插入系统中，破坏真一个非授权方将伪造的客体插入系统中，破坏真实性（实性（authenticity）的攻击。）的攻击。n包括网络中插入假信件，或者在文件中追加包括网络中插入假信件，或者在文件中追加记录等。记录等。信息源信息源信息目的地信息目的地本讲稿第五十三页，共一百零一页常见电子商务的安全威胁常见电子商务的安全威胁 n假冒假冒n篡改数据篡改数据n窃取信息窃取信息n报文的丢失或重放报文的丢失或重放n否认或抵赖否认或抵赖n拒绝服务拒绝服务n业务流分析业务流分析n授权侵犯授权侵犯n其他，如木马其他，如木马本讲稿第五十四页，共一百零一页被动攻击被动攻击窃听窃听获取消息内容获取消息内容 流量分析流量分析主动攻击主动攻击中断中断修改修改伪造伪造破坏可用性破坏可用性 破坏完整性破坏完整性 破坏真实性破坏真实性攻击分类攻击分类本讲稿第五十五页，共一百零一页冒充攻击冒充攻击n一个实体假装成另外一个实体。一个实体假装成另外一个实体。n 在鉴别过程中，获取有效鉴别序列，在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得部分特权。在以后冒名重播的方式获得部分特权。本讲稿第五十六页，共一百零一页重放攻击重放攻击n获取有效数据段以重播的方式获取对方获取有效数据段以重播的方式获取对方信任。信任。n在远程登录时如果一个人的口令不改变，在远程登录时如果一个人的口令不改变，则容易被第三者获取，并用于冒名重放。则容易被第三者获取，并用于冒名重放。本讲稿第五十七页，共一百零一页修改攻击修改攻击n 信件被改变，延时，重排，以至产生非信件被改变，延时，重排，以至产生非授权效果。授权效果。n 如信件如信件“允许张三读机密帐簿允许张三读机密帐簿”可被修可被修改成改成“允许李四读机密帐簿允许李四读机密帐簿”。本讲稿第五十八页，共一百零一页拒绝服务攻击拒绝服务攻击n 破坏设备的正常运行和管理。破坏设备的正常运行和管理。n 这种攻击往往有针对性或特定目标。这种攻击往往有针对性或特定目标。n 一个实体抑制发往特定地址的所有信一个实体抑制发往特定地址的所有信件，如发往审计服务器的所有信件。件，如发往审计服务器的所有信件。n 另外一种是将整个网络扰乱，扰乱的另外一种是将整个网络扰乱，扰乱的方法是发送大量垃圾信件使网络过载，方法是发送大量垃圾信件使网络过载，以降低系统性能。以降低系统性能。本讲稿第五十九页，共一百零一页防护措施防护措施 n防护措施包括物理防护和逻辑防护防护措施包括物理防护和逻辑防护n可从密码技术、物理安全、人员安全、管可从密码技术、物理安全、人员安全、管理安全、媒体安全、辐射安全和产品的生理安全、媒体安全、辐射安全和产品的生命周期控制等方面采取相应的防护措施命周期控制等方面采取相应的防护措施n木桶原理，一个安全系统的强度是与其最木桶原理，一个安全系统的强度是与其最弱保护点的强度相同的。弱保护点的强度相同的。本讲稿第六十页，共一百零一页1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录本讲稿第六十一页，共一百零一页概念概念 n安全服务：指在计算机网络中，为了防范安全服务：指在计算机网络中，为了防范安全威胁而采用的主要安全防护措施。是安全威胁而采用的主要安全防护措施。是一个系统提供的安全功能。一个系统提供的安全功能。n安全服务从用户的角度出发，被称作安全安全服务从用户的角度出发，被称作安全需求。需求。n安全机制：是安全服务的技术实现措施。安全机制：是安全服务的技术实现措施。本讲稿第六十二页，共一百零一页网络安全服务网络安全服务 n认证服务认证服务n访问控制服务访问控制服务n机密性服务机密性服务n数据完整性服务数据完整性服务n不可否认服务不可否认服务本讲稿第六十三页，共一百零一页认证认证(authentication)(authentication)n认证，又称鉴别，用来保证真实性认证，又称鉴别，用来保证真实性.n鉴别主要包括：标识鉴别和数据鉴别。鉴别主要包括：标识鉴别和数据鉴别。n标识鉴别是对主体的识别和证明，特别防止第三者的冒名顶替；标识鉴别是对主体的识别和证明，特别防止第三者的冒名顶替；n数数据据鉴鉴别别是是对对客客体体的的鉴鉴别别，主主要要检检查查主主体体对对客客体体的的负负责责性性，防防止止冒冒名名伪伪造造的的数据：数据：1 1）发方是真实的；（客户）发方是真实的；（客户）2 2）收方是真实的；（服务器）收方是真实的；（服务器）3 3）数据源和目的地也是真实的；数据源和目的地也是真实的；本讲稿第六十四页，共一百零一页机密性（机密性（confidentialiyconfidentialiy）机密性是用加密的方法实现的。加密的目的有三种：机密性是用加密的方法实现的。加密的目的有三种：n密密级级文文件件改改为为公公开开文文件件；无无论论是是绝绝密密文文件件还还是是机机密密文文件件，经经加加密密都都变变成成公公开开文文件件；这这样样在在通通信信线线路路上上公公开开发发送送，在在非非密密的的媒媒体体中中公公开开存存放，不受密级管理的限制；放，不受密级管理的限制；n实实现现多多级级控控制制需需要要。密密级级划划分分也也是是等等级级划划分分，按按不不同同密密级级加加密密是是为为了了实实现现多多级级控控制制。总总经经理理权权限限应应该该比比普普通通职职工工的的权权限限要要大大一一些些，总总经经理理能能看看的的文文件件，普普通通职职工工不不一一定定能能看看。密密级级划划分分只只是是多多级级控控制制的的一一部部分分。就就一一件件事事来来说说，这这一一部部分分人人是是有有关关人人员员，另另一一部部分分人人是是无无关关人人员员，但但就就另另一一件件事事来来说说，这这有有关关人人员员和和无无关关人人员员发发生生变变化化。这这种种变变动动中中的的多级控制是一个复杂问题，以后漫漫涉及到。多级控制是一个复杂问题，以后漫漫涉及到。n构建构建VPNVPN的需要。修筑加密通道，防止搭线窃听和冒名入侵。的需要。修筑加密通道，防止搭线窃听和冒名入侵。本讲稿第六十五页，共一百零一页机密性（机密性（confidentialiyconfidentialiy）机密性可以分为以下三类：机密性可以分为以下三类：n连接保密：即对某个连接上的所有用户数据提供保密。连接保密：即对某个连接上的所有用户数据提供保密。n无连接保密：即对一个无连接的数据报的所有用户数据提供保密。无连接保密：即对一个无连接的数据报的所有用户数据提供保密。n选选择择字字段段保保密密：即即对对一一个个协协议议数数据据单单元元中中的的用用户户数数据据的的一一些些经经选选择的字段提供保密。择的字段提供保密。n信信息息流流安安全全：即即对对可可能能从从观观察察信信息息流流就就能能推推导导出出的的信信息息提提供供保保密密。本讲稿第六十六页，共一百零一页完整性完整性(integrity)(integrity)n数据完整性是数据本身的真实性证明。数据完整性有两种。数据完整性是数据本身的真实性证明。数据完整性有两种。n 有有连连接接完完整整性性：对对传传输输中中的的数数据据流流进进行行验验证证，保保证证发发送送信信息息和和接接受受信信息息的的一一致致性性。有有连连接接完完整整性性通通信信中中用用ARQARQ技技术术解解决决，是是一一种种线线性性累累加加和和。在在使使用用密密码码技技术术进进行行验验证证时时，一一般般使使用用非非线线性性单单向向函函数数求求出出鉴鉴别别码，称码，称MACMAC。n 无无连连接接完完整整性性：均均用用非非线线性性单单向向函函数数求求出出MACMAC，MACMAC为为数数据据完完整整性性提供证据的同时，可作为改文件的代表码，供数字签名用。提供证据的同时，可作为改文件的代表码，供数字签名用。本讲稿第六十七页，共一百零一页完整性完整性(integrity)(integrity)n可可恢恢复复的的连连接接完完整整性性：该该服服务务对对一一个个连连接接上上的的所所有有用用户户数数据据的的完完整整性性提提供供保保障，而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。障，而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。n无恢复的连接完整性：该服务除了不具备恢复功能之外，其余同前。无恢复的连接完整性：该服务除了不具备恢复功能之外，其余同前。n选选择择字字段段的的连连接接完完整整性性：该该服服务务提提供供在在连连接接上上传传送送的的选选择择字字段段的的完整性，并能确定所选字段是否已被修改、插入、删除或重放。完整性，并能确定所选字段是否已被修改、插入、删除或重放。n无无连连接接完完整整性性：该该服服务务提提供供单单个个无无连连接接的的数数据据单单元元的的完完整整性性，能能确定收到的数据单元是否已被修改。确定收到的数据单元是否已被修改。n选选择择字字段段无无连连接接完完整整性性：该该服服务务提提供供单单个个无无连连接接数数据据单单元元中中各各个个选选择择字字段段的的完整性，能确定选择字段是否被修改。完整性，能确定选择字段是否被修改。本讲稿第六十八页，共一百零一页不可否认性不可否认性(nonrepudiation)(nonrepudiation)n当发方发送信息时，收方能够证明信息源是合法的；当发方发送信息时，收方能够证明信息源是合法的；n当收方接到信息时，发方能够证明信息目的地是合法的。当收方接到信息时，发方能够证明信息目的地是合法的。n为为作作到到这这一一点点，发发放放发发送送信信息息时时要要有有发发方方的的签签名名，收收方方应应发发收收方方签签名的回执，名的回执，n不不得得否否认认发发送送：这这种种服服务务向向数数据据接接收收者者提提供供数数据据源源的的证证据据，从从而而可可防防止止发送者否认发送过这个数据。发送者否认发送过这个数据。n不不得得否否认认接接收收：这这种种服服务务向向数数据据发发送送者者提提供供数数据据已已交交付付给给接接收收者者的的证据，因而接收者事后不能否认曾收到此数据。证据，因而接收者事后不能否认曾收到此数据。本讲稿第六十九页，共一百零一页非非电电子的模子的模拟拟系系统统 安全服务非电子机制实例认证带照片的身份卡；公安机关颁发的身份证等访问控制锁与钥匙；检查站的卫兵等机密性密封的信件；不透明的信封；不可见的墨迹等完整性不能出掉的墨水；信用卡上的全息照片等不可否认公证签名；经过核实或登记的邮件本讲稿第七十页，共一百零一页安全服务与安全威胁安全服务与安全威胁 安全威胁安全服务假冒攻击认证授权侵犯访问控制窃听攻击机密性完整性侵犯完整性业务否认不可否认服务拒绝认证、访问控制、完整性本讲稿第七十一页，共一百零一页安全服务与网络分层次安全服务与网络分层次本讲稿第七十二页，共一百零一页1.电子商务安全概况电子商务安全概况2.安全性概念安全性概念3.电子商务安全威胁电子商务安全威胁4.电子商务安全服务电子商务安全服务 5.电子商务安全机制电子商务安全机制6.电子商务安全体系结构电子商务安全体系结构 目目 录录本讲稿第七十三页，共一百零一页n加密机制加密机制 n鉴别机制鉴别机制 n数字签名机制数字签名机制n访问控制机制访问控制机制n数据完整性机制数据完整性机制n跟踪审计和信息过滤跟踪审计和信息过滤n密钥管理密钥管理 安全机制安全机制n业务流量填充机制业务流量填充机制n路由控制机制路由控制机制n证书机制证书机制 n防火墙防火墙 n公证机制公证机制n安全恢复安全恢复 本讲稿第七十四页，共一百零一页加密机制加密机制n加密是提供数据保密的最常用方法。加密是提供数据保密的最常用方