網(wǎng)上支付與電子商務(wù)安全.ppt

《網(wǎng)上支付與電子商務(wù)安全.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)上支付與電子商務(wù)安全.ppt（37頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

網(wǎng)上支付與電子商務(wù)安全 章學(xué)拯zxz 課程目標(biāo) 正確理解電子商務(wù)安全的重要性及其面臨的問(wèn)題掌握密碼學(xué)的基本概念了解信息加密和數(shù)字簽名原理掌握信息加密和數(shù)字簽名的操作了解互聯(lián)網(wǎng)基本技術(shù) TCP IP和WWW技術(shù)及其安全問(wèn)題了解計(jì)算機(jī)網(wǎng)絡(luò)中的身份認(rèn)證技術(shù)和應(yīng)用掌握保障網(wǎng)絡(luò)安全基本工具的使用方法了解網(wǎng)絡(luò)攻擊方式和防御措施了解電子商務(wù)的發(fā)展需求和金融電子化進(jìn)程掌握網(wǎng)絡(luò)支付與結(jié)算的整體理論與應(yīng)用體系系統(tǒng)學(xué)習(xí)以電子銀行為主的網(wǎng)絡(luò)金融服務(wù)知識(shí) 安全部分課程體系 信息安全基礎(chǔ)知識(shí)安全概念 安全特征 安全體系 安全策略 安全技術(shù) 安全現(xiàn)狀和趨勢(shì)信息安全基本技術(shù)密碼學(xué) 對(duì)稱密鑰密碼 非對(duì)稱密鑰密碼 密鑰管理 數(shù)字簽名 PKI 身份認(rèn)證 訪問(wèn)控制TCP IP與WWW網(wǎng)站安全TCP IP協(xié)議安全 Web網(wǎng)站安全系統(tǒng)的攻擊與防御攻擊方法和工具 系統(tǒng)安全策略 防火墻技術(shù) 檢測(cè)和掃描 病毒防止 考核 教學(xué)方案 電子商務(wù)安全 第1章電子商務(wù)安全基礎(chǔ)知識(shí)第2章信息加密技術(shù)與應(yīng)用第3章數(shù)字簽名技術(shù)與應(yīng)用第4章數(shù)字證書(shū)與公鑰基礎(chǔ)設(shè)施第5章TCP IP與WWW安全第6章身份認(rèn)證 訪問(wèn)控制與安全協(xié)議第7章防火墻的構(gòu)造與選擇第8章網(wǎng)絡(luò)攻擊與防御第9章計(jì)算機(jī)病毒及其防治技術(shù) 第1章電子商務(wù)安全基礎(chǔ)知識(shí) 第1節(jié)電子商務(wù)安全概述第2節(jié)電子商務(wù)安全保障第1章小結(jié)第1章作業(yè)要求 第1節(jié)電子商務(wù)安全概述 電子商務(wù)安全的關(guān)鍵是信息安全計(jì)算機(jī)信息處理過(guò)程和基礎(chǔ)電子商務(wù)安全問(wèn)題及其根源電子商務(wù)安全特征及其防范技術(shù) 電子商務(wù)安全的關(guān)鍵是信息安全 電子商務(wù)是利用計(jì)算機(jī)網(wǎng)絡(luò)所進(jìn)行的商務(wù)活動(dòng) 電子商務(wù)的關(guān)鍵是商務(wù)信息的電子化處理 存儲(chǔ) 傳輸 電子商務(wù)安全的關(guān)鍵是信息處理 存儲(chǔ) 傳輸?shù)陌踩?信息傳輸安全 網(wǎng)絡(luò)運(yùn)行安全 計(jì)算機(jī)信息處理過(guò)程 應(yīng)用知識(shí)進(jìn)行數(shù)據(jù)加工 數(shù)據(jù) 信息 數(shù)據(jù)存儲(chǔ)器 接收者 數(shù)據(jù)輸入 Web表單條形碼掃描 數(shù)據(jù)加工 統(tǒng)計(jì)軟件MIS系統(tǒng)數(shù)據(jù)挖掘 數(shù)據(jù)傳輸 局域網(wǎng)廣域網(wǎng)無(wú)線網(wǎng)絡(luò) 數(shù)據(jù)存儲(chǔ) 服務(wù)器PC機(jī)存儲(chǔ)介質(zhì) 數(shù)據(jù)輸出 MIS系統(tǒng)計(jì)算機(jī)屏幕紙面打印音頻 采集 輸入者 計(jì)算機(jī)信息處理的基礎(chǔ)硬件 軟件 網(wǎng)絡(luò) 信息處理的基礎(chǔ) 硬件 信息處理的基礎(chǔ) 軟件 會(huì)計(jì) 通用賬務(wù)等市場(chǎng) 銷售分析等制造 產(chǎn)品控制等財(cái)務(wù) 投資預(yù)算等 操作系統(tǒng)操作環(huán)境數(shù)據(jù)庫(kù)管理系統(tǒng)通信系統(tǒng) 程序設(shè)計(jì)語(yǔ)言翻譯器DSS生成器 系統(tǒng)應(yīng)用程序執(zhí)行管理器安全管理器 字處理軟件電子表格數(shù)據(jù)庫(kù)管理網(wǎng)頁(yè)制作通信繪圖 信息處理的基礎(chǔ) 網(wǎng)絡(luò) 自身缺陷 網(wǎng)絡(luò)開(kāi)放性 管理問(wèn)題 電子商務(wù)安全問(wèn)題及其根源 網(wǎng)絡(luò)運(yùn)行安全 問(wèn)題思考 網(wǎng)絡(luò)的缺陷管理的欠缺非法攻擊網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全體系結(jié)構(gòu)系統(tǒng)安全系統(tǒng)軟件的漏洞和后門(mén)系統(tǒng)故障 崩潰信息傳輸安全 問(wèn)題思考 信息被泄密 篡改或假冒 網(wǎng)絡(luò)安全事件 信用卡數(shù)據(jù)中心被非法闖入2005年6月 美國(guó)約有4000萬(wàn)張信用卡資料可能外泄 其中包括5500張中國(guó)大陸信用卡 CSDN 中國(guó)軟件開(kāi)發(fā)聯(lián)盟 用戶數(shù)據(jù)庫(kù)被盜2011年12月22日 國(guó)內(nèi)開(kāi)發(fā)者社區(qū)CSDN遭到黑客攻擊 其數(shù)據(jù)庫(kù)中超過(guò)600萬(wàn)用戶資料遭到泄露 經(jīng)過(guò)驗(yàn)證確認(rèn)有其他網(wǎng)站用戶數(shù)據(jù)庫(kù)信息也被泄露 隨后黑客又相繼爆出人人網(wǎng) 178 多玩 百合網(wǎng) 51CTO 天涯論壇等用戶資料 美國(guó)第二大折扣零售商Target 塔基特 網(wǎng)站連續(xù)二次崩潰2011年10月25日周二美國(guó)中央時(shí)區(qū)早上11點(diǎn)50分該網(wǎng)站出現(xiàn)崩潰現(xiàn)象 到下午2點(diǎn)多時(shí) 該網(wǎng)站重新上線 一個(gè)月前的9月13日 由于大批用戶涌向Target網(wǎng)站 購(gòu)買其感興趣的新產(chǎn)品 Target網(wǎng)站已經(jīng)出現(xiàn)崩潰現(xiàn)象 酒店網(wǎng)站被黑 CSDN泄漏的600萬(wàn)用戶帳號(hào)和密碼的統(tǒng)計(jì)信息 大約有189307個(gè)密碼是以手機(jī)號(hào)形式存在的 139211711382099613520248 大約有437296個(gè)密碼是以日期形式存在的 按數(shù)量排序如下時(shí)間數(shù)量198743307198638670198837917 關(guān)于網(wǎng)絡(luò)運(yùn)行安全的思考 你家有幾個(gè)門(mén) 這些門(mén)是否已安裝了合適的鎖 這些鎖是否在必要的時(shí)候鎖好了 如何才能控制或不受限制的進(jìn)入互聯(lián)網(wǎng)上的一臺(tái)服務(wù)器 攻擊互聯(lián)網(wǎng)上計(jì)算機(jī)與攻擊所在局域網(wǎng)中的其它計(jì)算機(jī)在操作程序上可能會(huì)有哪些差別 獲取他人賬號(hào)和密碼的方法有哪些 通訊線路 網(wǎng)絡(luò)端口 用戶權(quán)限 數(shù)據(jù)庫(kù)安全 通訊協(xié)議 非法攻擊流程 踩點(diǎn)FootPrinting 木馬TrojanHorse 網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全體系結(jié)構(gòu) 電子商務(wù)安全的基本特征 保密性確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程完整性只有得到允許的人才能修改數(shù)據(jù) 并且能夠判別出數(shù)據(jù)是否已被篡改可用 訪問(wèn) 性得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù) 即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作 關(guān)于信息傳輸安全的思考 電子商務(wù)活動(dòng)中存在或可能存在的信息傳輸安全問(wèn)題有哪些 試列舉具體的問(wèn)題 信用卡帳戶信息泄密的途徑有哪些 用戶計(jì)算機(jī)感染木馬病毒 證券大盜 網(wǎng)銀大盜 軟鍵盤(pán) 密碼傳輸過(guò)程中被竊 假冒網(wǎng)站 信息保密性身份真實(shí)性不可抵賴性 電子商務(wù)安全的其他特征 不可否認(rèn)性防止通信或交易雙方對(duì)已進(jìn)行業(yè)務(wù)的否認(rèn)認(rèn)證性信息發(fā)送者或系統(tǒng)登陸者身份的確認(rèn)可控性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式可審查性對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段合法性各方的業(yè)務(wù)行為存在可適用的法律和法規(guī) 電子商務(wù)安全特征及其防范技術(shù) 第2節(jié)電子商務(wù)安全保障 電子商務(wù)安全層次與安全技術(shù)環(huán)安全環(huán)境 目標(biāo) 威嚴(yán)的法律先進(jìn)的技術(shù)嚴(yán)格的管理安全策略物理安全策略網(wǎng)絡(luò)安全控制策略信息加密策略網(wǎng)絡(luò)安全管理策略 安全實(shí)施安全攻擊與服務(wù)安全技術(shù)與產(chǎn)品 電子商務(wù)安全層次與安全技術(shù)環(huán) 電子商務(wù)安全層次電子商務(wù)安全技術(shù)環(huán) 應(yīng)用安全 系統(tǒng)安全 網(wǎng)絡(luò)安全 安全協(xié)議 安全的密碼算法 20世紀(jì)90年代以前 通信保密 COMSEC 時(shí)代該時(shí)代采用的信息安全保障措施就是加密和基于計(jì)算機(jī)規(guī)則的訪問(wèn)控制 20世紀(jì)90年代 信息安全 INFOSEC 時(shí)代數(shù)字化信息除了有保密性的需要外 還有信息的完整性 信息和信息系統(tǒng)的可用性需求 因此 該時(shí)代提出了信息安全就是要保證信息的保密性 完整性和可用性 90年代后期起 信息安全保障 IA 時(shí)代該時(shí)代信息安全在原來(lái)的基礎(chǔ)上增加了信息和系統(tǒng)的可控性 信息行為的不可否認(rèn)性要求 并且需要對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御 包括對(duì)信息的保護(hù) 檢測(cè) 反應(yīng)和恢復(fù)能力 由此形成了包括預(yù)警 保護(hù) 檢測(cè) 反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念 即信息保障的WPDRR模型 信息安全的目標(biāo)要求 預(yù)警W 保護(hù)P 監(jiān)測(cè)D 響應(yīng)R 恢復(fù)R 技術(shù) 操作 人 物理安全策略的目的 保護(hù)計(jì)算機(jī)系統(tǒng) 網(wǎng)絡(luò)服務(wù)器 打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害 人為破壞和搭線攻擊 防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊 破壞活動(dòng)的發(fā)生 確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容和防止電磁泄漏 即TEMPEST技術(shù) 的工作環(huán)境 采用各種電磁屏蔽措施 如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽 同時(shí)對(duì)機(jī)房的下水管 暖氣管和金屬門(mén)窗進(jìn)行屏蔽和隔離 干擾的防護(hù)措施 即在計(jì)算機(jī)系統(tǒng)工作的同時(shí) 利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征 網(wǎng)絡(luò)安全控制策略 網(wǎng)絡(luò)安全防范和保護(hù)的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn) 它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全 保護(hù)網(wǎng)絡(luò)資源的重要手段 各種電子商務(wù)安全策略必須相互配合才能真正起到保護(hù)作用 但網(wǎng)絡(luò)安全控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一 網(wǎng)絡(luò)安全控制策略包括 入網(wǎng)訪問(wèn)控制網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制防火墻控制 信息加密策略 網(wǎng)絡(luò)加密常用的方法有鏈路加密 端點(diǎn)加密和節(jié)點(diǎn)加密三種 鏈路加密 保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全 端到端加密 對(duì)從源端用戶到目的端用戶的數(shù)據(jù)傳輸提供保護(hù) 節(jié)點(diǎn)加密 在節(jié)點(diǎn)處采用一個(gè)與節(jié)點(diǎn)機(jī)相連的密碼裝置 對(duì)明文進(jìn)行加密 避免了鏈路加密節(jié)點(diǎn)處易受攻擊的缺點(diǎn) 對(duì)稱密碼信息的接收者和發(fā)送者使用相同的密鑰 即加密密鑰和解密密鑰是相同或等價(jià)的 比較著名的對(duì)稱密碼算法有 美國(guó)的DES TripleDES GDES NewDES 歐洲的IDEA 日本的FEAL N LOKI 91 Skipjack RC4 RC5以及以替代密碼和置換密碼為代表的古典密碼等 在眾多的對(duì)稱密碼算法中影響最大的是DES算法 非對(duì)稱密碼收信方和發(fā)信方使用的密鑰互不相同 而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰 比較著名的不對(duì)稱密碼算法有 RSA 背包密碼 McEliece密碼 Diffe Hellman Rabin Ong Fiat Shamir 零知識(shí)證明的算法 橢園曲線 EIGamal算法等等 最有影響的不對(duì)稱密碼算法是RSA 網(wǎng)絡(luò)安全管理策略 確定安全管理等級(jí)和安全管理范圍 制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等 網(wǎng)絡(luò)安全管理策略實(shí)施中存在的問(wèn)題沒(méi)有建立信息安全組織 或人員缺乏專業(yè)信息安全訓(xùn)練 僅依靠網(wǎng)管員個(gè)人力量 信息安全崗位設(shè)置不恰當(dāng) 安全職責(zé)劃分不合理 本位現(xiàn)象嚴(yán)重 安全攻擊 安全攻擊是一種針對(duì)電子商務(wù)系統(tǒng)的故意的威脅行為 它致力于避開(kāi)安全服務(wù)并且侵犯系統(tǒng)的安全策略 安全攻擊分為被動(dòng)攻擊 Passiveattack 和主動(dòng)攻擊 Activeattack 被動(dòng)攻擊被動(dòng)攻擊具有偷聽(tīng)或者監(jiān)控傳輸?shù)男再|(zhì) 攻擊者的目的就是獲得正在傳輸?shù)男畔?被動(dòng)攻擊有釋放消息內(nèi)容和流量分析兩種類型 主動(dòng)攻擊主動(dòng)攻擊與更改數(shù)據(jù)流或偽造假的數(shù)據(jù)流有關(guān) 主動(dòng)攻擊可以分為四類 偽裝 Masquerade 重放 Reply 更改消息內(nèi)容 Modification 和拒絕服務(wù) Denialofservice 被動(dòng)攻擊 釋放消息內(nèi)容釋放消息內(nèi)容 Releaseofmassagecontents 是攻擊者通過(guò)一定的方式讀取發(fā)送者發(fā)送給接受者的信息的行為 但這種讀取并不影響信息的正常傳輸 攻擊者竊取的消息往往是帶有機(jī)密性或者是非常敏感的信息 流量分析流量分析 Trafficanalysis 是攻擊者分析信息傳輸?shù)哪Ｊ?包括分析發(fā)收雙方 交換信息的頻率和信息的長(zhǎng)度等數(shù)據(jù)來(lái)獲取有用的信息 使用流量分析的攻擊者往往是在無(wú)法釋放消息內(nèi)容的情況下不得已的做法 譬如 攻擊者所得到的釋放消息內(nèi)容是經(jīng)過(guò)加密的消息 主動(dòng)攻擊 1 偽裝偽裝 Masquerade 是指一個(gè)實(shí)體假裝成為另一個(gè)不同的實(shí)體向第三方發(fā)送消息 譬如 一個(gè)假冒工商銀行的網(wǎng)站向網(wǎng)民發(fā)送網(wǎng)頁(yè)內(nèi)容 誘騙網(wǎng)民輸入銀行賬戶信息 重放重放 Reply 是指攻擊者使用被動(dòng)攻擊捕獲消息后 按照原來(lái)的順序重新發(fā)送 從而產(chǎn)生未經(jīng)授權(quán)進(jìn)入系統(tǒng)的效果 它是一種針對(duì)身份鑒別服務(wù)的攻擊 具體參見(jiàn)第5章 主動(dòng)攻擊 2 更改消息內(nèi)容更改消息內(nèi)容 Modification 是指攻擊者使用被動(dòng)攻擊捕獲消息后 更改原始消息的一部分 或者延遲或重行排序消息后重新發(fā)送給接收方的行為 拒絕服務(wù)拒絕服務(wù) Denialofservice 是指攻擊者阻止或禁止他人對(duì)系統(tǒng)的正常使用或管理 這種攻擊通常具有明確的攻擊目標(biāo) 譬如 使用超載消息來(lái)降低網(wǎng)絡(luò)的性能甚至造成網(wǎng)絡(luò)癱瘓 另一種形式的拒絕服務(wù)攻擊是刪除系統(tǒng)文件或數(shù)據(jù)使得授權(quán)使用者無(wú)法得到相應(yīng)的服務(wù)或獲取數(shù)據(jù) 安全服務(wù)與安全攻擊之間的關(guān)系 信息安全技術(shù)與產(chǎn)品 安全操作系統(tǒng)防火墻 軟件或硬件 安全掃描 掃描器 掃描軟件 網(wǎng)絡(luò)監(jiān)控 入侵檢測(cè) 安全審計(jì) 安全日志 信息加密 加密軟件 身份認(rèn)證 身份認(rèn)證與數(shù)字簽名軟件 卡 認(rèn)證令牌 通信加密 移動(dòng)通訊網(wǎng)加密技術(shù) SSL產(chǎn)品 災(zāi)難恢復(fù) 系統(tǒng)或文件備份和恢復(fù)軟件 防病毒 防病毒軟件 以上安全產(chǎn)品共同組成了一個(gè)完整的網(wǎng)絡(luò)安全系統(tǒng) 每一個(gè)單獨(dú)的組件只能完成其中部分功能 而不能完成全部功能 信息安全技術(shù)分類 安全防護(hù)類身份認(rèn)證 PAP PKI 網(wǎng)絡(luò)訪問(wèn)控制 防火墻 接入控制 NAC 加密技術(shù) SSH VNP SSL 攻擊阻斷 IPS 惡意代碼防護(hù) 防病毒 木馬隔離 安全操作系統(tǒng)檢測(cè)分析類漏洞掃描非法外聯(lián)檢查合規(guī)性檢查入侵檢測(cè) IDS 網(wǎng)絡(luò)分析工具 TCPdump Windump sniffer 主機(jī)分析工具 fport ActivePorts strace strings 應(yīng)急恢復(fù)類事故和系統(tǒng)恢復(fù)技術(shù)與工具 Ghost 雨過(guò)天晴 評(píng)估審計(jì)類安全日志漏洞掃描入侵檢測(cè)安全滲透測(cè)試 蜜罐技術(shù) Honeyd 虛擬主機(jī)技術(shù) 安全管理類網(wǎng)絡(luò)內(nèi)容管理上網(wǎng)行為管理帶寬管理補(bǔ)丁管理終端設(shè)備管理網(wǎng)絡(luò)接入控制管理統(tǒng)一威脅管理 UTM 第1章小結(jié) 電子商務(wù)安全基礎(chǔ)知識(shí) 安全的關(guān)鍵 信息處理過(guò)程 安全問(wèn)題 安全特征 安全層次 安全目標(biāo) 安全策略 安全實(shí)施 五大技術(shù)三大基礎(chǔ) 信息傳輸網(wǎng)絡(luò)運(yùn)行 系統(tǒng) 保密性完整性認(rèn)證性不可否認(rèn)性可用性可控性可審性合法性 四面一線五技術(shù)環(huán) 預(yù)警保護(hù)監(jiān)測(cè)響應(yīng)恢復(fù) 物理安全網(wǎng)絡(luò)安全控制信息加密網(wǎng)絡(luò)安全管理 攻擊與服務(wù)安全技術(shù)及其分類 概述 安全保障 第1章作業(yè)要求 閱讀艾瑞咨詢 2012年個(gè)人網(wǎng)絡(luò)安全年度報(bào)告 在全文閱讀的基礎(chǔ)上 在作業(yè)模板中做1個(gè)Page的重要內(nèi)容 自認(rèn)為就可以 摘要 將作業(yè)模板的文件名 xxxxxxx x作業(yè) doc 改為自己的學(xué)號(hào)和章節(jié)號(hào) 并在實(shí)驗(yàn)管理系統(tǒng)