电子商务系统的安全措施培训教程

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,#,第3章 电子商务系统的 安全措施,为了满,足,足电子,商,商务的,安,安全要,求,求，电,子,子商务,系,系统必,须,须利用,安,安全技,术,术为电,子,子商务,活,活动参,与,与者提,供,供可靠,的,的安全,服,服务，,主,主要包,括,括鉴别,服,服务、,访,访问控,制,制服务,、,、机密,性,性服务,、,、不可,否,否认服,务,务等。,3.1数据安,全,全,3.2,网,网,络,络安全,性,性,3.3,应,应,用,用系统,安,安全,3.1数据安,全,全,我们将,源,源信息,称,称之为,明,明文。,为了保,护,护明文,，,，将其,通,通过某,种,种方式,变,变换成,局,局外人,难,难以识,别,别的另,外,外一种,形,形式，,即,即密文,。,。,这个变,换,换处理,的,的过程,称,称之为,加,加密。,密文可,以,以经过,相,相应的,逆,逆变换,还,还原成,为,为明文,。,。仅变,换,换处理,的,的过程,称,称之为,解,解密。,整个加,密,密和解,密,密过程,可,可以用,图,图3-1来表,示,示。,明文通,过,过加密,变,变换成,为,为密文,，,，网上,交,交易的,各,各方使,用,用密文,进,进行通,信,信，密,文,文通过,解,解密还,原,原为明,文,文。,图3-1,加,加密和,解,解密,3.1,.,.1传统密,码,码体制,3.1,.,.1.1 概,述,述,传统密,钥,钥密码,体,体制的,特,特点是,无,无论加,密,密还是,解,解密都,共,共用一,把,把密钥,，,，即加,密,密密钥,和,和解密,密,密钥相,同,同（kekd）。,加密算,法,法是将,字,字母位,置,置按照,顺,顺序向,后,后移动4位，并,一,一一对,应,应，4就是加,密,密密钥,。,。,解密密,钥,钥也是4，但是,解,解密算,法,法是加,密,密算法,的,的逆运,算,算。,保密的,关,关键就,是,是密钥,，,，只要,密,密钥不,泄,泄露，,仅,仅仅知,道,道算法,要,要想破,译,译密文,还,还是有,一,一定困,难,难的。,3.1,.,.1.2DES,加,加密算,法,法,DES，即Data EncryptionStandard（数据,加,加密标,准,准），,它,它是分,组,组密码,的,的一个,典,典型代,表,表。,采用多,次,次位与,代,代替相,组,组合的,处,处理方,法,法。,DES加密算,法,法可分,为,为加密,处,处理、,加,加密变,换,换及子,密,密钥的,生,生成几,个,个部分,。,。加密过,程,程可用,数,数学公,式,式表示,如,如下：,DES,的,的解密,与,与DES的加,密,密一样,，,，只不,过,过是子,密,密钥的,顺,顺序相,反,反。,3.1,.,.1.3 传,统,统密钥,密,密码体,制,制的分,类,类和工,作,作原理,传统密,钥,钥密码,体,体制中,，,，密码,按,按加密,方,方式不,同,同可以,分,分为序,列,列密码,与,与分组,密,密码著,名,名的DES算,法,法就属,于,于分组,加,加密算,法,法。,1序,列,列密码,的,的工作,原,原理,序列密,码,码的工,作,作原理,非,非常直,观,观。,图3-2序列密,码,码的加,密,密过程,图3-3序列密,码,码的解,密,密过程,2分,组,组密码,的,的工作,原,原理,图3-4分组密,码,码的工,作,作原理,3.1,.,.2公开密,钥,钥密码,体,体制,传统的,对,对称密,钥,钥密码,体,体制，,特,特点是,加,加密密,钥,钥等于,解,解密密,钥,钥（ke=kd），但,无,无法解,决,决密钥,分,分发问,题,题，这,是,是传统,密,密钥密,码,码体制,的,的缺陷,。,。,公开密,钥,钥密码,体,体制的,特,特点是,加,加密密,钥,钥不等,于,于解密,密,密钥（kekd），并,且,且在计,算,算上不,能,能由加,密,密密钥,推,推出解,密,密密钥,，,，所以,将,将加密,密,密钥公,开,开不会,危,危害解,密,密的安,全,全，也,就,就不需,要,要一条,额,额外的,保,保密通,道,道来传,送,送密钥,了,了。,用户的,加,加密密,钥,钥与解,密,密密钥,不,不再相,同,同，而,且,且从加,密,密密钥,求,求解密,密,密钥是,非,非常困,难,难的。,3.1,.,.2.1RSA,加,加密体,制,制,RSA,体,体制是,第,第一个,成,成熟的,、,、迄今,为,为止理,论,论上最,为,为成功,的,的公开,密,密钥密,码,码体制,。,。,1RSA算,法,法的理,论,论基础,RSA算法运,用,用了数,论,论中的Euler定理，,即,即a、r是两个,互,互素的,正,正整数,，,，则az1（modr），其,中,中z为与r互素且,不,不大于r的正整,数,数的个,数,数（即Euler函数）,。,。,2RSA算,法,法的实,施,施,设计密,钥,钥（e，r）和（d，P，Q）,(2),设,设计,密,密文,(3),恢,恢复,明,明文,3素数,的,的检测,素数检,测,测的方,法,法可分,为,为两大,类,类：一,为,为概率,方,方法，,二,二为确,定,定性方,法,法。,3.1,.,.2.2 良,好,好隐私,加,加密算,法,法（PGP）,1PGP简,介,介,PGP是一个,基,基于公,开,开密钥,加,加密算,法,法的应,用,用程序。,PGP,加,加密算,法,法有以,下,下几个,特,特点：,加密速,度,度快,可移植,性,性出色,源代码,是,是免费,的,的，可,以,以削减,系,系统预,算,算。,2PGP加,密,密算法,的,的功能,(1)加密文,件,件,(2),密,密钥,生,生成,(3),密,密钥,管,管理,(4),收,收发,电,电子函,件,件,(5),数,数字,签,签名,(6),认,认证,密,密钥,3PGP加,密,密算法,构,构成,PGP,加,加密算,法,法包括,四,四个方,面,面：,(1),一,一个,私,私钥加,密,密算法,（,（IDEA）,(2),一,一个,公,公钥加,密,密算法,（,（RSA）,(3),一,一个,单,单向散,列,列算法,（,（MD5）,(4),一,一个,随,随机数,产,产生器,4PGP工,作,作过程,3.2,网,网,络,络安全,性,性,3.2,.,.1网络安,全,全规划,3.2,.,.1.1 威,胁,胁评估,非授权,访,访问,信息泄,露,露,拒绝服,务,务,3.2,.,.1.2 分,布,布式控,制,制,实现网,络,络安全,的,的一种,方,方法，,是,是将一,个,个大型,网,网络中,各,各段的,责,责任和,控,控制权,分,分配给,单,单位内,部,部的一,些,些小组,。,。,3.2,.,.1.3编写网,络,络安全,策,策略,网络用,户,户的安,全,全责任,系统管,理,理员的,安,安全责,任,任,正确利,用,用网络,资,资源,检测到,安,安全问,题,题时的,对,对策,3.2,.,.2.3动态网,络,络安全,对,对策,图3-5P2DR模型示,意,意图,P2DR模型,包,包含4,个,个主要,部,部分：,Policy,(,(安全,策,策略),Protection(防,护,护),Detection,(,(检测,),),Response(,响,响应),3.2,.,.3防火墙,技,技术,3.2,.,.3.1基本概,念,念,1防火,墙,墙的概,念,念,防火墙,是,是设置,在,在被保,护,护网络,和,和外部,网,网络之,间,间的一,道,道屏障,，,，以防,止,止发生,不,不可预,测,测的、,潜,潜在的,破,破坏性,侵,侵入。,2防火,墙,墙的实,质,质,1数据,包,包过滤,数据包,过,过滤是,依,依据系,统,统内设,置,置的过,滤,滤逻辑,。,。,通过检,查,查数据,流,流中每,个,个数据,包,包的源,地,地址、,目,目的地,址,址、所,用,用的端,口,口号、,协,协议状,态,态等因,素,素，或,通,通过检,查,查它们,的,的组合,来,来确定,是,是否允,许,许该数,据,据包通,过,过。其,实,实现原,理,理如图3-6所示。,3.2,.,.3.2防火墙,的,的分类,及,及其原,理,理,根据防,范,范的方,式,式和侧,重,重点的,不,不同，,防,防火墙,可,可分为,三,三大类,：,：,图3-6数据包,过,过滤防,火,火墙原,理,理示意,图,图,2应,用,用级网,关,关,应用级,网,网关（ApplicationLevelGateways）是在,网,网络应,用,用层上,建,建立协,议,议过滤,和,和转发,功,功能。,图3-7应用网,关,关防火,墙,墙原理,示,示意图,3代,理,理服务,代理服,务,务是针,对,对数据,包,包过滤,和,和应用,网,网关技,术,术的缺,点,点而引,入,入的防,火,火墙技,术,术，其,特,特点是,将,将所有,跨,跨越防,火,火墙的,网,网络通,信,信链路,分,分为两,段,段。,应用层,代,代理服,务,务数据,控,控制及,传,传输过,程,程如图3-8,所,所示。,图3-8代理服,务,务防火,墙,墙应用,层,层数据,控,控制及,传,传输过,程,程示意,图,图,有屏蔽,子,子网型,防,防火墙,是,是防火,墙,墙的基,本,本类型,，,，如图3-9所示。,图3-9有屏蔽,子,子网型,防,防火墙,在Internet和企业,局,局域网,之,之间接,续,续多宿,主,主机，,作,作为代,理,理中继,，,，可以,构,构成多,宿,宿主机,型,型防火,墙,墙，如,图,图3-10所示。,图3-10多宿主,机,机型防,火,火墙,保垒主,机,机与分,组,组过滤,路,路由组,合,合成功,能,能较强,的,的防火,墙,墙，如,图,图3-11所示。,图3-11堡垒主,机,机型防,火,火墙,3.2,.,.3.3 防,火,火墙的,优,优点与,用,用途,(1),防,防火,墙,墙可以,作,作为内,部,部网络,安,安全屏,障,障。,(2),防,防火,墙,墙限制,了,了企业,网,网Intranet,对,对Internet,的,的暴露,程,程度。,(3)防火墙,是,是设置,网,网络地,址,址翻译,器,器NAT的最佳,位,位置。,3.2,.,.3.4虚拟私,人,人网VPN,3.2,.,.3.5 主,流,流防火,墙,墙产品,介,介绍,(1),对,对应,用,用程序,的,的广泛,支,支持,(2),集,集中,管,管理下,的,的分布,式,式客户,机,机/服,务,务器结,构,构,(3),状,状态,监,监视技,术,术,(4),远,远程,网,网络访,问,问的安,全,全保障,(,(FireWall-1SecuRemote),(5)SecuRemote,远,远程加,密,密功能,(6),虚,虚拟,专,专用网,络,络,(7)集成的,、,、易操,作,作的密,钥,钥管理,程,程序,3.3,应,应,用,用系统,安,安全,3.3,.,.1,计,计算机,系,系统安,全,全,计算机,系,系统安,全,全性是,指,指特定,端,端系统,及,及其局,域,域环境,的,的保护,问,问题，,它,它与计,算,算机系,统,统的硬,件,件平台,、,、操作,系,系统、,所,所运行,的,的各种,应,应用软,件,件等都,有,有密切,关,关系。,一个计,算,算机系,统,统的系,统,统安全,可,可能包,含,含下述,一,一些措,施,施：,(1)确保安,装,装软件,中,中没有,已,已知的,安,安全弱,点,点。,(2),技,技术,上,上确保,系,系统具,有,有最小,穿,穿透风,险,险。,(3),从,从管,理,理上确,保,保系统,被,被穿透,的,的风险,极,极小化,。,。,(4)对入侵,进,进行检,测,测、审,计,计和追,踪,踪。,3.3,.,.1.1 安,全,全性管,理,理概述,计算机,系,系统的,安,安