第五章電子商務(wù)網(wǎng)站常用防御方法

第五章電子商務(wù)網(wǎng)站常用防御方法

10/18/20221電子商務(wù)安全本章主要要內(nèi)容：：本章主要要內(nèi)容：：●防火墻墻(Firewall)工作作原理●非軍事事區(qū)域((DMZ)概念念●虛擬專專用網(wǎng)((VPN)●入侵檢檢測系統(tǒng)統(tǒng)(IDS)●認(rèn)證2/11/20202電子商務(wù)務(wù)安全一、防火火墻(Firewan)(一)防防火墻的的工作原原理所謂防火火墻指的是一一個由軟軟件和硬硬件設(shè)備備組合而而成、在在內(nèi)部網(wǎng)網(wǎng)和外部部網(wǎng)之間間、專用用網(wǎng)與公公共網(wǎng)之之間的界界面上構(gòu)構(gòu)造的保保護(hù)屏障障。防火墻主主要有三種類型型：包過濾濾防火墻墻、代理理服務(wù)器器防火墻墻和應(yīng)用用層網(wǎng)關(guān)關(guān)防火墻墻。2/11/20203電子商務(wù)務(wù)安全1．包過過濾防火火墻包過濾防防火墻主主要有兩兩種實(shí)現(xiàn)現(xiàn)方式：：基于路路由器的的防火墻墻和基于于獨(dú)立運(yùn)運(yùn)行軟件件(如PacketFilter)的防防火墻。。下面主主要介紹紹基于路路由器的的防火墻墻。包是網(wǎng)絡(luò)上上信息流流動的單單位。每個包有有兩個部部分：數(shù)據(jù)部分和包頭。包頭中含含有源地址和和目標(biāo)地地址的信息。。優(yōu)點(diǎn)：透透明性好好，簡單單易用，，費(fèi)用低低。缺點(diǎn)：設(shè)設(shè)置繁多多，易留留下安全全漏洞。。2/11/20204電子商務(wù)務(wù)安全1．包過過濾防火火墻包過濾路路由器防防火墻可可能遇到到的攻擊擊方式：：(1)源源IP地地址欺騙騙(2)源源路由攻攻擊(3)微微小碎片片攻擊包過濾防防火墻2/11/20205電子商務(wù)務(wù)安全2．代理理服務(wù)器器(ProxyServer)防防火墻在Internet網(wǎng)網(wǎng)絡(luò)和Intranet互連連時，廣廣泛采用用一種稱稱為代理理服務(wù)的的工作方方式，使使Internet用用戶在訪訪問Intranet的同時時，提供供的是一一種類似似網(wǎng)關(guān)的的代理服務(wù)務(wù)器型防防火墻。優(yōu)點(diǎn)：代理服務(wù)務(wù)可提供供詳細(xì)的的日志((Log)和審審計(jì)(Audit)記記錄，提提高了網(wǎng)網(wǎng)絡(luò)的安安全性和和可靠性性。缺點(diǎn)：不能處理理高負(fù)荷荷通信量量，且對對用戶的的透明性性不好。。2/11/20206電子商務(wù)務(wù)安全3．應(yīng)用用層網(wǎng)關(guān)關(guān)防火墻墻應(yīng)用層網(wǎng)網(wǎng)關(guān)防火火墻可使使網(wǎng)絡(luò)管管理員實(shí)實(shí)現(xiàn)比包包過濾路路由器防防火墻更更嚴(yán)格的的安全策策略。應(yīng)用層網(wǎng)網(wǎng)關(guān)不使使用包過過濾工具具來限制制Internet服服務(wù)進(jìn)出出防火墻墻系統(tǒng)，，而是采采用為每每種所需需服務(wù)在在網(wǎng)關(guān)上上安裝專專用程序序代碼，，否則該該服務(wù)就就不被支支持且不不能通過過防火墻墻來轉(zhuǎn)發(fā)發(fā)。網(wǎng)絡(luò)的安安全性比比較高。。過程復(fù)雜雜、費(fèi)用用比較高高、透明明性差、、限制嚴(yán)嚴(yán)格，使使用帶來來不便。。2/11/20207電子商務(wù)務(wù)安全(二)防防火墻規(guī)規(guī)則集設(shè)計(jì)規(guī)則則集的基基本過程程：1．拒絕絕一切未未特別允允許的連連接徹底分析析每個系系統(tǒng)和網(wǎng)網(wǎng)段確定定實(shí)現(xiàn)它它們的功功能所需需要的服服務(wù)和連連接。2．常見見通信的的常用端端口確定每個個服務(wù)器器和網(wǎng)段段需要什什么端口口和協(xié)議議。3．將偽偽代碼轉(zhuǎn)轉(zhuǎn)換成防防火墻規(guī)規(guī)則查看手冊冊，確定定特定的的方法和和要求。。4．協(xié)議議和風(fēng)險(xiǎn)險(xiǎn)：作出出最佳決決策需要保證證只允許許了必要要的協(xié)議議，并且且只能用用于需要要它們的的服務(wù)器器和網(wǎng)段段。2/11/20208電子商務(wù)務(wù)安全二、非軍軍事區(qū)域域(DMZ)(一)DMZ的的概念(二)非非軍事區(qū)區(qū)域的設(shè)設(shè)置(三)電電子商務(wù)務(wù)非軍事事區(qū)域的的實(shí)現(xiàn)(四)多多區(qū)網(wǎng)絡(luò)絡(luò)存在的的問題2/11/20209電子商務(wù)務(wù)安全(一)DMZ的的概念DMZ((demilitarizedzone)的定定義：是是指為不不信任系系統(tǒng)提供供服務(wù)的的孤立網(wǎng)網(wǎng)段，它它是兩個個防火墻墻之間的的網(wǎng)段。。DMZ網(wǎng)網(wǎng)段的創(chuàng)創(chuàng)建方法法通常有有兩種。。1.兩個個防火墻墻的DMZ系統(tǒng)放置置在有不不同規(guī)則則的兩個個防火墻墻之間，，這就能能允許Internet上的的系統(tǒng)連連接到DMZ系系統(tǒng)提供供的服務(wù)務(wù)，但不不能連接接到企業(yè)業(yè)內(nèi)部網(wǎng)網(wǎng)段(通通常叫做做受保護(hù)護(hù)網(wǎng)絡(luò)))中的電電腦。2/11/202010電子商務(wù)務(wù)安全二、非軍軍事區(qū)域域(DMZ)圖示為：：兩個防防火墻的的DMZ2/11/202011電子商務(wù)務(wù)安全二、非軍軍事區(qū)域域(DMZ)2.單個個防火墻墻的DMZ（如如上圖））實(shí)現(xiàn)DMZ網(wǎng)段段的方法法是在防防火墻上上實(shí)際增增加第三三個接口口，并將將DMZ系統(tǒng)放放置在那那個網(wǎng)段段。允許同一一個防火火墻管理理Internet。。降低了了硬件的的花費(fèi)，，集中了了網(wǎng)絡(luò)的的規(guī)則集集，使管管理和處處理問題題更容易易?，F(xiàn)在在已成為為創(chuàng)建DMZ網(wǎng)網(wǎng)段的主主要方法法。2/11/202012電子商務(wù)務(wù)安全DMZ目目的：就就是把敏敏感的內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)和其他他提供訪訪問服務(wù)務(wù)的網(wǎng)絡(luò)絡(luò)分離開開，為網(wǎng)網(wǎng)絡(luò)層提提供深度度的防御御。DMZ作作用：防防火墻上上的策略略和訪問問控制系系統(tǒng)定義義限制了了通過DMZ的的全部通通信數(shù)據(jù)據(jù)。相反反，在Internet和企企業(yè)內(nèi)部部網(wǎng)之間間的通信信數(shù)據(jù)通通常是不不受限制制的。2/11/202013電子商務(wù)務(wù)安全(二)非非軍事區(qū)區(qū)域的設(shè)設(shè)置安全的DMZ配配置2/11/202014電子商務(wù)務(wù)安全(二)非非軍事區(qū)區(qū)域的設(shè)設(shè)置DMZ是是放置公公共信息息的最佳佳位置，，把沒有有包含敏敏感數(shù)據(jù)據(jù)、擔(dān)當(dāng)當(dāng)代理數(shù)數(shù)據(jù)訪問問職責(zé)的的主機(jī)放放置于DMZ中中，這樣樣用戶、、潛在用用戶和外外部訪問問者都可可以直接接獲得他他們所需需的關(guān)于于公司的的一些信信息，而而不用通通過內(nèi)部部網(wǎng)。企業(yè)的機(jī)機(jī)密和私私人的信信息可以以安全地地存放在在內(nèi)部網(wǎng)網(wǎng)中，即即DMZ的后面面。2/11/202015電子商務(wù)務(wù)安全(二)非非軍事區(qū)區(qū)域的設(shè)設(shè)置可以在下下列系統(tǒng)統(tǒng)中裝入入非軍事事區(qū)域((DMZ)安全全網(wǎng)絡(luò)：：①載有公公共信息息的網(wǎng)絡(luò)絡(luò)服務(wù)器器。②與電子子商務(wù)交交易服務(wù)務(wù)器相連連接的前前端機(jī)，，該前端端機(jī)用來來接收客客戶訂單單。存放放客戶資資料的后后端應(yīng)置置于防火火墻之后后。③把外來來電子郵郵件中轉(zhuǎn)轉(zhuǎn)至內(nèi)部部的郵件件服務(wù)器器。④可據(jù)此此進(jìn)入內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)的證書書服務(wù)及及服務(wù)器器。⑤虛擬專專用網(wǎng)絡(luò)絡(luò)上的各各端點(diǎn)。。⑥應(yīng)用((層)網(wǎng)網(wǎng)關(guān)。⑦測試及及登錄服服務(wù)器((根據(jù)系系統(tǒng)要求求或用戶戶請求，，使數(shù)據(jù)據(jù)從一個個脫機(jī)或或優(yōu)先權(quán)權(quán)低的設(shè)設(shè)備返回回到一個個聯(lián)機(jī)的的或優(yōu)先先權(quán)高的的設(shè)備的的過程))。2/11/202016電子商務(wù)務(wù)安全(三)電電子商務(wù)務(wù)非軍事事區(qū)域的的實(shí)現(xiàn)網(wǎng)絡(luò)存儲儲顧客信信息和金金融數(shù)據(jù)據(jù)與存儲儲商業(yè)處處理的普普通信息息的需求求是不同同的。很很多網(wǎng)站站通過實(shí)實(shí)現(xiàn)一個個多網(wǎng)段段結(jié)構(gòu)來來更好地地管理和和安全化化商業(yè)信信息。第一個網(wǎng)網(wǎng)段是用用于信息息存儲的的，第二二個網(wǎng)段段則是特特別用于于商業(yè)信信息的處處理的。。電子商務(wù)務(wù)系統(tǒng)中中DMZ的實(shí)現(xiàn)現(xiàn)2/11/202017電子商務(wù)務(wù)安全(四)多多區(qū)網(wǎng)絡(luò)絡(luò)存在的的問題隨著網(wǎng)站站的成長長，要提提供新的的功能，，可能需需要建立立新的區(qū)區(qū)。重復(fù)復(fù)上面的的過程，，建立管管理這些些新網(wǎng)段段的規(guī)則則集。注意事項(xiàng)項(xiàng)：一定要要監(jiān)視和和檢查任任何變動動，備份份舊的規(guī)規(guī)則集以以備緊急急的時候候需要回回復(fù)過去去。管理原則則：創(chuàng)建和和管理諸諸如防火火墻、IDS入入侵檢測測系統(tǒng)（（即IntrusionDetectionSystem）簽名名和用戶戶訪問規(guī)規(guī)則之類類的安全全控制是是個很大大的任務(wù)務(wù)，在不損害害安全和和可用性性的前提提下要盡盡可能地地簡化這這些過程程。2/11/202018電子商務(wù)務(wù)安全2/11/202019電子商務(wù)務(wù)安全三、虛擬擬專用網(wǎng)網(wǎng)(VPN)InternetIntranet內(nèi)部網(wǎng)信息防火墻VPN2/11/202020電子商務(wù)務(wù)安全三、虛擬擬專用網(wǎng)網(wǎng)(VPN)虛擬專用用網(wǎng)（VPN））目的：：通過Internet或其他他線路((如私有有網(wǎng)絡(luò)和和租用的的線路等等)在公公司外地地雇員、、駐外機(jī)機(jī)構(gòu)、公公司總部部及其相相關(guān)企業(yè)業(yè)和組織織機(jī)構(gòu)之之間建立一個個信息傳傳輸?shù)陌舶踩ǖ赖溃员ＷC證所傳輸輸信息的的安全性性和完整整性，并并設(shè)置用用戶對特特定資源源的訪問問權(quán)限。。2/11/202021電子商務(wù)務(wù)安全三、虛擬擬專用網(wǎng)網(wǎng)(VPN)(一)技術(shù)(二)IPSec協(xié)議議2/11/202022電子商務(wù)務(wù)安全(一)VPN技術(shù)VPN（（VirtualPrivateNetwork，即虛擬擬專用網(wǎng)網(wǎng)絡(luò)）概念：通過一個個公共網(wǎng)網(wǎng)絡(luò)(通通常是Internet)建建立一個個臨時的的、安全全的與內(nèi)內(nèi)網(wǎng)的連連接。作用：①安全連連接?？梢詭椭h(yuǎn)程用用戶與公公司的內(nèi)內(nèi)部網(wǎng)建建立可信信的安全全連接，，并保證證數(shù)據(jù)的的安全傳傳輸。②成本較較低。即大幅度地地減少用用戶花費(fèi)費(fèi)在WAN上和和遠(yuǎn)程網(wǎng)網(wǎng)絡(luò)連接接上的費(fèi)費(fèi)用。③管理方方便。使用VPN將簡化網(wǎng)網(wǎng)絡(luò)的設(shè)設(shè)計(jì)和管管理，加加速連接接新的用用戶和網(wǎng)網(wǎng)站。④網(wǎng)絡(luò)結(jié)結(jié)構(gòu)靈活活?？梢员Ｗo(hù)護(hù)現(xiàn)有的的網(wǎng)絡(luò)投投資。2/11/202023電子商務(wù)務(wù)安全(一)VPN技術(shù)VPN的的功能：①加密數(shù)數(shù)據(jù)。以保證通通過公網(wǎng)網(wǎng)傳輸?shù)牡男畔⒓醇词贡凰私孬@獲也不會會泄露。。②信息認(rèn)認(rèn)證和身身份認(rèn)證證。保證信息息的完整整性、合合法性，，并能鑒鑒別用戶戶的身份份。③提供訪訪問控制制。不同的用用戶有不不同的訪訪問權(quán)限限。2/11/202024電子商務(wù)務(wù)安全(一)VPN技術(shù)VPN采采用了多多種安全全技術(shù)和和網(wǎng)絡(luò)技技術(shù)：①安全隧隧道技術(shù)術(shù)(SecureTunnelingTechnology)。將待傳輸輸?shù)脑际夹畔⒔?jīng)經(jīng)過加密密和協(xié)議議封裝處處理后再再嵌套裝裝入另一一種協(xié)議議的數(shù)據(jù)據(jù)包送人人公共網(wǎng)網(wǎng)絡(luò)(如如Internet))中，像像普通數(shù)數(shù)據(jù)包一一樣傳輸輸。經(jīng)過這樣樣的處理理，只有有源端和目標(biāo)端的用戶對對隧道中中的嵌套套信息能進(jìn)行解釋和處處理，其他用用戶看到到的只是是無意義義的信息息，就像像是在源源端和目目標(biāo)端的的用戶之之間建立立了一個個安全的的信息專專用隧道道。2/11/202025電子商務(wù)務(wù)安全(一)VPN技術(shù)隧道模式式的VPN框架架2/11/202026電子商務(wù)務(wù)安全(一)VPN技術(shù)②用戶認(rèn)認(rèn)證技術(shù)術(shù)(UserAuthenticationTechnology)。在隧道連連接開始始之前需需要確認(rèn)認(rèn)用戶的的身份，，以便于于系統(tǒng)進(jìn)進(jìn)一步實(shí)實(shí)施資源源訪問控控制或用用戶授權(quán)權(quán)。③訪問控控制技術(shù)術(shù)(AccessControlTechnology)。。由VPN服務(wù)務(wù)的提供供者與最最終網(wǎng)絡(luò)絡(luò)信息資資源的提提供者共共同確定定特定用用戶對特特定資源源的訪問問權(quán)限，，以此實(shí)實(shí)現(xiàn)基于于用戶訪訪問的訪訪問控制制，以實(shí)實(shí)現(xiàn)對信信息資源源的最大大限度的的保護(hù)。。2/11/202027電子商務(wù)務(wù)安全(一)VPN技術(shù)隧道模式式的VPN框架架示意圖圖VPN隧隧道組成成：①一個隧隧道啟動動器；②②一一個路由由網(wǎng)絡(luò)((Internet))；③一個可可選的隧隧道交換換機(jī)；④④一個或或多個隧隧道終結(jié)結(jié)器。2/11/202028電子商務(wù)務(wù)安全(二)IPSec協(xié)協(xié)議IPsec主要要提供IP網(wǎng)絡(luò)絡(luò)層上的的加密通通信能力力。IPsec組成成：(1)IPsecurityProtocolproper，，定義IPsec報(bào)文文格式。。(2)ISAKMP／／Oakley，負(fù)責(zé)責(zé)加密通通信協(xié)商商。2/11/202029電子商務(wù)務(wù)安全(二)IPSec協(xié)協(xié)議IPsec采用用的加密密通信手手段：(1)IPsecTunnel：：整個IP封裝裝在Ipsec報(bào)文。。提供IPsecgateway之之間的通通信。(2)IPsectransport：：對IP包內(nèi)的的數(shù)據(jù)進(jìn)進(jìn)行加密密，使用用原來的的源地址址和目的的地址。。2/11/202030電子商務(wù)務(wù)安全四、入侵侵檢測系系統(tǒng)(IDS))（（即IntrusionDetectionSystem）(一)入侵檢測測概念(二)基于主機(jī)機(jī)的IDS(三)基于網(wǎng)絡(luò)絡(luò)的IDS(四)入侵檢測測技術(shù)發(fā)發(fā)展方向向2/11/202031電子商務(wù)務(wù)安全(一)入入侵檢測測概念概念:通過計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)或計(jì)算算機(jī)系統(tǒng)統(tǒng)中的若若干關(guān)鍵鍵點(diǎn)收集集信息并并對其進(jìn)進(jìn)行分析析，以發(fā)發(fā)現(xiàn)網(wǎng)絡(luò)絡(luò)或系統(tǒng)統(tǒng)中是否否有違反反安全策策略的行行為和遭遭到襲擊擊的跡象象。作用：入侵檢測測是對防防火墻的的合理補(bǔ)補(bǔ)充，幫幫助系統(tǒng)統(tǒng)對付網(wǎng)網(wǎng)絡(luò)攻擊擊，擴(kuò)展展了系統(tǒng)統(tǒng)管理員員的安全全管理能能力(包包括安全全審計(jì)、、監(jiān)視、、攻擊識識別和響響應(yīng))，，提高了了信息安安全基礎(chǔ)礎(chǔ)結(jié)構(gòu)的的完整性性。2/11/202032電子商務(wù)務(wù)安全(一)入入侵檢測測概念主要任務(wù)務(wù):①監(jiān)視、、分析用用戶及系系統(tǒng)活動動；②系統(tǒng)構(gòu)構(gòu)造和弱弱點(diǎn)的審審計(jì)；③識別反反映已知知進(jìn)攻的的活動模模式并向向相關(guān)人人士報(bào)警警；④異常行行為模式式的統(tǒng)計(jì)計(jì)分析；；⑤評估重重要系統(tǒng)統(tǒng)和數(shù)據(jù)據(jù)文件的的完整性性；⑥操作系系統(tǒng)的審審計(jì)跟蹤蹤管理，，并識別別用戶違違反安全全策略的的行為。。2/11/202033電子商務(wù)務(wù)安全(二)基基于主機(jī)機(jī)的IDS基于主機(jī)機(jī)的IDS主要要用于運(yùn)行關(guān)鍵鍵應(yīng)用層層的服務(wù)器器，它是是早期的入侵檢檢測系統(tǒng)統(tǒng)。主要目標(biāo)標(biāo)：是檢測主主機(jī)系統(tǒng)統(tǒng)是否受受到外部部或內(nèi)部部的攻擊擊以及系系統(tǒng)本地地用戶是是否有濫濫用或誤誤用行為為。檢測原理理：是根據(jù)系系統(tǒng)審計(jì)計(jì)記錄和和系統(tǒng)日日志文件件、應(yīng)用用程序日日志、目目錄和文文件的不不期望改改變、程程序執(zhí)行行中的非非正常行行為等信信息來發(fā)發(fā)現(xiàn)系統(tǒng)統(tǒng)是否存存在可疑疑事件的的。2/11/202034電子商務(wù)務(wù)安全(二)基基于主機(jī)機(jī)的IDS基于主機(jī)機(jī)的IDS之優(yōu)點(diǎn)：①基于主主機(jī)的IDS可可以從系系統(tǒng)審計(jì)計(jì)和事件件日志中中提取攻攻擊信息息，從而而判斷本本地或遠(yuǎn)遠(yuǎn)程用戶戶是否做做了系統(tǒng)統(tǒng)的安全全規(guī)則。。②基于主主機(jī)的IDS可可以精確確地判斷斷入侵事事件，并并可對入入侵事件件立即進(jìn)進(jìn)行反應(yīng)應(yīng)。③基于主主機(jī)的IDS還還可以針針對不同同的操作作系統(tǒng)的的特點(diǎn)判判斷應(yīng)用用層的入入侵事件件。2/11/202035電子商務(wù)務(wù)安全(二)基基于主機(jī)機(jī)的IDS基于主機(jī)機(jī)的IDS之缺點(diǎn)：①占用主主機(jī)資源源，在服服務(wù)器上上產(chǎn)生額額外的負(fù)負(fù)載。②缺乏跨跨平臺支支持，可可移植性性差，因因而應(yīng)用用范圍受受到嚴(yán)重重限制。。2/11/202036電子商務(wù)務(wù)安全(三)基基于網(wǎng)絡(luò)絡(luò)的IDS網(wǎng)絡(luò)環(huán)境境下，單單獨(dú)依靠靠主機(jī)的的審計(jì)信信息進(jìn)行行入侵檢檢測難以以適應(yīng)網(wǎng)網(wǎng)絡(luò)安全全的需求求。主要表現(xiàn)現(xiàn)：①主機(jī)的審審計(jì)信息息容易受受到攻擊擊，入侵侵者可通通過使用用某些系系統(tǒng)特權(quán)權(quán)或調(diào)用用比審計(jì)計(jì)本身更更低級的的操作來來逃避審審計(jì)；②不能通過過分析主主機(jī)審計(jì)計(jì)記錄來來檢測網(wǎng)網(wǎng)絡(luò)攻擊擊(域名名欺騙、、端口掃掃描等))；③基于主機(jī)機(jī)的IDS的運(yùn)運(yùn)行或多多或少地地影響服服務(wù)器的的性能；；④只能對服服務(wù)器的的特定用用戶和應(yīng)應(yīng)用程序序的執(zhí)行行動作、、日志進(jìn)進(jìn)行檢測測，所能能檢測到到的攻擊擊類型有有限。2/11/202037電子商務(wù)務(wù)安全(三)基基于網(wǎng)絡(luò)絡(luò)的IDS基于網(wǎng)絡(luò)絡(luò)的IDS原理：基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測IDS放放置在比比較重要要的網(wǎng)段段內(nèi)，不不停地監(jiān)監(jiān)視網(wǎng)段段中的各各種數(shù)據(jù)據(jù)包。對對每一個個數(shù)據(jù)包包或可疑疑的數(shù)據(jù)據(jù)包進(jìn)行行特征分分析。如如果數(shù)據(jù)據(jù)包與產(chǎn)產(chǎn)品內(nèi)置置的某些些規(guī)則吻吻合，入入侵檢測測系統(tǒng)認(rèn)認(rèn)為受到到攻擊，，就會發(fā)發(fā)出通知知、警報(bào)報(bào)甚至直直接切斷斷網(wǎng)絡(luò)連連接?；诰W(wǎng)絡(luò)絡(luò)的IDS位置：基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測IDS通通常放置置在防火墻的的后面。2/11/202038電子商務(wù)務(wù)安全(三)基基于網(wǎng)絡(luò)絡(luò)的IDS探測器可以安裝裝在網(wǎng)絡(luò)絡(luò)中重要要的服務(wù)務(wù)器、路路由器或或單獨(dú)的的主機(jī)上上。2/11/202039電子商務(wù)務(wù)安全(三)基基于網(wǎng)絡(luò)絡(luò)的IDS優(yōu)點(diǎn)：①實(shí)時性性強(qiáng)。通過實(shí)時時監(jiān)視網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)據(jù)包和網(wǎng)網(wǎng)絡(luò)管理理信息，，來尋找找具有網(wǎng)網(wǎng)絡(luò)供給給特征的的活動。。②檢測范范圍廣。?？梢詸z測測包括協(xié)協(xié)議攻擊擊和某些些特定攻攻擊在內(nèi)內(nèi)的各種種攻擊。。③監(jiān)視粒粒度更細(xì)細(xì)。④可移植植性強(qiáng)。?；诰W(wǎng)絡(luò)絡(luò)的入侵侵檢測系系統(tǒng)通常?？梢赃m適合多種種網(wǎng)絡(luò)環(huán)環(huán)境。⑤具有服服務(wù)器平平臺獨(dú)立立性?；诰W(wǎng)絡(luò)絡(luò)的入侵侵檢測系系統(tǒng)不會會對服務(wù)務(wù)器以及及網(wǎng)絡(luò)整整體性能能造成影影響。2/11/202040電子商務(wù)務(wù)安全(三)基基于網(wǎng)絡(luò)絡(luò)的IDS基于網(wǎng)絡(luò)絡(luò)的入侵侵檢測系系統(tǒng)存在在的缺點(diǎn)：①只能監(jiān)監(jiān)視經(jīng)過過本網(wǎng)段段的活動動，精確確度不高高。②在交換換網(wǎng)絡(luò)環(huán)環(huán)境下難難以配置置。③防入侵侵欺騙的的能力較較差，難難以定位位入侵。。2/11/202041電子商務(wù)務(wù)安全(四)入入侵檢測測技術(shù)發(fā)發(fā)展方向向入侵技術(shù)術(shù)的發(fā)展展與演化化主要反映映在下列列幾個方方面：(1)入入侵或攻攻擊的綜綜合化與與復(fù)雜化化。(2)入入侵主體體對象的的間接化化，即實(shí)實(shí)施入侵侵與攻擊擊的主體體的隱蔽蔽性。(3)人人侵或攻攻擊的規(guī)規(guī)模擴(kuò)大大。(4)入入侵或攻攻擊技術(shù)術(shù)的分布布化。(5)攻攻擊對象象的轉(zhuǎn)移移。2/11/202042電子商務(wù)務(wù)安全(四)入入侵檢測測技術(shù)發(fā)發(fā)展方向向三個方向向發(fā)展：：(1)分分布式入入侵檢測測。含義一是是針對分分布式網(wǎng)網(wǎng)絡(luò)攻擊擊的檢測測方法；；含義二二是使用用分布式式的方法法來檢測測分布式式的攻擊擊。(2)智智能化入入侵檢測測。使用智能能化的方方法與手手段來進(jìn)進(jìn)行入侵侵檢測。。所謂的的智能化方方法，現(xiàn)階段段常用的的有神經(jīng)網(wǎng)絡(luò)絡(luò)、遺傳算法法、模糊技術(shù)術(shù)、免疫原理理等方法，，這些方方法常用用于入侵侵特征的的辨識與與泛化。。利用專家系統(tǒng)統(tǒng)的思想想來構(gòu)建入入侵檢測測系統(tǒng)也也是常用用的方法法之一。。(3)全全面的安安全防御御方案。。即使用安安全工程程風(fēng)險(xiǎn)管管理的思思想與方方法來處處理網(wǎng)絡(luò)絡(luò)安全問問題，將將網(wǎng)絡(luò)安安全作為為一個整整體工程程來處理理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)、加密通道道、防火墻、病毒防護(hù)護(hù)、入侵檢測測等多方位位對所關(guān)關(guān)注的網(wǎng)網(wǎng)絡(luò)作全全面的評評估，然然后提出出可行的的解決方方案。2/11/202043電子商務(wù)務(wù)安全五、認(rèn)證證(一)第三方認(rèn)認(rèn)證(二)PKI組組成(三)證書認(rèn)證證機(jī)構(gòu)CA2/11/202044電子商務(wù)務(wù)安全(一)第第三方認(rèn)認(rèn)證在電子商商務(wù)中，，必須從從技術(shù)上上保證在在交易過過程中能能夠?qū)崿F(xiàn)現(xiàn)身份認(rèn)認(rèn)證、安安全傳輸輸、不可可否認(rèn)性性、數(shù)據(jù)據(jù)完整性性。數(shù)字證書書認(rèn)證技技術(shù)采用用了加密密傳輸和和數(shù)字簽簽名，能能夠?qū)崿F(xiàn)現(xiàn)上述要要求，因因此在國國內(nèi)外電電子商務(wù)務(wù)中，得得到了廣廣泛的應(yīng)應(yīng)用。PKI采采用證書書進(jìn)行公公鑰管理理，通過過第三方方的可信信任機(jī)構(gòu)構(gòu)(認(rèn)證證中心，，即CA)，把把用戶的的公鑰和和用戶的的其他標(biāo)標(biāo)識信息息捆綁在在一起，，其中包包括用戶戶名和電電子郵件件地址等等信息，，以在Internet網(wǎng)上上驗(yàn)證用用戶的身身份。2/11/202045電子商務(wù)務(wù)安全(二)PKI組組成PKI（（PublicKeyInfrastructure）即即“公鑰基礎(chǔ)礎(chǔ)設(shè)施”。PKI在在實(shí)際應(yīng)應(yīng)用上是是一套軟軟硬件系系統(tǒng)和安安全策略略的集合合，它提提供了一一整套安安全機(jī)制制，使用用戶在不不知道對對方身份份或分布布地很廣廣的情況況下，以以證書為為基礎(chǔ)，，通過一一系列的的信任關(guān)關(guān)系進(jìn)行行通信和和電子商商務(wù)交易易。2/11/202046電子商務(wù)務(wù)安全(二)PKI組組成PKI組組成：一個簡單單的PKI系統(tǒng)統(tǒng)包括證證書機(jī)構(gòu)構(gòu)CA、、注冊機(jī)機(jī)構(gòu)RA和相應(yīng)應(yīng)的PKI存儲儲庫。其各部分分作用如如下：CA(CertificateAuthority))用于簽簽發(fā)并管管理證書書；RA(RegistrationAuthority)，數(shù)數(shù)字證書書注冊審審批機(jī)構(gòu)構(gòu)。RA系統(tǒng)是是CA的的證書發(fā)發(fā)放、管管理的延延伸。它它負(fù)責(zé)證證書申請請者的信信息錄入入、審核核以及證證書發(fā)放放等工作作(安全全審計(jì)))。同時時，對發(fā)發(fā)放的證證書完成成相應(yīng)的的管理功功能(安安全管理理)。PKI存存儲庫包包括LDAP目目錄服務(wù)務(wù)器和普普通數(shù)據(jù)據(jù)庫，用用于對用用戶申請請、證書書、密鑰鑰、CRL和日日志等信信息進(jìn)行行存儲和和管理，，并提供供一定的的查詢功功能。2/11/202047電子商務(wù)務(wù)安全(三)證證書認(rèn)證證機(jī)構(gòu)CA1．?dāng)?shù)字證書書基礎(chǔ)2．發(fā)行證書書的CA簽名3．CA框架架模型4．證書的申申請和撤撤消5．證書管理理6．密鑰管理理7．證書的使使用2/11/202048電子商務(wù)務(wù)安全1．?dāng)?shù)字字證書基基礎(chǔ)CA(CertificateAuthority))是數(shù)字字證書認(rèn)認(rèn)證中心心的簡稱稱，是指指發(fā)放、、管理、、廢除數(shù)數(shù)字證書書的機(jī)構(gòu)構(gòu)。數(shù)字證書書是一個個經(jīng)證書書授權(quán)中中心數(shù)字字簽名的的包含公公開密鑰鑰擁有者者信息和和公開密密鑰的文文

件。。數(shù)字證書書是一種種數(shù)字標(biāo)標(biāo)識，是是Internet上上的安全全護(hù)照或或身份證證明。2/11/202049電子商務(wù)務(wù)安全數(shù)字證書書的格式式2/11/202050電子商務(wù)務(wù)安全2．發(fā)行行證書的的CA簽簽名證書第二二部分包包括CA的簽名名和用來來生成數(shù)數(shù)字簽名名的簽名名算法。。任何人收收到證書書后都能能使用簽簽名算法法來驗(yàn)證證證書是是不是由由CA的的簽名密密鑰簽署署的。2/11/202051電子商務(wù)務(wù)安全3．CA框架模模型證書機(jī)構(gòu)構(gòu)CA用用于創(chuàng)建建和發(fā)布布證書，，它通常常為一個個稱為安安全域((SecuritvDomain)的有有限群體體發(fā)放證證書。創(chuàng)建證書書的時候候，CA系統(tǒng)首首先獲取取用戶的的請求信信息，其其中包括括用戶公公鑰(公公鑰一般般由用戶戶端產(chǎn)生生，如電電子郵件件程序或或?yàn)g覽器器等)，，CA將將根據(jù)用用戶的請請求信息息產(chǎn)生證證書，并并用自己己的私鑰鑰對證書書進(jìn)行簽簽名。其其他用戶戶、應(yīng)用用程序或或?qū)嶓w將將使用CA的公公鑰對證證書進(jìn)行行驗(yàn)證。。如果一一個CA系統(tǒng)是是可信的的，則驗(yàn)驗(yàn)證證書書的用戶戶可以確確信，他他所驗(yàn)證證的證書書中的公公鑰屬于于證書所所代表的的那個實(shí)實(shí)體。2/11/202052電子商務(wù)務(wù)安全3．CA框架模模型CA還負(fù)負(fù)責(zé)維護(hù)護(hù)和發(fā)布布證書廢廢除列表表CRL(CertificateRevocationLists，又又稱為證書撤銷銷列表)。當(dāng)一一個證書書，特別別是其中中的公鑰鑰因?yàn)槠淦渌蛞驘o效時時(不是是因?yàn)榈降狡?，，CRL提供了了一種通通知用戶戶和其他他應(yīng)用的的中心管管理方式式。CA系統(tǒng)統(tǒng)生成CRL以以后，要要么是放放到LDAP((目錄訪訪問協(xié)議議，LightweightDirectoryAccessProtocol)服務(wù)器器中供用用戶查詢詢或下載載，要么么是放置置在Web服務(wù)務(wù)器的合合適位置置，以頁頁面超級級鏈接的的方式供供用戶直直接查詢詢或下載載。2/11/202053電子商務(wù)務(wù)安全3．CA框架模模型典型CA框架模模型2/11/202054電子商務(wù)務(wù)安全4．證書書的申請請和撤消消證書的申申請有兩兩種方式式，一是是在線申申請，另另外一種種就是離離線申請請。在線申請請就是通過過瀏覽器器或其他他應(yīng)用系系統(tǒng)通過過在線的的方式來來申請證證書，這這種方式式一般用用于申請請普通用用戶證書書或測試試證書。。離線方式式一般通過過人工的的方式直直接到證證書機(jī)構(gòu)構(gòu)證書受受理點(diǎn)去去辦理證證書申請請手續(xù)，，通過審審核后獲獲取證書書，這種種方式一一般用于于比較重重要的場場合，如如服務(wù)器器證書和和商家證證書等。。2/11/202055電子商務(wù)務(wù)安全4．證書書的申請請和撤消消在線申請請步驟如如下：用戶使用用瀏覽器器通過Internet訪問問安全服服務(wù)器，，下載CA的數(shù)數(shù)字證書書(又叫叫做根證證書)，，然后注注冊機(jī)構(gòu)構(gòu)服務(wù)器器對用戶戶進(jìn)行身身份審核核，認(rèn)可可后便批批準(zhǔn)用戶戶的證書書申請，，然后操操作員對對證書申申請表進(jìn)進(jìn)行數(shù)字字簽名，，并將申申請及其其簽名一一起提交交給CA服務(wù)器器。CA操作作員獲得得注冊機(jī)機(jī)構(gòu)服務(wù)務(wù)器操作作員簽發(fā)發(fā)的證書書申請，，發(fā)行證證書或者者拒絕發(fā)發(fā)行證書書，然后后將證書書通過硬硬拷貝的的方式傳傳輸給注注冊機(jī)構(gòu)構(gòu)服務(wù)器器。注冊機(jī)構(gòu)構(gòu)服務(wù)器器得到用用戶的證證書以后后將用戶戶的一些些公開信信息和證證書放到到LDAP服務(wù)務(wù)器上提提供目錄錄