1、Web電子商務(wù)安全PPT課件 1 1.1 據(jù)權(quán)威機構(gòu)調(diào)查表明，目前國內(nèi)企業(yè)發(fā)展據(jù)權(quán)威機構(gòu)調(diào)查表明，目前國內(nèi)企業(yè)發(fā)展 電子商務(wù)的最大顧慮是網(wǎng)上交易的安全問題。電子商務(wù)的最大顧慮是網(wǎng)上交易的安全問題。 1 1、電子商務(wù)安全問題與安全需求、電子商務(wù)安全問題與安全需求 Web電子商務(wù)安全PPT課件 2 從信息安全角度考察，電子商務(wù)面臨的安全從信息安全角度考察，電子商務(wù)面臨的安全 威脅主要有以下方面：威脅主要有以下方面： 1. 1. 信息的截獲和竊取信息的截獲和竊取 2. 2. 信息的篡改信息的篡改 3. 3. 信息假冒信息假冒 4. 4. 交易抵賴交易抵賴 5. 5. 非授權(quán)訪問非授權(quán)訪問 Web電子

2、商務(wù)安全PPT課件 3 從網(wǎng)絡(luò)安全角度考察，電子商務(wù)面臨的從網(wǎng)絡(luò)安全角度考察，電子商務(wù)面臨的 主要安全威脅有以下幾種：主要安全威脅有以下幾種： 1 1物理實體引發(fā)的安全問題物理實體引發(fā)的安全問題 （1 1）設(shè)備的功能失常。）設(shè)備的功能失常。 （2 2）電源故障。）電源故障。 （3 3）由于電磁泄漏引起的信息失密。）由于電磁泄漏引起的信息失密。 （4 4）搭線竊聽。）搭線竊聽。 2 2自然災(zāi)害的威脅自然災(zāi)害的威脅 3 3黑客的惡意攻擊黑客的惡意攻擊 4 4軟件的漏洞和軟件的漏洞和“后門后門” 5 5網(wǎng)絡(luò)協(xié)議的安全漏洞網(wǎng)絡(luò)協(xié)議的安全漏洞 6 6計算機病毒和蠕蟲的攻擊計算機病毒和蠕蟲的攻擊 Web電

3、子商務(wù)安全PPT課件 4 從交易者角度考察，買方和賣方分別面臨的安全從交易者角度考察，買方和賣方分別面臨的安全 威脅有：威脅有： 1 1賣方（銷售者）面臨的安全威脅：賣方（銷售者）面臨的安全威脅： （1 1）系統(tǒng)中心安全性被破壞）系統(tǒng)中心安全性被破壞 （2 2）競爭者的威脅）競爭者的威脅 （3 3）商業(yè)機密的安全）商業(yè)機密的安全 （4 4）假冒的威脅）假冒的威脅 （5 5）信用的威脅）信用的威脅 Web電子商務(wù)安全PPT課件 5 l2買方（消費者）面臨的安全威脅：買方（消費者）面臨的安全威脅： l（1）虛假訂單）虛假訂單 l（2）付款后收不到商品）付款后收不到商品 l（3）機密性喪失）機密性喪

4、失 l（4）拒絕服務(wù)）拒絕服務(wù) Web電子商務(wù)安全PPT課件 6 l電子商務(wù)在電子商務(wù)在Internet實現(xiàn)了實現(xiàn)了“物流、信息流、物流、信息流、 資金流資金流”三者的統(tǒng)一，流動的是金錢和財富三者的統(tǒng)一，流動的是金錢和財富 （信息）。金錢和財富刺激著有人去冒險，不（信息）。金錢和財富刺激著有人去冒險，不 管安全技術(shù)發(fā)展到何等完善的地步，對安全的管安全技術(shù)發(fā)展到何等完善的地步，對安全的 威脅永遠(yuǎn)存在。因此，對電子商務(wù)的安全威脅威脅永遠(yuǎn)存在。因此，對電子商務(wù)的安全威脅 應(yīng)時刻警惕。應(yīng)時刻警惕。 Web電子商務(wù)安全PPT課件 7 1.1 電子商務(wù)安全問題電子商務(wù)安全問題 數(shù)據(jù)被非法截獲、讀取或者修改

5、數(shù)據(jù)被非法截獲、讀取或者修改 冒名頂替和否認(rèn)行為冒名頂替和否認(rèn)行為 一個網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問了一個網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問了 另一個網(wǎng)絡(luò)另一個網(wǎng)絡(luò) 計算機病毒計算機病毒 數(shù)據(jù)加密數(shù)據(jù)加密 數(shù)字簽名、加密、認(rèn)證等數(shù)字簽名、加密、認(rèn)證等 防火墻防火墻 計算機病毒防治措施計算機病毒防治措施 Web電子商務(wù)安全PPT課件 8 1.2 安全需求安全需求 Web電子商務(wù)安全PPT課件 9 1.2 電子商務(wù)的安全需求電子商務(wù)的安全需求 1、電子交易的安全需求 l電子交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)電子交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò) 上應(yīng)用時產(chǎn)生的各種安全問題，在網(wǎng)絡(luò)安全的上應(yīng)用時產(chǎn)生的各種安全問題

6、，在網(wǎng)絡(luò)安全的 基礎(chǔ)上，保障以電子交易和電子支付為核心的基礎(chǔ)上，保障以電子交易和電子支付為核心的 電子商務(wù)過程的順利進(jìn)行。即實現(xiàn)電子商務(wù)的電子商務(wù)過程的順利進(jìn)行。即實現(xiàn)電子商務(wù)的 保密性、完整性、可認(rèn)證性、不可拒絕性、不保密性、完整性、可認(rèn)證性、不可拒絕性、不 可偽造性和不可抵賴性。可偽造性和不可抵賴性。 Web電子商務(wù)安全PPT課件 10 1.2 電子商務(wù)的安全需求電子商務(wù)的安全需求 在雙方進(jìn)行交易前，首先要能在雙方進(jìn)行交易前，首先要能確認(rèn)對方的身份確認(rèn)對方的身份，要求交，要求交 易雙方的身份不能被假冒或偽裝。易雙方的身份不能被假冒或偽裝。 要對敏感重要的商業(yè)信息進(jìn)行要對敏感重要的商業(yè)信息進(jìn)

7、行加密加密，即使別人截獲或竊，即使別人截獲或竊 取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使商業(yè)取了數(shù)據(jù)，也無法識別信息的真實內(nèi)容，這樣就可以使商業(yè) 機密信息難以被泄露。機密信息難以被泄露。 1、電子交易的安全需求、電子交易的安全需求 Web電子商務(wù)安全PPT課件 11 1.2 電子商務(wù)的安全需求電子商務(wù)的安全需求 1 1、電子交易的安全需求、電子交易的安全需求 請給 丁匯 100元 乙乙 甲甲 請給 丁匯 100元 請給 丙匯 100元 丙丙 請給 丙匯 100元 交易各方能交易各方能 夠夠驗證收到的信驗證收到的信 息是否完整息是否完整，即，即 信息是否被人篡信息是否被人篡 改過，或者在

8、數(shù)改過，或者在數(shù) 據(jù)傳輸過程中是據(jù)傳輸過程中是 否出現(xiàn)信息丟失、否出現(xiàn)信息丟失、 信息重復(fù)等差錯信息重復(fù)等差錯 Web電子商務(wù)安全PPT課件 12 1.2 電子商務(wù)的安全需求電子商務(wù)的安全需求 1 1、電子交易的安全需求、電子交易的安全需求 Web電子商務(wù)安全PPT課件 13 1.2 電子商務(wù)的安全需求電子商務(wù)的安全需求 2. 2. 計算機網(wǎng)絡(luò)系統(tǒng)的安全計算機網(wǎng)絡(luò)系統(tǒng)的安全 l網(wǎng)絡(luò)安全的內(nèi)容包括：網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)網(wǎng)絡(luò)安全的內(nèi)容包括：網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò) 系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對網(wǎng)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對網(wǎng) 絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全絡(luò)本身可能存在的安全問題，

9、實施網(wǎng)絡(luò)安全 增強方案，以保證網(wǎng)絡(luò)自身的安全為目標(biāo)。增強方案，以保證網(wǎng)絡(luò)自身的安全為目標(biāo)。 Web電子商務(wù)安全PPT課件 14 l網(wǎng)絡(luò)安全與商務(wù)交易安全實際上是密不可分的，網(wǎng)絡(luò)安全與商務(wù)交易安全實際上是密不可分的， 兩者相輔相成，缺一不可。沒有網(wǎng)絡(luò)安全作為兩者相輔相成，缺一不可。沒有網(wǎng)絡(luò)安全作為 基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談 起。沒有商務(wù)交易安全保障，即使網(wǎng)絡(luò)本身再起。沒有商務(wù)交易安全保障，即使網(wǎng)絡(luò)本身再 安全，仍然無法達(dá)到電子商務(wù)所特有的安全要安全，仍然無法達(dá)到電子商務(wù)所特有的安全要 求。電子商務(wù)安全是以網(wǎng)絡(luò)安全為基礎(chǔ)。但是，求。電子商務(wù)安

10、全是以網(wǎng)絡(luò)安全為基礎(chǔ)。但是， 電子商務(wù)安全與網(wǎng)絡(luò)安全又是有區(qū)別的。電子商務(wù)安全與網(wǎng)絡(luò)安全又是有區(qū)別的。 Web電子商務(wù)安全PPT課件 15 l首先，網(wǎng)絡(luò)不可能絕對安全，在這種情況下，還需要首先，網(wǎng)絡(luò)不可能絕對安全，在這種情況下，還需要 運行安全的電子商務(wù)。其次，即使網(wǎng)絡(luò)絕對安全，也運行安全的電子商務(wù)。其次，即使網(wǎng)絡(luò)絕對安全，也 不能保障電子商務(wù)的安全。電子商務(wù)安全除了基礎(chǔ)要不能保障電子商務(wù)的安全。電子商務(wù)安全除了基礎(chǔ)要 求之外，還有特殊要求。求之外，還有特殊要求。 l從安全等級來說，從下至上有網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、局從安全等級來說，從下至上有網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、局 域網(wǎng)安全、域網(wǎng)安全、Interne

11、tInternet安全和電子交易安全之分。安全和電子交易安全之分。 l其中，電子交易安全屬于信息安全的范疇，涉及信息其中，電子交易安全屬于信息安全的范疇，涉及信息 的機密性、完整性、認(rèn)證性等方面。這幾個安全概念的機密性、完整性、認(rèn)證性等方面。這幾個安全概念 之間的關(guān)系如圖所示。之間的關(guān)系如圖所示。 Web電子商務(wù)安全PPT課件 16 電子交易安全電子交易安全 Internet安全安全 內(nèi)部網(wǎng)絡(luò)安全內(nèi)部網(wǎng)絡(luò)安全 網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)基礎(chǔ)設(shè)施 安全安全 圖1-1 電子商務(wù)的 信息安全層次結(jié)構(gòu) Web電子商務(wù)安全PPT課件 17 2.1 防火墻防火墻 l這里所說的防火墻不是指為了防火而造的墻，而是指 隔

12、離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。 l在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)， 通過它可以隔離風(fēng)險區(qū)域（Internet或有一定風(fēng)險的網(wǎng) 絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安 全區(qū)域?qū)︼L(fēng)險區(qū)域的訪問，網(wǎng)絡(luò)防火墻結(jié)構(gòu)如圖所示。 2. 網(wǎng)絡(luò)系統(tǒng)安全技術(shù)網(wǎng)絡(luò)系統(tǒng)安全技術(shù) Web電子商務(wù)安全PPT課件 18 Web電子商務(wù)安全PPT課件 19 防火墻的功能防火墻的功能 l根據(jù)不同的需要，防火墻的功能有比較大差異，但是 一般都包含以下三種基本功能。 可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安 全的服務(wù)和非法用戶 防止入侵者接近網(wǎng)絡(luò)防御設(shè)施 限制內(nèi)部用戶訪問特殊站點 l由于防火

13、墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對 獨立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。 Internet上的Web網(wǎng)站中，超過三分之一的站點都是有 某種防火墻保護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放 在防火墻之后。 Web電子商務(wù)安全PPT課件 20 防火墻的必要性防火墻的必要性 l隨著世界各國信息基礎(chǔ)設(shè)施的逐漸形成，國與國之間 變得“近在咫尺”。Internet已經(jīng)成為信息化社會發(fā)展 的重要保證。已深入到國家的政治、軍事、經(jīng)濟(jì)、文 教等諸多領(lǐng)域。許多重要的政府宏觀調(diào)控決策、商業(yè) 經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、 科研數(shù)據(jù)等重要信息都通過網(wǎng)絡(luò)存貯、傳輸和處理。 因此，難免會

14、遭遇各種主動或被動的攻擊。例如信息 泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪除和計算機病毒 等。因此，網(wǎng)絡(luò)安全已經(jīng)成為迫在眉睫的重要問題， 沒有網(wǎng)絡(luò)安全就沒有社會信息化。 Web電子商務(wù)安全PPT課件 21 通過防火墻，設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界 之間的一道屏障。 n通過安全政策控制信息流出入，防止不可預(yù)料的潛在的 入侵破壞。 n盡可能地對外界屏蔽和保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu),確保可 信任的內(nèi)部網(wǎng)絡(luò)的安全。 防火墻的必要性防火墻的必要性 Web電子商務(wù)安全PPT課件 22 防火墻的分類防火墻的分類 l常見的放火墻有三種類型：1、分組過濾防火墻；2、 應(yīng)用代理防火墻；3、狀態(tài)檢測防火墻。 l分組過

15、濾（Packet Filtering）：作用在協(xié)議組的網(wǎng)絡(luò) 層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口 號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過，只有 滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出 口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。 l應(yīng)用代理（Application Proxy）：也叫應(yīng)用網(wǎng)關(guān) （Application Gateway），它作用在應(yīng)用層，其特點 是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編 制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的 作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。 l狀態(tài)檢測（Status Detection）：直接對分組里的數(shù)據(jù) 進(jìn)行處理，并且結(jié)

16、合前后分組的數(shù)據(jù)進(jìn)行綜合判斷， 然后決定是否允許該數(shù)據(jù)包通過。 Web電子商務(wù)安全PPT課件 23 分組過濾防火墻分組過濾防火墻 l數(shù)據(jù)包過濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一 些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄所各個數(shù)據(jù)包。 l通常情況下，如果規(guī)則中沒有明確允許指定 數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄 。 Web電子商務(wù)安全PPT課件 24 分組過濾防火墻分組過濾防火墻 源IP地址，目的地址，協(xié)議類型，源端口，目的端口 ICMP報文類型域和代碼域，碎片包，其它標(biāo)志位 I In nt te er rn ne et t H Ha ac ck ke er r U Us se er r W We eb b D Da

17、 at ta aB Ba as se e Web電子商務(wù)安全PPT課件 25 l一個可靠的分組過濾防火墻依賴于規(guī)則集，下表列出了幾條 典型的規(guī)則集。 l第一條規(guī)則：主機任何端口訪問任何主機的任何端口， 基于TCP協(xié)議的數(shù)據(jù)包都允許通過。第二條規(guī)則：任何主機 的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù) 包允許通過。第三條規(guī)則：任何主機的20端口訪問主機 小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止 通過。 組序號組序號動作動作源源IP目的目的IP源端口源端口目的端口目的端口協(xié)議類型協(xié)議類型 1允許允許*TCP 2允許

18、允許*20*TCP 3禁止禁止*20Security Logs”，察看日志紀(jì)錄如圖所示。 Web電子商務(wù)安全PPT課件 37 案例案例2 用用WinRoute禁用禁用FTP訪問訪問 lFTP服務(wù)用TCP協(xié)議， FTP占用TCP的21端口，主機 的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。 組序號組序號動作動作源源IP目的目的IP源端口源端口目的端口目的端口協(xié)議類型協(xié)議類型 1禁止禁止*09*21TCP Web電子商務(wù)安全PPT課件 38 l利用WinRoute建立訪問規(guī)則，如圖所示。 Web電子商務(wù)安全PPT課件 39

19、 l設(shè)置訪問規(guī)則以后，再訪問主機“09”的 FTP服務(wù)，將遭到拒絕，如圖所示。 Web電子商務(wù)安全PPT課件 40 l訪問違反了訪問規(guī)則，會在主機的安全日志中記錄下 來，如圖所示。 Web電子商務(wù)安全PPT課件 41 案例案例3 用用WinRoute禁用禁用HTTP訪問訪問 lHTTP服務(wù)用TCP協(xié)議，占用TCP協(xié)議的80端口，主機 的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。 組序號組序號動作動作源源IP目的目的IP源端口源端口目的端口目的端口協(xié)議類型協(xié)議類型 1禁止禁止*09*80TCP Web電子商務(wù)安全PPT課件 42

20、l利用WinRoute建立訪問規(guī)則，如圖所示。 Web電子商務(wù)安全PPT課件 43 l打開本地的IE連接遠(yuǎn)程主機的HTTP服務(wù)，將遭到拒絕， 如圖所示。 Web電子商務(wù)安全PPT課件 44 l訪問違反了訪問規(guī)則，所以在主機的安全日志中記錄 下來，如圖所示。 Web電子商務(wù)安全PPT課件 45 2.2 虛擬專用網(wǎng)虛擬專用網(wǎng) 虛擬專用網(wǎng)（虛擬專用網(wǎng)（VPNVPN）技術(shù)是一種）技術(shù)是一種在公用互聯(lián)在公用互聯(lián) 網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)的技術(shù)。將物理上分布在的技術(shù)。將物理上分布在 不同地點的專用網(wǎng)絡(luò)，通過公共網(wǎng)絡(luò)構(gòu)造成邏不同地點的專用網(wǎng)絡(luò)，通過公共網(wǎng)絡(luò)構(gòu)造成邏 輯上的輯上的虛擬子網(wǎng)虛擬子網(wǎng)，

21、進(jìn)行安全的通信。，進(jìn)行安全的通信。 Web電子商務(wù)安全PPT課件 46 VPNVPN具體實現(xiàn)是采用具體實現(xiàn)是采用隧道隧道技術(shù)，將企業(yè)內(nèi)的數(shù)據(jù)封技術(shù)，將企業(yè)內(nèi)的數(shù)據(jù)封 裝在隧道中進(jìn)行傳輸。裝在隧道中進(jìn)行傳輸。 Web電子商務(wù)安全PPT課件 47 VPN 可以省去專線租用費用或者長距離電話費用可以省去專線租用費用或者長距離電話費用 ，大大降低成本。，大大降低成本。 VPN 可以充分利用可以充分利用 Internet 公網(wǎng)資源，快速地建立公網(wǎng)資源，快速地建立 起公司的廣域連接。起公司的廣域連接。 總部總部 網(wǎng)絡(luò)網(wǎng)絡(luò) 遠(yuǎn)程局域遠(yuǎn)程局域 網(wǎng)絡(luò)網(wǎng)絡(luò) 單個單個 用戶用戶 Internet Web電子商務(wù)安全

22、PPT課件 48 VPN的訪問方式的訪問方式 l遠(yuǎn)程訪問遠(yuǎn)程訪問（Access VPN） 這是企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠(yuǎn)程訪問企 業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。遠(yuǎn)程用戶一般是一臺計算機，而不 是網(wǎng)絡(luò)，因此組成的VPN是一種主機到網(wǎng)絡(luò)的拓?fù)淠Ｐ汀?l 組建內(nèi)聯(lián)網(wǎng)組建內(nèi)聯(lián)網(wǎng)（Intranet VPN） 這是企業(yè)的總部與分支機構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)， 這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以對等的方式連接起來所組成的VPN。 Web電子商務(wù)安全PPT課件 49 VPN的訪問方式的訪問方式 l 組建外聯(lián)網(wǎng)組建外聯(lián)網(wǎng)（Extranet VPN） 這是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后， 使不同企業(yè)間通過公網(wǎng)

23、來構(gòu)筑的虛擬網(wǎng)。這是一種網(wǎng)絡(luò) 到網(wǎng)絡(luò)以不對等的方式連接起來所組成的VPN（主要在 安全策略上有所不同）。 Web電子商務(wù)安全PPT課件 50 VPN 為用戶帶來的好處為用戶帶來的好處 l節(jié)省資金 (降低 30-70% 的網(wǎng)絡(luò)費用) 免去長途費用 降低建立私有專網(wǎng)的費用 l用戶不必設(shè)立自己的 Modem Pool Internet 對于用戶來說，可以以任何技術(shù)任何地點訪問 Internet 的容量完全可以隨著需求的增張而增長 l提供安全性 強大的用戶認(rèn)證機制 數(shù)據(jù)的私有性以及完整性得以保障 l不必改變現(xiàn)有的應(yīng)用程序、網(wǎng)絡(luò)架構(gòu)以及用戶計算環(huán)境 網(wǎng)絡(luò)現(xiàn)有的 Routers 不用作任何修改 現(xiàn)有的網(wǎng)絡(luò)

24、應(yīng)用完全可以正常運行 對于最終用戶來說完全感覺不到任何變化 Web電子商務(wù)安全PPT課件 51 VPN的基本概念：隧道，加密以及認(rèn)證的基本概念：隧道，加密以及認(rèn)證 l隧道隧道 隧道是在公網(wǎng)上傳遞私有數(shù)據(jù)的一種方式 Tunnels employ a technique called “encapsulation” 安全隧道是指在公網(wǎng)上幾方之間進(jìn)行數(shù)據(jù)傳 輸中，保證數(shù)據(jù)安全及完整的技術(shù) l加密加密 保證數(shù)據(jù)傳輸過程中的安全 l認(rèn)證認(rèn)證 保證 VPN 通訊方的身份確認(rèn)及合法 Web電子商務(wù)安全PPT課件 52 SSL VPNSSL VPN簡介簡介 SSL VPNSSL VPN使用使用SSLSSL和代

25、理技術(shù)，向終端用戶提供對超文和代理技術(shù)，向終端用戶提供對超文 本傳送協(xié)議（本傳送協(xié)議（HTTPHTTP）、客戶）、客戶/ /服務(wù)器和文件共享等應(yīng)用授權(quán)服務(wù)器和文件共享等應(yīng)用授權(quán) 安全訪問的一種遠(yuǎn)程訪問技術(shù)，因此不需要安裝專門客戶安全訪問的一種遠(yuǎn)程訪問技術(shù)，因此不需要安裝專門客戶 端軟件。端軟件。SSLSSL協(xié)議是在網(wǎng)絡(luò)傳輸層上提供的基于協(xié)議是在網(wǎng)絡(luò)傳輸層上提供的基于RSARSA加密算加密算 法和保密密鑰的用于瀏覽器與法和保密密鑰的用于瀏覽器與WebWeb服務(wù)器之間的安全連接技服務(wù)器之間的安全連接技 術(shù)。術(shù)。 Web電子商務(wù)安全PPT課件 53 SSL VPNSSL VPN簡介簡介 SSL VP

26、NSSL VPN部署和管理費用低，在安全性和為用戶提供更多部署和管理費用低，在安全性和為用戶提供更多 便利性方面，明顯優(yōu)于傳統(tǒng)便利性方面，明顯優(yōu)于傳統(tǒng)IPSecVPNIPSecVPN。SSL VPNSSL VPN是建立用戶和是建立用戶和 服務(wù)器之間的一條專用通道，在這條通道中傳輸?shù)臄?shù)據(jù)是不公服務(wù)器之間的一條專用通道，在這條通道中傳輸?shù)臄?shù)據(jù)是不公 開的數(shù)據(jù)，因此必須要在安全的前提下進(jìn)行遠(yuǎn)程連接。開的數(shù)據(jù)，因此必須要在安全的前提下進(jìn)行遠(yuǎn)程連接。 SSL VPNSSL VPN其安全性包含三層含義：其安全性包含三層含義：一是客戶端接入的安全一是客戶端接入的安全 性；性；二是數(shù)據(jù)傳輸?shù)陌踩远菙?shù)據(jù)傳輸

27、的安全性；三是內(nèi)部資源訪問的安全性。三是內(nèi)部資源訪問的安全性。 SSL VPNSSL VPN支持支持WebWeb應(yīng)用的遠(yuǎn)程連接，包括基于應(yīng)用的遠(yuǎn)程連接，包括基于TCPTCP協(xié)議的協(xié)議的B/SB/S和和 C/SC/S應(yīng)用，應(yīng)用，UDPUDP應(yīng)用。應(yīng)用。SSL VPNSSL VPN的關(guān)鍵技術(shù)有代理和轉(zhuǎn)發(fā)技術(shù)、的關(guān)鍵技術(shù)有代理和轉(zhuǎn)發(fā)技術(shù)、 訪問控制、身份驗證、審計日志。訪問控制、身份驗證、審計日志。 Web電子商務(wù)安全PPT課件 54 (1) SSL VPN(1) SSL VPN的安全技術(shù)的安全技術(shù) 1 1信息傳輸安全信息傳輸安全 1 1）通過瀏覽器對任何）通過瀏覽器對任何InternetInter

28、net可以連接的地方到遠(yuǎn)程應(yīng)用或數(shù)據(jù)間可以連接的地方到遠(yuǎn)程應(yīng)用或數(shù)據(jù)間 的所有通信進(jìn)行即時的的所有通信進(jìn)行即時的SSLSSL加密。加密。 2 2）安全客戶端檢測，有效保護(hù)您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或）安全客戶端檢測，有效保護(hù)您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或 黑客的攻擊。含防火墻、反病毒防護(hù)、黑客的攻擊。含防火墻、反病毒防護(hù)、WindowsWindows升級、升級、WindowsWindows服務(wù)、文件服務(wù)、文件 數(shù)字簽名、管理員選擇注冊表、數(shù)字簽名、管理員選擇注冊表、IPIP地址等地址等多方面的檢測功能多方面的檢測功能。 2 2用戶認(rèn)證與授權(quán)用戶認(rèn)證與授權(quán) 1 1）認(rèn)證。誰被允許登錄系統(tǒng)，

29、在遠(yuǎn)程用戶被允許登錄前進(jìn)行身份確）認(rèn)證。誰被允許登錄系統(tǒng)，在遠(yuǎn)程用戶被允許登錄前進(jìn)行身份確 認(rèn)。包括標(biāo)準(zhǔn)的用戶名密碼方式、智能卡、認(rèn)。包括標(biāo)準(zhǔn)的用戶名密碼方式、智能卡、RSARSA，還可使用，還可使用CACA證書。證書。 2 2）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源，）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源， 在服務(wù)器端通過劃分組、角色和應(yīng)用程序進(jìn)行集中管理。在服務(wù)器端通過劃分組、角色和應(yīng)用程序進(jìn)行集中管理。 3 3）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進(jìn)行追蹤、）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進(jìn)行追蹤、 監(jiān)視并記錄日志。監(jiān)視并記

30、錄日志。 SSL VPNSSL VPN簡介簡介 Web電子商務(wù)安全PPT課件 55 (2) SSL VPN(2) SSL VPN的功能與特點的功能與特點 1 1SSL VPNSSL VPN的基本功能的基本功能 SSL VPNSSL VPN是一款專門針對是一款專門針對B/S B/S 和和C/SC/S應(yīng)用的應(yīng)用的SSL VPNSSL VPN產(chǎn)品，具有以下完產(chǎn)品，具有以下完 善實用的功能：善實用的功能： 1 1）提供了基于）提供了基于SSLSSL協(xié)議和數(shù)字證書的強身份認(rèn)證和安全傳輸通道。協(xié)議和數(shù)字證書的強身份認(rèn)證和安全傳輸通道。 2 2）提供了先進(jìn)的基于）提供了先進(jìn)的基于URLURL的訪問控制。的訪

31、問控制。 3 3）提供了）提供了SSLSSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。 4 4）提供了基于加固的系統(tǒng)平臺和）提供了基于加固的系統(tǒng)平臺和IDSIDS技術(shù)的安全功能。技術(shù)的安全功能。 2 2SSL VPNSSL VPN系統(tǒng)協(xié)議系統(tǒng)協(xié)議 由由SSLSSL、HTTPSHTTPS、SOCKS SOCKS 這這3 3 個協(xié)議相互協(xié)作共同實現(xiàn)個協(xié)議相互協(xié)作共同實現(xiàn)。 3 3SSL VPNSSL VPN的特點的特點 1 1）安裝簡單、易于操作，無需安裝客戶端軟件。）安裝簡單、易于操作，無需安裝客戶端軟件。 2 2）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載

32、平衡等功能。）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。 3 3）使用標(biāo)準(zhǔn)的）使用標(biāo)準(zhǔn)的HTTPSHTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn)協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn) 換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。 Web電子商務(wù)安全PPT課件 56 (3) SSL VPN(3) SSL VPN的工作原理的工作原理 SSL VPNSSL VPN的工作原理可用以下幾個步驟來描述：的工作原理可用以下幾個步驟來描述： 1 1）SSL VPNSSL VPN生成自己的根證書和服務(wù)器操作證書。生成自己的根證書和

33、服務(wù)器操作證書。 2 2）客戶端瀏覽器下載并導(dǎo)入）客戶端瀏覽器下載并導(dǎo)入SSL VPNSSL VPN的根證書。的根證書。 3 3）通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。）通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。 4 4）客戶端通過瀏覽器使用）客戶端通過瀏覽器使用HTTPS HTTPS 協(xié)議訪問網(wǎng)站時，協(xié)議訪問網(wǎng)站時， SSL VPNSSL VPN接受請求，客戶端實現(xiàn)對接受請求，客戶端實現(xiàn)對SSL VPNSSL VPN服務(wù)器的認(rèn)證。服務(wù)器的認(rèn)證。 5 5）服務(wù)器端通過口令方式認(rèn)證客戶端。）服務(wù)器端通過口令方式認(rèn)證客戶端。 6 6）客戶端瀏覽器和）客戶端瀏覽器和SSL VPNSSL VPN服

34、務(wù)器端之間所有通信建服務(wù)器端之間所有通信建 立了立了SSLSSL安全通道。安全通道。 Web電子商務(wù)安全PPT課件 57 (4) SSL VPN(4) SSL VPN的應(yīng)用模式及特點的應(yīng)用模式及特點 SSL VPNSSL VPN的解決方案包括三種模式：的解決方案包括三種模式： WebWeb瀏覽器模式瀏覽器模式 SSL VPNSSL VPN客戶端模式客戶端模式 LAN LAN 到到LAN LAN 模式模式 WEBWEB瀏覽器模式是瀏覽器模式是SSL VPNSSL VPN的最大優(yōu)勢，它充分利用了當(dāng)?shù)淖畲髢?yōu)勢，它充分利用了當(dāng) 前前WebWeb瀏覽器的內(nèi)置功能，來保護(hù)遠(yuǎn)程接入的安全，配置和使瀏覽器的內(nèi)置功能，來保護(hù)遠(yuǎn)程接入的安全，配置和使 用都非常方便。用都非常方便。SSL VPNSSL VPN已逐漸成為遠(yuǎn)程接入的主要手段之一。已逐漸成為遠(yuǎn)程接入的主要手段之一。 Web電子商務(wù)安全PPT課件 58 1 1WebWeb瀏覽器模式的解決方案瀏覽器模式的解決方案 由于由于WebWeb瀏覽器的廣泛部署，而且瀏覽器的廣泛部署，而且WebWeb瀏覽器內(nèi)置了瀏覽器內(nèi)置了SSLSSL協(xié)議，使協(xié)議，使 得得SSL VPNSSL VPN在這種模式下只要在在這種模式下只要在SS