电子商务安全问题

1、电子商务安全问题特征分析企业网络安全核心企业信息安全防止非法用户利用网络系统安全缺陷进行数据窃取、伪造和破坏必须建立企业网络信息系统安全服务体系关于计算机信息系统安全性定义目前止还没有统国际标准化组织(ISO)定义：数据处理系统建立和采用技术和管理安全保护保护计算机硬件、软件和数据因偶和恶意原因遭破坏、更改和泄露计算机安全包括物理安全和逻辑安全其物理安全指系统设备及相关设施物理保护免于被破坏和丢失逻辑安全指信息用性、完整性和保密性三要素 信息安全隐患存于信息共享和传递过程目前浏览器服务器技术已广泛应用于企业网络信息系统而其基础协议存着少安全漏洞 种基本安全系统网络安全系统也称防火墙系统设置公用

2、网络系统和企业内部网络之间或者设置内部网络同网段之间用保护企业核心秘密并抵御外来非法攻击随着企业网上业务断扩大和电子商务发展对网络安全服务提出了新要求像用户认证、信息加密存贮、信息加密传输、信息否认性、信息修改性等要求要用密码技术、数字签名、数字邮戳、数字凭证和认证心等技术和手段构成安全电子商务体系 黑客攻击企业信息系统手段 2.1 TCPIP协议存安全漏洞 目前使用广泛网络协议TCPIP协议而TCPIP协议恰恰存安全漏洞IP层协议有许多安全缺陷IP地址软件设置造成了地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式即源点指定信息包传送目节点间路由提供了源路由攻击条件再应用层协议Telne

3、t、等协议缺乏认证和保密措施否认、拒绝等欺瞒行开了方便之门 对运行TCPIP协议网络系统存着下五种类型威胁和攻击：欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改 2.2 黑客攻击网络信息系统手段 黑客攻击目标相同有黑客注意焦点美国国防部五角大楼有关心安全局、银行或者重要企业信息心们采用攻击方式和手段却有定共同性般黑客攻击大体有下三步骤： 信息收集对系统安全弱点探测与分析实施攻击 2.2.1 信息收集 信息收集目了进入所要攻击目标网络数据库黑客会利用下列公开协议或工具收集驻留网络系统各主机系统相关信息·SNMP协议 用来查阅网络系统路由器路由表从而了解目标主机所网络拓扑结构及其内部细

4、节·TraceRoute程序 能够用该程序获得达目标主机所要经过网络数和路由器数 ·Whois协议 该协议服务信息能提供所有有关DNS域和相关管理参数 ·DNS服务器 该服务器提供了系统访问主机IP地址表和们所对应主机名 ·Finger协议 用Finger来获取指定主 机上所有用户详细信息(用户注册名、电号码、注册时间及们有没有读邮件等等) ·Ping实用程序 用来确定指定主机位置 ·自动Wardialing软件 向目标站点次连续拨出大批电号码直遇某正确号码使其MODEM响应2.2.2 系统安全弱点探测 收集攻击目标批网络信息之黑客会

5、探测网络上每台主机寻求该系统安全漏洞或安全弱点黑客能使用下列方式自动扫描驻留网络上主机 ·自编程序 对某些产品或者系统已经发现了些安全漏洞该产品或系统厂商或组织会提供些补丁程序给予弥补用户并定及时使用些补丁程序黑客发现些补丁程序接口会自己编写程序通过该接口进入目标系统时该目标系统对于黑客来讲变得览无余了 ·利用公开工具 象Internet电子安全扫描程序IIS(InternetSecurity Scanner)、审计网络用安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等样工具对整网络或子网进行扫描寻找安全漏洞些

6、工具有两面性看人使用们系统管理员使用们帮助发现其管理网络系统内部隐藏安全漏洞从而确定系统些主机需要用补丁程序去堵塞漏洞而黑客也利用些工具收集目标系统信息获取攻击目标系统非法访问权2.2.3 网络攻击 黑客使用上述方法收集或探测些有用信息之能会对目标系统实施攻击黑客旦获得了对攻击目标系统访问权又能有下述多种选择： ·该黑客能试图毁掉攻击入侵痕迹并受损害系统上建立另外新安全漏洞或门便先前攻击点被发现之继续访问系统 ·该黑客能目标系统安装探测器软件包括特洛伊木马程序用来窥探所系统活动收集黑客感兴趣切信息Telnet和FTP帐号名和口令等等 ·该黑客能进步发现受损系统网络

7、信任等级样黑客通过该系统信任级展开对整系统攻击 ·该黑客台受损系统上获得了特许访问权读取邮件搜索和盗窃私人文件毁坏重要数据破坏整系统信息造成堪设想 防火墙基本思想 网络没有防火墙环境网络安全性完全依赖主系统安全性定意义上所有主系统必须通力协作来实现均匀致高级安全性子网越大把所有主系统保持相同安全性水平上管理能力越小随着安全性失策和失误越来越普遍入侵时有发生 防火墙有助于提高主系统总体安全性 防火墙基本思想对每台主机系统进行保护而让所有对系统访问通过某点并且保护点并尽能地对外界屏蔽保护网络信息和结构设置信任内部网络和信任外界之间道屏障实施比较广泛安全政策来控制信息流防止预料潜入侵破坏

8、防火墙系统路由器也人机、主系统或者批主系统专门用于把网点或子网同些能被子网外主系统滥用协议和服务隔绝 防火墙从通信协议各层次及应用获取、存储并管理相关信息便实施系统访问安全决策控制 防火墙技术已经经历了三阶段即包过滤技术、代理技术和状态监视技术 包过滤技术 包过滤防火墙安全性基于对包IP地址校验Internet上所有信息都包形式传输信息包包含发送方IP地址和接收方IP地址包过滤防火墙所有通过信息包发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出并按照预先设定过滤原则过滤信息包些符合规定IP地址信息包会被防火墙过滤掉保证网络系统安全种基于网络层安全技术对于应用层黑客行无能力

9、代理技术代理服务器接收客户请求会检查验证其合法性其合法代理服务器象台客户机样取回所需信息再转发给客户内部系统与外界隔离开来从外面只能看代理服务器而看任何内部资源代理服务器只允许有代理服务通过而其所有服务都完全被封锁住点对系统安全重要只有些被认信赖服务才允许通过防火墙另外代理服务还过滤协议过滤FTP连接拒绝使用(放置)命令保证用户能文件写匿名服务器 代理服务具有信息隐蔽、保证有效认证和登录、简化了过滤规则等优点 网络地址转换服务(NAT?Network Address Translation)屏蔽内部网络IP地址使网络结构对外部来讲见 状态监视技术 第三代网络安全技术状态监视服务监视模块影响网络

10、安全正常工作前提下采用抽取相关数据方法对网络通信各层次实行监测并作安全决策依据监视模块支持多种网络协议和应用协议方便地实现应用和服务扩充状态监视服务监视RPC(远程过程调用)和UDP(用户数据报)端口信息而包过滤和代理服务则都无法做 防火墙类型 4.1 按实现网络层次分 Internet采用TCPIP协议设置同网络层次上电子屏障构成了同类型防火墙：包过滤型防火墙(Packet Firewall)、电路网关(Circuit Gateway)和应用网关(Application Gateway) 安全策略防火墙灵魂和基础建立防火墙之前要安全现状、风险评估和商业需求基础上提出完备总体安全策略配制防火墙

11、关键 安全策略按下两逻辑来制订： ·准许访问除明确拒绝外全部访问所有未被禁止都允许访问 ·拒绝访问除明确准许全部访问所有未被允许都禁止访问 看出逻辑限制性大前逻辑比较宽松 4.1.1 包过滤防火墙(1)包过滤防火墙实施步骤 包过滤防火墙基于路由器来实现利用数据包头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取建立类防火墙需按下步骤去做 ·建立安全策略写出所允许和禁止任务； ·安全策略转化数据包分组字段逻辑表达式； ·用供货商提供句法重写逻辑表达式并设置之 (2)包过滤防火墙针对典型攻击过滤规则 包过滤防火墙主要防止外来

12、攻击其过滤规则大体有： ·对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks) 对入侵者假冒内部主机从外部传输源IP地址内部网络IP地址数据包类攻击防火墙只需把来自外部端口使用内部源地址数据包统统丢弃掉 ·对付源路由攻击(Source Rowing Attacks) 源站点指定了数据包Internet传递路线躲过安全检查使数据包循着条预料路径达目地对付类攻击防火墙应丢弃所有包含源路由选项数据包·对付残片攻击(Tiny Fragment Attacks) 入侵者使用TCPIP数据包分段特性创建极小分段并强行TCP头信息分成

13、多数据包绕过用户防火墙过滤规则黑客期望防火墙只检查第分段而允许其余分段通过对付类攻击防火墙只需TCPIP协议片断位移植(Fragment Offset)1数据包全部丢弃即 (3)包过滤防火墙优缺点 包过滤防火墙优点简单、透明其缺点： ·该防火墙需从建立安全策略和过滤规则集入手需要花费大量时间和人力还要断根据新情况断更新过滤规则集同时规则集复杂性又没有测试工具来检验其正确性难免仍会出现漏洞给黑客乘之机 ·对于采用动态分配端口服务多RPC(远程过程调用)服务相关联服务器系统启动时随机分配端口难进行有效地过滤 ·包过滤防火墙只按规则丢弃数据包而作记录和报告没有日志功能没

14、有审计性同时能识别相同IP地址同用户具备用户身份认证功能具备检测通过高层协议(应用层)实现安全攻击能力包过滤防火墙保护网络安全必少重要工具更重要要理解些问题并着手解决 4.1.2电路级网关 电路级网关又称线路级网关工作会层两主机首次建立TCP连接时创立电子屏障作服务器接收外来请求转发请求；与被保护主机连接时则担当客户机角色、起代理服务作用监视两主机建立连接时握手信息Syn、Ack和序列数据等否合乎逻辑判定该会请求否合法旦会连接有效网关仅复制、传递数据而进行过滤电路网关特殊客户程序只初次连接时进行安全协商控制其透明了只有懂得何与该电路网关通信客户机才能达防火墙另边服务器 同方向上拒绝发送放置和取

15、得命令限制FTP服务使用允许放置命令输入外部用户能写FTP服务器破坏其内容；允许放置命令输出则能信息存储网点外部FTP服务器了 电路级网关防火墙安全性比较高仍能检查应用层数据包消除应用层攻击威胁4.1.3 应用级网关 应用级网关使用软件来转发和过滤特定应用服务TELNET、FTP等服务连接种代理服务只允许有代理服务通过也说只有些被认信赖服务才被允许通过防火墙另外代理服务还过滤协议过滤FTP连接、拒绝使用FTP放置命令等 应用级网关具有登记、日记、统计和报告功能有好审计功能还具有严格用户认证功能 应用级网关安全性高其足要每种应用提供专门代理服务程序 4.2 按实现硬件环境分 根据实现防火墙硬件环

16、境分基于路由器防火墙和基于主机系统防火墙 包过滤防火墙基于路由器或基于主机系统来实现而电路级网关和应用级网关只能由主机系统来实现 4.3 按拓扑结构分4.3.1 双穴网关(Dual Homed Gateway) 主机系统作网关其安装两块网络接口分别连接Internet和Intranet该双穴网关从包过滤应用级代理服务、监视服务都用来实现系统安全策略 对双穴网关大威胁直接登录该主机实施攻击因此双穴网关对信任外部主机登录应进行严格身份验证 4.3.2 屏蔽主机网关 屏蔽主机网关由运行代理服务双宿网关和具有包过滤功能路由器组成功能分开提高了防护系统效率 4.3.3 屏蔽子网网关 独立屏蔽子网位于Intranet与Int