《电子商务安全与支付》课件第2章-电子商务安全技术

第二章电子商务安全技术《电子商务安全与支付》本章导入2018年8月，全国金融标准化技术委员会秘书处发布关于征求《聚合支付安全技术规范》（征求意见稿）的通知，正式对外宣布，聚合支付标准的推出正在路上。该规范提出了聚合技术平台的基本框架，规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。值得一提的是，该标准的工作组由商业银行、支付机构、中国银联、检测机构等角色组成。在规范中，聚合技术服务商被定义为经工商行政管理部门批准成立，接受支付服务机构、商户委托，利用自身的技术与服务集成能力，提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外，标准还对聚合支付的数据留存问题有较高的要求。本章导入聚和交易安全基本要求是，聚合技术服务商应采取加密存储、访问控制、信息安全审计等措施，可以防范拖库撞库攻击。聚合支付系统应能够通过支付标记化技术，应定期开展敏感信息安全的内部审计。在应用软件的数据安全方面，聚合技术服务商应用宜支持页面回退清除敏感信息的机制。残余信息保护方面，聚合技术服务商应用软件退出时，应清除非业务功能运行所必需留存的业务数据，保证客户信息的安全性；软件卸载后，文件系统中不应残留任何与用户相关的个人信息及敏感数据等。第三节数据安全应用目录第二节网络安全技术应用CONTENTS第一节计算机系统安全技术应用1.熟悉服务器的安全防范。2.掌握软件系统的安全维护策略。知识目标学会对计算机系统的优化设置技能目标第一节计算机系统安全技术应用国际标准化组织（ISO）对计算机系统安全的定义是“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。由此可以将计算机网络的安全理解为通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。互联网是遍布全球的计算机互联形成的网络，作为节点的计算机是互联网的重要组成部分。计算机包括基本的硬件、系统软件和各种应用程序。硬件平台的安全性主要指防火、防水、防盗等物理危险的防护，系统软件的安全主要指各种操作系统防范攻击、保障工作安全。一、计算机系统安全的定义第一节电子商务的发展与应用硬件平台安全最重要的部分在于服务器硬件安全，因为服务器要长时间高速度运行，承载了海量数据的吞吐工作，所以要尽最大可能保证服务器安全。在服务器硬件方面，可以通过高可用集群、双机热备策略，应对服务器瘫痪、被黑、负载过重给系统带来的影响。（1）高可用集群，英文原文为HighAvailabilityCluster,简称HACluster（2）双机热备提高服务器的使用效率，也不影响服务器的性能，在工作方式选择上，有如下的选择。1．主/主(Active/active)2．主/从(Active/passive)3．混合型(Hybrid)二、硬件平台的安全防范第一节电子商务的发展与应用在做好硬件防护的同时，软件层面也很重要。一般来说，最小的权限+最少的服务=最大的安全。在软件维护方面，有以下几个策略。1．从基本做起，及时安装系统补丁三、软件系统的安全维护策略第一节电子商务的发展与应用2．安装和设置防火墙

三、软件系统的安全维护策略第一节电子商务的发展与应用3．安装网络杀毒软件

三、软件系统的安全维护策略第一节电子商务的发展与应用4．关闭不需要的服务和端口

5．定期对服务器进行备份6．账号和密码保护三、软件系统的安全维护策略第一节电子商务的发展与应用

一旦系统被黑，需要立即做出处理，包括：（1）立即停止系统服务，避免用户继续受影响，防止继续影响其他站点。

（2）如果同一主机提供商同期内有多个站点被黑，可以联系主机提供商，敦促对方做出应对。

（3）清理已发现的异常，排查出可能的被黑时间，和服务器上的文件修改时间相比对，处理掉黑客上传、修改过的文件;检查服务器中的用户管理设置，确认是否存在异常的变化;更改服务器的用户访问密码。

一般可以从访问日志中，确定可能的被黑时间。不过黑客可能也修改服务器的访问日志。（4）做好安全工作，排查网站存在的漏洞，防止再次被黑。三、软件系统的安全维护策略第三节数据安全应用目录第二节网络安全技术应用CONTENTS第一节计算机系统安全技术应用1.掌握常见的网络入侵方式。2.熟悉网络的安全策略知识目标学会防火墙的原理和使用技能目标

计算机网络是一个开放和自由的网络，它在大大增强了网络信息服务灵活性的同时，也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围，而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术，当成一种新式犯罪工具和手段，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来，网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。第二节网络安全技术应用1.通过伪装发动攻击

2.利用开放端口漏洞发动攻击

3.通过木马程序进行入侵或发动攻击

4.嗅探器和扫描攻击

为了应对不断更新的网络攻击手段，网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术，入侵检测、入侵防御和漏洞扫描属主动检测技术，这些技术领域的研究成果已经成为众多信息安全产品的基础。第二节网络安全技术应用一、常见的几种网络入侵方法

网络防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括防火墙、VPN、防毒墙等。

1.防火墙

2.VPN3.防毒墙第二节网络安全技术应用二、网络的安全策略分析

仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有以下几种。

1.入侵检测

2.入侵防御3.漏洞扫描

第二节网络安全技术应用三．网络检测技术分析第三节数据安全应用目录第二节网络安全技术应用CONTENTS第一节计算机系统安全技术应用1.了解数据安全的特点、常见风险。2.掌握数据安全技术知识目标1.学会数据安全技术的应用。2.学会网站安全措施技能目标数据安全也称信息安全，有两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全，数据安全是一种主动的包含措施。数据本身的安全必须基于可靠的加密算法与安全体系，主要是有对称算法与公开密钥密码体系两种。第三节数据安全应用一、数据安全的概念1.保密性（secrecy）2.完整性（Integrity）3.可用性（Availability）

综上，从数据安全的三个特性上，要实现开放而安全的目标是一个高难度的挑战。人类已进入大数据时代，数据的重要性无须赘言。如何保护数据安全成为企事业单位及社会各界关切的问题。第三节数据安全应用二、数据安全的特点1.来自操作系统的风险2.来自管理的风险3.来自用户的风险4.来自数据库系统内部的风险第三节数据安全应用三、数据安全的风险来源

1.数据加密

第三节数据安全应用四、数据安全技术

2.存取管理技术

（1）用户认证技术

用户认证技术是系统提供的最外层安全保护措施。通过用户身份验证，可以阻止未授权用户的访问，而通过用户身份识别，可以防止用户的越权访问。

①用户身份验证

（2）访问控制

①按功能模块对用户授权

每个功能模块对不同用户设置不同权限，如无权进入本模块、仅可查询、可更新可查询、全部功能可使用等。

②将数据库系统权限赋予用户

通常为了提高数据库的信息安全访问，用户在进行正常的访问前服务器往往都需要认证用户的身份、确认用户是否被授权。为了加强身份认证和访问控制，适应对大规模用户和海量数据资源的管理，通常DBMS主要使用的是基于角色的访问控制（Rolebasedaccesscontrol，RBAC）。第三节数据安全应用四、数据安全技术3.备份与恢复

4.建立安全的审计机制(1）建立单独的审计系统和审计员，审计数据需要存放在单独的审计文件中，而不像Oracle那样存在数据库中，只有审计员才能访问这些审计数据。可以把用户大致分为审计员、数据库用户、系统安全员3类，这三者相互牵制，各司其职。分别在3个地方进行审计控制。（2）为了保证数据库系统的安全审计功能，还需要考虑到系统能够对安全侵害事件做出自动响应，提供审计自动报警功能。当系统检测到有危害到系统安全的事件发生并达到预定的阈值时，要给出报警信息，同时还会自动断开用户的连接，终止服务器端的相应线程，并阻止该用户再次登录系统。第三节数据安全应用四、数据安全技术本章总结本章介绍了互联网系统的安全层次和安全技术，底层是计算机网络系统安全，解决网络安全要有一个好的安全策略，然后根据策略部署技术设备，防火墙是最