电子商务安全与支付 教学课件 ppt 作者 曾子明 主编 第八章 电子商务安全解决方案 (最新 全套齐).pptx
电子商务安全
第8章电于周务安全案例及分析
1nIN
(1)背景知识
(2)安全需求
(3)安全解决方案
8.1网上银行系统案例及分析
■网络硬件的安全缺陷:如可靠性差、电磁辐射、电磁泄漏等。
■通信链路的安全缺陷:如电磁辐射、电磁泄漏、搭线、
串音等。
■技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口,不少关键网络设备也依赖于进口。
■缺乏系统的安全标准引起的安全缺陷:中国虽然已经有了一些网络安全标准,但还是很不完善。
信息传递的安全隐患
据TCSA统计,来目计算机系统内部
的安全威胁高达60%
■非法用户进入系统及合法用户对系统资源的非法使用
■被非法用户截获敏感数据
■非法用户对业务数据进行恶意的修改或插入
■数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据
业务系统的安全隐患
对于物理层,主要通过制定物理层面的管理规范和措施来提供安全解决方案
对于网络接口层,主要通过线路加密机对数据加密保护。它对所有用户数据一起加密,加密后的数据通过通信线路送到另一节点后解密
a对于网际层,主要通过IP密码机来保证网络层数据传输的安全性
对于传输层,主要通过SSL协议和VPN技术来保证传输
层安全
a对于应用层,可以采用节点式密码机来保证应用数据
的保密性
信息传递的安全解决方案
信息传递的安全解决方案
1SDN
储蓄所
卫
节点加密机
某银行总行
交操机、
线路加密机
路由器
Noreu
移动用户
eKey
电信网络
npsU
VPN接入
省、地市分行
交换机线路加密机
ATM/
DDN
路由器
块密码机交换机
县级支行
ATM/
DDN
a对于使用ATM、DDN等方式的主干连接,如在银行总行和
省、地市分行之间的连接,建议采用与连接方式对应的线路加密机进行加密保护,加密机对线路中所传送的所
有数据进行加密,而与协议无关。同时还有专门用于加密电话网的线路加密机可供配套使用;
a对于连接方式比较复杂的情况,如县级支行和省、地市以及总行之间的数据传输,可能采用包括ADSL、ISDN或者直接拨号上网等的多种连接方式,建议采用IP密码机进行加密保护,对TCP/IP协议中的IP数据包内容进行加
密,能够灵活适应多种的网络连接方式,对基于TCP/IP协议的应用透明;
信息传递的安全解决方案
对于传输敏感数据比较少的连接,如在储蓄所或小型的银行之间的数据传输,建议采用节点加密机进行加密保护,敏感信息加密后,连同普通信息一起通过电信公网传输到目的地;
a对于需要远程接入的情况,如出差在外的银行工作人员,建议采用基于PKI体系的VPN系统进行加密保护,
远程接入方首先连入电信网络,然后通过VPN系统接入,此时传送的数据受数字证书加密保护,同时客户端
数字证书采用IC卡或USB电子令牌进行保护。
信息传递的安全解决方案
性能指标
■网络协议严格按照ITU-T和IETF的相关技术标准,其本身不占用网络资源
■加/解密处理的最高速率为全双工2Mbps
■当线路传输速率为2Mbps时,密码设备的延时小于3ms,设备的加入几乎不影响网络的性能
■最大并发用户数为4096个
DDN线路加密机的技术指标(一)
密码算法
■支持对称密码算法和非对称密码算法
■对称密码算法密钥长度为128位,支持SSF09算法■RSA算法密钥长度1024位
■HASH算法为MD5
DDN线路加密机的技术指标(二)
a数字证书登录
a表单域签名加密
a数字时间戳服务
■文档电子签名与加密
a安全电子邮件
a可信站点认证服务
软件代码签名
业务系统的安全解决方案
功能:
■先进的密码技术,保证登录用户的合法性
■登录过程对用户透明,无需记忆口令
■通过数字证书确认用户身份的合法性
■数字签名技术有效防止用户抵赖行为
■采用加密通信协议,保护机密信息不被泄漏
应用场景:
银行客户安全登录银行网站
银行员工登录管理系统
数字证书登录
功能:
■确认填写人身份
■确保网页表单内容真实性
■确保网页表单内容完整性
■确保网页表单内容机密性
■确保网页表单内容不可抵赖
应用场景:
银行客户在线支付、在线转账等
表单域签名加密
数字时间戳是对时间信息的数字签名。
数字时间戳主要用于实现以下两个功能:
■确定在某一时间,某个文件确实存在;
■确定多个文件在时间上的逻辑关系,即:
①多个文件在逻辑上的时间先后顺序;
②多个文件是否属于逻辑上的同一时间。
应用场景:
数字支票、在线转账
数字时间戳服务
数字时间戳服务应用说明
对于数字支票之类可以重复出现相
同内容的电子数据,通常采用数字时间
戳来创建过期标记。时间戳将电子数据
的内容和产生时间相关联,相同内容的
电子数据由