电子商务安全
( Electronic Commerce Security)
复 习 课
? 关于作业提交
?共 5次,第 2次包括申请数字证书并发送签名邮件
?作业未交至教学站的,请交到教学站
?作业成绩占总成绩的 15%
? 关于期末考试
?时间,1月 11日上午 8,30-10,30
?形式:闭卷
?题型:名词解释、单选题、多选题、论述题
?考试内容
课件章
节
教学内容
对应教材章节
1
电子商务安全的现状与趋势
第一章
2
信息加密技术与应用
第三章
3
数字签名技术与应用
第四章
4
身份认证与访问控制
第五章
5
密钥管理与数字证书
第六章
6
TCP/IP服务与 WWW安全
第七章
7
防火墙的构造与选择
第八章
8
计算机病毒及其防治技术
第九章
9
安全通信协议与交易协议
第十章
第十 一 章 10 系统入侵的鉴别与防御
第一章 电子商务安全的现状和趋势
1、电子商务安全结构与要求
2,触发电子商务安全问题的根源
3、网络安全隐患包括的几个 方面以及各自内容
4,电子商务安全的防范措施
电子商务安全概述
?安全的结构(内容)
? 密码安全 —— 通信安全的最核心部分 。
? 计算机安全 —— 一种确定的状态, 使计算机化数
据和程序文件不致被非授权人员, 计算机或其程序
访问, 获取或修改 。
? 网络安全 —— 包括所有保护网络的措施 。
? 信息安全 —— 保护信息财富,使之免遭偶发的或
有意的非授权泄露、修改、破坏或处理能力的丧失
。
?电子商务安全的基本要求
术语 定义
保密性
认证性
完整性
可访问性
防御性
不可否认性
合法性
保持个人的、专用的和高度敏感数据的机密
确认通信双方的合法身份
保证所有存储和管理的信息不被篡改
保证系统、数据和服务能由合法的人员访问
能够阻挡不希望的信息或黑客
防止通信或交易双方对已进行业务的否认
保证各方的业务符合可适用的法律和法规
?触发安全问题的原因
1,黑客的攻击
2,管理的欠缺
3,网络的缺陷
4,软件的漏洞或, 后门,
5,人为的触发
?网络系统软件自身的安全问题
?网络系统中数据库的安全设计问题
?传输线路安全与质量问题
?网络安全管理问题
?其他威胁网络安全的典型因素
?网络安全隐患
?防治措施
?技术措施
?管理措施
第 二 章 信息加密技术与应用
1、密码学的基本概念
2、网络通信中的加密方式
3、对称密钥体制的原理及 DES算法的有关概念
4、非对称密钥体制的原理及 RSA算法的有关概念
密码学基本概念
?密码编码学( cryptography),
使消息保密的技术和科学
?密码分析学( cryptanalysis),
破译密文的技术和科学
密码学( cryptology)
密码学 =密码编码学 +密码分析学
密码学的三个发展阶段
?古典密码举例,
恺撒密码:将字母循环前移 k位
明文,Zhejiang University
密文,Emjonfsl Zsnajwxnyd
例如 k=5时对应关系如下,
网络通信中的加密方式
常见的三种加密方式,
1.链路 -链路加密
2.节点加密
3.端 -端加密
密码算法分类
?对称密钥算法( symmetric cipher),对称密钥加密技
术利用一个密钥对数据进行加密,对方接收到数据后,
需要用同一密钥来进行解密 。又称秘密密钥算法或单密
钥算法。
?非对称密钥算法( asymmetric cipher):非对称密钥加
密技术利用两个不同的密钥对数据进行加密和解密,其
中公钥用于对信息的加密,私钥用于对加密信息的解密。
又称公开密钥算法( public-key cipher) 。
数据加密标准 DES
DES( Data Encryption Standard) 是一种对称
密钥体制,也是一种分组密码体制。
明文分组,64位
密钥长度,64位,其中 8位奇偶校验位,实际 56位。
DES综合运用了 置换, 迭代 相结合的密码技术,把明文
分成 64位大小的块,使用 56位密钥,迭代轮数为 l6轮的
加密算法。 DES密码算法输入的是 64比特的明文,通过
初始置换 IP变成 T0=IP(T),再对 T0经过 16层的加密变换,
最后通过逆初始置换得到 64比特的密文。反之输入 64比
特的密文,输出 64比特的明文。
公钥加密体制
?对称密钥算法,加密密钥和解密密钥一样
?非对称密钥算法,加密和解密使用的是两个不
同的密钥, 也称为公开密钥算法。
公开密钥算法用一个密钥进行加密,而用另一个进
行解密,其中的加密密钥可以公开,又称 公开密钥
( public key),简称 公钥 ;解密密钥必须保密,又称
私人密钥( private key),简称 私钥 。
公钥加密的基本思想,
利用求解某些数学难题的困难性。 单向函数
RSA算法
RSA算法的理论基础,
?大数分解,两个大素数相乘在计算上是容易实现的,但
将该乘积分解为两个大素数因子的计算量却相当巨大。
?素数检测,素数检测就是判定一个给定的正整数是否为
素数。
其他的公钥加密体制,
背包加密体制,EIGamal加密体制、椭圆曲线加密等
第三章 数字签名技术与应用
1、数字签名的基本概念
2、几种常用的数字签名技术
3、美国数字签名标准 (DSS)
数字签名 (Digital Signature),
指发送者根据消息产生摘要,并对摘要用自身的签名
私钥进行加密。消息和用自身签名私钥加密的数字摘
要组合成数字签名。
?数字签名 的定义
数字签名的作用
? 验证消息发送方的身份
? 验证消息内容的完整性
几种常用的数字签名技术
( 1) RSA签名
( 2) ElGamal签名
( 3) 盲签名
( 4) 多重签名
( 5) 代理签名
?相同点
RSA签名和 RSA加密的异同点
都使用一对密钥:公钥和私钥
?不同点
RSA加密, 用 公钥 加密, 用 私钥 解密
RSA签名:用私钥签名, 用公钥验证
美国数字签名标准( DSS)
?DSS标准采用的算法是 DSA( Digital Signature
Algorithm ) ;
? DSA算法是 ElGamal算法的改进, 该算法只能
用于数字签名而不能用于加密 。
?ElGamal算法既可用于信息加密, 也 可用于数字
签名 。
第四章 身份认证与访问控制
1、身份认证的常用识别法
2、访问控制的基本概念
身份认证的常用识别法
?身份认证的定义,
证实客户的真实身份与其所声称的身份是否相符
的过程 。
?身份认证的依据,
( 1) 根据用户知道什么来判断 ( 所知 )
口令、密码等
( 2) 根据用户拥有什么来判断 ( 拥有 )
身份证、护照、门钥匙、磁卡钥匙等
( 3) 根据用户是什么来判断 ( 特征 )
指纹、声音、视网膜、签名,DNA等
常用的 身份认证 技术
( 1) 口令识别法
( 2) 签名识别法
( 3) 指纹识别技术
( 4) 语音识别系统
访问控制的基本概念
?访问控制的概念,
?确保主体对客体的访问只能是授权的, 未经
授权的访问是不允许的, 而且操作是无效的 。
?访问控制的核心是 授权控制,既控制不同用户
对信息资源的访问权限。
? 自主访问控制( discretionary policies)
目录表访问控制、访问控制表、访问控制矩阵
? 强制访问控制 (mandatory policies)
?访问控制策略中的措施
第五章 密钥管理与数字证书
1,密钥 管理的基本概念
2,多层密钥体制的原理及优点
3、公钥基础设施与数字证书的概念
?密钥管理概述
? 密钥管理的重要性,
所有的密码技术都 依赖 于密钥。
? 密钥管理( Key Management),
密钥管理是一门综合性的技术,涉及密钥的产生、
检验、分发、传递、保管、使用、销毁的全部过程,
还与密钥的行政管理制度以及人员的素质密切相关。
多层密钥系统的基本思想 —— 用密钥保护密钥
?多层密钥体制的原理及优点
一个密钥系统可能有若干种不同的组成部分,可以将各
个部分划分为一级密钥、二级密钥,……, n级密钥,
组成一个 n层密钥系统。
?多层密钥体制的原理及优点
密钥分类,
?工作密钥
?密钥加密密钥
?主密钥
?安全性大大提高
?为密钥管理自动化带来了方便
多层密钥体制的优点,
?公钥基础设施的概念
什么是公钥基础设施,
公钥基础设施( PKI,Public Key Infrastructure) 是指
用公钥原理和技术实施和提供安全服务的具有普适性的
安全基础设施。
PKI是一种标准的密钥管理平台,它能够为所有网络应
用透明地提供采用加密和数据签名等密码服务所必需的
密钥和证书管理。
?数字证书的概念
什么是数字证书,
由 CA认证中心发放的一个数字文件,数字证书也称公开
密钥证书,在网络通信中标志通信各方身份信息的一系
列数据。
?证书 (certificate),有时候简称为 cert;
?证书包含了 用户身份信息, 用户公钥信息 以及 身份验
证机构数字签名 等数据。
?数字证书与 CA认证中心
数字证书的树型验证结构,
双方通信时,通过出示由某个 CA签发的证书来证明自己的
身份。如果对签发证书的 CA本身再不信任,则可验证 CA的
身份,一直到权威的根 CA处,就可确信证书的有效性。
第六章 TCP/IP服务与 WWW安全
1,TCP/IP协议的基本概念
2、常用 TCP/IP服务及安全性
什么是 TCP/IP协议
?TCP/IP协议的定义,
TCP/IP是 Transmission Control Protocol/Internet
Protocol的缩写,中文译名为传输控制协议 /互联网络
协议,TCP/IP协议是 Internet最基本的协议。
?TCP/IP协议的层次结构,
TCP/IP协议的基本概念
?IP地址的概念及分类
?端口的概念
?网络层、传输层、应用层的常用协议
? Telnet远程登录
? FTP文件传输
? HTTP网页浏览
? DNS域名服务
常用 TCP/IP服务及安全性
第七章 防火墙的构造与选择
1,防火墙 的概念
2、防火墙的基本类型
3、防火墙的基本体系结构及各自的原理和特点
防火墙概述
?防火墙( Firewall) 的定义,
—— 防火墙是用来限制被保护的网络与互联网络
之间,或者与其他网络之间相互进行信息存取、传递
操作的部件或部件集。
?包过滤型( Packet Filter)
?代理服务器型( Proxy Service)
?复合型防火墙( Hybrid)
?防火墙的基本类型
防火墙的基本体系结构
?三种体系结构及各自的原理和特点,
?双宿主主机结构
?主机过滤结构
?子网过滤结构
?相关概念,
堡垒主机、双宿主主机,DMZ
第八章 计算机病毒及其防治技术
1,计算机病毒的 基本 概念
2、常见计算机病毒的类型
3、计算机病毒的防治
?1994年 2月 18日,《中华人民共和国计算机信息系
统安全保护条例》定义,
—— 计算机病毒,是指编制或者在计算机程序
中插入的破坏计算机功能或者数据,影响计算机使
用,并且能够自我复制的一组计算机指令或者程序
代码。
计算机病毒的定义
?感染性,病毒的 基本特征,自我复制能力。
?破坏性,病毒会对系统产生不同程度的影响。
?隐藏性,用户通常感觉不到病毒的存在 。
?潜伏性,一般 不会马上发作 。
?可激活性,病毒因某个事件或数值的出现而发作。
?针对性,病毒的编制者往往有特殊的破坏目的。
计算机病毒的特征
?特洛伊木马
?蠕虫病毒
?宏病毒
?脚本病毒
?恶意网页病毒
?结合黑客技术的病毒
常见计算机病毒的类型
计算机病毒的防治
?思想上的防范
在思想上重视病毒给计算机安全运行带来的危害
?管理上的防范
采取必要的病毒检测措施,制定完善的管理规则
?使用上的防范
?严格对软盘的控制
?定期使用杀病毒软件
?尽量不在网络上下载来源不明的软件
?及时对操作系统进行升级
第九章 安全通信协议与交易协议
1,IPSec协议的内容
2,安全套接层协议( SSL) 的概念
3,安全电子交易协议( SET) 的概念
4,SSL协议和 SET协议的比较
IPSec协议的内容
IPSec(IP Security)是 IPv6的一个组成部分
?IPSec提供的两种安全机制
?认证 —— 使 IP通信的数据接收方能够确认数据发送方
的真实身份以及数据在传输过程中是否被篡改
?加密 —— 对数据进行加密来保证数据的机密性
?IPSec的基本要素,
?认证协议头( AH)
?封装安全载荷( ESP)
?互联网密钥管理协议
安全套接层协议( SSL)
?SSL协议 —— Secure Socket Layer
?身份认证
用数字证书实现服务器认证
?保密性
加密传输信息
?数据完整性
保证数据信息完整性
安全电子交易协议 ( SET)
?SET协议 —— Secure Electronic Transaction
SET主要为了解决用户、商家和银行之间通过信用卡
支付的交易而设计。
?SET协议的安全技术
消息摘要、数字签名、数字信封、双重签名
SET和 SSL协议的比较
SET与 SSL相比主要有以下 4个方面的优点,
( 1) SET对商家提供了保护自己的手段, 使商务免受欺诈的困扰,
使商家的运营成本降低 。
( 2) 对消费者而言, SET保证了商家的合法性, 并且用户的信用
卡号不会被窃取 。
( 3) SET使得信用卡网上支付具有更低的欺骗概率, 使得它比其
他支付方式具有更大的竞争力 。
( 4) SET对于参与交易的各方定义了互操作接口, 一个系统可以
由不同厂商的产品构筑 。
SET的主要缺陷,
?SET协议过于复杂,对商户、用户和银行的要求比较高;
?处理速度慢,支持 SET的系统费用较大。
第十章 系统入侵的鉴别与防御
1、入侵检测系统的基本概念
2、入侵检测系统的分类
3,VPN的概念
入侵检测系统的基本概念
?入侵检测 ( Intrusion Detection,简称 ID) ——
用来发现未经授权的入侵行为的安全检测机制
?入侵检测系统 ( Intrusion Detection System,
简称 IDS) —— 用于入侵检测的系统
响应单元
Response Units
事件分析器
Event analyzers
事件产生器
Event generators
事件数据库
Event databases
IDS通用模型 CIDF的体系结构
入侵检测系统的分类
?根据事件产生器的数据来源的不同
? 基于主机的入侵检测系统 (HIDS)
? 基于网络的入侵检测系统 (NIDS)
? 分布式的入侵检测系统( DIDS)
?根据事件分析器的检测策略的不同
? 异常检测( Anomaly Detection)
? 误用检测( Misuse Detection)
?根据事件响应单元采用策略的不同
? 主动响应( Active Responses)
? 被动响应( Passive Responses)
VPN的概念
?什么是 VPN
VPN( Virtual Private Network)指的是利用公共
数据网络资源为企业构建虚拟专用网的一种业务。
?VPN的关键技术
?安全隧道技术
?用户认证技术
?访问控制技术
谢 谢!
( Electronic Commerce Security)
复 习 课
? 关于作业提交
?共 5次,第 2次包括申请数字证书并发送签名邮件
?作业未交至教学站的,请交到教学站
?作业成绩占总成绩的 15%
? 关于期末考试
?时间,1月 11日上午 8,30-10,30
?形式:闭卷
?题型:名词解释、单选题、多选题、论述题
?考试内容
课件章
节
教学内容
对应教材章节
1
电子商务安全的现状与趋势
第一章
2
信息加密技术与应用
第三章
3
数字签名技术与应用
第四章
4
身份认证与访问控制
第五章
5
密钥管理与数字证书
第六章
6
TCP/IP服务与 WWW安全
第七章
7
防火墙的构造与选择
第八章
8
计算机病毒及其防治技术
第九章
9
安全通信协议与交易协议
第十章
第十 一 章 10 系统入侵的鉴别与防御
第一章 电子商务安全的现状和趋势
1、电子商务安全结构与要求
2,触发电子商务安全问题的根源
3、网络安全隐患包括的几个 方面以及各自内容
4,电子商务安全的防范措施
电子商务安全概述
?安全的结构(内容)
? 密码安全 —— 通信安全的最核心部分 。
? 计算机安全 —— 一种确定的状态, 使计算机化数
据和程序文件不致被非授权人员, 计算机或其程序
访问, 获取或修改 。
? 网络安全 —— 包括所有保护网络的措施 。
? 信息安全 —— 保护信息财富,使之免遭偶发的或
有意的非授权泄露、修改、破坏或处理能力的丧失
。
?电子商务安全的基本要求
术语 定义
保密性
认证性
完整性
可访问性
防御性
不可否认性
合法性
保持个人的、专用的和高度敏感数据的机密
确认通信双方的合法身份
保证所有存储和管理的信息不被篡改
保证系统、数据和服务能由合法的人员访问
能够阻挡不希望的信息或黑客
防止通信或交易双方对已进行业务的否认
保证各方的业务符合可适用的法律和法规
?触发安全问题的原因
1,黑客的攻击
2,管理的欠缺
3,网络的缺陷
4,软件的漏洞或, 后门,
5,人为的触发
?网络系统软件自身的安全问题
?网络系统中数据库的安全设计问题
?传输线路安全与质量问题
?网络安全管理问题
?其他威胁网络安全的典型因素
?网络安全隐患
?防治措施
?技术措施
?管理措施
第 二 章 信息加密技术与应用
1、密码学的基本概念
2、网络通信中的加密方式
3、对称密钥体制的原理及 DES算法的有关概念
4、非对称密钥体制的原理及 RSA算法的有关概念
密码学基本概念
?密码编码学( cryptography),
使消息保密的技术和科学
?密码分析学( cryptanalysis),
破译密文的技术和科学
密码学( cryptology)
密码学 =密码编码学 +密码分析学
密码学的三个发展阶段
?古典密码举例,
恺撒密码:将字母循环前移 k位
明文,Zhejiang University
密文,Emjonfsl Zsnajwxnyd
例如 k=5时对应关系如下,
网络通信中的加密方式
常见的三种加密方式,
1.链路 -链路加密
2.节点加密
3.端 -端加密
密码算法分类
?对称密钥算法( symmetric cipher),对称密钥加密技
术利用一个密钥对数据进行加密,对方接收到数据后,
需要用同一密钥来进行解密 。又称秘密密钥算法或单密
钥算法。
?非对称密钥算法( asymmetric cipher):非对称密钥加
密技术利用两个不同的密钥对数据进行加密和解密,其
中公钥用于对信息的加密,私钥用于对加密信息的解密。
又称公开密钥算法( public-key cipher) 。
数据加密标准 DES
DES( Data Encryption Standard) 是一种对称
密钥体制,也是一种分组密码体制。
明文分组,64位
密钥长度,64位,其中 8位奇偶校验位,实际 56位。
DES综合运用了 置换, 迭代 相结合的密码技术,把明文
分成 64位大小的块,使用 56位密钥,迭代轮数为 l6轮的
加密算法。 DES密码算法输入的是 64比特的明文,通过
初始置换 IP变成 T0=IP(T),再对 T0经过 16层的加密变换,
最后通过逆初始置换得到 64比特的密文。反之输入 64比
特的密文,输出 64比特的明文。
公钥加密体制
?对称密钥算法,加密密钥和解密密钥一样
?非对称密钥算法,加密和解密使用的是两个不
同的密钥, 也称为公开密钥算法。
公开密钥算法用一个密钥进行加密,而用另一个进
行解密,其中的加密密钥可以公开,又称 公开密钥
( public key),简称 公钥 ;解密密钥必须保密,又称
私人密钥( private key),简称 私钥 。
公钥加密的基本思想,
利用求解某些数学难题的困难性。 单向函数
RSA算法
RSA算法的理论基础,
?大数分解,两个大素数相乘在计算上是容易实现的,但
将该乘积分解为两个大素数因子的计算量却相当巨大。
?素数检测,素数检测就是判定一个给定的正整数是否为
素数。
其他的公钥加密体制,
背包加密体制,EIGamal加密体制、椭圆曲线加密等
第三章 数字签名技术与应用
1、数字签名的基本概念
2、几种常用的数字签名技术
3、美国数字签名标准 (DSS)
数字签名 (Digital Signature),
指发送者根据消息产生摘要,并对摘要用自身的签名
私钥进行加密。消息和用自身签名私钥加密的数字摘
要组合成数字签名。
?数字签名 的定义
数字签名的作用
? 验证消息发送方的身份
? 验证消息内容的完整性
几种常用的数字签名技术
( 1) RSA签名
( 2) ElGamal签名
( 3) 盲签名
( 4) 多重签名
( 5) 代理签名
?相同点
RSA签名和 RSA加密的异同点
都使用一对密钥:公钥和私钥
?不同点
RSA加密, 用 公钥 加密, 用 私钥 解密
RSA签名:用私钥签名, 用公钥验证
美国数字签名标准( DSS)
?DSS标准采用的算法是 DSA( Digital Signature
Algorithm ) ;
? DSA算法是 ElGamal算法的改进, 该算法只能
用于数字签名而不能用于加密 。
?ElGamal算法既可用于信息加密, 也 可用于数字
签名 。
第四章 身份认证与访问控制
1、身份认证的常用识别法
2、访问控制的基本概念
身份认证的常用识别法
?身份认证的定义,
证实客户的真实身份与其所声称的身份是否相符
的过程 。
?身份认证的依据,
( 1) 根据用户知道什么来判断 ( 所知 )
口令、密码等
( 2) 根据用户拥有什么来判断 ( 拥有 )
身份证、护照、门钥匙、磁卡钥匙等
( 3) 根据用户是什么来判断 ( 特征 )
指纹、声音、视网膜、签名,DNA等
常用的 身份认证 技术
( 1) 口令识别法
( 2) 签名识别法
( 3) 指纹识别技术
( 4) 语音识别系统
访问控制的基本概念
?访问控制的概念,
?确保主体对客体的访问只能是授权的, 未经
授权的访问是不允许的, 而且操作是无效的 。
?访问控制的核心是 授权控制,既控制不同用户
对信息资源的访问权限。
? 自主访问控制( discretionary policies)
目录表访问控制、访问控制表、访问控制矩阵
? 强制访问控制 (mandatory policies)
?访问控制策略中的措施
第五章 密钥管理与数字证书
1,密钥 管理的基本概念
2,多层密钥体制的原理及优点
3、公钥基础设施与数字证书的概念
?密钥管理概述
? 密钥管理的重要性,
所有的密码技术都 依赖 于密钥。
? 密钥管理( Key Management),
密钥管理是一门综合性的技术,涉及密钥的产生、
检验、分发、传递、保管、使用、销毁的全部过程,
还与密钥的行政管理制度以及人员的素质密切相关。
多层密钥系统的基本思想 —— 用密钥保护密钥
?多层密钥体制的原理及优点
一个密钥系统可能有若干种不同的组成部分,可以将各
个部分划分为一级密钥、二级密钥,……, n级密钥,
组成一个 n层密钥系统。
?多层密钥体制的原理及优点
密钥分类,
?工作密钥
?密钥加密密钥
?主密钥
?安全性大大提高
?为密钥管理自动化带来了方便
多层密钥体制的优点,
?公钥基础设施的概念
什么是公钥基础设施,
公钥基础设施( PKI,Public Key Infrastructure) 是指
用公钥原理和技术实施和提供安全服务的具有普适性的
安全基础设施。
PKI是一种标准的密钥管理平台,它能够为所有网络应
用透明地提供采用加密和数据签名等密码服务所必需的
密钥和证书管理。
?数字证书的概念
什么是数字证书,
由 CA认证中心发放的一个数字文件,数字证书也称公开
密钥证书,在网络通信中标志通信各方身份信息的一系
列数据。
?证书 (certificate),有时候简称为 cert;
?证书包含了 用户身份信息, 用户公钥信息 以及 身份验
证机构数字签名 等数据。
?数字证书与 CA认证中心
数字证书的树型验证结构,
双方通信时,通过出示由某个 CA签发的证书来证明自己的
身份。如果对签发证书的 CA本身再不信任,则可验证 CA的
身份,一直到权威的根 CA处,就可确信证书的有效性。
第六章 TCP/IP服务与 WWW安全
1,TCP/IP协议的基本概念
2、常用 TCP/IP服务及安全性
什么是 TCP/IP协议
?TCP/IP协议的定义,
TCP/IP是 Transmission Control Protocol/Internet
Protocol的缩写,中文译名为传输控制协议 /互联网络
协议,TCP/IP协议是 Internet最基本的协议。
?TCP/IP协议的层次结构,
TCP/IP协议的基本概念
?IP地址的概念及分类
?端口的概念
?网络层、传输层、应用层的常用协议
? Telnet远程登录
? FTP文件传输
? HTTP网页浏览
? DNS域名服务
常用 TCP/IP服务及安全性
第七章 防火墙的构造与选择
1,防火墙 的概念
2、防火墙的基本类型
3、防火墙的基本体系结构及各自的原理和特点
防火墙概述
?防火墙( Firewall) 的定义,
—— 防火墙是用来限制被保护的网络与互联网络
之间,或者与其他网络之间相互进行信息存取、传递
操作的部件或部件集。
?包过滤型( Packet Filter)
?代理服务器型( Proxy Service)
?复合型防火墙( Hybrid)
?防火墙的基本类型
防火墙的基本体系结构
?三种体系结构及各自的原理和特点,
?双宿主主机结构
?主机过滤结构
?子网过滤结构
?相关概念,
堡垒主机、双宿主主机,DMZ
第八章 计算机病毒及其防治技术
1,计算机病毒的 基本 概念
2、常见计算机病毒的类型
3、计算机病毒的防治
?1994年 2月 18日,《中华人民共和国计算机信息系
统安全保护条例》定义,
—— 计算机病毒,是指编制或者在计算机程序
中插入的破坏计算机功能或者数据,影响计算机使
用,并且能够自我复制的一组计算机指令或者程序
代码。
计算机病毒的定义
?感染性,病毒的 基本特征,自我复制能力。
?破坏性,病毒会对系统产生不同程度的影响。
?隐藏性,用户通常感觉不到病毒的存在 。
?潜伏性,一般 不会马上发作 。
?可激活性,病毒因某个事件或数值的出现而发作。
?针对性,病毒的编制者往往有特殊的破坏目的。
计算机病毒的特征
?特洛伊木马
?蠕虫病毒
?宏病毒
?脚本病毒
?恶意网页病毒
?结合黑客技术的病毒
常见计算机病毒的类型
计算机病毒的防治
?思想上的防范
在思想上重视病毒给计算机安全运行带来的危害
?管理上的防范
采取必要的病毒检测措施,制定完善的管理规则
?使用上的防范
?严格对软盘的控制
?定期使用杀病毒软件
?尽量不在网络上下载来源不明的软件
?及时对操作系统进行升级
第九章 安全通信协议与交易协议
1,IPSec协议的内容
2,安全套接层协议( SSL) 的概念
3,安全电子交易协议( SET) 的概念
4,SSL协议和 SET协议的比较
IPSec协议的内容
IPSec(IP Security)是 IPv6的一个组成部分
?IPSec提供的两种安全机制
?认证 —— 使 IP通信的数据接收方能够确认数据发送方
的真实身份以及数据在传输过程中是否被篡改
?加密 —— 对数据进行加密来保证数据的机密性
?IPSec的基本要素,
?认证协议头( AH)
?封装安全载荷( ESP)
?互联网密钥管理协议
安全套接层协议( SSL)
?SSL协议 —— Secure Socket Layer
?身份认证
用数字证书实现服务器认证
?保密性
加密传输信息
?数据完整性
保证数据信息完整性
安全电子交易协议 ( SET)
?SET协议 —— Secure Electronic Transaction
SET主要为了解决用户、商家和银行之间通过信用卡
支付的交易而设计。
?SET协议的安全技术
消息摘要、数字签名、数字信封、双重签名
SET和 SSL协议的比较
SET与 SSL相比主要有以下 4个方面的优点,
( 1) SET对商家提供了保护自己的手段, 使商务免受欺诈的困扰,
使商家的运营成本降低 。
( 2) 对消费者而言, SET保证了商家的合法性, 并且用户的信用
卡号不会被窃取 。
( 3) SET使得信用卡网上支付具有更低的欺骗概率, 使得它比其
他支付方式具有更大的竞争力 。
( 4) SET对于参与交易的各方定义了互操作接口, 一个系统可以
由不同厂商的产品构筑 。
SET的主要缺陷,
?SET协议过于复杂,对商户、用户和银行的要求比较高;
?处理速度慢,支持 SET的系统费用较大。
第十章 系统入侵的鉴别与防御
1、入侵检测系统的基本概念
2、入侵检测系统的分类
3,VPN的概念
入侵检测系统的基本概念
?入侵检测 ( Intrusion Detection,简称 ID) ——
用来发现未经授权的入侵行为的安全检测机制
?入侵检测系统 ( Intrusion Detection System,
简称 IDS) —— 用于入侵检测的系统
响应单元
Response Units
事件分析器
Event analyzers
事件产生器
Event generators
事件数据库
Event databases
IDS通用模型 CIDF的体系结构
入侵检测系统的分类
?根据事件产生器的数据来源的不同
? 基于主机的入侵检测系统 (HIDS)
? 基于网络的入侵检测系统 (NIDS)
? 分布式的入侵检测系统( DIDS)
?根据事件分析器的检测策略的不同
? 异常检测( Anomaly Detection)
? 误用检测( Misuse Detection)
?根据事件响应单元采用策略的不同
? 主动响应( Active Responses)
? 被动响应( Passive Responses)
VPN的概念
?什么是 VPN
VPN( Virtual Private Network)指的是利用公共
数据网络资源为企业构建虚拟专用网的一种业务。
?VPN的关键技术
?安全隧道技术
?用户认证技术
?访问控制技术
谢 谢!
