WEB安全
Web安全威胁防护技术
Web访问安全
|
Web访问控制技术 |
通过IP地址、子网或域名来进行控制 |
|
通过用户名/口令来进行访问控制 |
|
|
通过公钥加密体系PKI----智能认证卡来进行访问控制 |
|
|
单点登录(SSO)技术 |
基于网关的SSO模型:支持认证服务的客户端,认证服务器,支持认证服务的应用程序服务器 |
|
基于验证代理的SSO模型:使用口令表或加密密钥来自动地将认证的负担从用户移开。代理人放在服务器上面,在服务器的认证系统和客户端认证方法之间充当“翻译” |
|
|
基于Kerberos的SSO模型:采用对称密钥加密算法对信息进行加密,如果用某个用户的密钥加密某一信息,那么只有该用户才能解密 |
Web安全威胁防护技术
网页防篡改技术
|
时间轮询技术 |
也称为“外挂轮询技术”,利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复 |
|
核心内嵌技术+事件触发技术 |
事件触发技术就是利用操作系统的文件系统或驱动程序接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复 核心内嵌技术部密码水印技术。该技术将篡改检测模块内嵌在web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复 |
|
文件过滤驱动技术+事件触发技术 |
将篡改监测的核心程序通过微软文件底层驱动技术应用到web服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测 |
Web内容安全
|
电子邮件过滤技术 |
对企业而言,电子邮件过滤系统作为一项满足管理需求的重要手段,已成为网络监控、管理的必选工具。能够确保企业最佳生产效率真,降低网络、邮件服务器和存储环境被垃圾、恶意邮件充斥的可能性,防止以财务获取为目的病毒攻击 |
|
网页过滤技术 |
网页过滤已经发展成为了能够满足全球商业网络的复杂安全需求的综全过滤解决方案;当前的网页过滤解决方案能够提供更成熟的架构和更细化的分类 |
|
反间谍软件 |
从三方面加以防范,一是预防,阻止间谍软件程序进入计算机系统;二是设置障碍,在*载下**程序中设置障碍并防止它们向外发送信息;三是杀毒,清除系统中所有的间谍软件 |
练习:
基于信任的第三方KDC,提供了在开放型网络中进行身份认证的方法,认证实体可以是用户或用户服务的web访问安全技术的是()
A. 通过公钥加密体系PKI---智能认证卡进行访问控制
B. 基于网关的SSO模型
C. 基于验证代理的SSO模型
D. 基于Kerberos的SSO模型
答案:D。
利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性是属于()
A. 时间轮询技术
B. 核心内嵌技术+事件触发技术
C. 文件过滤驱动技术+事件触发技术
D. 网页过滤技术
答案:A。
电子商务安全
电子商务的安全需求
|
交易实体身份可认证性需求 |
网络两端的使用者在沟通之前互相确认对方的身份 |
|
信息保密性的需求 |
信息在传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容 |
|
信息完整性的需求 |
保护数据不被未经授权者修改、建立、嵌入、删除、重复传送或者由于其他原因使原始数据被更改 |
|
交易信息的不可抵赖性需求 |
信息的发送方不能否认已经发送的信息,接收方不能否认已经收到的信息 |
|
商务服务的有效性需求 |
保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务 |
|
访问控制性需求 |
在网络上限制和控制通信链路对主机系统和应用的访问 |
电子商务安全认证体系
身份认证技术
|
用户名/口令认证 |
用户所知道的,如密码认证过程PAP |
|
标记方式认证 |
用户所拥有的,常见的有基于智能卡的认证系统 |
|
生物特征认证 |
用户本身的特征,比如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等 |
|
根据特定地点或时间认证 |
一次一密系统所用到的认证方法,其中的密钥跟特定时间有关,以及跟用户的认证次数i有关系 |
|
通过信任的第三方认证 |
典型的为kerberos认证 |
数字证书技术:在互联网通信中标专通信各方身份信息的一系列数据,提供了一种在Internet上验证用户身份的方式
电子商务的安全服务协议
SSL协议:主要用于解决TCP/IP协议难以确定用户身份的问题,提供了数据加密、服务器端身份认证、信息完整性和可选择的客户端身份验证等功能。
|
SSL握手层协议 |
被封装在记录协议中,其报文头包括类型、长度、内容三个字段 |
|
SSL记录层协议 |
为SSL连接提供两种服务:机密性和报文完整性,所有的传输数据都被封装在记录中,记录由记录头和长度不为0的记录数据组成 |
SSL协议的通信过程:
1、 建立连接阶段:客户机呼叫服务器,服务器回应客户机;
2、 认证阶段:服务器向客户机发送服务器证书和公钥,以便客户机认证服务器身份;如服务器需要双方认证,还要提出认证请求,客户机向服务器发送客户端证书;
3、 确立会话密钥:客户机与服务器之间协商确立会话密钥;
4、 会话阶段:客户机与服务器使用会话密钥加密会话信息;
5、 结束阶段:客户机与服务器交换结束信息,通信结束。
应用SSL协议的电子交易过程:
1、 客户将购物信息发往商家;
2、 商家将信息转发银行;
3、 银行验证客户信息的合法性后,通知客户和商家付款成功;
4、 商家通知客户购买成功,并将商品交给客户。
电子商务安全
电子商务的安全服务协议
SET协议:使银行卡在互联网上安全交易提出的完整安全解决方案
参与对象:客户、商家、发卡银行、收单银行、支付网关、CA认证中心
应用SET协议的交易流程:
1、 持卡人(客户)在商家(网店)浏览商品;
2、 持卡人选择要购买的商品,并填写订单;
3、 持卡人选择在线支付方式;
4、 持发送订单和支付指令给商家;
5、 商家收到订单后,向持卡人所在银行发出支付请求;
6、 商家将订单确认信息通知持卡人,为客户发货或完成订购服务
SET协访中的双重数字签名技术(客户发送信息给银行为例)
电子商务的安全服务协议
|
SSL协议 |
SET协议 |
|
|
不同点 |
1、 SSL协议面向连接(两方之间) 2、 支付系统只能与web浏览器*绑捆**在一起 3、 所有信息加密传输 4、 商家能看到信用卡账户等支付信息 |
1、 允许各方之间非实时交换报文 2、 SET报文能在银行内网或其它网络上传输 3、 选择性加密一部分敏感信息 4、 双重数字签名,商家看不到客户支付信息 |
|
相同点 |
都采用了对称密钥加密、非对称密钥加密、数字摘要与数字证书等加密和认证技术,保密性相同。 |
|
练习:
电子商务系统除了面临一般的信息系统所涉及的安全威胁之外,更容易成为不法分子的攻击目标,其安全性需求普遍高于一般的信息系统。电子商务系统中的电子交易安全需求不包括()
A. 交易的真实性
B. 交易的保密性和完整性
C. 交易的可撤销性
D. 交易的不可抵赖性
答案:C。
以下选项中,不属于生物识别方法的是()
A. 指纹识别
B. 声音识别
C. 虹膜识别
D. 个人标记号识别
答案:D。
以下关于SSL协议描述正确的是()
A. SSL协议允许各方之间的报文交换非实时
B. SSL报文能在银行内网或其它网络上传输
C. SSL协议中商家能看到客户的信用卡账户等支付信息
D. SSL协议是一个多方报文协议
答案:C。
以下关于安全套接字层协议(SSL)的叙述中,错误的是()
A. 是一种应用层安全协议
B. 为TCP/IP口连接提供数据加密
C. 为TCP/IP连接提供服务器认证
D. 提供数据安全机制
答案:A。SSL是介于应用层和传输层之间的协议
在SSL协议的通信过程中,()需要服务器向客户机发送服务器证书和公钥,以便客户机认证服务器身份。
A.接通阶段 B.认证阶段
C.确立会话密钥阶段 D.会话阶段
以下关于SET协议的叙述,错误的是()。
A. SET协议允许各方之间非实时交换报文
B. SET协议允许商家看到客户的账户和密码信息
C. SET报文能在银行内网或其它网络上传输
D. SET协议选择性的加密一部分敏感信息
答案:B。