第二章 Internet安全.ppt

2002年9月12日下午 授课教师：鲁士文（CAS/ICT) 计算机网络课程 电子商务安全 第 2 章 Internet安全 2.1 Internet现状与电子商务 公安部2006年8月8日宣布，?由公安部公共信息网络安全监察局举办的2006年度全国信息网络安全状况暨计算机病毒疫情调查活动顺利结束，调查内容包括我国2005年5月至2006年5月发生信息网络安全事件、计算机病毒疫情状况和信息安全管理中存在的问题。 经对调查数据统计分析，2005年5月至2006年5月间，有54%的被调查单位发生过信息网络安全事件，这些单位包括金融机构和国防、商贸、能源和电信等政府部门。其中， ---感染病毒、蠕虫和木马程序为84%， ---遭到网络攻击或端口扫描的占36%， ---垃圾邮件占35%。 网络安全产品中： 防火墙使用率最高，达到81% 病毒防治产品使用率 79%。 目前，以盗取用户帐号、密码的“间谍软件”、木马明显增多，计算机病毒本土化制作的趋势更加明显，利用计算机病毒非法牟利的情况突出。 调查结果显示，我国信息网络使用单位对网络安全管理工作的重视程度有所提高，安全状况较去年有所改善。但是，一些单位信息安全事件处置方法和手段单一，防范措施不完善，网络安全管理人员不足、专业素质有待提高，被调查单位信息安全管理水平整体上仍滞后于信息化发展要求。 安全性问题一直是电子商务令人担心的方面和关注的焦点，也将成为电子商务全面推广的主要障碍。必威体育精装版调查表明，电子商务网站越来越容易受到黑客的攻击，这不仅表现在网站受攻击而不能提供正常服务上，还经常表现为用户信用卡密码被非法获取并被冒用。 一般来讲，电子商务安全主要包括两大方面：网络安全和商务安全。这里所说的网络安全主要是指计算机和网络本身可能存在的安全问题，也就是要保障电子商务平台的可用性和安全性，其内容包括计算机物理安全、系统安全、数据库安全、网络设备安全、网络服务安全等。商务安全则指商务交易在网络这种媒介中体现出的安全问题，包括防止商务信息被窃取、篡改、伪造以及交易行为被抵赖，也就是要实现电子商务的必威体育官网网址性、完整性、真实性和不可抵赖性。 网络安全是电子商务的基础。为了保证电子交易能顺利进行，首先要求电子商务平台要稳定可靠、不中断地提供服务。任何系统的中断，如硬件软件错误、网络故障、错误操作、病毒都可能导致电子商务系统不能正常工作，从而使交易数据在确定时刻和地点的有效性得不到保证。在保证网络安全上，软硬件设备的冗余、防火墙、入侵检测系统、防病毒系统等是经常采用的技术。 2.2 防火墙技术 这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示。 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。 防火墙的必要性 防火墙的局限性 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限： 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 防火墙的分类 常见的放火墙有三种类型：1、分组过滤防火墙；2、应用代理防火墙；3、状态检测防火墙。 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通