《电子商务安全与支付》课件第2章-电子商务安全技术.pptx

1、单击此处编辑母版标题样式,编辑母版文本样式,第二级,第三级,第四级,第五级,2020/6/15,#,第二章 电子商务安全技术,电子商务安全与支付,本章导入,2018,年,8,月，全国金融标准化技术委员会秘书处发布关于征求,聚合支付安全技术规范,（征求意见稿）的通知，正式对外宣布，聚合支付标准的推出正在路上。该规范提出了聚合技术平台的基本框架，规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。值得一提的是，该标准的工作组由商业银行、支付机构、中国银联、检测机构等角色组成。,在规范中，聚合技术

2、服务商被定义为经工商行政管理部门批准成立，接受支付服务机构、商户委托，利用自身的技术与服务集成能力，提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外，标准还对聚合支付的数据留存问题有较高的要求。,本章导入,聚和交易安全基本要求是，聚合技术服务商应采取加密存储、访问控制、信息安全审计等措施，可以防范拖库撞库攻击。聚合支付系统应能够通过支付标记化技术，应定期开展敏感信息安全的内部审计。在应用软件的数据安全方面，聚合技术服务商应用宜支持页面回退清除敏感信息的机制。残余信息保护方面，聚合技术服务商应用软件退出时，应清除

3、非业务功能运行所必需留存的业务数据，保证客户信息的安全性；软件卸载后，文件系统中不应残留任何与用户相关的个人信息及敏感数据,等。,第三节数据安全应用,目录,第二节网络安全技术应用,CONTENTS,第一节 计算机系统安全技术应用,1.,熟悉服务器的安全防范。,2.,掌握软件系统的安全维护,策略,。,知识目标,学会对计算机系统的优化设置,技能目标,第一节 计算机系统安全技术应用,国际标准化组织（,ISO,）对计算机系统安全的定义是“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。由此可以将计算机网络的安全理解为通过采用各种技

4、术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等,。,互联网是遍布全球的计算机互联形成的网络，作为节点的计算机是互联网的重要组成部分。计算机包括基本的硬件、系统软件和各种应用程序。硬件平台的安全性主要指防火、防水、防盗等物理危险的防护，系统软件的安全主要指各种操作系统防范攻击、保障工作安全。,一、计算机系统安全的定义,第一节 电子商务的发展与,应用,硬件平台安全最重要的部分在于服务器硬件安全，因为服务器要长时间高速度运行，承载了海量数据的吞吐工作，所以要尽最大可能保证服务器

5、安全。在服务器硬件方面，可以通过高可用集群、双机热备策略，应对服务器瘫痪、被黑、负载过重给系统带来的影响,。,（,1,）高可用集群，英文原文为,High Availability Cluster,简称,HA,Cluster,（,2,）双机热,备,提高服务器的使用效率，也不影响服务器的性能，在工作方式选择上，有如下的选择。,1,主,/,主,(Active/active),2,主,/,从,(Active/passive,),3,混合型,(Hybrid),二、硬件平台的安全防范,第一节 电子商务的发展与,应用,在,做好硬件防护的同时，软件层面也很重要。一般来说，最小的权限,+,最少的服务,=,最大的

6、安全。在软件维护方面，有以下几个策略,。,1,从基本做起，及时安装系统补丁,三、软件系统的安全维护策略,第一节 电子商务的发展与,应用,2,安装和设置防火墙,三、软件系统的安全维护策略,第一节 电子商务的发展与,应用,3,安装网络杀毒,软件,三、软件系统的安全维护策略,第一节 电子商务的发展与,应用,4,关闭不需要的服务和端口,5,定期对服务器进行,备份,6,账号和密码,保护,三、软件系统的安全维护策略,第一节 电子商务的发展与,应用,一旦,系统被黑，需要立即做出处理，包括,：,（,1,）立即停止系统服务，避免用户继续受影响，防止继续影响其他站点。,（,2,）如果同一主机提供商同期内有多个站点

7、被黑，可以联系主机提供商，敦促对方做出应对。,（,3,）清理已发现的异常，排查出可能的被黑时间，和服务器上的文件修改时间相比对，处理掉黑客上传、修改过的文件,;,检查服务器中的用户管理设置，确认是否存在异常的变化,;,更改服务器的用户访问密码。,一般,可以从访问日志中，确定可能的被黑时间。不过黑客可能也修改服务器的访问日志。,（,4,）做好安全工作，排查网站存在的漏洞，防止再次被黑。,三、软件系统的安全维护策略,第三,节 数据安全,应用,目录,第二,节 网络,安全技术应用,CONTENTS,第一节 计算机系统安全技术应用,1.,掌握常见的网络入侵方式。,2.,熟悉网络的安全策略,知识目标,学会

8、防火墙的原理和使用,技能目标,计算机网络,是一个开放和自由的网络，它在大大增强了网络信息服务灵活性的同时，也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围，而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术，当成一种新式犯罪工具和手段，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来，网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。,第二节 网络安

9、全技术应用,1.,通过伪装发动攻击,2,.,利用开放端口漏洞发动攻击,3,.,通过木马程序进行入侵或发动攻击,4,.,嗅探器和扫描攻击,为了,应对不断更新的网络攻击手段，网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括防火墙、,VPN,、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和,VPN,属早期的被动防护技术，入侵检测、入侵防御和漏洞扫描属主动检测技术，这些技术领域的研究成果已经成为众多信息安全产品的基础。,第二节 网络安全技术应用,一、常见的几种网络入侵方法,网络,防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控

10、制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括防火墙、,VPN,、防毒墙等。,1,.,防火墙,2.VPN,3.,防毒墙,第二节 网络安全技术应用,二、网络的安全策略分析,仅仅,依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有以下几种。,1.,入侵检测,2.,入侵,防御,3.,漏洞扫描

11、,第二节 网络安全技术应用,三网络检测技术分析,第三,节 数据安全,应用,目录,第二,节 网络,安全技术应用,CONTENTS,第一节 计算机系统安全技术应用,1.,了解数据安全的特点、常见风险。,2.,掌握数据安全技术,知识目标,1.,学会数据安全技术的应用。,2.,学会网站安全措施,技能目标,数据安全,也称信息安全，有两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全，数据安全是一种主动的包含措施,。,

12、数据,本身的安全必须基于可靠的加密算法与安全体系，主要是有对称算法与公开密钥密码体系,两种。,第三节 数据安全应用,一、数据安全的概念,1.,保密性（,secrecy,）,2.,完整性（,Integrity,）,3,.,可用性（,Availability,）,综,上，从数据安全的三个特性上，要实现开放而安全的目标是一个高难度的挑战。人类已进入大数据时代，数据的重要性无须赘言。如何保护数据安全成为企事业单位及社会各界关切的问题。,第三节 数据安全应用,二、数据安全的特点,1.,来自操作系统的,风险,2.,来自管理的,风险,3.,来自用户的风险,4.,来自数据库系统内部的风险,第三节 数据安全应用

13、,三、数据安全的风险来源,1.,数据加密,第三节 数据安全应用,四、数据安全技术,2.,存取管理,技术,（,1,）用户认证技术,用户认证技术是系统提供的最外层安全保护措施。通过用户身份验证，可以阻止未授权用户的访问，而通过用户身份识别，可以防止用户的越权访问。,用户身份,验证,（,2,）访问控制,按功能模块对用户授权,每个,功能模块对不同用户设置不同权限，如无权进入本模块、仅可查询、可更新可查询、全部功能可使用等。,将数据库系统权限赋予用户,通常,为了提高数据库的信息安全访问，用户在进行正常的访问前服务器往往都需要认证用户的身份、确认用户是否被授权。为了加强身份认证和访问控制，适应对大规模用户

14、和海量数据资源的管理，通常,DBMS,主要使用的是基于角色的访问控制（,Role based access control,，,RBAC,）。,第三节 数据安全应用,四、数据安全技术,3.,备份与恢复,4.,建立安全的审计,机制,(1,）建立单独的审计系统和审计员，审计数据需要存放在单独的审计文件中，而不像,Oracle,那样存在数据库中，只有审计员才能访问这些审计数据。可以把用户大致分为审计员、数据库用户、系统安全员,3,类，这三者相互牵制，各司其职。分别在,3,个地方进行审计控制,。,（,2,）为了保证数据库系统的安全审计功能，还需要考虑到系统能够对安全侵害事件做出自动响应，提供审计自动报

15、警功能。当系统检测到有危害到系统安全的事件发生并达到预定的阈值时，要给出报警信息，同时还会自动断开用户的连接，终止服务器端的相应线程，并阻止该用户再次登录系统。,第三节 数据安全应用,四、数据安全技术,本章总结,本章,介绍了互联网系统的安全层次和安全技术，底层是计算机网络系统安全，解决网络安全要有一个好的安全策略，然后根据策略部署技术设备，防火墙是最重要也是最常用的一种。作为信息载体的数据安全，是一切信息系统安全的基础。应用系统作为电子商务活动开展最直接的实现者，也需要一套完整的安全管理措施。,思考题,1,.,软件,系统的安全维护策略有哪些？,常见,的几种网络入侵方法有哪些,？,数据安全,的特点包括哪些方面？,课后训练,1,熟悉防火墙基本知识，练习使用防火墙。,2,学会应用网络的安全策略。,3.,走访调研相关电子商务企业，分析企业架设电子商务网站时，会如何选择有效的安全措施，形成分析报告。,THANKS,