《《Web电子商务安全》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《Web电子商务安全》PPT课件.ppt(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1.1 安全问题安全问题 据权威机构调查表明,目前国内企业发展据权威机构调查表明,目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。电子商务的最大顾虑是网上交易的安全问题。1 1、电子商务安全问题与安全需求、电子商务安全问题与安全需求1从信息安全角度考察,电子商务面临的安全从信息安全角度考察,电子商务面临的安全威胁主要有以下方面:威胁主要有以下方面:1.1.信息的截获和窃取信息的截获和窃取2.2.信息的篡改信息的篡改3.3.信息假冒信息假冒4.4.交易抵赖交易抵赖5.5.非授权访问非授权访问2从网络安全角度考察,电子商务面临的从网络安全角度考察,电子商务面临的主要安全威胁有以下几种:主要
2、安全威胁有以下几种:1 1物理实体引发的安全问题物理实体引发的安全问题(1 1)设备的功能失常。)设备的功能失常。(2 2)电源故障。)电源故障。(3 3)由于电磁泄漏引起的信息失密。)由于电磁泄漏引起的信息失密。(4 4)搭线窃听。)搭线窃听。2 2自然灾害的威胁自然灾害的威胁3 3黑客的恶意攻击黑客的恶意攻击4 4软件的漏洞和软件的漏洞和“后门后门”5 5网络协议的安全漏洞网络协议的安全漏洞6 6计算机病毒和蠕虫的攻击计算机病毒和蠕虫的攻击3从交易者角度考察,买方和卖方分别面临的安全从交易者角度考察,买方和卖方分别面临的安全威胁有:威胁有:1 1卖方(销售者)面临的安全威胁:卖方(销售者)
3、面临的安全威胁:(1 1)系统中心安全性被破坏)系统中心安全性被破坏(2 2)竞争者的威胁)竞争者的威胁(3 3)商业机密的安全)商业机密的安全(4 4)假冒的威胁)假冒的威胁(5 5)信用的威胁)信用的威胁4l2买方(消费者)面临的安全威胁:买方(消费者)面临的安全威胁:l(1)虚假订单)虚假订单l(2)付款后收不到商品)付款后收不到商品l(3)机密性丧失)机密性丧失l(4)拒绝服务)拒绝服务5l电子商务在电子商务在Internet实现了实现了“物流、信息流、物流、信息流、资金流资金流”三者的统一,流动的是金钱和财富三者的统一,流动的是金钱和财富(信息)。金钱和财富刺激着有人去冒险,不(信息
4、)。金钱和财富刺激着有人去冒险,不管安全技术发展到何等完善的地步,对安全的管安全技术发展到何等完善的地步,对安全的威胁永远存在。因此,对电子商务的安全威胁威胁永远存在。因此,对电子商务的安全威胁应时刻警惕。应时刻警惕。61.1 电子商务安全问题电子商务安全问题问题问题问题问题数据被非法截获、读取或者修改数据被非法截获、读取或者修改 冒名顶替和否认行为冒名顶替和否认行为 一个网络的用户未经授权访问了一个网络的用户未经授权访问了另一个网络另一个网络 计算机病毒计算机病毒 措施措施措施措施数据加密数据加密 数字签名、加密、认证等数字签名、加密、认证等 防火墙防火墙计算机病毒防治措施计算机病毒防治措施
5、 71.2 安全需求安全需求电子商务的安全需求包括两方面:电子商务的安全需求包括两方面:电子商务的安全需求包括两方面:电子商务的安全需求包括两方面:v 计算机网络系统的安全计算机网络系统的安全v 电子交易中的信息安全需求电子交易中的信息安全需求81.2 电子商务的安全需求电子商务的安全需求1、电子交易的安全需求l电子交易安全则紧紧围绕传统商务在互联网络电子交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在网络安全的上应用时产生的各种安全问题,在网络安全的基础上,保障以电子交易和电子支付为核心的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的电子商
6、务过程的顺利进行。即实现电子商务的保密性、完整性、可认证性、不可拒绝性、不保密性、完整性、可认证性、不可拒绝性、不可伪造性和不可抵赖性。可伪造性和不可抵赖性。91.2 电子商务的安全需求电子商务的安全需求(1 1 1 1)身份的可认证性)身份的可认证性)身份的可认证性)身份的可认证性 在双方进行交易前,首先要能在双方进行交易前,首先要能确认对方的身份确认对方的身份,要求交,要求交易双方的身份不能被假冒或伪装。易双方的身份不能被假冒或伪装。(2 2 2 2)信息的保密性)信息的保密性)信息的保密性)信息的保密性 要对敏感重要的商业信息进行要对敏感重要的商业信息进行加密加密,即使别人截获或窃,即使
7、别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。机密信息难以被泄露。1、电子交易的安全需求、电子交易的安全需求101.2 电子商务的安全需求电子商务的安全需求1 1、电子交易的安全需求、电子交易的安全需求(3 3 3 3)信息的完整性)信息的完整性)信息的完整性)信息的完整性 请给丁汇100元乙乙甲甲请给丁汇100元请给丙汇100元丙丙请给丙汇100元 交易各方能交易各方能够够验证收到的信验证收到的信息是否完整息是否完整,即,即信息是否被人篡信息是否被人篡改过,或者在数改过,或者在数据传输过程中是据传输过程
8、中是否出现信息丢失、否出现信息丢失、信息重复等差错信息重复等差错。111.2 电子商务的安全需求电子商务的安全需求1 1、电子交易的安全需求、电子交易的安全需求(4 4 4 4)不可抵赖性)不可抵赖性)不可抵赖性)不可抵赖性 在电子交易通信过程的各个环节中都必须是在电子交易通信过程的各个环节中都必须是在电子交易通信过程的各个环节中都必须是在电子交易通信过程的各个环节中都必须是不可否认不可否认不可否认不可否认的,的,的,的,即交易一旦达成,发送方不能否认他发送的信息,接收方则即交易一旦达成,发送方不能否认他发送的信息,接收方则即交易一旦达成,发送方不能否认他发送的信息,接收方则即交易一旦达成,发
9、送方不能否认他发送的信息,接收方则不能否认他所收到的信息。不能否认他所收到的信息。不能否认他所收到的信息。不能否认他所收到的信息。(5 5 5 5)不可伪造性)不可伪造性)不可伪造性)不可伪造性 电子交易文件也要能做到不可修改电子交易文件也要能做到不可修改电子交易文件也要能做到不可修改电子交易文件也要能做到不可修改 121.2 电子商务的安全需求电子商务的安全需求2.2.计算机网络系统的安全计算机网络系统的安全l网络安全的内容包括:网络设备安全、网络网络安全的内容包括:网络设备安全、网络系统安全、数据库安全等。其特征是针对网系统安全、数据库安全等。其特征是针对网络本身可能存在的安全问题,实施网
10、络安全络本身可能存在的安全问题,实施网络安全增强方案,以保证网络自身的安全为目标。增强方案,以保证网络自身的安全为目标。13l网络安全与商务交易安全实际上是密不可分的,网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有网络安全作为两者相辅相成,缺一不可。没有网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使网络本身再起。没有商务交易安全保障,即使网络本身再安全,仍然无法达到电子商务所特有的安全要安全,仍然无法达到电子商务所特有的安全要求。电子商务安全是以网络安全为基础。但是,求。电子商务安全是以网络安全
11、为基础。但是,电子商务安全与网络安全又是有区别的。电子商务安全与网络安全又是有区别的。14l首先,网络不可能绝对安全,在这种情况下,还需要首先,网络不可能绝对安全,在这种情况下,还需要运行安全的电子商务。其次,即使网络绝对安全,也运行安全的电子商务。其次,即使网络绝对安全,也不能保障电子商务的安全。电子商务安全除了基础要不能保障电子商务的安全。电子商务安全除了基础要求之外,还有特殊要求。求之外,还有特殊要求。l从安全等级来说,从下至上有网络基础设施安全、局从安全等级来说,从下至上有网络基础设施安全、局域网安全、域网安全、InternetInternet安全和电子交易安全之分。安全和电子交易安全
12、之分。l其中,电子交易安全属于信息安全的范畴,涉及信息其中,电子交易安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。这几个安全概念的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图所示。之间的关系如图所示。15电子交易安全电子交易安全Internet安全安全内部网络安全内部网络安全网络基础设施网络基础设施安全安全图1-1 电子商务的信息安全层次结构162.1 防火墙防火墙l这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间的一道防御系统。l在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络
13、)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图所示。2.网络系统安全技术网络系统安全技术1718防火墙的功能防火墙的功能 l根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点l由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。19防火墙的必要性防火墙的必要
14、性l随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化。20通过防火墙,设置在可信任的内部网络和不可信任的外界之间的一道屏障。n通过安全政策控制信息流出入,防止不可预料的潜在的入侵破坏。n尽可能地
15、对外界屏蔽和保护网络的信息和结构,确保可信任的内部网络的安全。防火墙的必要性防火墙的必要性21防火墙的分类防火墙的分类 l常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。l分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。l应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,
16、通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。l状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。22分组过滤防火墙分组过滤防火墙l数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。l通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃。23 分组过滤防火墙分组过滤防火墙分组过滤防火墙分组过滤防火墙24l一个可靠的分组过滤防火墙依赖于规则集,下表列出了几条典型的规则集。l第一条规则:主机任何端口访
17、问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机小于1024的端口,如果基于TCP协议的数据包都禁止通过。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1允允许许10.1.1.1*TCP2允允许许*10.1.1.120*TCP3禁止禁止*10.1.1.120Security Logs”,察看日志纪录如图所示。36案例案例2 用用WinRoute禁用禁用FTP访问访问 lFTP服务用TCP协议,FTP占用TCP的21端口,主机的IP
18、地址是“172.18.25.109”,首先创建规则如表所示。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1禁止禁止*172.18.25.109*21TCP37l利用WinRoute建立访问规则,如图所示。38l设置访问规则以后,再访问主机“172.18.25.109”的FTP服务,将遭到拒绝,如图所示。39l访问违反了访问规则,会在主机的安全日志中记录下来,如图所示。40案例案例3 用用WinRoute禁用禁用HTTP访问访问lHTTP服务用TCP协议,占用TCP协议的80端口,主机的IP地址是“172.18.25.109”,首先创建规则如表所示。组组序
19、号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1禁止禁止*172.18.25.109*80TCP41l利用WinRoute建立访问规则,如图所示。42l打开本地的IE连接远程主机的HTTP服务,将遭到拒绝,如图所示。43l访问违反了访问规则,所以在主机的安全日志中记录下来,如图所示。442.2 虚拟专用网虚拟专用网 虚拟专用网(虚拟专用网(VPNVPN)技术是一种)技术是一种在公用互联在公用互联网络上构造专用网络网络上构造专用网络的技术。将物理上分布在的技术。将物理上分布在不同地点的专用网络,通过公共网络构造成逻不同地点的专用网络,通过公共网络构造成逻辑上的辑上
20、的虚拟子网虚拟子网,进行安全的通信。,进行安全的通信。45 VPNVPN具体实现是采用具体实现是采用隧道隧道技术,将企业内的数据封技术,将企业内的数据封装在隧道中进行传输。装在隧道中进行传输。46 VPN可以省去专线租用费用或者长距离电话费用可以省去专线租用费用或者长距离电话费用,大大降低成本。,大大降低成本。VPN可以充分利用可以充分利用Internet公网资源,快速地建立公网资源,快速地建立起公司的广域连接。起公司的广域连接。ISP ISP ModemsModemsVPNVPNGatewayGatewayVPNVPNGatewayGateway总部总部网络网络远程局域远程局域网络网络总部总
21、部总部总部分支机构分支机构分支机构分支机构单个单个用户用户Internet47VPN的访问方式的访问方式l远程访问远程访问(Access VPN)这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机,而不是网络,因此组成的VPN是一种主机到网络的拓扑模型。l 组建内联网组建内联网(Intranet VPN)这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的VPN。48VPN的访问方式的访问方式l 组建外联网组建外联网(Extranet VPN)这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通
22、过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN(主要在安全策略上有所不同)。49VPN 为用户带来的好处为用户带来的好处l节省资金(降低 30-70%的网络费用)免去长途费用降低建立私有专网的费用l用户不必设立自己的 Modem PoolInternet 对于用户来说,可以以任何技术任何地点访问Internet 的容量完全可以随着需求的增张而增长l提供安全性强大的用户认证机制数据的私有性以及完整性得以保障l不必改变现有的应用程序、网络架构以及用户计算环境网络现有的 Routers 不用作任何修改现有的网络应用完全可以正常运行对于最终用户来说完全感觉不到任何变化50
23、VPN的基本概念:隧道,加密以及认证的基本概念:隧道,加密以及认证l隧道隧道隧道是在公网上传递私有数据的一种方式Tunnels employ a technique called“encapsulation”安全隧道是指在公网上几方之间进行数据传输中,保证数据安全及完整的技术l加密加密保证数据传输过程中的安全l认证认证保证 VPN 通讯方的身份确认及合法51SSL VPNSSL VPN简简介介 SSL VPNSSL VPN使用使用SSLSSL和代理技和代理技术术,向,向终终端用端用户户提供提供对对超文本超文本传传送送协议协议(HTTPHTTP)、客)、客户户/服服务务器和文件共享等器和文件共享
24、等应应用授用授权权安安全全访问访问的一种的一种远远程程访问访问技技术术,因此不需要安装,因此不需要安装专门专门客客户户端端软软件。件。SSLSSL协议协议是在网是在网络传输层络传输层上提供的基于上提供的基于RSARSA加密算法和保加密算法和保密密密密钥钥的用于的用于浏览浏览器与器与WebWeb服服务务器之器之间间的安全的安全连连接技接技术术。52SSL VPNSSL VPN简简介介 SSL VPNSSL VPN部署和管理部署和管理费费用低,在安全性和用低,在安全性和为为用用户户提供更多提供更多便利性方面,明便利性方面,明显优显优于于传统传统IPSecVPNIPSecVPN。SSL VPNSSL
25、 VPN是建立用是建立用户户和和服服务务器之器之间间的一条的一条专专用通道,在用通道,在这这条通道中条通道中传输传输的数据是不公的数据是不公开的数据,因此必开的数据,因此必须须要在安全的前提下要在安全的前提下进进行行远远程程连连接。接。SSL VPNSSL VPN其安全性包含三其安全性包含三层层含含义义:一是客一是客户户端接入的安全端接入的安全性;性;二是数据二是数据传输传输的安全性的安全性;三是内部三是内部资资源源访问访问的安全性。的安全性。SSL VPNSSL VPN支持支持WebWeb应应用的用的远远程程连连接,包括基于接,包括基于TCPTCP协议协议的的B/SB/S和和C/SC/S应应
26、用,用,UDPUDP应应用。用。SSL VPNSSL VPN的关的关键键技技术术有代理和有代理和转发转发技技术术、访问访问控制、身份控制、身份验证验证、审计审计日志。日志。53(1)SSL VPN(1)SSL VPN的安全技的安全技术术 1 1信息信息传输传输安全安全 1 1)通通过过浏浏览览器器对对任任何何InternetInternet可可以以连连接接的的地地方方到到远远程程应应用用或或数数据据间间的所有通信的所有通信进进行即行即时时的的SSLSSL加密。加密。2 2)安安全全客客户户端端检检测测,有有效效保保护护您您的的网网络络免免受受特特洛洛伊伊、病病毒毒、蠕蠕虫虫或或黑黑客客的的攻攻
27、击击。含含防防火火墙墙、反反病病毒毒防防护护、WindowsWindows升升级级、WindowsWindows服服务务、文文件件数数字字签签名、管理名、管理员选择员选择注册表、注册表、IPIP地址等地址等多方面的检测功能多方面的检测功能。2 2用用户认证户认证与授与授权权 1 1)认认证证。谁谁被被允允许许登登录录系系统统,在在远远程程用用户户被被允允许许登登录录前前进进行行身身份份确确认认。包括。包括标标准的用准的用户户名密名密码码方式、智能卡、方式、智能卡、RSARSA,还还可使用可使用CACA证书证书。2 2)授授权权。按按角角色色划划分分的的权权限限访访问问应应用用程程序序、数数据据
28、和和其其他他一一些些资资源源,在在服服务务器端通器端通过过划分划分组组、角色和、角色和应应用程序用程序进进行集中管理。行集中管理。3 3)审审计计。随随时时了了解解用用户户做做了了什什么么访访问问。对对每每位位用用户户的的活活动动进进行行追追踪踪、监视监视并并记录记录日志。日志。SSL VPNSSL VPN简简介介 54(2)SSL VPN(2)SSL VPN的功能与特点的功能与特点 1 1SSL VPNSSL VPN的基本功能的基本功能 SSL SSL VPNVPN是是一一款款专专门门针针对对B/S B/S 和和C/SC/S应应用用的的SSL SSL VPNVPN产产品品,具具有有以以下下完
29、完善善实实用的功能:用的功能:1 1)提供了基于)提供了基于SSLSSL协议协议和数字和数字证书证书的的强强身份身份认证认证和安全和安全传输传输通道。通道。2 2)提供了先)提供了先进进的基于的基于URLURL的的访问访问控制。控制。3 3)提供了)提供了SSLSSL硬件加速的硬件加速的处处理和后端理和后端应应用服用服务务的的负载负载平衡。平衡。4 4)提供了基于加固的系)提供了基于加固的系统统平台和平台和IDSIDS技技术术的安全功能。的安全功能。2 2SSL VPNSSL VPN系系统协议统协议 由由SSLSSL、HTTPSHTTPS、SOCKS SOCKS 这这3 3 个个协议协议相互相
30、互协协作共同作共同实现实现。3 3SSL VPNSSL VPN的特点的特点 1 1)安装)安装简单简单、易于操作,无需安装客、易于操作,无需安装客户户端端软软件。件。2 2)具有)具有认证认证加密、加密、访问访问控制、安全信息控制、安全信息备备份、份、负载负载平衡等功能。平衡等功能。3 3)使使用用标标准准的的HTTPSHTTPS协协议议传传输输数数据据,可可以以穿穿越越防防火火墙墙,不不存存在在地地址址转转换换的的问题问题,而且不改,而且不改变变用用户户网网络结络结构,适合复构,适合复杂应杂应用用环环境。境。55(3)SSL VPN(3)SSL VPN的工作原理的工作原理 SSL VPNSS
31、L VPN的工作原理可用以下几个步的工作原理可用以下几个步骤骤来描述:来描述:1 1)SSL VPNSSL VPN生成自己的根生成自己的根证书证书和服和服务务器操作器操作证书证书。2 2)客)客户户端端浏览浏览器下器下载载并并导导入入SSL VPNSSL VPN的根的根证书证书。3 3)通)通过过管理界面管理界面对对后端网站服后端网站服务务器器设设置置访问访问控制。控制。4 4)客客户户端端通通过过浏浏览览器器使使用用HTTPS HTTPS 协协议议访访问问网网站站时时,SSL SSL VPNVPN接受接受请请求,客求,客户户端端实现对实现对SSL VPNSSL VPN服服务务器的器的认证认证
32、。5 5)服)服务务器端通器端通过过口令方式口令方式认证认证客客户户端。端。6 6)客客户户端端浏浏览览器器和和SSL SSL VPNVPN服服务务器器端端之之间间所所有有通通信信建建立立了了SSLSSL安全通道。安全通道。56(4)SSL VPN(4)SSL VPN的的应应用模式及特点用模式及特点 SSL VPNSSL VPN的解决方案包括三种模式:的解决方案包括三种模式:WebWeb浏览浏览器模式器模式 SSL VPNSSL VPN客客户户端模式端模式 LAN LAN 到到LAN LAN 模式模式 WEBWEB浏浏览览器器模模式式是是SSL SSL VPNVPN的的最最大大优优势势,它它充
33、充分分利利用用了了当当前前WebWeb浏浏览览器器的的内内置置功功能能,来来保保护护远远程程接接入入的的安安全全,配配置置和和使使用都非常方便。用都非常方便。SSL VPNSSL VPN已逐已逐渐渐成成为远为远程接入的主要手段之一。程接入的主要手段之一。571 1WebWeb浏览浏览器模式的解决方案器模式的解决方案 由于由于WebWeb浏览器的广泛部署,而且浏览器的广泛部署,而且WebWeb浏览器内置了浏览器内置了SSLSSL协议,使协议,使得得SSL VPNSSL VPN在这种模式下只要在在这种模式下只要在SSL VPNSSL VPN服务器上集中配置安全策略,服务器上集中配置安全策略,几乎不
34、用为客户端做什么配置就可使用,大大减少了管理的工作量,几乎不用为客户端做什么配置就可使用,大大减少了管理的工作量,方便用户的使用。缺点是仅能保护方便用户的使用。缺点是仅能保护WebWeb通信传输安全。远程计算机通信传输安全。远程计算机使用使用WebWeb浏览器通过浏览器通过SSL VPN SSL VPN 服务器来访问企业内部网中的资源。服务器来访问企业内部网中的资源。这种模式目这种模式目前已广泛使用于前已广泛使用于校园网、电子政校园网、电子政务网中务网中!(4)SSL VPN(4)SSL VPN的的应应用模式及特点用模式及特点 582 2SSL VPNSSL VPN客客户户端模式的解决方案端模
35、式的解决方案 SSL VPNSSL VPN客户端模式为远程访问提供安全保护,客户端模式为远程访问提供安全保护,用户需要在客户用户需要在客户端安装一个客户端软件端安装一个客户端软件,并做一些简单的配置即可使用,不需对系,并做一些简单的配置即可使用,不需对系统做改动。这种模式的优点是支持所有建立在统做改动。这种模式的优点是支持所有建立在TCP/IPTCP/IP和和UDP/IPUDP/IP上的上的应用通信传输的安全,应用通信传输的安全,WebWeb浏览器也可以在这种模式下正常工作。浏览器也可以在这种模式下正常工作。这种模式的缺点是客户端需要额外的开销。这种模式的缺点是客户端需要额外的开销。(4)SS
36、L VPN(4)SSL VPN的的应应用模式及特点用模式及特点 593 3LANLAN到到LANLAN模式的解决方案模式的解决方案 LANLAN到到LANLAN模式对模式对LANLAN(局域网)与(局域网)与LANLAN(局域网)间的通信传输(局域网)间的通信传输进行安全保护。与基于进行安全保护。与基于IPSec IPSec 协议的协议的LAN LAN 到到LAN LAN 的的VPN VPN 相比,它的相比,它的优点就是优点就是拥有更多的访问控制的方式拥有更多的访问控制的方式,缺点是仅能保护应用数据的缺点是仅能保护应用数据的安全,并且性能较低。安全,并且性能较低。(4)SSL VPN(4)SSL VPN的的应应用模式及特点用模式及特点 60课堂讨论课堂讨论 “电子商务安全管理”采用无纸化考试,为了保密处理,考生考完后需要对答卷进行加密处理,假设有DES、RSA两种加密算法供选择,请问应该选择哪种算法?为什么?如何处理?61Thanks!62