《网络安全技术》课程电子教案（PPT教学课件）第9章 Web安全技术

网%安全改 安做术 出

网络安全技术 退 出

学习目的: 了解因特网上的安全隐患、脆弱性及根源 掌握Web与电子商务安全技术 初步掌握IP的安全技术 掌握E-mai妄全技术 ■掌握安全扫描技术、网络安全管理技术 掌握网络信息过滤技术 ■掌握身份认证技术 掌握VPN( Virtual Private Network)技术 今学习重点 ■Web与电子商务安全技术 E-ma安全技术 安全扫描技术 VPN( Virtual private Network)技术

❖学习目的： ▪ 了解因特网上的安全隐患、脆弱性及根源 ▪ 掌握Web与电子商务安全技术 ▪ 初步掌握IP的安全技术 ▪ 掌握E-mail安全技术 ▪ 掌握安全扫描技术 、网络安全管理技术 ▪ 掌握网络信息过滤技术 ▪ 掌握身份认证技术 ▪ 掌握VPN（Virtual Private Network）技术 ❖学习重点： ▪ Web与电子商务安全技术 ▪ E-mail安全技术 ▪ 安全扫描技术 ▪ VPN（Virtual Private Network）技术

因特网安全 概述

9．1 因特网安全 概述

9.1.1因特网上的安全隐患 Internet的安全隐患主要源于计算机网络的脆弱性、 网络通信协议本身固有的缺陷、网络软件与网络服务的 漏洞、网络结构和网络硬件的安全缺陷等几个方面。 具体表现为: (1)web具有双向的修改特性 (2)web浏览、配置管理、内容发布等软件复杂,隐 藏潜在安全隐患 (3)Web通常是一个公司或机构的公告板 (4)用户往往是未经训练的

9．1．1 因特网上的安全隐患 Internet的安全隐患主要源于计算机网络的脆弱性、 网络通信协议本身固有的缺陷、网络软件与网络服务的 漏洞、网络结构和网络硬件的安全缺陷等几个方面。 具体表现为： （1）Web具有双向的修改特性 （2）Web浏览、配置管理、内容发布等软件复杂，隐 藏潜在安全隐患 （3）Web通常是一个公司或机构的公告板 （4）用户往往是未经训练的

9.1.2因特网的脆弱性及根源 计算机网络的脆弱性通常包括物理网络的脆弱性、过程网 络的脆弱性以及通信链路脆弱性三种。脆弱性根源具体表 现为: 1)电磁辐射 (2)搭线窃听 (3)串音 “黑客”的攻击手段可分为主动和被动攻击 主动攻击则意在篡改系统中所含信息或者改变系统的 状态及操作。 被动攻击不会导致对系统中所含信息的任何改动,而 且系统的操作和状态也不被改变,因此被动攻击主要威胁 信息的保密性

9．1．2 因特网的脆弱性及根源 计算机网络的脆弱性通常包括物理网络的脆弱性、过程网 络的脆弱性以及通信链路脆弱性三种。脆弱性根源具体表 现为： （1）电磁辐射 （2）搭线窃听 （3）串音 “黑客”的攻击手段可分为主动和被动攻击 主动攻击则意在篡改系统中所含信息或者改变系统的 状态及操作。 被动攻击不会导致对系统中所含信息的任何改动，而 且系统的操作和状态也不被改变，因此被动攻击主要威胁 信息的保密性

常见的主动攻击手段有: (1)冒充 (2)篡改 (3)抵赖 (4)其它 常见的被动攻击手段有: (1)偷窃 (2)分析 总之计算机和计算机网络安全措施是确保计算 机与计算机网络正常运行的保护措施,尽管目前没 有一种保护措施能确保网络达到100%的安全,但安 全措施却又是不可缺少的

常见的主动攻击手段有： （1）冒充 （2）篡改 （3）抵赖 （4）其它 常见的被动攻击手段有： （1）偷窃 （2）分析 总之计算机和计算机网络安全措施是确保计算 机与计算机网络正常运行的保护措施，尽管目前没 有一种保护措施能确保网络达到100％的安全，但安 全措施却又是不可缺少的

9.2 Web与电子商 务安全技术

9．２ Web与电子商 务安全技术

9.2.1Web与电子商务的安全分析 电子商务是在 Internet上运作的,它跨越国度、涉及 多种技术平台。因此,其电子商务活动的安全性是人们最 为关心的问题。 目前在电子商务的安全方面主要体现在:对Web服务器 的安全威胁、对Web浏览客户机的安全威胁和对服务器和 客户机之间通信信道的威胁等。 对Web服务器的安全威胁 一般来说Web服务的内容越丰富,功能越大,包含错误 代码的概率就越高,有安全漏洞的概率也就越髙。 Web服务器上最敏感的文件之一就是存放用户名的文 件 Web服务的数据库中会保存一些有价值的信息或隐私 信息,如果被更改或泄露会造成无法弥补的损失

9．2．1 Web与电子商务的安全分析 电子商务是在Internet上运作的，它跨越国度、涉及 多种技术平台。因此，其电子商务活动的安全性是人们最 为关心的问题。 目前在电子商务的安全方面主要体现在：对Web服务器 的安全威胁、对Web浏览客户机的安全威胁和对服务器和 客户机之间通信信道的威胁等。 １、对Web服务器的安全威胁 一般来说Web服务的内容越丰富，功能越大，包含错误 代码的概率就越高，有安全漏洞的概率也就越高。 Web服务器上最敏感的文件之一就是存放用户名的文 件。 Web服务的数据库中会保存一些有价值的信息或隐私 信息，如果被更改或泄露会造成无法弥补的损失

2.对Web浏览客户机的安全威胁 活动内容是在静态页面中嵌入对用户是透明的程 序,它可完成一些动作。用户使用浏览器查看一个带 有活动内容的页面时,这些小应用程序就会自动下载 并开始在客户机上启动运行。企图破坏客户机的人可 将破坏性的活动内容放进表面看起来完全无害的页面 中 通常存在如下一些活动内容: (1) Java Applet。它使用Java语言开发,实现各种 各样的客户端应用。 (2) Activex。 ActiveX是一个控件,它封装由页面 设计者放在页面来执行特定任务的程序

2．对Web浏览客户机的安全威胁 活动内容是在静态页面中嵌入对用户是透明的程 序，它可完成一些动作 。用户使用浏览器查看一个带 有活动内容的页面时，这些小应用程序就会自动下载 并开始在客户机上启动运行。企图破坏客户机的人可 将破坏性的活动内容放进表面看起来完全无害的页面 中。 通常存在如下一些活动内容： （1）Java Applet。它使用Java 语言开发，实现各种 各样的客户端应用。 （2）ActiveX。ActiveX是一个控件，它封装由页面 设计者放在页面来执行特定任务的程序

3、对服务器和客户机之间通信信道的威胁 众所周知,连接客户机同服务器的桥梁是互联网。但 从互联网最初的设计思想“抗毁性”和“不可靠性”来 看,互联网的主要目的不是为了提供安全传输,而是为 了提供冗余传输,即为保证当一个或多个通信线路被切 断时仍能正常通信而设计。在网络上传输信息的保密性 通常通过将信息转化为不可识别字符串来实现的。发展 至今,互联网的不安全状态与最初相比也没有很大改观 对保密性的安全威胁 对完整性的安全威胁 对即需性的安全威胁

众所周知，连接客户机同服务器的桥梁是互联网。但 从互联网最初的设计思想“抗毁性”和“不可靠性”来 看，互联网的主要目的不是为了提供安全传输，而是为 了提供冗余传输，即为保证当一个或多个通信线路被切 断时仍能正常通信而设计。在网络上传输信息的保密性 通常通过将信息转化为不可识别字符串来实现的。发展 至今，互联网的不安全状态与最初相比也没有很大改观 。 •对保密性的安全威胁 •对完整性的安全威胁 •对即需性的安全威胁 ３、对服务器和客户机之间通信信道的威胁