第5章电子商务安全

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第四章 电子商务安全体系,4,.1,电子商务系统安全概述,4,.2,电子商务的安全技术,5.1,电子商务系统安全的概念,5.1,电子商务系统安全的概念,1,、电子商务系统硬件安全,保护计算机系统硬件（包括外部设备）的安全。,2,、电子商务系统软件安全,保护软件和数据不被窜改、破坏和非法复制。可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。,3,、电子商务系统运行安全,运行安全是指保护系统能连续和正常地运行。,4,、电子商务安全立法,是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。,5.1.2,电子商务的安全性需求,要使电子商务健康、顺利发展，必须解决好以下几种关键的安全性需求。,1,保密性,保密性是指交易过程中必须保证信息不会被非授权的人或实体窃取,(,无论是无意的还是恶意的,),。要保证信息的保密性，需要防止入侵者侵入系统；对商务机密,(,如信用卡信息等,),要先经过加密处理，再送到网络传输。,2,完整性,1,）存储时,防止非法窜改和破坏网站上的信息。,2,）传输过程中,接收端收到的信息应当与发送的信息完全一样,9821,9827,3,不可否认性,1,）信息的发送方,不能否认已发送的信息,2,）接收方,不能否认已收到的信息,交易达成后是不能否认的，被视为实盘，否则必然会损害一方的利益。,4,交易者身份的真实性,交易者身份的真实性是指交易双方确实是存在的，不是假冒的。,网上交易的双方相隔很远，互不了解，要使交易成功，必须互相信任，确认对方是真实的,5,可靠性,电子商务系统是计算机系统，其可靠性是指,防止计算机失效,程序错误,传输错误,计算机病毒和自然灾害等所产生的信息失误或失效,6,安全问题对策,窃听,加密,/,解密,篡改,数据的一致性检测,冒充,身份认证,否认,数字签名,返回,5.2,密码学基本知识,密钥系统,1,、加密和解密,加密,是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。,解密,是加密的逆过程，即将密文还原成原来可理解的形式,例：移位法：,LSAEVICSYHow are you,加密技术的关键：算法,+,密钥,算法有限、密钥无穷,密钥的优势：,简化了信息发送方与多个接收方加密信息的传送，即发送方只需使用一个算法，不同的密钥向多个接收方发送密文,2,、密钥的长度,密钥的长度是指密钥的位数。密文的破译实际上是黑客经过过长时间的测试密钥，破获密钥后，解开密文。,保密的方法：使用长密钥,16,位密钥：有,2,的,16,次方中不同的密钥。顺序猜测,65536,种密钥对于计算机来说很容易。,100,位密钥：计算机猜测密钥的时间以十年计。,3,、对称密钥系统（早期）,密钥系统又称对称密钥系统，它使用相同的密钥加密和解密，发送者和接受者有相同的密钥，这样就解决了信息的保密问题,公钥和私钥系统,1,、对称密钥系统存在的问题,如果接收者不知道这个密钥怎么办，传过去又面临把这个密钥加密的问题。,产生了公钥和私钥系统。,2,、公钥和私钥,/,非对称密钥（,RSA,算法）,由,Rivest,、,Shamir,和,Adleman,三人发明,RSA,算法。,每个网络上的用户都有一对公钥和私钥。,公钥：是公开的，可以公布在网上，也可以公开传送给需要的人；,私钥：只有本人知道，是保密的。,应用：某个用户让给他发密件的人用这个公钥给密件加密发给他，一旦加密后，只有该用户知道之间的密钥才能解密。,数字签名,1,、概念,保证数据的完整性和不可否认性,数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要，然后用函数对收到的原文产生一个摘要，与解密的摘要对比，如相同，则说明收到的信息是完整的。,数字时间戳,1,、数字时间戳概念,交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳就是用来证明消息的收发时间的,数字时间戳原理,用户首先将需要加时间戳的文件用,Hash,函数加密形成摘要，然后将摘要发送到专门提供数字时间戳服务的权威机构，该机构对原摘要加上时间后，进行数字签名（用私钥加密），并发送给原用户。,5.7,数字证书,1,、认证中心,认证中心,专门验证交易双方的身份的一个第三方权威机构,认证中心的业务流程,接收个人、商家、银行对涉及交易的实体申请数字证书,-,核实情况,-,批准,/,拒绝申请,颁发数字证书,认证中心的业务,颁发数字证书、管理、搜索和验证证书,。,2,、数字证书,数字证书也叫数字凭证,/,数字标识。它含有证书持有者的有关信息，以标识其身份，证书内容有：,证书拥有者的姓名,证书拥有者的公钥,公钥的有效期,颁发数字证书的单位,颁发数字证书单位的数字签名,数字证书的序列号,3,、数字证书的类型,1,）个人数字证书,为某个用户提供凭证；,安装在客户浏览器上；,访问需要客户验证安全的,Internet,站点；,用自己的数字证书发送带之间签名的电子邮件；用对方的数字证书向对方发送加密的邮件。,2,）企业（服务器）数字证书,为网上的某个,Web,服务器提供凭证；,拥有服务器的企业就可以用具有凭证的,Web,站点进行安全电子交易；开启服务器,SLL,安全通道，使用户和服务器之间的数据传送以加密的形式进行；要求客户出示个人证书，保证,Web,服务器不被未授权的用户入侵。,3,）软件（开发者）数字证书,为软件提供凭证，证明该软件的合法性,防火墙技术,1,、,Intranet,的安全概念,Intranet,的安全性主要包括以下两个方面的含义：,保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的访问；,控制、监督和管理企业内部对外部,Internet,的访问。保证,Internet,安全性的有效方法就是防火墙。,2,、防火墙,1,）概念：防火墙,=,软件系统,+,硬件设备，在内部网和外部网之间的界面上构造的保护屏障。,2,）防火墙的种类,包过滤型防火墙,动态检查流过的,Tcp/IP,报文头，检查报文头中的报文类型、源,Ip,地址、目的,IP,地址、源端口号等，根据要求决定是否放行。,应用网关型防火墙,使用代理技术，在内部网和外部网之间设置一个物理屏障。对于外部网用户或内部网用户的,Telnet,，,Ftp,等高层网络协议的服务请求，防火墙的代理服务机制对用户的真实身份和请求进行合法性检查，决定接受还是拒绝。,3,）防火墙两种安全策略,没有被列为允许访问的服务都是被禁止的,严厉，缺省为禁止。,没有被列为禁止访问的服务都是被允许的,宽松，缺省为允许。,5.5,病毒防范,1,、计算机病毒类型,引导区型：感染引导区,boot sector virus,文件型：感染可执行文件,exe,com,dll etc,混合型：包括上述两种类型,宏病毒：感染,Office,文档，,macro virus,2,传播方式,软盘，光盘，网络,3,、计算机病毒防范方法,1,）使用杀毒软件进行清理,2,）硬盘进行格式化,3,）积极防御计算机病毒的方法是：,CA,应设置“病毒防火墙”,特洛伊木马,特洛伊木马（以下简称木马,),，英文叫做“,Trojan horse”,，其名称取自,希腊神话,的特洛伊木马记。,古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻,9,年后，到第,10,年，,希腊,将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一,典故,，用来,比喻,在敌方,营垒,里埋下伏兵里应外合的活动盗密报卡解绑过程：,登陆的时候通过木马盗取玩家的,密码,，并且用盗取的密码进入密码保护卡解除绑定的网页页面，在通过木马把玩家登陆时候的三个密码保护卡数换成密码保护卡解绑需要的三个数，,1,次就能骗到密码保护卡解除绑定需要的三个数了，再解除绑定，玩家的帐号就跟没密码保护卡一样,.,电话密码保护也一样，玩家打了电话，然后登陆的时候通过木马让玩家不能连接服务器并盗取玩家的密码，然后盗取账号者就,2,分内可以上去了盗取玩家财产。,新欢乐时光病毒,染这个病毒后有两个明显的表现：,a.,在每个目录中都会生成,folder.htt,（带毒文件）和,desktop.ini,（目录配置文件）；,b.,电脑运行速度明显变慢，在任务列表中可以看到有大量的,Wscript.exe,程序在运行。,震荡波,五一”黄金周第一日，一个新的病毒,-“,震荡波,(Worm.Sasser)”,开始在互联网肆虐。该病毒利用,Windows,平台的,Lsass,漏洞进行传播，中招后的系统将开启,128,个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”。值得注意的是，早在,4,月,13,日，微软对此漏洞发布过级别为严重的安全公告，,4,月,29,日，瑞星互联网攻防实验室对此发布过一级安全警报,.,冲击波,(Worm.Blaster,【,警惕程度,】,【,病毒类型,】,蠕虫病毒,【,依赖系统,】WINDOWS 2000/XP,【,传播途径,】,网络,/RPC,漏洞,【,病毒危害,】,系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。,【,感染步骤,】,病毒运行时会不停地利用,IP,扫描技术寻找网络上系统为,Win2K,或,XP,的计算机，找到后就利用,DCOM RPC,缓冲区漏洞攻击该系统。,文件夹,EXE,病毒,当你把你的,U,盘插入到一台电脑后，突然发现,U,盘内生成了以文件夹名字命名的文件，扩展名为,exe,，更要命的是它们的图标跟文件夹是一样的，很具有迷惑性。,病毒名称：,Worm.Win32.AutoRun.soq,病毒类型：蠕虫类,危害级别：,3,感染平台：,Windows,被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒，以达到病毒随移动磁盘传播的目的。,U,盘病毒和,Autorun.inf,文件,如果,U,盘带有上述病毒，还会一个现象，当你点击,U,盘时，会多了一些东西：,上图左侧是带病毒的,U,盘，右键菜单多了“自动播放”、“,Open”,、“,Browser”,等项目；右侧是杀毒后的，没有这些项目。目前的,U,盘病毒都是通过,Autorun.inf,来进入的；,Autorun.inf,本身是正常的文件，但可被利用作其他恶意的操作；,不同的人可通过,Autorun.inf,放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；,一般情况下，,U,盘不应该有,Autorun.inf,文件；*,如果发现,U,盘有,Autorun.inf,，且不是你自己创建生成的，请删除它，并且尽快查毒；,如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；,同时，一般建议插入,U,盘时，不要双击,U,盘，另外有一个更好的技巧：插入,U,盘前，按住,Shift,键，然后插入,U,盘，建议按键的时间长一点。插入后，用右键点击,U,盘，选择“资源管理器”来打开,U,盘。,