第四章 电子商务安全体系4.1 电子商务系统安全概述电子商务系统安全概述 4.2 电子商务的安全技术电子商务的安全技术 15.1电子商务系统安全的概念电子商务系统安全硬件软件运行立法25.1电子商务系统安全的概念1、电子商务系统硬件安全保护计算机系统硬件（包括外部设备）的安全。2、电子商务系统软件安全保护软件和数据不被窜改、破坏和非法复制。可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。33、电子商务系统运行安全运行安全是指保护系统能连续和正常地运行。4、电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。45.1.2 电子商务的安全性需求要使电子商务健康、顺利发展，必须解决好以下几种关键的安全性需求。1保密性保密性是指交易过程中必须保证信息不会被非授权的人或实体窃取(无论是无意的还是恶意的)。要保证信息的保密性，需要防止入侵者侵入系统；对商务机密(如信用卡信息等)要先经过加密处理，再送到网络传输。 52完整性1）存储时防止非法窜改和破坏网站上的信息。2）传输过程中接收端收到的信息应当与发送的信息完全一样9821982763不可否认性1）信息的发送方不能否认已发送的信息2）接收方不能否认已收到的信息交易达成后是不能否认的，被视为实盘，否则必然会损害一方的利益。74交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的，不是假冒的。网上交易的双方相隔很远，互不了解，要使交易成功，必须互相信任，确认对方是真实的85可靠性电子商务系统是计算机系统，其可靠性是指 防止计算机失效程序错误传输错误计算机病毒和自然灾害等所产生的信息失误或失效96安全问题对策窃听加密/解密篡改数据的一致性检测冒充身份认证否认数字签名返回105.2密码学基本知识密钥系统1、加密和解密加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文还原成原来可理解的形式例：移位法：LSAEVICSYHow are you11加密技术的关键：算法+密钥算法有限、密钥无穷密钥的优势：简化了信息发送方与多个接收方加密信息的传送，即发送方只需使用一个算法，不同的密钥向多个接收方发送密文122、密钥的长度密钥的长度是指密钥的位数。密文的破译实际上是黑客经过过长时间的测试密钥，破获密钥后，解开密文。保密的方法：使用长密钥16位密钥：有2的16次方中不同的密钥。顺序猜测65536种密钥对于计算机来说很容易。100位密钥：计算机猜测密钥的时间以十年计。133、对称密钥系统（早期）密钥系统又称对称密钥系统，它使用相同的密钥加密和解密，发送者和接受者有相同的密钥，这样就解决了信息的保密问题1415公钥和私钥系统1、对称密钥系统存在的问题如果接收者不知道这个密钥怎么办，传过去又面临把这个密钥加密的问题。产生了公钥和私钥系统。162、公钥和私钥/非对称密钥（RSA算法）由Rivest 、Shamir和Adleman三人发明RSA算法。每个网络上的用户都有一对公钥和私钥。公钥：是公开的，可以公布在网上，也可以公开传送给需要的人；私钥：只有本人知道，是保密的。应用：某个用户让给他发密件的人用这个公钥给密件加密发给他，一旦加密后，只有该用户知道之间的密钥才能解密。1718数字签名1、概念保证数据的完整性和不可否认性数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要，然后用函数对收到的原文产生一个摘要，与解密的摘要对比，如相同，则说明收到的信息是完整的。19数字时间戳1、数字时间戳概念交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳就是用来证明消息的收发时间的20数字时间戳原理用户首先将需要加时间戳的文件用Hash函数加密形成摘要，然后将摘要发送到专门提供数字时间戳服务的权威机构，该机构对原摘要加上时间后，进行数字签名（用私钥加密），并发送给原用户。215.7数字证书1、认证中心认证中心专门验证交易双方的身份的一个第三方权威机构认证中心的业务流程接收个人、商家、银行对涉及交易的实体申请数字证书-核实情况-批准/拒绝申请颁发数字证书认证中心的业务颁发数字证书、管理、搜索和验证证书。222、数字证书数字证书也叫数字凭证/数字标识。它含有证书持有者的有关信息，以标识其身份，证书内容有：证书拥有者的姓名证书拥有者的公钥公钥的有效期颁发数字证书的单位颁发数字证书单位的数字签名数字证书的序列号233、数字证书的类型1）个人数字证书为某个用户提供凭证；安装在客户浏览器上；访问需要客户验证安全的Internet站点；用自己的数字证书发送带之间签名的电子邮件；用对方的数字证书向对方发送加密的邮件。242）企业（服务器）数字证书为网上的某个Web服务器提供凭证；拥有服务器的企业就可以用具有凭证的Web站点进行安全电子交易；开启服务器SLL安全通道，使用户和服务器之间的数据传送以加密的形式进行；要求客户出示个人证书，保证Web服务器不被未授权的用户入侵。3）软件（开发者）数字证书为软件提供凭证，证明该软件的合法性25防火墙技术1、Intranet的安全概念Intranet的安全性主要包括以下两个方面的含义：保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的访问；控制、监督和管理企业内部对外部Internet的访问。保证Internet安全性的有效方法就是防火墙。262、防火墙1）概念：防火墙=软件系统+硬件设备，在内部网和外部网之间的界面上构造的保护屏障。272）防火墙的种类包过滤型防火墙动态检查流过的Tcp/IP报文头，检查报文头中的报文类型、源Ip地址、目的IP地址、源端口号等，根据要求决定是否放行。应用网关型防火墙使用代理技术，在内部网和外部网之间设置一个物理屏障。对于外部网用户或内部网用户的Telnet，Ftp等高层网络协议的服务请求，防火墙的代理服务机制对用户的真实身份和请求进行合法性检查，决定接受还是拒绝。283）防火墙两种安全策略没有被列为允许访问的服务都是被禁止的严厉，缺省为禁止。没有被列为禁止访问的服务都是被允许的宽松，缺省为允许。295.5病毒防范1、计算机病毒类型引导区型：感染引导区boot sector virus文件型：感染可执行文件exe,com,dll etc混合型：包括上述两种类型宏病毒：感染Office文档，macro virus2传播方式软盘，光盘，网络30 3、计算机病毒防范方法1）使用杀毒软件进行清理2）硬盘进行格式化3）积极防御计算机病毒的方法是：CA应设置“病毒防火墙”31特洛伊木马特洛伊木马（以下简称木马)，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动盗密报卡解绑过程：登陆的时候通过木马盗取玩家的密码，并且用盗取的密码进入密码保护卡解除绑定的网页页面，在通过木马把玩家登陆时候的三个密码保护卡数换成密码保护卡解绑需要的三个数，1次就能骗到密码保护卡解除绑定需要的三个数了，再解除绑定，玩家的帐号就跟没密码保护卡一样.电话密码保护也一样，玩家打了电话，然后登陆的时候通过木马让玩家不能连接服务器并盗取玩家的密码，然后盗取账号者就2分内可以上去了盗取玩家财产。 32新欢乐时光病毒染这个病毒后有两个明显的表现：a.在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）； b.电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。 33震荡波五一”黄金周第一日，一个新的病毒-“震荡波(Worm.Sasser)”开始在互联网肆虐。该病毒利用Windows平台的Lsass漏洞进行传播，中招后的系统将开启128个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”。值得注意的是，早在4月13日，微软对此漏洞发布过级别为严重的安全公告，4月29日，瑞星互联网攻防实验室对此发布过一级安全警报.34冲击波 ( Worm.Blaster【警惕程度】 【病毒类型】蠕虫病毒【依赖系统】 WINDOWS 2000/XP 【传播途径】网络/RPC漏洞 【病毒危害】系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 【感染步骤】病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统。35文件夹EXE病毒 当你把你的U盘插入到一台电脑后，突然发现U盘内生成了以文件夹名字命名的文件，扩展名为exe，更要命的是它们的图标跟文件夹是一样的，很具有迷惑性。病毒名称：Worm.Win32.AutoRun.soq病毒类型：蠕虫类危害级别：3感染平台：Windows被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒， 以达到病毒随移动磁盘传播的目的。36U盘病毒和Autorun.inf 文件如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西： 上图左侧是带病毒的U盘，右键菜单多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。目前的U盘病毒都是通过Autorun.inf来进入的； Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作； 不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等； 一般情况下，U盘不应该有Autorun.inf文件；* 如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒； 如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它； 同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。37个人观点供参考，欢迎讨论！