電子商務安全技術概論課件

第6章電子商務安全技術電子商務安全概述網絡安全技術加密技術認證技術實訓6思考與練習本章小結導航后一頁前一頁末頁退出電子商務安全協議第6章電子商務安全技術電子商務安全概述網絡安全技術加密技案例：國富安證書和

iPass系統在國電物資公司的應用

通過該案例，請思考：

1．以互聯網為核心的信息交換過程中，常用到的加密技術有哪些，列舉一二。

2．結合本案例內容，談談你對信息安全的理解。導航后一頁前一頁末頁退出案例：國富安證書和

iPass系統在國電物資公司的應用

6.1電子商務安全概述6.1.1電子商務安全現狀6.1.2電子商務安全需求導航后一頁前一頁末頁退出通過互聯網非法獲取信息的次數和數量在快速增長，病毒、黑客等成為越來越嚴重的威脅和攻擊。據統計，網絡數據被竊取和破壞造成的直接經濟損失每年至少有幾十億美元。6.1電子商務安全概述6.1.1電子商務安全現狀導6.1.1電子商務安全現狀電子商務中的安全隱患：信息的竊?。盒畔]有采取加密措施或加密強度不夠，攻擊者在數據包經過的網關或路由器上可以將其截獲。信息的篡改：攻擊者對網絡傳輸的信息進行中途修改后再發(fā)往目的地。破壞手段：篡改、刪除、插入信息的假冒：攻擊者可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶。交易的抵賴：包括多個方面，如發(fā)送者事后否認曾經發(fā)送過某內容；接收者事后否認曾經收到過某內容；購買者做了訂貨單不承認；商家賣出的商品因價格差而不承認原有的交易等。導航后一頁前一頁末頁退出6.1.1電子商務安全現狀電子商務中的安全隱患：導航后6.1.2電子商務安全需求信息傳輸的保密性：一般通過加密技術對傳輸的信息進行加密處理來實現。解決辦法是信息加密和防火墻技術。交易文件的正確性和完整性：從兩個方面考慮：一是非人為因素，如因傳輸介質損壞而引起的信息丟失、錯誤等，這類問題通常通過校驗來解決；另一個是人為因素，指非法用戶對信息的惡意篡改。其安全性是由信息加密和提取信息的數字摘要來保證的。

交易者身份的確定性：

是虛擬網絡環(huán)境中交易成功的先決條件，需要有身份鑒別服務來驗證其聲明的正確性。一般通過數字簽名、證書機構CA和數字證書來實現。

交易信息的不可抵賴性：

在交易信息的傳輸過程中為交易主體提供可靠的標識，防止抵賴行為的發(fā)生，一般都通過數字簽名來實現。

導航后一頁前一頁末頁退出6.1.2電子商務安全需求信息傳輸的保密性：一般通過加密6.2網絡安全技術

網絡安全技術是在與網絡攻擊的斗爭中不斷發(fā)展和完善的。6.2.1防火墻技術6.2.2病毒防范技術導航后一頁前一頁末頁退出6.2網絡安全技術網絡安全技術是

6.2.1防火墻技術

1.防火墻的概念2.防火墻技術的優(yōu)缺點3.防火墻的類型導航后一頁前一頁末頁退出6.2.1防火墻技術

1.防火墻的概念導航后一頁前1.防火墻的概念

防火墻（FireWall）指兩個網絡之間執(zhí)行訪問控制策略的一系列部件的組合，包含硬件和軟件。目的是保護網絡不被他人侵擾。導航后一頁前一頁末頁防火墻退出1.防火墻的概念防火墻（FireWall）指防火墻是不同網絡之間信息的唯一出口，能根據企業(yè)網絡安全策略控制出入網絡的信息流且本身具有較強的抗攻擊能力。防火墻通過檢測、限制、更改跨越防火墻的數據流，盡可能地對外屏蔽內部的信息、結構和運行狀況。1.防火墻的概念防火墻是不同網絡之間信息的唯一出口，能根據企業(yè)網絡安全策略控1.防火墻的概念

—訪問控制機制基本設計準則

導航后一頁前一頁末頁1.“一切未被允許的就是禁止的”，即在默認情況下禁止所有服務拒絕允許2.“一切未被禁止的就是允許的”，即在默認情況下允許所有服務允許拒絕退出邏輯上，防火墻是一個分離器、一個限制器、一個分析器，有效監(jiān)控內部網絡和Internet間的任何活動，保證了內部網絡的安全。1.防火墻的概念

—訪問2.防火墻技術的優(yōu)缺點——優(yōu)點

導航后一頁前一頁末頁（1）是網絡安全的屏障

通過過濾不安全的服務來降低子網上主系統的風險。可以禁止某些易受攻擊的服務(如NFS--網絡文件系統)進入或離開受保護的子網?？梢苑雷o基于路由選擇的攻擊，如源路由選擇和企圖通過ICMP—控制消息協議，改向把發(fā)送路徑轉向遭致損害的網點。（2）控制對主機系統的訪問

可以提供對系統的訪問控制。通過配置防火墻，某些主機系統可由外部網絡訪問，而其他主機則被有效封閉。退出2.防火墻技術的優(yōu)缺點——優(yōu)點導航后一頁前一頁末頁2.防火墻的優(yōu)缺點——優(yōu)點

導航后一頁前一頁末頁（3）監(jiān)控和設計網絡訪問

如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提示網絡是否收到監(jiān)測和攻擊的詳細信息。（4）防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。另外，使用防火墻可以隱蔽那些會泄露內部細節(jié)的服務，如Finger（于查詢用戶情況的實用程序）、DNS（域名系統）等。退出2.防火墻的優(yōu)缺點——優(yōu)點導航后一頁前一頁末Finger是UNIX系統中用于查詢用戶情況的實用程序(dos系統也包含此命令)。UNIX系統保存了每個用戶的詳細資料，包括E-mail地址、帳號，在現實生活中的真實姓名、登錄時間、有沒有未閱讀的信件，最后一次閱讀E-mail的時間以及外出時的留言等資料。當你用Finger命令查詢時，系統會將上述資料一一顯示在終端或計算機上。DNS存在的安全問題1.針對域名系統的惡意攻擊：DDOS（DoS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊）攻擊造成域名解析癱瘓。2.域名劫持：修改注冊信息、劫持解析結果。3.國家性質的域名系統安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。4.系統上運行的DNS服務存在漏洞，導致被黑客獲取權限，從而篡改DNS信息。5.DNS設置不當，導致泄漏一些敏感信息。提供給黑客進一步攻擊提供有力信息。Finger是UNIX系統中用于查詢用戶情況的實用程序(do2.防火墻的優(yōu)缺點——優(yōu)點

導航后一頁前一頁末頁（5）部署NAT機制

防火墻可以部署NAT機制，用來緩解地址空間短缺的問題，也可以隱藏內部網絡的結構。

支持網絡地址轉換(NAT)：指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉換以解決IP地址匱乏問題。在防火墻上實現NAT后，可以隱藏受保護網絡的內部結構，在一定程度上提高了網絡的安全性。退出2.防火墻的優(yōu)缺點——優(yōu)點導航后一頁前一頁末頁（52.防火墻的優(yōu)缺點——缺點

導航后一頁前一頁末頁退出（1）限制使用合乎需要的服務防火墻最明顯的缺點是它可能封鎖用戶所需的某些服務，如TELNET（遠程登陸服務）、FTP（文件傳輸）、NFS（網絡文件系統）等。但這一缺點并不是防火墻所獨有的。對主系統的多級限制也會產生這個問題。

（2）后門訪問的廣泛可能性防火墻不能防護從后門進入網點。例如，如果對調制解調器不加限制，仍然許可訪問由防火墻保護的網點，那么攻擊者可以有效地跳過防火墻。調制解調器的速度現在快到足以使SLIP（串行線IP）和PPP（點對點協議）切實可行。在受保護子網內SLIP和PPP連接在本質上是另一個網絡連接點和潛在的后門。2.防火墻的優(yōu)缺點——缺點導航后一頁前一頁末頁退出2.防火墻的優(yōu)缺點——缺點

導航后一頁前一頁末頁退出（3）幾乎不能防護來自內部的攻擊

防火墻可以禁止系統用戶經過網絡連接發(fā)送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內部管理，如主機安全和用戶教育、管理、制度等。（4）其他問題

病毒：防火墻不能防止用戶從Internet下載受病毒感染的程序，或把這些程序附加到電子郵件上傳輸出去。必須用其他對策和抗病毒控制措施進行處理。

吞吐量：防火墻是一種潛在的瓶頸，所有的連接都必須通過防火墻，許多信息都要經過檢查，信息的傳遞可能要受到傳輸速率的影響。

集中性：防火墻系統把安全性集中在一點上，而不是把它分布在各系統間，防火墻受損可能會對子網上其他保護不力的系統造成巨大的損害。

2.防火墻的優(yōu)缺點——缺點導航后一頁前一頁末頁退出（3）3.防火墻的類型

導航后一頁前一頁末頁退出分組過濾（Packetfilter，或稱為包過濾）：是一種簡單有效的安全控制技術，他通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址和端口號等規(guī)則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地出口端，其余數據包則被從數據流中丟棄。3.防火墻的類型導航后一頁前一頁末頁退出分組3.防火墻的類型

導航后一頁前一頁末頁退出代理服務：能夠將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的連接，由兩個代理服務器之間的連接來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統的作用。3.防火墻的類型導航后一頁前一頁末頁退出代理3.防火墻的類型兩種類型優(yōu)缺點。P175目前，防火墻系統通常結合使用兩種技術。代理服務可大大降低分組過濾規(guī)則的復雜度，是分組過濾技術的重要補充。3.防火墻的類型兩種類型優(yōu)缺點。P1756.2.2病毒防范措施1.計算機病毒的概念2.計算機病毒的分類3.計算機病毒的防治導航后一頁前一頁末頁退出6.2.2病毒防范措施1.計算機病毒的概念導航后一頁前1.計算機病毒的概念

導航后一頁前一頁末頁退出計算機病毒起源P175計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

計算機病毒的特征：（1）傳染性（2）隱蔽性（3）觸發(fā)性（4）破壞性1.計算機病毒的概念導航后一頁前一頁末頁退出2.計算機病毒的分類

導航后一頁前一頁末頁退出按病毒依賴的操作系統分類：DOS病毒、Windows病毒、Unix病毒、Linux病毒等。按病毒特有的算法分類：伴隨型病毒、“蠕蟲”病毒、寄生型病毒。按病毒的破環(huán)方式分類：無害型、危害型、危險型、非常危險型。按病毒的寄生方式分類：文件型病毒、引導型病毒、混合型病毒。按病毒的傳染方法分類：駐留型病毒、非駐留型病毒。按病毒的連接方式分類：源碼型病毒、嵌入型病毒、外殼病毒、操作系統型病毒。

2.計算機病毒的分類導航后一頁前一頁末頁退出按病毒常見病毒舉例

導航后一頁前一頁末頁退出Windows系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒一般是感染windows操作系統的*.exe和*.dll文件，并通過這些文件進行傳播。如CIH病毒。蠕蟲病毒的前綴是：Worm。這種病毒通過網絡或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網絡的特性。比如沖擊波(阻塞網絡)，小郵差(發(fā)帶毒郵件)等。木馬病毒其前綴是：Trojan，木馬病毒通過網絡或者系統漏洞進入用戶的系統并隱藏，然后向外界泄露用戶的信息。黑客病毒前綴名一般為Hack。黑客病毒有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有比較多的針對網絡游戲的木馬病毒如Trojan.LMir.PSW.60。常見病毒舉例導航后一頁前一頁末頁退出Windows系統病常見病毒舉例

導航后一頁前一頁末頁退出腳本病毒的前綴是：Script。腳本病毒是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴：VBS、JS(表明是何種腳本編寫的)，如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。病毒種植程序病毒。這類病毒運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破壞性程序病毒的前綴是：Harm。這類病毒本身具有好看的圖標來誘惑用戶點擊，當用戶點擊時，病毒便會直接對用戶計算機產生破壞。如：格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒也具有好看的圖標誘惑用戶點擊，當用戶點擊時，病毒會做出各種破壞操作來嚇唬用戶，但不會對用戶電腦進行任何破壞。如：女鬼(Joke.Girlghost)病毒。常見病毒舉例導航后一頁前一頁末頁退出腳本病毒的前綴是：S常見病毒舉例

導航后一頁前一頁末頁退出捆綁機病毒的前綴是：Binder。這類病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。常見病毒舉例導航后一頁前一頁末頁退出捆綁機病毒的前綴是：3.計算機病毒的防治

導航后一頁前一頁末頁退出從用戶的角度：計算機病毒防治要采取“預防為主，防治結合”的方針，關鍵是做好預防工作。根據病毒傳染途徑，做一些經常性的病毒檢測工作，降低病毒入侵率，減少病毒造成的危害。從技術的角度：計算機病毒的防治技術分成四個方面，即預防、檢測、清除和免疫。

3.計算機病毒的防治導航后一頁前一頁末頁退出病毒防治技術——預防技術

導航后一頁前一頁末頁退出病毒預防技術：指通過一定的技術手段防止病毒對系統進行傳染和破壞，它通過自身常駐系統內存優(yōu)先獲得系統的控制權，監(jiān)視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作尤其是寫操作，以達到保護系統的目的。計算機病毒的預防技術主要包括磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術和系統監(jiān)控技術等。

病毒防治技術——預防技術導航后一頁前一頁末頁退出病毒預防病毒防治技術——檢測技術

導航后一頁前一頁末頁退出病毒檢測技術：指通過一定的技術手段判定出病毒的一種技術。病毒檢測技術主要有兩種：一種是根據計算機病毒程序中的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術；另一種是不針對具體病毒程序的自身檢驗技術，即對某個文件或數據段進行檢驗和計算并保存其結果，以后定期或不定期地根據保存的結果對該文件或數據段進行檢驗，若出現差異，即表示該文件或數據段的完整性已遭到破壞，從而檢測到病毒的存在。病毒防治技術——檢測技術導航后一頁前一頁末頁退出病毒檢測病毒防治技術——消除技術

導航后一頁前一頁末頁退出病毒消除技術：病毒的消除是檢測的延伸，是在檢測發(fā)現特定的病毒基礎上，根據具體病毒的消除方法從傳染的程序中除去計算機病毒代碼并恢復文件的原有結構信息?，F在很多殺病毒軟件是把檢測和殺毒同時進行了，目前常用的殺病毒軟件有：NortonAntiVirus、Kv3000、金山毒霸、瑞星等。病毒防治技術——消除技術導航后一頁前一頁末頁退出病毒消除病毒防治技術——免疫技術

導航后一頁前一頁末頁退出病毒免疫技術：這一技術目前沒有很大發(fā)展。針對某一種病毒的免疫方法已沒有人再用了，而目前還沒有出現通用的能對各種病毒都有免疫作用的技術，也許根本就不存在這樣一種技術?，F在，某些反病毒程序使用給可執(zhí)行程序增加保護性外殼的方法，能在一定程度上起保護作用。

病毒防治技術——免疫技術導航后一頁前一頁末頁退出病毒免6.3加密技術6.3.1密碼學基礎知識6.3.2密碼技術的應用導航后一頁前一頁末頁退出6.3加密技術6.3.1密碼學基礎知識導航后一頁前一6.3.1密碼學基礎知識術語：明文：原始消息密文：加密后的形式加密技術的兩個要素：密鑰和算法導航后一頁前一頁末頁退出解密算法解密密鑰加密算法加密密鑰明文密文明文加密解密6.3.1密碼學基礎知識術語：導航后一頁前一頁末頁退出解例：愷撒密碼原理：把每個英文字母向前推x位，如x=3明文：a,b,c,d,e,f,g,h,……,w,x,y,z密文：d,e,f,g,h,i,j,k,……,z,a,b,c算法:character+x密鑰：x=3導航后一頁前一頁末頁退出例：愷撒密碼原理：把每個英文字母向前推x位，如x=3導航后一1.對稱密鑰加密技術

導航后一頁前一頁末頁退出對信息的加密、解密使用相同的算法和密鑰1.對稱密鑰加密技術導航后一頁前一頁末頁退出1.對稱密鑰加密技術（單鑰）

導航后一頁前一頁末頁退出優(yōu)點：簡單速度快問題：密鑰管理困難代表：DES算法美國IBM公司W.Tuchman和C.Meyer1971-1972年研制成功。DES算法1975年3月公開發(fā)表，1977年1月15日由美國國家標準局頒布為數據加密標準（DataEncryptionStandard），于1977年7月15日生效。1.對稱密鑰加密技術（單鑰）導航后一頁前一頁末頁

DES算法介紹（續(xù)）

導航后一頁前一頁末頁退出1984年2月，ISO成立的數據加密技術委員會在DES基礎上制定數據加密的國際標準。密鑰長度為64位（實際為56位，有8位用于奇偶校驗）。

1997年美國RSA數據安全公司舉辦了密鑰挑戰(zhàn)競賽，懸賞一萬美金破譯DES算法。克羅拉多州的一個程序員用了96天的時間，在Internet數萬名志愿者的協同工作下，成功地找到了DES的密鑰。

DES算法介紹（續(xù)）導航后一頁前一頁末頁退出192.非對稱密鑰加密技術（私鑰、公鑰）

導航后一頁前一頁末頁退出每個用戶都有一對密鑰：一個私鑰（PrivateKey）由所有者秘密持有，一個公鑰（PublicKey）由所有者公開。若以公鑰作為加密密鑰，以用戶私鑰作為解密密鑰，則可實現多個用戶加密的消息只能由一個用戶解讀。若以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現由一個用戶加密的消息使多個用戶解讀。加密明文密文明文2.非對稱密鑰加密技術（私鑰、公鑰）導航后一頁前一2.非對稱密鑰加密技術

導航后一頁前一頁末頁退出優(yōu)點：安全性高，適合密鑰分發(fā)、數字簽名等缺點：計算量大，速度慢，不適合信息量大、速度要求快的加密代表：RSA算法2.非對稱密鑰加密技術導航后一頁前一頁末頁退出優(yōu)

RSA算法介紹

導航后一頁前一頁末頁退出1976年由美國的三位科學家Rivest,Shemir和Adelman提出。已被ISO/TC97的數據加密技術分委員會推薦為公開密鑰數據加密標準。

加密強度很高，它的安全性是基于分解大整數的難度，即將兩個大的質數合成一個大數很容易，而相反的過程非常困難。RSA算法介紹導航后一頁前一頁末頁退出1976年由6.3.2加密技術的應用1．數字簽名2.數字時間戳

導航后一頁前一頁末頁退出6.3.2加密技術的應用1．數字簽名導航后一頁前一頁末頁1.數字簽名在網絡中傳送的報文如何簽名蓋章？這是數字簽名所要解決的問題。數字簽名技術是實現交易安全的核心技術之一，它的實現基礎是公開密鑰加密技術。數字簽名必須保證：

接收者能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。

導航后一頁前一頁末頁退出1.數字簽名在網絡中傳送的報文如何簽名蓋章？這是數字簽名所數字簽名原理導航后一頁前一頁末頁退出SHA加密信息數字簽名私鑰加密摘要數字簽名信息公鑰解密摘要SHA加密摘要比較如一致信息確認發(fā)送方接收方數字簽名原理導航后一頁前一頁末頁退出SHA信息數字簽名私鑰摘2.數字時間戳在電子商務交易文件中，時間是十分重要的信息。數字時間戳服務(DigitalTimeStampService，DTS)是網上安全服務項目，由專門的機構提供。時間戳是一個經過加密后形成的憑證文檔，包括：需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽名。時間戳產生的過程：用戶將需要加時間戳的文件用HASH編碼加密形成摘要；將該摘要發(fā)送到DTS；

DTS加入收到文件摘要的日期和時間信息；

DTS用其私鑰加密形成DTS的數字簽名；一并送回用戶。導航后一頁前一頁末頁退出2.數字時間戳在電子商務交易文件中，時間是十分重要的信息。6.4認證技術6.4.1認證技術概述6.4.2數字證書與認證中心導航后一頁前一頁末頁退出6.4認證技術6.4.1認證技術概述導航后一頁前一頁6.4.1認證技術概述電子商務交易安全在技術上要解決兩大問題：安全傳輸和身份認證。安全傳輸：數據加密技術身份認證：認證技術認證：證實被認證對象是否屬實與是否有效的一個過程，其基本思想是通過驗證被認證對象的屬性，達到確認被認證對象是否真實有效的目的。身份認證技術主要基于公鑰加密體制。導航后一頁前一頁末頁退出6.4.1認證技術概述電子商務交易安全在技術上要解決兩大問6.4.2數字證書與認證中心1.數字證書：可以證實一個用戶的身份2.認證中心：是承擔網上安全電子交易認證的第三方服務機構，主要負責產生、分配并管理用戶的數字證書。導航后一頁前一頁末頁退出6.4.2數字證書與認證中心1.數字證書：可以證實一個用戶1.數字證書——概念數字證書（digitalID）又稱為數字憑證、數字標識，是一個經證書認證機構數字簽名的包含用戶身份信息以及公開密鑰信息的電子文件。數字證書的內部格式一般采用X．509國際標準，一個標準的X.509數字證書包含以下一些內容：證書的版本信息；證書的序列號；證書所使用的簽名算法；證書的發(fā)行機構；證書的有效期；證書所有人的名稱；證書所有人的公開密鑰；證書發(fā)行者對證書的簽名。導航后一頁前一頁末頁退出1.數字證書——概念數字證書（digitalID）又稱為數1.數字證書——類型個人證書：屬于個人所有，幫助個人用戶在網上進行安全交易和安全的網絡行為。個人數字證書安裝在客戶端的瀏覽器中，通過安全電子郵件進行操作。企業(yè)（服務器）證書：企業(yè)如果擁有Web服務器，可申請企業(yè)證書，用具有證書的服務器進行電子交易，而且有證書的Web服務器會自動加密和客戶端通信的所有信息。軟件（開發(fā)者）證書：是為網絡上下載的軟件提供憑證，用來和軟件的開發(fā)方進行信息交流，使用戶在下載軟件時可以獲得所需的信息。

導航后一頁前一頁末頁退出1.數字證書——類型個人證書：屬于個人所有，幫助個人用戶在網1.數字證書——申請導航后一頁前一頁末頁退出1.數字證書——申請導航后一頁前一頁末頁退出1.數字證書——用途網上辦公

電子政務

網上交易安全電子郵件網上招標導航后一頁前一頁末頁退出1.數字證書——用途網上辦公導航后一頁前一頁末頁退出2.認證中心認證中心(CertificationAuthority，CA)提供交易雙方身份認證并保證交易安全進行的第三方服務機構，主要負責產生、分配并管理用戶的數字證書。CA往往采用一種多層次的分級機構，上級CA負責簽發(fā)和管理下級CA的證書，最下一級的CA直接面向最終用戶。（見下圖）導航后一頁前一頁末頁退出2.認證中心認證中心(CertificationAutho認證中心的層次結構導航后一頁前一頁末頁退出認證中心的層次結構導航后一頁前一頁末頁退出2.認證中心——CA的整體框架導航后一頁前一頁末頁出退出面向普通用戶，用于提供證書申請、瀏覽、證書撤銷列表以及證書下載等安全服務。是核心，負責證書的簽發(fā)。CA先產生自己的私鑰和公鑰，然后生成數字證書，并傳輸給安全服務器。還負責為操作員、安全服務器、注冊機構服務器生成數字證書。登記中心服務器面向登記中心操作員，一方面向CA轉發(fā)安全服務器傳輸過來的證書申請請求，另一方面向LDAP服務器和安全服務器轉發(fā)CA頒發(fā)的數字證書和證書撤銷列表。提供目錄瀏覽服務，負責將注冊機構服務器傳輸過來的用戶信息以及數字證書加入到服務器上。用于認證機構數據（秘鑰和用戶信息等）、日志和統計信息的存儲和管理。2.認證中心——CA的整體框架導航后一頁前一頁末頁出退出面向2.認證中心——CA的功能①證書的頒發(fā)。CA接收、驗證用戶的申請，確定給用戶頒發(fā)何種類型的證書。新證書用CA的私鑰簽名后，發(fā)送到目錄服務器供用戶下載和查詢。②證書的更新。定期或根據用戶的請求更新用戶的證書。③證書的查詢。一是證書申請的查詢，二是用戶證書的查詢。導航后一頁前一頁末頁退出2.認證中心——CA的功能①證書的頒發(fā)。CA接收、驗證用戶的2.認證中心——CA的功能(續(xù))④證書的作廢。一是用戶向CA提出證書作廢請求，CA確定是否將該證書作廢。二是證書已經過了有效期，CA自動將該證書作廢。⑤證書的歸檔。證書過了有效期后將作廢，但是不能簡單地丟棄，因為可能需要驗證以前的某個交易過程中產生的數字簽名時就需要查詢作廢的證書?；诖?，CA還具備管理作廢證書和作廢私鑰的功能。導航后一頁前一頁末頁退出2.認證中心——CA的功能(續(xù))④證書的作廢。一是用戶向CA6.5電子商務安全協議6.5.1安全套接層協議（SecureSocketsLayer,SSL）6.5.2安全電子交易協議（SecureElectronicTrade,SET）導航后一頁前一頁末頁退出6.5電子商務安全協議6.5.1安全套接層協議（Sec6.5.1SSL協議由網景(Netscape)公司1994年推出，主要目的是解決Web上信息傳輸的安全問題。

SSL協議位于TCP/IP協議與各種應用層協議之間。SSL協議主要使用的技術：數字證書、數字簽名，以及基于RSA的加密算法和對稱加密算法。應用層協議所傳送的數據都會被加密，從而保證通信的安全性。

導航后一頁前一頁末頁退出6.5.1SSL協議由網景(Netscape)公司199SSL協議主要提供的服務：用戶和服務器的合法性認證：客戶機和服務器都是有各自的識別號，由公開密鑰進行編排，為了驗證用戶是否合法，SSL要求在握手交換數據進行數字認證，以此來確保用戶的合法性。加密數據以隱藏被傳送的數據：SSL協議所采用的加密技術既有對稱密鑰技術，也有公開密鑰技術，可以防止非法用戶進行破譯。保護數據的完整性：SSL協議采用Hash函數和機密共享的方法來提供信息的完整性服務，建立客戶機與服務器之間的安全通道。導航后一頁前一頁末頁退出SSL協議主要提供的服務：用戶和服務器的合法性認證：客戶機和SSL協議的兩個子協議SSL協議包括兩個子協議：SSL記錄協議和SSL握手協議。SSL記錄協議定制了傳輸數據的格式，所有的傳輸數據都被封裝在記錄中。所有的SSL通信都使用SSL記錄層。SSL握手協議在客戶端和服務器之間建立安全傳輸通道。一個SSL傳輸過程需要先握手，通信雙方協商會話密鑰；之后，兩者間建立一個SSL對話，使用協商好的會話密鑰來加密/解密消息即傳送消息會被加密后再傳輸，對方收到消息后再解密。

導航后一頁前一頁末頁退出SSL協議的兩個子協議SSL協議包括兩個子協議：SSL記錄協SSL協議流程在電子商務交易中，由于有銀行參與，按照SSL協議，交易過程中，客戶購買的信息首先發(fā)往商家，商家再將信息轉發(fā)銀行，銀行驗證客戶信息的合法性后，通知商家付款成功，商家再通知客戶購買成功，將商品寄送客戶。

導航后一頁前一頁末頁退出SSL協議流程在電子商務交易中，由于有銀行參與，按照SSL協6.5.2SET協議SET協議是一個在互聯網上實現安全電子交易的協議標準。由VISA和MasterCard共同制定，1997年5月推出。主要目的是解決通過互聯網使用信用卡付款結算的安全保障性問題。SET協議是在應用層的網絡標準協議。SET協議主要使用的技術：對稱密鑰加密、公共密鑰加密、HASH算法、數字簽名以及公共密鑰授權機制等。導航后一頁前一頁末頁退出6.5.2SET協議SET協議是一個在互聯網上實現安全電SET協議運行的目標保證信息在互聯網上安全傳輸。保證交易參與者信息的相互隔離?？蛻舻馁Y料加密或打包后通過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息。解決網上認證問題。認證中心為消費者、商家與支付網關等每個交易參與方都生成數字證書。保證網上交易的實時性。所有的支付過程都是在線的。仿效EDI規(guī)范協議和消息格式，使不同廠家開發(fā)的軟件具有兼容性和互操作功能，且可以運行在不同的硬件和操作系統平臺上。導航后一頁前一頁末頁退出SET協議運行的目標保證信息在互聯網上安全傳輸。導航后一頁前SET協議工作流程導航后一頁前一頁末頁退出SET協議工作流程導航后一頁前一頁末頁退出實訓6一、安裝并使用瑞星殺毒軟件查殺病毒【實驗目的】

通過實驗，使學生掌握瑞星軟件的安裝，并能根據需要設置軟件，熟練使用軟件查殺病毒。【實驗內容】

1.瑞星殺毒軟件的安裝

2.瑞星殺毒軟件的使用

導航后一頁前一頁末頁退出實訓6一、安裝并使用瑞星殺毒軟件查殺病毒導航后一頁前一頁末頁實訓6

二、數字證書的申請和使用

【實驗目的】

通過試驗，使學生掌握數字證書的申請、下載安裝、查看、導出導入的操作，并熟練掌握數字證書在安全電子郵件中的使用?！緦嶒瀮热荨?.申請數字證書2.查看數字證書3.數字證書的導出與導入4.數字證書的使用（數字證書在安全電子郵件中的使用）

導航后一頁前一頁末頁退出實訓6二、數字證書的申請和使用導航后一頁前一頁末頁退出思考與練習6-1判斷題1.病毒程序大多夾在正常程序之中，很容易被發(fā)現。（）2.建立認證體系的目的是要驗證或識別上網參與交易活動的各主體的身份。（）3.ＳＥＴ協議是一個在互聯網上實現安全電子交易的協議。（）4.在實際應用中，通常將兩種加密方法即對稱加密方法和非對稱加密方法結合在一起使用。（）5.只有通過上網，計算機才會感染上病毒。（）想一想?導航后一頁前一頁末頁退出思考與練習6-1判斷題想一想?導航后一頁前一頁末頁思考與練習6-2單選題

1.使用密鑰將密文數據還原成明文數據，稱為（）A）解碼 B）編譯 C）加密 D）解密2.病毒侵入后，一般不立即活動，需要等條件成熟后才作用，這是計算機病毒的哪個特點（）A）入侵性 B）隱蔽性 C）復制性 D）傳染性3.CA的中文含義是（）A）電子中心 B）金融中心 C）銀行中心 D）認證中心4.SET協議又稱為（）A）安全套接層協議B）安全電子交易協議C）信息傳輸安全協議D）網上購物協議5.信息的保密性是指()A）信息不被他人所接收B）信息內容不被指定以外的人所知悉C）信息不被篡改 D）信息在傳遞過程中不被中轉想一想?導航后一頁前一頁末頁退出思考與練習6-2單選題想一想?導航后一頁前一頁末思考與練習6.CA是負責為參與商務活動的各方發(fā)放（）,以確認身份，保證電子支付的安全性。A）數字證書 B）支付證書 C）安全證書 D）確認證書7.下述哪個不是常用的防病毒軟件？（）A）Outlook B）金山毒霸 C）KV3000 D）瑞星8.公鑰技術利用（）互相匹配的密鑰進行加密、解密。A）一個 B）一對 C）三個 D）三對9.SSL協議層包括兩個協議子層：記錄協議和（）A）握手協議 B）牽手協議 C）拍手協議 D）拉手協議10.關于防火墻的說法正確的是（）A）是指用于防止火災而修建的墻B）是用來對兩個或多個網絡之間的互相訪問實行強制性管理的安全系統C）是指用于防止計算機著火而修建的墻D）防火墻的安全性能一般沒有級別之分想一想?導航后一頁前一頁末頁退出思考與練習6.CA是負責為參與商務活動的各方發(fā)放（）思考與練習6-3多選題1.關于防病毒軟件以下說法正確的是（）A）安裝防病毒軟件建議使用默認的文件夾B）殺毒軟件可以針對特定目錄下的文件進行掃描殺毒C）安裝了殺毒軟件就能夠抵抗一切病毒的入侵D）要經常更新殺毒軟件2.以下關于SSL協議的說法不正確的是（）A）SSL是應用層的協議B）SSL協議能保證通訊內容的保密性，但不能保證完整性C）SSL協議能保證數據的完整性，但不能保證保密性D）SSL握手協議是SSL協議的一個協議子層3.采用數字簽名可以確認（）A）信息是由簽名者自己發(fā)送的 B）簽發(fā)的文件是真實文件C）信息對任何人都是保密的 D）交易者雙方的身份想一想?導航后一頁前一頁末頁退出思考與練習6-3多選題想一想?導航后一頁前一頁末頁退出思考與練習4.屬于X.509數字證書的內容有（）A）證書的版本信息 B）證書的發(fā)行機構C）證書發(fā)行者對證書的簽名D）證書所有人的私人密鑰5.安全電子交易SET標準的開發(fā)者包括（）A）MasterCard B）HP C）Bull D）Visa6.防火墻有哪些優(yōu)點？（）A）提高計算機主系統總體的安全性B）提高網絡的速度C）控制對網點系統的訪問D）數據加密想一想?導航后一頁前一頁末頁退出思考與練習4.屬于X.509數字證書的內容有（）想一思考與練習7.SET協議運行的目標主要有（）A）保證信息在互聯網上安全傳輸B）保證電子商務參與者信息的相互隔離C）提供商品或服務D）通過支付網關處理消費者和在線商店之間的交易付款問題8.按照計算機病毒攻擊的系統分類，有（）A）DOS病毒 B）Windows病毒 C）UNIX病毒 D）源碼病毒9.以下哪些是安全電子交易過程的參與者（）A）支付網關 B）消費者C）認證中心D）政府10.數字時間戳文件包含的內容有（）A）需加時間戳的文件的摘要 B）DTS收到文件的日期和時間C）用戶的私鑰 D）DTS的數字簽名導航后一頁前一頁末頁退出思考與練習7.SET協議運行的目標主要有（）導航后一思考與練習導航后一頁前一頁末頁6-4簡答題1）什么是計算機病毒？2）簡述防火墻的定義及優(yōu)點。3）簡述數字簽名的工作原理。4）什么是CA？它有哪些功能？5）繪圖說明SET協議交易流程。

退出思考與練習導航后一頁前一頁末頁6-4簡答題退出思考與練習導航后一頁前一頁末頁6-5實驗題1）針對你的計算機，考慮一個最佳的防病毒措施以確保計算機的安全。2）張曉東在一家外資公司上班，薪水很高，但是工作很忙，聽朋友介紹網上購物安全又方便，他覺得這種購物方式很好?，F在請幫助他在網站上申請個人數字證書，用戶資料自擬。退出思考與練習導航后一頁前一頁末頁6-5實驗題退出本章小結本章闡述了電子商務安全和電子商務安全所涉及的主要技術和電子商務安全協議。電子商務安全的現狀是不容樂觀的，導致了電子商務安全需求。網絡安全技術主要介紹了防火墻和病毒防范技術。加密技術主要包括對稱密鑰加密和非對稱密鑰加密技術。數字簽名和數字時間戳是加密技術的應用。認證技術主要介紹了數字證書和認證中心。電子商務安全協議主要介紹了SSL協議和SET協議。導航后一頁前一頁末頁退出本章小結本章闡述了電子商務安全和電子商務安全所涉及的主要技術第6章電子商務安全技術電子商務安全概述網絡安全技術加密技術認證技術實訓6思考與練習本章小結導航后一頁前一頁末頁退出電子商務安全協議第6章電子商務安全技術電子商務安全概述網絡安全技術加密技案例：國富安證書和

iPass系統在國電物資公司的應用

通過該案例，請思考：

1．以互聯網為核心的信息交換過程中，常用到的加密技術有哪些，列舉一二。

2．結合本案例內容，談談你對信息安全的理解。導航后一頁前一頁末頁退出案例：國富安證書和

iPass系統在國電物資公司的應用

6.1電子商務安全概述6.1.1電子商務安全現狀6.1.2電子商務安全需求導航后一頁前一頁末頁退出通過互聯網非法獲取信息的次數和數量在快速增長，病毒、黑客等成為越來越嚴重的威脅和攻擊。據統計，網絡數據被竊取和破壞造成的直接經濟損失每年至少有幾十億美元。6.1電子商務安全概述6.1.1電子商務安全現狀導6.1.1電子商務安全現狀電子商務中的安全隱患：信息的竊?。盒畔]有采取加密措施或加密強度不夠，攻擊者在數據包經過的網關或路由器上可以將其截獲。信息的篡改：攻擊者對網絡傳輸的信息進行中途修改后再發(fā)往目的地。破壞手段：篡改、刪除、插入信息的假冒：攻擊者可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶。交易的抵賴：包括多個方面，如發(fā)送者事后否認曾經發(fā)送過某內容；接收者事后否認曾經收到過某內容；購買者做了訂貨單不承認；商家賣出的商品因價格差而不承認原有的交易等。導航后一頁前一頁末頁退出6.1.1電子商務安全現狀電子商務中的安全隱患：導航后6.1.2電子商務安全需求信息傳輸的保密性：一般通過加密技術對傳輸的信息進行加密處理來實現。解決辦法是信息加密和防火墻技術。交易文件的正確性和完整性：從兩個方面考慮：一是非人為因素，如因傳輸介質損壞而引起的信息丟失、錯誤等，這類問題通常通過校驗來解決；另一個是人為因素，指非法用戶對信息的惡意篡改。其安全性是由信息加密和提取信息的數字摘要來保證的。

交易者身份的確定性：

是虛擬網絡環(huán)境中交易成功的先決條件，需要有身份鑒別服務來驗證其聲明的正確性。一般通過數字簽名、證書機構CA和數字證書來實現。

交易信息的不可抵賴性：

在交易信息的傳輸過程中為交易主體提供可靠的標識，防止抵賴行為的發(fā)生，一般都通過數字簽名來實現。

導航后一頁前一頁末頁退出6.1.2電子商務安全需求信息傳輸的保密性：一般通過加密6.2網絡安全技術

網絡安全技術是在與網絡攻擊的斗爭中不斷發(fā)展和完善的。6.2.1防火墻技術6.2.2病毒防范技術導航后一頁前一頁末頁退出6.2網絡安全技術網絡安全技術是

6.2.1防火墻技術

1.防火墻的概念2.防火墻技術的優(yōu)缺點3.防火墻的類型導航后一頁前一頁末頁退出6.2.1防火墻技術

1.防火墻的概念導航后一頁前1.防火墻的概念

防火墻（FireWall）指兩個網絡之間執(zhí)行訪問控制策略的一系列部件的組合，包含硬件和軟件。目的是保護網絡不被他人侵擾。導航后一頁前一頁末頁防火墻退出1.防火墻的概念防火墻（FireWall）指防火墻是不同網絡之間信息的唯一出口，能根據企業(yè)網絡安全策略控制出入網絡的信息流且本身具有較強的抗攻擊能力。防火墻通過檢測、限制、更改跨越防火墻的數據流，盡可能地對外屏蔽內部的信息、結構和運行狀況。1.防火墻的概念防火墻是不同網絡之間信息的唯一出口，能根據企業(yè)網絡安全策略控1.防火墻的概念

—訪問控制機制基本設計準則

導航后一頁前一頁末頁1.“一切未被允許的就是禁止的”，即在默認情況下禁止所有服務拒絕允許2.“一切未被禁止的就是允許的”，即在默認情況下允許所有服務允許拒絕退出邏輯上，防火墻是一個分離器、一個限制器、一個分析器，有效監(jiān)控內部網絡和Internet間的任何活動，保證了內部網絡的安全。1.防火墻的概念

—訪問2.防火墻技術的優(yōu)缺點——優(yōu)點

導航后一頁前一頁末頁（1）是網絡安全的屏障

通過過濾不安全的服務來降低子網上主系統的風險?？梢越鼓承┮资芄舻姆?如NFS--網絡文件系統)進入或離開受保護的子網?？梢苑雷o基于路由選擇的攻擊，如源路由選擇和企圖通過ICMP—控制消息協議，改向把發(fā)送路徑轉向遭致損害的網點。（2）控制對主機系統的訪問

可以提供對系統的訪問控制。通過配置防火墻，某些主機系統可由外部網絡訪問，而其他主機則被有效封閉。退出2.防火墻技術的優(yōu)缺點——優(yōu)點導航后一頁前一頁末頁2.防火墻的優(yōu)缺點——優(yōu)點

導航后一頁前一頁末頁（3）監(jiān)控和設計網絡訪問

如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提示網絡是否收到監(jiān)測和攻擊的詳細信息。（4）防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。另外，使用防火墻可以隱蔽那些會泄露內部細節(jié)的服務，如Finger（于查詢用戶情況的實用程序）、DNS（域名系統）等。退出2.防火墻的優(yōu)缺點——優(yōu)點導航后一頁前一頁末Finger是UNIX系統中用于查詢用戶情況的實用程序(dos系統也包含此命令)。UNIX系統保存了每個用戶的詳細資料，包括E-mail地址、帳號，在現實生活中的真實姓名、登錄時間、有沒有未閱讀的信件，最后一次閱讀E-mail的時間以及外出時的留言等資料。當你用Finger命令查詢時，系統會將上述資料一一顯示在終端或計算機上。DNS存在的安全問題1.針對域名系統的惡意攻擊：DDOS（DoS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊）攻擊造成域名解析癱瘓。2.域名劫持：修改注冊信息、劫持解析結果。3.國家性質的域名系統安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。4.系統上運行的DNS服務存在漏洞，導致被黑客獲取權限，從而篡改DNS信息。5.DNS設置不當，導致泄漏一些敏感信息。提供給黑客進一步攻擊提供有力信息。Finger是UNIX系統中用于查詢用戶情況的實用程序(do2.防火墻的優(yōu)缺點——優(yōu)點

導航后一頁前一頁末頁（5）部署NAT機制

防火墻可以部署NAT機制，用來緩解地址空間短缺的問題，也可以隱藏內部網絡的結構。

支持網絡地址轉換(NAT)：指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉換以解決IP地址匱乏問題。在防火墻上實現NAT后，可以隱藏受保護網絡的內部結構，在一定程度上提高了網絡的安全性。退出2.防火墻的優(yōu)缺點——優(yōu)點導航后一頁前一頁末頁（52.防火墻的優(yōu)缺點——缺點

導航后一頁前一頁末頁退出（1）限制使用合乎需要的服務防火墻最明顯的缺點是它可能封鎖用戶所需的某些服務，如TELNET（遠程登陸服務）、FTP（文件傳輸）、NFS（網絡文件系統）等。但這一缺點并不是防火墻所獨有的。對主系統的多級限制也會產生這個問題。

（2）后門訪問的廣泛可能性防火墻不能防護從后門進入網點。例如，如果對調制解調器不加限制，仍然許可訪問由防火墻保護的網點，那么攻擊者可以有效地跳過防火墻。調制解調器的速度現在快到足以使SLIP（串行線IP）和PPP（點對點協議）切實可行。在受保護子網內SLIP和PPP連接在本質上是另一個網絡連接點和潛在的后門。2.防火墻的優(yōu)缺點——缺點導航后一頁前一頁末頁退出2.防火墻的優(yōu)缺點——缺點

導航后一頁前一頁末頁退出（3）幾乎不能防護來自內部的攻擊

防火墻可以禁止系統用戶經過網絡連接發(fā)送專有的信息，但用戶可以將數據復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經在防火墻內部，防火墻是無能為力的。內部用戶偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內部管理，如主機安全和用戶教育、管理、制度等。（4）其他問題

病毒：防火墻不能防止用戶從Internet下載受病毒感染的程序，或把這些程序附加到電子郵件上傳輸出去。必須用其他對策和抗病毒控制措施進行處理。

吞吐量：防火墻是一種潛在的瓶頸，所有的連接都必須通過防火墻，許多信息都要經過檢查，信息的傳遞可能要受到傳輸速率的影響。

集中性：防火墻系統把安全性集中在一點上，而不是把它分布在各系統間，防火墻受損可能會對子網上其他保護不力的系統造成巨大的損害。

2.防火墻的優(yōu)缺點——缺點導航后一頁前一頁末頁退出（3）3.防火墻的類型

導航后一頁前一頁末頁退出分組過濾（Packetfilter，或稱為包過濾）：是一種簡單有效的安全控制技術，他通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址和端口號等規(guī)則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地出口端，其余數據包則被從數據流中丟棄。3.防火墻的類型導航后一頁前一頁末頁退出分組3.防火墻的類型

導航后一頁前一頁末頁退出代理服務：能夠將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的連接，由兩個代理服務器之間的連接來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統的作用。3.防火墻的類型導航后一頁前一頁末頁退出代理3.防火墻的類型兩種類型優(yōu)缺點。P175目前，防火墻系統通常結合使用兩種技術。代理服務可大大降低分組過濾規(guī)則的復雜度，是分組過濾技術的重要補充。3.防火墻的類型兩種類型優(yōu)缺點。P1756.2.2病毒防范措施1.計算機病毒的概念2.計算機病毒的分類3.計算機病毒的防治導航后一頁前一頁末頁退出6.2.2病毒防范措施1.計算機病毒的概念導航后一頁前1.計算機病毒的概念

導航后一頁前一頁末頁退出計算機病毒起源P175計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

計算機病毒的特征：（1）傳染性（2）隱蔽性（3）觸發(fā)性（4）破壞性1.計算機病毒的概念導航后一頁前一頁末頁退出2.計算機病毒的分類

導航后一頁前一頁末頁退出按病毒依賴的操作系統分類：DOS病毒、Windows病毒、Unix病毒、Linux病毒等。按病毒特有的算法分類：伴隨型病毒、“蠕蟲”病毒、寄生型病毒。按病毒的破環(huán)方式分類：無害型、危害型、危險型、非常危險型。按病毒的寄生方式分類：文件型病毒、引導型病毒、混合型病毒。按病毒的傳染方法分類：駐留型病毒、非駐留型病毒。按病毒的連接方式分類：源碼型病毒、嵌入型病毒、外殼病毒、操作系統型病毒。

2.計算機病毒的分類導航后一頁前一頁末頁退出按病毒常見病毒舉例

導航后一頁前一頁末頁退出Windows系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒一般是感染windows操作系統的*.exe和*.dll文件，并通過這些文件進行傳播。如CIH病毒。蠕蟲病毒的前綴是：Worm。這種病毒通過網絡或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網絡的特性。比如沖擊波(阻塞網絡)，小郵差(發(fā)帶毒郵件)等。木馬病毒其前綴是：Trojan，木馬病毒通過網絡或者系統漏洞進入用戶的系統并隱藏，然后向外界泄露用戶的信息。黑客病毒前綴名一般為Hack。黑客病毒有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制?，F在這兩種類型趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有比較多的針對網絡游戲的木馬病毒如Trojan.LMir.PSW.60。常見病毒舉例導航后一頁前一頁末頁退出Windows系統病常見病毒舉例

導航后一頁前一頁末頁退出腳本病毒的前綴是：Script。腳本病毒是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴：VBS、JS(表明是何種腳本編寫的)，如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。病毒種植程序病毒。這類病毒運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破壞性程序病毒的前綴是：Harm。這類病毒本身具有好看的圖標來誘惑用戶點擊，當用戶點擊時，病毒便會直接對用戶計算機產生破壞。如：格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒也具有好看的圖標誘惑用戶點擊，當用戶點擊時，病毒會做出各種破壞操作來嚇唬用戶，但不會對用戶電腦進行任何破壞。如：女鬼(Joke.Girlghost)病毒。常見病毒舉例導航后一頁前一頁末頁退出腳本病毒的前綴是：S常見病毒舉例

導航后一頁前一頁末頁退出捆綁機病毒的前綴是：Binder。這類病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。常見病毒舉例導航后一頁前一頁末頁退出捆綁機病毒的前綴是：3.計算機病毒的防治

導航后一頁前一頁末頁退出從用戶的角度：計算機病毒防治要采取“預防為主，防治結合”的方針，關鍵是做好預防工作。根據病毒傳染途徑，做一些經常性的病毒檢測工作，降低病毒入侵率，減少病毒造成的危害。從技術的角度：計算機病毒的防治技術分成四個方面，即預防、檢測、清除和免疫。

3.計算機病毒的防治導航后一頁前一頁末頁退出病毒防治技術——預防技術

導航后一頁前一頁末頁退出病毒預防技術：指通過一定的技術手段防止病毒對系統進行傳染和破壞，它通過自身常駐系統內存優(yōu)先獲得系統的控制權，監(jiān)視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作尤其是寫操作，以達到保護系統的目的。計算機病毒的預防技術主要包括磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術和系統監(jiān)控技術等。

病毒防治技術——預防技術導航后一頁前一頁末頁退出病毒預防病毒防治技術——檢測技術

導航后一頁前一頁末頁退出病毒檢測技術：指通過一定的技術手段判定出病毒的一種技術。病毒檢測技術主要有兩種：一種是根據計算機病毒程序中的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術；另一種是不針對具體病毒程序的自身檢驗技術，即對某個文件或數據段進行檢驗和計算并保存其結果，以后定期或不定期地根據保存的結果對該文件或數據段進行檢驗，若出現差異，即表示該文件或數據段的完整性已遭到破壞，從而檢測到病毒的存在。病毒防治技術——檢測技術導航后一頁前一頁末頁退出病毒檢測病毒防治技術——消除技術

導航后一頁前一頁末頁退出病毒消除技術：病毒的消除是檢測的延伸，是在檢測發(fā)現特定的病毒基礎上，根據具體病毒的消除方法從傳染的程序中除去計算機病毒代碼并恢復文件的原有結構信息?，F在很多殺病毒軟件是把檢測和殺毒同時進行了，目前常用的殺病毒軟件有：NortonAntiVirus、Kv3000、金山毒霸、瑞星等。病毒防治技術——消除技術導航后一頁前一頁末頁退出病毒消除病毒防治技術——免疫技術

導航后一頁前一頁末頁退出病毒免疫技術：這一技術目前沒有很大發(fā)展。針對某一種病毒的免疫方法已沒有人再用了，而目前還沒有出現通用的能對各種病毒都有免疫作用的技術，也許根本就不存在這樣一種技術?，F在，某些反病毒程序使用給可執(zhí)行程序增加保護性外殼的方法，能在一定程度上起保護作用。

病毒防治技術——免疫技術導航后一頁前一頁末頁退出病毒免6.3加密技術6.3.1密碼學基礎知識6.3.2密碼技術的應用導航后一頁前一頁末頁退出6.3加密技術6.3.1密碼學基礎知識導航后一頁前一6.3.1密碼學基礎知識術語：明文：原始消息密文：加密后的形式加密技術的兩個要素：密鑰和算法導航后一頁前一頁末頁退出解密算法解密密鑰加密算法加密密鑰明文密文明文加密解密6.3.1密碼學基礎知識術語：導航后一頁前一頁末頁退出解例：愷撒密碼原理：把每個英文字母向前推x位，如x=3明文：a,b,c,d,e,f,g,h,……,w,x,y,z密文：d,e,f,g,h,i,j,k,……,z,a,b,c算法:character+x密鑰：x=3導航后一頁前一頁末頁退出例：愷撒密碼原理：把每個英文字母向前推x位，如x=3導航后一1.對稱密鑰加密技術

導航后一頁前一頁末頁退出對信息的加密、解密使用相同的算法和密鑰1.對稱密鑰加密技術導航后一頁前一頁末頁退出1.對稱密鑰加密技術（單鑰）

導航后一頁前一頁末頁退出優(yōu)點：簡單速度快問題：密鑰管理困難代表：DES算法美國IBM公司W.Tuchman和C.Meyer1971-1972年研制成功。DES算法1975年3月公開發(fā)表，1977年1月15日由美國國家標準局頒布為數據加密標準（DataEncryptionStandard），于1977年7月15日生效。1.對稱密鑰加密技術（單鑰）導航后一頁前一頁末頁

DES算法介紹（續(xù)）

導航后一頁前一頁末頁退出1984年2月，ISO成立的數據加密技術委員會在DES基礎上制定數據加密的國際標準。密鑰長度為64位（實際為56位，有8位用于奇偶校驗）。

1997年美國RSA數據安全公司舉辦了密鑰挑戰(zhàn)競賽，懸賞一萬美金破譯DES算法?？肆_拉多州的一個程序員用了96天的時間，在Internet數萬名志愿者的協同工作下，成功地找到了DES的密鑰。

DES算法介紹（續(xù)）導航后一頁前一頁末頁退出192.非對稱密鑰加密技術（私鑰、公鑰）

導航后一頁前一頁末頁退出每個用戶都有一對密鑰：一個私鑰（PrivateKey）由所有者秘密持有，一個公鑰（PublicKey）由所有者公開。若以公鑰作為加密密鑰，以用戶私鑰作為解密密鑰，則可實現多個用戶加密的消息只能由一個用戶解讀。若以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現由一個用戶加密的消息使多個用戶解讀。加密明文密文明文2.非對稱密鑰加密技術（私鑰、公鑰）導航后一頁前一2.非對稱密鑰加密技術

導航后一頁前一頁末頁退出優(yōu)點：安全性高，適合密鑰分發(fā)、數字簽名等缺點：計算量大，速度慢，不適合信息量大、速度要求快的加密代表：RSA算法2.非對稱密鑰加密技術導航后一頁前一頁末頁退出優(yōu)

RSA算法介紹

導航后一頁前一頁末頁退出1976年由美國的三位科學家Rivest,Shemir和Adelman提出。已被ISO/TC97的數據加密技術分委員會推薦為公開密鑰數據加密標準。

加密強度很高，它的安全性是基于分解大整數的難度，即將兩個大的質數合成一個大數很容易，而相反的過程非常困難。RSA算法介紹導航后一頁前一頁末頁退出1976年由6.3.2加密技術的應用1．數字簽名2.數字時間戳

導航后一頁前一頁末頁退出6.3.2加密技術的應用1．數字簽名導航后一頁前一頁末頁1.數字簽名在網絡中傳送的報文如何簽名蓋章？這是數字簽名所要解決的問題。數字簽名技術是實現交易安全的核心技術之一，它的實現基礎是公開密鑰加密技術。數字簽名必須保證：

接收者能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。

導航后一頁前一頁末頁退出1.數字簽名在網絡中傳送的報文如何簽名蓋章？這是數字簽名所數字簽名原理導航后一頁前一頁末頁退出SHA加密信息數字簽名私鑰加密摘要數字簽名信息公鑰解密摘要SHA加密摘要比較如一致信息確認發(fā)送方接收方數字簽名原理導航后一頁前一頁末頁退出SHA信息數字簽名私鑰摘2.數字時間戳在電子商務交易文件中，時間是十分重要的信息。數字時間戳服務(DigitalTimeStampService，DTS)是網上安全服務項目，由專門的機構提供。時間戳是一個經過加密后形成的憑證文檔，包括：需