1、第五章第五章 電子商務安全電子商務安全2022-1-1622000年2月，互聯網最為嚴重的黑客事件 “電子珍珠港”事件v 2月7日，美國雅虎網站（yahoo）遭到攻擊，大部分網絡服務陷于癱瘓；v 2月8日，電子商務網站遭到攻擊：當天股市的網絡銷售公司購買網站死機，隨后世界最著名的網絡拍賣行網站（ebay）、著名電子商務網站亞馬遜（amazon）也被迫關閉多個小時。 v 2月9日，電子商務網站再度遭殃，電子交易網站遭到攻擊，科技新聞網站zdnet中斷2個小時。2022-1-163 截至2002年底，全球internet用戶超過6.55億。 cnnic中國互聯網絡發展狀況統計最新統計顯示，截至20

2、08年12月31日，中國網民規模達到2.98億人，世界第一,普及率達到22.6%，超過全球平均水平；2007年增長率為41.9%最高。學生網民20%,美國60% cnnic統計指出，我國超過40%的網站存在嚴重的安全漏洞。 美國金融時報報道，世界上平均每20秒就發生一起黑客入侵事件。 2000年1月，黑客從cd universe網站竊取了35萬個信用卡號碼，這是向公眾報道的最大規模的信用卡失竊案件。2022-1-164案例：攜程被曝存案例：攜程被曝存“支付漏洞支付漏洞” 攜程的攜程的itit系統完全自建，系統完全自建，20092009年以前，攜程服務器并不年以前，攜程服務器并不留存用戶留存用戶

3、cvvcvv碼，用戶每次購買機票，預訂酒店都需要輸入碼，用戶每次購買機票，預訂酒店都需要輸入cvvcvv碼；碼；20092009年后，為了簡化操作流程，優化客戶體驗，攜年后，為了簡化操作流程，優化客戶體驗，攜程服務器上開始留存程服務器上開始留存cvvcvv碼，也為支付安全留下隱患。碼，也為支付安全留下隱患。20142014年年3 3月月2222日烏云漏洞平臺發布消息稱，攜程將用于處日烏云漏洞平臺發布消息稱，攜程將用于處理用戶支付的服務接口開啟了調試功能，使部分向銀行驗證理用戶支付的服務接口開啟了調試功能，使部分向銀行驗證持卡所有者接口傳輸的數據包直接保存在本地服務器，有可持卡所有者接口傳輸的數

4、據包直接保存在本地服務器，有可能被黑客所讀取。對此，攜程在聲明中稱，公司已經展開技能被黑客所讀取。對此，攜程在聲明中稱，公司已經展開技術排查，并在兩小時內修復了這個漏洞。經查，攜程的技術術排查，并在兩小時內修復了這個漏洞。經查，攜程的技術開發人員之前是為了排查系統疑問，留下了臨時日志，因疏開發人員之前是為了排查系統疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除。忽未及時刪除，目前，這些信息已被全部刪除。 事件陳述事件陳述當時正處于央行對于第三方支付表示質疑的關口，加上當時正處于央行對于第三方支付表示質疑的關口，加上安全漏洞關乎攜程數以億計的用戶財產安全，所以這一消息安全漏洞

5、關乎攜程數以億計的用戶財產安全，所以這一消息引起了了極大的關注。有用戶稱，攜程引起了了極大的關注。有用戶稱，攜程“官方信息完全在瞎官方信息完全在瞎扯扯”，并附上信用卡記錄為證。作為攜程的鉆石卡會員，他，并附上信用卡記錄為證。作為攜程的鉆石卡會員，他早于早于2 2月月2525日就曾致電攜程，他的幾張綁定攜程的信用卡被日就曾致電攜程，他的幾張綁定攜程的信用卡被盜刷了十幾筆外幣，但當時攜程居然回復盜刷了十幾筆外幣，但當時攜程居然回復“系統安全正常系統安全正常”。有種有種 “ “閉著眼睛撒謊閉著眼睛撒謊”的感覺。的感覺。案例：當當網存安全漏洞案例：當當網存安全漏洞 用戶資料被篡改用戶資料被篡改事件陳述

6、事件陳述廣州的消費者常先生廣州的消費者常先生20142014年年2 2月月2525日發現日發現, ,自己當當網的自己當當網的上千元余額被盜走了。常先生曾在當當網分兩次充值總價上千元余額被盜走了。常先生曾在當當網分兩次充值總價20002000元的禮品卡。被刷走當天元的禮品卡。被刷走當天, ,常先生突然發現自己的賬戶常先生突然發現自己的賬戶里有一個新訂單里有一個新訂單, ,訂單顯示是一條價值訂單顯示是一條價值15781578元的千足金鏈子元的千足金鏈子, ,而收件人的地址來自湖北武漢。而收件人的地址來自湖北武漢。“收件人姓名是我自己收件人姓名是我自己, ,但是但是聯系地址和聯系電話都不是我的聯系地

7、址和聯系電話都不是我的”。常先生告訴記者。常先生告訴記者, ,自己當自己當當網賬號的驗證郵箱、密碼、手機號都被篡改當網賬號的驗證郵箱、密碼、手機號都被篡改, ,可自己事先并可自己事先并不知情。不知情。今年今年3 3月左右，有多名消費者在當當網的賬戶被不明人士月左右，有多名消費者在當當網的賬戶被不明人士篡改，購買的千元禮品卡余額被盜刷。而受害者則面臨著投篡改，購買的千元禮品卡余額被盜刷。而受害者則面臨著投訴無果，被盜款無法追回等問題。對此，當當網曾發布公告訴無果，被盜款無法追回等問題。對此，當當網曾發布公告稱，針對被盜號用戶的賠償事宜，當當網可先行賠付。稱，針對被盜號用戶的賠償事宜，當當網可先行

8、賠付。支付寶存漏洞支付寶存漏洞 嫌犯偽造執照嫌犯偽造執照盜刷網店盜刷網店20余萬余萬20142014年年3 3月初，有媒體爆出支付寶存在安全漏洞。月初，有媒體爆出支付寶存在安全漏洞。張某、劉某一起在淘寶上開網店。在開店過程中，張某、劉某一起在淘寶上開網店。在開店過程中，二人發現修改其網店的支付寶用戶名和密碼時，只二人發現修改其網店的支付寶用戶名和密碼時，只需在網上向支付寶客服提交電子版營業執照即可；需在網上向支付寶客服提交電子版營業執照即可；支付寶客服對電子版營業執照的審核不嚴，很容易支付寶客服對電子版營業執照的審核不嚴，很容易受理通過。二人利用此漏洞，盜刷數家企業支付寶受理通過。二人利用此漏

9、洞，盜刷數家企業支付寶內的資金共內的資金共2020余萬元。余萬元。1、支付寶大面積癱瘓無法進行操作面積癱瘓無法進行操作2015年5月，擁有將近3億活躍用戶的支付寶出現了大面積癱瘓，全國多省市支付寶用戶出現電腦端和移動端均無法進行轉賬付款、出現余額錯誤等問題。而今年十一長假之后，則有“資深”支付寶用戶爆料稱在登錄支付寶官網后無意間發現，自己的實名認證信息下多出了5個未知賬戶，而這些賬號都沒有經過他本人的認證。2、財付通用戶賬號遭凍結余額不翼而飛、財付通用戶賬號遭凍結余額不翼而飛2015年8月10日，騰訊一用戶財付通賬號無故被凍結，財付通客服解釋為賬戶異常，但并未給出具體解釋。從11日開始，該用戶

10、反復提交材料并與客服要求解凍未果。直至26日，賬戶終于解凍，但發現賬戶余額內2000余元不翼而飛。隨后，該用戶申請凍結賬戶，賬戶在27日下午被凍結后又在28日自動解凍。而客服解釋是之前申請過凍結賬戶。“等于我丟了2000元，他們卻不知道。”2022-1-1693、翼支付頻遭盜刷系統疑存隱患、翼支付頻遭盜刷系統疑存隱患 從2014年4月份起至今，翼支付綁定銀行卡被盜刷事件就已經出現過7次，盜刷金額從幾百到幾萬不定。多位銀行卡被盜刷受害者表示，在持卡人不知情的情況下，銀行卡中的資金通過翼支付被盜刷，且翼支付無法查詢到被盜刷資金去向。沒有開通翼支付的銀行卡也被盜刷，并且被盜刷期間沒有收到任何消費和支

11、付的短信提醒，這讓受害者百思不得其解。2022-1-1610第五章第五章 電子商務安全電子商務安全熟悉電子商務安全的含義熟悉電子商務安全的含義了解目前常見的電子商務安全威脅了解目前常見的電子商務安全威脅掌握電子商務安全的需求掌握電子商務安全的需求了解電子商務安全常見的技術了解電子商務安全常見的技術了解電子商務安全協議了解電子商務安全協議2022-1-1611 學習目標學習目標5.1 電子商務安全概述電子商務的一個重要技術特征是利用電子商務的一個重要技術特征是利用it技術來傳輸和處理技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分：商業信息。因此，電子商務安全從整體上可分為兩大

12、部分：計算機網絡安全和商務交易安全。計算機網絡安全和商務交易安全。 計算機網絡安全的內容包括：計算機網絡設備安全、計算計算機網絡安全的內容包括：計算機網絡設備安全、計算機網絡系統安全和數據庫安全等。其特征是針對計算機網絡機網絡系統安全和數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全性。計算機網絡自身的安全性。2022-1-16122022-1-16135.1 電子商務安全概述電子商務活動的交易安全緊緊圍繞傳統商務在互聯網上應電子商務活動的交易安全緊緊圍繞傳統商務在互聯網上應用時產生

13、的各種安全問題，在計算機網絡安全的基礎上，保用時產生的各種安全問題，在計算機網絡安全的基礎上，保障電子商務過程的順利進行，即實現電子商務的保密性、完障電子商務過程的順利進行，即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。整性、可鑒別性、不可偽造性和不可抵賴性。以下幾種情況以下幾種情況：（1）竊取信息）竊取信息；（2）篡改信息）篡改信息；（3）身份仿冒）身份仿冒；（4）抵賴）抵賴；（5）網絡病毒）網絡病毒；（6）其他安全威脅）其他安全威脅。5.1 電子商務安全概述5.1.1 電子商務安全要素電子商務安全要素由于電子商務是在互聯網環境下進行的商務活動，交易由于電子商務是在互聯網

14、環境下進行的商務活動，交易的安全性、可靠性和匿名性一直是人們在交易活動中最為關的安全性、可靠性和匿名性一直是人們在交易活動中最為關注的問題。因此，為了保證電子商務整個交易活動的順利進注的問題。因此，為了保證電子商務整個交易活動的順利進行，電子商務系統必須具備以下幾個安全要素：行，電子商務系統必須具備以下幾個安全要素： （1）信息保密性需求）信息保密性需求（2）信息完整性需求）信息完整性需求 （3）不可否認性）不可否認性（4）交易者身份鑒別需求）交易者身份鑒別需求（5）系統有效性）系統有效性（系統有效性關系個人、企業、國家）（系統有效性關系個人、企業、國家）（6）可審查性需求）可審查性需求（7）

15、操作合法性需求）操作合法性需求2022-1-16145.1 電子商務安全概述5.1.2 電子商務的安全威脅及主要的安全技術電子商務的安全威脅及主要的安全技術 電子商務的安全威脅包括：信息在網絡的傳輸過程中被電子商務的安全威脅包括：信息在網絡的傳輸過程中被截獲、傳輸的文件被篡改、假冒他人身份、不承認已經做過截獲、傳輸的文件被篡改、假冒他人身份、不承認已經做過的交易、抵賴、非法訪問和計算機病毒等。的交易、抵賴、非法訪問和計算機病毒等。 電子商務的主要安全技術包括：加密技術、認證技術、電子商務的主要安全技術包括：加密技術、認證技術、數字簽名、安全套接字協議（數字簽名、安全套接字協議（ssl）和安全電

16、子交易規范（）和安全電子交易規范（set）。）。2022-1-1615【案例案例】開發理財軟件留開發理財軟件留“后門后門”2009年年7月，某金融機構委托某公司開發一個銀行理月，某金融機構委托某公司開發一個銀行理財產品的計算機程序，該公司便讓其員工鄒某負責研發。財產品的計算機程序，該公司便讓其員工鄒某負責研發。鄒某在未告知公司和該金融機構的情況下私自在程序鄒某在未告知公司和該金融機構的情況下私自在程序中加入了一個后門程序。之后程序研發順利完成并交付至中加入了一個后門程序。之后程序研發順利完成并交付至該金融機構投入運行。該金融機構投入運行。自自2009年年11月至今年月至今年6月期間，鄒某又先后

17、多次通過月期間，鄒某又先后多次通過后門程序進入上述系統，并采用技術手段非法獲取了后門程序進入上述系統，并采用技術手段非法獲取了70多多名客戶的客戶資料、密碼，非法查詢了多名客戶的賬戶余名客戶的客戶資料、密碼，非法查詢了多名客戶的賬戶余額，同時將額，同時將23名客戶的賬戶資金在不同的客戶賬戶上相互名客戶的賬戶資金在不同的客戶賬戶上相互轉入轉出，涉及金額共計轉入轉出，涉及金額共計1萬余元。萬余元。 自自2009年年9月起，該金融機構就陸續接到客戶投訴，月起，該金融機構就陸續接到客戶投訴，于是于于是于2010年年6月聯系上述研發公司進行檢測，終于發現月聯系上述研發公司進行檢測，終于發現了這個秘密的了

18、這個秘密的“后門程序后門程序”，立即向公安機關報案。公安，立即向公安機關報案。公安機關于當月將犯罪嫌疑人鄒某抓獲歸案。機關于當月將犯罪嫌疑人鄒某抓獲歸案。 觸發安全問題的原因觸發安全問題的原因1黑客的攻擊目前，世界上有20多萬個黑客網站，攻擊方法成千上萬。 2管理的欠缺網站或系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。3網絡的缺陷因特網的共享性和開放性使網上信息安全存在先天不足。4軟件的漏洞或“后門”操作系統和應用軟件往往存在漏洞或“后門”。沖擊波病毒win20005人為的觸發基于信息戰和對他國監控的考慮，個別國家或組織有意識觸發網絡信息安全問題。2022-1-1618棱鏡門棱鏡計劃（

19、棱鏡計劃（prism）是一項由美國國家安全局（）是一項由美國國家安全局（nsa）自）自2007年小布什時期起開始實施的絕密電子監聽計劃。年小布什時期起開始實施的絕密電子監聽計劃。棱鏡棱鏡監控的主要有監控的主要有10類信息：電郵、即時消息、視頻、照片、類信息：電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網絡資料的細節都被政府監控。通過棱鏡項目，國安社交網絡資料的細節都被政府監控。通過棱鏡項目，國安局甚至可以實時監控一個人正在進行的網絡搜索內容。局甚至可以實時監控一個人正在進行的網絡搜索內容。反病毒技術反病毒技

20、術2022-1-1619計算機病毒（計算機病毒（computer virus）是編制者在計）是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼算機程序中插入的破壞計算機功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指，能影響計算機使用，能自我復制的一組計算機指令或者程序代碼。令或者程序代碼。計算機病毒的生命周期：開發期計算機病毒的生命周期：開發期傳染期傳染期潛潛伏期伏期發作期發作期發現期發現期消化期消化期消亡期。消亡期。計算機病毒是一個程序，一段可執行碼。就像計算機病毒是一個程序，一段可執行碼。就像生物病毒一樣，具有自我繁殖、互相傳染以及激活生物病毒一樣，具有自我繁殖、互相

21、傳染以及激活再生等生物病毒特征。計算機病毒有獨特的復制能再生等生物病毒特征。計算機病毒有獨特的復制能力，它們能夠快速蔓延，又常常難以根除。它們能力，它們能夠快速蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上，當文件被復制或把自身附著在各種類型的文件上，當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。一起蔓延開來。2022-1-1620 現在所謂的特洛伊木馬正是指那些表面上是有用的現在所謂的特洛伊木馬正是指那些表面上是有用的軟件，實際上卻會危害計算機安全并導致嚴重破壞的計軟件，實際上卻會危害計算機安全并導致嚴重破壞的計

22、算機程序。它是具有欺騙性的文件（宣稱是良性的，但算機程序。它是具有欺騙性的文件（宣稱是良性的，但事實上是惡意的），是一種基于遠程控制的黑客工具，事實上是惡意的），是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。具有隱蔽性和非授權性的特點。2022-1-1621wannacry是一種蠕蟲式的勒索病毒，它利用了是一種蠕蟲式的勒索病毒，它利用了windows smb服務漏洞服務漏洞，攻擊電腦并加密硬盤中的文件，向用戶勒索贖金。，攻擊電腦并加密硬盤中的文件，向用戶勒索贖金。由于它主要利用由于它主要利用tcp 445端口傳播（運營商通常會關閉個人用戶的端口傳播（運營商通常會關閉個人用戶的445

23、端端口），大量企業、政府和教育機關的網站中招。國內受影響最大的是教口），大量企業、政府和教育機關的網站中招。國內受影響最大的是教育網，很多實驗室數據和畢業論文都被加密了。育網，很多實驗室數據和畢業論文都被加密了。2022-1-1622感染熊貓燒香后，感染熊貓燒香后，exe文件會被破壞導致很多軟件無法正常使用；另外文件會被破壞導致很多軟件無法正常使用；另外它啟動后會將用戶電腦上的殺毒軟件進程殺掉；它還會破壞磁盤和外接它啟動后會將用戶電腦上的殺毒軟件進程殺掉；它還會破壞磁盤和外接u盤等，造成它們無法正常使用；此外作者建立了服務器對病毒不斷更盤等，造成它們無法正常使用；此外作者建立了服務器對病毒不斷

24、更新，速度直逼殺毒軟件；熊貓燒香還會感染網頁文件，從而導致瀏覽部新，速度直逼殺毒軟件；熊貓燒香還會感染網頁文件，從而導致瀏覽部分網站的用戶中招。分網站的用戶中招。計算機病毒特點計算機病毒特點1. 繁殖性繁殖性計算機病毒可以像生物病毒一樣進行繁殖，當正常程計算機病毒可以像生物病毒一樣進行繁殖，當正常程序運行時，它也進行運行自身復制，是否具有繁殖、感染序運行時，它也進行運行自身復制，是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。的特征是判斷某段程序為計算機病毒的首要條件。2. 破壞破壞性性計算機中毒后，可能會導致正常的程序無法運行，把計算機中毒后，可能會導致正常的程序無法運行，把計

25、算機內的文件刪除或受到不同程度的損壞。破壞引導扇計算機內的文件刪除或受到不同程度的損壞。破壞引導扇區及區及bios，硬件環境破壞，硬件環境破壞3.傳染性傳染性計算機病毒傳染性是指計算機病毒通過修改別的程序計算機病毒傳染性是指計算機病毒通過修改別的程序將自身的復制品或其變體傳染到其它無毒的對象上，這些將自身的復制品或其變體傳染到其它無毒的對象上，這些對象可以是一個程序也可以是系統中的某一個部件。對象可以是一個程序也可以是系統中的某一個部件。計算機病毒特點計算機病毒特點4. 潛伏性潛伏性計算機病毒潛伏性是指計算機病毒可以依附于其它媒計算機病毒潛伏性是指計算機病毒可以依附于其它媒體寄生的能力，侵入后

26、的病毒潛伏到條件成熟才發作，體寄生的能力，侵入后的病毒潛伏到條件成熟才發作， 會使電腦變慢。會使電腦變慢。5. 隱蔽性隱蔽性計算機病毒具有很強的隱蔽性，可以通過病毒軟件檢計算機病毒具有很強的隱蔽性，可以通過病毒軟件檢查出來少數，隱蔽性計算機病毒時隱時現、變化無常，這查出來少數，隱蔽性計算機病毒時隱時現、變化無常，這類病毒處理起來非常困難。類病毒處理起來非常困難。6. 可觸發性可觸發性編制計算機病毒的人，一般都為病毒程序設定了一些編制計算機病毒的人，一般都為病毒程序設定了一些觸發條件，例如，系統時鐘的某個時間或日期、系統運行觸發條件，例如，系統時鐘的某個時間或日期、系統運行了某些程序等。一旦條件

27、滿足，計算機病毒就會了某些程序等。一旦條件滿足，計算機病毒就會“發作發作”，使系統遭到破壞。使系統遭到破壞。病毒對計算機造成的破壞病毒對計算機造成的破壞 破壞文件分配表破壞文件分配表 刪除文件刪除文件 修改或破壞重要數據修改或破壞重要數據 減少磁盤空間減少磁盤空間 顯示非正常信息和圖像顯示非正常信息和圖像 系統不能正常存儲系統不能正常存儲 造成寫錯誤造成寫錯誤 破壞磁盤文件目錄破壞磁盤文件目錄 降低計算機工作速度降低計算機工作速度 非法格式化非法格式化 打印機故障打印機故障 文件增長文件增長 改變系統正常運行過程改變系統正常運行過程 造成屏幕和鍵盤死鎖造成屏幕和鍵盤死鎖 計算機病毒的防范計算機

28、病毒的防范1、備份：對所有的軟件（甚至操作系統）進行備份，、備份：對所有的軟件（甚至操作系統）進行備份，并制定應付突發情況的應急方案；并制定應付突發情況的應急方案；2、預防：提高用戶的警惕性，實行安全衛生制度，、預防：提高用戶的警惕性，實行安全衛生制度，例如使用正版軟件等；例如使用正版軟件等；3、檢測：使用殺病毒軟件來檢測，報告并殺死病毒；、檢測：使用殺病毒軟件來檢測，報告并殺死病毒；4、隔離：確認并隔離攜帶病毒的部件；、隔離：確認并隔離攜帶病毒的部件；5、恢復：殺毒或清除被病毒感染的文件。、恢復：殺毒或清除被病毒感染的文件。2022-1-16271 1、確保你的電腦沒有病毒木馬，安裝并且及時

29、、確保你的電腦沒有病毒木馬，安裝并且及時更新殺毒軟件；更新殺毒軟件；2. 2.下載網購保鏢；下載網購保鏢；3 3、支付賬戶的密碼要復雜一點；此外，盡量不、支付賬戶的密碼要復雜一點；此外，盡量不要在公共場合進行支付，如網吧等場所。要在公共場合進行支付，如網吧等場所。網絡支付安全保護常見的殺毒軟件常見的殺毒軟件2022-1-1628世界級：2022-1-1629常見的殺毒軟件常見的殺毒軟件國內：2022-1-1630防火墻技術防火墻技術防火墻：防火墻（防火墻：防火墻（firewall），也稱防護墻。它是一種），也稱防護墻。它是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息位于內部網絡與外部

30、網絡之間的網絡安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。數據通過。 防火墻主要包括：防火墻主要包括：1. 限制外部網對內部網的訪問，從而保護內部網特定資限制外部網對內部網的訪問，從而保護內部網特定資源免受非法侵犯；源免受非法侵犯；2. 限制內部網對外部網的訪問，主要針對不健康信息及限制內部網對外部網的訪問，主要針對不健康信息及敏感信息的訪問。敏感信息的訪問。2022-1-1631防火墻五大基本功能：防火墻五大基本功能：1. 過濾進出網絡的數據包過濾進出網絡的數據包2. 管理進出網絡的訪問行為管理進出網絡的訪問

31、行為3. 封堵某些禁止的訪問行為封堵某些禁止的訪問行為4. 記錄通過防火墻的信息內容和活動記錄通過防火墻的信息內容和活動5. 對網絡攻擊進行檢測和警告對網絡攻擊進行檢測和警告防火墻的安全策略：防火墻的安全策略：1. 凡未列為允許訪問都是被禁止的。凡未列為允許訪問都是被禁止的。2. 凡未列為禁止訪問都是被允許的。凡未列為禁止訪問都是被允許的。2022-1-1632按軟硬件形式分類按軟硬件形式分類 ：軟件防火墻軟件防火墻硬件防火墻硬件防火墻按技術分類：按技術分類：包過濾防火墻包過濾防火墻應用層防火墻應用層防火墻按結構形式分類按結構形式分類 ：單一主機防火墻單一主機防火墻 路由器集成式防火墻路由器集

32、成式防火墻 分布式防火墻分布式防火墻 防火墻在網絡中的位置 安裝防火墻墻以前的網絡網絡 安裝防火墻墻后的網絡網絡 硬件防火墻2022-1-1636軟件防火墻密碼學歷史phaistos(phaistos(費斯托斯圓盤) )圓盤，一種直徑約為圓盤，一種直徑約為160160mmmm的的cretan-mnoancretan-mnoan粘土圓盤，始于公元前粘土圓盤，始于公元前1717世紀。世紀。表面有明顯字間空格的字母，至今還沒有破解。表面有明顯字間空格的字母，至今還沒有破解。5.2 信息加密技術密碼學歷史（續）希臘密碼 二維字母編碼查表 公元前2世紀 例：zhejiang university55 2

33、3 15 24 24 11 33 22 54 33 24 51 15 42 43 24 44 54密碼學歷史（續）愷撒密碼：將字母循環前移k位明文：zhejiang university密文：emjonfsl zsnajwxnyd例如k=5時對應關系如下：2022-1-1640i love you l oryh brx后移3位前移3位i love youeg:密碼學歷史（續）二戰中美國陸軍和海軍使用的條形密碼設備m-138-t4。根據1914年parker hitt的提議而設計。25個可選取的紙條按照預先編排的順序編號和使用，主要用于低級的軍事通信。 密碼學概念 密碼編碼學（cryptogra

34、phy）：使消息保密的技術和科學 密碼分析學（cryptanalysis）：破譯密文的技術和科學密碼學（cryptology）密碼學=密碼編碼學+密碼分析學 密碼學的發展1949年之前(基于算法的保密) 密碼學是一門藝術 古典密碼19491975年(基于密鑰保密) 密碼學成為科學 shannon1976年以后 密碼學的新方向公鑰密碼學 加密和解密鑰分開diffie、hellman 三個階段：對稱密鑰的管理要求高數字簽名,證書公開單向函數質數因子分解5.2 信息加密技術 為保證數據和交易的安全、防止欺騙，確認交易雙方為保證數據和交易的安全、防止欺騙，確認交易雙方的真實身份，電子商務必須采用加密技

35、術，加密技術是指的真實身份，電子商務必須采用加密技術，加密技術是指通過使用代碼或密碼來保障數據的安全性。欲加密的數據通過使用代碼或密碼來保障數據的安全性。欲加密的數據稱為稱為明文明文，明文經過某種加密算法作用后，轉換成，明文經過某種加密算法作用后，轉換成密文密文，我們將明文轉換為密文的這一過程稱為我們將明文轉換為密文的這一過程稱為加密加密，將密文經解，將密文經解密算法作用后形成明文輸出的這一過程稱為密算法作用后形成明文輸出的這一過程稱為解密解密。加密算法加密算法中使用的參數稱為中使用的參數稱為密鑰密鑰，密鑰長度越長，密，密鑰長度越長，密鑰的空間就越大，遍歷密鑰空間所花的時間就越多，破譯鑰的空間

36、就越大，遍歷密鑰空間所花的時間就越多，破譯的可能性就越小。以密鑰類型劃分，可將密鑰系統分為的可能性就越小。以密鑰類型劃分，可將密鑰系統分為對對稱密鑰系統稱密鑰系統和和非對稱密鑰系統非對稱密鑰系統。 5.2 信息加密技術5.2.1 密碼學概述密碼學概述 一般的數據加密模型如圖一般的數據加密模型如圖5-1所示，它是采用數學方所示，它是采用數學方法對原始信息（明文）進行再組織，使得加密后在網絡上法對原始信息（明文）進行再組織，使得加密后在網絡上公開傳輸的內容對于非法者來說成為無意義的文字（密文公開傳輸的內容對于非法者來說成為無意義的文字（密文），而對于合法的接收者，由于掌握正確的密鑰，可以通），而對

37、于合法的接收者，由于掌握正確的密鑰，可以通過訪問解密過程得到原始數據。過訪問解密過程得到原始數據。 密碼學分為兩類：密碼編碼學和密碼分析學。密碼學分為兩類：密碼編碼學和密碼分析學。 5.2 信息加密技術5.2.1 密碼學概述密碼學概述圖5-1 數據加密模型5.2 信息加密技術對稱密鑰系統對稱密鑰系統 對稱密鑰系統，又稱單鑰密鑰系統或密鑰系統，是指對稱密鑰系統，又稱單鑰密鑰系統或密鑰系統，是指在對信息的加密和解密過程中使用相同的密鑰。也就是說在對信息的加密和解密過程中使用相同的密鑰。也就是說，私鑰密鑰就是將加密密鑰和解密密鑰作為一把密鑰。對，私鑰密鑰就是將加密密鑰和解密密鑰作為一把密鑰。對稱加密

38、、解密的過程如圖稱加密、解密的過程如圖5-2所示。所示。 圖 5-2 對稱加密、解密過程5.2 信息加密技術對稱密鑰系統對稱密鑰系統對稱密鑰系統的安全性依賴于兩個因素：第一，加密對稱密鑰系統的安全性依賴于兩個因素：第一，加密算法必須是足夠強的，僅僅基于密文本身去解密信息在實算法必須是足夠強的，僅僅基于密文本身去解密信息在實踐上是不可能的；第二，加密方法的安全性依賴于密鑰的踐上是不可能的；第二，加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性。密碼學的一個原則是秘密性，而不是算法的秘密性。密碼學的一個原則是“一一切秘密寓于密鑰之中切秘密寓于密鑰之中”，算法可以公開，因此，我們沒有，算法可以

39、公開，因此，我們沒有必要確保算法的秘密性，而需要保證密鑰的秘密性。對稱必要確保算法的秘密性，而需要保證密鑰的秘密性。對稱密鑰系統的這些特點使其有著廣泛的應用。密鑰系統的這些特點使其有著廣泛的應用。對稱密鑰加密的特點是加密和解密使用的是同一個密對稱密鑰加密的特點是加密和解密使用的是同一個密鑰，其典型的代表是美國國家安全局的鑰，其典型的代表是美國國家安全局的des。對稱加密的要求：對稱加密的要求：（1）需要強大的加密算法。）需要強大的加密算法。（2）發送方和接收方必須用安全的方式來獲得保密密鑰）發送方和接收方必須用安全的方式來獲得保密密鑰的副本，必須保證密鑰的安全。如果有人發現了密匙，并知的副本，

40、必須保證密鑰的安全。如果有人發現了密匙，并知道了算法，則使用此密匙的所有通信便都是可讀取的。道了算法，則使用此密匙的所有通信便都是可讀取的。2022-1-16515.2 信息加密技術對稱密鑰系統對稱密鑰系統des算法大致可以分成四個部分：初始置換、迭代過算法大致可以分成四個部分：初始置換、迭代過程、逆置換和子密鑰生成。程、逆置換和子密鑰生成。 圖5-4 des加密算法過程rsa非對稱密鑰加密技術非對稱密鑰加密技術 發送者加密和接受者解密使用不用密鑰的加密方法。發送者加密和接受者解密使用不用密鑰的加密方法。 非對稱加密算法需要兩個密鑰：公開密鑰（非對稱加密算法需要兩個密鑰：公開密鑰（public

41、key）和私有密鑰（）和私有密鑰（privatekey）。公開密鑰與私有密鑰是一對）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密。應的公開密鑰才能解密。 因為加密和解密使用的是兩個不同的密鑰，所以這種算因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫作非對稱加密算法。非對稱加密算法實現機密信息交換法叫作非對稱加密算法。非對稱加密算法實現機密信息交換的基本過程是：甲方生成一對密鑰并將其

42、中的一把作為公用的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發送給甲方；甲方再用自己保存的另一密信息進行加密后再發送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的信息進行解密。把專用密鑰對加密后的信息進行解密。非對稱加密算法主要有非對稱加密算法主要有rsa、dsa、diffie等等2022-1-16535.2 信息加密技術非對稱密鑰系統非對稱密鑰系統圖 5-5 非對稱加密、解密過程5.2 信息加密技術 兩種加密方法各有優缺點，對稱加密體制的編碼效率兩種加密方法各

43、有優缺點，對稱加密體制的編碼效率高，但在密鑰分發與管理上存在困難，而非對稱密碼體制高，但在密鑰分發與管理上存在困難，而非對稱密碼體制可以很好地解決這個問題。因此，可以組合使用這兩種加可以很好地解決這個問題。因此，可以組合使用這兩種加密方法，如圖密方法，如圖5-6所示。所示。 圖5-6 兩種加密組合使用對稱數據加密技術對稱數據加密技術非對稱數據加密技術非對稱數據加密技術密碼個數密碼個數1 1個個2 2個個算法速度算法速度較快較快較慢較慢算法對稱性算法對稱性對稱，解密密鑰可以從對稱，解密密鑰可以從加密密鑰中推算出來加密密鑰中推算出來不對稱，解密密鑰不能不對稱，解密密鑰不能從加密密鑰中推算出來從加密

44、密鑰中推算出來主要應用領域主要應用領域數據的加密和解密數據的加密和解密對數據進行數字簽名、對數據進行數字簽名、確認、鑒定、密鑰管理確認、鑒定、密鑰管理和數字封裝等和數字封裝等典型算法實例典型算法實例desdes等等rsarsa等等5.3 信息認證技術在電子商務中，由于參與的各方往往是素未謀面的，在電子商務中，由于參與的各方往往是素未謀面的，身份認證成了必須解決的問題，即在電子商務中，必須解身份認證成了必須解決的問題，即在電子商務中，必須解決不可抵賴性問題。交易抵賴包括多個方面，如發言者事決不可抵賴性問題。交易抵賴包括多個方面，如發言者事后否認曾經發送過某條信息或內容，收信者事后否認曾經后否認曾

45、經發送過某條信息或內容，收信者事后否認曾經收到過某條消息或內容，購買者做了訂貨單不承認，商家收到過某條消息或內容，購買者做了訂貨單不承認，商家賣出的商品因價格差而不承認原有的交易等。電子商務關賣出的商品因價格差而不承認原有的交易等。電子商務關系到貿易雙方的商業交易，如何確定要進行交易的貿易方系到貿易雙方的商業交易，如何確定要進行交易的貿易方正是所期望的貿易伙伴這一問題則是保證電子商務順利進正是所期望的貿易伙伴這一問題則是保證電子商務順利進行的關鍵。行的關鍵。 5.3 信息認證技術5.3.1 身份認證身份認證 身份認證是指計算機及網絡系統確認操作者身份的過身份認證是指計算機及網絡系統確認操作者身

46、份的過程。計算機和計算機網絡組成了一個虛擬的數字世界。在程。計算機和計算機網絡組成了一個虛擬的數字世界。在數字世界中，一切信息（包括用戶的身份信息）都是由一數字世界中，一切信息（包括用戶的身份信息）都是由一組特定的數據表示的，計算機只能識別用戶的數字身份，組特定的數據表示的，計算機只能識別用戶的數字身份，給用戶的授權也是針對用戶數字身份進行的。而我們的生給用戶的授權也是針對用戶數字身份進行的。而我們的生活從現實世界到一個真實的物理世界，每個人都擁有獨一活從現實世界到一個真實的物理世界，每個人都擁有獨一無二的物理身份。無二的物理身份。 5.3 信息認證技術5.3.1 身份認證身份認證1.密碼方式

47、密碼方式 密碼方式是最簡單也是最常用的身份認證方法，是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認為操作者是合法用戶。由于密碼是靜態的數據，在驗證過程中需要在計算機內存中和網絡中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此密碼方式是一種不安全的身份認證方式。5.3 信息認證技術5.3.1 身份認證身份認證2.生物學特征生物學特征 生物學特征認證是指采用每個人獨一無二的生物學特征來驗證用戶身份的技術。常見的有指紋識別、虹膜識別等。從理論上說，生物學

48、特征認證是最可靠的身份認證方式，因為它直接使用人的生理特征來表示每個人的數字身份，不同的人具有不同的生物學特征，因此幾乎不可能被仿冒。5.3 信息認證技術5.3.1 身份認證身份認證3. 動態口令動態口令 動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。5.3 信息認證技術5

49、.3.1 身份認證身份認證4.usb key認證認證 基于usb key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用usb key內置的密碼算法實現對用戶身份的認證。usb key的硬件和pin碼構成了可以使用證書的兩個必要因素。如果用戶pin碼被泄漏，只要usb key本身不被盜用即安全。黑客如果想要通過破解加密狗的方法破解usb key，那么需要先偷到用戶usb key的物理硬件，而這幾

50、乎是不可能的。5.3 信息認證技術5.3.2 數字摘要與數字簽名數字摘要與數字簽名1.數字摘要數字摘要數字摘要簡要地描述了一份較長的信息或文件，它可數字摘要簡要地描述了一份較長的信息或文件，它可以被看作一份長文件的以被看作一份長文件的“數字指紋數字指紋”。信息摘要用于創建。信息摘要用于創建數字簽名，對于特定的文件而言，信息摘要是唯一的。信數字簽名，對于特定的文件而言，信息摘要是唯一的。信息摘要可以被公開，它不會透露相應文件的任何內容。息摘要可以被公開，它不會透露相應文件的任何內容。數字摘要就是采用單向散列函數將需要加密的明文數字摘要就是采用單向散列函數將需要加密的明文“摘要摘要”成一串固定長度

51、（成一串固定長度（128位）的密文，這一串密文又位）的密文，這一串密文又稱為數字指紋，它有固定的長度，而且不同的明文摘要成稱為數字指紋，它有固定的長度，而且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致密文，其結果總是不同的，而同樣的明文其摘要必定一致。5.3 信息認證技術5.3.2 數字摘要與數字簽名數字摘要與數字簽名2.數字簽名數字簽名 在傳統的交易中，我們是用書面簽名來確定身份的在傳統的交易中，我們是用書面簽名來確定身份的。在書面文件上簽名的作用有兩點，一是確定為自己所簽。在書面文件上簽名的作用有兩點，一是確定為自己所簽署難以否認；二是因為簽名不易仿冒，從而判斷文件是

52、否署難以否認；二是因為簽名不易仿冒，從而判斷文件是否為非偽造簽署文件。隨著電子商務的應用，人們希望通過為非偽造簽署文件。隨著電子商務的應用，人們希望通過數字通信網絡迅速傳遞貿易合同，這就出現了合同真實性數字通信網絡迅速傳遞貿易合同，這就出現了合同真實性認證的問題，數字簽名就應運而生了。認證的問題，數字簽名就應運而生了。5.3 信息認證技術5.3.2 數字摘要與數字簽名數字摘要與數字簽名圖5-7 生成數字簽名流程5.3 信息認證技術5.3.2 數字摘要與數字簽名數字摘要與數字簽名圖5-8 數字簽名的過程示意5.3 信息認證技術5.3.3 數字信封與數字時間戳數字信封與數字時間戳1. 數字信封數字

53、信封 數字信封是用加密技術來保證只有特定的收信人才能數字信封是用加密技術來保證只有特定的收信人才能閱讀信的內容。在數字信封中，信息發送方采用對稱密鑰閱讀信的內容。在數字信封中，信息發送方采用對稱密鑰來加密信息，為了能安全地傳輸對稱密鑰，將對稱密鑰使來加密信息，為了能安全地傳輸對稱密鑰，將對稱密鑰使用接收方的公開密鑰來加密（這部分稱為用接收方的公開密鑰來加密（這部分稱為“數字信封數字信封”）之后，將它和對稱加密信息一起發送給接收方，接收方先之后，將它和對稱加密信息一起發送給接收方，接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密

54、鑰解開信息。采用數字信封技術后，即使加密文用對稱密鑰解開信息。采用數字信封技術后，即使加密文件被他人非法截獲，截獲者由于無法得到發送方的通信密件被他人非法截獲，截獲者由于無法得到發送方的通信密鑰，也不可能對文件進行解密。鑰，也不可能對文件進行解密。 5.3 信息認證技術5.3.3 數字信封與數字時間戳數字信封與數字時間戳圖5-9 數字信封的生成 5.3 信息認證技術5.3.3 數字信封與數字時間戳數字信封與數字時間戳5-10 數字信封的解除 5.3 信息認證技術5.3.3 數字信封與數字時間戳數字信封與數字時間戳2.數字時間戳數字時間戳 在電子交易中，需對交易文件的在電子交易中，需對交易文件的

55、日期和時間日期和時間采取安全采取安全措施，而數字時間戳就能提供電子文件發表時間的安全保措施，而數字時間戳就能提供電子文件發表時間的安全保護。數字時間戳服務（護。數字時間戳服務（dts）是網絡安全服務項目，由專）是網絡安全服務項目，由專門的機構提供。時間戳是一個經加密后形成的憑證文檔，門的機構提供。時間戳是一個經加密后形成的憑證文檔，它包括它包括3個部分：需加時間戳的文件的摘要、個部分：需加時間戳的文件的摘要、dts收到文收到文件的日期和時間、件的日期和時間、dts的數字簽名。的數字簽名。dts的過程為：用戶的過程為：用戶將需要加上時間的文件生成文件摘要，然后將摘要傳給將需要加上時間的文件生成文

56、件摘要，然后將摘要傳給dts服務機構；服務機構；dts將收到的摘要加上時間，再用自己的將收到的摘要加上時間，再用自己的私鑰進行加密；最后將加有時間和數字簽名的文件發回給私鑰進行加密；最后將加有時間和數字簽名的文件發回給客戶，完成數字時間戳的服務過程。客戶，完成數字時間戳的服務過程。 5.3 信息認證技術5.3.3 數字信封與數字時間戳數字信封與數字時間戳圖5-11 數字時間戳的使用5.3 信息認證技術5.3.4 數字證書數字證書1. 數字證書的含義數字證書的含義 數字證書就是網絡通信中標志各通信方身份信息的數字證書就是網絡通信中標志各通信方身份信息的一系列數據，其作用類似于現實生活中的身份證。

57、它是由一系列數據，其作用類似于現實生活中的身份證。它是由權威機構發行的，人們可以在交往中用它來識別對方的身權威機構發行的，人們可以在交往中用它來識別對方的身份。份。 數字證書的內容由數字證書的內容由6個部分組成：用戶的公鑰、用戶個部分組成：用戶的公鑰、用戶名、公鑰的有效期、名、公鑰的有效期、ca頒發者（頒發數字證書的頒發者（頒發數字證書的ca）、）、數字證書的序列號、頒發者的數字簽名。數字證書的序列號、頒發者的數字簽名。5.3 信息認證技術5.3.4 數字證書數字證書2.數字證書的應用數字證書的應用 數字證書由數字證書由ca頒發，并利用頒發，并利用ca的私鑰簽名。的私鑰簽名。ca中中心所發放的

58、數字安全證書可以應用于公眾網絡上的商務和心所發放的數字安全證書可以應用于公眾網絡上的商務和行政作業活動，包括行政作業活動，包括支付型和非支付型支付型和非支付型電子商務活動，其電子商務活動，其應用范圍涉及需要身份認證及數據安全的各個行業，包括應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易，以及公共事業傳統的商業、制造業、流通業的網上交易，以及公共事業、金融服務業、科研單位和醫療等網上作業系統。它主要、金融服務業、科研單位和醫療等網上作業系統。它主要應用于網上購物、企業與企業的電子貿易、網上證券交易應用于網上購物、企業與企業的電子貿易、網上證券交易和網上銀行

59、等方面。和網上銀行等方面。ca中心還可以與企業代碼中心合作中心還可以與企業代碼中心合作，將企業代碼證和企業數字安全證書一體化，為企業網上，將企業代碼證和企業數字安全證書一體化，為企業網上交易、網上報稅和網上作業奠定基礎。數字證書廣泛應用交易、網上報稅和網上作業奠定基礎。數字證書廣泛應用，對網絡經濟活動有非常重要的意義。，對網絡經濟活動有非常重要的意義。5.3.5 認證中心認證中心ca（certification authority）是認證機構的國際通）是認證機構的國際通稱，主要對數字證書進行管理，負責證書的申請、審批、稱，主要對數字證書進行管理，負責證書的申請、審批、發放、歸檔、撤銷、更新和廢

60、止等。發放、歸檔、撤銷、更新和廢止等。 ca的作用是檢查證書持有者身份的合法性，并簽發的作用是檢查證書持有者身份的合法性，并簽發證書（在證書上簽字），以防證書被偽造或篡改。證書（在證書上簽字），以防證書被偽造或篡改。ca是是權威的、公正的提供交易雙方身份認證的第三方機構，在權威的、公正的提供交易雙方身份認證的第三方機構，在電子商務體系中起著舉足輕重的作用。數字證書實際上是電子商務體系中起著舉足輕重的作用。數字證書實際上是存放在計算機上的一個記錄，是由存放在計算機上的一個記錄，是由ca簽發的一個聲明，簽發的一個聲明，證明證書主體（證明證書主體（“證書申請者證書申請者”被發放證書后即成為被發放證書