電子商務的安全技術

7.1

電子商務的安全概述

7.1.1電子商務的安全

1.電子商務安全從整體上可分為兩大部分:（1）計算機網絡安全。包括網絡設備安全、網絡系統安全、數據庫安全等，其特征是針對網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證網絡自身的安全性為目標。（2）商務交易安全。在網絡安全的基礎上，圍繞傳統商務在互聯網上應用時產生的各種安全問題，考慮如何保障電子商務過程順利進行，即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。2.計算機網絡安全(1)計算機網絡潛在的安全問題

①操作系統的安全。

②CGI程序代碼的審計。關鍵是那些為某些網站專用開發的CGI代碼。

③

拒絕服務（DoS，DenialofService）。

④

安全產品使用不當。

⑤

缺少嚴格的網絡安全管理制度(2)計算機網絡安全體系一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。3.電子商務交易安全交易安全是電子商務涉及到的最核心、最關鍵的安全問題。(1)電子商務的安全隱患

①

竊取信息

②篡改信息

③假冒

④惡意破壞(2)電子商務安全交易的要求

①信息保密性

②交易者身份的確定性

③不可否認性

④不可修改性(3)電子商務交易中的標準

①安全超文本傳輸協議（S-HTTP）

②安全套接層協議(SSL)。一個由Netscape提出的安全交易協議，提供加密、認證服務和報文的完整性，用于NetscapeCommunicator和MicrosoftIE。

③安全交易技術協議(STT:SecureTransactionTechnology)。由Microsoft提出，用于MicrosoftIE。

④安全電子交易協議（SET:SecureElectronicTransaction）。其主要目標是保障付款安全，確定應用的互通性，并使全球市場接受。3.主要的安全技術(1)虛擬專用網（VPN）。(2)數字認證。這種技術可用電子方式證明信息發送者和接收者的身份、文件的完整性、數據媒體的有效性。這需要有一個可信的第三方，以便對有關數據進行數字認證。(3)加密技術。根據所用加密和解密算法的異同，可分為對稱加密和非對稱加密。(4)電子商務認證中心（CA）。4.電子商務安全總結電子商務安全主要有以下幾個方面的內容：(1)有效性。(4)可靠性/不可抵賴性/鑒別。(2)機密性。(5)審查能力。(3)完整性。(6)信道轉換。7.1.2電子商務的安全策略安全策略是指在某個安全區域內，用于所有與安全活動相關的一套規則。1．安全策略的等級

(1)安全策略目標

(2)機構安全策略

(3)系統安全策略２．安全策略應重視的幾個方面

(1)機密性

(2)數據完整性

(3)授權與驗證

(4)訪問控制策略。包括基于身份的策略、基于任務的策略、多等級策略三種

(5)責任３．ＯＳＩ安全結構的安全機制ＯＳＩ安全結構共有八種安全機制：加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證交換機制、業務流量填充機制、路由控制機制、確認機制。相應的五種通用安全機制：可信任功能、安全標簽、事件檢測、安全審計跟蹤、安全恢復。

7.２網絡安全技術

7.２.１網絡安全協議考慮到網絡安全性能，主要的安全協議集中在應用層、傳輸層和網絡層。

１.應用層協議

(1)Telnet的安全性。用ＳＳＨ軟件包的slogin應用、ＴexasA&M大學開發的安全ＲＦＣ認證（ＲＳＡ）軟件包等安全的Telnet軟件包來代替rlogin和telnet命令可以防止來自內部的口令竊取攻擊。

(2)E-mail的安全性。認證、保密、數據完整和不可否認。

(3)Web的安全性。即Web客戶機的一系列安全服務。

2.傳輸層協議

(1)傳輸控制協議（ＴＣＰ）。實現在無連接的、不可靠的網絡業務上運行面向連接的、可靠的業務。

(2)用戶數據報協議（ＵＤＰ）。為一個無連接傳輸協議。

(3)安全外殼（ＳＳＨ）。用于安全登錄到遠程機器上，在其上執行命令后轉移文件。

(4)安全套接層（ＳＳＬ）和傳輸層協議（ＴＬＳＷＧ）。

3.網絡層協議ＩＰ協議（InternetProtocol），是面向無連接的、不可靠的數據傳輸。ＩＰＶ６安全協議，有認證和保密功能。

7.２.２防火墻技術防火墻（Firewall）是內部網絡與外部公共網絡之間的分界安全屏障，狹義指安裝了Firewall軟件的主機或路由器系統，廣義還包括整個網絡的安全策略和安全行為。１．防火墻主要安全技術

(1)包過濾技術(PacketFiltering)。是在網絡層依據系統的過濾規則，對數據包進行選擇和過濾，這種規則又稱為訪問控制表ＡＣＬs，通常安裝在路由器上。

(2)網絡地址翻譯NAT(NetworkAddressTranslation)。用于隱藏內部主機。

(3)應用級代理。代理服務器充當雙重身份，將內部系統與外界完全隔離開來，它偵聽網絡內部客房的服務請求，檢查并驗證其合法性，只有合法的才能通過。２．防火墻分類

(1)包過濾型。依據網絡中的分包傳輸技術。優點是簡單實用，實現成本較低；缺點是它無法識別基于應用層的惡意侵入。

(2)代理型（代理服務器）。優點是安全性較高，可以對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效；缺點是對系統的整體性能有較大的影響，大大增加了系統管理的復雜性。

３．防火墻的功能主要功能：數據包過濾、應用代理服務和狀態檢測。新增功能：綜合技術結構和管理界面簡單支持加密的ＶＰＮ內部信息完全隱藏增加強制訪問控制支持多種認證方式網絡安全監控系統和內容過濾7.２.３虛擬專用網技術

1.虛擬專用網概述虛擬專用網（VirtualPrivateNetwork,VPN）是一種在公共網絡上運行的專用網絡，通過隧道（Tunneling）技術，在Internet上為企業開通一條專用通道，以代替原來昂貴的專線租賃或者中繼方式，把其分布在世界各地的分支機構和合作伙伴們連接起來，感覺就像在一個自己的專用網里。優點：保密性好、使用方便、建設成本低。結構和管理界面簡單支持加密的ＶＰＮ內部信息完全隱藏增加強制訪問控制支持多種認證方式網絡安全監控系統和內容過濾2.ＶＰＮ的特點優點：ＶＰＮ比廣域網更便宜、更容易建立缺點：ＶＰＮ比廣域網要慢，不如廣域網可靠，不如單獨的局域網或廣域網安全。

3.ＶＰＮ的類型

基于服務器的ＶＰＮ基于防火墻的ＶＰＮ基于路由器的ＶＰＮ

7.２.４入侵檢測技術

入侵檢測技術是一種主動實時保護免受攻擊的網絡安全技術，是繼防火墻后的第二道安全防線。

1．入侵檢測技術

①基于應用的監控技術。

②基于主機的監控技術。

③基于目標的監控技術。

④基于網絡的監控技術。

⑤綜合以上四種方法進行監控。

2．漏洞檢測技術

①基于應用的檢測技術。

②基于主機的檢測技術。

③基于目標的檢測技術。

④基于網絡的檢測技術。

⑤綜合的技術。

3．入侵檢測實現模型

設計為兩部分：安全服務器（Securityserver）和偵測代理（Agent）。

7.３對稱密鑰密碼技術對稱密碼（又稱為私鑰密碼）體制使用相同的密鑰加密和解密信息，即通信雙方建立并共享一個密鑰。

1.工作原理用戶A要發送機密信息給B，則A和B必須共享一個預先由人工分配或由密鑰分發中心（KDC）分發的密鑰K，于是A用密鑰K和加密算法E對明文P加密到密文C=Ek(p)，并將密文C發送給B；B用同樣的密鑰K和解密算法D對密文解密，得到明文P=Dk(Ek(p))

2.分類

按加密模式可以分為流密碼（或稱序列密碼）和分組密碼（或稱塊密碼）兩大類。（1）流密碼：通過有限狀態機產生性能優良的偽隨機序列，使用該序列加密信息流得到密文序列。錯誤擴展小、速度快、同步容易和安全程度高。（2）分組密碼：將明文分成固定的組（塊），用同一密鑰算法對每一塊加密，輸出固定長度的密文。

7.４公鑰密碼技術

以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可以實現多個用戶的消息只能由一個用戶解讀；以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰，則可實現由一個用戶加密的消息而使多個用戶解讀。前者可用于保密通訊，后者可用于數字簽字。

1.概念公開密鑰體制也稱為非對稱密鑰，要求密鑰成對出現，一個為加密密鑰（e），即公共密鑰，另一個為解密密鑰（d），即專用密鑰，且兩者不可能從其中一個推出另一個，其中公共密鑰可以發布出去，專用密鑰則每個用戶不同。

2.工作原理用戶A和B各自擁有一對密鑰（KA、KA-1）和（KB、KB-1）。私鑰KA-1KB-1分別由A、B各自秘密保管，而KAKB則以證書的形式對外公布。當A要將明文消息P安全的發送給B，則A用B的公鑰KB加密P得到密文C=Ekb(p)；而B受到密文C后，用私鑰KB-1解密恢復明文P=Dkb-1(c)=Dkb-1(Ekb(p))。公共密鑰加密算法主要有：（1）RSA（Receive、Shamir、Adelman）（2）Fertezza（3）EIGama3.RSA公共密鑰密碼算法公開密鑰：n=pq(p、q分別為兩個互異的大素數，p,q必須保密)，e與（p-1）（q-1）互素。專用密鑰：d=e-1(mod(p-1)(q-1))加密：c=me(modn)，其中m為明文，c為密文解密：m=cd(modn)

一般要求p,q為安全素數，n的長度大于512bit，這主要是因為RSA算法的安全性依賴于因子分解大數問題。2.數字簽字

數字簽字是使用某人的私鑰加密特定的消息摘要散列值而得到的結果，通過這種方法把人同特定消息聯系起來。消息簽字與消息加密有所不同，消息加密和解密可能是一次性的，它要求在解密之前是安全的；而一個簽字的信息可能作為一個法律上的文件，很可能在對信息簽署多年之后才驗證其簽字，且可能需要多次驗證此簽字。7.５數字證書與數字認證

1.數字證書

數字證書即數字ＩＤ，是一種電子形式的由ＣＡ簽發用于識別的個人證書。一個標準格式為X.509公鑰證書。其他的數字證書的可選格式還有：(1)

簡單公開密鑰基礎設施（ＳＰＫＩ）(2)ＰＧＰ（PrettyGoodPrivacy）是一種對電子郵件和文件進行加密與數字簽名的方法。(3)安全電子交易（ＳＥＴ）標準定義了在分布網絡上進行信用卡支付交易所需的標準。(4)

屬性證書是用來傳遞一個給定主體的屬性以便于靈活、可擴展的特權管理。

2.數字認證數字認證也稱為證書驗證，是檢查一份給定的證書是否可用的過程。

數字認證確定的內容有：（1）一個可信的CA已經在證書上簽名。（2）證書具有良好的完整性。（3）證書處在有效期內。（4）證書沒有撤銷。（5）證書的使用方式與任何聲明的策略和/或使用限制相一致。7.6防火墻技術

7.6.1防火墻主要技術7.6.2防火墻分類7.6.3防火墻的選擇標準和發展方向防火墻主要技術防火墻是一道介于開放的、不安全的公共網與信息、資源匯集的內部網之間的屏障，由一個或一組系統組成。狹義的防火墻指安裝了防火墻軟件的主機或路由器系統，廣義的防火墻還包括整個網絡的安全策略和安全行為。防火墻技術包括：包過濾技術網絡地址翻譯應用級代理防火墻主要技術

包過濾技術包過濾技術（PacketFiltering）是在網絡層依據系統的過濾規則，對數據包進行選擇和過濾，這種規則又稱為訪問控制表。這種防火墻通常安裝在路由器上，如圖8.3所示。圖8.3包過濾技術

這種技術通過檢查數據流中的每個數據包的源地址、目標地址、源端口、目的端口及協議狀態或它們的組合來確定是否允許該數據包通過。防火墻主要技術包過濾技術包括兩種基本類型：無狀態檢查的包過濾和有狀態檢查的包過濾，其區別在于后者通過記住防火墻的所有通信狀態，并根據狀態信息來過濾整個通信流，而不僅僅是包。有許多方法可繞過包過濾器進入Internet，包過濾技術存在以下缺陷：

TCP只能在第0個分段中被過濾。

特洛伊木馬可以使用NAT來使包過濾器失效。許多包過濾器允許1024以上的端口通過。“純”包過濾器的防火墻不能完全保證內部網的安全，而必須與代理服務器和網絡地址翻譯結合起來才能解決問題。防火墻主要技術2.網絡地址翻譯網絡地址翻譯（NAT，NetworkAddressTranslation）最初的設計目的是增加在專用網絡中可使用的IP地址數，但現在則用于屏蔽內部主機。NAT通過將專用網絡中的專用IP地址轉換成在Internet上使用的全球唯一的公共IP地址，實現對黑客有效地隱藏所有TCP/IP級的有關內部主機信息的功能，使外部主機無法探測到它們。

NAT實質上是一個基本代理：一個主機充當代理，代表內部所有主機發出請求，從而將內部主機的身份從公用網上隱藏起來了。

防火墻主要技術按普及程度和可用性順序，NAT防火墻最基本的翻譯模式包括：靜態翻譯。在這種模式中，一個指定的內部網絡源有一個從改變的固定翻譯表。動態翻譯。在這種模式中，為了隱藏內部主機的身份或擴展內部網的地址空間，一個大的Internet客戶群共享單一一個或一組小的InternetIP地址。負載平衡翻譯。在這種模式中，一個IP地址和端口被翻譯為同等配置的多個服務器的一個集中處，這樣一個公共地址可以為許多服務器服務。網絡冗余翻譯。在這種模式中，多個Internet連接被附加在一個NAT防火墻上，從而防火墻根據負載和可用性對這些連接進行選擇和使用。防火墻主要技術3.應用級代理代理現在主要用于防火墻。代理服務器通過偵聽網絡內部客戶的服務請求，檢查并驗證其合法性，若合法，它將作為一臺客戶機一樣向真正的服務器發出請求并取回所需信息，最后再轉發給客戶。代理的工作流程如圖8.4所示。圖8.4一個服務代理

防火墻主要技術應用代理技術的優缺點：代理隱藏了私有客戶，不讓它們暴露給外界。但客戶必須使用代理才能工作，且不能被設置為網絡透明工作。代理能阻斷危險的URL，但阻斷URL也容易被消除。代理能在危險的內容傳送給客戶之前過濾掉它們，但代理無法保護操作系統。代理能檢查返回內容的一致性。但大多數一致性檢查都是在發現有被利用的弱點后才有效。代理能消除在網絡之間的傳輸層路由。但阻斷路由功能通常使用得不充分代理提供了單點的訪問、控制和日志記錄功能。代理服務器有消除冗余訪問，平衡內部多個服務器負載的性能優化功能，但易形成服務瓶頸。

防火墻分類

按技術分類

根據防火墻采用的技術，防火墻分為包過濾型、代理型和監測型。包過濾型

防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用，實現成本。其缺點只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意入侵。防火墻分類代理型代理型防火墻也稱為代理服務器。從結構上看，代理服務器由代理的服務器部分和代理的客戶機部分組成。從客戶機來看，代理服務器相當于一臺真正的服務器，而從服務器來看，代理服務器又是一臺真正的客戶機。壁壘主機即一臺軟件上配置代理服務程序的計算機，也可以作為代理服務器。代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的入侵和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。防火墻分類監測型監測型防火墻是新一代的產品，它實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測。并在對這些數據分析的基礎上，它能夠有效地判斷出各層中的非法入侵。監測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，還對來自內部的惡意破壞也有極強的防范作用。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。防火墻分類2.按結構分類目前，防火墻按結構可分為簡單型和復合型。簡單型包括只使用屏蔽路由器或者作為代理服務器的雙目主機結構；復合結構一般包括屏蔽主機和屏蔽子網。

雙目主機結構

雙目主機結構防火墻系統主要由一臺雙目主機構成，具有兩個網絡接口，分別連接到內部網和外部網，充當轉發器，如圖8.5所示。這樣，主機可以充當與這些接口相連的路由器，能夠把IP數據包從一個網絡接口轉發到另一個網絡接口。但是，實現雙目主機的防火墻結構禁止這種轉發功能。防火墻分類圖8.5雙目主機結構防火墻

防火墻內部的系統能與雙目主機通信，同時防火墻外部的系統如因特網也能與雙目主機通信，但二者之間不能直接通信。

防火墻分類屏蔽主機結構

屏蔽主機結構使用一個單獨的路由來提供與內部網相連主機即壁壘主機的服務。在這種安全體系結構中，主要的安全措施是數據包過濾，如圖8.6所示。在屏蔽路由器中，數據包過濾配置按以下方式執行：允許其他的內部主機為了某些服務與因特網上的主機連接，即允許那些經過數據包過濾的服務。不允許來自內部主機的所有連接，即強迫內部主機通過壁壘主機使用代理服務。由于這種結構允許數據包通過因特網訪問內部數據，因此，它的設計比雙目主機結構要更冒風險。防火墻分類

圖8.6屏蔽主機結構防火墻

防火墻分類屏蔽子網結構

屏蔽子網結構防火墻是通過添加隔離內外網的邊界網絡為屏蔽主機結構增添另一個安全層，這個邊界網絡有時候稱為非軍事區。壁壘主機是最脆弱的、最易受攻擊的部位，通過隔離壁壘主機的邊界網絡，便可減輕壁壘主機被攻破所造成的后果。因為壁壘主機不再是整個網絡的關鍵點，所以它們給入侵者提供一些訪問，而不是全部。最簡單的屏蔽子網有兩個屏蔽路由器，一個接外部網與邊界網絡，另一個連接邊界網絡與內部網，如圖8.7所示。這樣為了攻進內部網，入侵者必須通過兩個屏蔽路由器。防火墻分類

圖8.5屏蔽子網防火墻防火墻的選擇標準和發展方向1.選擇防火墻標準總擁有成本。防火墻產品的總擁有成本不應該超過受保護網絡系統可能遭受最大損失的成本。防火墻本身的安全。防火墻本身應該是安全的，不給外部入侵者可乘之機。管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。人員培訓和日常維護費用通常會在總擁有成本中占據較大的比例。可擴充性。好產品應該留給用戶足夠的彈性空間。防火墻的安全性能。即防火墻是否能夠有效地阻擋外部入侵。防火墻的選擇標準和發展方向２.防火墻的發展方向為了有效抵御網絡攻擊，適應Internet的發展勢頭，防火墻表現出如下發展趨勢：智能化的發展。防火墻將從目前的靜態防御策略向具備人工智能的智能化方向發展。

速度的發展。隨著網絡速率的不斷提高，防火墻必須提高運算速度及包轉發速度，否則成為網絡的瓶頸。體系結構的發展。要求防火墻能夠協同工作，共同組成一個強大的、具備并行處理能力和負載均衡能力的邏輯防火墻。功能的發展。未來網絡防火墻將在現有的基礎上繼續完善其功能并不斷增加新的功能。專業化的發展。單向防火墻、電子郵件防火墻、FTP防火墻等針對特定服務的專業化防火墻將作為一種產品門類出現。２.ＰＫＩ體系結構及功能（1）體系結構

①政策批準機構ＰＡＡ

②政策機構ＰＣＡ

③認證中心ＣＡ

④在線證書申請ＯＲＡPAAPCACAICAICAnPCAnEEIORAEEICAnORA（2）操作功能產生、驗證和分發密鑰。簽名和驗證。證書的獲取。驗證證書。保存證書。本地保存證書的獲取。證書廢止的申請。密鑰的恢復。ＣＲＬ（作廢證書表）的獲取。密鑰更新。審計。

存檔。３.ＰＫＩ的性能要求①透明性和易用性②可擴展性。③互操作性。④支持多應用。⑤

支持多平臺。４.ＰＫＩ的核心服務

①認證：實體鑒別、數據來源鑒別。②完整性③

機密性５.ＰＫＩ系統的常用信任模型①認證機構的嚴格層次結構模型②分布式信任結構模型③Ｗeb模型④以用戶為中心的信任模型7.7檢測技術

7.7.1檢測技術概述7.7.2入侵檢測技術7.7.3漏洞掃描技術7.7.4入侵檢測和漏洞掃描系統模型7.7.5檢測產品的布署7.7.6入侵檢測系統的新發展

檢測技術概述入侵檢測從計算機安全的目標來看，入侵指企圖破壞資源的完整性、保密性、可用性的任何行為，也指違背系統安全策略的任何事件。從入侵策略的角度看，入侵可分為企圖進入、冒充合法用戶、成功闖入等方面。入侵者一般稱為黑客或解密高手。Anderson把入侵者分為偽裝者、違法者和秘密用戶3類。入侵檢測指對計算機和網絡資源的惡意使用行為進行識別和響應的處理過程。它不僅檢測來自外部的入侵行為，同時也能檢測出內部用戶的未授權活動，是一種增強系統安全的有效方法。入侵檢測從計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出響應。入侵檢測的一般過程包括信息收集、信息預處理、數據檢測分析和響應等，如圖8.18所示。

檢測技術概述圖8.18入侵檢測的一般過程入侵檢測可分為實時入侵檢測和事后入侵檢測。實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。事后入侵檢測由網絡管理人員定期或不定期進行，根據計算機系統對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據和進行數據恢復。但是其入侵檢測的能力不如實時入侵檢測系統。檢測技術概述2.漏洞檢測漏洞是由軟件編寫不當或軟件配置不當造成的。漏洞掃描是網絡安全防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的、已知的安全漏洞進行逐項檢查，根據檢測結果向系統管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平提供了重要依據。漏洞掃描也稱為事前的檢測系統、安全性評估或者脆弱性分析。其作用是在發生網絡攻擊事件前，通過對整個網絡掃描及時發現網絡中存在的漏洞隱患，及時給出漏洞相應的修補方案，網絡人員根據方案可以進行漏洞的修補。漏洞檢測技術通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測，對系統中不合適的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查；而主動式策略是基于網絡的檢測，通過執行一些腳本文件對系統進行攻擊，并記錄它的反應，從而發現其中的漏洞。入侵檢測技術

常用的入侵檢測技術入侵檢測技術可分為五種：基于應用的監控技術。主要使用監控傳感器在應用層收集信息。基于主機的監控技術。主要使用主機傳感器監控本系統的信息。基于目標的監控技術。主要針對專有系統屬性、文件屬性、敏感數據等進行監控。基于網絡的監控技術。主要利用網絡監控傳感器監控包監聽器收集的信息。綜合以上4種方法進行監控。其特點是提高了偵測性能，但會產生非常復雜的網絡安全方案。入侵檢測技術2.

入侵檢測技術的選用在使用入侵檢測技術時，應該注意具有以下技術特點：信息收集分析時間分析類型偵測系統對攻擊和誤用的反應偵測系統的管理和安裝偵測系統的完整性設置誘騙服務器信息收集分析時間可分為固定時間間隔和實時收集分析兩種。分析類型可分為簽名分析、統計分析和完整性分析。完整性就是系統自身的安全性。置誘騙服務器的目的就是吸引黑客的注意力，把攻擊導向它，從敏感的傳感器中發現攻擊者的攻擊位置、攻擊路徑和攻擊實質，隨后把這些信息送到一個安全的地方，供以后查用。漏洞掃描技術

漏洞掃描分類漏洞掃描技術可分為5種：基于應用的掃描技術。采用被動的、非破壞性的辦法檢查應用軟件包的設置，從而發現安全漏洞。基于主機的掃描技術。采用被動的、非破壞性的辦法對系統進行掃描。它涉及到系統的內核、文件的屬性等問題。

基于目標的掃描技術。采用被動的、非破壞性的辦法檢查系統屬性和文件屬性，如數據庫、注冊號等。基于網絡的掃描技術。它利用一系列的腳本對系統進行攻擊，檢驗系統是否可能被攻擊崩潰，然后對結果進行分析的綜合技術。綜合利用上述4種方法的技術。集中了以上4種技術的優點，極大地增強了漏洞識別的精度。

漏洞掃描技術2.漏洞掃描技術的選用在使用漏洞掃描技術時，應該注意以下技術特點：

檢測分析的位置報表與安裝檢測后的解決方案檢測系統本身的完整性在不同威脅程度的環境下，可以有不同的檢測標準。在漏洞掃描中，第一步是收集數據，第二步是數據分析。漏洞掃描系統生成的報表是理解系統安全狀況的關鍵。一旦掃描完畢，如果發現了漏洞，則系統可以有多種反應機制，如預警機制等。檢測系統本身就是一種攻擊，如果被黑客利用，那么就會產生難以預料的后果。入侵檢測和漏洞掃描系統模型入侵檢測和漏洞掃描系統是安全技術的核心。入侵檢測和漏洞掃描系統的實現是和具體的網絡拓撲密切相關的，不同的網絡拓撲對入侵檢測和漏洞掃描系統的結構和功能有不同的要求。通常情況下該系統在網絡系統中可設計為兩個部分：安全服務器和主機代理，如圖8.19圖所示。圖8.19入侵檢測和漏洞掃描系統示意圖入侵檢測和漏洞檢測系統模型主機代理中有主機入侵檢測代理和主機漏洞掃描代理兩種類型。主機入侵檢測代理動態地實現探測入侵信號，并做出相應的反應；主機漏洞掃描代理檢測系統的配置、日志等，把檢測到的信息傳給安全服務器和用戶。入侵檢測代理在結構上由傳感器、分析器、通信管理器等部件組成。漏洞掃描代理在結構上由檢測器、檢測單元、通信管理器等部件組成。每一個主機代理感受敏感的安全信息，對這些信息進行處理，做出反應，然后把一些信息交給網段代理和安全服務器處理。安全服務器中包含網絡安全數據庫、通信管理器、聯機信息處理器等部件。其主要功能是和每一個代理進行相互通信，實時處理所有從各代理發來的信息，做出響應的反映，同時對網絡的各安全參數進行審計和記錄日志，并可以對防火墻實施控制。檢測產品的布署這里對檢測產品中的IDS探測器和漏洞掃描儀進行簡單介紹。從圖8.20中看出，IDS探測器可以部署在網絡中各個關鍵節點。比如IDS探測器1部署在防火墻的前面，這樣可以偵探各種入侵的企圖，但是這將產生許多不必要的報警。IDS探測器２部署在防火墻的DMZ（DemilitarizedZone）區，DMZ區是內部網絡對外部提供各種服務的區域，比如Web服務、郵件服務、FTP服務等。由于DMZ區往往是遭受攻擊最多的區域，在此部署一臺探測器是非常必要。IDS探測器3部署在防火墻與路由器之間，也是部署探測器的最關鍵的位置，實時監測進入到內部網的數據包。IDS探測器4、5部署在內部各個網段，監測來自內部的違反安全規則的行為。檢測產品的布署圖8.20

IDS探測儀在網絡中的部署示意圖檢測產品的布署目前，漏洞掃描儀在市場上最常見有兩種類型，即基于主機型與基于網絡型。基于主機的漏洞掃描主要是軟件形式。基于網絡型漏洞掃描有軟件形式、機架式、掌上電腦形式。圖8.21是一個適合內外網安全體系結構的漏洞掃描儀的布署示意圖。在該圖中掃描儀1對入侵檢測系統代理、服務器集群、代理服務器等進行掃描，掃描儀2對各種電腦主機進行掃描，及時發現并解決網絡中存在的隱患，就能夠使網絡受到攻擊的風險降到最低，起到一個事先的預防功效，以最小的投入換取最大的安全保障。檢測產品的布署圖8.21漏洞掃描儀在內部網中布署示意圖入侵檢測系統的新發展隨著日益復雜的網絡攻擊的出現，原有的安全構架面臨新的危機，許多入侵可以穿過只有記錄和檢測功能的傳統的網絡入侵檢測系統。在這一背景下，新的網絡安全產品入侵防御系統就出現了。1.IDS存在如下問題較高的漏報率和誤報率。對IDS系統的管理和維護比較難。當IDS系統遭受拒絕服務攻擊時，它的失效開放機制使得黑客可以實施攻擊而不被發現。IDS系統是以被動的方式工作，只能檢測攻擊，不能阻止攻擊。入侵檢測系統的新發展2.IPS的定義與功能IPS又稱為入侵檢測和防御系統（IDP），它不但能檢測入侵的發生，并且能指揮防火墻和其他響應方式，實時終止入侵行為的發生和發展，是實時保護系統不受實質性攻擊的智能化的安全產品。從功能上來看，IPS則是一種主動的、積極的入侵防范、阻止系統，是一種在線的解決方案。它部署在網絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。它可以阻擊由防火墻漏掉的或IDS檢測到而不能處理的網絡攻擊，從而減少因網絡攻擊而受到的損失，增強網絡的性能和可用性。但是，IPS在處理一些比較新的協議和比較少用的協議上面，表現得不盡如人意。另外，一些需要解碼的數據報，IPS不能夠準確判斷。在這方面IPS還是需要繼續改進的。入侵檢測系統的新發展3.IPS、IDS和防火墻的比較

與IDS相比，IPS不但能檢測入侵的發生，而且有能力終止入侵活動的進行；而IDS是一種并聯在網絡上的設備，它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發送TCPreset包或聯動防火墻來阻止攻擊。

與防火墻相比，IPS能夠從不斷更新的模式庫中發現各種各樣新的入侵方法，并作出智能的保護性操作；而防火墻只能死板的執行預先設定的簡單規則，不能發現規則之外的入侵行為。但是IPS不能完全代替防火墻，因為防火墻除了是粒度比較粗的訪問控制產品，它還可以提供網絡地址轉換、服務代理、流量統計等功能，甚至有的防火墻還能提供VPN功能。另外，IPS的功能比較單一，它只能串聯在網絡上，類似于通常所說的網橋式防火墻，對防火墻所不能過濾的攻擊進行過濾。因此，把IPS與防火墻結合起來，可以最大程度的保護系統的安全。7.10ＳＥＴ協議ＳＥＴ是由Visa和MasterCard所開發的，是為了在Internet上進行在線交易時保證用卡支付的安全而設立的一個開放的規范。協議內容：（1）加密算法的應用（ＲＳＡ和ＤＥＳ）（2）證書消息和對象格式（3）購買消息和對象格式（4）請款消息和對象格式7.8反病毒技術

7.8.1病毒概述7.8.2宏病毒

7.8.3CIH病毒7.8.4常用反病毒技術病毒概述

病毒定義計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。一般地，我們所講的病毒包括特洛伊木馬、病毒、細菌和蠕蟲等等。特洛伊木馬和病毒，它們不能脫離某些特定的的應用程序、應用工具或系統而獨立存在；而細菌和蠕蟲是完整的程序，操作系統可以調度和運行它們。而且除特洛伊木馬外，其他三種形式的病毒都有能夠復制。病毒概述

2.

病毒傳染方式病毒的傳染途徑有電磁波、有線電路、軍用或民用設備或直接放毒等。具體傳播介質有計算機網絡、軟硬磁盤和光盤等。根據傳輸過程中病毒是否被激活，病毒傳染分為靜態傳染和動態傳染。靜態傳染是指由于用戶使用了COPY、DISKCOPY等拷貝命令或類似操作，一個病毒連同其載體文件一起從一處被復制到另一處。而被復制后的病毒不會引起其他文件感染。

動態傳染是指一個靜態病毒被加載進入內存變為動態病毒后，當其傳染模塊被激活所發生的傳染操作，這是一種主動傳染方式。與動態傳染相伴隨的常常是病毒的發作。病毒概述3.病毒的分類按病毒感染的途徑，病毒分為三類：

引導型病毒。它是是藏匿在磁盤片或硬盤的第一個扇區。每次啟動計算機時，在操作系統還沒被加載之前就被加載到內存中，這個特性使得病毒完全控制DOS的各類中斷，并且擁有更大的能力進行傳染與破壞。文件型病毒。文件型病毒通常寄生在可執行文件中當這些文件被執行時，病毒的程序就跟著被執行。根據病毒依傳染方式的不同，它分成非常駐型和常駐型。復合型病毒。這類病毒兼具引導型病毒以及文件型病毒的特性。它們可以傳染*.COM和*.EXE文件，也可以傳染磁盤的引導區。病毒概述4.

病毒結構

計算機病毒是一種特殊的程序，它寄生在正常的、合法的程序中，并以各種方式潛伏下來，伺機進行感染和破壞。在這種情況下，稱原先的那個正常的、合法的程序為病毒的宿主或宿主程序。病毒程序一般由以下部份組成：初始化部分。它指隨著病毒宿主程序的執行而進入內存并使病毒相對獨立于宿主程序的部分。傳染部分。它指能使病毒代碼連接于宿主程序之上的部分，由傳染的判斷條件和完成病毒與宿主程序連接的病毒傳染主體部分組成。破壞部分或表現部分。主要指破壞被傳染系統或者在被傳染系統設備上表現特定的現象。它是病毒程序的主體，在一定程度上反映了病毒設計者的意圖。病毒概述5.病毒感染原理引導型病毒感染原理

引導型病毒通過執行啟動計算機的動作作為感染的途徑。一般正常軟盤啟動動作為：開機、執行BIOS、讀入BOOT程序執行和加載DOS。假定某張啟動軟盤已經了感染病毒，那么該軟盤上的BOOT扇區將存放著病毒程序，而不是BOOT程序。所以，“讀入BOOT程序并執行”將變成“讀入病毒程序并執行”，等到病毒入侵內存后，等到病毒入侵內存后，再由病毒程序讀入原始BOOT程序，既然病毒DOS先一步進入內存中，自然在DOS下的所有讀寫動作將受到病毒控制。所以，當使用者只要對另一張干凈的軟盤進行讀寫，駐在內存中的病毒可以感染這張軟盤。

病毒概述

若啟動盤是硬盤。因硬盤多了一個分區表，分區表位于硬盤的第0面第0道第1扇區。當在“讀入BOOT程序并執行”之前是“讀入分區表并執行”，比軟盤啟動多了一道手續。所以和感染軟盤不同的地方是病毒不但可以感染硬盤的BOOT扇區還可以感染硬盤的分區表。

感染BOOT扇區是在“讀入分區表并執行”之后，“讀入BOOT程序并執行”之前“讀入病毒程序并執行”。感染分區表是在“讀入病毒程序并執行”之后，“讀入分區表并執行”之前“讀入BOOT程序并執行”。不管是軟盤還是硬盤，引導型病毒一定比DOS早一步進入內存中，并控制讀寫動作，伺機感染其他未感染病毒的磁盤。病毒概述文件型病毒感染原理

對非常駐型病毒而言，只要一執行中毒的程序文件，病毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以感染。一般而言，對于.COM型文件，病毒替換它的第一條指令；對于.ExE文件，病毒改變入口指針。而常駐型病毒必須常駐內存，才能達到感染其他文件的目的。在每一個程序文件在執行時，都會調用INT21H中斷命令，所以病毒必須攔截INT21H的調用，使其先通過病毒的程序，再去執行真正的INT21H服務程序。這樣，每個要被執行的程序文件都要先通過病毒“檢查”是否已中毒，若未中毒則病毒感染該文件。復合型病毒感染原理就啟動動作來說，假設以感染復合型病毒的磁盤啟動，那么病毒便先潛入內存中，伺機感染其他未中毒的磁盤，而當DOS載入內存后，病毒再攔截INT21H已達到感染文件的目的。病毒概述6.

病毒的網絡威脅

工作站受到的威脅。病毒對網絡工作站的攻擊途徑主要包括：利用軟盤讀寫進行傳播、通過網絡共享進行攻擊、通過電子郵件系統進行攻擊、通過FTP下載進行攻擊和通過WWW瀏覽進行攻擊。

服務器受到的威脅。網絡操作系統一般都采用WindowsNT/2000Server和少量Unix/Linux，而Unix/Linux本身的計算機病毒的流行報告幾乎很少。但到目前為止感染WindowsNT系統的病毒已有一定數量。Web站點受到的威脅。一般Web站點，用戶訪問量很大，目前能通過WEB站點傳播的病毒只有腳本蠕蟲、一些惡意Java代碼和ActiveX。

宏病毒1.宏病毒的傳染原理

每個Word文本對應一個模板，而且對文本進行操作時，如打開、關閉文件等，都執行了相應模板中的宏程序，由此可知：當打開一個帶病毒模板后，該模板可以通過執行其中的宏程序，如AutoOpen、AutoExit等將自身所攜帶病毒程序拷貝到Word系統中的通用模板上，如Normal.dot中。若使用帶病毒模板對文件進行操作時，如存盤FileSave等，可以將該文本文件重新存盤為帶毒模板文件，即由原來不帶宏程序的純文本文件轉換為帶病毒的模板文件。上述兩步循環就構成了病毒的基本傳染原理。宏病毒2.

宏病毒的危害

Word宏病毒幾乎是唯一可跨越不同硬件平臺而生存、傳染和流行的一類病毒。與感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隱蔽性強，傳播迅速，危害嚴重，難以防治等特點。具體表現為:對Word的運行破壞。不能正常打印、封閉或改變文件存儲路徑、將文件改名等。對系統的破壞。WordBasic語言能夠調用系統命令，這將造成破壞。宏病毒3.

宏病毒的預防與清除為了有效防止Word系統被感染，可將常用的Word模板文件改為只讀屬性。當文件被感染后，應及時加以清除，以防其進一步擴散和復制。通常可采取以下措施：

手工殺毒。以Word為例，從“工具”菜單選取“宏”一項，進入“管理器”，選取標題為“宏”的一頁，在“宏有效范圍”下拉列表框中打開要檢查的文檔。這時在上面的列表框中就會出現該文檔模板中所含的宏，將不明來源的自動執行宏刪除即可。使用專業軟件殺毒。目前殺毒軟件公司都具備清除宏病毒的能力，當然也只能對已知的宏病毒進行檢查和清除，對于新出現的病毒或病毒的變種則可能不能正常地清除，或者將會破壞文件的完整性，此時還是采取手工清理。

CIH病毒CIH病毒工作原理

CIH病毒屬于文件型病毒，只感染Windows9X下可執行文件。當受感染的.EXE文件執行后，該病毒便駐留內存中，并感染所接觸到的其他PE格式執行程序。CIH通過攻擊BIOS，覆蓋硬盤，進入Windows內核實現對硬盤的破壞。攻擊BIOS。當CIH發作時，它會試圖向BIOS中寫入垃圾信息，BIOS中的內容會被徹底洗去。覆蓋硬盤。CIH發作時，調節器用IOS-SendCommand直接對硬盤進行存取，將垃圾代碼以208個扇區為單位，循環寫入硬盤，直到所有硬盤上的數據均被破壞為止。進入Windows內核。無論是要攻擊BIOS，還是設法駐留內存來為病毒傳播創造條件，對CIH這類病毒而言，關鍵是要進入Windows內核，取得核心級控制權。

CIH病毒2.

CIH病毒防范措施

修改系統時間，跳過病毒的發作日。有些電腦系統主板具備BIOS寫保護跳線，但一般設置均為開，可將其撥至關的位置，這樣可以防止病毒向BIOS寫入信息。檢查CIH病毒的方法可采用壓縮并解壓縮文件的方式，如果解壓縮出現問題，多半可以肯定有CIHＶ1.2的存在，但用該方法不能判斷CIHＶ1.4病毒。用戶不要輕易啟動從電子郵件或從網站上下載的未知軟件。由于病毒