电子商务讲义8.docx
- 文档编号:9424566
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:36
- 大小:924.45KB
电子商务讲义8.docx
《电子商务讲义8.docx》由会员分享,可在线阅读,更多相关《电子商务讲义8.docx(36页珍藏版)》请在冰豆网上搜索。
电子商务讲义8
模块八:
电子商务安全与防范
【学习目标】
通过本模块的学习与训练,要求学生掌握电子商务信息安全要素与防范措施;熟悉计算机病毒及其防治方法,了解信息加密技术与电子商务认证技术。
学会CA证书的申请与使用;能够分析电子商务信息传递过程的安全防范措施。
【能力标准】
工作任务
能力标准
相关知识
网络安全隐患分析与防范
1.能够识别计算机病毒的种类
2.掌握预防、检测和清除计算机病毒的方法
电子商务系统安全
计算机病毒的概念及产生
计算机病毒的种类与识别
电子商务安全技术分析
1.能够运用“凯撒”密码算法进行加解密
2.能分析公开密钥密码体制下的文件保密传输和数字签名
电子商务信息安全要素
公开密钥密码体制
数字摘要
数字签名
CA证书的申请与使用
1.能够在网上申请个人免费数字证书
2.能管理和使用个人免费数字证书
CA认证中心
数字证书
【关键概念】
电子商务安全计算机病毒通用密钥密码体制公开密钥密码体制数字摘要
数字签名CA认证中心数字证书
任务一:
网络安全隐患分析与防范
一、案例学习
案例学习8-1
少年网银大盗
2006年7月份厦门市公安局网安处成功抓捕“新网银大盗”病毒作者刘某。
犯罪嫌疑人刘某系厦门市某中专校在校生,被捕时年仅16岁。
他通过攻陷网站种植木马的形式,盗窃某银行网上银行用户密码帐号,然后通过多次转账的形式提取现金。
截止案发时,刘某已经窃取现金达62500余元。
该病毒将发作日期定于2005年8月1日,病毒通过记录用户键盘输入,盗取工行个人网上银行的帐号密码,并通过网页脚本把获得的非法信息提交给病毒作者。
病毒运行后,会创建kv2005.dll和kvshell2005.dll两个文件,企图伪装成杀毒软件程序欺骗普通电脑用户,事实上江民杀毒软件KV2005并无此程序。
自从新网银木马被发现后,陆续有网民报告在网络上交易以后,账户上的钱常常莫名其妙地丢失。
据警方介绍,16岁时的刘某考上了厦门市某中专校。
刘某平时不爱读书,整天泡在网上,玩些黑客的小程序,后来热衷玩灰鸽子木马,利用灰鸽子木马可全面地监控别人的电脑,中毒电脑中的任何信息都可以被随意控制甚至删除。
当时只是觉得木马好玩,又有钱赚,就开始盗取别人网上银行账号,把别人卡上的钱转到自己卡上。
网银大盗最终没有给刘某带来金钱,却带走了他一生的前途。
案例分析8-2:
电脑病毒历史
你可知道,电脑病毒的概念来自一场游戏?
电脑病毒的概念其实源起相当早,在第一部商用电脑出现之前好几年时,电脑的先驱者冯•诺伊曼(JohnVonNeumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里,已经勾勒出病毒程序的蓝图。
不过在当时,最早由冯•诺伊曼提出一种可能性----现在称为病毒,但没引起注意。
1977年夏天,托马斯•捷•瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(TheAdolescenceofP-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控制了7,000台计算机,造成了一场灾难。
1983年11月3日,弗雷德•科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦•艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家IBM-PC机及其兼容机的小商店。
他们编写了Pakistan病毒,即Brain。
在一年内流传到了世界各地。
1988年11月2日,美国六千多台计算机被病毒感染,造成Internet不能正常运行。
这是一次非常典型的计算机病毒入侵计算机网络的事件,计算机系统直接经济损失达9600万美元。
这个病毒程序设计者叫罗伯特•莫里斯(RobertT.Morris),当年23岁,是在康乃尔(Cornell)大学攻读学位的研究生。
二、相关知识
1.电子商务与网络安全
电子商务的发展给人们的工作和生活带来了很多的便利,也为人们带来无限商机。
但许多商业机构对电子商务仍持观望态度,主要原因是对网上运作的安全问题存有疑虑,一旦信息失窃,企业的损失将不可估量。
因此,在运用电子商务模式进行贸易的过程中,安全问题就成为电子商务最核心的问题,也是电子商务得以顺利推行的保障。
电子商务系统是一个计算机网络系统,其安全性是一个系统的概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质的社会因素有关。
它包括电子商务系统的硬件安全、软件安全、运行安全、电子商务安全立法等。
安全是电子商务的核心和灵魂,没有安全保障的电子商务应用只是虚伪的炒作或欺骗,任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。
2.计算机病毒的概念及产生
计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。
现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:
一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。
3.计算机病毒的种类与识别
(1)蠕虫它是一种短小的程序,这个程序使用未定义过的处理器来自行完成运行处理。
它通过在网络中连续高速地复制自己,长时间的占用系统资源,使系统因负担过重而瘫痪。
如震荡波、冲击波、尼姆达、恶邮差等。
(2)逻辑炸弹这是一个由满足某些条件(如时间、地点、特定名字的出现等)时,受激发而引起破坏的程序。
逻辑炸弹是由编写程序的人有意设置的,它有一个定时器,由编写程序的人安装,不到时间不爆炸,一旦爆炸,将造成致命性的破坏。
如欢乐时光,时间逻辑炸弹。
(3)特洛伊木马它是一种XX的程序,它提供了一些用户不知道的功能。
当使用者通过网络引入自己的计算机后,它能将系统的私有信息泄露给程序的制造者,以便他能够控制该系统。
如Ortyc.Trojan木马病毒,木马Backdoor.Palukka,酷狼,IE枭雄,腾讯QQ木马病毒。
(4)陷阱入口陷阱入口是由程序开发者有意安排的。
当应用程序开发完毕时,放入计算机中,实际运行后只有他自己掌握操作的秘密,使程序能正常完成某种事情,而别人则往往会进入死循环或其他歧路。
(5)核心大战这是允许两个程序互相破坏的游戏程序,它能造成对计算机系统安全的威胁。
互联网上存在很多的病毒,而且逐年成倍的增加。
各个反病毒公司为了方便管理,按照病毒的特性,将病毒进行分类命名。
虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:
<病毒前缀>.<病毒名>.<病毒后缀> 。
病毒前缀是指一个病毒的种类,是用来区别病毒的种族分类的。
不同的种类的病毒,其前缀也是不同的。
比如常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。
一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。
下表例举了一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
中文解释
病毒名
特征
系统病毒
Win32、PE、Win95、W32、W95
可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。
如CIH病毒。
蠕虫病毒
Worm
通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
木马病毒
Trojan
通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息。
黑客病毒
Hack
有一个可视的界面,能对用户的电脑进行远程控制。
病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能。
脚本病毒
Script、VBS、JS
使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)
宏病毒
Macro
第二前缀是:
Word、Word97、Excel、Excel97等。
能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播
种植程序病毒
Dropper
运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
如:
冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
破坏性程序病毒
Harm
本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
如:
格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
玩笑病毒
Joke
本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。
如:
女鬼(Joke.Girlghost)病毒。
捆绑机病毒
Binder、DoS、Exploit
使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。
如:
捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
三、任务与训练
1.任务
四川成都广贸发展有限公司是一家小型贸易公司,公司只有8位员工,公司的网上贸易和网络维护都由刚毕业的电子商务专业学生李明负责。
最近李明发现公司的几台电脑纷纷中了病毒,而且次数很频繁。
李明用杀毒软件扫描发现几个病毒名如下:
Backdoor.RmtBomb.12
Trojan.Win32.SendIP.15
Trojan.LMir.PSW.60
李明虽然用杀毒软件清除了病毒,但他还是不知道这些病毒的名称是什么,有什么特征,怎样才能预防公司电脑不再重复中毒。
现在请你帮助李明识别这三种病毒分别叫什么,有什么特征,并制定一个公司内部网络病毒防治计划。
2.分析思考
1)公司内部网络组网模式是怎样的?
2)公司电脑防毒软件是那种类型的?
。
3)公司电脑防毒软件升级期限是多久?
是否开启microsoftupdate程序?
4)公司电脑是否做系统和重要数据备份?
3.训练方法与步骤
1)根据本教材的内容写出三种病毒的名称及特征。
2)安装杀毒软件,并进行升级时间设置。
3)开启操作系统的microsoftupdate程序。
4)下载与安装GHOSTXP程序,为电脑系统盘和重要数据制作镜像文件。
5)查阅网站或相关资料,结合公司内部网络状况制订病毒防治计划。
4.任务训练结果与评价
1)列表填写任务中的三种病毒名称及特征
病毒全称
病毒种类
病毒名
变种
特征
教师评语
2)写出公司内部网络病毒防治计划。
预防电脑病毒计划
查杀电脑病毒计划
教师评语
四、拓展任务
请在互联网上查找最近流行的计算机病毒及爆发时间。
任务二:
电子商务信息安全技术分析
一、案例学习
案例学习8-2
钓鱼网站窃取银行帐号密码
2005年2月份发现的一种骗取美邦银行(SmithBarney)用户的帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。
当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。
当用户点击链接时,实际连接的是钓鱼网站http:
//**.41.155.60:
87/s。
该网站页面酷似SmithBarney银行网站的登陆界面,而用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。
案例分析8-2
信息窃密案例
信息窃密指的是秘密地从某机构复制计算机信息并非法拿走它们。
近些年来,国外已发生多次信息窃密活动。
日本某杂志社发行代理公司,将耗资5亿元收集到的订户名单等公司商业绝密信息委托给太平洋计算机中心处理,在转手处理过程中,其信息磁带被人转录,并以82万日元出手获利。
20世纪70年代,美国太平洋安全银行雇佣的计算机上技术顾问,通过银行计算机,将一千多万美元转到瑞士苏黎世银行,构成美国当时最大的盗窃案。
俄罗斯一家贸易公司的计算机人员,通过计算机互联网络把纽约华尔街花旗银行计算机系统中的三家银行账户资金,转到他们在美国加利福尼亚州银行和以色列银行账户中,非法转账资金高达1000万美元。
后来虽经客户银行发现并提出指控,警方将作案罪犯逮捕,追回960美元赃款,但此案以使人民警觉到Internet上的信息海洋并非安全之地,信息窃密活动随时可能侵入计算机网络
二、相关知识
1.电子商务信息安全要素
电子商务面临的威胁的出现导致了对电子商务安全的需求,真正实现一个安全电子商务系统所要求做到的各个方面主要包括保密性、完整性、认证性和不可抵赖性等。
下面从几方面分析电子商务的安全要素。
(1)信息的保密性
保密性是指防止未授权的数据暴露。
在电子商务环境下,信息直接代表着个人、企业或国家的商业机密,所以必须确保信息的严格保密。
传统贸易都是通过邮寄信件或通过可靠的通信渠道(人员送抵)发送商业机密来达到保守机密的目的。
电子商务是建立在开放的网络环境上,防止非法的信息存取和信息在传输过程中被非法窃取就更为重要。
电子商务是建立在一个较为开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。
因此,要预防信息大量传输过程中被非法窃取,必须确保只有合法用户才能看到数据,防止信息被窃看。
(2)信息的完整性
完整性是防止未授权的数据修改。
电子商务减少了人为的干预,同时就带来维护贸易各方商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
此外,数据传输过程中的信息丢失、信息重复(有可能是恶意的)或信息传送的次序差异也会导致贸易各方信息的不同。
必须保证数据信息的完整性才能保证合法商务活动的正常进行。
(3)信息的不可否认性
不可抵赖性是为了防止毁约。
在传统的商务模式下,部分交易者由于利益原因可能会违约,发生抵赖行为。
在电子商务环境下,非面对面的约束性显然没有传统商务模式强,所以对抵赖等行为更要通过管理、技术手段加以严格控制。
在电子商务环境中,一方发送了商务信息给另一方,就不能抵赖,就像在传统的商务环境下签订了合同一样,一旦完成就必须履行。
可通过验证接收方收到的信息的真实性判断是否是发送方发送的信息,作为认证机构和专门的仲裁机构管理和裁决纠纷的依据。
(4)交易身份的真实性
真实性是确保发信息的数据源的真实性,即要确保与我们交易的个人或实体的身份可靠,正是它所声称的个人或实体。
由于电子交易中各方并不是面对面的,因此必须设置一定的机制验证与我们交易的对方身份的真实性。
2.加密与解密
数据加密技术是保护信息安全的主要手段之一,它是结合数学、计算机科学、电子与通信等诸多科学于一身的交叉学科。
它不仅具有保证信息机密性的信息加密功能,而且可以利用其基本原理进行数字签名、身份验证、系统安全等功能。
使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确切性,防止信息被篡改、伪造和假冒。
密码技术的基本思想是伪装信息,隐藏信息的真实内容,以使未授权者不能理解信息的真正含义,达到保密的作用。
具体的就是对信息进行一组可逆的数学变换。
伪装前的信息称为明文(Plaintext),伪装后的信息称为密文(Ciphertext)。
这种将信息伪装的过程称为加密(Encryption)。
加密在加密密钥(key)的控制下进行。
用于对数据加密的一组数学变换称为加密算法(EncryptionAlgorithm)。
发信者将明文数据加密成密文,然后将密文传递,被授权的接受者收到密文后,进行与加密变换相逆的逆变换,即加密的逆过程,将密文再还原为明文,这一过程称为解密(Decryption)。
解密是在解密密钥(key,只有拥有解密密钥才能对信息解密)的控制下进行的,用于解密的这组数学变换称为解密算法(DecryptionAlgorithm)。
这样,数据不管是以密文的形式存储在计算机上还是在通信网络中传递,即使被未授权者非法窃取或因为其他原因造成数据泄漏,未授权者也不能理解数据的真正含义,从而达到数据保密的目的。
同样,未授权者也不能伪造合理的密文,因而不能篡改、伪造数据,从而达到确保数据真实性的目的。
密钥
图8-1密码体制的构成
加解密必须要依赖于两个要素,算法和密钥。
不管使用那一种密码技术进行安全保密,加解密算法都是相对固定的,一种密码技术对应一种加解密算法,真正保密性好的算法不多,而且如果在电子商务中使用过多种算法在存储和管理上也会非常烦琐,不利于交易各方通信。
因此,多以使用相对单一的算法而变换密钥的方法实现加解密,所以密钥在密码体制中的作用举足轻重,加密系统的保密性不是取决于算法而是取决于密钥,包括密钥的长度、密钥的保密性等。
根据密钥可以将密码体制分为通用密钥密码体制(也称对称密码体制)和公开密钥密码体制(也称非对称密码体制)。
通用密钥密码体制
通用密钥密码体制的加密密钥和解密密钥相同,或者虽然不相同,但是由其中一个可以很容易地推导出另一个。
在这种体制中,信息拥有者和被授权者(接收者)拥有的为相同或可互推的密钥,就必须基于共同保守秘密来实现系统的保密性,若一方泄漏了密钥就必须停止该密钥的使用。
现以英语为例来说明使用凯撒密码方式的通用密钥密码体制原理:
替换(substitution)加密算法。
替换加密算法,加密时每一个字母都给替换成另一个字母,例如:
明文:
abcdefghijklmnopqrstuvwxyz
密文:
qwertyuIopasdfghjklzxcvbnm
这样,apple就被加密成qhhat
上述例子中,密钥长度26,如果单从密钥而言,加密强度是比较强的,因为密钥共有26!
个组合。
但是这种方法实际上是十分容易破译的(只要密文长度适当),破译方法采用自然语言的统计特性,在英语中每一个字母有一定的出现频率,破译时只要对密文的每一个字母进行频率统计,对照自然语言的字母频率,就可以十分方便地进行破译。
公开密钥密码体制
数据加密中,有一个比较重要的问题需要解决,这就是密钥分配,即如何把密钥送到对方,由对方来进行解密。
不管一个加密方法如何强壮,一旦解密密钥被入侵者获得,那么加密也就没有意义。
对于对称加密体制而言,加密密钥和解密密钥是相同的,这时产生一个两难的矛盾,一方面密钥必须受到保护,另一方面密钥必须分发给解密者,因为解密者必须用这个密钥来解密。
1976年,美国斯坦福大学两位研究人员提出了一种全新密码体制,即公开密钥密码体制又叫非对称密钥体制,这个体制中必须具备以下条件:
a.加密密钥和解密密钥不同,解密密钥不能从加密密钥推算获得;
b.只有解密密钥是保密的,称为私人密钥(privetekey),加密密钥完全公开,称为公共密钥(publickey);
c.解密密钥和加密密钥是互解的关系。
使用该体制时,例如,与X秘密通信时,可以用X的公共密钥Kex生成密文C=E(Kex,M),伟输给X,X收到密文后,用只有自己知道的私人密钥,即保密的解密密钥Kdx,计算出明文M=K(Kdx,C),用这种公开密钥密码体制,可以与任何对象秘密通信。
公开密钥密码体制的另一个优点是可以确认发送方的身份,即具有“数字签名”的功能。
例如,接收方Y想在能信文上署名时,可以用自己的私人密钥Kdy生成署名文V=D(Kdy,M),然后,将V和自己的姓名Ny一起传输给对方。
接送方从姓名NY检索出Y的公共密钥Key,计算M=E(Key,V),如果复原的M文是有意义的信息,则可确认Y是合法的受信者,并确认通信途中未发生篡改信息的事件。
利用Internet通信时,具有数字证书身份的人所持有的公共密钥可在网上查到,也可请对方在授信时主动将公共密钥传送过来,以方便信息的加、解密,从而保证在Internet网上传输信息的安全保密。
3.数字摘要
数字摘要(digitaldigest)也称安全Hash(散列)编码法(SHA,securehashalgorithm)或MD5(MD:
standardsformessagedigest),由RonRivest所设计。
该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密也称为数字指纹(fingerprint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。
这样,这串摘要便可成为验证明文是否“真身”的“指纹”了。
数字摘要的应用交易文件的完整性(不可修改性)得以保证。
4.数字签名
所谓数字签名(DigitalSignature),也称为电子签名,是指利用电子信息加密技术实现在网络传送信息报文时,附加一小段只有信息发送者才能产生而别人无法伪造的特殊个人数据标记(数字标签),代表发送者个人身份,起到传统书面文件的上手书签名或印章的作用,表示确认、负责、经手、真实作用等。
数字签名可以用来证明消息确实是由发送者签发的,它在要发送的信息报文上,附加一个特殊的且惟一个人数据标记,用来证明信息报文是由发送者发来的。
一个数字签名方案一般由两部分组成:
签名算法和验证算法。
其中,签名算法是秘密的,只有签名人知道,而验证算法是公开的,任何接收方都可进行验证。
把数字摘要和公钥算法这两种机制结合起来就可以产生所谓的数字签名。
数字签名技术利用公开密钥加密算法和数字摘要技术,分别解决电子文件或信息报文网络传送与交换后的不可否认性与真实性,通俗地讲,就是防抵赖与防伪、防篡改。
具体讲,数字签名的应用原理可以通过如下七步进行描述。
如图8-2所示。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 讲义