电子商务安全管理－金锄头文库

资源描述

《电子商务安全管理》由会员分享，可在线阅读，更多相关《电子商务安全管理（30页珍藏版）》请在金锄头文库上搜索。

1、 n n第第4 4章章n n电子商务安全管理电子商务安全管理电子商务安全概述4.1密码的管理4.2数字证书的使用4.3电子商务安全概述密码的管理数字证书的使用电子商务安全协议本章导读本章导读趣味入门n你知道2年度，在瑞星安全报告中，中国大陆地区电脑病毒被列为十大病毒之首的“毒王”是谁吗？n2年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、账号等功能。该病毒传播速度快，危害范围广，有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。瑞星安

2、全报告将其列为十大病毒之首，在年度中国大陆地区电脑病毒疫情和互联网安全报告的十大病毒排行中一举成为“毒王”。 n2007年月中旬，湖北省网监部门根据公安部公共信息网络安全监察局的部署，对“熊猫烧香”病毒的制作者开展调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李某，据李某交代，其于年月日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给余人，非法获利万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李某还于年编写了“武汉男生”病毒、年编写了“武汉男生”病毒及“尾巴”

3、病毒。另外，本案另有几个重要犯罪嫌疑人通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和账号等方式非法牟利。n湖北省公安厅07年2月日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李某、雷某等名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。 41 电子商务安全概述n知识链接电子商务安全n电子商务系统安全包括系统的硬件安全、软件安全、运行安全、电子商务信息安全、电子商务安全立法等。41 .1电子商务系统安全n1、电子商务系统硬件安全n硬件

4、安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。n2、电子商务系统软件安全n软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。n3、电子商务系统运行安全n运行安全是指保护系统能连续和正常地运行。n4、电子商务安全立法n电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。n 综上所述，电子商务安全是一个复杂的系统问题。电子商务安全立法与电子商务应用的环境、人员素质、社会有关，基本

5、上不属于技术上的系统设计问题，而硬件安全是目前硬件技术水平能够解决的问题。鉴于现代计算机系统软件的庞大和复杂性，软件安全中的信息安全成为电子商务系统安全的关键问题。41 .2电子商务信息安全n1、信息的保密性n2、交易文件的完整性n3、信息的不可否认性n4、交易者身份的真实性实例分析n 最近单位的电脑中了一个可恶的病毒“熊猫烧香”，一查居然是 2007 年第一周排行榜第一的病毒。这次我们实践利用打补丁及手工来解决。 n 受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。而且病毒还具有自行关闭防火墙和杀毒软件的能力。小思考n

6、如何预防“熊猫烧香”系列病毒n分析： “熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。 “熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。 n可采取如下措施预防：n1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。 n修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备

7、管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。 n2.利用组策略，关闭所有驱动器的自动播放功能。 n步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。 n3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。 n步骤：打开资源管理器（按windows徽标键E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有

8、文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。 n4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。 n5、启用windows防火墙保护本地计算机。 n对于已经感染“熊猫烧香”病毒的用户，金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。 n对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。42 密码的管理n知识链接n加密和解密n加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的

9、逆过程，即将密文还原成原来可理解的形式。42 .1密码系统的构成及工作过程n加密码系统的一般构成如图4-1所示。图4-1 密码系统的构成42 .2通用密钥密码体制n 通用密钥密码体制中的加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”。n 例4-2：恺撒密码的原理是，对于明文的各个字母，根据它在26个英文字母表中的排列位置，按某个固定间隔n变换字母，即得到对应的密文。这个固定间隔的数字n就是加密密钥，同时也是解密密钥。例cryptography是明文，使用密钥n=4 ，加密过程如图5-2所示。图4-2 恺撒密码42 .3公开密

10、钥密码体制n 公开密钥密码体制中的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥(private key)，而加密密钥完全公开，称为公共密钥(public key)。该系统也称为“非对称密码体制”。Kex:X的加密密钥，Key:X的解密密钥，其他密钥依次类推.图4-3 公开密钥密码体制42 .4数字摘要n 数字摘要（digital digest）也称安全 Hash（散列）编码法（SHA，Secure Hash Algorithm）或MD5（MD：Standards for Message Digest），由Ron Rivest所设计。n 该编码法采用单向Hash函

11、数将需加密的明文“摘要”成一串128bit的密文，这一串密文也称为数字指纹（Finger Print）。42 .5数字签名 n 在书面文件上签名的作用有两点：一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真实的这一事实。数字签名（digital signature）与书面文件签名有相同之处，也能确认以下两点：n其一，信息是由签名者发送的；n其二，信息自签发后到收到为止未曾作过任何修改。图4-4 数字签名n数字签名的操作步骤如下：n1、授信方用SHA编码加密产生128bit的数字摘要；n2、授信方用自己的私人密钥(Private

12、Key)对摘要加密，形成数字签名；n3、将原文和加密的摘要同时传输给对方；n4、受信方用授信方的公共密钥(Public Key)对摘要解密，同时对收到的信息用SHA编码加密产生又一摘要；n5、将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比，若二者一致，则说明传送过程中信息没有被破坏或篡改过，否则不然。小思考n数字签名的核心技术是什么？n分析：在数字签名中，最重要的是数字摘要，而数字摘要中的核心技术是“SHA”。 “SHA”是单项函数，即“SHA”只能加密，不能解密。如果原文被修改，则经过“SHA”后的数字摘要与原来的数字摘要会有所不同，这样就保证了信息的“完整性”和“不可修改性”。小百科n 美国政府对密码出口的严苛限制，遭到许多人批评反对。有一个叫丹尼尔.伯恩斯坦的教授（ Daniel J. Bernstein）要把一个简短的密码源程序通过Internet传给外国学者，遭到美国政府阻止，有关政府部门认为他必须先注册成为军火商，取得武器出口许可证才可以对外输出电脑密码程序，官司打到法院，地方法院判决政府的决定违宪，政府方面又上诉到高级法院，这个案件引起广泛关注，也具有典型意义，许多人对教授表示支持，认为不合理的限制，既影响学术交流，也不利于电子商务的发展。43 数字证书的使用

展开阅读全文