第七章电子商务安全技术课件.ppt

1、7.1 7.1 电子商务安全概述电子商务安全概述7.2 7.2 网络安全保障技术网络安全保障技术7.3 7.3 电子商务的认证技术电子商务的认证技术7.4 7.4 防火墙技术及应用防火墙技术及应用第第7 7章章 电子商务安全技术电子商务安全技术7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题7.1.2 7.1.2 电子商务的安全性需求电子商务的安全性需求7.1.3 7.1.3 电子商务安全架构电子商务安全架构7.1 7.1 电子商务安全概述电子商务安全概述 互联网是一个完全开放的网络，任何一台计算机、互联网是一个完全开放的网络，任何一台计算机、任何一个网络都可与之相连，并利用互联网

2、发布信息，任何一个网络都可与之相连，并利用互联网发布信息，获取与共享网络资源，或进行各种网上商务活动，直获取与共享网络资源，或进行各种网上商务活动，直接促成了一个网络经济时代的到来。但是这种开放式接促成了一个网络经济时代的到来。但是这种开放式的信息交换、资源共享和分布方式增加了网络的脆弱的信息交换、资源共享和分布方式增加了网络的脆弱性和易受攻击性。性和易受攻击性。电子商务依赖于互联网，因而互联网所面临的威电子商务依赖于互联网，因而互联网所面临的威胁，也同样是电子商务所面临的威胁。如果把网络系胁，也同样是电子商务所面临的威胁。如果把网络系统的运转看成是一种信息的流动（如电子商务中的信统的运转看成

3、是一种信息的流动（如电子商务中的信息流或资金流），则正常情况下，信息从信息源（如息流或资金流），则正常情况下，信息从信息源（如网站或文件）流向目标（如用户或文件），这种正常网站或文件）流向目标（如用户或文件），这种正常的信息流如图的信息流如图7.1（a）所示。）所示。7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题信息源接收方（a）正常信息流（c）截取（d）修改（e）伪造（b）中断图7.1 安全威胁的类型（1）系统的中断）系统的中断n由于操作错误、应用程序错误、硬件故障、系统软件由于操作错误、应用程序错误、硬件故障、系统软

4、件错误、网络故障以及计算机病毒等恶意攻击导致系统错误、网络故障以及计算机病毒等恶意攻击导致系统不能正常工作。如图不能正常工作。如图7.1（b）所示。）所示。（2）信息的截获和窃取）信息的截获和窃取n信息在传输过程中被某些非授权实体所截获和窃取。信息在传输过程中被某些非授权实体所截获和窃取。如图如图7.1（c）所示。这里的实体可以是一个人、一个）所示。这里的实体可以是一个人、一个程序或一个计算机系统。例如，在网络中为得到数据程序或一个计算机系统。例如，在网络中为得到数据而对程序或数据进行的非法拷贝、电话线上的窃取、而对程序或数据进行的非法拷贝、电话线上的窃取、以太网上对数据包的嗅探等。以太网上对

5、数据包的嗅探等。（3）信息的篡改）信息的篡改n如果非授权实体不但截取了资源，而且还对其进行了如果非授权实体不但截取了资源，而且还对其进行了修改，则这种攻击就是篡改。如图修改，则这种攻击就是篡改。如图7.1（d）所示。例）所示。例如，某人可能修改数据库中的数值，修改程序使之完如，某人可能修改数据库中的数值，修改程序使之完成额外的任务或修改正在传送的数据。成额外的任务或修改正在传送的数据。7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题（4）信息的伪造或假冒）信息的伪造或假冒n非授权实体伪造计算机系统中的实体或信息。如图非授权实体伪造计算机系统中的实体或信息。如图7.1（e）所示。）所

6、示。n在电子商务中，由于交易非面对面进行，如果安全措施在电子商务中，由于交易非面对面进行，如果安全措施不完善，无法对信息发送者或者接收者的身份进行验证，不完善，无法对信息发送者或者接收者的身份进行验证，那么入侵者就有可能潜入企业的内部网络，冒充合法用那么入侵者就有可能潜入企业的内部网络，冒充合法用户发送或者是接收信息，从而给合法用户造成商务损失。户发送或者是接收信息，从而给合法用户造成商务损失。主要有两种方式：主要有两种方式：信息的伪造信息的伪造 假冒身份假冒身份（5）交易抵赖）交易抵赖n交易双方进行了某种通信或交易活动，但当参与一方事交易双方进行了某种通信或交易活动，但当参与一方事后发现交易

7、行为对自己不利时，就有可能不承认获抵赖后发现交易行为对自己不利时，就有可能不承认获抵赖已经做过的交易。交易抵赖包括多个方面，如发送方事已经做过的交易。交易抵赖包括多个方面，如发送方事后否认曾经发送过某个信息或内容；收信方事后否认曾后否认曾经发送过某个信息或内容；收信方事后否认曾经收到过某个信息或内容；购买者做了订货单不承认；经收到过某个信息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。商家卖出的商品因价格差而不承认原有的交易。7.1.1 7.1.1 电子商务的安全问题电子商务的安全问题n电子商务安全的核心和关键是电子交易的安全性。针对电子商务安全的核心和关键是电子交

8、易的安全性。针对上述在电子商务开展过程中可能发生的问题，为了保证上述在电子商务开展过程中可能发生的问题，为了保证电子商务整个交易过程中的安全性和可靠性，由此提出电子商务整个交易过程中的安全性和可靠性，由此提出了相应的安全控制要求。电子商务安全的基本要求主要了相应的安全控制要求。电子商务安全的基本要求主要包括真实性、有效性、机密性、完整性和不可抵赖性。包括真实性、有效性、机密性、完整性和不可抵赖性。（1）真实性）真实性 对交易各方身份真实性的确认是电子交易中的首要安全需求。这意对交易各方身份真实性的确认是电子交易中的首要安全需求。这意味着，在双方进行交易之前，首先要确认对方的身份，确保交易味着，

9、在双方进行交易之前，首先要确认对方的身份，确保交易双方的身份不能被假冒或伪装。目前，网上对客户、商家、银行、双方的身份不能被假冒或伪装。目前，网上对客户、商家、银行、网关等实体的鉴别，一般都是通过网关等实体的鉴别，一般都是通过CA认证机构和其发放的数字证认证机构和其发放的数字证书来实现的。书来实现的。（2）有效性）有效性 对网络故障、操作错误、应用程序错误、硬件故障、系统软件错对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的，要求电子商务系

10、统能数据在确定的时刻、确定的地点是有效的，要求电子商务系统能够保证随时提供稳定的网络服务。够保证随时提供稳定的网络服务。7.1.2 7.1.2 电子商务的安全性需求电子商务的安全性需求（3）机密性）机密性 保证信息为授权者使用而不会泄露给非授权的人或实体。保证信息为授权者使用而不会泄露给非授权的人或实体。（4）完整性）完整性 要求能保证只有授权的各方能够修改计算机系统的有价值的内容和要求能保证只有授权的各方能够修改计算机系统的有价值的内容和传输的数据，防止数据被非授权者建立、修改和破坏。传输的数据，防止数据被非授权者建立、修改和破坏。（5）不可抵赖性）不可抵赖性 防止参与某次通信交换的任何一方

11、事后否认本次通信或通信的内防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。容。7.1.2 7.1.2 电子商务的安全性需求电子商务的安全性需求（1）电子商务安全因素）电子商务安全因素 n电子商务建立在互联网技术的基础上，但又不是孤立的依赖于电子商务建立在互联网技术的基础上，但又不是孤立的依赖于互联网技术，在电子商务的开展过程中，还需要社会环境、管互联网技术，在电子商务的开展过程中，还需要社会环境、管理环境提供相应的保障。因此，电子商务安全架构应该是一个理环境提供相应的保障。因此，电子商务安全架构应该是一个涵盖技术因素，管理因素等在内的一个综合体系，如图涵盖技术因素，管理因素等在内的

12、一个综合体系，如图7.2所示。所示。7.1.3 7.1.3 电子商务安全架构电子商务安全架构 保护protect恢复restore检测detect反应react人过程技术图7.2 电子商务安全架构电子商务安全涉及人（电子商务安全涉及人（people）、过程（）、过程（procedure）及技术（及技术（technology）三种因素。）三种因素。人人n电子商务不是电子设备之间独立进行的交易行为，电子商务交电子商务不是电子设备之间独立进行的交易行为，电子商务交易的主体仍然是人。人作为一种实体在电子商务交易中存在，易的主体仍然是人。人作为一种实体在电子商务交易中存在，则必然对电子商务的安全产生重要

13、的影响。则必然对电子商务的安全产生重要的影响。过程过程n在电子商务的交易过程中，人需要对电子商务系统进行操作，在电子商务的交易过程中，人需要对电子商务系统进行操作，如系统登录，数据库更新等。在这些过程中，应有严格的操作如系统登录，数据库更新等。在这些过程中，应有严格的操作手册和制度来规范各种操作，避免各种不规范的行为的产生。手册和制度来规范各种操作，避免各种不规范的行为的产生。技术技术n互联网技术是电子商务实现的基础，技术因素对电子商务安全互联网技术是电子商务实现的基础，技术因素对电子商务安全的影响最为直接。电子商务系统不恰当的设计，安全性设计的的影响最为直接。电子商务系统不恰当的设计，安全性

14、设计的欠缺，计算机系统自身的漏洞都会成为安全问题的隐患。因此欠缺，计算机系统自身的漏洞都会成为安全问题的隐患。因此在开展电子商务交易的过程中，首先要从技术上保障系统的安在开展电子商务交易的过程中，首先要从技术上保障系统的安全可靠。全可靠。7.1.3 7.1.3 电子商务安全架构电子商务安全架构（2）电子商务安全措施）电子商务安全措施n电子商务安全包括保护（电子商务安全包括保护（protect）、检测）、检测（detect）、反应（）、反应（react）及恢复（）及恢复（restore）四）四个环节，简称为个环节，简称为PDRR。保护保护 n保护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利

15、保护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵系统。一般采用一些网络安全产品、工具和技术保护网地入侵系统。一般采用一些网络安全产品、工具和技术保护网络系统和数据。这种保护可以称作静态保护，通常是指一些基络系统和数据。这种保护可以称作静态保护，通常是指一些基本防护，不具有实时性。本防护，不具有实时性。检测检测n检测就是实时监控系统的安全状态，是实时保护的一种策略，检测就是实时监控系统的安全状态，是实时保护的一种策略，主要满足一种动态安全的需求。主要满足一种动态安全的需求。7.1.3 7.1.3 电子商务安全架构电子商务安全架构 反应反应n反应是当已知一个攻击（入侵）事件发生之后，能

16、够及时进行反应是当已知一个攻击（入侵）事件发生之后，能够及时进行处理，如向管理员报告，或者自动阻断连接等，防止攻击进一处理，如向管理员报告，或者自动阻断连接等，防止攻击进一步发生，将安全事件的影响降低到最小范围。步发生，将安全事件的影响降低到最小范围。恢复恢复n恢复是当入侵事件发生后，把系统恢复到原来的正确状态，或恢复是当入侵事件发生后，把系统恢复到原来的正确状态，或者比原来更安全的状态，这对电子商务交易的正常开展是非常者比原来更安全的状态，这对电子商务交易的正常开展是非常重要。恢复是最终措施，因为当攻击已经发生，系统已经受到重要。恢复是最终措施，因为当攻击已经发生，系统已经受到破坏，这时只有

17、让系统以最快的速度正常运行起来才是最重要破坏，这时只有让系统以最快的速度正常运行起来才是最重要的，否则损失会更严重。的，否则损失会更严重。n安全的电子商务环境的构建需要考虑到技术、人、过安全的电子商务环境的构建需要考虑到技术、人、过程三个因素，也需要从保护、检测、反应及恢复四个程三个因素，也需要从保护、检测、反应及恢复四个环节去控制，这样才能保证电子商务的安全，促进电环节去控制，这样才能保证电子商务的安全，促进电子商务持续健康发展。子商务持续健康发展。7.1.3 7.1.3 电子商务安全架构电子商务安全架构 7.2.1 7.2.1 数据加密技术数据加密技术 7.2.2 7.2.2 入侵检测技术

18、入侵检测技术7.2.3 7.2.3 虚拟专用网虚拟专用网7.2.4 7.2.4 防病毒技术防病毒技术7.2 7.2 网络安全保障技术网络安全保障技术（1）数据加密过程）数据加密过程n数据加密技术是电子商务采用的最基本的安全技术，数据加密技术是电子商务采用的最基本的安全技术，是解决诸如信息的窃取、信息的假冒、信息的篡改、是解决诸如信息的窃取、信息的假冒、信息的篡改、信息的抵赖等问题的一种重要手段，同时也是签名技信息的抵赖等问题的一种重要手段，同时也是签名技术、认证技术的基础。术、认证技术的基础。n数据加密技术是指将一个信息（或称明文）经过加密数据加密技术是指将一个信息（或称明文）经过加密密钥及加

19、密函数转换，变成无意义的密文，而接收方密钥及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。攻则将此密文经过解密函数、解密密钥还原成明文。攻击者即使窃取到经过加密的信息（密文），也无法辨击者即使窃取到经过加密的信息（密文），也无法辨识原文。这样能够有效地对抗截收、非法访问、窃取识原文。这样能够有效地对抗截收、非法访问、窃取信息等威胁。数据加密的过程如图信息等威胁。数据加密的过程如图7.3所示。所示。7.2.1 7.2.1 数据加密技术数据加密技术n根据密码算法所使用的加密密钥和解密密钥是否相同、根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密密钥推

20、导出解密密钥，可将密码算法分为能否由加密密钥推导出解密密钥，可将密码算法分为对称加密算法和非对称加密算法。对称加密算法和非对称加密算法。7.2.1 7.2.1 数据加密技术数据加密技术密钥加密明文密文明文密文图7.3 数据加密技术互联网密钥解密（2）对称密钥加密技术）对称密钥加密技术n对称密钥加密是指信息发送方对要发送的信息统统一对称密钥加密是指信息发送方对要发送的信息统统一定的算法和密钥进行加密，变为密文，密文通过网络定的算法和密钥进行加密，变为密文，密文通过网络到达接收方后，接收方使用相同的算法和密钥进行解到达接收方后，接收方使用相同的算法和密钥进行解密，还原成明文。它只用一个密钥对信息进

21、行加密和密，还原成明文。它只用一个密钥对信息进行加密和解密。由于加密和解密用的是同一密钥，所以发送者解密。由于加密和解密用的是同一密钥，所以发送者和接收者都必须知道密钥。和接收者都必须知道密钥。n用对称加密对信息编码和解码的速度很快，效率也很用对称加密对信息编码和解码的速度很快，效率也很高，但也有比较大的局限性。所有各方都必须相互了高，但也有比较大的局限性。所有各方都必须相互了解，并且完全信任，而且每一方都必须妥善保管一份解，并且完全信任，而且每一方都必须妥善保管一份密钥。如果发送者和接收者处在不同地点，就必须当密钥。如果发送者和接收者处在不同地点，就必须当面或在公共传送系统（电话系统、邮政服

22、务）中无人面或在公共传送系统（电话系统、邮政服务）中无人偷听偷看的情况下交换密钥。在密钥的交换过程中，偷听偷看的情况下交换密钥。在密钥的交换过程中，任何人一旦截获了它，就都可用它来读取所有加密消任何人一旦截获了它，就都可用它来读取所有加密消息。息。n对称密钥加密算法的典型代表是对称密钥加密算法的典型代表是DES算法算法 7.2.1 7.2.1 数据加密技术数据加密技术（3）非对称密钥加密技术）非对称密钥加密技术n非对称密钥加密算法采用一对密钥：一个公共密钥和非对称密钥加密算法采用一对密钥：一个公共密钥和一个专用密钥。公共密钥则可以发布出去，专用密钥一个专用密钥。公共密钥则可以发布出去，专用密钥

23、要保证绝对的安全。用公共密钥加密的信息只能用专要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦然。用密钥解密，反之亦然。n非对称密钥的优点就在于，尽管通信双方不认识，但非对称密钥的优点就在于，尽管通信双方不认识，但只要提供密钥的只要提供密钥的CA可靠，就可以进行安全通信，这可靠，就可以进行安全通信，这正是电子商务所要求的。非对称密钥加密算法的典型正是电子商务所要求的。非对称密钥加密算法的典型代表是代表是RSA算法。算法。7.2.1 7.2.1 数据加密技术数据加密技术n从计算机安全的目标来看，入侵指企图破坏资源的完从计算机安全的目标来看，入侵指企图破坏资源的完整性、保密性、可用

24、性的任何行为，也指违背系统安整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。从入侵策略的角度看，入侵可分全策略的任何事件。从入侵策略的角度看，入侵可分为企图进入、冒充合法用户、成功闯入等方面。入侵为企图进入、冒充合法用户、成功闯入等方面。入侵者一般称为黑客或解密高手。者一般称为黑客或解密高手。n入侵检测指对计算机和网络资源的恶意使用行为进行入侵检测指对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也能检测出内部用户的未授权活动，是一行为，同时也能检测出内部用户的未授权活动，是一种增强系统安

25、全的有效方法。种增强系统安全的有效方法。n入侵检测技术是为保证计算机系统的安全而设计与配入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（是入侵检测系统（IDS）。）。7.2.2 7.2.2 入侵检测技术入侵检测技术（1）入侵检测技术的分类）入侵检测技术的分类n 异常检测（异常检测（Anomaly detect

26、ion）n 误用检测（误用检测（Misuse detection）n 特征检测特征检测（Signature-based detection）7.2.2 7.2.2 入侵检测技术入侵检测技术（2）入侵检测系统的工作步骤）入侵检测系统的工作步骤 第一步：信息收集第一步：信息收集 系统和网络日志文件系统和网络日志文件 目录和文件中的不期望的改变目录和文件中的不期望的改变 程序执行中的不期望行为程序执行中的不期望行为 物理形式的入侵信息物理形式的入侵信息第二步：信息分析第二步：信息分析 模式匹配模式匹配 统计分析统计分析 完整性分析完整性分析7.2.2 7.2.2 入侵检测技术入侵检测技术 VPN是将

27、互联网作为计算机网络主干的一种网络是将互联网作为计算机网络主干的一种网络模式，是企业网在互联网等公共网络上的延伸，在公模式，是企业网在互联网等公共网络上的延伸，在公用的或不可信的网络基础结构上提供安全，包括从客用的或不可信的网络基础结构上提供安全，包括从客户端到网关的安全远程访问和网关到网关的安全连接。户端到网关的安全远程访问和网关到网关的安全连接。“虚拟虚拟”的概念是相对传统企业专用网的构建方式而的概念是相对传统企业专用网的构建方式而言的，言的，VPN利用服务提供商提供的公共网络来实现远利用服务提供商提供的公共网络来实现远程的广域连接，将远程用户、公司分支机构、商业伙程的广域连接，将远程用户

28、、公司分支机构、商业伙伴及供应商与公司的内部网连接起来，构成一个扩展伴及供应商与公司的内部网连接起来，构成一个扩展的企业内联网。在该网中的主机将不会觉察到公共网的企业内联网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处在一个网络之中，公络的存在，仿佛所有的主机都处在一个网络之中，公共网络好像只有本网络独占。共网络好像只有本网络独占。7.2.3 7.2.3 虚拟专用网虚拟专用网（1）VPN的功能的功能nVPN网络可以利用网络可以利用IP网络、帧中继网络和网络、帧中继网络和ATM网络网络建设，建设，VPN的具体实现是采用隧道技术，将企业内的的具体实现是采用隧道技术，将企业内的数据封

29、装在隧道中进行传输。数据封装在隧道中进行传输。VPN应提供如下的功能：应提供如下的功能：加密数据加密数据 以保证通过公网传输的信息即使被他人截获也不会泄密。以保证通过公网传输的信息即使被他人截获也不会泄密。信息认证和身份认证信息认证和身份认证 保证信息的完整性、合法性，并能鉴别用户的身份。保证信息的完整性、合法性，并能鉴别用户的身份。提供访问控制提供访问控制 不同的用户有不同的访问权限。不同的用户有不同的访问权限。7.2.3 7.2.3 虚拟专用网虚拟专用网 n计算机病毒伴随着计算机软硬件技术及网络技术的发计算机病毒伴随着计算机软硬件技术及网络技术的发展而繁衍成一个庞大的家族。计算机病毒已成为

30、了影展而繁衍成一个庞大的家族。计算机病毒已成为了影响电子商务安全的重要因素之一。响电子商务安全的重要因素之一。n1994年我国正式颁布实施了年我国正式颁布实施了中华人民共和国计算中华人民共和国计算机信息系统安全保护条例机信息系统安全保护条例，在第二十八条中明确指，在第二十八条中明确指出出“计算机病毒是指编制或者在计算机程序中插入的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码能够自我复制的一组计算机指令或者程序代码”。此。此定义具有法律性和权威性。定义具有法律性和权威

31、性。7.2.4 7.2.4 防病毒技术防病毒技术 （1）计算机病毒的特点）计算机病毒的特点 计算机病毒是一种特殊的程序，其种类繁多，各自具计算机病毒是一种特殊的程序，其种类繁多，各自具有不同的特征，从计算机病毒的定义中可以看出传染有不同的特征，从计算机病毒的定义中可以看出传染性和破坏性是其最基本的特征，其次还具有隐蔽性，性和破坏性是其最基本的特征，其次还具有隐蔽性，可触发性等特点，具体可归纳为如下几个方面：可触发性等特点，具体可归纳为如下几个方面：寄生性寄生性 传染性传染性 潜伏性潜伏性 隐蔽性隐蔽性 可触发性可触发性 破坏性破坏性7.2.4 7.2.4 防病毒技术防病毒技术 （3）计算机病毒

32、的预防）计算机病毒的预防 为了避免计算机病毒的感染和传播，应该从预防和清为了避免计算机病毒的感染和传播，应该从预防和清除两个方面着手。预防就是通过采取积极稳妥的应对除两个方面着手。预防就是通过采取积极稳妥的应对策略，阻止计算机病毒进入网络计算机系统，使其免策略，阻止计算机病毒进入网络计算机系统，使其免于病毒感染，做到防患于未然。采取有效的计算机病于病毒感染，做到防患于未然。采取有效的计算机病毒预防措施，是实现电子商务系统病毒防治的重中之毒预防措施，是实现电子商务系统病毒防治的重中之重。预防病毒的主要措施有：重。预防病毒的主要措施有：安装防病毒软件。安装防病毒软件。备份重要资料。备份重要资料。小

33、心使用可移动储存介质。小心使用可移动储存介质。先扫描后使用。先扫描后使用。使用硬盘恢复工具恢复数据。使用硬盘恢复工具恢复数据。不要在互联网上随意下载软件。不要在互联网上随意下载软件。不要轻易打开电子邮件的附件。不要轻易打开电子邮件的附件。7.2.4 7.2.4 防病毒技术防病毒技术 （4）计算机病毒的清除）计算机病毒的清除 清除就是通过定期或不定期对网络上计算机系统进行清除就是通过定期或不定期对网络上计算机系统进行检查，一旦发现存在的计算机病毒，就利用相应地方检查，一旦发现存在的计算机病毒，就利用相应地方法将其清除掉。法将其清除掉。在清除计算机病毒之前，应注意如下的原则：在清除计算机病毒之前，

34、应注意如下的原则：清除病毒之前，一定要备份所有重要数据以防万清除病毒之前，一定要备份所有重要数据以防万一。一。清除病毒时，一定要用干净的系统引导机器，保清除病毒时，一定要用干净的系统引导机器，保证整个清除病毒过程在无毒的环境下进行，否则病毒证整个清除病毒过程在无毒的环境下进行，否则病毒会重新感染已除毒的文件。会重新感染已除毒的文件。做好备用的保存磁盘引导扇区的文件，在文件名做好备用的保存磁盘引导扇区的文件，在文件名上要反应出该盘的型号、容量和版本，因不同的磁盘上要反应出该盘的型号、容量和版本，因不同的磁盘的分区表不同，引导记录的的分区表不同，引导记录的BPB（磁盘基数表）也不（磁盘基数表）也不

35、同，一但恢复时不对应，被恢复的磁盘将无法读取。同，一但恢复时不对应，被恢复的磁盘将无法读取。操作中应谨慎处理，对所读取的数据应进行多次操作中应谨慎处理，对所读取的数据应进行多次检查核对，确认无误后再进行相关操作。检查核对，确认无误后再进行相关操作。7.2.4 7.2.4 防病毒技术防病毒技术 清除计算机病毒可采用如下方法：清除计算机病毒可采用如下方法：用保存主引导扇区信息恢复的方法。用保存主引导扇区信息恢复的方法。程序覆盖方法。程序覆盖方法。低级格式化或格式化磁盘。低级格式化或格式化磁盘。手工清除方法。手工清除方法。7.2.4 7.2.4 防病毒技术防病毒技术 清除计算机病毒可采用如下方法：清

36、除计算机病毒可采用如下方法：用保存主引导扇区信息恢复的方法。用保存主引导扇区信息恢复的方法。程序覆盖方法。程序覆盖方法。低级格式化或格式化磁盘。低级格式化或格式化磁盘。手工清除方法。手工清除方法。7.2.4 7.2.4 防病毒技术防病毒技术 7.3.1 7.3.1 基本认证技术基本认证技术 7.3.2 7.3.2 认证中心认证中心7.3 7.3 电子商务的认证技术电子商务的认证技术 n在电子商务的交易中，认证技术是保证交易安全的一在电子商务的交易中，认证技术是保证交易安全的一个很重要的技术。因为在互联网上电子商务交易是在个很重要的技术。因为在互联网上电子商务交易是在虚拟环境中进行的，交易当事人

37、之间互不见面，为了虚拟环境中进行的，交易当事人之间互不见面，为了保证双方真式身份都能被唯一识别，交易信息不被第保证双方真式身份都能被唯一识别，交易信息不被第三方修改或伪造以及交易信息不被抵赖，就必须采用三方修改或伪造以及交易信息不被抵赖，就必须采用认证技术。认证技术。n电子商务认证具体主要包括身份认证和信息认证。前电子商务认证具体主要包括身份认证和信息认证。前者用于鉴别网上交易参加者的身份，后者用于保证通者用于鉴别网上交易参加者的身份，后者用于保证通信双方的不可抵赖性和信息的完整性。信双方的不可抵赖性和信息的完整性。7.3.1 7.3.1 基本认证技术基本认证技术（1）身份认证）身份认证n身份

38、认证就是在电子商务交易过程中，判明和确认贸身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份，用户必须提供他是谁的证明。易参与者的真实身份，用户必须提供他是谁的证明。在网络的在线交易中，面临着病毒、黑客、网络钓鱼在网络的在线交易中，面临着病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁，假冒客户、假冒商家以及网页仿冒诈骗等恶意威胁，假冒客户、假冒商家和假冒银行等事件层出不穷，这足以说明身份认证的和假冒银行等事件层出不穷，这足以说明身份认证的重要性。重要性。n身份认证具有以下功能：身份认证具有以下功能：可信性可信性 完整性完整性 不可抵赖性不可抵赖性 访问控制性访问控制性7.3.1

39、7.3.1 基本认证技术基本认证技术 n身份认证的方式有：身份认证的方式有：用户名用户名/密码方式密码方式 智能卡认证智能卡认证 动态口令动态口令 USB Key认证认证 生物识别技术生物识别技术n就目前趋势来看，将生物识别在内的几种安全机制整就目前趋势来看，将生物识别在内的几种安全机制整合应用正在成为新的潮流。其中，较为引人注目的是合应用正在成为新的潮流。其中，较为引人注目的是将生物识别、智能卡、公匙基础设施（将生物识别、智能卡、公匙基础设施（PKI）技术相）技术相结合的应用，如指纹结合的应用，如指纹KEY产品。产品。7.3.1 7.3.1 基本认证技术基本认证技术（2）信息认证）信息认证n

40、在互联网的商务活动中，大量信息需要通过网络进行在互联网的商务活动中，大量信息需要通过网络进行传输，这需要网络传输中能够保证信息的安全，为用传输，这需要网络传输中能够保证信息的安全，为用户提供安全的服务。户提供安全的服务。n信息认证具有以下的功能：信息认证具有以下的功能：n 信息加密信息加密n 信息完整性信息完整性n 信息验证信息验证n 信息的过时及重用的验证信息的过时及重用的验证7.3.1 7.3.1 基本认证技术基本认证技术 n信息认证的实现方式如下：信息认证的实现方式如下：数字签名数字签名 在书面文字上签名是确认文件的一种手段，签名的作在书面文字上签名是确认文件的一种手段，签名的作用有两点

41、，一是因为自己的签名难以否认，从而确认用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从了文件已签署这一事实；二是因为签名不易仿冒，从而确认了文件是真这一事实。数字签名和书面签名有而确认了文件是真这一事实。数字签名和书面签名有相同之处，采用数字签名也能确认这两点：一是信息相同之处，采用数字签名也能确认这两点：一是信息是由签名者发送的，二是信息自签发后到收到为止未是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样数字签名就可以用来防止电子曾做过任何修改。这样数字签名就可以用来防止电子信息因易被修改而有人作伪、冒用别人名义发送信息信息因易被

42、修改而有人作伪、冒用别人名义发送信息或发送（收到）信息后又加以否认等情况发生。或发送（收到）信息后又加以否认等情况发生。7.3.1 7.3.1 基本认证技术基本认证技术 n数字签名技术通常是采用非对称密钥加密算法实现的，数字签名技术通常是采用非对称密钥加密算法实现的，其实现方式是数据源发送方使用自己的私钥对数据校其实现方式是数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法成对数据的合法“签名签名”，数据接收方则利用对方的，数据接收方则利用对方的公钥来解读收到的公钥来解读收到的“数字签名数字签名”，并将解

43、读结果用于，并将解读结果用于对数据完整性的检验，以确认签名的合法性。对数据完整性的检验，以确认签名的合法性。n应用广泛的数字签名方法有三种，即应用广泛的数字签名方法有三种，即RSA签名、签名、DSS签名和签名和Hash（哈希函数）签名，其中（哈希函数）签名，其中Hash签名是最签名是最主要的签名方法。这三种算法可单独使用，也可综合主要的签名方法。这三种算法可单独使用，也可综合在一起使用。在一起使用。7.3.1 7.3.1 基本认证技术基本认证技术 nHash签名也称之为数字摘要法（签名也称之为数字摘要法（Digital Digest）、）、数字指纹法（数字指纹法（Digital Finger

44、print）。该数字签名）。该数字签名方法是将数字签名与要发送的信息紧密联系在一起，方法是将数字签名与要发送的信息紧密联系在一起，更适合于电子商务活动。将一个商务合同的个体内容更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加与签名结合在一起，比合同和签名分开传递，更增加了可信度和安全性。了可信度和安全性。n数字签名除了具有书面签名的全部功能外，还具有容数字签名除了具有书面签名的全部功能外，还具有容易转换、难以伪造、可远程传输等优点，是目前实现易转换、难以伪造、可远程传输等优点，是目前实现电子商务数据传输安全保密的主要手段之一。电子商务数据传输安全保密

45、的主要手段之一。7.3.1 7.3.1 基本认证技术基本认证技术 数字信封数字信封n数字信封是用加密技术来保证只有规定的特定收信人数字信封是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。数字信封的功能类似于普通信才能阅读通信的内容。数字信封的功能类似于普通信封，普通信封在法律的约束下保证只有收信人才能阅封，普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制。对称密码体制和公钥密码体制。

46、n数字信封主要包括数字信封打包和数字信封拆解，数数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据（通信密过程，只有对方的私钥才能将加密后的数据（通信密钥）还原；数字信封拆解是使用私钥将加密过的数据钥）还原；数字信封拆解是使用私钥将加密过的数据解密的过程。解密的过程。7.3.1 7.3.1 基本认证技术基本认证技术 数字时间戳（数字时间戳（DTS）n在各种政务和商务文件中，时间是十分重要的信息，在各种政务和商务文件中，时间是十分重要的信息，就如同在书面合同中，文件签署的

47、日期和签名一样均就如同在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（数字时间戳服务（DTS：digital time-stamp service）就是电子文件发表日期和时间的安全保护）就是电子文件发表日期和时间的安全保护措施。措施。n数字时间戳服务是网上安全服务项目，由专门的机构数字时间戳服务是网上安全服务项目，由专门的机构提供。时间戳（提供。时间戳（time-stamp）是一个经加密后形成）是一个经加密后形成的凭证文档，它包括三个部分：的凭证文档，它包括三个部分：n需加时间戳的文件的摘要需加

48、时间戳的文件的摘要（digest）；）；nDTS收到文件的日期和时间；收到文件的日期和时间；nDTS的数字签名。的数字签名。7.3.1 7.3.1 基本认证技术基本认证技术 n 数字证书数字证书n数字证书（数字证书（Digital Certificate）又称为数字标识）又称为数字标识（Digital ID）、数字凭证，是用电子手段来证实一）、数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字证书个用户的身份和对网络资源的访问的权限。数字证书是一种权威性的电子文档，其作用类似于司机的驾驶是一种权威性的电子文档，其作用类似于司机的驾驶执照或日常生活中的身份证，是由一个权威机

49、构执照或日常生活中的身份证，是由一个权威机构CA证书授权（证书授权（Certificate Authority）中心发行的，）中心发行的，人们可以在互联网交往中用它来识别对方的身份。当人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至作为权威的、公正的、可信赖的第三方，其作用是至关重要的。关重要的。n数字证书提供了一种在互联网上验证身份的方式，在数字证书提供了一种在互联网上验证身份的方式，在网上的电子交易中，如双方出示了各自的数字凭证，网上的电子交易中，如双方出示了各

50、自的数字凭证，并用它来进行交易操作，那么双方都可不必头对方身并用它来进行交易操作，那么双方都可不必头对方身份的真伪担心。份的真伪担心。7.3.1 7.3.1 基本认证技术基本认证技术 n数字凭证有三种类型：数字凭证有三种类型：n第一类：个人凭证（第一类：个人凭证（Personal Digital ID）。该证书仅仅）。该证书仅仅为某一个用户提供证书，以帮助其个人在网上进行安全交易为某一个用户提供证书，以帮助其个人在网上进行安全交易操作。操作。n第二类：企业（服务器）凭证（第二类：企业（服务器）凭证（Server ID）。该证书通常）。该证书通常为网上的某个为网上的某个 Web服务器提供凭证，拥