第7章 电子商务安全技术(刘捷).docVIP

第7章 电子商务安全技术 教学目标 通过本章的学习，使学生了解互联网所面临的安全隐患都有哪些，理解电子商务的主要安全问题：信息泄露、信息篡改、身份识别和不可抵赖性等，掌握电子商务的主要安全技术：加密技术、报文摘要技术、数字证书及CA、数字签名和防火墙技术等，熟悉电子商务的两个重要的安全协议：SSL和SET,并且能够运用电子商务的安全技术解决电子商务的实际问题。 知识要点 互联网的安全隐患 电子商务的主要安全问题 加密技术 报文摘要技术 数字证书及CA 数字签名技术 防火墙技术 SSL协议 SET协议 能力要求 (1)了解互联网所面临的安全威胁 (2)了解电子商务的的主要安全问题,及其安全需求 (3)掌握常用的电子商务安全技术 (4)掌握SSL和SET协议的特点 (4)具备发现、识别和解决电子商务安全问题的能力 在信息社会中,网络信息安全与保密是关系国家主权和安全、社会的稳定、民族文化的继承和发扬的重要问题。从技术角度看,网络信息安全与保密是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的边缘性综合学科。网络信息安全与保密的重要性有目共睹。特别是随着全球信息基础设施和各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”，网络化、信息化已成为现代社会的一个重要特征。 事物总是辩证统一的。科技进步在造福人类的同时，也带来了新的危害。从某种意义上讲，网络信息系统的广泛普及，就像一个打开的潘多拉魔盒，使得新的邪恶与犯罪相伴而来。网络信息系统中的各种犯罪活动已经严重地危害着社会的发展和国家的安全，也带来许多新的课题。电子商务的安全问题便是这些众多新课题中最具代表性的例子。 7.1 电子商务安全问题概述 7.1.1 互联网的安全隐患 互联网指的是全球性的信息系统，是能够相互交流，相互沟通，相互参与的互动平台。因此互联网安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。 　　互联网香肠术利用计算机从金融银行信息系统上一点一点窃取存款，如窃取户上的利息尾数，积少成多计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。逻辑炸弹引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。制造了一个逻辑炸弹用来删除服务器上的所有数据，触发条件是他在一个月内没有登录。系统管理员制造这个逻辑炸弹是因为他知道Sniffer，是一种基于被动侦听原理的方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 计算机病毒是一种具有破坏性的程序，是一种能够进入计算机存储系统、反复地自我繁殖、扩散并危害计算机系统正常工作的指令序列。据统计资料显示目前每月有900种以上新型病毒进入互联网，在全世界范围内造成大量的危害。 计算机病毒一般具有以下特点。 ①感染性 计算机病毒具有再生机制，它能够自动地将自身的复制品或其变种感染到其他程序体上。这是计算机病毒最根本的属性，是判断、检测病毒的重要依据。 ②流行性 一种计算机病毒出现之后，可以流行感染一类计算机程序、计算机系统和计算机网络。病毒中的代码通过计算机、存储器、存储介质进行传播和扩散，强行修改计算机程序和数据。 ③欺骗性 病毒程序往往采用几种欺骗技术，如脱皮技术、改头换面、密码技术来逃脱检测，使其有更长的隐藏时间去实现传染和破坏的目的。 ④危害性 病毒不仅占用系统资源，甚至使整个计算机网络瘫痪，删除文件或数据，格式化磁盘，降低运行效率或中断系统运行，造成灾难性后果。破坏的程度取决于病毒设计者的用心。 ⑤潜伏性 病毒具有依附于其他媒体的能力，入侵计算机系统的病毒一般有一个休眠期，当它侵入系统之后，一般并不立即发作，而是潜伏下来。在此期间，它没有任何破坏行为，也不做任何破坏活动，而要经过一段时间或满足一定的条件后才突发式的进行感染，复制病毒副本，进行破坏活动。 ⑥隐蔽性 有的病毒感染宿主程序以后，在宿主程序中自动寻找“空洞”，而将病毒拷贝到空洞中，并保持宿主程序长度的不变，使其难以被发现，以争取较长的存活时间，从而造成大面积的感染。