（中职）电子商务基础项目7 电子商务安全技术ppt课件.ppt

YCF正版可修改PPT（中职）电子商务基础项目7 电子商务安全技术ppt课件项目七项目七 电子商务安全技术电子商务安全技术 项目项目项目项目 数字证书的申请数字证书的申请数字证书的申请数字证书的申请 危害电子商务安全要素危害电子商务安全要素 32 2 1 电子商务的安全需求及防范对策电子商务的安全需求及防范对策 电子商务安全主要技术电子商务安全主要技术知识要点一、任务引入一、任务引入一、任务引入一、任务引入 网上银行和网上支付的安全性是用户使用其服务的基础网上银行和网上支付的安全性是用户使用其服务的基础网上银行和网上支付的安全性是用户使用其服务的基础网上银行和网上支付的安全性是用户使用其服务的基础。一旦用户银行账号、身份证号、交易密码等信息泄露，将。一旦用户银行账号、身份证号、交易密码等信息泄露，将。一旦用户银行账号、身份证号、交易密码等信息泄露，将。一旦用户银行账号、身份证号、交易密码等信息泄露，将给用户带来直接的财产损失。造成网上银行和网上支付安全给用户带来直接的财产损失。造成网上银行和网上支付安全给用户带来直接的财产损失。造成网上银行和网上支付安全给用户带来直接的财产损失。造成网上银行和网上支付安全问题的主要原因有四种：一是黑客侵入用户计算机盗取卡号问题的主要原因有四种：一是黑客侵入用户计算机盗取卡号问题的主要原因有四种：一是黑客侵入用户计算机盗取卡号问题的主要原因有四种：一是黑客侵入用户计算机盗取卡号信息和密码；二是交易信息在互联网传输的过程中被黑客截信息和密码；二是交易信息在互联网传输的过程中被黑客截信息和密码；二是交易信息在互联网传输的过程中被黑客截信息和密码；二是交易信息在互联网传输的过程中被黑客截取；三是用户误入取；三是用户误入取；三是用户误入取；三是用户误入“钓鱼钓鱼钓鱼钓鱼”网站，信用卡号和密码被骗取，网站，信用卡号和密码被骗取，网站，信用卡号和密码被骗取，网站，信用卡号和密码被骗取，这种情况是用户被骗的最主要情况；四是用户轻信虚假广告这种情况是用户被骗的最主要情况；四是用户轻信虚假广告这种情况是用户被骗的最主要情况；四是用户轻信虚假广告这种情况是用户被骗的最主要情况；四是用户轻信虚假广告宣传，为获得不法利益签约电子银行并将安全产品及私密信宣传，为获得不法利益签约电子银行并将安全产品及私密信宣传，为获得不法利益签约电子银行并将安全产品及私密信宣传，为获得不法利益签约电子银行并将安全产品及私密信息泄露出去造成资金损失。王微是一个热衷于网络购物的消息泄露出去造成资金损失。王微是一个热衷于网络购物的消息泄露出去造成资金损失。王微是一个热衷于网络购物的消息泄露出去造成资金损失。王微是一个热衷于网络购物的消费者，基于安全的考虑，在采用信用卡进行网上支付的同时，费者，基于安全的考虑，在采用信用卡进行网上支付的同时，费者，基于安全的考虑，在采用信用卡进行网上支付的同时，费者，基于安全的考虑，在采用信用卡进行网上支付的同时，决定申请一个数字证书。决定申请一个数字证书。决定申请一个数字证书。决定申请一个数字证书。王微要想申请数字证书，就必须了解有关数字证书王微要想申请数字证书，就必须了解有关数字证书王微要想申请数字证书，就必须了解有关数字证书王微要想申请数字证书，就必须了解有关数字证书的相关内容。的相关内容。的相关内容。的相关内容。(1)(1)了解数字证书的概念和数字证书用于加解密、了解数字证书的概念和数字证书用于加解密、了解数字证书的概念和数字证书用于加解密、了解数字证书的概念和数字证书用于加解密、数字签名中的作用；数字签名中的作用；数字签名中的作用；数字签名中的作用；(2)(2)掌握数字证书的申请流程及安装使用方法；掌握数字证书的申请流程及安装使用方法；掌握数字证书的申请流程及安装使用方法；掌握数字证书的申请流程及安装使用方法；(3)(3)了解什么网站提供供试用、学习性质的免费了解什么网站提供供试用、学习性质的免费了解什么网站提供供试用、学习性质的免费了解什么网站提供供试用、学习性质的免费CACA服务。服务。服务。服务。二、任务分析二、任务分析二、任务分析二、任务分析1信息的截获和窃取信息的截获和窃取 2篡改信息篡改信息3假冒身份假冒身份4抵赖行为抵赖行为5拒绝服务拒绝服务三、相关知识三、相关知识三、相关知识三、相关知识(一一)危害电子商务安全要素危害电子商务安全要素 1信息的截获和窃取信息的截获和窃取三、相关知识三、相关知识三、相关知识三、相关知识 1信息的截获和窃取信息的截获和窃取三、相关知识三、相关知识三、相关知识三、相关知识 网上信息的窃听与数据的窃取网上信息的窃听与数据的窃取登录：登录：登录：登录：foo.bar.orgfoo.bar.org用户名：用户名：用户名：用户名：dandan密码：密码：密码：密码：M-y-p-a-s-s-w-o-r-dM-y-p-a-s-s-w-o-r-d d-a-n d-a-n2.篡改信息篡改信息 三、相关知识三、相关知识 数据篡改数据篡改存存存存10001000美元到美元到美元到美元到BobBob的的的的账号账号账号账号客户银行存存存存900900美元到美元到美元到美元到MalletMallet的账号的账号的账号的账号存存存存100100美元到美元到美元到美元到BobBob账号账号账号账号请给丁汇请给丁汇100元元乙乙甲甲请给丁汇请给丁汇100元元请给丙汇请给丙汇100元元丙丙请给丙汇请给丙汇100元元信息的重发信息的重发n n攻击者截获网上的密文信息后并攻击者截获网上的密文信息后并不破译，而是把这些数据包再次不破译，而是把这些数据包再次向有关服务器发送。向有关服务器发送。龅龅牙牙哥哥 茫茫然然弟弟3假冒身份假冒身份 三、相关知识三、相关知识三、相关知识三、相关知识 对用户身份的仿冒对用户身份的仿冒我是我是我是我是BobBob，将公司与思科公司将公司与思科公司将公司与思科公司将公司与思科公司的所有通信记录发的所有通信记录发的所有通信记录发的所有通信记录发送给我送给我送给我送给我BobBobMalletMalletDataBaseDataBase“尊敬的用户，您被我们联众世界系统抽取为尊敬的用户，您被我们联众世界系统抽取为九月九月金秋无限惊喜金秋无限惊喜幸运玩家，您将获得由联众电脑技幸运玩家，您将获得由联众电脑技术有限责任公司送出的奖金万元以及价值术有限责任公司送出的奖金万元以及价值万元的时尚笔记本电脑一部。请登陆万元的时尚笔记本电脑一部。请登陆本公司网站本公司网站http:/按照提示办理按照提示办理领取您的奖品，咨询热线：领取您的奖品，咨询热线：”5拒绝服务拒绝服务 三、相关知识三、相关知识三、相关知识三、相关知识 拒绝服务拒绝服务(Deny of Service,DoS)分布式拒绝服务攻击分布式拒绝服务攻击(DDoS)（1 1）攻击指令下）攻击指令下）攻击指令下）攻击指令下达各攻击系统达各攻击系统达各攻击系统达各攻击系统（2 2）所有攻击系）所有攻击系）所有攻击系）所有攻击系统开始攻击目标统开始攻击目标统开始攻击目标统开始攻击目标系统系统系统系统攻击系统攻击系统攻击系统攻击系统计算机计算机计算机计算机攻击系统攻击系统攻击系统攻击系统计算机计算机计算机计算机攻击系统攻击系统攻击系统攻击系统计算机计算机计算机计算机目标目标目标目标系统系统系统系统计算机计算机计算机计算机Internet攻击者攻击者攻击者攻击者n“一网打尽说：我再给你5分钟，不给我的话你们就等死吧！”去年12月5日，新浪网工作人员赵先生接到这样一条聊天记录。5分钟后该网站北京等地的多个UT服务器突然遭到海量信息攻击，在长达近500分钟内无法为用户提供服务。昨天，制造了这起黑客攻击新浪事件的张波在海淀法院受审。n据指控，2007年12月4日到2008年1月8日，张波通过拒绝服务的攻击方式，对新浪UT服务器进行攻击，造成新浪北京、天津、广州等地的UT服务器全面堵塞，损失达到近50万元。检方认为张波构成破坏计算机信息系统罪。1保密性保密性2完整性完整性 3个体识别性个体识别性 4不可抵赖性不可抵赖性 5授权合法性授权合法性6数据有效性数据有效性 三、相关知识三、相关知识三、相关知识三、相关知识(二二)电子商务的安全需求及防范对策电子商务的安全需求及防范对策 网络安全的工作目的防火墙技术防火墙技术数据加密技术数据加密技术数字签名数字签名身份认证技术身份认证技术防病毒技术防病毒技术 三、相关知识三、相关知识三、相关知识三、相关知识(三三)电子商务安全主要技术电子商务安全主要技术 网络安防的架构1 1防火墙技术防火墙技术防火墙技术防火墙技术三、相关知识三、相关知识三、相关知识三、相关知识 防火墙是一种安全有效的防范技术。从狭义上来讲，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上看，防火墙还包括了整个网络的安全策略和安全行为。1 1防火墙技术防火墙技术防火墙技术防火墙技术三、相关知识三、相关知识三、相关知识三、相关知识 防火墙是一种隔离控制技术，它通过在风险区域(即互联网或有一定风险的网络)与安全区域(局域网)之间设置一个或多个电子屏障（包括包过滤、代理服务、电路网关和应用网关）来提供网络安全环境。其目的是阻止对信息资源的非法访问，过滤掉不安全服务和非法用户，也可以阻止内部人员从公司的网络上非法窃取机密信息。防火墙示意图Internet1.企业内联网企业内联网2.部门子网部门子网3.分公司网络分公司网络互联网互联网互联网互联网非法获取内部非法获取内部非法获取内部非法获取内部数据数据数据数据防火墙的作用示意图防火墙的作用示意图(1)(1)防火墙的优点和缺陷防火墙的优点和缺陷防火墙的优点和缺陷防火墙的优点和缺陷保护网络中脆弱的服务 集中安全性 增强保密性、强化私有权 网络访问监控审计 限制有用的网络服务 不能有效防止内部网络用户的攻击 防火墙无法防范通过防火墙以外的其他途径的攻击 防火墙也不能完全防止传送已感染病毒的软件或文件 防火墙无法防范新的网络安全问题 三、相关知识三、相关知识三、相关知识三、相关知识 优点优点优点优点缺陷缺陷缺陷缺陷(2)(2)防火墙类型防火墙类型防火墙类型防火墙类型包过滤防火墙 代理服务防火墙，也称作应用级防火墙 三、相关知识三、相关知识三、相关知识三、相关知识 2 2数据加密技术数据加密技术数据加密技术数据加密技术 三、相关知识三、相关知识三、相关知识三、相关知识（1）加密系统的组成）加密系统的组成明文明文 密文 加密解密算法 密钥 明文密文明文加密解密发送者接收者(2)加密的类型加密的类型 对称加密，又称私钥加密，即信息的发送方和接收方用相同的密钥去加密和解密数据非对称加密，又称公钥密钥加密。双重加密 三、相关知识三、相关知识三、相关知识三、相关知识 n n对称加密比较典型的算法有对称加密比较典型的算法有对称加密比较典型的算法有对称加密比较典型的算法有DES(Data Encryption DES(Data Encryption StandardStandard数据加密标准数据加密标准数据加密标准数据加密标准)算法及其变形算法及其变形算法及其变形算法及其变形Triple DES(Triple DES(三重三重三重三重DES)DES)，GDES(GDES(广义广义广义广义DES)DES)；欧洲的；欧洲的；欧洲的；欧洲的IDEAIDEA；日本的；日本的；日本的；日本的FEALNFEALN、RC5RC5等。等。等。等。三、相关知识三、相关知识三、相关知识三、相关知识 对称加密，又称私钥加密，即信息的发送方和接收方用相同的密钥对称加密，又称私钥加密，即信息的发送方和接收方用相同的密钥去加密和解密数据去加密和解密数据 甲方：甲方：乙方：乙方：（甲密钥）（甲密钥）（乙密钥）（乙密钥）用甲密用甲密钥加密钥加密用甲用甲密密钥钥解密解密用乙密密钥钥加密用乙密钥解密n nDESDES的优点是仅使用最大为的优点是仅使用最大为的优点是仅使用最大为的优点是仅使用最大为6464位的标准算术和逻辑运算，位的标准算术和逻辑运算，位的标准算术和逻辑运算，位的标准算术和逻辑运算，运算速度快，密钥生产容易。运算速度快，密钥生产容易。运算速度快，密钥生产容易。运算速度快，密钥生产容易。n nDESDES的缺点是：密钥太短的缺点是：密钥太短的缺点是：密钥太短的缺点是：密钥太短(56(56位位位位)，影响了它的保密强度；，影响了它的保密强度；，影响了它的保密强度；，影响了它的保密强度；密钥管理困难。它要求通信双方事先交换密钥，当系统用密钥管理困难。它要求通信双方事先交换密钥，当系统用密钥管理困难。它要求通信双方事先交换密钥，当系统用密钥管理困难。它要求通信双方事先交换密钥，当系统用户多时，需要管理成千上万的密钥与不同的对象通信。户多时，需要管理成千上万的密钥与不同的对象通信。户多时，需要管理成千上万的密钥与不同的对象通信。户多时，需要管理成千上万的密钥与不同的对象通信。三、相关知识三、相关知识三、相关知识三、相关知识 非对称加密，又称公钥密钥加密。非对称加密，又称公钥密钥加密。非对称加密，又称公钥密钥加密。非对称加密，又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作，一个公开它需要使用一对密钥来分别完成加密和解密操作，一个公开它需要使用一对密钥来分别完成加密和解密操作，一个公开它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥发布，称为公开密钥发布，称为公开密钥发布，称为公开密钥(Public Key)(Public Key)；另一个由用户自己秘；另一个由用户自己秘；另一个由用户自己秘；另一个由用户自己秘密保存，称为私有密钥密保存，称为私有密钥密保存，称为私有密钥密保存，称为私有密钥(Private Key)(Private Key)。信息发送者用公开密钥去加密，而信息接收者则用私有密钥信息发送者用公开密钥去加密，而信息接收者则用私有密钥信息发送者用公开密钥去加密，而信息接收者则用私有密钥信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。去解密。去解密。去解密。三、相关知识三、相关知识三、相关知识三、相关知识 非对称加密非对称加密RSARSA是目前使用最广泛的非对称加密算法是目前使用最广泛的非对称加密算法是目前使用最广泛的非对称加密算法是目前使用最广泛的非对称加密算法 非对称算法研制的最初理念与目标是旨在解决对称加密算法中密钥的分发问题，实际上它不但很好的解决了这个问题，还利用非对称加密算法来完成对电子信息的识别签名，以防止对信息的否认和抵赖，同时还可以利用数字签名，较容易地发现攻击者对信息的非法修改，以保护数据信息的完整性。三、相关知识三、相关知识三、相关知识三、相关知识 双重加密。双重加密。双重加密。双重加密。发送者自动生成对称密钥，用对称密钥加密发送的信息，将生成的密文连同用接收方的公开密钥加密后的对称密钥起传送出去。收信者用其私有密钥解密被加密的密钥来得到对称密钥，然后用这把对称密钥来解密密文。三、相关知识三、相关知识三、相关知识三、相关知识 3 3数字签名技术数字签名技术数字签名技术数字签名技术 数字签名相对于手写签名在安全性方面的好处是：数数字签名相对于手写签名在安全性方面的好处是：数数字签名相对于手写签名在安全性方面的好处是：数数字签名相对于手写签名在安全性方面的好处是：数字签名不仅与签名者的私有密钥有关，而且与报文的内容字签名不仅与签名者的私有密钥有关，而且与报文的内容字签名不仅与签名者的私有密钥有关，而且与报文的内容字签名不仅与签名者的私有密钥有关，而且与报文的内容有关，因此不能将签名者对一份报文的签名复制到另一份有关，因此不能将签名者对一份报文的签名复制到另一份有关，因此不能将签名者对一份报文的签名复制到另一份有关，因此不能将签名者对一份报文的签名复制到另一份报文上，同时也能防止篡改报文的内容，或冒用别人名义报文上，同时也能防止篡改报文的内容，或冒用别人名义报文上，同时也能防止篡改报文的内容，或冒用别人名义报文上，同时也能防止篡改报文的内容，或冒用别人名义发送信息；或发出发送信息；或发出发送信息；或发出发送信息；或发出(收到收到收到收到)信件后又加以否认等情况发生。信件后又加以否认等情况发生。信件后又加以否认等情况发生。信件后又加以否认等情况发生。三、相关知识三、相关知识三、相关知识三、相关知识 n n数字签名的工作过程如下：数字签名的工作过程如下：数字签名的工作过程如下：数字签名的工作过程如下：n n(1)(1)被发送文件用被发送文件用被发送文件用被发送文件用HashHash算法产生算法产生算法产生算法产生128128位的信息摘要。位的信息摘要。位的信息摘要。位的信息摘要。n n(2)(2)发送方用自己的私有密钥对摘要加密，这就形成了数发送方用自己的私有密钥对摘要加密，这就形成了数发送方用自己的私有密钥对摘要加密，这就形成了数发送方用自己的私有密钥对摘要加密，这就形成了数字签名。字签名。字签名。字签名。n n(3)(3)将明文和加密的摘要同时传给接收方。将明文和加密的摘要同时传给接收方。将明文和加密的摘要同时传给接收方。将明文和加密的摘要同时传给接收方。n n(4)(4)接收方用发送方的公开密钥对摘要解密，同时对明文接收方用发送方的公开密钥对摘要解密，同时对明文接收方用发送方的公开密钥对摘要解密，同时对明文接收方用发送方的公开密钥对摘要解密，同时对明文用用用用HashHash算法又产生一次算法又产生一次算法又产生一次算法又产生一次128128位的摘要。位的摘要。位的摘要。位的摘要。n n(5)(5)接收方将解密后的摘要和收到的明文相对比，如两者接收方将解密后的摘要和收到的明文相对比，如两者接收方将解密后的摘要和收到的明文相对比，如两者接收方将解密后的摘要和收到的明文相对比，如两者一致，则说明信息确实由发送方发送，并且在传送过程中一致，则说明信息确实由发送方发送，并且在传送过程中一致，则说明信息确实由发送方发送，并且在传送过程中一致，则说明信息确实由发送方发送，并且在传送过程中信息没有被破坏或篡改过。信息没有被破坏或篡改过。信息没有被破坏或篡改过。信息没有被破坏或篡改过。三、相关知识三、相关知识三、相关知识三、相关知识 数字签名数字签名 4 4身份认证技术身份认证技术身份认证技术身份认证技术。三、相关知识三、相关知识三、相关知识三、相关知识(1)(1)口令认证技术口令认证技术口令认证技术口令认证技术 如何保证口令的安全呢？注意口令的组合 防止口令被监听 防止穷举法和字典法攻击 加强管理。经常更改口令 三、相关知识三、相关知识三、相关知识三、相关知识(2)(2)数字证书数字证书数字证书数字证书在在在在电电电电子子子子商商商商务务务务交交交交易易易易中中中中必必必必须须须须解解解解决决决决两两两两个个个个问问问问题题题题：身身身身份份份份验验验验证证证证和和和和交交交交易易易易的的的的不可抵赖。不可抵赖。不可抵赖。不可抵赖。三、相关知识三、相关知识三、相关知识三、相关知识 数字证书也叫CA证书，是网络通讯中标志通信各方身份信息的一系列数据。它是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循ITU X509国际标准。用用户户因因数数字字证证书书被被破破解解而而受受损损最最高高可可索索赔赔8 80 0万万元元口令口令+密码密码n n数字证书类型。数字证书类型。数字证书类型。数字证书类型。n n个人证书（客户证书）。个人证书（客户证书）。个人证书（客户证书）。个人证书（客户证书）。n n企业身份证书。企业身份证书。企业身份证书。企业身份证书。n n服务器证书（站点证书）。服务器证书（站点证书）。服务器证书（站点证书）。服务器证书（站点证书）。n n安全邮件证书。安全邮件证书。安全邮件证书。安全邮件证书。n nCACA证书。证书。证书。证书。三、相关知识三、相关知识三、相关知识三、相关知识(3)(3)认证中心认证中心认证中心认证中心 n认证中心又称为证书授权(Certificate Authority)中心，简称CA中心，是一个负责发放和管理数字证书的，具有权威性和公正性的买卖双方都信任的第三方机构。nCA中心是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理数字证书，以此认证所有参与网上交易实体的身份。n目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。三、相关知识三、相关知识三、相关知识三、相关知识 认证机构的外部机构 各认证机构的关系 商家认证机构商家认证机构品牌认证机构品牌认证机构持卡认证机构持卡认证机构根认证机构根认证机构地方认证机构地方认证机构n 我国较大的认证机构我国较大的认证机构中国金融认证中心（中国金融认证中心（CFCA）建设：中国人民银行组织，建设：中国人民银行组织，1212家商业银行共建家商业银行共建时间：今年底或明年初建成时间：今年底或明年初建成构成：构成：SET CA SET CA 与与 Non-SET CA(Non-SET CA(如支持如支持SSLSSL）承包商：承包商：Non-SET CANon-SET CA：Entrust/SUN/Entrust/SUN/德达德达 SET CASET CA：IBMIBM应用：为首都电子商城服务，为网上银行应用：为首都电子商城服务，为网上银行 服务，并推广至全国。服务，并推广至全国。BJCA北京认证中心（北京认证中心（BJCA）性质：权威的、可信赖的、公正的第三方信任机构。服务内容：制订PKI系统的相关政策；证书用户审核、登记注册；身份认证、权限控制；颁发证书；公布证书目录；证书的废止、更新等管理；保护CA签名密钥。服务对象：从事电子商务、电子政务、网上金融、网上证券、网上办公的政府机关、企事业单位、个人、网站 和软件代码开发者等。n n4)4)4)4)国内外主要认证机构国内外主要认证机构国内外主要认证机构国内外主要认证机构n n(1)VeriSign(1)VeriSign(1)VeriSign(1)VeriSignn n(2)(2)(2)(2)中国金融认证中心中国金融认证中心中国金融认证中心中国金融认证中心(China Financial Certification(China Financial Certification(China Financial Certification(China Financial Certification AuthorityAuthorityAuthorityAuthority，CFCA)CFCA)CFCA)CFCA)n n(3)(3)(3)(3)中国电信中国电信中国电信中国电信CACACACA中心中心中心中心(China Telecom Certificate(China Telecom Certificate(China Telecom Certificate(China Telecom Certificate AuthorityAuthorityAuthorityAuthority，CTCA)CTCA)CTCA)CTCA)认证中心的主要功能认证中心的主要功能证书的颁发证书的颁发证书的颁发证书的颁发 证书的更新 证书的查询 证书验证 证书的作废 证书的存储和归档 三、相关知识三、相关知识 5防病毒技术防病毒技术（1 1）病毒的概念及特点）病毒的概念及特点）病毒的概念及特点）病毒的概念及特点 中华人民共和国计算机信息系统安全保护条例对计算机病毒进行了明确定义：“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。三、相关知识三、相关知识 计算机病毒特点计算机病毒特点 感染性 非授权性 欺骗性。危害性。潜伏性。隐蔽性。不可预见性。三、相关知识三、相关知识(2)计算机病毒的预防策略计算机病毒的预防策略n n强化防病毒意识，加强计算机使用管理，担任重要工作强化防病毒意识，加强计算机使用管理，担任重要工作强化防病毒意识，加强计算机使用管理，担任重要工作强化防病毒意识，加强计算机使用管理，担任重要工作的计算机应实行专人、专管、专用。的计算机应实行专人、专管、专用。的计算机应实行专人、专管、专用。的计算机应实行专人、专管、专用。n n对计算机系统定期进行查毒，对重要的数据要坚持经常对计算机系统定期进行查毒，对重要的数据要坚持经常对计算机系统定期进行查毒，对重要的数据要坚持经常对计算机系统定期进行查毒，对重要的数据要坚持经常备份。备份。备份。备份。n n不使用来历不明的程序或软件。对外来的软件或数据盘不使用来历不明的程序或软件。对外来的软件或数据盘不使用来历不明的程序或软件。对外来的软件或数据盘不使用来历不明的程序或软件。对外来的软件或数据盘坚持进行使用前查毒，确认无毒后再使用。坚持进行使用前查毒，确认无毒后再使用。坚持进行使用前查毒，确认无毒后再使用。坚持进行使用前查毒，确认无毒后再使用。n n在计算机系统中安装病毒实时监控工具，在发现病毒的在计算机系统中安装病毒实时监控工具，在发现病毒的在计算机系统中安装病毒实时监控工具，在发现病毒的在计算机系统中安装病毒实时监控工具，在发现病毒的第一时间立即采取清除病毒措施。第一时间立即采取清除病毒措施。第一时间立即采取清除病毒措施。第一时间立即采取清除病毒措施。n n在网络环境中，一旦发现某个计算机感染了病毒，立即在网络环境中，一旦发现某个计算机感染了病毒，立即在网络环境中，一旦发现某个计算机感染了病毒，立即在网络环境中，一旦发现某个计算机感染了病毒，立即断开该计算机的网络入口，将病毒可能造成的危害限制在断开该计算机的网络入口，将病毒可能造成的危害限制在断开该计算机的网络入口，将病毒可能造成的危害限制在断开该计算机的网络入口，将病毒可能造成的危害限制在最小范围内，并立即采取清除病毒措施。最小范围内，并立即采取清除病毒措施。最小范围内，并立即采取清除病毒措施。最小范围内，并立即采取清除病毒措施。三、相关知识三、相关知识 n n(3)(3)特洛伊木马特洛伊木马特洛伊木马特洛伊木马n n特洛伊木马（或称木马），英文叫做特洛伊木马（或称木马），英文叫做特洛伊木马（或称木马），英文叫做特洛伊木马（或称木马），英文叫做“Trojan horseTrojan horse”。它是一个程序，驻留在目标计算机里。在目标计算机系统它是一个程序，驻留在目标计算机里。在目标计算机系统它是一个程序，驻留在目标计算机里。在目标计算机系统它是一个程序，驻留在目标计算机里。在目标计算机系统启动的时候，特洛伊木马自动启动，然后在某启动的时候，特洛伊木马自动启动，然后在某启动的时候，特洛伊木马自动启动，然后在某启动的时候，特洛伊木马自动启动，然后在某端口进行端口进行端口进行端口进行侦听。如果在该端口收到数据，对这些数据进行识别，然侦听。如果在该端口收到数据，对这些数据进行识别，然侦听。如果在该端口收到数据，对这些数据进行识别，然侦听。如果在该端口收到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。比如后按识别后的命令，在目标计算机上执行一些操作。比如后按识别后的命令，在目标计算机上执行一些操作。比如后按识别后的命令，在目标计算机上执行一些操作。比如窃取口令，拷贝或删除文件，或重新启动计算机。窃取口令，拷贝或删除文件，或重新启动计算机。窃取口令，拷贝或删除文件，或重新启动计算机。窃取口令，拷贝或删除文件，或重新启动计算机。三、相关知识三、相关知识 n n木马传播方式木马传播方式木马传播方式木马传播方式主要有两种：主要有两种：主要有两种：主要有两种：n n一种是通过一种是通过一种是通过一种是通过E Emailmail，控制端将木马程序以附件，控制端将木马程序以附件，控制端将木马程序以附件，控制端将木马程序以附件的形式通过电子邮件发送到用户端（收信人），的形式通过电子邮件发送到用户端（收信人），的形式通过电子邮件发送到用户端（收信人），的形式通过电子邮件发送到用户端（收信人），收信人只要打开附件就会被植入木马。收信人只要打开附件就会被植入木马。收信人只要打开附件就会被植入木马。收信人只要打开附件就会被植入木马。n n另一种是黑客将木马程序捆绑在软件安装程序上，另一种是黑客将木马程序捆绑在软件安装程序上，另一种是黑客将木马程序捆绑在软件安装程序上，另一种是黑客将木马程序捆绑在软件安装程序上，用户在不知情的情况下载并安装，木马程序随着用户在不知情的情况下载并安装，木马程序随着用户在不知情的情况下载并安装，木马程序随着用户在不知情的情况下载并安装，木马程序随着安装程序的安装也就自动地安装到用户的计算机安装程序的安装也就自动地安装到用户的计算机安装程序的安装也就自动地安装到用户的计算机安装程序的安装也就自动地安装到用户的计算机上。上。上。上。三、相关知识三、相关知识 四、任务实施四、任务实施四、任务实施四、任务实施1)申请、下载、安装数字证书 登录http:/ 2)管理数字证书 五、项目总结五、项目总结五、项目总结五、项目总结 本项目为了建立数字证书的申请人与CA认证中心的信任关系，保证申请数字证书时信息传输的安全。通过申请并下载数字证书，加深对电子商务安全认证的了解，掌握数字证书的申请和使用过程，了解数字证书的工作原理。通过登陆数字证书认证中心网站，学习数字证书的申请、下载、使用等过程，并在Windows中对证书进行有关管理。案例案例酒仙网遭攻击瘫痪超酒仙网遭攻击瘫痪超10小时小时 悬赏百万擒黑客悬赏百万擒黑客 【案例背景案例背景案例背景案例背景】由于国内最大的酒类由于国内最大的酒类B2CB2C电子商务网站酒仙网采用直销模式，大电子商务网站酒仙网采用直销模式，大幅压缩了供应链条，酒品在网站上的售价普遍比市场终端便宜幅压缩了供应链条，酒品在网站上的售价普遍比市场终端便宜30%30%40%40%，直接触动了传统经销商的利益。从酒仙网成立开，直接触动了传统经销商的利益。从酒仙网成立开始，便不断有经销商向厂家写匿名信，威胁厂家停止与酒仙网始，便不断有经销商向厂家写匿名信，威胁厂家停止与酒仙网的合作。一些经销商组织人员成批量秒杀酒仙网珍稀货源，极的合作。一些经销商组织人员成批量秒杀酒仙网珍稀货源，极端的经销商甚至采用大规模采购然后再退货的方式进行破坏。端的经销商甚至采用大规模采购然后再退货的方式进行破坏。n【案例简介案例简介】n酒仙网2012年1月两度遭遇恶意网络攻击，导致网站共计瘫痪超过10个小时。从1月9日晚上10点30分开始，酒仙网遭遇DDoS模式的恶意攻击，导致网络瘫痪6小时以上。由于网络瘫痪导致的售后服务电话暴增，酒仙网的售后系统随之瘫痪，经过6小时的艰苦维修后，系统才得以恢复。次日，酒仙网再次遭遇类似攻击，网站再度瘫痪近4个小时。n一位IT专业人士告诉记者，DDoS是一种很简单但又很有效的进攻方式。通过大量的垃圾信息进行攻击，导致网站瘫痪，使得消费者无法进行正常浏览购买。但是这种模式耗费惊人。每次攻击费用超过20万元。n“这种需要花大钱、破坏性极强的做法，我们认为除了是竞争对手的恶意攻击外，不可能是普通消费者所为，”酒仙网CEO郝鸿峰称，“酒仙网的竞争对手主要有两类，一是酒类电商同行，二是传统酒类经销商。目前其他酒类电商规模还较小，没有与酒仙网形成直接竞争关系。同时，酒类电商的市场有赖于酒仙网作为领军企业来推动，酒类电商同行不太可能进行直接攻击。而传统酒类经销商则直接感受到了酒仙网的巨大威胁。”n酒仙网在日前发布的公开声明中透露，已经第一时间报案，公安机关正在立案侦查。“黑客攻击事件”导致酒仙网商业信誉、经济利益的损失，酒仙网已经留存此次黑客攻击的所有数据，并将会同相关专家提取证据，并保留以法律手段进行追诉的权利。酒仙网表示，“对任何不负责任和别有用心的手段绝不姑息。”为此，该公司许诺对于前10位提供有效信息协助公关机关进行破案的组织或个人，每抓获一名犯罪嫌疑分子，酒仙网将酬谢10万元，共计酬谢100万元。n n【案例分析案例分析】n n根据根据中华人民共和国刑法中华人民共和国刑法和和全国全国人民大表大会常务委员会关于维护互联人民大表大会常务委员会关于维护互联网安全的决定网安全的决定的规定，对网站的恶意的规定，对网站的恶意攻击行为已构成破坏计算机信息系统罪，攻击行为已构成破坏计算机信息系统罪，要承担相应刑事责任和经济赔偿责任。要承担相应刑事责任和经济赔偿责任。习题习题n n一、单项选择题一、单项选择题一、单项选择题一、单项选择题n n1 1（）通过设定某些规则来允许或拒绝数据包的通过，它的作用相当于一个过）通过设定某些规则来允许或拒绝数据包的通过，它的作用相当于一个过）通过设定某些规则来允许或拒绝数据包的通过，它的作用相当于一个过）通过设定某些规则来允许或拒绝数据包的通过，它的作用相当于一个过滤网关。滤网关。滤网关。滤网关。n nA A包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙 B B包过滤路由器包过滤路由器包过滤路由器包过滤路由器n nC C代理服务防火墙代理服务防火墙代理服务防火墙代理服务防火墙 DD应用级防火墙应用级防火墙应用级防火墙应用级防火墙n n2 2包过滤防火墙可以按照（包过滤防火墙可以按照（包过滤防火墙可以按照（包过滤防火墙可以按照（）来禁止未授权者的访问。）来禁止未授权者的访问。）来禁止未授权者的访问。）来禁止未授权者的访问。n nA AIPIP地址地址地址地址 B B域名域名域名域名n nC C路由器路由器路由器路由器 n n3 3目前主要采用（目前主要采用（目前主要采用（目前主要采用（）对传输的信息进行加密处理。）对传输的信息进行加密处理。）对传输的信息进行加密处理。）对传输的信息进行加密处理。n nA A数据加密技术数据加密技术数据加密技术数据加密技术 B B报文摘要技术报文摘要技术报文摘要技术报文摘要技术n nC C数字签名数字签名数字签名数字签名 DD防火墙技术防火墙技术防火墙技术防火墙技术n n4 4（）主要是指利用各种技术手段，使商业信息不能及时获得，并且导致合法）主要是指利用各种技术手段，使商业信息不能及时获得，并且导致合法）主要是指利用各种技术手段，使商业信息不能及时获得，并且导致合法）主要是指利用各种技术手段，使商业信息不能及时获得，并且导致合法的服务被拒绝。的服务被拒绝。的服务被拒绝。的服务被拒绝。n nA A抵赖行为抵赖行为抵赖行为抵赖行为 B B拒绝服务拒绝服务拒绝服务拒绝服务n nC C篡改信息篡改信息篡改信息篡改信息 DD假冒身份假冒身份假冒身份假冒身份n n5 5交易信息在网络上传输的过程中，可能被他人非法修改后发往目的地，从而破交易信息在网络上传输的过程中，可能被他人非法修改后发往目的地，从而破交易信息在网络上传输的过程中，可能被他人非法修改后发往目的地，从而破交易信息在网络上传输的过程中，可能被他人非法修改后发往目的地，从而破坏信息的（坏信息的（坏信息的（坏信息的（）。）。）。）。n nA A完整性完整性完整性完整性 B B真实性真实性真实性真实性n nC C有效性有效性有效性有效性 DD个体识别性个体识别性个体识别性个体识别性n n6 6数据有效性也称为（数据有效性也称为（数据有效性也称为（数据有效性也称为（）。）。）。）。n nA A可用性可用性可用性可用性 B B个体识别性个体识别性个体识别性个体识别性n nC C准确性准确性准确性准确性 DD完整性完整性完整性完整性n n7 7把密文转变为明文的过程称为（把密文转变为明文的过程称为（把密文转变为明文的过程称为（把密文转变为明文的过程称为（）。）。）。）。n nA A解密解密解密解密 B B加密加密加密加密n nC C解密算法解密算法解密算法解密算法 DD加密算法加密算法加密算法加密算法n n8 8在网络环境中，可以用（在网络环境中，可以用（在网络环境中，可以用（在网络环境中，可以用（）为电子商务提供不可否认服务。）为电子商务提供不可否认服务。）为电子商务提供不可否认服务。）为电子商务提供不可否认服务。n nA A数字签名数字