第4章电子商务安全管理

第4章电子商务安全管理

电子商务安全概述4.1密码的管理4.2数字证书的使用4.3

电子商务安全概述密码的管理数字证书的使用电子商务安全协议

本章导读

趣味入门你知道2００６年度，在《瑞星２００６安全报告》中，中国大陆地区电脑病毒被列为十大病毒之首的“毒王”是谁吗？2００６年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、ＱＱ账号等功能。该病毒传播速度快，危害范围广，有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星２００６安全报告》将其列为十大病毒之首，在《２００６年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。2007年１月中旬，湖北省网监部门根据公安部公共信息网络安全监察局的部署，对“熊猫烧香”病毒的制作者开展调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李某，据李某交代，其于２００６年１０月１６日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给１２０余人，非法获利１０万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李某还于２００３年编写了“武汉男生”病毒、２００５年编写了“武汉男生２００５”病毒及“ＱＱ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和ＱＱ账号等方式非法牟利。湖北省公安厅07年2月１２日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李某、雷某等８名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。4．1电子商务安全概述知识链接电子商务安全电子商务系统安全包括系统的硬件安全、软件安全、运行安全、电子商务信息安全、电子商务安全立法等。4．1.1电子商务系统安全1、电子商务系统硬件安全硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。2、电子商务系统软件安全软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。3、电子商务系统运行安全运行安全是指保护系统能连续和正常地运行。4、电子商务安全立法电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。综上所述，电子商务安全是一个复杂的系统问题。电子商务安全立法与电子商务应用的环境、人员素质、社会有关，基本上不属于技术上的系统设计问题，而硬件安全是目前硬件技术水平能够解决的问题。鉴于现代计算机系统软件的庞大和复杂性，软件安全中的信息安全成为电子商务系统安全的关键问题。4．1.2电子商务信息安全1、信息的保密性2、交易文件的完整性3、信息的不可否认性4、交易者身份的真实性实例分析最近单位的电脑中了一个可恶的病毒“熊猫烧香”，一查居然是2007年第一周排行榜第一的病毒。这次我们实践利用打补丁及手工来解决。受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是.EXE文件呢）。而且病毒还具有自行关闭防火墙和杀毒软件的能力。小思考如何预防“熊猫烧香”系列病毒分析：“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。可采取如下措施预防：1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。2.利用组策略，关闭所有驱动器的自动播放功能。步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。5、启用windows防火墙保护本地计算机。

对于已经感染“熊猫烧香”病毒的用户，金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。4．2密码的管理知识链接加密和解密加密是指将数据进行编码，使它成为一种不可理解的形式，这种不可理解的内容叫做密文。解密是加密的逆过程，即将密文还原成原来可理解的形式。4．2.1密码系统的构成及工作过程加密码系统的一般构成如图4-1所示。图4-1密码系统的构成4．2.2通用密钥密码体制

通用密钥密码体制中的加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”。例4-2：恺撒密码的原理是，对于明文的各个字母，根据它在26个英文字母表中的排列位置，按某个固定间隔n变换字母，即得到对应的密文。这个固定间隔的数字n就是加密密钥，同时也是解密密钥。例cryptography是明文，使用密钥n=4，加密过程如图5-2所示。图4-2恺撒密码4．2.3公开密钥密码体制公开密钥密码体制中的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥(privatekey)，而加密密钥完全公开，称为公共密钥(publickey)。该系统也称为“非对称密码体制”。Kex:X的加密密钥，Key:X的解密密钥，其他密钥依次类推…….图4-3公开密钥密码体制4．2.4数字摘要数字摘要（digitaldigest）也称安全Hash（散列）编码法（SHA，SecureHashAlgorithm）或MD5（MD：StandardsforMessageDigest），由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文也称为数字指纹（FingerPrint）。4．2.5数字签名

在书面文件上签名的作用有两点：一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真实的这一事实。数字签名（digitalsignature）与书面文件签名有相同之处，也能确认以下两点：其一，信息是由签名者发送的；其二，信息自签发后到收到为止未曾作过任何修改。图4-4数字签名数字签名的操作步骤如下：1、授信方用SHA编码加密产生128bit的数字摘要；2、授信方用自己的私人密钥(PrivateKey)对摘要加密，形成数字签名；3、将原文和加密的摘要同时传输给对方；4、受信方用授信方的公共密钥(PublicKey)对摘要解密，同时对收到的信息用SHA编码加密产生又一摘要；5、将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比，若二者一致，则说明传送过程中信息没有被破坏或篡改过，否则不然。小思考数字签名的核心技术是什么？分析：在数字签名中，最重要的是数字摘要，而数字摘要中的核心技术是“SHA”。“SHA”是单项函数，即“SHA”只能加密，不能解密。如果原文被修改，则经过“SHA”后的数字摘要与原来的数字摘要会有所不同，这样就保证了信息的“完整性”和“不可修改性”。小百科美国政府对密码出口的严苛限制，遭到许多人批评反对。有一个叫丹尼尔.伯恩斯坦的教授（DanielJ.