版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
工程七电子商务平安技术7.1引言7.2电子商务平安根底知识7.3电子商务平安技术7.4计算机病毒防范措施本章实验复习思考题7.1引
言
7.1.1六作家状告网络公司著作权侵权案1998年4月,世纪互联公司在未取得作家王蒙、张洁、张抗抗、毕淑敏、刘震云、张承志的同意的情况下,将他们创作的文学作品?坚硬的稀粥?、?漫长的路?、?白罂粟?、?预约死亡?、?一地鸡毛?、?黑骏马?和?北方的河?,通过世纪互联通讯的网站(bol)在国际互联网上进行传播。为此,六作家认为被告世纪互联通讯作为提供互联网络内容的效劳商,未经许可以营利目的使用原告的作品,侵害了原告依法享有的著作权,请求法院判决被告停止侵权、公开致歉、赔偿经济损失和精神损失,承担诉讼费、调查费等合理费用。被告那么认为,在网站上存储的原告作品除网友通过E-mail方式提供的以外,其余的均是“灵波小组〞从“亦凡书屋〞、“黄金书屋〞上下载的。对下载的原告作品,作品内容完整,署名正确,被告公司未进行任何形式的变动。北京市海淀区人民法院经审理认为,被告未经许可将原告的作品在网上传播,侵害了原告对其作品享有的使用权和获得报酬权。法院依据著作权法第10条第5项,第45条第5项、第8项的规定,做出判决:判决被告世纪互联通讯技术停止使用王蒙等的文学作品;判决被告在其网站分别向原告王蒙等公开致歉,致歉内容须经法院审核;判决被告向原告赔偿经济损失;驳回原告要求被告世纪互联通讯技术赔偿各自精神损失的诉讼请求。7.1.2百度下载MP3侵权案百度因MP3下载一事不断惹祸上身(中国法院网:)。1.上海步升音乐文化传播诉百度MP3下载侵权案上海步升音乐文化传播诉北京百度网讯科技侵犯其录音制作者权纠纷一案,2005年9月16日在北京市海淀区人民法院宣判,被告百度公司败诉,赔偿原告上海步升音乐文化传播经济损失6.8万元人民币。原告步升公司诉称,原告于2005年3月30日发现被告在其经营的网站上向公众提供涉及胡彦斌、黑豹组合、许巍和花儿乐队演唱的共计46首歌曲的MP3下载效劳,如?红颜?、?漫步?、?我是你的罗密欧?和?加减乘除?等。经原告审查确认,以上曲目的录音制作者权均归原告所有,原告已经出版发行了包含上述46首歌曲的六张CD,而原告从未许可被告通过互联网向公众传播上述曲目,被告的行为严重侵犯了原告权益,并给原告造成重大经济损失。为此,原告请求法院判令被告立即停止对原告享有录音制作者权的歌曲之网络传播权的侵害,停止提供涉案歌曲的下载效劳;被告在其经营的网站主页及?法制日报?上发表声明,向原告公开赔礼抱歉;被告赔偿原告经济损失46万元人民币,以及为调查被告侵权行为和起诉被告所支出的合理费用3万元人民币。被告辩称,被告是一家中立的搜索引擎效劳提供商,按照技术规那么为网络用户提供全面、有针对性的搜索结果,供用户查询和使用;被告没有提供涉案歌曲的下载效劳;被告的搜索引擎效劳系统依据技术规那么对搜索结果自动生成链接列表,被告没有对任何被链接网站(页)进行非技术性的选择与控制,被告的行为没有任何过错,故请求法院判决驳回原告的全部诉讼请求。法院经审理认为,原告在其提供的五张CD上已注明权利标识,且原告已与相关表演者订立了艺员唱片管理协议书,明确其独家享有唱片制作、出版发行及其他形式的使用权利和取得报酬的权利,而唱片定义为涵盖卡带、CD、VCD、DVD、录像带及未来新开展的音频视频可以用来记录歌曲及MTV的载体。在被告没有提出相反证据的情况下,应视为原告依法享有上述歌曲(共计34首)的录音制作者权,有权限制他人未经许可在国际互联网上传播上述录音制品的MP3文件。被告以其为一家中立的搜索引擎效劳提供商、没有提供涉案歌曲的下载效劳等辩称否认侵权,但在本案中,被告的行为已超出其所定义的搜索引擎的效劳范围,阻碍了原告在国际互联网上传播其录音制品,应属侵权,故被告应立即停止侵权并依法承担侵权责任,赔偿原告经济损失6.8万元人民币(按每首歌2000元计算)。因原告对其余12首歌曲的权利主张具有瑕疵,且被告侵权只涉及原告的录音制作者权,故法院判决驳回原告的其他诉讼请求。2.香港七大唱片公司诉百度MP3下载侵权案2005年9月26日上午,百度公司在北京市第一中级人民法院再次坐上了被告席。此次起诉百度的原告是香港七大唱片公司,他们状告百度公司未经允许在其经营的网站上对涉案的137首歌曲提供在线播放和下载效劳,并为此向百度公司索赔经济损失167万元。这七家香港唱片公司分别为环球唱片、正东唱片、新艺宝唱片、华纳唱片、金牌娱乐事业、EMIGROUPHONGKONGLIMITED、SONYBMGMUSICENTERTAINMENT(HONGKONG)LIMITED。七大唱片公司诉称,原告于2005年6月发现北京百度网讯科技在其经营的百度网站上从事歌曲的在线播放和下载效劳,包括陈慧琳演唱的?记事本?、李克勤演唱的?红日?、张柏芝演唱的?星语心愿?、陈慧娴演唱的?飘雪?、郑秀文演唱的?值得?、黎明演唱的?爱天爱地?等137首歌曲。这些歌曲的录音制作者权之信息网络传播权分别为七大唱片公司所有,而七大唱片公司从未许可百度公司通过互联网向公众传播这些曲目。七大唱片公司认为,百度公司的行为严重侵犯了原告的信息网络传播权,并给其造成了重大经济损失。七大唱片公司请求法院判令百度公司立即停止侵权行为,停止提供涉案歌曲的在线播放和下载效劳,在百度网站主页和?法制日报?上发表声明公开赔礼抱歉,并赔偿经济损失和调查、起诉费用共计167万元等。百度公司在法庭上辩称,百度公司是一家中立的搜索引擎效劳提供商,按照技术规那么为网络用户提供全面、有针对性的搜索结果,供用户查询和使用,MP3搜索是百度网站搜索引擎效劳中的一项,和其他搜索引擎效劳没有实质性的区别。百度还称,百度并没有提供涉案歌曲的在线播放和下载效劳,百度既没有上载歌曲在百度的效劳器上,也从未向网络用户提供过任何歌曲的在线播放和下载效劳,百度的搜索引擎效劳系统依据技术规那么对搜索结果自动生成链接列表,并没有对任何被链接网站(页)内容进行非技术性的选择和控制。同时,百度公司认为自己的行为没有任何过错。百度称,百度非常重视对知识产权的保护,并依据法律法规等相关规定,在搜索引擎效劳网站发布了具有具体内容和实施步骤的“权利声明〞,为权利人维护权利提供了顺畅、有效和方便的途径,根据该“权利声明〞,任何人均可以通过向百度发送“权利通知〞的方式,获得权利保护和救济。百度还发布了“免责声明〞,提示搜索引擎用户在获得著作权人合法授权后使用MP3搜索结果列表的音乐,为权利人的知识产权保护尽到了必要的提示义务。因此百度公司请求法院依法驳回七大唱片公司的诉讼请求。法庭对此案未当庭做出判决,将择日另行开庭。7.1.3震撼世界的“蠕虫〞病毒案罗伯特·莫瑞斯(RobertT·Morris,Jr.)是美国康奈尔大学(CornellUniversity)年仅23岁的学生,1988年11月2日,他在自己的计算机上,用远程命令将自己编写的蠕虫(Worm)程序送进互联网,希望这个“无害〞的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中,然而,由于莫瑞斯在他的程序编制中犯了一个小错误,结果这个蠕虫程序疯狂地不断复制自己,并向整个互联网迅速蔓延。在1988年11月2日至11月3日的一夜之间,袭击了庞大的互联网上约6200台VAX系列小型机和Sun工作站,300多个大学、议院和研究中心都发布了关于蠕虫攻击的报告,DCA的一位发言人宣称,蠕虫不仅攻击了ARPANT系统,而且还攻击了军用的MILNET网中的几台主机。大量数据被破坏,整个经济损失估计达9600万美元。“互联网事件〞同样也极大地震惊了计算机平安人员与其他专业人员。在莫瑞斯的蠕虫大举进攻之际,许多网络管理员、平安专家和研究人员急迫而又灰心,他们甚至不敢相信眼前正在发生的事情。有一份介绍蠕虫攻击情况的报告是这样开头的:“现在是1988年11月3日清晨3点5分。我很累了,所以请不要相信下面描述的任何事情……〞。莫瑞斯于1989年7月被推上美国地方法庭。表6-1可以大致反映蠕虫侵袭的时间顺序(表中的时间为美国东部标准时间)。表7-1蠕虫侵袭互联网时间表
7.2电子商务平安根底知识7.2.1电子商务平安要素1.系统的可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。2.身份的真实性身份的真实性是指网上交易双方身份信息的真实性。双方交换信息之前通过各种方法保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。
3.机密性:信息的保密性
信息的保密性是指信息在传输过程或存储中不被他人窃取。4.完整性:信息的完整性
信息的完整性包括信息传输和存储两个方面。在存储时,要防止非法篡改和破坏网站上的信息。在传输过程中,接收端收到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏。
5.有效性:有效性要求贸易数据在确定的时刻、确定的地点是有效的。6.不可抵赖性:信息的不可抵赖性是指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息7.内部网的严密性:企业的内部网上一方面有着大量需要保密的信息,另一方面传递着企业内部的大量指令,控制着企业的业务流程。企业内部网一旦被恶意侵入,可能给企业带来极大的混乱与损失。7.2.2网络攻击的常用方法1.系统穿透2.违反授权原那么3.植入4.通信监听5.通信窜扰6.中断7.拒绝效劳8.电子邮件轰炸9.病毒技术7.3电子商务平安技术7.3.1密码技术1.密码学密码学是一门古老而深奥的学科,早在四千年前,古埃及人就开始使用密码来保密传递信息。两千多年前,罗马国王恺撒就开始使用目前成为“恺撒密码〞的密码系统。但是密码技术直到20世纪40年代才有重大的突破和开展。特别是20世纪70年代后期,由于计算机和电子通信的广泛使用,现代密码学得到了空前的开展。密码学分为密码编码学和密码分析学。密码编码学研究设计出平安的密码体制,防止被破译,而密码分析学那么研究如何破译密文。加密包含两个元素:加密算法和密钥。加密算法就是用基于数学计算方法与一串数字(密钥)对普通的文本(信息)进行编码,产生不可理解的密文的一系列步骤。密钥是用来对文本进行编码和解码的数字,将这些文字(称为明文)转成密文的程序称作加密程序。2.密码系统中的几个概念
明文:人们将可懂的文本称为明文。
密文:将明文变换成不可懂的文本称为密文。
加密:把明文变换成密文的过程叫加密。
解密:把密文变换成明文的过程叫解密。
密码体制:完成加密和解密的算法称为密码体制。在计算机上实现的数据加密算法,其加密或解密变换是由一个密钥来控制的。
密钥:是由使用密码体制的用户随机选取的,密钥成为唯一能控制明文与密文之间变换的关键,它通常是一随机字符串。
密码体制从原理上可分为两大类:对称密钥密码体制和非对称密钥密码体制,或称单钥密码体制和双钥密码体制。下面分别介绍这两种密码体制。2.加密和解密的示范以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文,将密钥定为17,加密算法为将明文加上密钥17,就得到一个密码表,见表6-2。例如,将英文信息“Thisisasecret.〞加密后得到密文。解密算法那么是将密文减去密钥17,得到明文,再翻译成对应的字母和符号,见表6-3。表7-2一个简单的密码表
表7-3一个简单的密码加密过程
3.加密的分类按密钥和相关加密程序类型可把加密分为三类:散列编码、对称加密和非对称加密。(1)散列编码。即用散列算法求出某个消息的散列值的过程。散列值相当于消息的指纹。(2)对称加密。又称私有密钥加密,它只用一个密钥对信息进行加密和解密。对称加密技术见图6-1。
图7-1对称加密技术示意图
对称加密最主要的算法是:DES对称加密技术的优缺点:对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。(3)非对称加密。也叫公开密钥加密。1977年麻省理工学院的三位教授(Rivest、Shamir和Adleman)创造了RSA公开密钥密码系统,在此系统中有一对密码,给别人用的就叫公钥,给自己用的就叫私钥。这两个可以互相并且只有为对方加密或解密,用公钥加密后的密文只有私钥能解。比方张三想发给李四信息,可以从公开渠道取得李四的公钥,然后用李四的公钥对自己要发送的信息加密;由于密钥对是惟一的,信息加密后,只有李四才能用其私钥解密信息后阅读。同样,李四也可向张三发一条私人信息,用张三的公钥对信息加密。张三收到李四的信息后可用自己的私钥解密信息后阅读。一旦信息从效劳器下载并解密后,就以明文形式保存在接收者的计算机上,这时接收者就可阅读了。非对称加密技术见图6-2。图7-2非对称加密技术示意图
公开密钥技术的优缺点:公开密钥技术解决了密钥的发布和管理问题,商户可以公开其公开密钥,而保存私有密钥。相对于对称密钥算法来说,公钥算法计算速度非常慢。与对称加密相比,非对称加密有假设干优点:第一,在多人之间进行保密信息传输所需的密钥组合数量很小。在n个人之间传输保密信息,只需要n对密钥,远远小于对称加密系统需要n(n-1)/2的要求。第二,公钥没有特殊的发布要求,可以在网上公开。第三,非对称加密可实现数字签名。这就意味着将电子文档签名后再发给别人,而签名者无法否认。也就是说,采用非对称加密技术,除签名者外他人无法以电子方式进行签名,而且签名者事后也不能否认曾以电子方式签过文档。信息摘要密钥加密技术只能解决信息的保密性问题,对于信息的完整性那么可以用信息摘要技术来保证。 信息摘要(Messagedigest)又称Hash算法,是RonRivest创造的一种单向加密算法,其加密结果是不能解密的。所谓信息摘要,是指从原文中通过Hash算法(一种单向的加密算法)而得到的一个固定长度(128位)的散列值,不同的原文所产生的信息摘要必不相同,相同原文产生的信息摘要必定相同。因此信息摘要类似于人类的“指纹〞,可以通过信息摘要去鉴别原文的真伪。信息摘要的使用过程如图6-6所示。(1)对原文使用Hash算法得到信息摘要;(2)将信息摘要与原文一起发送;(3)接收方对接收到的原文应用Hash算法产生一个摘要;(4)用接收方产生的摘要与发送方发来的摘要进行比照,假设两者相同那么说明原文在传输过程中没有被修改,否那么就说明原文被修改正。图7-6信息摘要过程7.3.2数字签名技术
1.数字签名的含义数字签名(Digitalsignature)是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性电子签名是公开密钥加密技术的另一类应用。新加坡?电子交易法案?对“电子签名〞与“数字签名〞作了详细的规定。“电子签名〞的定义为:以数字形式所附或在逻辑上与电子记录有联系的任何字母、文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录。“数字签名〞的定义为:通过使用非对称加密系统和哈希函数(HushingFunction)来变换电子记录的一种电子签名,使得同时持有最初未变换电子记录和签名人公开密匙的任何人可以准确地判断:①该项变换是否是使用与签名人公开密匙相配的私人密匙作成的;②进行变换后,初始电子记录是否被改动过。从上述规定可以看出,数字签名是电子签名的一种。新加坡?电子交易法案?中明确规定数字签名应该采用非对称系统和哈希函数技术。数字签名是通过密码算法对数据进行加、解密变换实现的。数字签名的特点是代表了文件的特征。文件如发生改变,数字签名的值也将随之而发生改变;不同的文件得到的是不同的数字签名。在传输过程中,如有第三人对文件进行篡改,但他并不知道发送方的私人密钥,因此,解密得到的数字签名与经过计算后的数字签名必然不同。新加坡1998年?电子交易法案?第17条规定:通过使用当事人同意的某一规定的平安程序或商业上合理的平安程序,如在签署时能确认该电子签名:①对该使用人而言是独一无二的;②能够鉴别该使用人;③在该使用人的完全控制之下以某种方式生成;④与电子记录存在这样的联系:如记录被改动,电子签名也随之失效;那么该电子签名可被视为“可靠电子签名〞。这样,数字签名就能够具备与亲笔签名相同的功能。2.数字签名技术数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务平安效劳中的源鉴别、完整性效劳、不可否认效劳中都要用到数字签名技术。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的电子签名。然后,这个电子签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的电子签名进行解密。如果两个散列值相同,那么接收方就能确认该电子签名是发送方的。通过电子签名能够实现对原始报文完整性的鉴别和不可抵赖性。图7-7数字签名过程(1)对原文使用Hash算法得到信息摘要;(2)发送者用自己的私钥对信息摘要加密;(3)发送者将加密后的信息摘要与原文一起发送;(4)接收者用发送者的公钥对收到的加密摘要进行解密;(5)接收者对收到的原文用Hash算法得到接收方的信息摘要;(6)将解密后的摘要与接收方摘要进行比照,相同说明信息完整且发送者身份是真实的,否那么说明信息被修改或不是该发送者发送的。 由于发送者的私钥是自己严密管理的,他人无法仿冒,同时发送者也不能否认用自己的私钥加密发送的信息,所以数字签名解决了信息的完整性和不可否认性问题。 7.2.5数字时间戳 在电子交易中,时间和签名同等重要。数字时间戳(DTS,DigitalTime-Stamp)是由专门机构提供的电子商务平安效劳工程,用于证明信息的发送时间。数字时间戳是一个经加密后形成的凭证文档,包括三个局部:时间戳的文件摘要、DTS收到文件的日期和时间、DTS的数字签名。数字时间戳的获得过程如图6-8所示。图7-8获得数字时间戳的过程需要数字时间戳的用户首先将文件用Hash算法加密得到摘要,然后将摘要发送到提供数字时间戳效劳的专门机构,DTS机构对原摘要加上时间以后,用自己的私钥加密(即数字签名)再发还给原用户,获得数字时间戳的用户就可以将它再发送给自己的商业伙伴以证明信息的发送时间。7.3.3数字证书与认证中心1.数字证书(DigitalCertificate或DigitalID) 1)数字证书的根本概念 数字证书就是标志网络用户身份信息的一系列数据,用来在网络应用中识别通信各方的身份,其作用类似于现实生活中的身份证。数字证书是由权威公正的第三方机构,即CA中心签发的。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,以此来确保网上传递信息的机密性、完整性,交易主体身份的真实性,签名信息的不可否认性,从而保障网络应用的平安性数字证书采用公—私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加密和签名验证。当发送一份保密文件时,发送方使用接收方的公钥对数据进行加密,而接收方那么使用自己的私钥进行解密,这样,信息就可以平安无误地到达目的地,即使被第三方截获,由于没有相应的私钥,也无法进行解密。 数字证书可用于:发送平安电子邮件、访问平安站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等平安电子事务处理和平安电子交易活动。2)数字证书的内容 数字证书由以下两局部组成: (1)证书数据。证书里的数据包含以下信息: ●版本信息,用来与X.509的将来版本兼容; ●证书序列号,每一个由CA发行的证书必须有一个惟一的序列号; ●CA所使用的签名算法; ●发行证书CA的名称;●证书的有效期限; ●证书主题名称; ●被证明的公钥信息,包括公钥算法、公钥的位字符串表示(只适用于RSA加密体制); ●包含额外信息的特别扩展。(2)发行证书的CA签名。证书第二局部包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签署的。在InternetExplorer浏览器中,可以查看数字证书的内容。其方法是:进入IE窗口,依次选择“工具〞→“Internet〞→“内容〞→“证书〞,然后选择一种证书类别,再在证书列表中选择一个证书,单击“查看〞标签,即可查看所选证书的内容。3)数字证书的类型 不同的CA所颁发的数字证书略有不同,下面介绍几种常见的数字证书类型: (1)个人数字证书:常见的有个人身份证书和个人平安电子邮件证书两种。 ●个人身份证书:用来说明和验证个人在网络上的身份的证书,它确保了网上交易和作业的平安性和可靠性。可应用于网上炒股、网上理财、网上保险、网上缴费、网上购物、网上办公等等。个人身份证书可以存储在软盘或IC卡中。 ●个人平安电子邮件证书:个人平安电子邮件证书可以确保邮件的真实性和保密性。申请后一般安装在用户的浏览器里。用户可以利用它来发送签名或加密的电子邮件。(2)单位证书:常见的有企业身份证书、企业平安电子邮件证书和单位数字证书三种。 ●企业身份证书:用来说明和验证企业用户在网络上身份的证书,它确保了企业网上交易和作业的平安性和可靠性。可应用于网上证券、网上办公、网上交税、网上采购、网上资金转帐、网上银行等。企业身份证书可以存储在软盘和IC卡中。 ●企业平安电子邮件证书:可以确保邮件的真实性和保密性。申请后一般是安装在用户的浏览器里。企业可以利用它来发送签名或加密的电子邮件。
●单位(效劳器)数字证书:主要用于网站交易效劳器,需要和网站的IP地址、域名绑定,以保证网站的真实性和不被人仿造。目的是保证客户机和效劳器之间交易及支付时双方身份的真实性、平安性和可信任度等。(3)信用卡身份证书:用于平安网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份,符合SET标准。 (4)CA证书:用于证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书),在NetscapeNavigator里,用户可以看到浏览器所接受的CA证书,也可以选择他们是否信任这些证书。在Netscape效劳器里,管理员可以看到效劳器所接受的CA证书,也可以选择是否信任这些证书。2.认证中心(CA)电子商务认证授权机构也称为电子商务认证中心,它是提供身份证的第三方机构,由一个或多个用户信任的组织实体组成。例如,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公开密钥,但持卡人无法确定商家不是冒充的,于是持卡人要求CA对商家认证,CA在对商家进行调查、验证和鉴别后,将包含商家PublicKey的证书传给持卡人。同样,商家也可对持卡人进行验证。证书一般包含拥有者的标识名称和公钥,并且由CA进行过数字签名。在电子商务交易中,无论是数字时间戳效劳(DTS)还是数字证书(DigitalID)的发放,都不是靠交易双方自己完成,而需要有一个具有权威性和公正性的第三方来完成。CA就能承担网上平安电子交易的认证效劳,它能签发数字证书,并能确认用户身份。CA通常是一个效劳性机构,主要任务是受理数字证书的申请、签发及管理数字证书。在进行交易时,通过出示由某个CA签发的证书来证明自己的身份。例如C的证书是由名称为B的CA签发的,而B的证书又是由名称为A的CA签发的,A是权威机构,通常称为根认证(RootCA)。验证到了根认证处,就可确信C的证书是合法的(见图9-4)。图6-4CA体系示意图
2.认证中心的职能认证中心的核心职能是发放和管理用户的数字证书。用户向认证中心提出申请证书,并说明自己的身份。认证中心在验证用户身份后,向用户发放数字证书。认证中心在发放证书时要遵循一定的准那么。例如,保证所发证书的序号各不相同;不同实体所申请的证书的主体内容不一致;不同主体内容的证书所包含的公开密钥各不相同。认证中心应管理其所发放的所有证书,这些管理功能包括:用户能够方便地查找各种证书,以及已经撤销的证书;能够根据用户请示或其他信息撤销用户的证书;能够根据证书的有效期自动地撤销证书;能够完成证书数据库的备份工作;有效地保护证书和密钥效劳器的平安,特别是认证中心的签名密钥不被非法使用。因此,认证中心的职能可以归纳为以下几点:
(1)证书发放。向持卡人发放签名的证书,向商户和支付网关发放签名并加密的证书。
(2)证书更新。对持卡人证书、商户和支付网关证书定期更新。(3)证书撤销。对用户而言,他需要确认他的账户信息不会发往一个未被授权的支付网关,因此被撤销的支付网关证书需包含在撤销清单中并散发给用户;对商家而言,被撤销的支付网关证书需散发给商家。
(4)证书验证。
3.CA根本组成(1)注册效劳器(SA)。注册效劳器是一个通过网络面向用户的系统,它包括计算机系统和功能接口局部。(2)注册中心(RA)。注册中心负责证书申请的审批,它通常是金融机构,如持卡人发行或商家的收单行。证书的审批需要制定审批的标准。(3)认证中心(CA)。认证中心负责证书的颁发,是被信任的部门。在证书申请被审批部门批准后,认证注册效劳器将证书发放给申请者。4.中国知名的认证中心●中国数字认证网(ca365):支持数字认证、数字签名、CA认证、CA证书、数字证书、平安电子商务等应用。●中国金融认证中心(cfca):支持网上银行、网上证券交易、网上购物以及平安电子文件传递等应用。●中国电子邮政平安证书管理中心(chinapost/CA/index.htm):发放并管理参与网上信息交换的各方所需的平安数字证书。●北京数字证书认证中心():为网上电子政务和电子商务活动提供数字证书效劳。●广东省电子商务认证中心(www):提供电子商务认证、平安产品和解决方案,制作、颁发、管理数字证书。●上海市电子商务平安证书管理中心(sheca):上海CA认证中心,从事数字证书的机构,保证电子商务和网上作业平安。●海南省电子商务认证中心(hn):电子商务数字证书制作、颁发和管理。●天津CA认证中心(/ca/ca-1/ca.htm):提供网上身份认证、数字签名、电子公证、平安电子邮件等效劳。●山东省CA认证中心():解决电子商务业务中数据传输平安问题。7.3.4公开密钥根底设施(PKI)公开密钥根底设施(PublicKeyInfrastructure)是一种以公钥加密技术为根底技术手段实现平安性的技术。它是一个遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码效劳所必需的密钥和证书管理,并支持SET、SSL协议。PKI可以进行不同CA的交叉验证,PKI由认证机构、证书库、密钥生成和管理系统、证书管理系统、PKI应用接口系统等根本成分组成。PKI体系结构采用证书管理公钥,通过CA把用户的公钥和用户的其他标识信息(如名称,E-mail,身份证号等)捆绑在一起,用于在互联网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在互联网上实现了密钥的自动管理,保证网上数据的保密性和完整性。在电子商务活动中,客户从公开媒体上(或者CA认证中心)获得商家的公钥,但无法确定商家的真实性,于是客户请求CA对商家认证,CA对商家进行调查,验证和鉴别后,将包含商家公钥的证书传给持卡人,同样,商家也可以对客户进行验证,之后再进行电子商务平安交易,如图9-5所示。基于PKI的CA认证体系增加了网上交易各方的信任,也为它们之间的可靠通信创造条件,并为BtoB及BtoC两种电子商务模式提供兼容性效劳。图7-5基于PKI的电子商务关系图
7.3.5电子商务平安协议电子商务开展的核心问题是交易的平安性问题,这也是企业应用电子商务最担忧的问题,因此,如何在开放的公用网上构筑平安的交易模式,一直是人们研究的热点和大家关注的话题。要构筑一个平安的电子交易模式,必须满足:(1)数据保密。防止信息被截获或非法存取而泄密。(2)对象认证。通信双方对各自通信对象的合法性、真实性进行确认,以防第三者假冒。(3)数据完整性。阻止非法实体对交换数据的修改、插入、删除及防止数据丧失。(4)防抗抵赖。用于证实已发生过的操作,防止交易双方对发生的行为抵赖。(5)访问控制。防止非授权用户非法使用系统资源。迄今为止,国内外已经出现了多种电子支付协议,目前有两种平安在线支付协议被广泛采用,即平安套接层SSL协议和平安电子交易SET协议。1.平安套接层协议SSL1)平安套接层协议的概念平安套接层协议(SecureSocketsLayer)是由网景公司(NetscapeCommunication)设计开发的,在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web效劳器之间的平安连接技术,主要用于提高应用程序之间的数据平安系数,实现兼容浏览器和效劳器(通常是WWW效劳器)之间平安通信的协议。SSL是支持两台计算机间的平安连接,它处于互联网多层协议集的传输层,它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL是对互联网上计算机之间对话进行加密的协议,可广泛用于互联网金融信息的保密处理。SSL主要用在网络浏览器和网络效劳器之间的通信中。以“s〞开头的URL标志着SSL连接即将建立。SSL提供了三种重要的功能:隐私、签证以及报文完整性。SSL是一个保证任何安装了平安套接层的客户和效劳器间事务平安的协议,该协议向基于TCP/IP的客户/效劳器应用程序提供了客户端和效劳器的鉴别、数据完整性及信息机密性等平安措施,目的是为用户提供互联网和企业内联网的平安通信效劳。由于SSL处在互联网协议集中TCP/IP层的上面,除HTTP外,SSL还可对计算机之间的各种通信都提供平安保护。例如,SSL可为FTP会话提供平安保护,支持敏感的文档。Telnet会话的平安,此会话中远程计算机用户要登录公司主机并传输口令和用户名。实现SSL的协议是HTTP的平安版,名为HTTPS。在URL前用HTTPS协议就意味着要和效劳器之间建立一个平安的连接。例如,输入s://wwwbchina/,就会同招商银行建立平安的连接(见图9-6),这时浏览器状态栏会显示出一个锁表示已建立平安连接。图7-6HTTPS协议的使用
2)SSL交易过程采用SSL协议的电子交易过程如图9-7所示。客户购置的信息首先发往商家,商家再将信息转发银行,银行在验证了客户信息的合法性后,再通知商家付款成功,商家再通知客户购置成功。SSL是对计算机之间整个会话进行加密的协议,它在互联网上广泛用于处理财务上敏感的信息。在SSL中,采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。在每个SSL会话中,要求效劳器完成一次使用效劳器专用密钥的操作和一次使用客户机公开密钥的操作。图7-7SSL交易过程
3)SSL协议的工作原理客户机的浏览器在登录效劳器的平安网站时,效劳器将招呼要求发给浏览器(客户机),浏览器以客户机招呼来响应。接着浏览器要求效劳器提供数字证书,如同要求查看有照片的身份证。作为响应,效劳器发给浏览器一个认证中心签名的证书。浏览器检查效劳器证书的数字签字与所存储的认证中心的公开密钥是否一致。一旦认证中心的公开密钥得到验证,签名也就证实了。此动作完成了对商务效劳器的认证。由于客户机和效劳器需要在互联网上传输信用卡号、发票和验证代码等,所以双方都同意对所交换的信息进行平安保护。4)建立SSL平安连接的过程图6-8显示在eCoin上登录(Login)用户名时即进入SSL平安连接。这时浏览器发出平安警报,开始建立平安连接(见图6-9),随即同时验证平安证书(见图6-10)。图7-8在eCoin上连接交换敏感信息的页面
图7-9浏览器开始建立平安连接图7-10浏览器验证效劳器平安证书客户机没有证书没关系,因为客户机是发送敏感信息的一方。而商家的效劳器必须有一个有效的证书,否那么客户机就无法确认这个商务网站是否与其声称的身份相符,用户单击“确定〞键即进入平安连接。图6-11显示在eCoin上的平安连接已经建立,浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。当加密方式传送结束后,浏览器会离开交换敏感信息的页面,自动断开平安连接(见图9-12)。图7-11在eCoin上的平安连接已经建立图7-12离开交换敏感信息的页面,浏览器自动断开平安连接由此,SSL平安协议主要包括如下六个运行步骤:(1)接通阶段:客户通过网络向效劳商打招呼,效劳商回应;(2)密码交换阶段:客户与效劳商之间交换双方认可的密码,一般选用RSA密码算法,也有的选用其他密码算法;(3)会谈密码阶段:客户与效劳商间产生彼此交谈的会谈密码;(4)检验阶段:检验效劳商取得的密码;(5)客户认证阶段:验证客户的可信度;(6)结束阶段:客户与效劳商之间相互交换结束的信息。2.平安电子交易协议SET1)SET协议的含义在开放的网络(如互联网)上处理交易,如何保证传输数据的平安已成为电子商务能否普及的最重要的因素之一。为了克服SSL平安协议的缺点,满足电子交易持续不断增加的平安要求,更为了到达交易平安及符合本钱效益之市场要求,VISA和MasterCard联合其他国际组织,如Microsoft、IBM、Netscape、GTE、SAIC、Terisa和Verisign等,共同制定了平安电子交易(SecureElectronicTransaction,SET)协议。SET在保存对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET协议完全是一项支付协议,只是在持卡人向商家发送支付请求、商家向支付网关发授权或获取请求,以及支付网关向商家发送授权或获取回应、商家向持卡人发送支付回应时才起作用,它并不包含挑选物品、价格协商、支付方式选择和信息传送等方面的协议。在SET中采用了双重签名技术,支付信息和订单信息是分别签署的,这样保证了商家看不到支付信息,而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息,这些涉及到与银行业务相关的保密数据对支付网关是不保密的,因此支付网关必须由收单银行或其委托的信用卡组织来担当。SET标准满足了电子商务活动的具体商业要求:●提供了可靠传输的支付信息和订货信息;●保证了传输数据的完整性;●提供对持卡人作用性验证;●提供商家传输金融信息的正确性的识别;●应用了最好的技术以保护合法用户;●创造了一种可独立于传输平安机制又不影响使用的开放性协议;●提供给用于各种软件和系统中的互操作性。2)使用SET协议的好处(1)确保信息在互联网上平安的传输,保证网上传输的信息不被黑客窃取。(2)确保订单信息和个人账号的隔离。(3)确保持卡人和商家相互认证,以确定双方的身份。(4)要求软件遵循相同协议和消息格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。3)SET协议中的角色(1)持卡人。在电子商务环境中,消费者和团体购置者通过计算机与商家交流,持卡人通过由发卡机构颁发的付款卡(例如信用卡、借记卡等)进行结算。在持卡人和商家的会话中,SET可以保证持卡人的个人账号信息不泄露。(2)发卡机构。这是一个金融机构,为每一个建立了账户的顾客颁发付款卡,发卡机构根据不同品牌卡的规定和政策,保证对每一笔认证交易的付款。(3)商家。提供商品或效劳,使用SET就可以保证持卡人个人信息的平安。接受卡支付的商家必须和银行有关系。(4)银行。在线交易的商家在银行开立账号,并且处理支付卡的认证和支付。(5)支付网关。这是由银行操作的将互联网上的传输数据转换为金融机构内部数据的设备或由指派的第三方处理商家支付信息和顾客的支付指令。4)SET协议的交易模式SET协议的交易模式如图9-13。客户资料虽然要通过商家到达银行,但商家不能阅读这些资料,因此SET解决了客户资料的平安性问题。SET协议还解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题。由于整个交易过程是建立在Intranet、Extranet和互联网的网络根底上的,因此SET协议保证了网上交易的实时性。图7-13SET协议的交易模式
5)SET平安协议的工作原理一个完整的购物流程由九个步骤组成:(1)持卡人使用浏览器在商家的Web主页上查看在线商品目录,浏览商品。(2)持卡人选择要购置的商品。(3)持卡人填写订单,包括工程列表、价格、总价、运费、搬运费、税费。订单可通过电子化方式从商家传过来,或由持卡人的电子购物软件建立。有些在线商家可以让持卡人与商家协商物品的价格(如出示自己是老客户的证明或给出竞争对手的价格信息等)。图7-14SET的工作过程
(4)持卡人选择付款方式,此时SET开始介入。(5)持卡人发送给商家一个完整的订单及要求付款的指令。在SET中,订单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的账号信息。(6)商家接受订单后,向持卡的金融机构请求支付认可;通过网关到银行,再到发卡机构确认,批准交易;然后返回确认信息到商家。(7)商家发送订单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。
(8)商家给顾客装运货物,或完成后将订购货物者的账号转移到商家账号,也可以等到某一时间,请求成批划账处理。(9)商家从持卡人的金融机构请示支付。在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天的下班前请示银行结一天的账。
6)SSL与SET的比较SSL协议是国际上最早应用于电子商务的一种网络平安协议,其运行的基点是商家对客户的认证,缺乏客户对商家的认证,SSL位于传输层与应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的,只需要通过一次“握手〞过程建立客户与效劳器之间一条平安通信的通道,保证传输数据的平安。因此它被广泛地应用于电子商务领域中。SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者账户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行屡次验证,用到多个密钥以及屡次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其他参与者。目前,中国的商业银行在其电子支付系统中都普遍选择了SSL和SET两种方式,表6-4为SSL协议与SET协议比较。表7-4SSL协议与SET协议比较3.S-HTTP平安协议平安HTTP(S-HTTP)是HTTP的扩展,它提供了多种平安功能,包括客户机与效劳器之间认证、加密、请求/响应的不可否认等。这个由CommerceNetConsortium所开发的协议处于互联网协议集的最顶层——应用层。它提供了用于平安通讯的对称加密、用于客户机与效劳器认证的公开密钥加密(RSA公司提供)及用于实现数据完整性的消息摘要。值得一提的是,客户机和效劳器能单独使用S-HTTP技术,也就是说客户机的浏览器可用私有(对称)密钥得到平安保证,而效劳器可用公开密钥技术来请求对客户机的认证。S-HTTP平安的细节设置是在客户机和效劳器开始的握手会话中完成的。客户机和效劳器都可指定某个平安功能为必需(Required)、可选(Option)还是拒绝(Refused)。当其中一方确定了某个平安特性为“必需〞时,只有另一方(客户机或效劳器)同意执行同样的平安功能才能开始连接,否那么就不能建立平安通讯。假定客户机的浏览器要求用加密来实现所有通讯的保密,这就意味着客户机和效劳器间的所有通讯内容都是通过加密方式来传输的。7.4计算机病毒防范措施
7.4.1计算机病毒根底知识1.计算机病毒的含义1983年美国科学家佛雷德·科恩最先证实电脑病毒的存在。它是一种人为制造的寄生于计算机应用程序或操作系统中的可执行、可自行复制、具有传染性和破坏性的恶性程序。从1987年发现第一类流行电脑病毒起,病毒数每年正以40%的比率增加。一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络系统处于瘫痪状态。计算机病毒是一种人为编写的程序,通过非法授权入侵并隐藏在执行程序和文件中,当计算机系统运行时,病毒自身复制或者有修改的复制到其他程序中,破坏正常程序的运行和数据平安。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。
2.计算机病毒特点1)计算机病毒的一般特点计算机病毒一般具有如下特点:
(1)自我复制的能力。它隐藏在合法程序内部,随着人们的操作不断地进行自我复制。
(2)潜在的破坏力。系统被病毒感染后,病毒一般不马上发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏。(3)由人为编制而成。计算机病毒不可能随机自然产生,也不可能由编程失误造成。(4)破坏系统程序,不可能损坏硬件设备。(5)传染性,并借助非法拷贝进行这种传染。计算机病毒通常都附着在其他程序上,在病毒发作时,有一局部是自己复制自己,并在一定条件下传染给其他程序;另一局部那么是在特定条件下执行某种行为。2)网络计算机病毒的特点在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点:(1)感染速度快。在单机环境下,病毒只能通过软盘从一台计算机带到另一台,而在网络中那么可以通过网络通讯机制进行。(2)迅速扩散。根据测定,针对一台典型的PC网络在正常使用情况下,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台计算机全部感染。(3)扩散面广。由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。(4)传播的形式复杂多样。计算机病毒在网络上一般是通过“工作站——效劳器——工作站〞的途径进行传播的,但传播的形式复杂多样。(5)难于彻底去除。单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底去除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成去除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行病毒杀除,并不能解决病毒对网络的危害。(6)激发形式多样。可用于激发网络病毒的条件较多,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求,在某个工作站上激活并发出攻击。(7)破坏性大。网络上病毒将直接影响网络的工作,轻那么降低速度,影响工作效率;重那么使网络崩溃,破坏效劳器信息,使多年工作毁于一旦。
3.计算机网络病毒类型计算机网络病毒可分为以下几种:
(1)蠕虫。这是一种短小的程序,这个程序使用未定义过的处理器来自行完成运行处理。它通过在网络中连续高速地复制自己,长时间地占用系统资源,使系统因负担过重而瘫痪。
(2)逻辑炸弹。这是一个在满足某些条件(如时间、地点、特定名字的出现等)时受激发而引起破坏的程序。逻辑炸弹是由编写程序的人有意设置的,它有一个定时器,由编写程序的人安装,不到时间不爆炸,一旦爆炸,将造成致命性的破坏。
(3)特洛伊木马。特洛伊木马(以下简称木马),英文叫做“Trojanhouse〞,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。它是一种未经授权的程序,提供了一些用户不知道的功能。这些程序带有人们喜爱的名字,当使用者通过网络引入自己的计算机后,它能将系统的私有信息泄露给程序的制造者,以便他能够控制该系统。例如它能将输入的计算机用户名、口令或编辑文档复制存入一个隐蔽的文件中,供攻击者检索。(4)陷阱入口。陷阱入口是由程序开发者有意安排的。当应用程序开发完毕时,放入计算机中,实际运行后只有他自己掌握操作的秘密,使程序能正常完成某种事情,而别人那么往往会进入死循环或其他歧路。4.计算机病毒的组成
(1)引导型病毒。引导型病毒是IBMPC兼容机上最早出现的病毒。引导型病毒传染的对象是软盘的引导扇区,硬盘的主引导扇区和引导扇区。所以在系统启动时,这类病毒会优先于正常系统的引导将其自身装入系统中,获得对系统的控制权。病毒程序在完成自身安装后,再将系统的控制权交给真正的系统程序,完成系统的引导。
(2)文件型病毒。文件型病毒是病毒中的大家族,有广义和狭义之分。广义的文件型病毒包括了通常所说的可执行文件病毒、源码病毒和宏病毒。狭义的文件病毒只包括COM型和EXE型等可执行文件病毒。文件型病毒主要感染可执行文件,可分为寄生病毒、覆盖病毒和伴随病毒。寄生病毒在感染时,将病毒代码参加正常程序中,原来程序的功能局部或者全部被保存。覆盖病毒直接用病毒程序替换被感染的程序。早期覆盖病毒由于破坏了被感染的程序,使被感染的程序立即不能运行,容易被发现。伴随病毒不改变原来的文件,只是伴随创立一个病毒文件。(3)混合型病毒。混合型病毒是集引导型和文件型病毒为一体的病毒,可以感染可执行文件,也可以感染引导区,使之相互感染,具有很强的感染力。(4)宏病毒。宏病毒是计算机病毒历史上开展最快的病毒,它也是传播最广泛的。宏病毒是一类使用宏语言编写的程序,依赖于微软Office办公套件Word、Excel和Powerpoint等应用程序来传播。只要使用这些应用程序的计算机就有可能传染宏病毒,并且大多数宏病毒都有发作日期。轻那么影响正常工作,重那么破坏硬盘信息,甚至格式化硬盘,危害极大。7.4.2特洛伊木马1.特洛伊木马的危害特洛伊木马(以下简称木马)是一种基于远程控制的黑客工具,以简便、易行、有效而深受广阔黑客青睐。一台电脑一旦感染木马病毒,它就变成了一台傀儡机,对方可以在你的电脑上上传/下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……你的一切秘密都将暴露在别人面前。广阔网民比较熟悉的木马是国产软件冰河,冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是到达了谈“冰〞色变的地步。2.木马原理特洛伊木马属于客户/效劳模式。它分为两大局部,即客户端和效劳端。其原理是一台主机提供效劳(效劳器),另一台主机接受效劳(客户机),作为效劳器的主机一般会翻开一个默认的端口进行监听。如果有客户机向效劳器的这一端口提出连接请求,效劳器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的冰河为例,被控制端可视为一台效劳器,控制端那么是一台客户机,效劳端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。3.木马的隐藏方式木马的隐藏方法主要有以下几种:(1)在任务栏里隐藏。这是最根本的方式。如果在Windows的任务栏里出现一个莫名其妙的图标,就应该提高警惕。在VisualBasic中,只要把form的Visible属性设置为False,ShowInTaskBar设为False,程序就不会出现在任务栏里了。(2)在任务管理器里隐藏。查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果按下Ctrl+Alt+Del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。(3)端口。一台机器有65536个端口,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。(4)木马的加载方式隐蔽。木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了到达一个共同的目的,那就是使你运行木马的效劳端程序。随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……几乎WWW每一个新功能都会导致木马的快速进化。(5)木马的命名。木马效劳端程序的命名也有很大的学问,大多是改为和系统文件名差不多的名字,例如有的木马把名字改为window.exe,还有的就是更改一些后缀名,比方把dll改为dl等。木马的最新隐身技术是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL),它根本上摆脱了原有的木马模式——监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马大多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要翻开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何病症,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。4.木马防范工具防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会平安许多。如“天网防火墙个人版〞。5.木马的查杀木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件,现在很多杀毒软件能删除网络最猖獗的木马,如金山毒霸、平安之星XP。手工查杀木马的方法有以下几种:(1)检查注册表。看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run〞开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。(2)检查启动组。木马们如果隐藏在启动组,虽然不是十分隐蔽,但这里确实是自动加载运行的好场所,启动组对应的文件夹为C:\windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell,FoldersStartup=“C:\windows\startmenu\programs\startup〞。要注意经常检查这两个地方。(3)Win.ini以及System.ini也是木马们喜欢的隐蔽场所。比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里。当看到它变成Shell=Explorer.exewind0ws.exe形式时,那么请注意那个wind0ws.exe很有可能就是木马效劳端程序。(4)对于C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat文件也要勤加检查,木马们也很可能隐藏在其中。(5)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否翻开。如果是的话,那么说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下即可。木马启动都有一个方式,即只是在一个特定的情况下启动。所以,平时多注意一下端口,查看一下正在运行的程序,用此来监测大局部木马。7.4.3计算机网络病毒的危害与防范1.计算机网络病毒的危害(1)病毒对网络的主要危害。主要表现为:●病毒程序通过“自我复制〞传染正在运行的其他程序,并与正常运行的程序争夺计算机资源;●病毒程序可冲毁存储器中的大量数据,致使计算机其他用户的数据蒙受损失;●病毒不仅侵害所使用的计算机系统,而且侵害与该系统联网的其他计算机系统;●病毒程序可导致以计算机为核心的网络失灵。(2)病毒对计算机的危害。主要表现为:●计算机病毒破坏磁盘文件分配表,使用户在磁盘上的信息丧失;●将非法数据置入操作系统(如DOS的内存参数区),引起系统崩溃;●删除硬盘或软盘上特定的可执行文件或数据文件;●修改或破坏文件的数据;●影响内存常驻程序的正常执行;●在磁盘上产生虚假坏分区,从而破坏有关的程序或数据文件;●更改或重新写入磁盘的卷标号;●不断反复传染拷贝,造成存储空间减少,并影响系统运行效率;●对整个磁盘或磁盘上的特定磁道进行格式化;●
系统挂起,造成显示屏幕或键盘的封锁状态。
2.计算机病毒的防范措施1)预防病毒的常用措施●给自己的电脑安装防病毒软件。●认真执行病毒定期清理制度。●控制权限。●警惕网络陷阱。●不翻开陌生地址的电子邮件。2)引导型计算机病毒的防范●坚持从不带计算机病毒的硬盘引导系统。●安装能够实时监控引导扇区的防杀计算机病毒软件,或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。●
经常备份系统引导扇区。
3)文件型计算机病毒的防范●安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。●及时更新查杀计算机病毒引擎。●经常使用防杀计算机病毒软件对系统进行计算机病毒检查。●对关键文件,如系统文件、保密的数据等等,在没有病毒的环境
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年海南省单招综合素质考试题库附完整答案详解【易错题】
- 2025年铜川康养职业学院单招职业技能考试模拟试卷及参考答案详解AB卷
- 2027年华岳职业学院高职单招职业技能考试题库含答案详解【完整版】
- 2025年江苏省苏州市单招职业技能考试模拟试卷及参考答案详解(预热题)
- 2027年四川护理职业学院高职单招职业技能考试题库及答案详解(真题汇编)
- 2024年长白专修学院单招综合素质考试题库及完整答案详解1套
- 2025-2026学年同德县数学三下期末综合测试模拟试题含答案解析
- 2027年靖边职业学院高职单招职业适应性测试考试题库及参考答案详解(预热题)
- 2027年盐湖商贸学院高职单招职业技能考试题库附完整答案详解(考点梳理)
- 某铝业厂电解质量控制规范
- 2026年有限空间试题和答案
- 招标代理及造价咨询服务方案投标文件(技术标)
- 2026年党员党史知识竞赛试题(附答案)
- 2026年安徽省中考英语试题(含答案)
- 2026河北省新高一入学摸底测试全科高频考点与模拟训练
- 医护护理传染科护理与防控
- 成都银都紫藤2025小升初入学分班考试数学考试试题及答案
- 麻醉复苏期患者术后低氧血症的防治措施
- 2026年北京市海淀区初三下学期一模英语试卷及答案
- 诊所岗位职责及工作制度
- GB/T 33855-2026母婴保健服务机构通用要求
评论
0/150
提交评论