电子商务安全措施的实施

第六章电子商务安全措施的实施6.1引言问题：Worm.ExploreZip病毒是如何破坏计算机系统的？6.2保护电子商务资产安全专家指出：如果没有书面的安全策略，就无法构造出安全的电子商务系统；安全策略包括明确需要对哪些电子商务资产进行保护、采用何种保护措施；安全策略应当保护电子商务系统的保密性、完整性和即需性。分析各种安全威胁的可能性；制定保护重要电子商务资产的规定；根据安全威胁的变化，经常性地检查和完善安全策略。6.3保护知识产权和网上隐私互联网服务提供商（ISP）可用IP阻塞、包过滤或代理服务器来阻止某个违法网站的访问。信息隐蔽（Steganography）：将加密文件隐藏在另一个文件中。加密文件是使其不能被阅读，而信息隐蔽是使信息不被发现。数字水印：一种信息隐蔽技术，隐蔽地嵌入在数字图像或声音声音文件里的数字代码或数字流。可对对这些数字代码或数字流的内容进行加密或简单地隐藏在图像或声音文件的字节里。复制控制（CopyControl）：对数字作品复制数量进行限制的电子手段。6.3保护知识产权和网上隐私签语块（Cookie）技术：一种识别客户并保存其商品选择信息的方法，并且客户的商品选择信息暂时存储在客户机端。购物车软件能够从客户机上读取Cookie里的信息。会话Cookie（SessionCookie）:在关闭浏览器后即被删除；永久Cookie（PersistentCookie）:在关闭浏览器后仍然存在。使用Cookie技术，WWW服务器能够跟踪用户访问网站的习惯。6.3保护知识产权和网上隐私Cookie封锁软件（CookieBlocker）：根据域名来禁用Cookie，以确保使客户机向网站服务器发出没有或包含极少信息的Cookie。网页窃听器（WebBug）：网页上看不见的小图片，其作用就是在客户机上设置Cookie。6.4.1监测活动内容——数字证书在静态页面上添加活动内容，能为页面提供动态的内容和显示效果。活动内容是嵌在WWW页面上的程序。浏览器能够帮助上网者识别带有活动内容的页面。数字证书（DigitalCertificate）：嵌在电子邮件附件或网页上的程序，这些程序能够验证用户或网站的身份。数字证书还能够向网页或电子邮件附件的原发送者发送加密信息。证书并不保证所下载软件的功能或质量，只是证明所提供软件的真实性。数字证书对客户机和服务器确认彼此身份非常关键。数字证书可以帮助购物者验证网站，也可以帮助网站验证购物者。6.4.1监测活动内容——数字证书认证中心（CertificationAuthority）：向组织或个人签发数字证书。申请数字证书的实体向认证中心提供相应的认证申请和身份证明。认证中心向符合条件者签发证书。认证中心的职责就是保证提交证书的个人或组织同其所声称的身份相符合。数字证书的有效期一般为一年。如果证书拥有者发生了恶意行为，认证中心将单方面拒绝发放新证书或将废弃现有证书。6.4.1监测活动内容

——InternetExplorerInternetExplorer采用Authenticode技术验证所下载活动内容的身份。Authenticode技术可验证程序是否具备有效的证书：①检查程序的签名者；②检查签名后的程序是否被修改过。6.4.1监测活动内容

——InternetExplorerAuthenticode技术的工作原理当客户机收到带有证书和活动内容的页面时：Authenticode取出其中的证书，验证认证中心的身份、验证活动内容是否来自发布者、确认活动内容中的程序代码未被修改过。InternetExplorer有内置的可信认证中心的清单及其公开密钥，Authenticode扫描该清单，找出提供证书的认证中心。如果清单上的公开密钥和证书上的相符，就可以认为认证中心的身份是真实的。认证中心的公开密钥可用来对证书解密，证书内附有软件出版商的签名摘要。如果签名摘要可证明软件出版商签署了所下载的代码，证书就将显示出来。虽然Authenticode技术能够对你所信任的活动内容进行是/否判断，但对于Authenticode技术许可进入你的计算机的、表面安全的活动内容，仍然可能具有危险性。6.4.1监测活动内容

——InternetExplorerInternetExplorer可根据所下载文件的来源指定不同的安全设置。InternetExplorer将整个互联网分成不同的区域，并为不同的区域设置不同的安全级别。限制网站区：包含有可能损害你的计算机或数据的网站。可信网站区：包含你信任不会损害你的计算机或数据的网站。本地内部网区：包含在你的组织单位的Intranet中的所有网站。互联网区：包含你还没有放到其他区域中的所有网站。工具/Internet选项…命令6.4.2监测活动内容

——使用防病毒软件安装防病毒软件是一项重要的安全防卫措施。有些防病毒软件能够检查电子邮件的附件，并在发现病毒时提出警告。按期更新防病毒软件的数据文件（病毒库）。应用服务商（ApplicationServiceProvider，ASP）：向其他公司收费并提供电子报表、人力资源管理或电子邮件服务的网站。ASP在电子邮件下载到客户机之间检查并清除病毒。ASP提供的服务是一种IT外包（ITOutsourcing）服务。计算机犯罪专家（ComputerForensicsExpert）：负责收集、保管和分析同计算机犯罪有关的法律证据。6.5保护电子商务的通道提供电子商务通道的安全意味着保证通讯的保密性、消息的完整性和渠道的可用性。6.5.1交易的保密——加密加密（Encryption）：用基于数学算法的程序以及保密的密钥对信息进行编码，以生成难以理解的字符串。加密的目的：将信息转化为即使可读但也看不出意义的字符串，以便只有发信人和收信人才能读懂信息。加密程序（EncryptionProgram）和加密算法（EncryptionAlgorithm）：将明文（ClearText）转换为密文（CipherText）。解密（Decryption）：加密过程的逆过程。6.5.1交易的保密——加密明文加密解密明文密文收信人发信人6.5.1交易的保密——加密即使知道加密程序的细节，但如果没有加密消息时所用的密钥，仍然无法（或很难）解开被加密的消息。密钥（Key）：位数较多的二进制串。它和特定的加密算法一起使用可以实现信息的保密性。密钥位数越多，加密的效果就越好。6.5.1交易的保密——加密加密方法的分类散列编码（HashCoding）非对称加密（AsymmetricEncryption）/公开密钥加密（PublicKeyEncryption）对称加密（SymmetricEncryption）/私有密钥加密（PrivateKeyEncryption）散列编码：使用散列算法求出某消息的散列值的过程。如果散列算法设计得好，由两个不同消息计算得出同一散列值的概率是很小的。散列编码对于判别信息是否在传输时被改变非常方便。6.5.1交易的保密——加密对称加密：使用同一把密钥（私有密钥）对信息进行加密和解密。信息的发送者和接收者必须持有相同的密钥；同一把密钥既被用于加密，又被用于解密；6.5.1交易的保密——加密明文加密解密明文传输密文收信人发信人使用相同的密钥6.5.1交易的保密——加密发送者和接收者都必须事先拥有私有密钥；速度快，效率高；必须细心保存私有密钥。6.5.1交易的保密——加密非对称加密：使用两个数学相关的密钥对信息进行加密和解密。公开密钥：可随意发给期望同密钥持有者进行安全通讯的人。发送信息前，用公开密钥对信息加密。私有密钥：属于密钥持有者，此人必须仔细保存私有密钥。收到信息后，用私有密钥对信息解密。6.5.1交易的保密——加密明文加密解密明文密文收信人发信人收信人的公开密钥收信人的私有密钥非对称加密的作用之一——保密信息6.5.1交易的保密——加密在加密时使用公开密钥。密钥持有者使用私有密钥对密文进行解密。私有密钥持有者负责着非对称加密工作的有效性。只有私有密钥才能打开用配对的公开密钥加密的密文。注意：收信人不能确定发信人的真实身份，因为任何人都可以使用收信人的公开密钥。非对称加密的作用之一——保密信息6.5.1交易的保密——加密*使用公开/私有密钥对，可以帮助收信人确定发信人确为其所声称的那个人。换句话说，使用公开/私有密钥对，可以帮助收信人验证发信人的身份。非对称加密的作用之二——验证发信人身份6.5.1交易的保密——加密*明文加密解密明文密文收信人发信人发信人的私有密钥发信人的公开密钥非对称加密的作用之二——验证发信人身份6.5.1交易的保密——加密*使用收信人的公开密钥能够保证只有收信人能够解密（因为只有收信人才持有私有密钥），从而保证了信息的保密性。使用发信者的私有密钥对信息加密，可以帮助收信人验证发信人的身份。6.5.1交易的保密——加密在信息保密性方面，非对称加密优于对称加密。但非对称加密的效率不如对称加密——用软件实现，DES是RSA的100倍，而用硬件则是1000倍。如果把非对称加密技术和对称加密技术结合起来使用，会更有效、更安全。6.5.1交易的保密——加密在互联网上传输大量敏感信息时，大都使用私有密钥（对称）加密方法。数据加密标准（DataEncryptionStandard，DES）：美国政府用来加密敏感信息或商业信息的对称加密标准。三重数据加密标准（TripleDataEncryptionStandard，3DES）能够提供更好的加密效果。图6-136.5.1交易的保密——加密非对称加密系统的优点：在多人之间进行保密信息传输所需的密钥组合数量较小。可以通过认证机构公开发布公开密钥。非对称加密系统的缺点：与对称加密系统相比，加密/解密过程的速度较慢。使用公开密钥在互联网上传输私有密钥，以实现更有效的安全网络传输。6.5.1交易的保密——加密算法和标准表6-3在交换保密信息时，商务服务器和客户机/浏览器使用相匹配的加密算法。摘要散列算法：不是对信息进行加密，而是根据整个信息计算出一个长度固定的数字（信息签名或摘要）。信息签名（摘要）能够让信息接收者确认信息在传输中是否被修改过。6.5.1交易的保密——SSL协议安全套接层协议（SecureSocketsLayer，SSL）和安全超文本传输协议（S-HTTP）保证信息在互联网上进行安全传输的两个协议。SSL和S-HTTP共同支持在客户机和服务器之间进行的敏感信息的加密/解密过程，透明地完成发出信息的加密和收到信息的解密工作。SSL处于TCP/IP多层结构中的传输层，S-HTTP处于应用层。6.5.1交易的保密——SSL协议

SSL建立安全会话通道的过程：①当客户机/浏览器请求登录服务器时，服务器将招呼要求发给客户机/浏览器。②客户机/浏览器对服务器的招呼要求做出响应（以确定加密标准），并要求服务器提供数字证书；③服务器向客户机响应一个数字证书，数字证书包含认证中心的数字签名、服务器提供的公开密钥；6.5.1交易的保密——SSL协议④客户机/浏览器验证数字证书的有效性（Authenticode技术）。⑤如果数字证书有效，客户机就利用服务器提供的公开密钥（数字证书中）对会话密钥（私有密钥）加密。然后，将加了密的会话密钥发给服务器；⑥服务器使用其自身的私有密钥对会话密钥进行解密，获取会话密钥。至此，客户即和服务器端都拥有了在以后的会话过程中共同使用的私有密钥（会话密钥）。6.5.1交易的保密——SSL协议在建立安全会话通道之后，在客户机和服务器之间传输的所有信息，都使用共享的会话密钥对HTTP请求和HTTP响应进行私有密钥加密传输。会话结束后，会话密钥被丢弃。在客户机与服务器的下一个会话过程中将使用新的会话密钥。6.5.1交易的保密——安全HTTP协议S-HTTP提供了用于客户机与服务器认证的公开密钥加密、用于安全通信的对称加密、用于实现数据完整性的消息摘要。客户机和服务器能单独使用S-HTTP技术：客户机的浏览器可用私有密钥得到安全保证，而服务器可用公开密钥技术来请求对客户机的认证。客户机和服务器都可指定某个安全功能为必需（Required）、可选（Option）还是拒绝（Refused）。当其中一方确定了某个安全功能为必需后，只有对方同意执行同样的安全功能时才能开始连接。否则就不能建立安全通信。6.5.1交易的保密——安全HTTP协议“不可否认（Nonrepudiation）”的安全属性：提供了对客户机发出消息的正面确认，使得客户机无法否认曾经发过的消息。消息的制作者无法否认此消息不是他发出的。“不可否认“功能提供电子信息的不可否认的发送证明（ProofofOrigin）、接收证明（ProofofReceipt）和内容证明（ProofofContent）。6.5.2保证交易的完整性——散列函数破坏完整性：信息在发送者和接收者之间传输时被改变了。散列编码：使用散列算法求出某消息的散列值（消息摘要）的过程。如果散列算法设计得好，由两个不同消息计算得出同一散列值的概率是很小的。散列编码对于判别信息是否在传输时被改变非常方便。工作原理：①消息发送方：使用散列算法求出某消息的散列值，并将消息连同散列值一起发给接收方；②消息接收方：根据接收到的消息、使用相同的散列算法计算散列值，并与接收到的散列值进行比较。如果计算出的散列值与接收到的散列值一致，则认为消息在传输中没被修改过。否则，认为消息在传输中被修改过。6.5.2保证交易的完整性——散列函数明文计算散列值收信人发信人使用相同的散列算法对明文和散列值加密对明文和散列值解密传送密文（散列值）计算散列值预期的散列值比较预期的和被传送的散列值判断信息的完整性6.5.2保证交易的完整性——散列函数散列算法是单向函数，即无法根据散列值得到原消息。一个散列值只能用于同另一个散列值的比较。UNIX使用散列算法对口令进行加密。特征：①不需要密钥；②根据散列值（摘要）无法还原成原始消息；③算法可以是公开的；④很少发生散列值冲突；⑤散列值（摘要）反映了消息本身的某种性质。6.5.2保证交易的完整性——数字签名数字签名：加密后的散列值（消息摘要）。发信人首先使用散列函数生成散列值，然后使用私有密钥对散列值进行非对称加密。数字签名能够把信息的作者和信息的确切内容联系起来。数字签名既能保证消息的完整性又能提供对消息发送者的认证。6.5.2保证交易的完整性——数字签名订单散列函数消息摘要数字签名私有密钥数字签名订单发送方传给商家散列函数消息摘要比较两个消息摘要公开密钥数字签名订单商家接收消息摘要接收方6.5.3保证交易传输向互联网发出大量信息包，将产生拒绝或延迟服务的问题。TCP/IP能够处理拒绝服务问题——TCP负责对信息包的端到端的控制。①当TCP在接收端重组信息包时，会处理包丢失的问题——要求信息发送方重新发送丢失的信息包。②TCP/IP在数据包中加入校验位，验证数据包是否被改变或丢失，并能一定的纠错能力。6.6保护商务服务器商务服务器和WWW服务器主要通过HTTP协议和CGI脚本来响应客户机/浏览器的请求。典型的服务器软件包括：服务器端OS、FTP服务器软件、WWW服务器软件、电子邮件服务器软件、远程登录服务器软件。6.6.1访问控制和认证访问控制：控制访问服务器的用户及其访问内容。认证：验证访问服务器的用户的身份。①使用数字证书：服务器使用用户的公开密钥对用户证书上的数字签名进行解密，并检查数字证书的有效期；②回叫系统：根据用户名和为其指定的客户机地址的清单来验证客户机/访问者的身份。安全性较好，但缺乏灵活性。6.6.1访问控制和认证维护专门的用户名/口令数据库。允许增加或删除用户；提供口令更改功能；提供提醒功能以防用户忘记口令；请求服务器把口令发给你。UNIX使用散列算法对口令进行加密，并将用户名和散列值存放在固定文件中。以明文形式形式保存用户名，而用加密方式来保存口令。以Cookie形式保存用户名/口令。Cookie存在的问题——信息是以明文形式存在客户机上，缺乏安全性。6.6.1访问控制和认证服务器一般提供访问控制表（AccessControlList）的方式来限制用户的文件访问权限。访问控制表对于限制内部网服务器的文件访问非常方便，用户可以按照业务需要访问指定的文件。服务器将文件分成读、写或运行等权限，在文件级上实施安全措施。6.6.2操作系统控制UNIX可在操作系统和文件级上实现对计算机的访问控制和认证功能。6.6.3防火墙防火墙（Firewall）是软硬件组合，在需要保护的网络同可能带来安全威胁的互联网或其它网络之间建立了一层保护。可信网络（Trustednetwork）：在防火墙内被保护的网络。不可信网络（Untrustednetwork）：防火墙之外的网络。防火墙的特征：①由内到外和由外到内的所有访问都必须通过防火墙；②只有本地安全策略所定义的合法访问才被允许通过防火墙。6.6.3防火墙防火墙起着过滤信息的作用，允许特定的信息流入或流出被保护的网络。既可在应用层设置防火墙，也可在网络层和传输层设置防火墙。防火墙的作用：禁止未经授权的用户访问防火墙内的网络及其中的敏感信息，允许合法用户访问防火墙内部的数据和文件。防火墙还可把公司的网络分成若干安全区，以防止某个部门的员工访问其它部门的信息。6.6.3防火墙防火墙的分类包过滤防火墙（Packet-FilterFirewall）：检查在可信网络和互联网之间传输的所有数据，包括数据包的源地址、目标地址及数据包进入可信网络时通过的端口，并根据预先设定的规则拒绝/允许信息包的进出。代理服务器（ProxyServer）：起着代表某个专用网络同互联网进行通信的作用。客户机向服务器提交的请求以及服务器对客户机的响应，都预先经过代理服务器进行处理。6.6.3防火墙防火墙的分类网关服务器（GatewayServer）：使用网关并根据所请求的应用（FTP、Telnet、HTTP等应用）对访问进行过滤的防火墙。网关服务器在应用层上过滤请求和登录，并对所有请求进行分类、登录及事后分析。例如，允许内向、但禁止外向FTP请求的安全策略：防止墙内部的员工从防火墙外部下载有潜在安全威胁的程序。6.6.3防火墙允许/拒绝源IP地址目的IP地址协议拒绝telnet允许telnet,ftp,http允许所有telnet,http,smtp作业2000级BS7799、ISO/IEC17799有关知识。（参考网站http://www.cofly.com和http://www.ccidnet.com，两个同学完成）Authenticode技术验证活动内容有效的工作原理。简述加密技术和散列函数之间的区别。简述SSL建立安全通道的过程。简述UNIX利用散列函数完成用户名/口令保护机制的原理。作业2002级简述Cookie的分类和作用。InternetExplorer将整个互联网分成哪几类不同的区域？简述加密技术和散列函数之间的区别。简述SSL建立安全通道的过程。Cookie-1关于Cookie一些网站在计算机上的小文本文件中存储信息。该文件称为Cookie。有几种类型的Cookie