電子商務(wù)安全剖析

1、電子商務(wù)安全剖析 9.1電子商務(wù)與信息安全 9.1.1電子商務(wù)安全的現(xiàn)狀 美國(guó)每年因電子商務(wù)安全問題所造成的經(jīng)濟(jì) 損失達(dá)75億美元，電子商務(wù)企業(yè)的電腦安全受到 侵犯的比例從199749%升到199954%40萬(wàn)用戶被 迫中斷聯(lián)絡(luò)40小時(shí)。 從 1993年起，黑客在中國(guó)的活動(dòng)就沒有停止 過。在1997年以后，黑客入侵活動(dòng)日益猖獗，逐 步轉(zhuǎn)向電子商務(wù)領(lǐng)域，國(guó)內(nèi)各大網(wǎng)絡(luò)幾乎都不同 程度地遭到黑客的攻擊。 電子商務(wù)安全剖析 9.1.2 電子商務(wù)安全的要素 1）可靠性 2）真實(shí)性 3）機(jī)密性 4）完整性 5）有效性 6）不可抵賴性 7）內(nèi)部網(wǎng)的嚴(yán)密性 電子商務(wù)安全剖析 9.1.3網(wǎng)絡(luò)攻擊的常用方法 1）

2、系統(tǒng)穿透 2）違反授權(quán)原則 3）植入 4）通信監(jiān)聽 5）通信竄擾 6）中斷 7）拒絕服務(wù) 8）電子郵件轟炸 9）病毒技術(shù) 電子商務(wù)安全剖析 9.2電子商務(wù)安全協(xié)議 9.2.1電子商務(wù)安全協(xié)議分類 1）加密協(xié)議 2）身份驗(yàn)證協(xié)議 3）密鑰管理協(xié)議 4）數(shù)據(jù)驗(yàn)證協(xié)議 5）安全審計(jì)協(xié)議 6）防護(hù)協(xié)議 電子商務(wù)安全剖析 9.2.2國(guó)際通用電子商務(wù)安全協(xié)議 1）安全套接層協(xié)議SSL （1）安全套接層協(xié)議的概念 安全套接層協(xié)議（Secure Sockets Layer），是由 網(wǎng)景公司設(shè)計(jì)開發(fā)的，主要用于提高應(yīng)用程序之間的 數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是 WWW服務(wù)器）之間安全通信的協(xié)議。S

3、SL在客戶機(jī) 和服務(wù)器開始交換一個(gè)簡(jiǎn)短信息時(shí)提供一個(gè)安全的握 手信號(hào)。在開始交換的信息中，雙方確定將使用的安 全級(jí)別并交換數(shù)字證書。每個(gè)計(jì)算機(jī)都要正確識(shí)別對(duì) 方。SSL支持的客戶機(jī)和服務(wù)器間的所有通訊都加密 了。在SSL對(duì)所有通訊都加密后，竊聽者得到的是無(wú) 法識(shí)別的信息。 電子商務(wù)安全剖析 實(shí)現(xiàn)SSL協(xié)議的是HTTP的安全版，名為HTTPS。 圖9.2.1 HTTPS協(xié)議的使用 電子商務(wù)安全剖析 （2）安全套接層協(xié)議的工作原理 SSL需要認(rèn)證服務(wù)器，并對(duì)兩臺(tái)計(jì)算機(jī)之間 所有的傳輸進(jìn)行加密。 SSL用公開密鑰（非對(duì)稱）加密和私有密鑰 （對(duì)稱）加密來(lái)實(shí)現(xiàn)信息的保密。雖然公開密鑰 非常方便，但速度較

4、慢。這就是SSL對(duì)幾乎所有 的安全通訊都使用私有密鑰加密的原因。 電子商務(wù)安全剖析 （3）建立SSL安全連接的過程 圖9.2.2顯示在eCoin上在登陸（Login）用戶 名時(shí)即進(jìn)入SSL安全連接。 圖9.2.2 在eCoin上連接交換敏感信息的頁(yè)面 電子商務(wù)安全剖析 這時(shí)瀏覽器發(fā)出安全警報(bào)，開始建立安全連接， 參見圖9.2.3。同時(shí)驗(yàn)證安全證書，參見圖9.2.4。 用戶單擊“確定”鍵即進(jìn)入安全連接。 圖9.2.3 瀏覽器開始建立安全連接 圖9.2.4 瀏覽器驗(yàn)證服務(wù)器安全證書 電子商務(wù)安全剖析 該圖顯示在eCoin上的安全連接已經(jīng)建立，瀏覽 器右下角狀態(tài)欄的鎖型圖案表示用戶通過網(wǎng)頁(yè)傳 輸?shù)挠?/p>

5、戶名和密碼都將通過加密方式傳送。 電子商務(wù)安全剖析 當(dāng)加密方式傳送結(jié)束后，瀏覽器會(huì)離開交換敏感信 息的頁(yè)面，自動(dòng)斷開安全連接。 圖9.2.6 離開交換敏感信息的頁(yè)面，瀏覽器自動(dòng)斷開安全連接 電子商務(wù)安全剖析 2）安全電子交易協(xié)議SET 為了克服SSL安全協(xié)議的缺點(diǎn)，更為了達(dá)到 交易安全及合乎成本效益之市場(chǎng)要求，VISA和 MasterCard聯(lián)合其他國(guó)際組織，共同制定了安全 電子交易（Secure Electronic Transaction， SET）協(xié)議。 在SET中采用了雙重簽名技術(shù)，支付信息和 訂單信息是分別簽署的，這樣保證了商家看不到 支付信息，而只能看到訂單信息。支付指令中包 括了

6、交易ID、交易金額、信用卡數(shù)據(jù)等信息，這 些涉及到與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對(duì)支付網(wǎng)關(guān) 是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其 委托的信用卡組織來(lái)?yè)?dān)當(dāng)。 電子商務(wù)安全剖析 3）S-HTTP安全協(xié)議 安全HTTP（S-HTTP）是HTTP的擴(kuò)展，它提供了 多種安全功能，包括客戶機(jī)與服務(wù)器認(rèn)證、加密、請(qǐng)求 /響應(yīng)的不可否認(rèn)等。 SHTTP安全的細(xì)節(jié)設(shè)置是在客戶機(jī)和服務(wù)器開始 的握手會(huì)話中完成的?？蛻魴C(jī)和服務(wù)器都可指定某個(gè)安 全功能為必需（Required）、可選（Option）還是拒絕 （Refused）。當(dāng)其中一方確定了某個(gè)安全特性為“必 需”時(shí)，只有另一方（客戶機(jī)或服務(wù)器）同意執(zhí)行同樣 的安

7、全功能時(shí)才能開始連接，否則就不能建立安全通訊。 SHTTP是通過在SHTTP所交換包的特殊頭標(biāo)志 來(lái)建立安全通訊的。頭標(biāo)志定義了安全技術(shù)的類型，包 括使用私有密碼加密、服務(wù)器認(rèn)證、客戶機(jī)認(rèn)證和消息 的完整性。一旦客戶機(jī)和服務(wù)器同意彼此之間安全措施 的實(shí)現(xiàn)，那么在此會(huì)話中的所有信息都將封裝在安全信 封里。 電子商務(wù)安全剖析 9.3電子商務(wù)安全技術(shù) 9.3.1加密技術(shù) 1）密碼學(xué)概述 密碼學(xué)就是在破譯和反破譯的過程中發(fā)展起 來(lái)的。加密算法就是用基于數(shù)學(xué)計(jì)算方法與一串 數(shù)字（密鑰）對(duì)普通的文本（信息）進(jìn)行編碼， 產(chǎn)生不可理解的密文的一系列步驟。發(fā)送方將消 息在發(fā)送到公共網(wǎng)絡(luò)或互聯(lián)網(wǎng)之前進(jìn)行加密，接

8、收方收到消息后對(duì)其解碼或稱為解密，所用的程 序稱為解密程序，這是加密的逆過程。 電子商務(wù)安全剖析 2）加密和解密的示范 以一個(gè)簡(jiǎn)單實(shí)例來(lái)看看加密和解密的過程。一個(gè)簡(jiǎn) 單的加密方法是把英文字母按字母表的順序編號(hào)作為明 文，將密鑰定為17，加密算法為將明文加上密鑰17，就 得到一個(gè)密碼表 表9.3.1 一個(gè)簡(jiǎn)單的密碼表 字母 ABC Z 空格 ，./:? 明文 010203 26272829303132 密文 181920 43444546474849 信息Thisisasecret. 明文20 08 09 19 27 09 19 27 01 27 19 05 03 18 05 20 29 密文3

9、7 25 26 36 44 26 36 44 18 44 36 22 20 35 22 37 46 電子商務(wù)安全剖析 3）加密的分類 按密鑰和相關(guān)加密程序類型可把加密分為： 散列編碼、對(duì)稱加密和非對(duì)稱加密。 （1）散列編碼 散列編碼是用散列算法求出某個(gè)消息的散列 值的過程。散列編碼對(duì)于判別信息是否在傳輸時(shí) 被改變非常方便。如果信息被改變，原散列值就 會(huì)與由接收者所收消息計(jì)算出的散列值不匹配。 電子商務(wù)安全剖析 （2）對(duì)稱加密 對(duì)稱加密又稱私有密鑰加密，它用且只用一 個(gè)密鑰對(duì)信息進(jìn)行加密和解密。對(duì)稱加密技術(shù)可 參見圖9.3.1 圖9.3.1 對(duì)稱加密技術(shù)示意圖 電子商務(wù)安全剖析 （3）非對(duì)稱加密

10、 1977年麻省理工學(xué)院的三位教授（Rivest、Shamir和 Adleman）發(fā)明了 RSA公開密鑰密碼系統(tǒng)。在此系統(tǒng)中 有一對(duì)密碼，給別人用的就叫公鑰，給自己用的就叫私 鑰。用公鑰加密后的密文，只有私鑰能解。RSA的算法 如下： 選取兩個(gè)足夠大的質(zhì)數(shù)P和Q ； 計(jì)算P和Q相乘所產(chǎn)生的乘積n PQ； 找出一個(gè)小于n的數(shù)e ，使其符合與 （P1）（Q 1）互為質(zhì)數(shù)； 另找一個(gè)數(shù)d，使其滿足（ed）MOD（P1） （Ql）1其中MOD（模）為相除取余；(n，e)即 為公鑰；（n，d）為私鑰。 加密和解密的運(yùn)算方式為：明文MCd（MOD n）；密 文CM e（MOD n ） 電子商務(wù)安全剖析 假

11、定P 3，Q 11，則n = PQ 33，選擇 e =3，因?yàn)?3和20沒有公共因子。（3d）MOD（20）1，得出d 7。從而得到（33，3）為公鑰；（33，7）為私鑰。 加密過程為將明文M的3次方模33得到密文C，解密過程 為將密文C 的7次方模33得到明文。下表顯示了非對(duì)稱 加密和解密的過程。 明文 M 密文 C 解密 字母 序號(hào) M3 M3（MOD 33） C7 C7（MOD 33） 字母 A01101101A E05125268031810176 05E N1427440578125 14N S19685928 19S Z125261 1757620128000000 26Z 電子商

12、務(wù)安全剖析 非對(duì)稱加密有若干優(yōu)點(diǎn)：在多人之間進(jìn)行保密信 息傳輸所需的密鑰組合數(shù)量很??；公鑰沒有特殊 的發(fā)布要求，可以在網(wǎng)上公開；可實(shí)現(xiàn)數(shù)字簽名。 非對(duì)稱加密技術(shù)可參見圖9.3.2。 圖9.3.2 非對(duì)稱加密技術(shù)示意圖 l圖9.3.2 非對(duì)稱加密技術(shù)示意圖 電子商務(wù)安全剖析 9.3.2數(shù)字簽名技術(shù) 1）數(shù)字簽名的概念 數(shù)字簽名（Digital Signature）技術(shù)是將摘要 用發(fā)送者的私鑰加密，與原文一起傳送給接收者。 接收者只有用發(fā)送者的公鑰才能解密被加密的摘 要。數(shù)字簽名主要有3種應(yīng)用廣泛的方法：RSA 簽名、DSS簽名和Hash簽名。 Hash簽名是最主要的數(shù)字簽名方法。它的主要方式 是

13、，報(bào)文的發(fā)送方從明文文件中生成一個(gè)128比特的散 列值（數(shù)字摘要）。發(fā)送方用自己的私鑰對(duì)這個(gè)散列值 進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后該數(shù)字簽名將 作為附件和報(bào)文一起發(fā)送給接收方。報(bào)文的接收方首先 從接收到的原始報(bào)文中計(jì)算出128比特的散列值（數(shù)字 摘要），接著用發(fā)送方的公鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名 解密。 電子商務(wù)安全剖析 2）數(shù)字簽名的優(yōu)點(diǎn) 數(shù)字簽名具有易更換、難偽造、可進(jìn)行遠(yuǎn)程 線路傳遞等優(yōu)點(diǎn)。數(shù)字簽名參見圖9.3.3。 圖9.3.3 數(shù)字簽名 電子商務(wù)安全剖析 3）數(shù)字簽名的使用方法 （1）發(fā)送方首先用哈希函數(shù)從明文文件中生成一個(gè)數(shù)字 摘要，用自己的私鑰對(duì)這個(gè)數(shù)字摘要進(jìn)行加密來(lái)形成發(fā)

14、送方的數(shù)字簽名。 （2）發(fā)送方選擇一個(gè)對(duì)稱密鑰對(duì)文件加密，然后通過網(wǎng) 絡(luò)傳輸?shù)浇邮辗?，最后通過網(wǎng)絡(luò)將該數(shù)字簽名作為附件 和報(bào)文密文一起發(fā)送給接收方。 （3）發(fā)送方用接收方的公鑰給對(duì)稱密鑰加密，并通過網(wǎng) 絡(luò)把加密后的對(duì)稱密鑰傳輸?shù)浇邮辗健?（4）接收方使用自己的私鑰對(duì)密鑰信息進(jìn)行解密，得到 對(duì)稱密鑰。 （5）接收方用對(duì)稱密鑰對(duì)文件進(jìn)行解密，得到經(jīng)過加密 的數(shù)字簽名。 （6）接收方用發(fā)送方的公鑰對(duì)數(shù)字簽名進(jìn)行解密，得到 數(shù)字簽名的明文。 電子商務(wù)安全剖析 接受方公鑰接受方私鑰密約對(duì) 哈希函數(shù) 對(duì)稱密鑰密文對(duì)稱密鑰密文 對(duì)稱密鑰 哈希函數(shù) 對(duì)稱密鑰 3加密4解密 數(shù)字簽名 發(fā)送方私鑰 密 文 密 文

15、 發(fā)送方私鑰 密約對(duì) 原 文件 簽名 密文 原文件簽名文件 數(shù)字簽名數(shù)字簽名 電子商務(wù)安全剖析 9.3.3認(rèn)證技術(shù) (CA) 由于電子商務(wù)是在網(wǎng)絡(luò)中完成，交易雙方互 相之間不見面，為了保證每個(gè)人及機(jī)構(gòu)（如銀行、 商家）都能唯一而且被無(wú)誤地識(shí)別，這就需要進(jìn) 行身份認(rèn)證。 1）認(rèn)證中心（CA） 電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)也稱為電子商務(wù)認(rèn)證 中心（Certificate Authority，CA）。CA就是承擔(dān) 網(wǎng)上安全電子交易的認(rèn)證服務(wù)，它能簽發(fā)數(shù)字證 書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。CA通常是 一個(gè)服務(wù)性機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申 請(qǐng)，簽發(fā)及管理數(shù)字證書。 電子商務(wù)安全剖析 2）認(rèn)證中心的職能

16、認(rèn)證中心具有下列4大職能： （1）證書發(fā)放 可以有多種方法向申請(qǐng)者發(fā)放證書， 可以發(fā)放給最終用戶簽名的或加密的證書。 （2）證書更新 持卡人證書、商戶和支付網(wǎng)關(guān)證書 應(yīng)定期更新，更新過程與證書發(fā)放過程是一樣的。 （3）證書撤消 證書的撤消可以有許多理由，如私 鑰被泄密，身份信息的更新或終止使用等。 （4）證書驗(yàn)證 認(rèn)證證書是通過信任分級(jí)體系來(lái)驗(yàn) 證的，每一種證書與簽發(fā)它的單位相聯(lián)系，沿著 該信任樹直接到一個(gè)認(rèn)可信賴的組織，就可以確 定證書的有效性。 電子商務(wù)安全剖析 3）認(rèn)證體系的結(jié)構(gòu) 認(rèn)證體系呈樹型結(jié)構(gòu)，根據(jù)功能的不同，認(rèn) 證中心劃分成不同的等級(jí)，不同等級(jí)的認(rèn)證中心 負(fù)責(zé)發(fā)放不同的證書。圖9

17、.3.5為CA體系示意圖。 圖9.3.5 CA體系示意圖 電子商務(wù)安全剖析 4）數(shù)字證書 （1）數(shù)字證書的概念 數(shù)字證書是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者 組織的身份和密鑰所有權(quán)的電子文檔。 （2）數(shù)字證書的類型 客戶證書證實(shí)客戶身份和密鑰所有權(quán)。 服務(wù)器證書證實(shí)服務(wù)器的身份和公鑰。 安全郵件證書證實(shí)電子郵件用戶的身份和公鑰。 CA機(jī)構(gòu)證書證實(shí)認(rèn)證中心身份和認(rèn)證中心的簽 名密鑰。 電子商務(wù)安全剖析 （3）數(shù)字證書的內(nèi)容 證書數(shù)據(jù) 版本信息； 證書序列號(hào)； CA所使用的簽名算法； 發(fā)行證書CA的名稱； 證書的有效期限； 證書主題名稱； 被證明的公鑰信息的特別擴(kuò)展。 發(fā)行證書的CA簽名 電子商務(wù)安全剖

18、析 （4）數(shù)字證書的有效性 只有下列條件為真時(shí)，數(shù)字證書才有效。 證書沒有過期 密鑰沒有修改 用戶有權(quán)使用這個(gè)密鑰 證書必須不在無(wú)效證書清單中 電子商務(wù)安全剖析 5）世界著名的認(rèn)證中心Verisign 世界上較早的數(shù)字證書認(rèn)證中心是美國(guó)的 Verisign公司（）。 圖9.3.6 認(rèn)證中心VeriSign的主頁(yè) 電子商務(wù)安全剖析 6）中國(guó)知名的認(rèn)證中心 中國(guó)數(shù)字認(rèn)證網(wǎng)（ ） 中國(guó)金融認(rèn)證中心（ ） 中國(guó)電子郵政安全證書管理中心（ ） 北京數(shù)字證書認(rèn)證中心（） 廣東省電子商務(wù)認(rèn)證中心（） 上海市電子商務(wù)安全證書管理中心有限公司（） 海南省電子商務(wù)認(rèn)證中心（） 天津CA認(rèn)證中心（) 山東省CA認(rèn)證

19、中心（） 電子商務(wù)安全剖析 9.3.4數(shù)字時(shí)間戳 1）數(shù)字時(shí)間戳的概念 數(shù)字時(shí)間戳服務(wù)（Digital TimeStamp Service DTSS）是用來(lái)證明消息的收發(fā)時(shí)間的。 用戶首先將需要加時(shí)間戳的文件經(jīng)加密后形成文 檔，然后將摘要發(fā)送到專門提供數(shù)字時(shí)間戳服務(wù) 的權(quán)威機(jī)構(gòu)，該機(jī)構(gòu)對(duì)原摘要加上時(shí)間后，進(jìn)行 數(shù)字簽名，用私鑰加密，并發(fā)送給原用戶。 需要一個(gè)第三方來(lái)提供可信賴的且不可抵賴 的時(shí)間戳服務(wù)。作為可信賴的第三方，應(yīng)請(qǐng)求為 服務(wù)器端和客戶端應(yīng)用頒發(fā)時(shí)間戳。打上時(shí)間戳 就是將一個(gè)可信賴的日期和時(shí)間與數(shù)據(jù)綁定在一 起的過程， 電子商務(wù)安全剖析 圖9.3.7 數(shù)字時(shí)間戳的應(yīng)用過程 電子商務(wù)安

20、全剖析 2）時(shí)間戳產(chǎn)生的過程 用戶首先將需要加時(shí)間戳的文件用Hash編碼 加密形成摘要，然后將該摘要發(fā)送到DTSS認(rèn)證 單位。DTSS認(rèn)證單位在加入了收到文件摘要的 日期和時(shí)間信息后再對(duì)該文件加密（數(shù)字簽名）， 然后送回用戶。 書面簽署文件的時(shí)間是由簽署人自己寫上的， 而數(shù)字時(shí)間戳則不然，它是由DTSS認(rèn)證單位來(lái) 加的，并以收到文件的時(shí)間為依據(jù)。 電子商務(wù)安全剖析 3）數(shù)字時(shí)間戳的作用 （1）數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理媒 體無(wú)關(guān)。 （2）對(duì)已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng) （即使僅l bit）。 （3）要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同 的時(shí)間戳是不可能的。 電子商務(wù)安全剖析

21、9.3.5公開密鑰基礎(chǔ)設(shè)施（PKI） 公 開 密 鑰 基 礎(chǔ) 設(shè) 施 （ P u b l i c K e y Infrastructure）是一種以公鑰加密技術(shù)為基礎(chǔ)技 術(shù)手段實(shí)現(xiàn)安全性的技術(shù)。PKI由認(rèn)證機(jī)構(gòu)、證 書庫(kù)、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、 PKI應(yīng)用接口系統(tǒng)等基本成分組成。 1）認(rèn)證機(jī)構(gòu) 2）證書庫(kù) 3）密鑰生成和管理系統(tǒng) 4）證書管理系統(tǒng) 5）PKI應(yīng)用接口系統(tǒng) 電子商務(wù)安全剖析 公開密鑰基礎(chǔ)設(shè)施的優(yōu)點(diǎn)： 透明性和易用性 可廣展性 可操作性強(qiáng) 支持多應(yīng)用 支持多平臺(tái) 作為網(wǎng)絡(luò)環(huán)境的一種基礎(chǔ)設(shè)施，PKI具有良 好的性能，是一個(gè)比較完整的安全體系。電子商 務(wù)建設(shè)過程中涉及的許多

22、安全問題都可由PKI解 決。 電子商務(wù)安全剖析 9.3.6病毒防范措施 1）計(jì)算機(jī)網(wǎng)絡(luò)病毒的類型 （1）蠕蟲 （2）邏輯炸彈 （3）特洛伊木馬 （4）陷阱入口 （5）核心大戰(zhàn) 電子商務(wù)安全剖析 2）計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害 (1) 對(duì)網(wǎng)絡(luò)的危害 病毒程序通過“自我復(fù)制”傳染正在運(yùn)行的 其他程序，并與正常運(yùn)行的程序爭(zhēng)奪計(jì)算機(jī)資源； 病毒程序可沖毀存儲(chǔ)器中的大量數(shù)據(jù)，致使 計(jì)算機(jī)其他用戶的數(shù)據(jù)蒙受損失； 病毒不僅侵害所使用的計(jì)算機(jī)系統(tǒng)，而且侵 害與該系統(tǒng)聯(lián)網(wǎng)的其他計(jì)算機(jī)系統(tǒng)； 病毒程序可導(dǎo)致以計(jì)算機(jī)為核心的網(wǎng)絡(luò)失靈 。 電子商務(wù)安全剖析 （2）病毒對(duì)計(jì)算機(jī)的危害 破壞磁盤文件分配表，使用戶在磁盤上的信

23、 息丟失；將非法數(shù)據(jù)置入操作系統(tǒng)（如 DOS的 內(nèi)存參數(shù)區(qū)），引起系統(tǒng)崩潰；刪除硬盤或軟盤 上特定的可執(zhí)行文件或數(shù)據(jù)文件；修改或破壞文 件的數(shù)據(jù)；影響內(nèi)存常駐程序的正常執(zhí)行；在磁 盤上產(chǎn)生虛假壞分區(qū)，從而破壞有關(guān)的程序或數(shù) 據(jù)文件；更改或重新寫入磁盤的卷標(biāo)號(hào)；不斷反 復(fù)傳染拷貝，造成存儲(chǔ)空間減少，并影響系統(tǒng)運(yùn) 行效率；對(duì)整個(gè)磁盤或磁盤上的特定磁道進(jìn)行格 式化；系統(tǒng)掛起，造成顯示屏幕或鍵盤的封鎖狀 態(tài)。 電子商務(wù)安全剖析 3）網(wǎng)絡(luò)反病毒技術(shù) （1）預(yù)防病毒技術(shù) （2）檢測(cè)病毒技術(shù) （3）消除病毒技術(shù) 4）計(jì)算機(jī)病毒的防范措施 （1）給自己的電腦安裝防病毒軟件 （2）認(rèn)真執(zhí)行病毒定期清理制度 （3

24、）控制權(quán)限 （4）高度警惕網(wǎng)絡(luò)陷阱 （5）不打開陌生地址的電子郵件 電子商務(wù)安全剖析 9.4防火墻系統(tǒng) 9.4.1防火墻的概念 1）防火墻的定義 防火墻是在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間構(gòu)筑的一道 屏障，是在內(nèi)外有別及在需要區(qū)分處設(shè)置有條件 的隔離設(shè)備，用以保護(hù)內(nèi)部網(wǎng)中的信息、資源等 不受來(lái)自互聯(lián)網(wǎng)中非法用戶的侵犯。 2）防火墻系統(tǒng)的構(gòu)成 防火墻主要包括安全操作系統(tǒng)、過濾器、網(wǎng) 關(guān)、域名服務(wù)和電子郵件處理5部分。 電子商務(wù)安全剖析 9.4.2防火墻系統(tǒng)的功能和不足之處 1）防火墻的主要功能 （1）保護(hù)易受攻擊的服務(wù) （2）控制對(duì)特殊站點(diǎn)的訪問 （3）集中化的安全管理 （4）集成了入侵檢測(cè)功能，提供了監(jiān)視互

25、聯(lián)網(wǎng)安 全和預(yù)警的方便端點(diǎn)。 （5）對(duì)網(wǎng)絡(luò)訪問進(jìn)行日志記錄和統(tǒng)計(jì) 電子商務(wù)安全剖析 2）防火墻系統(tǒng)的不足之處 (1)防火墻不能防范不經(jīng)由防火墻（繞過防火墻） 或者來(lái)自內(nèi)部的攻擊； (2)防火墻不能防止感染了病毒的軟件或文件的 傳輸； (3)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。 電子商務(wù)安全剖析 9.4.3 防火墻的安全體系 1）雙重宿主主機(jī)體系 防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通 信，同時(shí)防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在互聯(lián)網(wǎng)上） 也能與雙重宿主主機(jī)通信。 雙重宿主主機(jī)需要細(xì)細(xì)驗(yàn)看所通過的數(shù)據(jù)包 的內(nèi)容，并將其改頭換面重新包裝。如果數(shù)據(jù)包 中有違禁的東西，則根據(jù)內(nèi)部網(wǎng)絡(luò)的安全策略進(jìn) 行處理。例如外部網(wǎng)絡(luò)的A數(shù)據(jù)包通過防火墻后 則變成了A數(shù)據(jù)包，