第十一章網(wǎng)絡(luò)交易安全管理

第十一章網(wǎng)絡(luò)交易安全管理主講人：余鯤鵬博士電子商務(wù)基礎(chǔ)與應(yīng)用（第九版）Page

211.網(wǎng)絡(luò)交易安全管理11.1網(wǎng)絡(luò)交易風(fēng)險和安全管理的基本思路11.2客戶認(rèn)證技術(shù)11.3防止黑客入侵11.4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度11.5電子商務(wù)交易安全的法律保障Page

311.1網(wǎng)絡(luò)交易風(fēng)險和安全管理的基本思路網(wǎng)絡(luò)交易風(fēng)險和安全管理的基本思路11.1.1網(wǎng)絡(luò)交易風(fēng)險的現(xiàn)狀11.1.2網(wǎng)絡(luò)交易風(fēng)險源分析11.1.3網(wǎng)絡(luò)交易安全管理的基本思路Page

411.1.1網(wǎng)絡(luò)交易風(fēng)險的現(xiàn)狀

黑客入侵網(wǎng)站事件時有發(fā)生“網(wǎng)絡(luò)釣魚”詐騙頻繁出現(xiàn)個人信息泄露事件多次發(fā)生伴隨著電子商務(wù)交易量的不斷增加，電子商務(wù)安全問題出現(xiàn)的幾率也越來越高。12311.1.1網(wǎng)絡(luò)交易風(fēng)險的現(xiàn)狀圖11-1假銀聯(lián)網(wǎng)站主頁Page

611.1.2網(wǎng)絡(luò)交易風(fēng)險源分析1.在線交易主體的市場準(zhǔn)入問題2.信息風(fēng)險3.信用風(fēng)險4.網(wǎng)上欺詐犯罪5.電子合同問題6.電子支付問題7.在線消費者保護問題8.產(chǎn)品交付問題1.在線交易主體的市場準(zhǔn)入問題在現(xiàn)行法律體制下，任何長期固定從事營利性事業(yè)的主體都必須進行工商登記。在電子商務(wù)環(huán)境下，虛擬主體的存在使電子商務(wù)交易安全受到嚴(yán)重威脅。電子商務(wù)交易安全首先要解決的問題就是確保網(wǎng)上交易主體的真實存在，且確定哪些主體可以進入虛擬市場從事在線業(yè)務(wù)。2010年7月1日實施的《網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為管理暫行辦法》

明確要求：通過網(wǎng)絡(luò)從事商品交易及有關(guān)服務(wù)行為的自然人應(yīng)當(dāng)向提供網(wǎng)絡(luò)交易平臺服務(wù)的經(jīng)營者提出申請，提交其姓名和地址等真實身份信息，并將核發(fā)證明個人身份信息真實合法的標(biāo)記加載在其從事商品交易或者服務(wù)活動的網(wǎng)頁上。Page

711.1.2網(wǎng)絡(luò)交易風(fēng)險源分析Page

811.1.2網(wǎng)絡(luò)交易風(fēng)險源分析2.信息風(fēng)險從買賣雙方自身的角度觀察，網(wǎng)絡(luò)交易中的信息風(fēng)險來源于用戶以合法身份進入系統(tǒng)后，買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對方的錢款或貨物。3.信用風(fēng)險信用風(fēng)險來自買方的信用風(fēng)險來自賣方的信用風(fēng)險買賣雙方都存在抵賴的情況Page

911.1.2網(wǎng)絡(luò)交易風(fēng)險源分析4.網(wǎng)上欺詐犯罪騙子在電子交易活動中頻繁欺詐用戶，利用電子商務(wù)進行欺詐已經(jīng)成為一種新型犯罪活動。常見的欺詐犯罪有：網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)信用卡詐騙、網(wǎng)上非法經(jīng)營、網(wǎng)絡(luò)非法吸收公眾存款等。5．電子合同問題在傳統(tǒng)商業(yè)模式下，一般都要簽訂書面合同，以便在對方失信不履約時作為證據(jù)，追究對方的責(zé)任。而在在線交易情形下，所有當(dāng)事人的意思表示均以電子化的形式存儲于計算機硬盤或其他電子介質(zhì)中。但這些記錄都因沒有應(yīng)用電子簽名而不能得到法律的保護。電子商務(wù)急需解決解決基于電子簽名的電子合同的應(yīng)用問題，包括電子合同的形式、合同的收訖、合同的證據(jù)等。Page

1011.1.2網(wǎng)絡(luò)交易風(fēng)險源分析6．電子支付問題

需要制定相應(yīng)的法律，明確電子支付的當(dāng)事人(包括付款人、收款人和銀行)之間的法律關(guān)系，制定相關(guān)的電子支付制度，認(rèn)可電子簽字的合法性。同時還應(yīng)出臺針對電子支付數(shù)據(jù)的偽造、變造、更改、涂銷等問題的處理辦法。7．在線消費者保護問題在線市場的虛擬性和開放性以及網(wǎng)上購物的便捷性都使消費者保護成為突出的問題。在我國商業(yè)信用不高的狀況下，網(wǎng)上出售的商品可能良莠不齊，而一旦出現(xiàn)質(zhì)量問題，退賠、修理等又很困難，方便的網(wǎng)絡(luò)購物很可能變得不方便甚至使人敬而遠之。法律需要尋求在電子商務(wù)環(huán)境下執(zhí)行《中華人民共和國消費者權(quán)益保護法》的方法和途徑，制定保護網(wǎng)上消費者的特殊法律。8．產(chǎn)品交付問題在線交易的標(biāo)的物分兩種，一種為有形貨物，另一種是無形的信息產(chǎn)品。應(yīng)當(dāng)說，有形貨物的交付仍然可以沿用傳統(tǒng)合同法的基本原理，當(dāng)然，對于物流配送中引起的一些特殊問題也要作一些探討。而信息產(chǎn)品的交付則具有不同于有形貨物交付的特征，對于其權(quán)利的移轉(zhuǎn)、退貨、交付的完成等需要有相應(yīng)的安全保障措施。Page

1111.1.2網(wǎng)絡(luò)交易風(fēng)險源分析11.1.3網(wǎng)絡(luò)交易安全管理的基本思路一個完整的網(wǎng)絡(luò)交易安全體系至少應(yīng)包括三類措施，并且三者缺一不可。社會政策與法律保障管理方面的措施防火墻技術(shù)網(wǎng)絡(luò)防毒信息加密身份認(rèn)證授權(quán)等交易的安全制度交易安全的實時監(jiān)控提供實時改變安全策略的能力對現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等技術(shù)方面的措施社會相關(guān)政策的出臺相關(guān)法律的保障返回Page

1311.2客戶認(rèn)證技術(shù)客戶認(rèn)證技術(shù)11.2.1身份認(rèn)證11.2.2信息認(rèn)證技術(shù)11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證11.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)1.身份認(rèn)證的目標(biāo)Page

1411.2.1身份認(rèn)證1確保交易者是交易者本人，而不是其他人2避免與超過權(quán)限的交易者進行交易3訪問控制Page

1511.2.1身份認(rèn)證2.用戶身份認(rèn)證的基本方式一般來說，用戶身份認(rèn)證可通過三種基本方式或其組合方式來實現(xiàn)：用戶通過某個秘密信息，例如用戶通過自己的口令訪問系統(tǒng)資源。用戶知道某個秘密信息，并且利用包含這一秘密信息的載體訪問系統(tǒng)資源。用戶利用自身所具有的某些生物學(xué)特征，如指紋、聲音、DNA、視網(wǎng)膜等訪問系統(tǒng)資源。3.身份認(rèn)證的單因素認(rèn)證用戶身份認(rèn)證的最簡單方法就是口令。系統(tǒng)事先保存每個用戶的二元組信息，進入系統(tǒng)時用戶輸入二元組信息，系統(tǒng)將保存的用戶信息和用戶輸入的信息相比較，從而判斷用戶身份的合法性。4.基于智能卡的用戶身份認(rèn)證基于智能卡的用戶身份認(rèn)證機制屬于雙因素認(rèn)證，它結(jié)合了基本認(rèn)證方式中的第一種和第二種方法。用戶的二元組信息預(yù)先存于智能卡中，然后在認(rèn)證服務(wù)器中存入事先由用戶選擇的某個隨機數(shù)。用戶訪問系統(tǒng)資源時，用戶輸入二元組信息。系統(tǒng)首先判斷智能卡的合法性，然后由智能卡鑒別用戶身份。11.2.1身份認(rèn)證5.一次口令機制Page

1711.2.1身份認(rèn)證“請求響應(yīng)”方式用戶登錄時系統(tǒng)隨機提示一條信息，根據(jù)這一信息連同其個人數(shù)據(jù)共同產(chǎn)生一個口令字，用戶輸入這個口令字，完成一次登錄過程，或者用戶對這一條信息實施電子簽字并發(fā)送給認(rèn)證服務(wù)器進行鑒別?！皶r鐘同步”機制根據(jù)同步時鐘信息連同其個人數(shù)據(jù)共同產(chǎn)生一個口令字。這兩種方案均需要認(rèn)證服務(wù)器端也產(chǎn)生與用戶端相同的口令字(或檢驗簽字)用于驗證用戶身份。11.2.2信息認(rèn)證技術(shù)1.可信性

3.不可抵賴性2.完整性4.保密性信息的來源是可信的，即信息接收者能夠確認(rèn)所獲得的信息不是由冒充者所發(fā)出的。要求保證信息在傳輸過程中的完整性，也即信息接收者能夠確認(rèn)所獲得的信息在傳輸過程中沒有被修改、遺失和替換。要求信息的發(fā)送方不能否認(rèn)自己所發(fā)出的信息。同樣，信息的接收方也不能否認(rèn)已收到的信息。對敏感的文件進行加密，即使別人截獲文件也無法得到其內(nèi)容。主要目標(biāo)1.信息認(rèn)證的目標(biāo)11.2.2信息認(rèn)證技術(shù)2.基于私有密鑰體制的信息認(rèn)證基于私有密鑰(PrivateKey，私鑰)體制的信息認(rèn)證是一種傳統(tǒng)的信息認(rèn)證方法。這種方法采用對稱加密算法，也就是說，信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。圖11-2對稱加密示意圖對稱加密算法在電子商務(wù)交易過程中存在三個問題：Page

2011.2.2信息認(rèn)證技術(shù)(1)要求提供一條安全的渠道使通信雙方在首次通信時協(xié)商一個共同的密鑰。直接的面對面協(xié)商可能是不現(xiàn)實而且難于實施的，因此雙方可能需要借助于郵件和電話等其他相對不夠安全的手段來進行協(xié)商。

(2)密鑰的數(shù)目將快速增長而變得難以管理，因為每一對可能的通信實體需要使用不同的密鑰，這很難適應(yīng)開放社會中大量信息交流的要求。(3)對稱加密算法一般不能提供信息完整性鑒別。3.基于公開密鑰體制的信息認(rèn)證1976年，美國學(xué)者Diffie和Hellman為解決信息公開傳送和密鑰管理問題，提出了一種密鑰交換協(xié)議，允許通信雙方在不安全的媒體上交換信息，安全地達成一致的密鑰，這就是“公開密鑰體系”。

與對稱加密算法不同，公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰——公開密鑰(PublicKey，公鑰)和私有密鑰。如果用公開密鑰對數(shù)據(jù)進行加密，則只有用對應(yīng)的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應(yīng)的公開密鑰才能解密。Page

2111.2.2信息認(rèn)證技術(shù)11.2.2信息認(rèn)證技術(shù)圖11-3使用公鑰加密和用對應(yīng)的私鑰解密的示意圖11.2.2信息認(rèn)證技術(shù)4.數(shù)字簽字和驗證對文件進行加密只解決了第一個問題，而防止他人對傳輸?shù)奈募M行破壞，以及如何確定發(fā)信人的身份還需要采取其他的手段。數(shù)字簽字(Digita1Signature)及驗證(Verification)就是實現(xiàn)信息在公開網(wǎng)絡(luò)上安全傳輸?shù)闹匾椒?。圖11-4數(shù)字簽字與驗證過程示意圖數(shù)字簽字與驗證的過程：

11.2.2信息認(rèn)證技術(shù)(1)發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成信息摘要。(2)發(fā)送方采用自己的私有密鑰對信息摘要進行加密，形成數(shù)字簽字。(3)發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面，傳遞給接收方。(4)接收方使用發(fā)送方的公有密鑰對數(shù)字簽字進行解密，得到發(fā)送方形成的信息摘要。(5)接收方用哈希函數(shù)將接收到的信息轉(zhuǎn)換成信息摘要，與發(fā)送方形成的信息摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。11.2.2信息認(rèn)證技術(shù)5.時間戳

在電子商務(wù)交易文件中，時間是十分重要的信息。同書面文件類似，文件簽署的日期也是防止電子文件被偽造和篡改的關(guān)鍵性內(nèi)容。數(shù)字時間戳服務(wù)是網(wǎng)上電子商務(wù)安全服務(wù)項目之一，它能提供電子文件的日期和時間信息的安全保護。

時間戳是一個經(jīng)加密后形成的憑證文檔，它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽字三個部分。

一般來說，時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用Hash函數(shù)轉(zhuǎn)化為報文摘要，然后將該摘要加密后發(fā)送到提供時間戳服務(wù)的機構(gòu)，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽字)，然后送回用戶。

1.數(shù)字證書電子簽名認(rèn)證證書是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄。電子簽名認(rèn)證證書有多種形式，如數(shù)字、指紋、視網(wǎng)膜、DNA等。其中，最常用的認(rèn)證證書是數(shù)字證書，因為它使用方便、便于記憶，價格又最便宜。數(shù)字證書作為網(wǎng)上交易雙方真實身份證明的依據(jù)，是一個經(jīng)使用者進行數(shù)字簽名的、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件。基于公開密鑰體制(PKI)的數(shù)字證書是電子商務(wù)安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來保護與驗證公眾的密鑰，由可信任的、公正的電子認(rèn)證服務(wù)機構(gòu)頒發(fā)。Page

2611.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證Page

2711.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證圖11-5數(shù)字證書的組成Page

2811.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證2.電子認(rèn)證服務(wù)提供者電子認(rèn)證服務(wù)提供者是指為電子簽名人和電子簽名依賴方提供電子認(rèn)證服務(wù)的第三方機構(gòu)(簡稱電子認(rèn)證服務(wù)機構(gòu))。電子認(rèn)證服務(wù)機構(gòu)主要提供的服務(wù)制作、簽發(fā)、管理電子簽名認(rèn)證證書確認(rèn)簽發(fā)的電子簽名認(rèn)證證書的真實性提供電子簽名認(rèn)證證書目錄信息查詢服務(wù)提供電子簽名認(rèn)證證書狀態(tài)信息查詢服務(wù)11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證圖11-6CA認(rèn)證3.電子商務(wù)的CA認(rèn)證體系(1)

SETCAPage

3011.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證圖11-7SET中CA的層次結(jié)構(gòu)11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證(2)

PKICAPKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是提供公鑰加密和數(shù)字簽字服務(wù)的安全基礎(chǔ)平臺，目的是管理密鑰和證書。圖11-8PKI的主要功能和服務(wù)11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證圖11-9PKI體系的構(gòu)成11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證4.證書的樹形驗證結(jié)構(gòu)在兩方通信時，通過出示由某個CA簽發(fā)的證書來證明自己的身份，如果對簽發(fā)證書的CA本身不信任，則可驗證CA的身份，依次類推，一直到公認(rèn)的權(quán)威CA處，就可確信證書的有效性。SET證書正是通過信任層次來逐級驗證的。每一個證書與數(shù)字化簽發(fā)證書的實體的簽字證書關(guān)聯(lián)，沿著信任樹一直到一個公認(rèn)的信任組織，就可確認(rèn)該證書是有效的。圖11-10證書的樹形驗證結(jié)構(gòu)5.帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證圖11-11帶有數(shù)字簽字和數(shù)字證書的加密系統(tǒng)6.認(rèn)證機構(gòu)在電子商務(wù)中的地位和作用在電子商務(wù)交易的撮合過程中，認(rèn)證機構(gòu)是提供交易雙方驗證的第三方機構(gòu)，由一個或多個用戶信任的、具有權(quán)威性質(zhì)的組織實體管理。它不僅要對進行電子商務(wù)交易的買賣雙方負(fù)責(zé)，還要對整個電子商務(wù)的交易秩序負(fù)責(zé)。電子商務(wù)認(rèn)證機構(gòu)對登記者履行下列監(jiān)督管理職責(zé)：(1)監(jiān)督登記者按照規(guī)定辦理登記、變更、注銷手續(xù)(2)監(jiān)督登記者按照電子商務(wù)的有關(guān)法律法規(guī)合法從事經(jīng)營活動(3)制止和查處登記人的違法交易活動，保護交易人的合法權(quán)益11.2.3通過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證11.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)1.我國電子商務(wù)認(rèn)證機構(gòu)建設(shè)的基本情況自1998年5月17日，我國第一家CA認(rèn)證中心誕生。為了保證電子商務(wù)交易安全，我國從2005年開始全面推行了電子認(rèn)證服務(wù)行政許可制度。迄今為止，我國大陸獲得電子認(rèn)證服務(wù)行政許可的認(rèn)證機構(gòu)有34個，分布于全國大部分行政區(qū)域。

這些認(rèn)證機構(gòu)大致可以分為三類：第一類是行業(yè)主管部門建立的CA中心，如由中國人民銀行牽頭組建的中金金融認(rèn)證中心(CFCA)等；第二類是地方政府部門建立的CA中心，如北京CA、上海CA、山東CA等；第三類是民間資本建立的商業(yè)CA，如天威誠信、頤信科技等。2.我國電子認(rèn)證服務(wù)機構(gòu)建設(shè)中存在的主要問題Page

3711.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)(1)電子認(rèn)證服務(wù)資源亟待整合(2)電子認(rèn)證服務(wù)亟待創(chuàng)新與突破(3)技術(shù)水平偏低，存在安全隱患3.加強我國電子認(rèn)證服務(wù)機構(gòu)建設(shè)的基本思路Page

3811.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)1統(tǒng)籌全局、規(guī)范發(fā)展2政府引導(dǎo)、市場運作3應(yīng)用牽引、服務(wù)創(chuàng)新4.國家級電子認(rèn)證服務(wù)體系建設(shè)的構(gòu)想Page

3911.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)電子認(rèn)證服務(wù)身份認(rèn)證資信認(rèn)證稅收認(rèn)證外貿(mào)認(rèn)證11.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)圖11-12國家電子商務(wù)認(rèn)證中心機構(gòu)組織結(jié)構(gòu)設(shè)想圖國家電子商務(wù)認(rèn)證中心主要承擔(dān)根認(rèn)證工作，包括：11.2.4我國電子商務(wù)認(rèn)證機構(gòu)的建設(shè)123456對職能認(rèn)證系統(tǒng)和省市分認(rèn)證中心進行政策指導(dǎo)和業(yè)務(wù)管理匯總職能認(rèn)證中心和省市分認(rèn)證中心的數(shù)據(jù)負(fù)責(zé)數(shù)字憑證的管理與簽發(fā)提供數(shù)字時間戳服務(wù)負(fù)責(zé)使用者密碼的產(chǎn)生與保管對交易糾紛提供證明資料等返回Page

4211.3防止黑客入侵防止黑客入侵11.3.1黑客的基本概念11.3.2網(wǎng)絡(luò)黑客常用的攻擊手段11.3.3防范黑客攻擊的主要技術(shù)手段Page

4311.3.1黑客的基本概念黑客駭客竊客只想引人注目，證明自己的能力，在進入網(wǎng)絡(luò)系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇，他們追求的是從侵入行為本身獲得巨大的滿足。行為帶有強烈的目的性，早期這些黑客主要竊取國家情報、科研情報，而現(xiàn)在的目標(biāo)大都瞄準(zhǔn)了銀行的資金和電子商務(wù)交易過程。Page

4411.3.2網(wǎng)絡(luò)黑客常用的攻擊手段1.口令攻擊口令攻擊是網(wǎng)上攻擊最常用的方法。黑客首先進入系統(tǒng)的常用服務(wù)，或?qū)W(wǎng)絡(luò)通信進行監(jiān)視，使用掃描工具獲取目標(biāo)主機的有用信息，包括操作系統(tǒng)的類型和版本、主機域名、開放的端口、啟動的保護手段等。然后，反復(fù)試驗和推測用戶的生日、電話號碼或其他易記的線索等，獲取進入系統(tǒng)的口令，以求侵入系統(tǒng)。也有的黑客利用一些駐留內(nèi)存的程序暗中捕獲用戶的口令。這類程序類似于“特洛伊木馬”(TrojanHorse)的病毒程序，它通常讓用戶填寫調(diào)查表格，而實際目的是暗中捕獲用戶的口令。當(dāng)這些方法不能奏效時，黑客們便借助各種軟件工具，利用破解程序分析這些信息，進行口令破解，進而實施攻擊。Page

45在網(wǎng)絡(luò)交易中，出現(xiàn)了一些新的口令攻擊方法：撞庫脫褲洗庫水坑攻擊郵件釣魚2.服務(wù)攻擊

黑客所采用的服務(wù)攻擊手段主要有4種。Page

4611.3.2網(wǎng)絡(luò)黑客常用的攻擊手段(1)和目標(biāo)主機建立大量的連接。因為目標(biāo)主機要為每次網(wǎng)絡(luò)連接提供網(wǎng)絡(luò)資源，所以當(dāng)連接速率足夠高、連接數(shù)量足夠多時就會使目標(biāo)主機的網(wǎng)絡(luò)資源耗盡，從而導(dǎo)致主機癱瘓、重新啟動、死機或黑(藍)屏。(2)向遠程主機發(fā)送大量的數(shù)據(jù)包。因為目標(biāo)主機要為每次到來的數(shù)據(jù)分配緩沖區(qū)，所以當(dāng)數(shù)據(jù)量足夠大時會使目標(biāo)主機的網(wǎng)絡(luò)資源耗盡，導(dǎo)致主機死機或黑(藍)屏。(3)利用即時消息功能，以極快的速度用無數(shù)的消息“轟炸”某個特定用戶，使目標(biāo)主機緩沖區(qū)溢出，黑客伺機提升權(quán)限，獲取信息或執(zhí)行任意程序。(4)利用網(wǎng)絡(luò)軟件在實現(xiàn)協(xié)議時的漏洞，向目標(biāo)主機發(fā)送特定格式的數(shù)據(jù)包，從而導(dǎo)致主機癱瘓。3.電子郵件轟炸用數(shù)百條消息填塞某人的E-mail信箱也是一種在線襲擾的方法。當(dāng)用戶受到這種叫做“電子郵件炸彈(E-mailBomb)”的攻擊后，就會在很短的時間內(nèi)收到大量的電子郵件，這樣使得用戶系統(tǒng)的正常業(yè)務(wù)不能開展，系統(tǒng)功能喪失，嚴(yán)重時會使系統(tǒng)關(guān)機，甚至使整個網(wǎng)絡(luò)癱瘓。4.利用文件系統(tǒng)入侵TP(文件傳輸協(xié)議)是因特網(wǎng)上最早應(yīng)用的、不同系統(tǒng)之間交換數(shù)據(jù)的協(xié)議之一。FTP的實現(xiàn)依靠TCP在主機之間進行數(shù)據(jù)傳輸。NFS(網(wǎng)絡(luò)文件系統(tǒng))服務(wù)器能夠?qū)ν廨敵?Export)目錄，提供資源共享，主機可以通過NFS協(xié)議對服務(wù)器輸出的目錄進行訪問。11.3.2網(wǎng)絡(luò)黑客常用的攻擊手段5.計算機病毒計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒程序把自己附著在其他程序上，待這些程序運行時，病毒進入到系統(tǒng)中，進而大面積擴散。6.

IP欺騙IP欺騙是適用于TCP/IP環(huán)境的一種復(fù)雜的技術(shù)攻擊，它偽造他人的源地址，讓一臺計算機來扮演另一臺計算機，借以達到蒙混過關(guān)的目的。IP欺騙主要包括簡單的地址偽造和序列號預(yù)測兩種。Page

4811.3.2網(wǎng)絡(luò)黑客常用的攻擊手段1.入侵檢測技術(shù)入侵檢測可以形象地描述為網(wǎng)絡(luò)中不間斷的攝像機。入侵檢測通過旁路監(jiān)聽的方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。該技術(shù)不但可以發(fā)現(xiàn)從外部入侵的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。入侵檢測系統(tǒng)產(chǎn)品為審核、監(jiān)控和校正網(wǎng)絡(luò)安全而專門設(shè)計。它們可以找出安全隱患，提供堵住安全漏洞所必需的校正方案；建立必要的循環(huán)過程，確保隱患即刻被糾正。此外，它們還監(jiān)控各種變化情況，從而使用戶可以找出經(jīng)常發(fā)生問題的根源所在。Page

4911.3.3防范黑客攻擊的主要技術(shù)手段2.防火墻技術(shù)（1）傳統(tǒng)防火墻Page

5011.3.3防范黑客攻擊的主要技術(shù)手段傳統(tǒng)防火墻的類型包過濾(PacketFiltering)代理防火墻(Proxy)電路層網(wǎng)關(guān)(CircuitGateway)11.3.3防范黑客攻擊的主要技術(shù)手段（2）新型防火墻新型防火墻的設(shè)計目標(biāo)是既有包過濾的功能，又能在應(yīng)用層進行代理，能從數(shù)據(jù)鏈路層到應(yīng)用層進行全方位安全處理。由于TCP/IP協(xié)議和代理直接相互配合，使系統(tǒng)的防欺騙能力和運行的安全性都大大提高。圖11-13新型防火墻的系統(tǒng)構(gòu)成11.3.3防范黑客攻擊的主要技術(shù)手段3.物理隔離技術(shù)物理隔離技術(shù)是近年發(fā)展起來的防止外部黑客攻擊的有效手段。物理隔離產(chǎn)品主要有物理隔離卡和隔離網(wǎng)閘。圖11-14物理隔離卡工作示意圖

圖11-15物理隔離網(wǎng)閘示意圖返回11.4網(wǎng)絡(luò)交易系統(tǒng)的安全管理制度11.4.1網(wǎng)絡(luò)交易系統(tǒng)安全管理制度的涵義11.4.2人員管理制度11.4.5網(wǎng)絡(luò)系統(tǒng)的日常維護制度11.4.6用戶管理制度11.4.7病毒防范制度11.4.8應(yīng)急措施11.4.3保密制度Page

54網(wǎng)絡(luò)交易系統(tǒng)安全管理制度是用文字形式對各項安全要求所做的規(guī)定，它是保證企業(yè)網(wǎng)絡(luò)營銷取得成功的重要基礎(chǔ)，是企業(yè)網(wǎng)絡(luò)營銷人員安全工作的規(guī)范和準(zhǔn)則。企業(yè)在參與網(wǎng)絡(luò)營銷伊始，就應(yīng)當(dāng)形成一套完整的、適應(yīng)于網(wǎng)絡(luò)環(huán)境的安全管理制度，包括人員管理制度，保密制度，跟蹤、審計、稽核制度，網(wǎng)絡(luò)系統(tǒng)日常維護制度，用戶管理制度和病毒防范制度以及應(yīng)急措施等。鑒于不同企業(yè)或單位網(wǎng)絡(luò)交易系統(tǒng)的安全需求和安全投資不盡相同，網(wǎng)絡(luò)交易系統(tǒng)的安全保護需實行等級保護制度。11.4.1網(wǎng)絡(luò)交易系統(tǒng)安全管理制度的涵義網(wǎng)絡(luò)營銷是一種高智力勞動。從事網(wǎng)絡(luò)營銷的人員，一方面必須具有傳統(tǒng)市場營銷的知識和經(jīng)驗。另一方面又必須具有相應(yīng)的計算機網(wǎng)絡(luò)知識和操作技能。由于營銷人員在很大程度上支配著市場經(jīng)濟下企業(yè)的命運，而計算機網(wǎng)絡(luò)犯罪又具有智能性、隱蔽性、連續(xù)性、高黑數(shù)性的特點，因而，加強對網(wǎng)絡(luò)營銷人員的管理變得十分重要。(1)嚴(yán)格網(wǎng)絡(luò)營銷人員的選拔。(2)落實工作責(zé)任制。(3)貫徹電子商務(wù)安全運作基本原則。11.4.2人員管理制度Page

5611.4.3保密制度電子商務(wù)涉及企業(yè)的市場、生產(chǎn)、財務(wù)、供應(yīng)等多方面的機密，需要很好地劃分信息的安全級別，確定防范重點，提出相應(yīng)的保密措施。信息的安全級別一般可分為三級：(1)絕密級(2)機密級(3)秘密級跟蹤制度要求企業(yè)建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，用來記錄系統(tǒng)運行的全過程。系統(tǒng)日志文件是自動生成的，內(nèi)容包括操作日期、操作方式、登錄次數(shù)、運行時間、交易內(nèi)容等。審計制度包括經(jīng)常對系統(tǒng)日志進行檢查、審核，及時發(fā)現(xiàn)故意入侵系統(tǒng)行為的記錄和違反系統(tǒng)安全功能的記錄，監(jiān)控和捕捉各種安全事件，保存、維護和管理系統(tǒng)日志。稽核制度是指工商管理、銀行、稅務(wù)人員利用計算機及網(wǎng)絡(luò)系統(tǒng)，借助于稽核業(yè)務(wù)應(yīng)用軟件調(diào)閱、查詢、審核、判斷轄區(qū)內(nèi)各電子商務(wù)參與單位業(yè)務(wù)經(jīng)營活動的合理性和安全性，發(fā)現(xiàn)漏洞，發(fā)出相應(yīng)的警示或作出處理處罰有關(guān)決定的一系列步驟及措施。Page

5711.4.4跟蹤、審計、稽核制度11.4.5網(wǎng)絡(luò)系統(tǒng)的日常維護制度1.硬件的管理與維護網(wǎng)絡(luò)設(shè)備服務(wù)器和客戶機通信線路2.軟件的管理與維護支撐軟件應(yīng)用軟件3.數(shù)據(jù)備份制度廣域網(wǎng)上一般都有幾個至十幾個應(yīng)用系統(tǒng)，每個應(yīng)用系統(tǒng)都設(shè)置了若干角色，用戶管理的任務(wù)就是增加/刪除用戶、增加/修改用戶組號。例如，要增加一個用戶，須進行如下工作(以UNIX為例)：(1)在用戶使用的客戶機上增加用戶并分配組號。(2)在用戶使用的服務(wù)器數(shù)據(jù)庫上增加用戶并分配組號。(3)分配該用戶的廣域網(wǎng)訪問權(quán)限。為了保證廣域網(wǎng)的安全，必須統(tǒng)一管理用戶，由網(wǎng)管部門統(tǒng)一增加或刪除用戶。上述三項工作在UNIX環(huán)境下都可通過一個簡單的Shell程序一步完成。11.4.6用戶管理制度Page

6011.4.7病毒防范制度1.應(yīng)用防病毒軟件2.認(rèn)真執(zhí)行病毒定期清理制度3.控制權(quán)限4.高度警惕網(wǎng)絡(luò)陷阱應(yīng)急措施是指在計算機災(zāi)難事件，即緊急事件或安全事故發(fā)生時利用應(yīng)急計劃輔助軟件和應(yīng)急設(shè)施，排除災(zāi)難和故障，保障計算機信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)。11.4.8應(yīng)急措施應(yīng)急措施瞬時復(fù)制技術(shù)遠程磁盤鏡像技術(shù)數(shù)據(jù)庫復(fù)制技術(shù)返回Page

6211.5電子商務(wù)交易安全的法律保障電子商務(wù)交易安全的法律保障11.5.1電子簽名法律制度11.5.2電子合同法律制度11.5.3網(wǎng)絡(luò)商品交易管理辦法11.5.4我國電子商務(wù)交易安全的相關(guān)法律保護1.電子簽名(ElectronicSignature)的概念電子簽名“是指數(shù)據(jù)電文中以電子形式所含、所附用以識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)?！?.電子簽名的適用前提與適用范圍《電子簽名法》使用排除法確定了電子簽名的使用范圍，規(guī)定一些特定范圍內(nèi)的法律文書不適用關(guān)于電子簽名、數(shù)據(jù)電文的法律效力的規(guī)定。這些法律文書包括：(1)涉及婚姻、收養(yǎng)、繼承等人身關(guān)系的。(2)涉及土地、房屋等不動產(chǎn)權(quán)益轉(zhuǎn)讓的。(3)涉及停止供水、供熱、供氣、供電等公用事業(yè)服務(wù)的。(4)法律、行政法規(guī)規(guī)定的不適用電子文書的其他情形。11.5.1電子簽名法律制度3.電子簽名的法律效力《電子簽名法》第十三條提出了認(rèn)定可靠電子簽名的四個基本條件，且這四個條件需要同時滿足：(1)電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；

(2)簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

(3)簽署后對電子簽名的任何改動都能夠被發(fā)現(xiàn)；

(4)簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動都能夠被發(fā)現(xiàn)。4.電子簽名中各方當(dāng)事人的基本行為規(guī)范

根據(jù)我國《電子簽名法》，參與電子簽名活動的包括電子簽名人、電子簽名依賴方和電子認(rèn)證服務(wù)提供者。11.5.