電子商務(wù)安全技術(shù)實用教程 課件全套 第1-10章 電子商務(wù)安全概述- 電子商務(wù)安全管理

電子商務(wù)安全技術(shù)實用教程

（微課版第三版）目錄第1章電子商務(wù)安全概述第2章網(wǎng)絡(luò)攻擊與網(wǎng)購欺詐第3章網(wǎng)絡(luò)安全技術(shù)第4章加密與認(rèn)證技術(shù)第5章公鑰基礎(chǔ)設(shè)施與數(shù)字證書第6章電子商務(wù)安全協(xié)議第7章電子商務(wù)軟件系統(tǒng)安全第8章電子支付與網(wǎng)上銀行第9章

移動電子商務(wù)安全第10章電子商務(wù)安全管理第11章電子商務(wù)安全實驗項目第1章電子商務(wù)安全概述1.1電子商務(wù)概述1.2電子商務(wù)安全概念與問題1.3電子商務(wù)安全對策1.4跨境電子商務(wù)安全1.1電子商務(wù)概述1.1.1電子商務(wù)的概念電子商務(wù)（ElectronicCommerce）是指政府、企業(yè)和個人利用現(xiàn)代電子計算機與網(wǎng)絡(luò)技術(shù)實現(xiàn)商業(yè)交換和行政管理的全過程。它是一種基于互聯(lián)網(wǎng)、以交易雙方為主體、以銀行電子支付結(jié)算為手段、以客戶數(shù)據(jù)為依托的全新商務(wù)模式。電子商務(wù)的參與者包括企業(yè)、消費者和中介機構(gòu)等。1.1.2電子商務(wù)系統(tǒng)結(jié)構(gòu)三個層次分別是：網(wǎng)絡(luò)層信息發(fā)布與傳輸層電子商務(wù)服務(wù)與應(yīng)用層兩大支柱是指：社會人文性的公共政策和法律規(guī)范自然科技性的技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議。1.1.2電子商務(wù)系統(tǒng)結(jié)構(gòu)（1）網(wǎng)絡(luò)層：網(wǎng)絡(luò)層指網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是實現(xiàn)電子商務(wù)的最底層的基礎(chǔ)設(shè)施，它是信息的傳輸系統(tǒng)，也是實現(xiàn)電子商務(wù)的基本保證。（2）信息發(fā)布與傳輸層：網(wǎng)絡(luò)層決定了電子商務(wù)信息傳輸使用的線路，而信息發(fā)布與傳輸層則解決如何在網(wǎng)絡(luò)上傳輸信息和傳輸何種信息的問題。（3）電子商務(wù)服務(wù)和應(yīng)用層：電子商務(wù)服務(wù)層實現(xiàn)標(biāo)準(zhǔn)的網(wǎng)上商務(wù)活動服務(wù)，如網(wǎng)上廣告、網(wǎng)上零售、商品目錄服務(wù)、電子支付、客戶服務(wù)、電子認(rèn)證（CA認(rèn)證）、商業(yè)信息安全傳送等。其真正的核心是CA認(rèn)證。（4）公共政策和法律規(guī)范：隨著電子商務(wù)的產(chǎn)生，由此引發(fā)的問題和糾紛不斷增加，原有的法律法規(guī)已經(jīng)不能適應(yīng)新的發(fā)展環(huán)境，制定新的法律法規(guī)并形成一個成熟、統(tǒng)一的法律體系，成為世界各國發(fā)展電子商務(wù)的必然趨勢。（5）技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)協(xié)議：技術(shù)標(biāo)準(zhǔn)定義了用戶接口、傳輸協(xié)議、信息發(fā)布標(biāo)準(zhǔn)等技術(shù)細(xì)節(jié)。1.1.3我國電子商務(wù)的發(fā)展（1）工具階段（1995~2003年）這個階段，是互聯(lián)網(wǎng)進入中國的探索期、啟蒙期。中國電子商務(wù)以企業(yè)間電子商務(wù)模式探索和發(fā)展為主。早期，應(yīng)用電子商務(wù)的企業(yè)和個人主要把電子商務(wù)作為優(yōu)化業(yè)務(wù)活動或商業(yè)流程的工具，如信息發(fā)布、信息搜尋和郵件溝通等，其應(yīng)用僅局限于某個業(yè)務(wù)“點”。（2）渠道階段（2003~2008年）這個階段，電子商務(wù)應(yīng)用由企業(yè)向個人延伸。2003年，非典的肆虐令許多行業(yè)在春天里感受到寒冬的冷意，但卻讓電子商務(wù)時來運轉(zhuǎn)。電子商務(wù)界經(jīng)歷了一系列的重大事件，如2003年5月，阿里巴巴集團成立淘寶網(wǎng)，進軍C2C市場。2003年12月，慧聰網(wǎng)香港創(chuàng)業(yè)板上市，成為國內(nèi)B2B電子商務(wù)首家上市公司。2004年1月京東涉足電子商務(wù)領(lǐng)域。2007年11月，阿里巴巴網(wǎng)絡(luò)有限公司成功在香港主板上市。1.1.3我國電子商務(wù)的發(fā)展（3）基礎(chǔ)設(shè)施階段（2008~2013年）電子商務(wù)引發(fā)的經(jīng)濟變革使信息這一核心生產(chǎn)要素日益廣泛運用于經(jīng)濟活動，加快了信息在商業(yè)、工業(yè)和農(nóng)業(yè)中的滲透速度，極大地改變了消費行為、企業(yè)形態(tài)和社會創(chuàng)造價值的方式，有效地降低了社會交易成本，促進了社會分工協(xié)作，引爆了社會創(chuàng)新，提高了社會資源的配置效率，深刻地影響著零售業(yè)、制造業(yè)和物流業(yè)等傳統(tǒng)行業(yè)，成為信息經(jīng)濟重要的基礎(chǔ)設(shè)施或新的商業(yè)基礎(chǔ)設(shè)施。越來越多的企業(yè)和個人基于和通過以電子商務(wù)平臺為核心的新商業(yè)基礎(chǔ)設(shè)施降低交易成本、共享商業(yè)資源、創(chuàng)新商業(yè)服務(wù)，也極大地促進了電子商務(wù)的迅猛發(fā)展。（4）經(jīng)濟體階段（2013年以后）2013年中國超越美國，成為全球第一大網(wǎng)絡(luò)零售市場。2013年，我國電子商務(wù)交易規(guī)模突破10萬億元大關(guān)，網(wǎng)絡(luò)零售交易規(guī)模1.85萬億元，相當(dāng)于社會消費品零售總額的7.8%。2014年2月，中國就業(yè)促進會發(fā)布《網(wǎng)絡(luò)創(chuàng)業(yè)就業(yè)統(tǒng)計和社保研究項目報告》顯示，全國網(wǎng)店直接就業(yè)總計962萬人，間接就業(yè)超120萬，成為創(chuàng)業(yè)就業(yè)新的增長點。2017年電子商務(wù)交易規(guī)模達到了9

750億美元，世界排名第一。中國電子商務(wù)市場存在的巨大經(jīng)濟潛力，使許多企業(yè)和就業(yè)者都躍躍欲試，目前中國電子商務(wù)市場已經(jīng)進入平穩(wěn)發(fā)展階段，前景良好。1.1.3我國電子商務(wù)的發(fā)展圖1-32012—2018年中國電子商務(wù)市場交易規(guī)模1.2電子商務(wù)安全的概念與問題

1.2.1電子商務(wù)安全的概念

1.電子商務(wù)安全的定義電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息，因此，電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全。（1）計算機網(wǎng)絡(luò)安全：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全為目標(biāo)。（2）商務(wù)交易安全：則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，保障以電子交易和電子支付為核心的電子商務(wù)的順利進行。即實現(xiàn)電子商務(wù)保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等。2．電子商務(wù)安全需求（1）有效性EC以電子信息取代紙張，如何保證電子形式貿(mào)易信息的有效性則是開展EC的前提。（2）機密性EC作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。（3）完整性由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。（4）可靠性可靠性是指防止計算機失效、程序錯誤、傳輸錯誤、自然災(zāi)害等引起的計算機信息失效或失誤。保證存儲在介質(zhì)上的信息的正確性。（5）不可否認(rèn)性在無紙化的電子商務(wù)模式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。2.1.2電子商務(wù)安全問題1．網(wǎng)絡(luò)系統(tǒng)安全問題（1）物理實體的安全問題主要包括計算機、網(wǎng)絡(luò)、通訊設(shè)備等的機能失常、電源故障、由于電磁泄漏引起的信息失密、搭線竊聽、自然災(zāi)害等帶來的安全威脅（2）計算機軟件系統(tǒng)的安全漏洞不論采用什么操作系統(tǒng)，在默認(rèn)安裝的條件下都會存在一些安全問題，網(wǎng)絡(luò)軟件的漏洞和“后門”是進行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（3）TCP/IP協(xié)議的安全缺陷網(wǎng)絡(luò)服務(wù)一般都是通過各種各樣的協(xié)議完成的，因此網(wǎng)絡(luò)協(xié)議的安全性是網(wǎng)絡(luò)安全的一個重要方面。TCP/IP協(xié)議在安全方面可以說是“先天不足”。（4）黑客的惡意攻擊以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣；而襲擊者本身的風(fēng)險卻非常小。（5）計算機病毒的危害計算機病毒是網(wǎng)絡(luò)安全威脅的主要因素之一，目前全球出現(xiàn)的數(shù)萬種病毒按照基本類型劃分，可歸為引導(dǎo)型病毒、可執(zhí)行文件病毒、宏病毒、混合病毒、特洛伊木馬型病毒和Internet語言病毒6種類型。（6）安全產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。2.1.2電子商務(wù)安全問題2．交易信息傳輸?shù)陌踩珕栴}（1）冒名偷竊：為了獲取重要的商業(yè)秘密、資源和信息，競爭對手或者“黑客”常常采用源IP地址來進行欺騙攻擊。（2）篡改數(shù)據(jù)：攻擊者利用非法手段掌握了信息的格式和規(guī)律后，通過各種手段方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)進行刪除、修改、重發(fā)等，破壞數(shù)據(jù)的完整性和真實性。（3）信息丟失：在交易中存在的信息丟失，是因為線路問題、安全措施不當(dāng)或因為在不同的操作平臺上轉(zhuǎn)換操作不當(dāng)導(dǎo)致的。（4）信息破壞：由于計算機技術(shù)發(fā)展迅速，原有的病毒防范技術(shù)、加密技術(shù)、防火墻技術(shù)等始終存在被新技術(shù)攻擊的可能性。（5）信息偽造：在網(wǎng)上交易過程中，信息傳輸問題可能來源于用戶以合法身份進入系統(tǒng)后，買賣雙方都可能在網(wǎng)上發(fā)布虛假的供求信息。表1-1典型的信息傳輸安全威脅威脅描述竊聽網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽重傳攻擊者事先獲得部分或全部信息，以后將此信息發(fā)動給接收者偽造攻擊者將偽造的信息發(fā)送給接收者篡改攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再發(fā)送非授權(quán)訪問非法獲取系統(tǒng)訪問權(quán)，進入網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改、插入信息等拒絕服務(wù)攻擊攻擊者使系統(tǒng)響應(yīng)減慢或癱瘓，阻止合法用戶獲得服務(wù)行為否認(rèn)通訊實體否認(rèn)已經(jīng)發(fā)生的行為旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性電磁射頻截獲攻擊者從發(fā)出的無線射頻或其他電磁輻射中提取信息人員疏忽授權(quán)的人為了利益或由于粗心將信息泄露給未授權(quán)的人2.1.2電子商務(wù)安全問題3．電子商務(wù)安全管理問題（1）交易流程管理問題：在網(wǎng)絡(luò)交易中介介入交易的過程中,客戶進入交易中心，交易中心不但要監(jiān)督買方按時付款，也要監(jiān)督賣方按時提供合同所要求的貨物。（2）人員管理問題：在網(wǎng)上交易中，最薄弱的環(huán)節(jié)是人員管理。（3）交易技術(shù)管理問題：網(wǎng)上交易只經(jīng)歷了很短的時間，沒有比較完善的控制機制，使得網(wǎng)上交易技術(shù)管理的漏洞眾多，也因此帶來很大的交易問題。（4）安全法律法規(guī)問題開展電子商務(wù)需要在企業(yè)和企業(yè)之間、政府和企業(yè)之間、企業(yè)和消費者之間、政府和政府之間明確各自需要遵守的法律義務(wù)和責(zé)任。2.1.2電子商務(wù)安全問題4.電子商務(wù)的信用安全問題（1）來自買方的信用問題：對于消費者來說，可能在網(wǎng)絡(luò)上利用信用卡進行支付時的惡意透支，或者使用偽造的信用卡來騙取買方的貨物。（2）來自賣方的信用問題：賣方不能按質(zhì)、按量、按時寄送消費者購買的貨物，或者不能完全根據(jù)合同來履行合同內(nèi)容，造成對買方權(quán)益的損害。（3）買賣雙方都存在的抵賴問題：電子商務(wù)交易是直接通過網(wǎng)絡(luò)進行的，導(dǎo)致信用得不到保證，買方存在不付款，賣方存在不發(fā)貨的抵賴行為。2.1.2電子商務(wù)安全問題5.電子商務(wù)安全支付問題（1）在通信線路上進行竊聽，并濫用收集的數(shù)據(jù)（如信用卡號等）。（2）向經(jīng)過授權(quán)的支付系統(tǒng)參與方發(fā)送偽造的消息，以破壞系統(tǒng)的正常運作來盜用交換的財產(chǎn)（如商品、現(xiàn)金等）。（3）不誠實的支付系統(tǒng)參與方試圖獲取并濫用無權(quán)讀取或使用的支付交易數(shù)據(jù)。1.3電子商務(wù)安全對策

1.3.1電子商務(wù)安全技術(shù)1．網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)防火墻是保護企業(yè)保密數(shù)據(jù)和保護網(wǎng)絡(luò)設(shè)施免遭破壞的主要手段之一，可用于防止未授權(quán)的用戶訪問企業(yè)內(nèi)部網(wǎng)，也可用于防止企業(yè)內(nèi)部的保密數(shù)據(jù)未經(jīng)授權(quán)而發(fā)出。（2）虛擬專用網(wǎng)VPN虛擬專用網(wǎng)VPN（VirtualPrivateNetworks）是企業(yè)內(nèi)部網(wǎng)在Internet上的延伸，通過一個專用的通道來創(chuàng)建一個安全的專用連接，從而可將遠(yuǎn)程用戶、企業(yè)分支機構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)連接起來，構(gòu)成一個擴展的企業(yè)內(nèi)部網(wǎng)。（3）入侵檢測技術(shù)防火墻只能對黑客的攻擊實施被動防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒有切實的防護策略，而入侵檢測系統(tǒng)則是針對這種情況而提出的又一道防線。（4）認(rèn)證技術(shù)通過檢驗消息傳送過程中的某些參數(shù)的防止偽造、篡改、冒名頂替等攻擊的（5）防病毒技術(shù)計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。1.3.1電子商務(wù)安全技術(shù)2．信息與交易安全技術(shù)（1）信息加密技術(shù)信息加密技術(shù)作為主動的信息安全防范措施，確保數(shù)據(jù)的保密性。（2）數(shù)字證書和認(rèn)證技術(shù)數(shù)字證書和認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。（3）安全通信技術(shù)SSL（安全套接層協(xié)議）提供了兩臺計算機之間的安全連接。（4）安全電子交易技術(shù)SET（安全電子交易）是通過開放網(wǎng)絡(luò)進行安全資金支付的技術(shù)標(biāo)準(zhǔn)。1.3.1電子商務(wù)安全技術(shù)3、安全管理技術(shù)“三分技術(shù)、七分管理”電子商務(wù)的迅猛發(fā)展，沖擊了國際貿(mào)易和市場營銷的傳統(tǒng)觀念、管理體制和運行模式，也對信息、貿(mào)易、管理等教育提出了新的課題。

先前頒布的電子商務(wù)法律規(guī)范包括：《合同法》、《電子簽名法》、《計算機信息系統(tǒng)安全保護條例》、《中國互聯(lián)網(wǎng)絡(luò)域名注冊實施細(xì)則》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《中國互聯(lián)網(wǎng)絡(luò)域名管理辦法》、《非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)備案管理辦法》、《互聯(lián)網(wǎng)IP地址畝案管理辦法》、《電子認(rèn)證服務(wù)管理辦法》、《公用電信間接通及質(zhì)量監(jiān)督管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《中國公眾多媒體通信管理辦法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《地震信息網(wǎng)絡(luò)運行管理辦法》等。1.3.2電子商務(wù)安全體系1.3.2電子商務(wù)安全體系1．網(wǎng)絡(luò)基礎(chǔ)設(shè)施層互聯(lián)網(wǎng)是電子商務(wù)系統(tǒng)的基礎(chǔ)，網(wǎng)絡(luò)本身的安全是電子商務(wù)安全的基本保證。電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實現(xiàn)的商務(wù)系統(tǒng)，需要利用Internet基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)。2．加密技術(shù)層加密技術(shù)是電子商務(wù)采取的主要安全措施，其目的在于提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析。加密技術(shù)通常分為對稱加密和非對稱加密兩類。3．安全認(rèn)證層安全認(rèn)證層中的認(rèn)證技術(shù)是保證電子商務(wù)安全的必要手段，它對加密技術(shù)層中提供的多種加密算法進行綜合運用，進一步滿足電子商務(wù)對完整性、抗否認(rèn)性、可靠性的要求。4．交易協(xié)議層除了各種安全控制技術(shù)之外，電子商務(wù)的運行還需要一套完善的安全交易協(xié)議。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同。同時，不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不盡相同。5．電子商務(wù)安全管理安全管理除了電商企業(yè)內(nèi)部管理外，還涉及政府和社會監(jiān)管。目前，國際上信息安全方面的協(xié)調(diào)機構(gòu)主要有計算機應(yīng)急響應(yīng)小組，信息安全問題小組論壇。6．電子商務(wù)法律法規(guī)我國互聯(lián)網(wǎng)起步較晚，而電商發(fā)展較快，相應(yīng)的法律法規(guī)還跟不上電商發(fā)展的步伐，支撐環(huán)境和保障體系相對缺乏。1.4跨境電子商務(wù)安全1.4.1跨境電子商務(wù)的發(fā)展跨境電子商務(wù)是指分屬不同關(guān)境的交易主體，通過電子商務(wù)平臺實現(xiàn)交易，進行支付結(jié)算，并通過跨境物流送達商品、完成交易的一種國際活動。在20世紀(jì)90年代末，國內(nèi)的電子商務(wù)有了一些比較大的發(fā)展，像阿里巴巴、卓越網(wǎng)等一些B2B平臺先后建立起來。2006年以后，許多擁有專業(yè)知識和技術(shù)的公司和知識分子，開始探索B2C模式和C2C模式，他們其中的一部分人利用國內(nèi)外風(fēng)險投資商融資，利用這些資金和獨特的經(jīng)營理念迅速把自己的跨境電子商務(wù)平臺順利做大做強。此后，跨境電子商務(wù)交易額也迅猛增長。據(jù)不完全統(tǒng)計，2012年，我國跨境電子商務(wù)交易總額為2.08萬億元，2013年是跨境電子商務(wù)發(fā)展的真正元年，2014年跨境電子商務(wù)則迎來了規(guī)模化拐點。我國現(xiàn)在已經(jīng)有超過5000家的電子商務(wù)平臺企業(yè)。跨境電子商務(wù)已經(jīng)得到了政府相關(guān)部門的高度重視。物流企業(yè)的標(biāo)準(zhǔn)化信息流通，隨著行業(yè)的發(fā)展和監(jiān)管體系、法律法規(guī)的不斷完善，將會建立一套適應(yīng)跨境電子商務(wù)的新型海關(guān)監(jiān)管模式以及跨境電子商務(wù)的信用體系。1.4.2跨境電商的安全問題及對策1．交易信用與安全問題：我國跨境電子商務(wù)發(fā)展時間較短，加上電子商務(wù)本身的虛擬特性，使一些不良商家在交易過程中鉆空子，以謀取高額收益。對此，我國應(yīng)借鑒國外成功案例，出臺綜合性電子商務(wù)法律與政策，制定出符合我國國情的信用監(jiān)管評價體系，把跨境違規(guī)行為提高到法律層面。２.跨境交易運輸問題物流是電子商務(wù)“四流”中唯一的線下環(huán)節(jié)，其安全性、迅捷性與時效性一直是影響電子商務(wù)快速發(fā)展的關(guān)鍵因素。隨著跨境物流倉儲體系的建立，運輸成本將大大降低，商品配送將更加快捷。３.跨境電子支付安全問題電子支付安全是新商業(yè)模式發(fā)展的根本，跨境電子商務(wù)亦是如此，這主要體現(xiàn)在跨境電子商務(wù)網(wǎng)站安全、第三方支付平臺安全和銀行支付系統(tǒng)安全三個方面。我國政府應(yīng)該在保障第三方支付平臺、銀行支付系統(tǒng)安全的前提下，鼓勵銀行機構(gòu)和支付機構(gòu)為跨境電子商務(wù)提供支付服務(wù)。４.通關(guān)與退稅問題我國跨境電子商務(wù)的貨物具有體積小、來源廣、頻率高、速度快等特點，一旦通關(guān)不暢，必然會造成物品的積壓。提高跨境電子商務(wù)通關(guān)的時效性，同時實施跨境電子商務(wù)進出口的稅收新政策，可以解決跨境電子商務(wù)無法辦理出口退稅的問題。本章小結(jié)近年來，網(wǎng)絡(luò)技術(shù)和電子商務(wù)迅猛發(fā)展，人們在網(wǎng)絡(luò)上進行從日常生活用品、書籍、到計算機、房產(chǎn)交易以及股票炒作、資金運作、旅游等活動劇增。網(wǎng)絡(luò)安全問題成為人們一直關(guān)注的話題。電子商務(wù)安全不僅僅是一個技術(shù)問題，更是一個不容忽視、涉及范圍極廣的社會問題，這些問題將長期存在，并時刻干擾電子商務(wù)的正常健康運行，保障電子商務(wù)安全必須從技術(shù)、管理、法律法規(guī)、社會信用等多個角度努力，需要消費者、商家、政府及全社會的參與，共同營造電子商務(wù)的安全環(huán)境，為開創(chuàng)電子商務(wù)的未來獻計獻策。第二章網(wǎng)絡(luò)攻擊與交易欺詐2.1網(wǎng)絡(luò)攻擊的概念2.2網(wǎng)絡(luò)攻擊技術(shù)2.3網(wǎng)購欺詐與防范2.1網(wǎng)絡(luò)攻擊概述2.1.1網(wǎng)絡(luò)攻擊的概念網(wǎng)絡(luò)攻擊（CyberAttacks，也稱賽博攻擊）是指針對計算機信息系統(tǒng)、基礎(chǔ)設(shè)施、計算機網(wǎng)絡(luò)或個人計算機設(shè)備的，任何類型的進攻動作。“黑客”一詞是由英文單詞“Hacker”音譯過來的。最初起源于20世紀(jì)50年代，是指那些精力充沛、熱衷于解決計算機難題的程序員。通常所說的“黑客”指的是駭客（Cracker，破壞者），是那些懷有不良企圖，強行闖入他人系統(tǒng)或以某種惡意目的干擾他人的網(wǎng)絡(luò)，運用自己的知識去做出有損他人權(quán)益的事情的人，也稱入侵者。最早的計算機于1946年在賓夕法尼亞大學(xué)誕生，而最早的黑客出現(xiàn)于麻省理工學(xué)院，貝爾實驗室也有。他們一般都是一些高級的技術(shù)人員，熱衷于挑戰(zhàn)、崇尚自由并主張信息的共享?；ヂ?lián)網(wǎng)中的木馬黑色產(chǎn)業(yè)鏈案例2.1.2網(wǎng)絡(luò)攻擊的類型1.按照攻擊目的分類（1）主動攻擊

主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生。這類攻擊可分為篡改、偽造消息數(shù)據(jù)和拒絕服務(wù)。（2）被動攻擊

被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，通過截取和竊聽，在未經(jīng)用戶同意和認(rèn)可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽、流量分析、破解弱加密的數(shù)據(jù)流等攻擊方式。2.1.2網(wǎng)絡(luò)攻擊的類型2.按照入侵者的攻擊手段分類（1）拒絕服務(wù)攻擊：是最容易實施的攻擊行為，它企圖通過使目標(biāo)計算機崩潰或把它壓跨來阻止其提供服務(wù)。（2）利用型攻擊：是一類試圖直接對主機進行控制的攻擊。主要包括：口令猜測，特洛伊木馬，緩沖區(qū)溢出等。（3）信息收集型攻擊：這類攻擊并不對目標(biāo)本身造成危害，而是被用來為進一步入侵提供有用的信息。（4）假消息攻擊：用于攻擊目標(biāo)配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件等。（5）病毒攻擊：是指使目標(biāo)主機感染病毒從而造成系統(tǒng)損壞、數(shù)據(jù)丟失、拒絕服務(wù)、信息泄密、性能下降等現(xiàn)象的攻擊。（6）社會工程學(xué)攻擊：社會工程學(xué)攻擊是指利用人性的弱點、社會心理學(xué)等知識來獲得目標(biāo)系統(tǒng)敏感信息的行為。圖2-1常見的網(wǎng)絡(luò)攻擊方法2.1.3網(wǎng)絡(luò)攻擊的步驟（1）攻擊的準(zhǔn)備階段（2）攻擊的實施階段（3）攻擊的善后階段圖2-3網(wǎng)絡(luò)攻擊基本流程2.2網(wǎng)絡(luò)攻擊技術(shù)2.2.1．網(wǎng)絡(luò)掃描安全漏洞是指計算機系統(tǒng)具有的某種可能被入侵者惡意利用的屬性，在計算機安全領(lǐng)域，安全漏洞通常又稱作脆弱性。簡單地說，計算機漏洞是系統(tǒng)的一組特性，惡意的主體能夠利用這組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害?，F(xiàn)在Internet上仍然在使用的TCP/IP在最初設(shè)計時并沒有考慮安全方面的需求。從技術(shù)角度來看，漏洞的來源主要有：軟件或協(xié)議設(shè)計時的瑕疵、軟件或協(xié)議實現(xiàn)中的弱點、軟件本身的瑕疵、系統(tǒng)和網(wǎng)絡(luò)的錯誤配置等。2.2.1網(wǎng)絡(luò)掃描2.網(wǎng)絡(luò)掃描的概念網(wǎng)絡(luò)掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進行與安全相關(guān)的檢測，以找出目標(biāo)系統(tǒng)所放開放的端口信息、服務(wù)類型以及安全隱患和可能被黑客利用的漏洞。網(wǎng)絡(luò)掃描的基本原理是通過網(wǎng)絡(luò)向目標(biāo)系統(tǒng)發(fā)送一些特征信息，然后根據(jù)反饋情況，獲得有關(guān)信息。網(wǎng)絡(luò)掃描通常采用兩種策略：第一種是被動式策略第二種是主動式策略防范掃描可行的方法是：（1）關(guān)閉掉所有閑置的和有潛在威脅的端口。（2）通過防火墻或其它安全系統(tǒng)檢查各端口。（3）利用“陷阱”技術(shù)在一些端口引誘黑客掃描。2.2.1網(wǎng)絡(luò)掃描3.常用的網(wǎng)絡(luò)掃描工具（1）Nmap：掃描器之王Nmap（NetworkMapper，網(wǎng)絡(luò)映射器）是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具。它可以在大多數(shù)版本的Unix系統(tǒng)中運行，并且已經(jīng)被移植到了Windows系統(tǒng)中。它主要在命令行方式下使用，可以快速地掃描大型網(wǎng)絡(luò)，也可以掃描單個主機。（2）Nessus：分布式的掃描器Nessus是一種用來自動檢測和發(fā)現(xiàn)已知安全問題的強大掃描工具，運行于Solaris、Linux等系統(tǒng)，源代碼開放并且可自由地修改后再發(fā)布，可擴展性強，當(dāng)一個新的漏洞被公布后很快就可以獲取其新的插件對網(wǎng)絡(luò)進行安全性檢查。（3）X-Scan：國內(nèi)最好的掃描器X-Scan是國內(nèi)最著名的綜合掃描器之一，完全免費，是不需要安裝的綠色軟件，其界面支持中文和英文兩種語言，使用方式有圖形界面和命令行方式兩種，支持windows操作系統(tǒng)。2.2.2網(wǎng)絡(luò)監(jiān)聽1．網(wǎng)絡(luò)監(jiān)聽的概念

網(wǎng)絡(luò)監(jiān)聽也被稱作網(wǎng)絡(luò)嗅探（Sniffer）。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來，黑客一般都是利用該技術(shù)來截取用戶口令的。網(wǎng)絡(luò)監(jiān)聽具有以下特點：（1）隱蔽性強：進行網(wǎng)絡(luò)監(jiān)聽的主機只是被動地接收在網(wǎng)絡(luò)中傳輸?shù)男畔?，沒有任何主動的行為。（2）手段靈活：網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)絡(luò)中的任何位置實施，可以是網(wǎng)絡(luò)中的一臺主機、路由器，也可以是調(diào)制解調(diào)器。2.2.2網(wǎng)絡(luò)監(jiān)聽2．監(jiān)聽的原理正常情況下，網(wǎng)卡只接收發(fā)給自己的信息，但是如果將網(wǎng)卡模式設(shè)置為混雜模式，讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心；然后被Sniffer等程序利用。所謂混雜接收模式是指網(wǎng)卡可以接收網(wǎng)絡(luò)中傳輸?shù)乃袌笪模瑹o論其目的MAC地址是否為該網(wǎng)卡的MAC地址。要使機器成為一個Sniffer，需要一個特殊的軟件（以太網(wǎng)卡的廣播驅(qū)動程序）或者需要一種能使網(wǎng)絡(luò)處于混雜模式的網(wǎng)絡(luò)軟件。2.2.2網(wǎng)絡(luò)監(jiān)聽3．監(jiān)聽的防范可以通過檢測混雜模式網(wǎng)卡的工具來發(fā)現(xiàn)網(wǎng)絡(luò)嗅探。還可以通過網(wǎng)絡(luò)帶寬出現(xiàn)反常來檢測嗅探。最好的辦法就是使網(wǎng)絡(luò)嗅探不能達到預(yù)期的效果，使嗅探價值降低。4．常見的網(wǎng)絡(luò)監(jiān)聽工具SnifferPro、Ethereal、Sniffit、Dsniff、Libpcap/Winpcap、Tcpdump/Windump。2.2.3

Web欺騙1．Web欺騙的概念Web欺騙是指攻擊者建立一個使人信以為真的假冒Web站點，這個Web站點“拷貝”就像真的一樣，它具有原頁面幾乎所有頁面元素。然而攻擊者控制了這個Web站點的“拷貝”，被攻擊對象和真的Web站點之間的所有信息流動都被攻擊者所控制了。2.Web攻擊的原理Web欺騙攻擊的原理是打斷從被攻擊者主機到目標(biāo)服務(wù)器之間的正常連接，并建立一條從被攻擊主機到攻擊主機再到目標(biāo)服務(wù)器的連接。圖2-4假冒銀行服務(wù)器的Web攻擊示意圖2.2.3

Web欺騙3.Web欺騙的防范（1）IP地址、子網(wǎng)、域的限制：它可以保護單個的文檔，也可以保護整個的目錄。（2）用戶名和密碼：為獲取對文檔或目錄的訪問，需輸入用戶名和密碼。（3）加密：這是通過加密技術(shù)實現(xiàn)的，所有傳送的內(nèi)容都是加密的，除了接收者之外無人可以讀懂。（4）上網(wǎng)瀏覽時，最好關(guān)掉瀏覽器的JavaScript，只有當(dāng)訪問熟悉的網(wǎng)站時才打開它。（5）不從自己不熟悉的網(wǎng)站上鏈接到其他網(wǎng)站，特別是鏈接那些需要輸入個人賬戶名和密碼的有關(guān)電子商務(wù)的網(wǎng)站。（6）要養(yǎng)成從地址欄中直接輸入網(wǎng)址來實現(xiàn)瀏覽網(wǎng)站的好習(xí)慣。2.2.4

IP地址欺騙1．IP地址盜用所謂IP地址欺騙，就是偽造某臺主機的IP地址的技術(shù)。其實質(zhì)就是讓一臺機器來扮演另一臺機器，以達到蒙混過關(guān)的目的。被偽造的主機往往具有某種特權(quán)或者被另外的主機所信任。

2.IP欺騙的原理IP欺騙是利用主機之間的正常的信任關(guān)系來發(fā)動的，這種信任是有別于用戶間的信任和應(yīng)用層的信任的。黑客可以通過命令方式或掃描技術(shù)、監(jiān)聽技術(shù)來確定主機之間的信任關(guān)系。3.IP欺騙的防范（1）放棄基于地址的信任策略（2）對數(shù)據(jù)包進行限制（3）應(yīng)用加密技術(shù)2.2.5緩沖區(qū)溢出1．緩沖區(qū)溢出的概念緩沖區(qū)溢出攻擊是一種系統(tǒng)攻擊的手段，通過往緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。2.緩沖區(qū)溢出的原理如下C語言代碼段：

voidfunction（char*str）{

charbuffer[16]；

strcpy（buffer，str）；

}該程序的功能是通過strcpy函數(shù)把str中的字符串拷貝到數(shù)組buffer[16]中去，如果str的長度超過16就會造成數(shù)組buffer的溢出，使程序出錯。2.2.5緩沖區(qū)溢出3．緩沖區(qū)溢出的防范（1）編寫正確的代碼在程序開發(fā)時就要考慮可能的安全問題，杜絕緩沖區(qū)溢出的可能性。（2）非執(zhí)行的緩沖區(qū)是指通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被攻擊程序輸入緩沖區(qū)的代碼。（3）指針完整性檢查堆棧保護是一種提供程序指針完整性檢查的編譯器技術(shù)，通過檢查函數(shù)活動記錄中的返回地址來實現(xiàn)。（4）用好安全補丁實際上，讓普通用戶解決所有的安全問題是不現(xiàn)實的，用補丁修補缺陷則是一個不錯的，也是可行的解決方法。2.2.6拒絕服務(wù)攻擊拒絕服務(wù)攻擊（Dos）是一種簡單有效的攻擊方式，其目的是使服務(wù)器拒絕正常的訪問，破壞系統(tǒng)的正常運行，最終使部分網(wǎng)絡(luò)連接失敗，甚至網(wǎng)絡(luò)系統(tǒng)失效。圖2-5正常情況下的連接交互

圖2-6拒絕服務(wù)攻擊(DoS)(控制)2.2.6拒絕服務(wù)攻擊形形色色的DOS攻擊：（1）死亡之ping：將一個包分成的多個片段的疊加卻能做到發(fā)送超長包。當(dāng)一個主機收到了長度大于65536字節(jié)的包時，就是受到了PingofDeath攻擊，該攻擊會造成主機的死機。（2）SYNFlood：以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYNACK后并不回應(yīng)，導(dǎo)致目標(biāo)主機復(fù)旦過重而死機。（3）Land攻擊：攻擊者將一個包的源地址和目的地址都設(shè)置為目標(biāo)主機的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機。（4）淚珠（Teardrop）攻擊：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時，數(shù)據(jù)包可以分成更小的片段，為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源。3.分布式拒絕服務(wù)攻擊

2.2.6拒絕服務(wù)攻擊4.拒絕服務(wù)攻擊的防范（1）與ISP合作：與ISP配合對路由訪問進行控制、對網(wǎng)絡(luò)流量的監(jiān)視，以實現(xiàn)對帶寬總量的限制以及不同的訪問地址在同一時間對帶寬的占有率。（2）漏洞檢查：定期使用漏洞掃描軟件對內(nèi)部網(wǎng)絡(luò)現(xiàn)有的、潛在的漏洞進行檢查，以提高系統(tǒng)安全的性能。（3）服務(wù)器優(yōu)化：確保服務(wù)器的安全，使攻擊者無法獲得更多內(nèi)部主機的信息，從而無法發(fā)動有效的攻擊。（4）應(yīng)急響應(yīng)：建立應(yīng)急機構(gòu)和制度，制定緊急應(yīng)對策略，以便拒絕服務(wù)攻擊發(fā)生時能夠迅速恢復(fù)系統(tǒng)和服務(wù)。同時還要注意對員工進行相關(guān)的培訓(xùn)，使其掌握必要的應(yīng)對措施和方法。2.2.7特洛伊木馬特洛伊木馬（Trojanhorse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠(yuǎn)程控制的黑客工具。特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運行時不會浪費太多資源，因此沒有使用殺毒軟件是難以發(fā)覺的。木馬的特征：隱蔽性、潛伏性、危害性、非授權(quán)性。圖2-8灰鴿子木馬產(chǎn)業(yè)鏈?zhǔn)疽鈭D圖2-9木馬的工作原理一般木馬的偽裝方式（1）修改圖標(biāo)：當(dāng)你在E-MAIL的附件中看到如HTML、TXT、ZIP等文件的圖標(biāo)時，不要輕信這是一般的文本文件，有可能就是修改后的木馬文件。（2）捆綁文件：這種偽裝手段是將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷的進入了系統(tǒng)。（3）出錯顯示：有一定木馬知識的人都知道，如果打開一個文件，沒有任何反應(yīng)，這很可能就是個木馬程序。（4）定制端口：很多新式的木馬都加入了定制端口的功能，這樣就給判斷所感染木馬類型帶來了麻煩。（5）自我銷毀：是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務(wù)端用戶就很難找到木馬的來源。（6）木馬更名：很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。3.木馬的分類（1）網(wǎng)絡(luò)游戲木馬網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進程API函數(shù)等方法獲取用戶的密碼和帳號。（2）網(wǎng)銀木馬網(wǎng)銀木馬是針對網(wǎng)上交易系統(tǒng)編寫的木馬病毒，其目的是盜取用戶的卡號、密碼，甚至安全證書。（3）通訊軟件木馬國內(nèi)即時通訊軟件百花齊放。QQ、新浪UC、網(wǎng)易泡泡、盛大圈圈……網(wǎng)上聊天的用戶群十分龐大。發(fā)送消息型、盜號型、傳播自身型（4）網(wǎng)頁點擊類木馬網(wǎng)頁點擊類木馬會惡意模擬用戶點擊廣告等動作，在短時間內(nèi)可以產(chǎn)生數(shù)以萬計的點擊量。2.2.8電子郵件攻擊2.郵件攻擊方式（1）竊取、篡改數(shù)據(jù)通過監(jiān)聽數(shù)據(jù)包或者截取正在傳輸?shù)男畔?，可以使攻擊者讀取或者修改數(shù)據(jù)。（2）偽造郵件SMTP協(xié)議極其缺乏驗證能力，所以假冒某一個郵箱進行電子郵件欺騙并非一件難的事情。（3）拒絕服務(wù)攻擊者使用一些郵件炸彈軟件或CGI程式向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。圖2-11郵件加密和簽名的原理圖2.2.9口令攻擊口令攻擊的概念：也稱為口令破譯，攻擊者常常把破譯用戶的口令作為攻擊的開始，只要攻擊者能猜測或者確定用戶的口令，他就能獲得機器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問用戶能訪問的任何資源。如果這個用戶有管理員權(quán)限，這將極其危險?？诹罟舻念愋停鹤值涔?、強行攻擊、工具攻擊、社會工程學(xué)攻擊口令攻擊的預(yù)防選擇安全密碼、檢測和防止網(wǎng)絡(luò)偵聽、防止口令猜測攻擊、提高安全意識2.3網(wǎng)購欺詐與防范2.3.1網(wǎng)絡(luò)購物的安全隱患1．基于互聯(lián)網(wǎng)本身的安全問題2．法律對網(wǎng)上購物安全性的影響3．支付上的安全問題4．商家角度上的安全問題2.3.2網(wǎng)購詐騙方法（1）發(fā)送電子郵件，以虛假信息引誘用戶中圈套（2）建立假冒網(wǎng)站騙取用戶賬號密碼實施盜竊（3）利用虛假的電子商務(wù)進行詐騙（4）利用“木馬”和“黑客”技術(shù)竊取用戶信息（5）網(wǎng)址詐騙（6）破解用戶“弱口令”竊取資金（7）手機短信詐騙2.3.3電信欺詐的方法與對策（1）刷單返利詐騙刷單行為涉嫌違法，凡是需要先行充值或墊付資金的刷單行為都是詐騙。（2）虛假投資詐騙投資理財需謹(jǐn)慎，警惕虛假投資理財網(wǎng)站、App。（3）虛假網(wǎng)絡(luò)貸款類詐騙任何聲稱“無抵押、無資質(zhì)要求、低利率、放貸快”的網(wǎng)貸平臺都有極大風(fēng)險。（4）冒充客服類詐騙接到自稱電商、物流客服電話，務(wù)必到官方平臺核實。（5）冒充公檢法類詐騙自稱是公檢法等國家機關(guān)工作人員，讓你把錢轉(zhuǎn)到“安全賬戶”的一定是詐騙。牢記“三不一多”的原則輕松應(yīng)對電信詐騙：未知鏈接不點擊、陌生來電不輕信、個人信息不透露、轉(zhuǎn)賬匯款多核實。2.3.3電信欺詐的方法與對策本章小結(jié)網(wǎng)絡(luò)購物的安全問題主要根源在于：基于互聯(lián)網(wǎng)本身的安全問題、法律對網(wǎng)上購物安全性的影、支付上的安全問題、商家角度上的安全問題。主要欺詐方式包括：盜取個人信息、破譯賬戶密碼、種植木馬、網(wǎng)絡(luò)釣魚等方式，也有利用消費者的心里弱點制造網(wǎng)購陷阱，比如：超低價、中獎、免費送等等。保障網(wǎng)絡(luò)購物的安全要形成從消費者、商家、交易平臺到全社會的安全防范體系，不但要從技術(shù)上保證交易系統(tǒng)的安全，更要從個人安全意識、系統(tǒng)安全管理到電子商務(wù)法律法規(guī)建設(shè)著手，全方位的為電子商務(wù)健康發(fā)展保駕護航。第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全概述3.2防火墻技術(shù)3.3入侵檢測系統(tǒng)IDS3.4虛擬專用網(wǎng)VPN3.5防病毒技術(shù)3.6物聯(lián)網(wǎng)安全技術(shù)3.1網(wǎng)絡(luò)安全概述

3.1.1網(wǎng)絡(luò)安全隱患（1）系統(tǒng)漏洞。系統(tǒng)漏洞是指系統(tǒng)硬件、應(yīng)用軟件或操作系統(tǒng)在邏輯設(shè)計上的缺陷或錯誤被不法者利用，系統(tǒng)漏洞的威脅主要來自網(wǎng)絡(luò)攻擊。（2）惡意程序。惡意程序通常是指帶有不良意圖而編寫的電腦程序，主要包括計算機病毒、間諜軟件、勒索軟件、惡意廣告軟件等。（3）“釣魚”網(wǎng)站?！搬烎~”網(wǎng)站是網(wǎng)頁仿冒詐騙中最常見的方式之一，常以垃圾郵件、即時聊天、手機短信或虛假廣告等方式傳播。用戶訪問“釣魚”網(wǎng)站后，可能泄露賬號、密碼等信息。（4）山寨軟件。山寨軟件經(jīng)常會通過模仿一些知名軟件來吸引用戶下載、安裝。一旦得逞，其會通過開啟后臺權(quán)限等方式，偷偷收集用戶的位置信息。（5）惡意二維碼。惡意二維碼由惡意網(wǎng)址通過網(wǎng)絡(luò)技術(shù)生成而來。用戶一旦使用手機掃描，就會通過鏈接進入二維碼“背后”的惡意網(wǎng)站（6）虛假免費Wi-Fi（WirelessFidelity）。為了節(jié)約流量，一些用戶出門在外時，會選擇連接周邊的免費Wi-Fi，這就給不法分子留下了可乘之機。3.1.2網(wǎng)絡(luò)安全層次（1）實體安全：也稱物理安全，指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過程。（2）運行安全：包括網(wǎng)絡(luò)運行和網(wǎng)絡(luò)訪問控制的安全,如設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開發(fā)平臺安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測技術(shù)（3）虛擬專用網(wǎng)技術(shù)（4）認(rèn)證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、安全審計技術(shù)等等。3.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵?jǐn)_。通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源的訪問。在邏輯上，防火墻是分離器，限制器，也是一個分析器。在物理上，防火墻通常是一組硬件設(shè)備。圖3-1一個典型的防火墻使用形態(tài)2.防火墻的功能（1）監(jiān)控并限制訪問：防火墻通過采取控制進出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對相關(guān)協(xié)議和服務(wù)進行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護內(nèi)部網(wǎng)絡(luò)：針對受保護的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對訪問進行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過的安全節(jié)點時，防火墻會對所有的網(wǎng)絡(luò)請求做出日志記錄。防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過防火墻的攻擊（2）不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶訪問開放的服務(wù),其它未開放的服務(wù)都是禁止的。這種策略比較安全，因為允許訪問的服務(wù)都是經(jīng)過篩選的,但限制了用戶使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶訪問一切未被禁止的服務(wù),除非某項服務(wù)被明確地禁止。這種策略比較靈活,可為用戶提供更多的服務(wù),但安全性要差一些。3.2.2防火墻的分類與技術(shù)1．防火墻的分類（1）軟件防火墻與硬件防火墻（2）主機防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過濾技術(shù)：利用訪問控制列表（ACL）對數(shù)據(jù)包進行過濾，過濾依據(jù)是TCP/IP數(shù)據(jù)包：源地址和目的地址、所用端口號、協(xié)議狀態(tài)。（2）代理服務(wù)技術(shù)：一般采用代理服務(wù)器作為防火墻，是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。（3）狀態(tài)檢測技術(shù)：基于狀態(tài)檢測技術(shù)的防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。（4）NAT技術(shù)：一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。3.2.3防火墻的應(yīng)用模式1.包過濾防火墻這種模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱為屏蔽路由器。表3-1：包過濾防火墻規(guī)則示例：（1）內(nèi)部主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。（2）任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。（3）任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時該規(guī)則無效）。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP2.雙穴主機防火墻這種模式采用單一的代理服務(wù)型防火墻來實現(xiàn)。防火墻由一個運行代理服務(wù)軟件的主機（即堡壘主機）實現(xiàn),該主機具有兩個網(wǎng)絡(luò)接口（稱為雙穴主機）3.屏蔽主機防火墻屏蔽主機防火墻一般由一個包過濾路由器和一個堡壘主機組成,一個外部包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個是堡壘主機，構(gòu)成內(nèi)部網(wǎng)第二道屏障。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護體系（周邊網(wǎng)絡(luò)）。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，兩個包過濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個“非軍事區(qū)”。3.2.4個人防火墻1．個人防火墻的概念個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的安全保護。比如：瑞星，賽門鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個人防火墻的主要功能（1）防止Internet上用戶的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動計算機提供安全保護（4）與其他安全產(chǎn)品進行集成3．Windows防火墻3.3入侵檢測技術(shù)3.3.1入侵檢測系統(tǒng)的概念1.入侵檢測系統(tǒng)的定義入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測系統(tǒng)是對防火墻的合理補充，是一個實時的網(wǎng)絡(luò)違規(guī)識別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。2.入侵檢測系統(tǒng)的功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；（2）核查系統(tǒng)配置和漏洞；（3）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計分析異常行為；（6）審計操作系統(tǒng)日志，識別違反安全策略的行為。3.IDS的分類（1）基于主機的入侵檢測系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）（3）分布式入侵檢測系統(tǒng)（DIDS）3.3.2入侵檢測系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計（異常檢測）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報警和響應(yīng)）。3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。（2）誤用檢測技術(shù)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有的知識的檢測。（3）異常檢測技術(shù)通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶、主機、程序、文件等）的正常行為特征輪廓；3.3.3入侵檢測系統(tǒng)的應(yīng)用圖3-8入侵檢測系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專用網(wǎng)。它是一個利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來建立一個安全的、可靠的和可管理的企業(yè)間通信的通道。VPN的三個關(guān)鍵技術(shù)：安全通信控制管理圖3-10VPN實例圖VPN使用實例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開放兩個VPN賬戶，允許分公司路由器撥入，以建立VPN通道）。3.4.2VPN的工作原理1.VPN的協(xié)議（1）點對點隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的，是PPP的一種擴展。客戶可以采用撥號方式接入公共的IP網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開發(fā)的。遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。（4）互聯(lián)網(wǎng)安全協(xié)議IPSec（InternetProtocolSecurity）互聯(lián)網(wǎng)安全協(xié)議是用來增強VPN安全性的標(biāo)準(zhǔn)協(xié)議。2.VPN的實現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。3.5防病毒技術(shù)3.5.1.病毒的基本概念1.病毒的概念病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”《中華人民共和國計算機信息系統(tǒng)安全保護條例》。從廣義上講，凡是人為編制的、干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞計算機數(shù)據(jù)的、可自我復(fù)制的計算機程序或指令集合都是計算機病毒。從這個概念來說計算機病毒就是惡意代碼。從狹義上講，具有病毒特征的惡意代碼稱為計算機病毒。所謂病毒特征就是生物界所具有的病毒特征是一樣的。表3-2常見的惡意代碼表惡意代碼類型定義特點病毒在計算機程序中插入的破壞計算機功能或數(shù)據(jù)、影響計算機使用，并能夠自我復(fù)制的程序傳染性、破壞性、潛伏性蠕蟲能夠銅鑼網(wǎng)絡(luò)自我復(fù)制、消耗計算機資源和網(wǎng)絡(luò)資源的惡意程序掃描、攻擊、傳播木馬能夠與遠(yuǎn)程計算機建立連接，使遠(yuǎn)程計算機能遠(yuǎn)程控制本地計算機的惡意代碼欺騙、隱藏、竊取信息后門能夠避開計算機的安全控制，使遠(yuǎn)程計算機能夠連接本地計算機的程序潛伏邏輯炸彈能夠嵌入計算機程序、通過一定條件觸發(fā)破壞的程序潛伏、破壞2.病毒的特征（1）非授權(quán)性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性（7）針對性（8）與黑客技術(shù)的結(jié)合性3．病毒的分類（1）文件傳染源病毒（2）引導(dǎo)扇區(qū)病毒（3）宏病毒（4）復(fù)合型病毒3.5.2病毒檢測技術(shù)（1）特征碼檢測法計算機病毒是一種人為編寫的特殊的程序代碼，不同病毒之間在代碼上都存在著差異性。（2）校驗和檢測法使用校驗和檢測法對被查的對象（文件或一段程序代碼）計算在正常狀態(tài)時的校驗和，并將校驗和寫入指定的文件中。（3）行為監(jiān)測法行為監(jiān)測法是指利用病毒的特有行為特征來監(jiān)測病毒的一種方法。（4）軟件模擬法是指用軟件來模擬和分析程序的執(zhí)行過程和結(jié)果。3.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝專業(yè)的反病毒軟件，對存儲介質(zhì)進行定期的查、殺病毒操作。（2）安裝和啟用防火墻軟件，避免某些利用操作系統(tǒng)和軟件漏洞的病毒和惡意代碼侵入計算機系統(tǒng)。（3）使用不明來路的磁盤中的數(shù)據(jù)（軟件）前，應(yīng)先進行查、條病毒操作，確認(rèn)無病毒后再使用。3.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝反病毒軟件（2）及時修補操作系統(tǒng)和應(yīng)用軟件的漏洞（3）安裝網(wǎng)絡(luò)防火墻（4）常備工具軟件（5）建議禁用操作系統(tǒng)中的自動運行功能（6）對于來路不明的可疑郵件附件不要直接打開（7）不要貪圖免費軟件（8）不瀏覽非法網(wǎng)站3.6物聯(lián)網(wǎng)安全技術(shù)3.6.1物聯(lián)網(wǎng)安全概述1．物聯(lián)網(wǎng)安全的特征平民化、輕量化、非對稱、復(fù)雜性、安全領(lǐng)域涵蓋廣泛、有別于傳統(tǒng)的信息安全2．物聯(lián)網(wǎng)安全的威脅（1）物聯(lián)網(wǎng)終端安全。（2）物聯(lián)網(wǎng)管道安全。（3）物聯(lián)網(wǎng)云服務(wù)安全。3.6.1物聯(lián)網(wǎng)安全概述3．物聯(lián)網(wǎng)安全體系結(jié)構(gòu)（1）感知層安全。（2）網(wǎng)絡(luò)層安全。（3）應(yīng)用層安全。（4）安全管理。（1）無線網(wǎng)安全技術(shù)。物聯(lián)網(wǎng)現(xiàn)在以無線網(wǎng)絡(luò)為主。新生的RF和無線通信協(xié)議與標(biāo)準(zhǔn)的出現(xiàn)，使得物聯(lián)網(wǎng)設(shè)備面臨著比傳統(tǒng)有線網(wǎng)絡(luò)更具挑戰(zhàn)性的安全問題。（2）身份授權(quán)技術(shù)。物聯(lián)網(wǎng)設(shè)備必須由所有合法用戶進行身份驗證。實現(xiàn)這種認(rèn)證的方法包括靜態(tài)口令、雙因素身份認(rèn)證、生物認(rèn)證和數(shù)字證書。（3）加密技術(shù)。加密主要用于防止對數(shù)據(jù)和設(shè)備的未經(jīng)授權(quán)訪問。物聯(lián)網(wǎng)中的授權(quán)訪問顯得更加重要，因為物聯(lián)網(wǎng)設(shè)備及硬件配置是各種各樣的。一個完整的安全管理過程必須包括加密技術(shù)的應(yīng)用。（4）側(cè)信道攻擊的防范。即使有足夠的加密和認(rèn)證，物聯(lián)網(wǎng)設(shè)備也還可能面臨另一個威脅，即側(cè)信道攻擊。這種攻擊的重點不在于信息的傳輸過程，而在于信息的呈現(xiàn)方式。（5）安全分析和威脅預(yù)測。除了監(jiān)視和控制與安全有關(guān)的數(shù)據(jù)，還必須預(yù)測未來的威脅。必須對傳統(tǒng)的方法進行改進，尋找在既定策略之外的其他方案。（6）接口保護。大多數(shù)硬件和軟件設(shè)計人員通過應(yīng)用程序接口（ApplicationProgramInterface，API）來訪問設(shè)備，這些接口需要對交換數(shù)據(jù)進行驗證和授權(quán)。（7）交付機制。需要對設(shè)備和系統(tǒng)進行持續(xù)更新、打補丁，以應(yīng)對不斷變化的網(wǎng)絡(luò)攻擊，包括對設(shè)備進行固件驗證、安全交付（傳輸中數(shù)據(jù)加密）、防回滾機制、因更新而產(chǎn)生安全更改通知等。（8）安全系統(tǒng)開發(fā)。對于大多數(shù)設(shè)計者而言，安全只是一個事后的想法，是在產(chǎn)品實現(xiàn)（而不是設(shè)計）完成后的一個想法。3.6.2物聯(lián)網(wǎng)安全關(guān)鍵技術(shù)1．技術(shù)層面加強物聯(lián)網(wǎng)核心關(guān)鍵技術(shù)的研發(fā)加強傳統(tǒng)互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、移動通信、網(wǎng)絡(luò)融合等技術(shù)加強物聯(lián)網(wǎng)安全技術(shù)研發(fā)2．標(biāo)準(zhǔn)層面包括物聯(lián)網(wǎng)總體性標(biāo)準(zhǔn)，如物聯(lián)網(wǎng)導(dǎo)則、物聯(lián)網(wǎng)總體架構(gòu)、物聯(lián)網(wǎng)業(yè)務(wù)需求等3．法律層面在立法方面，要在物聯(lián)網(wǎng)發(fā)展初期就著手考慮起草與物聯(lián)網(wǎng)安全保護相關(guān)的法律在執(zhí)法方面，可通過計算機取證等技術(shù)研究確保出現(xiàn)安全問題時能提供依據(jù)、保障可審查性，一經(jīng)查處嚴(yán)厲處置4．管理層面從國家到企業(yè)都要提升安全意識、負(fù)起相應(yīng)責(zé)任，通過嚴(yán)格、高效的管理手段保障物聯(lián)網(wǎng)安全。制定規(guī)劃保障物聯(lián)網(wǎng)安全有序發(fā)展，讓應(yīng)用發(fā)展和技術(shù)發(fā)展相匹配3.6.3物聯(lián)網(wǎng)安全保護對策本章小結(jié)網(wǎng)絡(luò)安全的主要技術(shù)包括：防火墻技術(shù)、VPN技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和反病毒技術(shù)等。本章對這些網(wǎng)絡(luò)安全主流技術(shù)的相關(guān)概念、工作原理、基本模型和實現(xiàn)方式進行了系統(tǒng)介紹?？紤]到實現(xiàn)網(wǎng)絡(luò)安全具有一定的復(fù)雜性和動態(tài)性，對網(wǎng)絡(luò)安全技術(shù)的研究依然任重道遠(yuǎn)。物聯(lián)網(wǎng)發(fā)展的同時重視信息安全建設(shè)。第四章加密與認(rèn)證技術(shù)4.1加密技術(shù)基礎(chǔ)理論4.2古典加密算法4.3對稱密碼體系4.4非對稱密碼體系4.5認(rèn)證技術(shù)4.1加密技術(shù)基本理論4.1.1加密技術(shù)的起源與發(fā)展數(shù)據(jù)加密技術(shù)已經(jīng)有兩千多年的歷史了，古埃及人就用過象形文字來表述自己想要表達的意愿，但是隨著時代的進步，古巴比倫和希臘都在用一些方法來開始保護他們的古文明和古文化。古典密碼：遠(yuǎn)古——1949年近代密碼：1949——1975年現(xiàn)代密碼：1976——至今量子密碼：未來表4-1：密碼技術(shù)的發(fā)展歷程1949,ClaudeShannon’sTheCommunicationTheoryofSecrecySystem,成為理論基礎(chǔ)1949－1967，CryptographicLiteraturewasbarren1974,IBM:LucifferCipher,128位密鑰作分組加密1975,Diffie-Hellman,ANewDirectioninCryptography,首次提出適應(yīng)網(wǎng)絡(luò)保密通信的公開密鑰思想，揭開現(xiàn)代密碼學(xué)研究的序幕，具有劃時代的意義1976－1977，美國國家標(biāo)準(zhǔn)局正式公布實施DES，DataEncryptionStandard1977－1978，Rivest,Shamir,Adelman第一次提出公開密鑰密碼系統(tǒng)的實現(xiàn)方法RSA1981，成立InternationalAssociationforCryptologyResearch1985，ElGamal提出概率密碼系統(tǒng)ElGamal方法1990－1992，LaiXuejiaandJames:IDEA,TheInternationalDataEncryptionAlgorithm2000,AES,AdvancedEncryptionStandard2015年，美國國家標(biāo)準(zhǔn)及技術(shù)研究所（NIST）正式公布了針對后量子算法的標(biāo)準(zhǔn)化項目4.1.2加密模型與密碼體制密碼體制的構(gòu)成包括以下要素：M：明文消息空間C：密文消息空間K：密鑰空間E：加密算法：C＝E(m,ke)D：解密算法：M=D(C,kd)。4.1.3密碼技術(shù)分類1.按時間分為古典密碼與近現(xiàn)代密碼密碼技術(shù)的發(fā)展為三個過程，最早期的古代密碼沒有一定的規(guī)律，還不能成為一門科學(xué)，所以按照時間可以分為古典密碼和近現(xiàn)代密碼。2.按加密方式分為分組密碼與流密碼（1）分組密碼：取用明文的一個區(qū)塊和鑰匙，輸出相同大小的密文區(qū)塊（2）流密碼：流密碼也稱為序列密碼3．按密鑰方式分單鑰密碼與雙鑰密碼（1）單鑰體制：單鑰密碼體制也稱為對稱密碼體制（2）雙鑰體制：雙鑰體制也稱為非對稱密碼體制或公鑰體制（3）混合體制：采用雙鑰和單鑰密碼相結(jié)合的加密體制圖4-3序列密碼的工作原理圖4-4混合加密體制4.1.4密碼學(xué)概述

密碼學(xué)作為數(shù)學(xué)的一個分支，是研究信息系統(tǒng)安全保密的科學(xué)，是密碼編碼學(xué)和密碼分析學(xué)的統(tǒng)稱。（1）密碼編碼學(xué)密碼編碼學(xué)是使消息保密的技術(shù)和科學(xué)。密碼編碼學(xué)是密碼體制的設(shè)計學(xué)，即怎樣編碼，采用什么樣的密碼體制保證信息被安全地加密。（2）密碼分析學(xué)密碼分析學(xué)是與密碼編碼學(xué)相對應(yīng)的技術(shù)和科學(xué)，即研究如何破譯密文的科學(xué)和技術(shù)。密碼分析學(xué)是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。

常用的密碼分析攻擊有：唯密文攻擊、已知明文攻擊、選擇明文攻擊、自適應(yīng)選擇明文攻擊、選擇密文攻擊、軟磨硬泡攻擊等方法。4.2古典密碼算法4.2.1古典密碼的基本思想也稱為傳統(tǒng)密碼技術(shù)，一般是指在計算機出現(xiàn)之前所采用的密碼技術(shù)主要由文字信息構(gòu)成不同的密碼算法主要是由字符之間互相代換或互相之間換位所形成的算法。“替代”與“換位”主要有代碼加密、代替加密、變位加密、一次性密碼薄加密等4.2.2古典密碼的分類與算法1.替代密碼（1）單表替代密碼單表替代密碼的一種典型方法是凱撒（Caesar）密碼，又叫循環(huán)移位密碼。它的加密方法就是把明文中所有字母都用它右邊的第k個字母替代，并認(rèn)為Z后邊又是A。這種映射關(guān)系表示為如下函數(shù)： F(a)=(a+k)modn設(shè)k＝3；對于明文P＝COMPUTESYSTEMS則密文C=Ek（M）=FRPSXRWHUVBVWHPV。（2）多表替代密碼周期替代密碼是一種常用的多表替代密碼，又稱為維吉尼亞（Vigenere）密碼。這種替代法是循環(huán)的使用有限個字母來實現(xiàn)替代的一種方法。采用的算法為：f（a）=（a+Bi）modn

（i=（1，2，…，n））例如：以YOUR為密鑰，加密明碼文HOWAREYOU。

P

=HOWAREYOU

K

=YOURYOURY Ek（M）=FCQRPSSFS2.移位密碼（1）列換位法將明文字符分割成為五個一列的分組并按一組后面跟著另一組的形式排好。如明文是：WHATYOUCANLEARNFROMTHISBOOK密文則以下面的形式讀出： WOFHOHURIKACOSXTAMBXYNTOX2.移位密碼（2）矩陣換位法這種加密是把明文中的字母按給定的順序安排在一個矩陣中，然后用另一種順序選出矩陣的字母來產(chǎn)生密文。如將明文ENGINEERING按行排在3*4矩陣中，如下所示：給定一個置換：3.一次一密鑰密碼一次一密鑰密碼是指一個包括多個隨機密碼的密碼字母集，這些密碼就好像一個記事本，其中每頁上記錄一條密碼。例如，如果消息是：ONETIMEPAD，而取自亂碼本的密鑰序列是：TBFRGFARFM，那么密文就是：IPKLPSFHGQ，因為 (O+T)mod26＝I (N+B)mod26＝P (E+F)mod26＝K …………。使用一次一密亂碼本需要注意的是：密鑰字母必須隨機產(chǎn)生、密鑰序列不能重復(fù)使用、盡管一次一密亂碼本不能破譯，但卻只能局限于某些應(yīng)用。4.2.3轉(zhuǎn)輪機在20世紀(jì)20年代，人們發(fā)明了各種機械加密設(shè)備用來自動處理加密。轉(zhuǎn)輪機有一個鍵盤和一系列轉(zhuǎn)輪，它是維吉尼亞密碼的一種實現(xiàn)。第二次世界大戰(zhàn)期間由德國人使用恩尼格馬（Enigma）。4.3對稱密碼算法4.3.1對稱密碼算法基礎(chǔ)1．對稱密鑰密碼思想對稱密鑰密碼算法基本思想與傳統(tǒng)密鑰密碼算法類似，采用移位和置換的方法。在該算法中，加密密鑰和解密密鑰相同或相近，由其中一個很容易得出另一個，加密密鑰和解密密鑰都是保密的。2.Feistel密碼結(jié)構(gòu)1973年IBM公司的HorstFeistel描述了大部分的對稱塊密碼算法所具有的結(jié)構(gòu)，其中包括DES。3.數(shù)據(jù)加密標(biāo)準(zhǔn)的要求（1）必須提供高度的安全性；（2）具有相當(dāng)高的復(fù)雜性，使得破譯的開銷超過可能獲得的利益，同時又便于理解和掌握；（3）安全性應(yīng)不依賴于算法的保密，其加密的安全性僅以加密密鑰的保密為基礎(chǔ)；（4）必須適用于不同的用戶和不同的場合；（5）實現(xiàn)算法的電子器件必須很經(jīng)濟、運行有效；（6）必須能夠驗證，允許出口。4.3.2DES算法簡介1.DES算法概念與特點DES（DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）算法最初是由IBM公司所研制，于1977年由美國國家標(biāo)準(zhǔn)局頒布作為非機密數(shù)據(jù)的數(shù)據(jù)加密標(biāo)準(zhǔn)，并在1981年由國際標(biāo)準(zhǔn)化組織作為國際標(biāo)準(zhǔn)頒布。DES是一個分組加密算法，它以64位為分組對數(shù)據(jù)加密。64位一組的明文從算法的一端輸入，64位的密文從另一端輸出。2．DES對稱加密算法初始置換（InitialPermutation，IP）是對輸入的64位數(shù)據(jù)按照規(guī)定的矩陣改變數(shù)據(jù)位的排列順序的換位變換，此過程與密鑰無關(guān)。子密鑰生成是由64位外部輸入密鑰通過置換和移位操作生成加密和解密所需的16組（每組56位）子密鑰的過程。乘積變換過程非常復(fù)雜，是加密過程的關(guān)鍵。該過程通過16輪重復(fù)的替代、移位、異或和置換操作打亂原輸入數(shù)據(jù)。逆初始置換（IP-1）與初始置換過程相同，只是置換矩陣是初始置換的逆矩陣。（1）初始置換（IP）5850423426181026052443628201246254463830214664564840322416857494133251791595143352719113615345372921135635547393123157（2）子密鑰生成第1步：PC1變換57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124PC1變換。將56位密鑰按置換選擇1（PC-1）的規(guī)律(如表4-3)進行置換，變換后分為左右兩路（C0、D0）各28位。第2步：數(shù)據(jù)左移

表4-4循環(huán)移位表輪12345678910111213141516位數(shù)1122222212222221第3步：PC2變換和子密鑰生成表4-5PC2變換表1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932（3）乘積變換初始置換后的數(shù)據(jù)分為各32位的兩部分，左部分為L0，右部分為R0