【正文】 第 3章 電子商務(wù)的安全技術(shù) 電子商務(wù)安全概述 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 電子交易安全技術(shù) 數(shù)字證書應(yīng)用實(shí)例 本章小結(jié) 習(xí)題 引例 : 血汗錢網(wǎng)上神秘被盜 800萬張信用卡泄密 隨著電子商務(wù)這一新的商務(wù)模式逐步為社會各界所接受并應(yīng)用，如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已成為人們熱切關(guān)注的焦點(diǎn)。電子商務(wù)安全的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于互聯(lián)網(wǎng)的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。在以虛擬的網(wǎng)絡(luò)為平臺的電子商務(wù)過程中，由于無法直接親眼證實(shí)對方的身份；擔(dān)心計算機(jī)系統(tǒng)會出現(xiàn)不可預(yù)料的意外；或擔(dān)心自己的賬號等隱私支付信息被他人竊取， 等等，建立交易雙方的安全和信任關(guān)系相對難度較大，而且這種安全性的擔(dān)憂是相互的，即交易的雙方都面臨安全威脅。 電子商務(wù)安全是一個復(fù)雜的系統(tǒng)問題，它不僅與它的支撐平臺 —— 計算機(jī)網(wǎng)絡(luò)系統(tǒng)有關(guān)，還與電子商務(wù)的應(yīng)用環(huán)境、交易模式及人員素質(zhì)和社會因素等諸多因素有關(guān)。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面。 電子商務(wù)安全概述 電子商務(wù)的安全要素 (1) 保密性 電子商務(wù)依托的是一個開放的網(wǎng)絡(luò)環(huán)境，因此商業(yè)信息的保密是電子商務(wù)應(yīng)用全面推廣的重要保障。所謂保密性，是指信息在傳輸過程或存儲過程中不被他人竊取。交易中的商務(wù)信息均有保密的要求，因此在電子商務(wù)的信息傳播中一般均有加密的要求，以防止信息的泄露。 (2) 完整性 完整性是指數(shù)據(jù)在存儲和傳輸過程中，要求能保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非授權(quán)建立、修改和破壞。因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。 (3) 不可否認(rèn)性 電子交易通信過程的各個環(huán)節(jié)都必須是不可否認(rèn)的。在電子商務(wù)中，通過手寫簽名和印章進(jìn)行交易雙方的鑒別已行不通，取而代之的是利用數(shù)字簽名技術(shù)做到信息的發(fā)送方在發(fā)送信息后不能抵賴，接收方在接收信息后也不能抵賴。 (4) 可靠性 可靠性是指電子商務(wù)系統(tǒng)的可靠程度。任何一個電子商務(wù)系統(tǒng)在運(yùn)作過程中都會受到計算機(jī)失效、程序錯誤、傳輸錯誤、硬件故障、系統(tǒng)軟件故障、計算機(jī)病毒和自然災(zāi)害等潛在威脅。如何采取一系列的控制和預(yù)防措施來防止數(shù)據(jù)信息資源不受到破壞，決定了電子商務(wù)系統(tǒng)的可靠程度。 1. 計算機(jī)網(wǎng)絡(luò)的安全 從本質(zhì)上來講，網(wǎng)絡(luò)安全就是指計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件、數(shù)據(jù)受到保護(hù)，使之不因偶然的或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)正常工作。其特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。 電子商務(wù)安全的主要內(nèi)容 網(wǎng)絡(luò)安全一般可分為物理安全和信息安全。物理安全是指保證計算機(jī)系統(tǒng)的各種設(shè)備的安全，主要包括環(huán)境安全、設(shè)備安全、介質(zhì)安全等，是整個信息系統(tǒng)安全的前提。網(wǎng)絡(luò)信息安全則是指必須保障網(wǎng)絡(luò)信息不會被非法竊取、泄露、刪改和破壞。一般情況下，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊三個方面。而信息安全的威脅則主要體現(xiàn)在非授權(quán)訪問、信息泄露及拒絕服務(wù)三大方面。 2. 電子交易的安全 在互聯(lián)網(wǎng)上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。電子交易安全必須解決傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題。在計算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、不可否認(rèn)性及可靠性。 一般而言，電子交易過程中客戶最擔(dān)心的便是信息的泄露、篡改和破壞。 (1) 信息泄露 如果不采用任何加密措施將數(shù)據(jù)信息直接在網(wǎng)絡(luò)上傳輸，任何人都可在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上截獲傳送的信息。即使是對加密數(shù)據(jù)，客戶仍然擔(dān)心這些經(jīng)過加密的商業(yè)信息或個人信息被竊取后有可能經(jīng)過專業(yè)分析后導(dǎo)致信息的泄露。 (2) 篡改、破壞、假冒信息 當(dāng)入侵者掌握了信息的格式和規(guī)律后，便可通過相關(guān)技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。甚至可以冒充合法用戶發(fā)送假冒的信息。 計算機(jī)網(wǎng)絡(luò)安全與電子交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。 一個完善的電子商務(wù)系統(tǒng)在保證其計算機(jī)網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上，還應(yīng)該擁有安全的加密體制和強(qiáng)大的加密技術(shù)、可靠的認(rèn)證技術(shù)及其他相關(guān)技術(shù)以確保電子商務(wù)活動的安全運(yùn)作。 1. 網(wǎng)絡(luò)安全的特征 ① 保密性 : 指保護(hù)信息不被未授權(quán)者訪問，往往采用數(shù)據(jù)加密及授權(quán)控制等方法實(shí)現(xiàn)。 ② 數(shù)據(jù)完整性 : 指數(shù)據(jù)未經(jīng)授權(quán)不能被改變，即通過網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除等，以保證合法用戶接收和使用真實(shí)的數(shù)據(jù)。 ③ 可用性 : 指可被授權(quán)用戶訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。 ④ 可控性 : 指對信息的傳播及內(nèi)容具有控制能力。 計算機(jī)網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全的特征與技術(shù) 2. 網(wǎng)絡(luò)安全的主要技術(shù) ① 鑒別技術(shù)，有時也稱認(rèn)證技術(shù)，指在進(jìn)行事務(wù)處理前先確認(rèn)對方的身份。 ② 訪問控制技術(shù)，確定用戶能夠訪問的數(shù)據(jù)范圍以及允許進(jìn)行的操作等。 ③ 加密技術(shù)，保證數(shù)據(jù)在傳輸過程中的完整性，以及發(fā)送方的身份鑒定等。 ④ 防火墻技術(shù)，用于保護(hù)網(wǎng)絡(luò)不受來自另一個不可信賴網(wǎng)絡(luò)的非法侵入。 ⑤ 虛擬專用網(wǎng) (VPN)技術(shù)，是指利用不可靠的互聯(lián)網(wǎng)絡(luò)作為信息傳輸媒介，通過比較復(fù)雜的專用加密和認(rèn)證技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實(shí)現(xiàn)對重要信息的安全傳輸。 除上述技術(shù)之外，還有病毒防范技術(shù)、監(jiān)控審計技術(shù)、安全評估技術(shù)等，另外，安全管理、法律約束等也是必不可少的。 計算機(jī)病毒是當(dāng)今計算機(jī)領(lǐng)域的一大頑癥，借助于計算機(jī)網(wǎng)絡(luò)它可以傳播到計算機(jī)世界的每一個角落，并大肆破壞計算機(jī)數(shù)據(jù)、更改操作程序、摧毀計算機(jī)硬件，具有強(qiáng)大的傳染性和破壞性。在《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中將計算機(jī)病毒明確定義為 : “ 指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。 ” 病毒防治 1. 計算機(jī)病毒的分類 (1) 病毒的破壞性 ① 盡管不具備破壞性，但會大量占用 CPU時間、增加系統(tǒng)開銷、降低系統(tǒng)工作效率。 ② 惡性病毒是指那些一旦發(fā)作后，就會破壞系統(tǒng)或數(shù)據(jù) ,造成計算機(jī)系統(tǒng)癱瘓的一類病毒。 (2) 病毒的寄生或傳染方式 ① 引導(dǎo)區(qū)病毒 隱藏在存儲介質(zhì)的引導(dǎo)區(qū)，當(dāng)計算機(jī)從被感染了引導(dǎo)區(qū)病毒的啟動盤啟動，或當(dāng)計算機(jī)從受感染的存儲介質(zhì)中讀取數(shù)據(jù)時，引導(dǎo)區(qū)病毒就開始發(fā)作。一旦病毒被拷貝到機(jī)器的內(nèi)存中，馬上就會感染其他磁盤的引導(dǎo)區(qū)，或通過網(wǎng)絡(luò)傳播到其他計算機(jī)上。 ② 文件型病毒 文件型病毒寄生在其他文件中，常常通過對編碼加密或使用其他技術(shù)來隱藏。一旦運(yùn)行被感染了病毒的程序文件，病毒便被激活，執(zhí)行大量的操作，并進(jìn)行自我復(fù)制，同時將病毒自身經(jīng)過偽裝后依附在用戶系統(tǒng)的其他可執(zhí)行文件中，使用戶不易察覺。 ③ 宏病毒 由于宏的功能十分強(qiáng)大，一些軟件開發(fā)商在其研發(fā)的產(chǎn)品中引入宏語言，這便給宏病毒留下可乘之機(jī)。宏病毒主要感染 Word文檔和文檔模板文件。 ④ 腳本病毒 腳本病毒依賴一種特殊的腳本語言 (如 VBScript、JavaScript等 )起作用，以互聯(lián)網(wǎng)作為傳輸媒介，傳播速度極快。若同時結(jié)合其他幾種病毒，將對網(wǎng)絡(luò)有更大的破壞作用。 ⑤ 網(wǎng)絡(luò)蠕蟲程序 網(wǎng)絡(luò)蠕蟲程序是通過間接方式復(fù)制自身的一種非感染型病毒。這種病毒的公共特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。 ⑥ “ 特洛伊木馬 ” 程序 特洛伊木馬程序通常是指偽裝成合法軟件的非感染型病毒，但它不進(jìn)行自我復(fù)制。有些木馬可以模仿運(yùn)行環(huán)境，收集所需的信息。最常見的木馬病毒便是試圖竊取用戶名和密碼的登錄窗口，或者試圖從眾多的互聯(lián)網(wǎng)服務(wù)器提供商 (ISP)盜竊用戶的注冊信息和賬號信息。 (3) 病毒環(huán)境 據(jù)病毒感染所需環(huán)境分，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。其中，網(wǎng)絡(luò)病毒是在計算機(jī)網(wǎng)絡(luò)上傳播擴(kuò)散，專門攻擊網(wǎng)絡(luò)薄弱環(huán)節(jié)、破壞網(wǎng)絡(luò)資源的一種殺傷力極強(qiáng)的計算機(jī)病毒。網(wǎng)絡(luò)病毒便利用軟件缺陷或者是系統(tǒng)研制開發(fā)時因疏忽而留下的 “ 后門 ” 進(jìn)行攻擊。 2. 根據(jù)名稱識別病毒 (1) 病毒前綴是指一個病毒的種類。 (2) 病毒名是指一個病毒的家族特征，是用于區(qū)別和標(biāo)識病毒家族的標(biāo)志。 (3) 病毒后綴是指一個病毒的變種特征，用于區(qū)別具體某個家族病毒的某個變種。 表 31為常見病毒及其病毒前綴。 3. 計算機(jī)病毒的防治 計算機(jī)病毒的防治要從防毒、查毒、解毒三方面進(jìn)行。 防毒是指根據(jù)系統(tǒng)特性，采取相應(yīng)的預(yù)防措施，防止計算機(jī)病毒通過硬盤或其他移動存儲介質(zhì)、局域網(wǎng)、因特網(wǎng)等多種途徑侵入計算機(jī)。常用的防毒技術(shù)包括安裝防病毒軟件、加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制等。 查毒是指通過一定的技術(shù)手段發(fā)現(xiàn)計算機(jī)系統(tǒng)是否感染病毒，并準(zhǔn)確查找出病毒的來源。常用的查毒技術(shù)主要有識別判斷病毒特征的檢測技術(shù)和文件自身檢測技術(shù)兩種方法。對病毒特征的檢測包括病毒關(guān)鍵字、特征程序內(nèi)容、傳染方式、文件長度的變化等，一般可利用殺毒軟件并下載最新的病毒特征庫自動完成這種檢測。而文件自身檢測主要指對文件自身特征的檢測，如發(fā)現(xiàn)差異，則表明該文件或數(shù)據(jù)已遭破壞，可判定已感染了病毒。 解毒是指從感染對象中清除病毒，恢復(fù)被病毒感染前的原始信息。一般可使用殺毒軟件來完成病毒的清除。但是，殺毒軟件一般是在病毒出現(xiàn)后才能開發(fā)研制，有較大的被動性和滯后性。 在網(wǎng)絡(luò)環(huán)境下，病毒傳播速度非?？?，僅用單機(jī)防病毒軟件已難以清除網(wǎng)絡(luò)病毒。為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下計算機(jī)病毒的防治，必須將管理與防范相結(jié)合。具體的實(shí)現(xiàn)方法包括在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版防病毒軟件，在單機(jī)上安裝單機(jī)版防病毒軟件，對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測，對網(wǎng)絡(luò)目錄和文件設(shè)置訪問權(quán)限和屬性，嚴(yán)格管理網(wǎng)絡(luò)管理員的用戶名和入網(wǎng)口令，開啟系統(tǒng)中盡量少的服務(wù)等。 根據(jù)所掌握的病毒特點(diǎn)和病毒未來的發(fā)展趨勢，國家計算機(jī)病毒緊急處理中心與計算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心還特別制定了以下的病毒防治策略提供用戶參考。 ① 建立病毒防治的