【正文】 受破壞。最初計算機(jī)病毒的傳播介質(zhì)主要是軟盤、硬盤等可移動磁盤，傳播途徑和方式相對簡單。 ? 造成的破壞日益嚴(yán)重。壓縮文件為病毒的傳染提供了一種新的載體。 ? 病毒手段更加“毒辣”，為對抗計算機(jī)反病毒技術(shù)而出現(xiàn)一些病毒新技術(shù)。到目前為止手機(jī)病毒已經(jīng)超過 100種。 ? 在邏輯上，防火墻是一個分離器，是一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。例如，作為防火墻的設(shè)備可能有兩塊網(wǎng)卡 (NIC)，一塊連到內(nèi)部網(wǎng)絡(luò)，另一塊連到公共的 Inter。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點(diǎn)的。 ? ? 個人防火墻是一種能夠保護(hù)個人計算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計算機(jī)上運(yùn)行，使用與狀態(tài) /動態(tài)檢測防火墻相同的方式，保護(hù)一臺計算機(jī)免受攻擊。這是防火墻最基本的構(gòu)件。許多路由器本身帶有報文過濾配置選項(xiàng)，但一般比較簡單。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。在很多實(shí)踐中，兩個分組過濾路由器放在子同的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”。 ? 在防火墻結(jié)合網(wǎng)絡(luò)配置和安全策略對相關(guān)數(shù)據(jù)分析完成以后，就要做出接受、拒絕、丟棄或加密等決定。目前防火墻一般采用雙向 NAT； SNAT和 DNAT。 ? 、流量計費(fèi) 流量控制可以分為基于 IP地址的控制和基于用戶的控制。 URL過濾往往是代理模塊的一部分，很多廠家把這個功能單獨(dú)提取出來，作為一個賣點(diǎn)，但是要知道，它實(shí)現(xiàn)起來其實(shí)是和代理結(jié)合在一起的。 2022/2/9 遼寧石油化工大學(xué)計算機(jī)與通信工程學(xué)院 劉旸 37 電子商務(wù)中信息安全的應(yīng)用 ? 電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用的重要趨勢之一，也是國際金融貿(mào)易中越來越重要的經(jīng)營模式之一，以后會逐漸地成為人們經(jīng)濟(jì)生活中一個重要的組成部分。 電子商務(wù)所面臨的安全威脅 2022/2/9 遼寧石油化工大學(xué)計算機(jī)與通信工程學(xué)院 劉旸 39 計算機(jī)網(wǎng)絡(luò)安全的內(nèi)容 ? 計算機(jī)網(wǎng)絡(luò)設(shè)備安全 ? 計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全 ? 數(shù)據(jù)庫安全等 ? 其特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，通過實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以達(dá)到保證計算機(jī)網(wǎng)絡(luò)自身的安全性的目的。 ? ②沒有進(jìn)行 CGI程序代碼審計： 如果是通用的 CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些 CGI程序，很多存在嚴(yán)重的 CGI問題，對于電子商務(wù)站點(diǎn)來說，會出現(xiàn)惡意攻擊者冒用他人賬號進(jìn)行網(wǎng)上購物等嚴(yán)重后果。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝和配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時，很容易產(chǎn)生許多安全問題。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息的泄密。 ? ④惡意破壞： 由于攻擊者可以接入網(wǎng)絡(luò)，則可能掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，將網(wǎng)絡(luò)中的信息進(jìn)行肆意篡改，其后果是非常嚴(yán)重的。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。 ? ⑤即需性： 即需性是防止延遲或拒絕服務(wù)。這一過程為授權(quán)和審計所必需，也是實(shí)現(xiàn)授權(quán)、審計的訪問控制過程運(yùn)行的前提，是計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分。 ? 在安全結(jié)構(gòu)中改變了防火墻的位置，通過配置防火端，將網(wǎng)絡(luò)分為 3個區(qū)域。因?yàn)榉阑饓χ皇潜粍拥姆乐构簦荒茴A(yù)警攻擊?；诰W(wǎng)絡(luò)的人侵檢測系統(tǒng)則主要用于實(shí)時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。 2022/2/9 遼寧石油化工大學(xué)計算機(jī)與通信工程學(xué)院 劉旸 46 ? (1)資源的集中管理和控制 在服務(wù)子網(wǎng)上安裝安全服務(wù)器，對所有信息服務(wù)器的共享資源進(jìn)行集中管理。 ? (2)建立 CA認(rèn)證體系 為了實(shí)現(xiàn)應(yīng)用層的安全需求，需要在電子商務(wù)系統(tǒng)建立 CA認(rèn)證體系，建立電子商務(wù)網(wǎng)的 CA認(rèn)證中心，為所有用戶發(fā)放 CA數(shù)字證書。 ? 從安全風(fēng)險的程度來講，來自管理員的安全風(fēng)險更強(qiáng)，他們具有得天獨(dú)厚的便利條件，如果有惡意的話，他們所造成的危害更太。因此應(yīng)將后臺管理納入統(tǒng)一安全體系內(nèi)。 ? 數(shù)字簽名是非對稱加密技術(shù)的一類應(yīng)用。 ? 數(shù)字簽名是基于非對稱加密技術(shù)的，存在兩個明顯的問題：第一，如何保證公開密鑰的持有者是真實(shí)的；第二，大規(guī)模網(wǎng)絡(luò)環(huán)境下公開密鑰的產(chǎn)生、分發(fā)和管理等問題。電子證書能夠起到標(biāo)識貿(mào)易方的作用，是目前電子商務(wù)廣泛采用的技術(shù)之一。發(fā)送者使用隨機(jī)產(chǎn)生的對稱密鑰加密數(shù)據(jù)，然后將生成的密文和密鑰本身一起用接收者的公開密鑰加密 (稱為電子信封 )并發(fā)送；接收者先用自己的專用密鑰解密電子信封，得到對稱密鑰，然后使用對稱密鑰解密數(shù)據(jù)。持卡人將發(fā)給商家的信息 (報文 1)和發(fā)給第三方的信息 (報文 2)分別生成報文摘要 1和報文摘要 2，合在一起生成報文摘要 3，并簽名；然后，將報文 報文摘要2和報文摘要 3發(fā)送給商家，將報文 報文摘要 1和報文摘要 3發(fā)送給第三方；接收者根據(jù)收到的報文生成報文摘要，再與收到的報文摘要合在一起，比較結(jié)合后的報文摘要和收到的報文摘要 3，確定持卡人的身份和信息是否被修改過。 ? 安全超文本傳輸協(xié)議 (SHTTP) ? 依靠密鑰對的加密，保障 Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?Microsoft在 Inter Explorer中采用這一技術(shù)。當(dāng)包含持卡人帳號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的帳戶信息； ? ⑶持卡人與商家相互認(rèn)證，以確任通信雙方的身份，一般由第三方機(jī)構(gòu)負(fù)責(zé)為在線通信雙方提供信用擔(dān)保； ? ⑷要求軟件遵循相同的協(xié)議和報文格式，使不同廠商開發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺上。訂單可通過電子化方式從商家傳過來，或由持卡人的電子購物軟件建立。在 SET中，訂單和付款指令由持卡人進(jìn)行數(shù)字簽名，同時利用雙重簽名技術(shù)保證商家看不到持卡賬號信息。 ? ⑦商家發(fā)送訂單確認(rèn)信息給顧客。商家可以立即請求銀行將錢從購物者的賬號轉(zhuǎn)移到商家賬號，也可以等到某一時間，請求成批劃賬處理。 ? 隨著電子商務(wù)的發(fā)展，安全問題更加重要和突出，要想解決好這個問題，必須由安全技術(shù)和標(biāo)準(zhǔn)作保障。 。 ? 要保證電子商務(wù)安全可靠，首先要明確電子商務(wù)的安全隱患、安全等級和采用安全措施的代價，再選擇相應(yīng)的安全措施。在認(rèn)證操作和支付操作中間一般會有一個時間間隔，例如在每天的下班前請求銀行結(jié)一天的賬。 ? ⑧商家給顧客裝運(yùn)貨物．或完成訂購的服務(wù)。通過支付網(wǎng)關(guān)到銀行，再到發(fā)卡機(jī)構(gòu)確認(rèn)，批準(zhǔn)交易。 ? ④持卡人選擇付款方式，此時 SET開始介入。 ? ②持卡人選擇要購買的商品。由于它得到了 IBM、 HP、 Microsoft、 Netscape、 VeriFone、 GTE、 Terisa和 VeriSign等很多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得 IETF標(biāo)準(zhǔn)的認(rèn)可。 SSL被用于 Netscape Communicator和 Microsoft IE瀏覽器，以完成需要的安全交易操作。 2022/2/9 遼寧石油化工大學(xué)計算機(jī)與通信工程學(xué)院 劉旸 50 安全電子交易 ? 部分告知 (Partial Order) ? 在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。 ? 在實(shí)際商務(wù)活動中經(jīng)常出現(xiàn)這種情形，即持卡人給商家發(fā)送訂購信息和自己的付款賬戶信息，但不愿讓商家看到自己的付款賬戶信息，也不愿讓處理商家倒款信息的第三方看到訂貨信息。目前國外已有相應(yīng)的產(chǎn)品提供了電子證書的功能作為身份鑒別的手段。CA核實(shí)某個用戶的真實(shí)身份以后，簽發(fā)一份報文給該用戶，以此作為網(wǎng)上證明身份的依據(jù)。如果兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。 2022/2/9 遼寧石油化工大學(xué)計算機(jī)與通信工程學(xué)院 劉旸 48 安全的電子商務(wù)服務(wù) ? 加密技術(shù)是電子商務(wù)采取的基本安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。 ? 后臺管理的安全漏洞主要是口令的泄漏。 CA認(rèn)證中心為用戶和網(wǎng)上重要資源發(fā)放數(shù)字證書，通過數(shù)字證書實(shí)現(xiàn)用戶和資源的雙向認(rèn)證，防止各種欺騙；同時通過在服務(wù)器和客戶端建立的安全通道，保證網(wǎng)上信息的安全性，防止竊聽、截獲、篡改，通過數(shù)字簽名技術(shù)防止否認(rèn)和抵賴，建立安全的電子政務(wù)和電子仲裁。當(dāng)各地的用戶需要訪問某共享資源時，都要從安全服務(wù)器的訪問控制表 (ACL)中檢查該資源是否共享并且該用戶的權(quán)限是否充分，只有合法用戶才能通過安全通道對信息服務(wù)器進(jìn)行訪問。 ? (4)防殺病毒技術(shù)與產(chǎn)品 防病毒產(chǎn)品包括網(wǎng)絡(luò)防病毒產(chǎn)品和主機(jī)防病毒產(chǎn)品。入侵檢測系統(tǒng)可分為兩類：基于主機(jī)和基于網(wǎng)絡(luò)。通過合理地配置防火墻過濾規(guī)則，滿足下列需求：遠(yuǎn)程客戶只能訪問非軍事化區(qū)的安全代理服務(wù)器，不能直接對內(nèi)部網(wǎng)絡(luò)的電子商務(wù)應(yīng)用服務(wù)器和數(shù)據(jù)庫進(jìn)行訪同；內(nèi)部網(wǎng)絡(luò)的客戶端只能訪問本網(wǎng)段的應(yīng)用服務(wù)器，不能直接訪問防火墻以外的任何其他網(wǎng)絡(luò)；服務(wù)子網(wǎng)中的安全代理服務(wù)器可以通過防火墻訪問內(nèi)部網(wǎng)絡(luò)的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器指定的 HTTP服務(wù)端口以及 TCP服務(wù)端口；防火墻的功能就是提供網(wǎng)絡(luò)層訪問控制，只要配置正確，關(guān)閉不需要的服務(wù)端口，就可以保障基本的網(wǎng)絡(luò)層安全。當(dāng)貿(mào)易一方發(fā)現(xiàn)交易對自己不利時，立即否認(rèn)電子商務(wù)行為。 ? ⑥身份認(rèn)證： 指交易雙方可以相互確認(rèn)彼此的真實(shí)身份，確認(rèn)對方就是本次交易中所稱的真正交易方。 ? ④可靠性 /不可抵賴性 /鑒別： 在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。 ? ②機(jī)密性： 電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做到此類事情。建立和實(shí)施嚴(yán)密的計算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風(fēng)險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤了，使對方?jīng)]有實(shí)行報復(fù)打擊的可能。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。其中主要的障礙就是如何保證傳輸數(shù)據(jù)的安全和交易對方的身份確認(rèn)等。 ? 防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。 ? 8. VPN 在以往的網(wǎng)絡(luò)安全產(chǎn)品中 VPN是作為一個單獨(dú)產(chǎn)品出現(xiàn)，現(xiàn)在更多的是將其整臺在防火墻內(nèi)。 DNAT主要實(shí)現(xiàn)用與外網(wǎng)主機(jī)和 DMZ去主機(jī)的訪問。管理界面的設(shè)計直接關(guān)系到防火墻的易用性和安全性。這種配置的危險帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。例如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受末被授權(quán)的外部用戶的攻擊。這種