【正文】 ： 加密傳遞的信息 ?公開密鑰： 加密“對(duì)稱密鑰” ? 綜合考慮公開密鑰和對(duì)稱密鑰的優(yōu)缺點(diǎn) ? 可以保證傳輸速率和同時(shí)保證加密安全 數(shù)字信封 數(shù)字摘要 對(duì) 原文使用單向 Hash函數(shù)得到數(shù)字摘要；發(fā)送方將數(shù)字摘要與原文一起發(fā)送給接收方；接收方將收到的原文應(yīng)用單向 Hash函數(shù)產(chǎn)生一個(gè)新的數(shù)字摘要；將新的數(shù)字摘要與發(fā)送方發(fā)來的數(shù)字摘要進(jìn)行比較。數(shù)字簽名的安全性依賴于文件發(fā)送方私鑰的安全。 數(shù)字證書 1. 數(shù)字證書概述 數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心（ CA）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。 加密！ 還差什么？ 建立信任和信任驗(yàn)證機(jī)制 數(shù)字證書 認(rèn)證中心 認(rèn)證中心 1. 什么是認(rèn)證中心 為什么？ 建立信任和信任驗(yàn)證機(jī)制 數(shù)字證書 認(rèn)證中心 目前大多數(shù)商務(wù)網(wǎng)站使用用戶名和口令的方式來對(duì)用戶進(jìn)行認(rèn)證，這種方式需要站點(diǎn)收集所有注冊(cè)用戶的信息，維護(hù)龐大的用戶信息數(shù)據(jù)庫(kù)。 電子商務(wù)安全認(rèn)證體系的核心機(jī)構(gòu)就是 CA認(rèn)證中心。 SSL客戶機(jī)和服務(wù)器之間通過密碼算法和密鑰的協(xié)商 ， 建立起一個(gè)安全通道 。 ?建立起服務(wù)器和客戶之間安全的數(shù)據(jù)通道 ：要求客戶和服務(wù)器之間的所有的發(fā)送數(shù)據(jù)都被發(fā)送端加密，所有的接收數(shù)據(jù)都被接收端解密，同時(shí) SSL協(xié)議會(huì)在傳輸過程中解查數(shù)據(jù)是否被中途修改。 基于 SSL協(xié)議，雙方的通訊內(nèi)容是經(jīng)過加密的數(shù)據(jù)，這時(shí)候的安全就依賴于密碼方案的安全。 為了解決這一問題，可以采用 SET協(xié)議。 (3) 身份的驗(yàn)證 :通過使用證書和數(shù)字簽名 ， 可為交易各方提供認(rèn)證對(duì)方身份的依據(jù) ， 即保證信息的真實(shí)性 。 防火墻技術(shù) 防火墻 :是由軟件或和硬件設(shè)備組合而成 — 理論上：提供對(duì)網(wǎng)絡(luò)的存取控制功能 — 物理上：是 Inter和 Intra間設(shè)置的一種過濾器、限制器 Inter防火墻局域網(wǎng)Hx1x1根據(jù)規(guī)則判斷是否允許分組通過防火墻的實(shí)現(xiàn)規(guī)則 （ 1）凡是沒有被列為允許訪問的服務(wù)都是被禁止的。 防火墻的缺陷 （ 5）不能防備新的威脅。 防火墻的拓?fù)浣Y(jié)構(gòu)（ 1） 內(nèi)部網(wǎng) FTP服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 路由器 防火墻的拓?fù)浣Y(jié)構(gòu)（ 2） 內(nèi)部網(wǎng) FTP服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 防火墻 防火墻的拓?fù)浣Y(jié)構(gòu)（ 3） 內(nèi)部網(wǎng) FTP服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 防火墻 內(nèi)部網(wǎng) FTP 服務(wù)器 防火墻 路由器 防火墻 防火墻的分類 ? 根據(jù)連接方式分類： — 包過濾型（網(wǎng)絡(luò)級(jí)防火墻）： 對(duì)源和目的的 IP地址及端口進(jìn)行檢查，擬定一個(gè)提供接收和服務(wù)對(duì)象的清單，一個(gè)不接受訪問或服務(wù)對(duì)象的清單，按照所定的安全政策實(shí)施允許或拒絕訪問 — 應(yīng)用網(wǎng)關(guān)型（代理服務(wù)器）： 在內(nèi)域網(wǎng)和外域網(wǎng)之間建立一個(gè)單獨(dú)的子網(wǎng)，將內(nèi)域網(wǎng)屏蔽起來 — 電路層網(wǎng)關(guān)型： 在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)現(xiàn)中繼 TCP連接。 ? 它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。 3）提供訪問控制。 虛擬專用網(wǎng)技術(shù) VPN的類型 (按 VPN的服務(wù)類型分類 ) 根據(jù)服務(wù)類型， VPN業(yè)務(wù)按用戶需求定義以下三種：InterVPN、 AccessVPN與 ExtraVPN。它能保證包括 TCP和 UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，如 Email、 HTTP、 FTP、 RealAudio、數(shù)據(jù)庫(kù)的安全以及一些應(yīng)用程序如 Java、 ActiveX的安全。入侵?jǐn)?shù)據(jù)分析是整個(gè)入侵檢測(cè)系統(tǒng)的核心模塊。 基于異常的入侵檢測(cè)方法主要來源于這樣的思想：任何人的正?；顒?dòng)都是有一定的規(guī)律的，并且可以通過分析這些行為產(chǎn)生的日志信息（假定日志信息足夠完全）總結(jié)出這些規(guī)律，而入侵和濫用行為則通常和正常的行為存在嚴(yán)重的差異，通過檢查出這些差異就可以檢測(cè)出入侵行為。 ? 它是對(duì)基于概率統(tǒng)計(jì)的檢測(cè)技術(shù)的改進(jìn)。一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本。移動(dòng)代理技術(shù)適用于大規(guī)模信息搜集和動(dòng)態(tài)處理，在入侵檢測(cè)系統(tǒng)中采用該技術(shù)，可以提高入侵檢測(cè)系統(tǒng)的性能和整體功能。 ?程序和數(shù)據(jù)神秘地丟失 。 ? 物理隔離卡主要分為 單硬盤物理隔離卡 和 雙硬盤物理隔離卡。 物理隔離 雙硬盤物理隔離卡的基本原理是：在連接內(nèi)部網(wǎng)絡(luò)的同時(shí)，啟動(dòng)內(nèi)網(wǎng)硬盤及其操作系統(tǒng)，同時(shí)關(guān)閉外網(wǎng)硬盤；在連接外部網(wǎng)絡(luò)的同時(shí)，啟動(dòng)外網(wǎng)硬盤及其操作系統(tǒng)，同時(shí)關(guān)閉內(nèi)網(wǎng)硬盤。 國(guó)外電子商務(wù)立法 WTO成立后，圍繞信息技術(shù)的談判，先后達(dá)成了三大協(xié)議。主要表現(xiàn)在以下幾個(gè)方面： 1．涉及計(jì)算機(jī)安全的法律法規(guī) 我國(guó)的計(jì)算機(jī)安全立法工作開始于 20世紀(jì) 80年代。 ?電子政務(wù)運(yùn)作性法律法規(guī)建設(shè)，主要是建立和完善。 （ 2） 用戶使用 A銀行授權(quán)的銀行卡作為支付工具。買家利用哈希算法生成訂貨信息數(shù)字摘要和支付信息數(shù)字摘要，然后將訂貨信息數(shù)字摘要和支付信息數(shù)字摘要連接起來，再利用哈希算法生成雙重?cái)?shù)字摘要。 (7) 用還原的對(duì)稱密鑰解密加密信息 ， 得到原始信息 、 數(shù)字簽字和發(fā)送方的認(rèn)證證書 。 (9) 將收到的原始信息通過哈什函數(shù)變換為報(bào)文摘要 。 （ 2）～（ 8）的備選答案如下：（注：備選答案可重復(fù)選擇） A．買家的公鑰 B．買家的私鑰 C．商家的公鑰 D．商家的私鑰 E．訂貨信息數(shù)字摘要 F．支付信息數(shù)字摘要 G．訂貨信息 H．支付信息 I．雙重?cái)?shù)字簽名 答案 ? B F G I A G F 原信息A l ic e的證書B o b的證書A l ic e的證書＋＋信息摘要A lice 的簽字私鑰數(shù)字簽字(1) (2)(3)發(fā)送者 Alice加密加密B ob 的公鑰(4)加密加密信息數(shù)字信封(5)加密信息因特網(wǎng)數(shù)字信封數(shù)字信封 B ob 的私鑰(6)接收者 Bob對(duì)稱密鑰加密信息數(shù)字簽字解密解密解密A lice 的簽字公鑰＋＋信息摘要 M1信息摘要 M2(7)(8)(10)(9)對(duì)稱密鑰 比較 (1) 在發(fā)送方網(wǎng)站上 ， 將要傳送的信息通過哈什函數(shù)變換為預(yù)先設(shè)定長(zhǎng)度的報(bào)文摘要 。 （ 3） 商家服務(wù)器對(duì)訂單確認(rèn)，并將支付信息通過支付網(wǎng)關(guān)傳向銀行服務(wù)器，以獲取支付資金授權(quán)。 飛騰游戲網(wǎng)站是一個(gè)大型游戲網(wǎng)站，它一方面提供各種在線游戲，另一方面有一個(gè)服務(wù)器為用戶提供在線購(gòu)買游戲幣的服務(wù)，用戶可使用游戲幣購(gòu)買游戲裝備。 2023年 3月 5日，在九屆人大三次會(huì)議上，上海代表團(tuán)張仲禮代表提出的“呼吁制定電子商務(wù)法”議案，成為本次會(huì)議的一號(hào)議案，使電子商務(wù)立法成為人們關(guān)注的焦點(diǎn)。 1997年歐盟提出了《歐洲電子商務(wù)行動(dòng)方案》； 1998年又相繼頒布了《關(guān)于信息社會(huì)服務(wù)的透明度機(jī)制的指令》、《歐盟電子簽字法律框架指南》、《歐盟隱私保護(hù)指令》； 1999年發(fā)布了《數(shù)字簽名統(tǒng)一規(guī)則草案》。共分為兩個(gè)部分， 4章 17條。假如安全區(qū)聯(lián)接內(nèi)部網(wǎng)，主機(jī)只能使用硬盤的安全區(qū)與內(nèi)部網(wǎng)連接，而此時(shí)與外部網(wǎng)連接斷開，且硬盤的公共區(qū)的通道是封閉的。 ?發(fā)現(xiàn)可執(zhí)行文件的大小發(fā)生變化或發(fā)現(xiàn)不知來源的隱藏文件 。刪除硬盤上的文件或文檔。 ? 在許多傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)中，每個(gè)目標(biāo)都將它的系統(tǒng)日志和收集到的信息傳送給相應(yīng)的服務(wù)器，由服務(wù)器分析整個(gè)日志和信息，判斷是否發(fā)生了入侵。 基于專家系統(tǒng)的檢測(cè) ? 所謂專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。 異常檢測(cè)模型 誤用檢測(cè) 誤用檢測(cè)技術(shù)主要是通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，并從中找出符合預(yù)先定義規(guī)則的入侵行為。 入侵檢測(cè)技術(shù) 被動(dòng)響應(yīng)型系統(tǒng)只會(huì)發(fā)出報(bào)警通知，將發(fā)生的不正常情況報(bào)告給管理員，本身并不試圖降低所造成的破壞，更不會(huì)主動(dòng)地對(duì)攻擊者采取反擊行動(dòng)。 入侵檢測(cè)的目標(biāo)是識(shí)別系統(tǒng)內(nèi)部人員和外部入侵者的非法使用、濫用計(jì)算機(jī)系統(tǒng)的行為。即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。 4）地址管理。 虛擬專用網(wǎng)技術(shù) VPN的主要目的是保護(hù)傳輸數(shù)據(jù)，是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘鳌⑽锢砩戏植荚诓煌攸c(diǎn)的專用網(wǎng)絡(luò)，通過公共網(wǎng)絡(luò)構(gòu)造成邏輯上的虛擬子網(wǎng)，進(jìn)行安全的通信。 基于包過濾的防火墻設(shè)計(jì) 過濾規(guī)則例子 序號(hào) 動(dòng)作 協(xié)議 源地址 源端口 目的地址 目的端 口 說 明 1 許可 UDP 任意 53 .10 53 向 D N S服務(wù)器的查詢 2 許可 TCP 任意 1023 .10 80 向 WWW服務(wù)器的查詢 3 許可 TCP 任意 1023 .10 25 向 SMTP服務(wù)器的查詢 包過濾技術(shù)的特點(diǎn) ? 優(yōu)點(diǎn)： ? 一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò) ? 數(shù)據(jù)包過濾對(duì)用戶透明 ,不需要登錄及口令 ? 過濾路由器速度快、效率高 ? 缺點(diǎn)： ? 沒有用戶的使用記錄，不能發(fā)現(xiàn)黑客的記錄 ? 不能在用戶級(jí)別上進(jìn)行過濾，即不能鑒別不同的用戶和防止 IP地址盜用 ? 可以阻止外部對(duì)私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部的訪問 代理防火墻 代理防火墻的原理 ： 代理防火墻運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來說像是一臺(tái)真的服務(wù)器一樣，而對(duì)于外界的服務(wù)器來說，它又是一臺(tái)客戶機(jī)。要解決不斷產(chǎn)生的網(wǎng)絡(luò)安全問題，就必須不斷的更新防火墻的配置。 防火墻的缺陷 （ 1）不能防止網(wǎng)內(nèi)發(fā)生的安全問題。 (5) 互操作性 :通過使用特定的協(xié)議和消息格式 ， SET系統(tǒng)可提供在不同的軟硬件平臺(tái)操作的同等能力 。 其實(shí)質(zhì)是一種應(yīng)用在 Inter上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的就是為了保證網(wǎng)絡(luò)交易的安全。 SSL協(xié)議