【正文】 店發(fā)送訂單確認信息給消費者。消費者端軟件可記錄交易日志，以備將來查詢。 ? （ 7）在線商店發(fā)送貨物或提供服務(wù)井通知收單銀行將錢從消費者的賬號轉(zhuǎn)移到商店賬號，或通知發(fā)卡銀行請求支付。在認證操作和支付操作中間一般會有一個時間間隔，例如，在每天的下班前請求銀行結(jié)一天的賬。 ? 前兩步與 SET無關(guān)，從第三步開始 SET起作用，一直到第六步，在處理過程中通信協(xié)議、請求信息的格式、數(shù)據(jù)類型的定義等， SET都有明確的規(guī)定。 在操作的每一步，消費者、在線商店、支付網(wǎng)關(guān)都通過 CA來驗證通信主體的身份，以確保通信的對方不是冒名頂替， 所以，也可以簡單地認為， SET規(guī)格充分發(fā)揮了認證中心的作用，以維護在任何開放網(wǎng)絡(luò)上的電子商務(wù)參與者所提供信息的真實性和保密性。 電子商務(wù)安全協(xié)議（續(xù)） Company name Company name 電子商務(wù)安全協(xié)議（續(xù)） ? SET協(xié)議在安全性方面主要體現(xiàn)在以下方面： ? (1)機密性 保證信息在 Inter上安全傳輸，防止數(shù)據(jù)被黑客或內(nèi)部人員竊??； ? (2)保護隱私 保證電子商務(wù)參與者信息的相互隔離，客戶的資料加密或打包后通過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息； ? (3)完整性 密鑰加密技術(shù)、數(shù)字摘要技術(shù)保證信息傳輸?shù)耐暾? ? (4)解決多方認證問題，不僅要對消費者的信用卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證 Company name 電子商務(wù)安全協(xié)議（續(xù)） ? SET協(xié)議也有不足之處。主要體現(xiàn)在： ? （ 1）協(xié)議沒有說明收單銀行給商家付款前，是否必須收到客戶的貨物接受證書。否則，商家提供的貨物不符合質(zhì)量標(biāo)準(zhǔn)，客戶提出疑議，責(zé)任由誰承擔(dān)。 ? （ 2）協(xié)議沒有擔(dān)?！胺蔷芙^行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的客戶發(fā)出的。 ? （ 3） SET技術(shù)規(guī)范沒有提及在事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在客戶、商家或收單銀行的計算機里。 ? （ 4）協(xié)議復(fù)雜，使用成本高，且只適用于客戶安裝了“電子錢包”的場合，根據(jù)統(tǒng)計，在一個典型的 SET交易過程中，需驗證數(shù)字證書 9次，驗證數(shù)字簽名 6次，傳遞證書 7次，進行 5次簽名、 4次對稱加密和 4次非對稱加密，整個交易過程可能需花費 2分鐘。 Company name ? 共同點： ? （ 1）均采用對稱密鑰、非對稱密鑰加密法、數(shù)字摘要與數(shù)字證書等認證手段 ? （ 2）都能保證信息在傳輸過程中的機密性與完整性 ? 不同點： ? （ 1） SSL比較簡單地在客戶端與服務(wù)器之間建立了一條安全通道，當(dāng)信息經(jīng)過商家中轉(zhuǎn)時，無法保證商家看不到客戶的信用卡賬戶等信息； SET是一個多方的消息報文協(xié)議，它定義了銀行、商家、持卡人之間必須遵循標(biāo)準(zhǔn)的報文規(guī)范，采用雙重簽名方法，保證商家無法看到持卡人傳送給網(wǎng)關(guān)的信息，也使銀行看不到客戶的需求商品信息 ? （ 2）在認證機制方面， SET安全需求較高，參與交易各方必須申請持有數(shù)字證書來識別各自的身份；而在 SSL中只要求商家或銀行端的服務(wù)器安裝證書，而客戶端的認證可以選擇。所以，從這一角度看， SSL交易協(xié)議有其不安全的方面。當(dāng)然，在 SSL中最好也是各方都安裝證書，取得可靠的身份認證。 ? （ 3） SET造價成本較高，運行機制復(fù)雜；而 SSL造價成本較低，運行機制簡單靈活，易普及推廣。 ? （ 4）性能對比。由于 SET安全機制接近完美，網(wǎng)絡(luò)和計算機處理要求較高，致使 SET性能下降，用戶使用不便，不易操作，不易安裝，接近名存實亡；而 SSL配置簡單，傳輸性能較高，得到普遍應(yīng)用。 SSL與 SET對比 Company name ? 防火墻技術(shù) ? 數(shù)據(jù)機密性技術(shù)：對稱密鑰技術(shù)和非對稱密鑰技術(shù) ? 數(shù)據(jù)完整性技術(shù)：數(shù)字摘要、數(shù)字簽名 ? 數(shù)字證書的主要內(nèi)容 ? CA認證中心的主要作用 ? SSL/SET協(xié)議 小結(jié) Company name 一 、 簡答題 。 EC交易安全的保障體系 3. 簡述網(wǎng)絡(luò)安全技術(shù)對策的主要內(nèi)容 4. 什么是防火墻 ？ 簡述防火墻的安全策略和局限性 ？ 分別簡述它們的原理和工作過程 。 6. 常見的數(shù)據(jù)完整性技術(shù)有哪些 ？ 7. CA中心的主要功能有哪些 ？ SET和 SSL兩個協(xié)議的異同點 。 復(fù)習(xí)思考題 Company name 如何獲得收件人的數(shù)字證書 ： (1) 方法之一：讓對方給您發(fā)送有其數(shù)字簽名的郵件 。 將該郵件打開 ， 然后請單擊 文件 菜單中的屬性 ， 選取 安全 選項卡并單擊 將數(shù)字標(biāo)識添加到通訊簿中 按鈕 ， 這樣對方數(shù)字證書就被添加到您的 “ 通訊簿 ”之中了 。 您可以在 Inter Explorer的工具 → Inter選項 → 內(nèi)容 →證書 → 其他人 中查看到對方的數(shù)字證書 。 同樣 ， 你可以將自己的數(shù)字證書發(fā)送給對方 。 （ 2） 方法之二：通過認證中心提供的數(shù)字證書檢索服務(wù)可以獲得別人的數(shù)字證書 。 名詞解釋： 數(shù)字證書、安全電子交易協(xié)議、數(shù)字簽名 、非對稱加密 復(fù)習(xí)思考題 答案 Company name 二、選擇題 1． 按 （ ） 劃分 ， 可將加密體制劃分為對稱加密體制和不對稱加密體制 。 A． 加密與解密的算法是否相同 （ Y） B． 加密與解密的算法是否可逆 C． 加密密鑰與解密密鑰是否相同 D． 加密與解密密鑰的長度是否相同 2． DES算法屬于 （ ） 。 A． 對稱加密體制 B． 不對稱加密體制 C． 單向散列函數(shù) D． 數(shù)字簽名算法 Company name 二、選擇題 3． 將數(shù)據(jù)變?yōu)閬y碼傳送到達目的地后重新還原的技術(shù)是 （ ） 。 A． 數(shù)字簽名 B． 防火墻技術(shù) C． 加密技術(shù) D． 身份驗證 4． 相比非對稱密鑰機制而言 ， 對稱密鑰機制最主要的優(yōu)點是 （ ） 。 A． 安全性高 B． 加解密速度快 C． 操作方便 D． 成本經(jīng)濟 5． （ ） 是用于開放網(wǎng)絡(luò)進行信用卡電子支付的安全協(xié)議 。 A． SSL B． TCP/IP C． SET D． HTTP Company name 二、選擇題 6． 數(shù)字簽名通常使用 （ ） 方式 。 A． 密鑰密碼體系 B． 公鑰密碼體系中的公開密鑰和 Hash相結(jié)合 C． 公鑰密碼體系中的私人密鑰和 Hash相結(jié)合 D． 公鑰密碼體系中的私人密鑰 7． 認證中心的主要職能是 （ ） 。 A． 驗證信息 B. 簽發(fā)和管理數(shù)字證書 C. 簽發(fā)數(shù)字證書 D．驗證數(shù)字證書 Company name 三、實踐題 1． 通過 美國的 Verisign認證中心 ()或其他國內(nèi)外 認證中心站點 ， 體驗數(shù)字證書的申請過程 ， 并將數(shù)字證書備份到軟盤上 。 2． 利用已申請的個人數(shù)字證書 ， 練習(xí)發(fā)送 、 接收一封加密電子郵件 。 3．登錄當(dāng)當(dāng)網(wǎng)（ （ 返回 Company name Company name ?2022年 12月 16日下午 ， 瑞星全球反病毒監(jiān)測網(wǎng)截獲一個通過 MSN快速傳播的 蠕蟲病毒 ， 并命名為 “ MSN圣誕照片 ()”。 該病毒會大量散發(fā) “ My Christmas picture for you”等誘惑性消息 ， 中毒機器會向 MSN上的所有好友發(fā)送名為 “ ”的病毒壓縮包 ， 用戶運行后就會被感染 。 據(jù)了解 ， 到目前為止 ， 已有數(shù)百個 MSN用戶中毒而向瑞星客戶服務(wù)中心求助 。 瑞星安全專家警告說 ， 重大節(jié)日往往伴隨著病毒的肆虐 ， 隨著圣誕節(jié) 、 元旦等節(jié)日的臨近 ， 類似的病毒可能頻繁出現(xiàn) ， 用戶應(yīng)該小心 MSN好友發(fā)來的可疑壓縮包 。 黑客事件 Company name ?韓國總統(tǒng)府 、 國防部 、 外交通商部等政府部門和主要銀行 、 媒體網(wǎng)站 7日晚同時遭分布式拒絕服務(wù) (DDoS)攻擊， 癱瘓時間長達 4小時 。 ?2萬電腦淪為 “ 肉雞 ” ?據(jù)報道 ， 對青瓦臺和大國家黨網(wǎng)站的攻擊是從 7日 16時50分左右全面開始的 ， 在此之后的 4個多小時里 ， 青瓦臺和大國家黨網(wǎng)站完全陷入癱瘓 。 朝鮮日報網(wǎng) 、 韓國門戶網(wǎng)站 NAVER的電郵以及網(wǎng)絡(luò)購物網(wǎng)站 Auction等當(dāng)天也受到了集中攻擊 。 此外 ， 韓國國防部 、 韓國外交通商部和韓國國會的網(wǎng)站也成為了黑客的攻擊目標(biāo) 。 ? 黑客事件 Company name ? 韓國廣播通信委員會 6日發(fā)表的聲明稱 ， 共有 11個韓國網(wǎng)站在 7日晚遭到黑客攻擊 ， 初步的調(diào)查顯示 ， 共有12022臺韓國境內(nèi)的計算機和 6000臺韓國境外的計算機被病毒感染并被用于進行此次黑客攻擊 。 此次黑客攻擊是分布式拒絕服務(wù)攻擊 (DDoS)。 ? 這類黑客攻擊主要是發(fā)送大量數(shù)據(jù)導(dǎo)致網(wǎng)絡(luò)服務(wù)器癱瘓 。 其攻擊方式是 ， 黑客故意針對不特定的大量計算機植入惡性病毒程序 ， 然后對感染病毒的計算機進行遠程控制 (俗稱 “ 肉雞 ” )， 并操縱這些計算機同時訪問目標(biāo)網(wǎng)站 ， 致使網(wǎng)站服務(wù)器負荷達到極限甚至超載 ， 網(wǎng)站訪問速度大幅減緩 ， 最終陷入癱瘓 。 黑客事件 Company name 2022年十大安全事件回顧 ? 1.“ 極光”漏洞導(dǎo)致谷歌受攻擊。 ? 所謂極光攻擊事件指，谷歌在一月份承認他們的許多重要 知識財產(chǎn) 在 2022年12月份被網(wǎng)絡(luò)非常入侵所竊取。與此同時，另外還有十二家高科技和業(yè)內(nèi)公司受到了同樣的攻擊。 ? ISP劫持互聯(lián)網(wǎng)。 ? 一家名為 IDC China Telemunication的小型中國網(wǎng)絡(luò)服務(wù)供應(yīng)商首先發(fā)出了錯誤的路由數(shù)據(jù)，然后經(jīng)過中國電信的二次傳播，擴散到了整個互聯(lián)網(wǎng)，這一事件導(dǎo)致 全球的服務(wù)提供商都受到了影響。該事件被列入到今年十一月份向美國國會提交的 2022年美中經(jīng)濟和安全審議委員會報告中。報告中稱，今年 4月 6日， 由于中國電信發(fā)出錯誤的路由信息，導(dǎo)致美國參議院、國防部以及國家航空及太空總署 (NASA)等許多網(wǎng)站的電子郵件全部“繞道”中國傳輸，整個過程持續(xù)了 16分 鐘。 中國電信對此表示，四月份的信息重新定向是一起事故。 ? 。 ? 邁克菲在四月份對病毒庫文件進行更新時， 誤刪 Windows XP系統(tǒng)文件 ，導(dǎo)致部分用戶電腦故障，這就是著名的 邁克菲 5956病 毒定義文件。誤殺導(dǎo)致大量邁克菲客戶的電腦出現(xiàn)類似微軟的“藍屏故障”并造成了 拒絕服務(wù) 攻擊效果。 Company name ? Cisco Live 2022年會參會者名單被黑事件。 ? 有人通過攻擊獲得了 Cisco Live 2022會議的參加者名單 。這些被攻破的信息包括 Cisco Live會議的標(biāo)識卡號碼、姓名、職務(wù)、公司地址和電子郵件地址。 ?。 ? 谷歌已經(jīng)對在街景車項目中非法嗅探和收集未加密 WiFi網(wǎng)絡(luò)中的個人數(shù)據(jù)的行為進行了道歉。在隱私保護人士和歐洲與美國監(jiān)管機構(gòu)的憤怒中，谷歌承認了錯誤，其搜索與引擎業(yè)務(wù)高級副總裁 Alan Eustace在博客中承諾將刪除這些數(shù)據(jù)。 ? 3G用戶的信息泄露事件。 ? 一個自稱為 Goatse Security的網(wǎng)絡(luò)信息安全組織在 ATamp。T Web應(yīng)用中發(fā)現(xiàn)了一個安全漏洞并導(dǎo)致超過了 10萬名 iPad用戶的電子郵件地址被泄露。 Company name ? 。 ? 位于美國馬薩諸塞州的南岸醫(yī)院宣布他們 丟失了 60萬份文件 。這些文件涉及到患者、合作伙伴和醫(yī)院職員的健康和財政信息，時間跨度為 15年。 ? 。 ? 在俄羅斯間諜案中，與其他十二名俄羅斯間諜一起被 FBI逮捕的安娜 查普曼在返回莫斯科后，身著黑色貼身內(nèi)衣登上了俄羅斯馬克西姆成人雜志封面，并受雇于俄羅斯一家銀行推動銀行信息技術(shù)創(chuàng)新。然而當(dāng)初就是因為她在技術(shù)知識的缺陷導(dǎo)致 FBI抓住了她。不僅 FBI在監(jiān)控中對她的無線網(wǎng)絡(luò)進行了嗅探，查普曼還曾經(jīng)將她的筆記本電腦送至一個美國政府密探那里修理過。盡管如此，俄羅斯基金服務(wù)銀行稱，他們雇用查普 曼是為了“行推動銀行信息技術(shù)創(chuàng)新”。 ? 。 ? 盡管 Stux蠕蟲病毒此前一直存在，但是該病毒直到六月份才引起人們的關(guān)注。 Stux蠕蟲病毒是專門攻擊工業(yè)監(jiān)控與數(shù)據(jù)采集 (SCADA)系統(tǒng)的惡意軟件中的一部分，其主要目標(biāo)是伊朗的核設(shè)施。該病毒可能是是一種用于阻止伊朗伊朗制造核彈的網(wǎng)絡(luò)武器。在十月份，健康承認該蠕蟲病毒已經(jīng)影響了伊朗國內(nèi) 3萬個系統(tǒng)。伊朗總裁內(nèi)賈德在十一月份稱：“伊朗的敵人利用電子部件中安 裝的軟件的確對伊朗一部分濃縮鈾離心機制造出了‘有限的’麻煩。他們對我們做了壞事?！? ? 。 ? 大量美國政府電報被竊 ，超過 25萬份與其他國家和元首有