【正文】 病毒占用系統(tǒng)引導(dǎo)區(qū)，并將系統(tǒng)原有的引導(dǎo)記錄隱藏在磁盤的其他空間，從而使系統(tǒng)在開始運(yùn)作的時(shí)候就被病毒控制）u 可執(zhí)行文件病毒（隱藏在可執(zhí)行文件中（/exe），執(zhí)行可執(zhí)行文件時(shí)病毒就開始傳染，其實(shí)宏/郵件/網(wǎng)頁病毒都屬于此類）n 宏病毒：寄存在文檔或模板的宏中的病毒，打開文檔宏自動(dòng)執(zhí)行，從而激活病毒n 郵件病毒：通過郵件傳播，一般藏在附件里；n 網(wǎng)頁病毒：通過瀏覽網(wǎng)頁而感染的病毒，多是利用操作系統(tǒng)和瀏覽器的漏洞，利用ActiveX和JavaScript技術(shù)來實(shí)現(xiàn)的；u 綜合型病毒（既傳染磁盤引導(dǎo)區(qū)，又傳染可執(zhí)行文件的綜合病毒）3）計(jì)算機(jī)病毒的工作原理各種計(jì)算機(jī)病毒的工作原理都大致相同：一般來說病毒程序包括3個(gè)功能模塊：引導(dǎo)模塊、傳染模塊和破壞模塊。引導(dǎo)模塊將病毒從光盤等外部媒體引入內(nèi)存，使之處于活動(dòng)狀態(tài)，為傳染和破壞創(chuàng)造條件。傳染模塊判斷傳染條件是否成立，若成立則復(fù)制傳染其他文件。破壞模塊則首先判斷破壞條件是否成立，如成立則開始其破壞。 4）木馬和病毒的區(qū)別 木馬指網(wǎng)絡(luò)上宣稱有用的軟件，通過免費(fèi)下載或郵件附件引誘用戶打開執(zhí)行，潛伏到用戶的計(jì)算機(jī)內(nèi)，與遠(yuǎn)程的黑客里應(yīng)外合，竊取信息，操縱電腦。 區(qū)別：木馬不具有傳染性，不能復(fù)制自身，也不刻意感染其他文件，主要是竊取信息，而病毒是破壞信息。 5）蠕蟲和病毒的區(qū)別 蠕蟲是利用計(jì)算機(jī)系統(tǒng)設(shè)計(jì)上的漏洞，通過網(wǎng)絡(luò)主動(dòng)將自己擴(kuò)散出去并進(jìn)行破壞活動(dòng)，主要傳播途徑：郵件、系統(tǒng)漏洞、聊天軟件等。和普通病毒的區(qū)別：l 普通病毒需要傳播受感染的駐留文件進(jìn)行復(fù)制，蠕蟲病毒不用通過可以直接自我復(fù)制；l 普通病毒主要傳染計(jì)算機(jī)內(nèi)的文件，蠕蟲目標(biāo)是傳染互聯(lián)網(wǎng)的所有計(jì)算機(jī)，破壞性更強(qiáng) 6）越來越多的惡意程序呈現(xiàn)混合型攻擊的特性，兼具木馬、蠕蟲等病毒的特性。7）計(jì)算機(jī)病毒防范的基本原則從管理上防范，從技術(shù)上防范。l 管理方面的防范措施：1) 不要隨意拷貝和使用未經(jīng)安全檢測(cè)的軟件2) 對(duì)于系統(tǒng)中的重要數(shù)據(jù)，不要存儲(chǔ)在系統(tǒng)盤，并隨時(shí)備份3) 不要隨意打開來歷不明的郵件，不要訪問不知底細(xì)的網(wǎng)站4) 采取必要的病毒檢測(cè)、監(jiān)察系統(tǒng)，制定完善的管理制度l 技術(shù)方面的防范措施：1） 在系統(tǒng)開機(jī)設(shè)置中把“病毒報(bào)警”設(shè)為Enable2） 及時(shí)下載安裝操作系統(tǒng)補(bǔ)丁，升級(jí)系統(tǒng)軟件；3） 選用合適的防病毒軟件對(duì)病毒進(jìn)行實(shí)時(shí)監(jiān)控；4） 殺毒軟件及時(shí)升級(jí)。l 選擇防病毒軟件主要考慮如下因素：1) 技術(shù)支持程度2) 技術(shù)的先進(jìn)性和穩(wěn)定性3) 病毒的響應(yīng)程度4) 用戶的使用條件及應(yīng)用環(huán)境常用防病毒軟件：1）國內(nèi)：KILL、 KV3000、 瑞星、 金山毒霸2）國外：Norton Macfee PCcillin 卡巴斯基。電子商務(wù)的安全要求：(1) 信息的保密性（商務(wù)信息傳播一般都有加密要求）(2) 信息的完整性（不被篡改、不被遺漏、）(3) 通信的不變動(dòng)性（保證收發(fā)雙方都有足夠證據(jù)證明收/發(fā)操作已經(jīng)發(fā)生）(4) 交易各方身份的認(rèn)證（方便可靠的確認(rèn)對(duì)方身份是實(shí)現(xiàn)電子交易的一個(gè)前提）(5) 信息的有效性（保證電子信息有效性是開展電子商務(wù)的前提 可呈現(xiàn)的 可接受的）密碼：隱蔽了真實(shí)內(nèi)容的符號(hào)序列，通過數(shù)學(xué)函數(shù)來實(shí)現(xiàn)C=F(M，Key)——C是加密后的字符串，F(xiàn)是加密的算法，M是需加密的原文，Key是密鑰。密碼泄露的途徑：網(wǎng)上騙?。ㄡ烎~）、終端盜?。抉R）、網(wǎng)絡(luò)截獲?；炯用芗夹g(shù)利用密碼技術(shù)對(duì)信息進(jìn)行加密，是最常用的安全手段。252。 對(duì)稱加密體制對(duì)信息的加密和解密都用相同的密鑰，即一把鑰匙開一把鎖。目前最具有代表性的是美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES（Data Encrypt Standard），目前全世界普密級(jí)的計(jì)算機(jī)數(shù)據(jù)加密基本上都采用了DES算法。 主要優(yōu)點(diǎn)：簡(jiǎn)化加密的處理，貿(mào)易雙方采用相同的加密算法，只交換共享的專用密鑰，不必彼此研究和交換專用的加密算法。只要雙方能保證專用密鑰在密鑰交換階段的安全保密，報(bào)文的機(jī)密性和完整性就能保證。 主要問題：密鑰安全交換和管理問題（密鑰安全交換問題，多個(gè)密鑰管理困難）無法鑒別貿(mào)易雙方的身份。252。 非對(duì)稱加密體制（公鑰加密體制） 一對(duì)密鑰＝1個(gè)公開密鑰 ＋1個(gè)私用密鑰 用其中任何一個(gè)加密以后，都可以用另外一個(gè)解密，公鑰可以對(duì)外發(fā)布，私鑰要保證安全。 基本過程： 甲方生成一對(duì)密鑰，公開公鑰； 乙方用這個(gè)公鑰加密，然后發(fā)回給甲方； 甲方用私鑰解密，得到明文RSA是最著名和實(shí)用的一種非對(duì)稱加密體制。優(yōu)點(diǎn)：有效解決了密鑰安全交換和管理的問題，而且能夠非常方便的鑒別雙方的身份，但是算法復(fù)雜，速度非常慢，實(shí)際運(yùn)用中常結(jié)合使用。252。 文件加密Word和 Excel：工具選項(xiàng)安全性——設(shè)置打開密碼和修改密碼；Winrar：高級(jí)設(shè)置密碼。安全認(rèn)證手段數(shù)字信封 數(shù)字摘要 數(shù)字簽名 數(shù)字證書 認(rèn)證中心數(shù)字信封結(jié)合對(duì)稱加密方法和非對(duì)稱加密方法實(shí)現(xiàn)信息保密傳送。加密信息＝密文 ＋ 信封公鑰加密，私鑰解密，只有貿(mào)易雙方有自己的密鑰，安全，提高了速度。數(shù)字摘要 用于驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的文件是否是原始的、未被篡改的文件原文。利用了著名的Hash函數(shù)——固定長(zhǎng)度（128位）的摘要（digest）——也叫數(shù)字指紋，不可逆轉(zhuǎn)發(fā)送信息＝摘要＋原文 收到后再次生成摘要并比較目前廣泛使用的Hash函數(shù)有MDSHA。數(shù)字簽名（digital signature）只有信息發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串。可以確認(rèn)對(duì)方身份，防抵賴；完整性（未做修改）、防篡改性?？梢越鉀Q信息安全的保密性、完整性、防抵賴性及身份認(rèn)證問題hash（信息原文）――數(shù)字摘要——用私鑰加密數(shù)字摘要——數(shù)字簽名數(shù)字簽名是私鑰加密，公鑰解密數(shù)字證書身份認(rèn)證是電子商務(wù)安全需要解決的首要問題，也是其他安全業(yè)務(wù)賴以實(shí)現(xiàn)的基礎(chǔ)。數(shù)字證書也叫數(shù)字憑證，是用電子手段來證實(shí)一個(gè)用戶的身份的方法，必須包含：(1) 版本號(hào)(2) 序列號(hào)(3) 擁有者姓名(4) 擁有者公鑰(5) 公鑰的有效期(6) 簽名算法(7) 頒發(fā)數(shù)字證書的單位(8) 頒發(fā)數(shù)字證書的單位的數(shù)字簽名數(shù)字證書的類型：252。 按應(yīng)用對(duì)象分：個(gè)人用戶證書、企業(yè)用戶證書、安全郵件證書、服務(wù)器證書及代碼簽名證書等；252。 按業(yè)務(wù)類型分：A類證書（SET）、B類證書（）；252。 按安全等級(jí)分：l 一級(jí)（支付網(wǎng)關(guān)證書、行業(yè)證書）；l 二級(jí)證書：商家證書、服務(wù)器證書；l 三級(jí)證書：個(gè)人用戶證書；l 四級(jí)證書：測(cè)試證書或?qū)Π踩砸蟛桓叩膫€(gè)人用戶證書。 認(rèn)證中心承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、發(fā)放數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。，國內(nèi)的主要分區(qū)域性CA和行業(yè)性CA。認(rèn)證中心體系結(jié)構(gòu)是一個(gè)倒置樹形結(jié)構(gòu)。每位同學(xué)自己把P150的圖補(bǔ)上來。 SSL協(xié)議（安全套接層協(xié)議Secure Sockets Layer）Netscape Communication公司設(shè)計(jì)開發(fā)，主要用于提高應(yīng)用程序之間數(shù)據(jù)交換的安全系數(shù)，可以被總結(jié)為一個(gè)保證在所有安裝了SSL的客戶和服務(wù)器間通信安全的協(xié)議。252。 提供的服務(wù)：（1） 提供用戶和服務(wù)器的身份認(rèn)證（利用證書和CA）；（2） 保證數(shù)據(jù)的保密性（對(duì)稱加非對(duì)稱加密）；（3） 維護(hù)數(shù)據(jù)的完整性（Hash函數(shù)）；252。 運(yùn)行過程；（1） 接通階段（客戶向服務(wù)商打招呼，服務(wù)商回應(yīng)）；（2） 密碼交換階段（雙方交換密碼，一般用RSA算法）；（3） 會(huì)談密碼階段（雙方交換會(huì)談密碼）；（4） 檢驗(yàn)階段（檢驗(yàn)服務(wù)商取得的密碼）；（5） 客戶認(rèn)證階段（檢驗(yàn)客戶的可信度）；（6） 結(jié)束階段（相互交換驗(yàn)證結(jié)束的信息）。客戶的購買信息首先發(fā)給商家，商家再發(fā)給銀行，銀行驗(yàn)證客戶信息的合法性之后通知商家付款成功。252。 評(píng)價(jià)最早應(yīng)用于電子商務(wù)的網(wǎng)絡(luò)安全協(xié)議，已經(jīng)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，幾乎所有的瀏覽器和服務(wù)器都支持SSL協(xié)議，所以使用SSL協(xié)議方便、經(jīng)濟(jì)還能保證數(shù)據(jù)的安全性、保密性和完整性。252。 缺點(diǎn)：（1） 不符合國內(nèi)商用密碼產(chǎn)品不得使用國外密碼算法的規(guī)定，通過審批困難；（2） 系統(tǒng)安全性差（建立在RSA算法基礎(chǔ)上）；（3） 運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾，有利于商家，不利于客戶。將逐漸被SET取代。SET協(xié)議：安全電子交易協(xié)議（Secure Electronic Transaction），為了保證在互聯(lián)網(wǎng)上進(jìn)行在線交易時(shí)保證信用卡支付的安全而設(shè)立的一個(gè)開放的規(guī)范。Visa和Master Card共同開發(fā)，保證通過開放網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)）進(jìn)行安全資金支付。由于設(shè)計(jì)合理，得到多家大公司支持，成為B2C業(yè)務(wù)事實(shí)上的工業(yè)標(biāo)準(zhǔn)，其交易形態(tài)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。主要由3個(gè)文件組成：1）SET業(yè)務(wù)描述；2）SET程序員指南；3)SET協(xié)議描述。252。 目標(biāo) 1）保證電子商務(wù)參與者信息的相互隔離?？蛻舻馁Y料加密或打包后通過商家到達(dá)銀行，但是商家不能看到客戶的帳戶和密碼信息。（2）保證信息在因特網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。（3）解決多方認(rèn)證問題，不僅要對(duì)消費(fèi)者的信用卡認(rèn)證，而且要對(duì)在線商店的信譽(yù)程度認(rèn)證，同時(shí)還有消費(fèi)者、在線商店與銀行間的認(rèn)證。(4)保證了網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。(5)效仿EDI貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。252。 工作原理（記住各步驟的先后順序）(1)消費(fèi)者利用自己的pc機(jī)通過互聯(lián)網(wǎng)選所要購買的物品，并在計(jì)算機(jī)上輸入訂貨單。訂貨單上需包括在線商店、購買物品名稱及數(shù)量、交貨時(shí)間及地點(diǎn)等相關(guān)信息。(2)通過電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店做出應(yīng)答，告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)、交貨方式等信息是否準(zhǔn)確，是否有變化。(3)消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令。此時(shí)SET開始介入。(4)在set中，消費(fèi)者必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號(hào)信息。(5)在線商店接受訂單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。(6)在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備查詢。(7)在線商店發(fā)送貨物或提供服務(wù)，并通知收單銀行將錢從消費(fèi)者的賬號(hào)轉(zhuǎn)移到商店賬號(hào)，或通知發(fā)卡銀行請(qǐng)求支付。252。 SET安全協(xié)議中的角色(1)消費(fèi)者(2)商家(3)發(fā)卡銀行；(4)收單銀行(5)支付網(wǎng)關(guān)；(6)認(rèn)證中心252。 評(píng)價(jià)與SSL相比，有以下幾個(gè)優(yōu)點(diǎn)：①對(duì)商家而言，SET為商家提供了保護(hù)自己的手段，使商家免受欺詐的困擾，使商家的運(yùn)營(yíng)成本降低。②對(duì)消費(fèi)者而言，SET保證了商家的合法性，并且用戶的信用卡號(hào)不會(huì)被竊取，SET替消費(fèi)者保守了更多的秘密使其在線購物更加輕松。③銀行和發(fā)卡機(jī)構(gòu)以及各種信用卡組織來說，因?yàn)镾ET可以幫助它們將業(yè)務(wù)擴(kuò)展到Internet這個(gè)廣闊的空間，從而使得信用卡網(wǎng)上支付具有更低的欺騙概率，這使得它比其他支付方式具有更大的競(jìng)爭(zhēng)力。④SET對(duì)于參與交易的各方定義了互操作接口，一個(gè)系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。252。 問題：(1) SET要求在銀行網(wǎng)絡(luò)、商家服務(wù)器、顧客的PC上安裝相應(yīng)的軟件，同時(shí)SET還要求必須向各方發(fā)放證書，這使SET要比SSL昂貴的多，從而阻止了SET 的廣泛發(fā)展。(2) 協(xié)議沒有說明收單銀行給在線商店付款前，是否必須收到消費(fèi)者的貨物接受證書。否則的話，在線商店提供的貨物不符合質(zhì)量標(biāo)準(zhǔn)，消費(fèi)者提出疑義，責(zé)任由誰承擔(dān)。(3) 協(xié)議沒有擔(dān)保“非拒絕行為”，這意味著在線商店沒有辦法證明訂購是不是由簽署證書的消費(fèi)者發(fā)出的。(4) SET技術(shù)規(guī)范沒有提及在事務(wù)處理完成后，如何安全地保存或銷毀此類數(shù)據(jù)，是否應(yīng)當(dāng)將數(shù)據(jù)保存在消費(fèi)者、在線商店或收單銀行的計(jì)算機(jī)里。這些漏洞可能使這些數(shù)據(jù)以后受到潛在的攻擊。SET協(xié)議過于復(fù)雜，使用麻煩，成本高，且只適用于客戶具有電子錢包的場(chǎng)合。 252。 其他安全協(xié)議HTTPS（建立在SSL協(xié)議上，易實(shí)現(xiàn)，不夠靈活）、SHTTP，用于郵件的安全協(xié)議（S/MIME、 PGP、 PEM）、用于EDI的安全協(xié)議（、 ）。網(wǎng)上貿(mào)易安全防騙252。 網(wǎng)上銀行常用安全手段? （1）軟鍵盤輸入密碼? （2）ActiveX控件輸入密碼? （3）動(dòng)態(tài)密碼– 口令卡– 手機(jī)短信– 動(dòng)態(tài)密碼鎖? （4）數(shù)字證書– 本地下載使用 – USB key252。 網(wǎng)上銀行進(jìn)行安全交易的方法? 設(shè)置保護(hù)好網(wǎng)銀密碼? 謹(jǐn)防網(wǎng)絡(luò)釣魚? 定期查詢?cè)敿?xì)交易? 利用銀行提供的各種增值服務(wù)? 配置安全軟件252。 第三方支付安全（以支付寶為例）? 不要看到支持支付寶的產(chǎn)品就放松警惕? 貨到付款注意事項(xiàng)——交易期限，快遞7天，平郵30天自動(dòng)付款給賣家? 小心實(shí)時(shí)到帳功能252。 網(wǎng)上貿(mào)易防騙方法? 驗(yàn)明對(duì)方身份? 通過聯(lián)系方式判斷真?zhèn)? 完善必要的買賣手續(xù)? 匯款注意事項(xiàng)252。 需要警惕的：? 營(yíng)業(yè)執(zhí)照和聯(lián)系地址不一，身份證是假的? 不肯提供營(yíng)業(yè)執(zhí)照和身份證復(fù)印件的? 不肯簽合同或協(xié)議的? 沒有詳細(xì)地址的? 聯(lián)系電話和經(jīng)營(yíng)地址不一的? 使用鐵通一號(hào)通的電子商務(wù)系統(tǒng)安全管理制度? 人員管理制度：– 電子商務(wù)員要嚴(yán)格選拔– 落實(shí)工作責(zé)任制– 貫徹電子商務(wù)安全運(yùn)作基本原則：? 雙人負(fù)責(zé)原則? 任期有限原則? 最小權(quán)限原則（只有網(wǎng)管才可以進(jìn)行物理訪問，只有網(wǎng)絡(luò)人員才可以安裝軟件）