1、【第八章第八章】电子商务安全管理电子商务安全管理 8.1 网络交易风险和安全管理的网络交易风险和安全管理的基本思路基本思路 8.2 客户认证技术客户认证技术 8.3 防止黑客入侵防止黑客入侵 8.4 电子商务系统的安全管理制度电子商务系统的安全管理制度 8.5 电子商务交易安全的法律保障电子商务交易安全的法律保障 8.1 8.1 网络交易风险和安全管理的基本思路网络交易风险和安全管理的基本思路 伴随着电子商务交易量和交易额的不断增加,电子商务安全问题出现的几率也越来越高。通过窃取个人信息进行的盗窃近年来增长很快,并导致2003年世界范围2210亿美元的损失,几乎是2000年的3倍。2005年6
2、月17日,美国曝出有史以来规模最大的信用卡个人数据外泄事件。美国万事达卡国际组织宣布,本次的事件,是在美国专为银行、会员机构、特约商店处理卡片交易资料的外包厂商CardSystems Solutions,Inc公司资料库遭到入侵,包括万事达、威士、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险,其中万事达信用卡用户达1390万,威士信用卡用户高达2200万。利用电子商务进行欺诈活动已经成为一种新型的犯罪活动。目前,网上欺诈已经成为国际性的难题。2004年仅美国,网络欺诈涉及金额就高达24亿美元。而近年来,这种高科技的犯罪有大举进入中国的势头。1998年6月,湖南省石
3、门县刘政、覃业名等6人以石门县兴源公司的名义,利用Internet发布虚假商情,骗得深圳市威远工贸公司编制袋15万个,价值20万元。在抗洪抢险期间,又采取订立虚假合同的方式,将所骗物资变卖到湖南津市、澧县、益阳等县市,获赃款9万余元,均被挥霍一空。1999年4月19日至21日,由于温保成、王飞等人在互联网BBS站点上非法张贴帖子,带头散布谣言,严重损害了交通银行商业声誉,导致了交通银行郑州分行的重大挤兑事件。4月21日晚,郑州市公安局依照刑法第221条,刑事拘留了7名散布谣言、制造混乱、损害交通银行商业声誉的违法人员。2004年4月13日,我国某计算机用户在维护电脑时,发现其系统注册表被改动了
4、,表里增加了一个新的启动程序。当用户登录工商银行的网上银行页面时,该程序就会自动监测到这个浏览动作,然后修改用户登录的合法页面。如果不仔细观察,用户很难发现此时的合法页面地址“https:/ 假银联网站主页 8.1.1 网络交易风险源分析网络交易风险源分析1.在线交易主体的市场准入问题在现行法律体制下,任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接收网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全性受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在,且确定哪些主体可以进入虚拟市
5、场从事在线业务。这方面的工作需要依赖工商管理部门的网上商事主体公示制度和认证中心的认证制度加以解决。2.信息风险从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法身份进入系统后,在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,进行欺诈活动,骗取对方的钱款或货物。虚假信息包含有与事实不符和夸大事实两个方面。虚假事实可能是所宣传的商品或服务本身的性能、质量、技术标准等,也可能是政府批文、权威机构的检验证明、荣誉证书、统计资料等,还可能是不能兑现的允诺。例如,有些网络公司急于扩大自身影响,引起公众注意,网络广告使用“中国第一”、“全国访问率最高”“固定用户数量最多”等词语。有的
6、甚至在网络广告发布过程中,违反有关法律和规章中的强制性规定,将含有淫秽、迷信、恐怖、暴力等不健康的内容直接在网上发布。从技术上看,网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失等方面。3.信用风险信用风险主要来自三个方面:(1)来自买方的信用风险。对于个人消费者来说,可能存在在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方货物的行为;对于集团购买者来说,存在拖延货款的可能。卖方需要为此承担风险。(2)来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。(3)买卖双方都存在抵赖的情况。4电子合同问题在传
7、统商业模式下,除即时结清或数额小的交易毋须记录外,一般都要签订书面合同,以免在对方失信不履约时以作为证据,追究对方的责任。而在在线交易情形下,所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。这些记录方式不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题,突出表现在书面形式、签字有效性、合同收讫、合同成立地点、合同证据等方面。5电子支付问题在电子商务简易形式下,支付往往采用汇款或交货付款方式,而典型的电子商务则是在网上完成支付的。网上支付通过信用卡支付和虚拟银行的电子资金划拨来
8、完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。因此,需要制定相应的法律,明确电子支付的当事人(包括付款人、收款人和银行)之间的法律关系,制定相关的电子支付制度,认可电子签字的合法性。同时还应出台针对电子支付数据的伪造、变造、更改、涂销问题的处理办法。6在线消费者保护问题在线市场的虚拟性和开放性、网上购物的便捷性,使消费者保护成为突出的问题。在我国商业信用不高的状况下,网上出售的商品可能良莠不齐,质量难以让消费者信赖,而一旦出现质量问题,退赔、修理或其他方式的法律救济又很困难,方便的网络购物很可能变得不方便甚至使人敬而远之。法律需要寻求在
9、电子商务环境下执行消费者权益保护法的方法和途径,制定网上消费者保护的特殊法,保障网上商品的质量,保证网上广告信息的真实性和有效性,解决由于交易双方信息不实或无效信息而发生的交易纠纷,切实维护消费者权益。7电子商务中产品交付问题在线交易的产品分两种,一种是有形货物,另一种是无形的信息产品。应当说,有形货物的交付仍然可以沿用传统合同法的基本原理,当然,对于物流配送中引起的一些特殊问题,也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征,对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。8.1.2 网络交易安全管理的基本思路电子商务系统是活动在Internet 平台上的一个涉
10、及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。一个完整的网络交易安全体系,至少应包括三类措施,并且三者缺一不可。一是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等,但只有技术措施并不能保证百分之百的安全。二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查,以及安全教育等。在这方面,政府有关部门、
11、企业的主要领导、信息服务商应当扮演重要的角色。三是社会的法律政策与法律保障。只有从上述三方面入手,才可能真正实现电子商务的安全运作。8.2 客户认证技术客户认证技术 8.2.1 身份认证身份认证1.身份认证的目标身份认证的目标身份认证是判明和确认贸易双方真实身份的重要环节,也是电子商务交易过程中最薄弱的环节。身份认证包含识别和鉴别两个过程。身份标识(Identification)是指定用户向系统出示自己的身份证明过程。身份鉴别(Authentication)是指系统查核用户的身份证明的过程。身份认证的主要目标包括:(1)确保交易者是交易者本人,而不是其他人。通过身份认证解决交易者是否存在的问题
12、,避免与虚假的交易者进行交易。(2)避免与超过权限的交易者进行交易。有的交易者真实存在,但违反商业道德,恶意透支,或提供假冒伪劣商品。利用身份认证,结合银行、工商管理部门和税务部门有关查处的信息,可以有效保证交易的安全性。(3)访问控制。拒绝非法用户访问系统资源,限定合法用户只能访问系统授权和指定的资源。2.用户身份认证的基本方式 一般来说,用户身份认证可通过三种基本方式或其组合来实现:(1)用户通过某个秘密信息,例如用户通过自己的口令访问系统资源。(2)用户知道某个秘密信息,并且利用包含这一秘密信息的载体访问系统资源。包含这一秘密信息的载体应当是合法持有并能够随身携带的物理介质。例如智能卡中
13、存储用户的个人化参数,访问系统资源时必须持有智能卡,并知道个人化参数。(3)用户利用自身所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描,等等,但这种方案一般造价较高,适用于保密程度很高的场合。3.单因素认证用户身份认证的最简单方法就是口令。系统事先保存每个用户的二元组信息,进入系统时用户输入二元组信息,系统将保存的用户信息和用户输入的信息相比较,从而判断用户身份的合法性。很明显,这种身份认证方法操作十分简单,但同时又最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此这种方案不能抵御口令猜测攻击。另外,口令的明文传输使得系统攻击者很容易通过接线窃听方
14、法获取用户口令。由于系统保存的是口令的明文形式,一方面需要系统管理员是可信赖的;另一方面,一旦攻击者能够访问口令表,整个系统的安全性就受到了威胁。4.基于智能卡的用户身份认证 基于智能卡的用户身份认证机制属于双因素认证,它结合了基本认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中,然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时,用户输入二元组信息。系统首先判断智能卡的合法性,然后由智能卡鉴别用户身份。若用户身份合法,再将智能卡中的随机数送给认证服务器作进一步认证。这种方案基于智能卡的物理安全性,即不易伪造和不能直接读取其中数据。没有管理中心发放的智能卡
15、,就不能访问系统资源,即使入侵者拥有了用户的智能卡,仍然需要猜测用户口令。5.一次口令机制最安全的身份认证机制是采用一次口令机制,即每次用户登录系统时口令互不相同。一次口令机制主要有两种实现方式。第一种采用“请求响应”方式。用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用户输入这个口令字,完成一次登录过程,或者用户对这一条信息实施电子签字并发送给认证服务器进行鉴别;第二种方法采用“时钟同步”机制,即根据这个同步时钟信息连同其个人化数据共同产生一个口令字。这两种方案均需要认证服务器端也产生与用户端相同的口令字(或检验签字)来验证用户身份。8.2.2 信息认证
16、技术1.信息认证的目标在某些情况下,信息认证比身份认证更为重要。例如,在买卖双方发生一般商品交易业务时,可能交易的具体内容并不需要保密,但是交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即在通信过程中没有被修改或替换。另一个例子是网络中的广告信息,此时接收方主要关心的是信息真实性和信息来源的可靠性。因此,在这些情况下,信息认证将处于首要的地位。信息认证的主要目标包括:(1)可信性。信息的来源是可信的,即信息接收者能够确认所获得的信息不是由冒充者所发出的。(2)完整性。要求信息在传输过程中保证其完整性,也即信息接收者能够确认所获得的信息在传输过程中没有被修
17、改、遗失和替换。(3)不可抵赖性。要求信息的发送方不能否认自己所发出的信息。同样,信息的接收方不能否认已收到了信息。(4)保密性。对敏感的文件进行加密,即使别人截获文件也无法得到其内容。2.基于私有密钥体制的信息认证基于私有密钥(private key)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法,也就是说,信息交换的双方共同约定一个口令或一组密码,建立一个通讯双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。由于通信双方共享同一密钥,通信的乙方可以确定信息是由甲方发出的。这是一种最简单的信息来源的认证方法。图8-2所示
18、是对称加密示意图。图8-2 对称加密示意图 发送方用自己的私钥加密原文信息加密文本因特网接收方用发送方的私钥解密原文信息加密文本发送方接收方对称加密算法有多种,最常用的是DES算法。该算法于1975年由IBM公司研制成功,采用多次换位与替代相组合的处理方法。这种算法被美国国家标准局于1977年1月正式确定为美国的统一数据加密标准,近30年来得到了广泛的应用。对称加密算法在电子商务交易过程中存在三个问题:(1)要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的,所以双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商。(2)密钥的
19、数目将快速增长而变得难于管理,因为每一对可能的通信实体需要使用不同的密钥,很难适应开放社会中大量的信息交流。(3)对称加密算法一般不能提供信息完整性的鉴别。3.基于公开密钥体制的信息认证1976年,美国学者Diffie和Hellman为解决信息公开传送和密钥管理问题,提出一种密钥交换协议,允许在不安全的媒体上通信双方交换信息,安全地达成一致的密钥,这就是“公开密钥体系”。与对称加密算法不同,公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥公开密钥(public key)和私有密钥。如果用公开密钥对数据进行加密,则只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密
20、,则只有用对应的公开密钥才能解密。图8-3所示是使用公钥加密和使用对应的私钥解密的示意图。图8-3 使用公钥加密和使用对应的私钥解密的示意图 Howareyou?原信息发送端密文加密接收者公钥因特网密文接收端原信息解密接收者私钥Howareyou?公开密钥体制常用的加密算法是RSA算法。该算法是由Rivest、Shamir、Adleman于1978年研制的。RSA算法是建立在“大数分解和素数检测”的理论基础上的。两个大素数相乘在计算上是容易实现的,但将该乘积分解为两个大素数因子的计算量却相当巨大。素数检测是判定一个给定的正整数是否为素数。由于大整数分解的困难性,RSA算法目前被公认为最好的公钥
21、加密算法。4.数字签字和验证对文件进行加密只解决了第一个问题,而防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取其它的手段。数字签字(Digital Signature)及验证(Verification),就是实现信息在公开网络上安全传输的重要方法。文件的数字签字过程实际上是通过一个哈希函数(Hashing Function)来实现的。哈希函数将需要传送的文件转化为一组具有固定长度(128位或160位)的单向Hash值,形成报文摘要(Message Digest)。发送方用自己的私有密钥对报文摘要进行加密,然后将其与原始的报文附加在一起,即合成为数字签字。数字签字机制提供一种鉴
22、别方法,通过它能够实现对原始报文的鉴别和验证,保证报文完整性、权威性和发送者对所发报文的不可抵赖性,以解决伪造、抵赖、冒充、篡改等问题。数字签字代表了文件的特征,文件如果发生改变,数字签字的值也将发生变化。不同的文件将得到不同的数字签字。一个最简单的哈希函数是把文件的二进制码相累加,取最后的若干位。哈希函数对发送数据的双方都是公开的。图8-4显示了数字签字和验证的传输过程。(1)发送方首先用哈希函数将需要传送的消息转换成报文摘要。(2)发送方采用自己的私有密钥对报文摘要进行加密,形成数字签字。(3)发送方把加密后的数字签字附加在要发送的报文后面,传递给接收方。图8-4 数字签字和验证过程示意图
23、 1、签名过程Hash运算文摘签名私钥加密2、通过网络传输3、接收、验证签名文件同签名一起发送Hash运算文摘文摘对比公钥解密(4)接收方使用发送方的公有密钥对数字签字进行解密,得到发送方形成的报文摘要。(5)接收方用哈希函数将接收到的报文转换成报文摘要,与发送方形成的报文摘要相比较,若相同,则说明文件在传输过程中没有被破坏。5.时间戳在电子商务交易文件中,时间是十分重要的信息。同书面文件类似,文件签署的日期也是防止电子文件被伪造和篡改的关键性内容。数字时间戳服务(Digital Time Stamp sever,DTS)是电子商务认证服务项目之一,它能提供电子文件的日期和时间信息的安全保护。
24、时间戳(Time Stamp)是一个经加密后形成的凭证文档,它包括需加时间戳的文件的摘要(digest)、DTS收到文件的日期和时间、DTS的数字签字三个部分。一般来说,时间戳产生的过程为:用户首先将需要加时间戳的文件用Hash函数转化为报文摘要,然后将该摘要加密后发送到提供时间戳服务的机构,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签字),然后送回用户。8.2.3 通过认证机构认证网上交易的买卖双方在进行每一笔交易时,都要鉴别对方是否是可信的。例如,甲方收到了带有乙方数字签字的一封信,用属于乙方的公钥解密,他要确定公钥属于乙方,而不是在网上冒充乙方的其他人。一种确定公钥
25、属于乙方的办法就是通过秘密途径接收由乙方亲自送来的公钥(Public Key),这种办法在实际的交易中显然是不现实的。如果交易的甲乙双方通过因特网获取各自的公共密钥(这种办法是可行的),则他们需要对这些密钥进行验证。甲方不能简单地向乙方询问其公共密钥,因为在网络上可能存在第三者截获甲方的请求,并发送它自己的公共密钥,借以阅读甲方传送给乙方的所有消息。因此,需要一个第三方来验证公钥确实是属于乙方的,这样的第三方被称为“认证机构”(Certificate Authority,CA)。通过认证机构来认证买卖双方的身份,是保证网络交易安全的重要措施。1.数字证书根据联合国电子签字示范法第一条,“证书”
26、系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录。最常用的CA证书是数字证书。数字证书作为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签字的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的、公正的权威机构CA颁发。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书来确认各方的身份,保证网上支付的安全性。数字证书按照不同的分类有多种形式,如个人数字证书和单位数字证书,SSL数字证书和SET数字证书等。数字证书
27、由两部分组成:申请证书主体的信息和发行证书的CA签字(参见图8-5)。证书数据包含版本信息、证书序列号、CA所使用的签字算法、发行证书CA的名称、证书的有效期限、证书主体名称、被证明的公钥信息。发行证书的CA签字包括CA签字和用来生成数字签字的签字算法。图8-5 数字证书的组成 证书格式版本 证书序列号码(证书识别号)签字法识别符(发证机构)证书发行机构名(X500名)使用期限(起止日期、时间)主体名(X500名)主体公司 信息算法识别公钥值 发证者身份识别符 主体者身份识别符 证实机构数字签字证书证实机构的签字密钥数字签字2.认证机构认证机构(Certificate Authority,CA
28、)在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的,主要是解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全。CA 是提供身份验证的第三方机构,由一个或多个用户信任的组织实体构成。例如,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公开密钥,但无法确定商家不是冒充的(是有信誉的),于是持卡人请求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商家Public Key(公钥)的证书传给持卡人。同样,商家也可对持卡人进行验证,如图8-6所示。图8-6 CA认证 CA持卡人商家CA的功能主要有:接收注册请求,处理、批准/拒绝请求,颁发证书。
29、在实际运作中,CA也可由大家都信任的一方担当,例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的卡,而商家又与此银行有业务关系(有账号)。在此情况下,客户和商家都信任该银行,可由该银行担当CA角色。又例如,对商家自己发行的购物卡,则可由商家自己担当CA角色。3.电子商务的CA认证体系电子商务CA体系包括两大部分,即符合SET标准的SET CA认证体系(又叫“金融CA”体系)和基于X.509的 PKI CA体系(又叫“非金融CA”体系)。1)SET CA1997年2月19日,由MasterCard和Visa发起成立SETCo公司,被授权作为SET根认证中心(Root CA)。从SET协
30、议中可以看出,由于采用公开密钥加密算法,认证中心(CA)就成为整个系统的安全核心。SET中CA的层次结构如图8-7所示。图8-7 SET中CA的层次结构 根认证中心(Root CA)品牌认证中心(Brand CA)持卡人商户支付网关区域性认证中心(Geo-political CA)持卡人认证中心(Cardholder CA)商户认证中心(Merchant CA)支付网关认证中心(Payment Gateway CA)2)PKI CAPKI(Public Key Infrastructure,公钥基础设施)是提供公钥加密和数字签字服务的安全基础平台,目的是管理密钥和证书。PKI 是创建、颁发、管
31、理、撤消公钥证书所涉及到的所有软件、硬件的集合体,它将公开密钥技术、数字证书、证书发放机构(CA)和安全策略等安全措施整合起来,成为了目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。PKI是电子商务安全保障的重要基础设施之一。它具有多种功能,能够提供全方位的电子商务安全服务。图8-8所示是PKI的主要功能和服务的汇总。图8-8 PKI的主要功能和服务 PKI的功能 制定证书策略和认证操作规范 签发证书 发布证书 作废CA和用户证书 发布CA和用户证书作废表(CRL)支持交叉认证 支持数字签名的不可否认 管理密钥历史文件加密E-mail加密消息完整性VPNs 单点登录与 统一
32、授权 管理 识别用户名 和服务器 消息的不可 否认性 密钥恢复时间戳一个典型的PKI应用系统包括五个部分:密钥管理子系统(密钥管理中心)、证书受理子系统(注册系统)、证书签发子系统(签发系统)、证书发布子系统(证书发布系统)、目录服务子系统(证书查询验证系统)。图8-9显示了PKI体系的构成。图8-9 PKI体系的构成 4.证书的树形验证结构 在两方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处,就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。每一个证书与数字化签发证书的实体的签字证书关联
33、。沿着信任树一直到一个公认的信任组织,就可确认该证书是否有效。例如,C的证书是由名称为B的CA签发的,而B的证书又是由名称为A的CA签发的,A是权威的机构,通常称为根认证中心(Root CA)。验证到了Root CA处,就可确认C的证书是否合法(参见图8-10)。图8-10 证书的树 根CACA证书ABC5.带有数字签字和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书,其基本流程如图8-11所示。图8-11 带有数字签字和数字证书的加密系统 发送者Alice(1)(2)原信息Alice的签名私钥加密(5)(3)加密对称密钥加密(4)Bob的公钥Bob的证书加密信息加
34、密信息因特网数字信封(6)接收者Bob解密对称密钥Bob的私钥数字信封解密解密加密信息数字签名Alice的签名公钥(7)比较信息摘要M2信息摘要M1(9)(10)Alice的证书信息摘要(8)数字信封数字签名Alice的证书(1)在发送方的网站上,将要传送的信息通过哈希函数变换为预先设定长度的报文摘要;(2)利用发送方的私钥给报文摘要加密,结果是数字签字;(3)将数字签字和发送方的认证证书附在原始信息上打包,使用DES算法生成的对称密钥在发送方的计算机上为信息包加密,得到加密信息包。(4)用预先收到的接收方的公钥为对称密钥加密,得到数字信封;(5)加密信息和数字信封合成一个新的信息包,通过因特
35、网将加密信息和数字信封传到接收方的计算机上;(6)用接收方的私钥解密数字信封,得到对称密钥;(7)用还原的对称密钥解密加密信息,得到原始信息、数字签字和发送方的认证证书;(8)用发送方公钥(置于发送方的认证证书中)解密数字签字,得到报文摘要;(9)将收到的原始信息通过哈希函数变换为报文摘要;(10)将第(8)步和第(9)步得到的信息摘要加以比较,以确认信息的完整性。8.3 防止黑客入侵防止黑客入侵 8.3.1 黑客的基本概念黑客(hacker),源于英语动词hack,意为“劈、砍”,引申为“辟出、开辟”,进一步的意思是“干了一件非常漂亮的工作”。在20世纪麻省理工学院校园俚语中,“黑客”则有“
36、恶作剧”之意。到了20世纪6070年代,它又专用来形容独立思考却奉公守法的计算机迷。今天的黑客可分为两类:一类是骇客,他们只想引人注目,证明自己的能力,在进入网络系统后,不会去破坏系统,或者仅仅做一些无伤大雅的恶作剧,他们追求的是从侵入行为本身获得巨大的成功的满足;另一类是窃客,他们的行为带有强烈的目的性,早期的这些黑客主要是窃取国家情报、科研情报,而现在这些黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过程。8.3.2 网络黑客常用的攻击手段网络黑客常用的攻击手段 1.口令攻击口令攻击口令攻击是网上攻击最常用的方法,也是大多数黑客开始网络攻击的第一步。黑客首先通过进入系统的常用服务,或
37、对网络通信进行监视,使用扫描工具获取目标主机的有用信息。这些信息包括目标主机操作系统的类型和版本、主机域名、邮件地址、开放的端口、启动的保护手段等。然后,反复试验和推测用户及其亲属的名字、生日、电话号码或其他易记的线索等,获取进入计算机网络系统的口令,以求侵入系统,从事袭击活动。也有的黑客利用一些驻留内存的程序暗中捕获用户的口令。这类程序类似于“特洛伊木马”(Trojan Horse)的病毒程序,它通常让用户填写调查表格,并答应给予奖励,而实际目的是暗中捕获用户的口令。当这些方法不能奏效时,黑客们便借助各种软件工具,利用破解程序分析这些信息,进行口令破解,进而实施攻击。2.服务攻击黑客所采用的
38、服务攻击手段主要有4种:(1)和目标主机建立大量的连接。因为目标主机要为每次网络连接提供网络资源,所以当连接速率足够高、连接数量足够多时就会使目标主机的网络资源耗尽,从而导致主机瘫痪、重新启动、死机或黑(蓝)屏。(2)向远程主机发送大量的数据包。因为目标主机要为每次到来的数据分配缓冲区,所以当数据量足够大时会使目标主机的网络资源耗尽,导致主机死机或黑(蓝)屏。(3)利用即时消息功能,以极快的速度用无数的消息“轰炸”某个特定用户,使目标主机缓冲区溢出,黑客伺机提升权限,获取信息或执行任意程序。(4)利用网络软件在实现协议时的漏洞,向目标主机发送特定格式的数据包,从而导致主机瘫痪。3.电子邮件轰炸
39、用数百条消息填塞某人的E-mail信箱也是一种在线袭扰的方法。当用户受到这种叫做“电子邮件炸弹(E-mail Bomb)”的攻击后,用户就会在很短的时间内收到大量的电子邮件,这样使得用户系统的正常业务不能开展,系统功能丧失,严重时会使系统关机,甚至使整个网络瘫痪。还有一种方法是邮件直接夹带或在附件中夹带破坏性执行程序。用户不小心点击了这类邮件或附件,就会自动启动有害程序,带来不可预测的严重后果。4.利用文件系统入侵FTP(文件传输协议)是因特网上最早应用的不同系统之间交换数据的协议之一。FTP的实现依靠TCP在主机之间进行的数据传输。只要安装了FTP客户和服务程序,就可以在不同的主机(硬件和操
40、作系统都可以不同)之间进行数据交换。若FTP服务器上的用户权限设置不当或保密程度不好,则极易造成泄密事件。NFS(网络文件系统)服务器能够对外输出(export)目录,提供资源共享。其主机就可以通过NFS协议对服务器输出的目录进行访问。由于NFS鉴别一个请求文件时是鉴别发出这个请求的机器而不是用户,因而在基于NFS的文件系统中运行请求命令而成为某个文件的拥有者并不是一件困难的事情。5.计算机病毒计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒是通过连接来扩散的,计算机病毒程序把自己附着在其他程序上,等这些
41、程序运行时,病毒进入到系统中,进而大面积扩散。一台计算机感染上病毒后,轻则系统运行效率下降,部分文件丢失,重则造成系统死机、计算机硬件烧毁。传统的计算机病毒依靠软盘传播,而网络条件下,计算机病毒大部分通过网络或电子邮件传播。黑客常常利用计算机病毒对目标主机进行攻击。6.IP欺骗IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它伪造他人的源地址,让一台计算机来扮演另一台计算机,借以达到蒙混过关的目的。IP欺骗主要包括简单的地址伪造和序列号预测两种。简单的地址伪造是指黑客将自己的数据包的源地址改为其他主机的地址,然后发向目标主机,使目标主机无法正确找到数据包的来源。序列号预测的攻击方法是黑客
42、首先在网上监测目标主机与其他主机的通信,分析目标主机发出的TCP数据包,对目标主机发出的TCP数据包的序列号进行预测。如果序列号是按照一定的规律产生的,那么,黑客就可以通过伪造TCP序列号、修改数据包的源地址等方法,使数据包伪装成来自被信任或正在通信的计算机而被目标主机接收。8.3.3 防范黑客攻击的主要技术手段1.入侵检测技术入侵检测系统主要完成以下几种功能:监视、分析用户及系统活动;对系统配置和弱点进行监测;识别与已知的攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行跟踪管理,识别用户违反安全策略的行为并自动记录有关入侵者的信息。清华紫光比威入
43、侵检测系统(UnisIDS200)、联想网御入侵检测系统(V3.2.5)、天阗网络入侵检测系统(NS2800)等都是广泛应用的网络安全监控系统。2.防火墙技术1)传统防火墙传统防火墙的类型主要有三种:包过滤、代理防火墙和电路层网关。(1)包过滤(Packet Filtering)。包过滤是第一代防火墙技术,其原理是按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于低层协议的,如IP、TCP。如果一个数据包满足以上所有规则,则过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。其优点是能协助保护整个网络,速度快、效率高;缺点是不能彻底防止地址欺骗、不适合某些应用协议(如FTP)
44、、配置规则专业性太强等。(2)代理防火墙(Proxy)。代理是一种较新型的防火墙技术,它工作于应用层,且针对特定的应用层协议,也被称为应用层网关。代理通过编程来计算用户应用层的流量,并能在用户层和应用协议层提供访问控制,而且还可用来保持一个所有应用程序使用的记录。代理服务器作为内部网络客户端的服务器,拦截所有要求,也向客户端转发响应。(3)电路层网关(Circuit Gateway)。电路层网关是建立应用层网关的一个更加灵活和更一般的方法,也是一种代理技术。在电路层网关中,数据包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换数据包。虽然电路层网关可能包含支持某些特定TCP/IP应
45、用程序的代码,但通常要受到限制。如果支持应用程序,则很可能是TCP/IP应用程序。2)新型防火墙新型防火墙的设计目标是既有包过滤的功能,又能在应用层进行代理,能从数据链路层到应用层,进行全方位的安全处理。由于TCP/IP协议和代理的直接相互配合,因而使系统的防欺骗能力和运行的安全性都大大提高。新型防火墙的设计综合了包过滤技术和代理技术,克服了二者在安全方面的缺陷,能够从TCP/IP协议的数据链路层一直到应用层施加全方位的控制。新型防火墙的系统构成如图8-12所示。图8-12 新型防火墙的系统构成 配置、报表配置、报表Application ProxyDES and RSARaw Access
46、NIC安全、日志、控制密钥产生与配置安全、日志、控制TCP/IP Process从图8-12可知,该防火墙既不是单纯的代理防火墙,又不是纯粹的包过滤。从数据链路层、IP层、TCP层到应用层,都能施加安全控制,且能直接对网卡操作,对出入的数据进行加密或解密。目前,市场上可选用的防火墙种类很多,Cisco(思科)、Juniper NetScreen公司都有多种防火墙产品。国内获得公安部许可证的防火墙产品已有几十种,如安氏、清华得实、龙马卫士、亿阳等百兆防火墙产品。这些防火墙具有简单易用的Web界面,没有用户限制,支持多用户身份认证,可以有效地防止黑客攻击。方正、华为、海信等公司的千兆防火墙产品,在
47、2004年开始大规模推广应用。联想网御基于多NP(Network Processor,网络处理器)技术的万兆级防火墙也于2005年4月研制成功。3.物理隔离技术物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有物理隔离卡和隔离网闸。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。单硬盘物理隔离卡的主要工作原理是通过把用户的一个硬盘分成两个区,一个为公共硬盘/区(外网),另一个为安全硬盘/区(内网),将一台普通计算机变成两台虚拟计算机,每次启动进入其中的一个硬盘/区。它们分别拥有独立的操作系统,并能通过各自的专用接口与网络连接。在外网时,操作系统对于数据交换区可以
48、任意读写,我们可以把外网的数据(如从Internet上下载的有用资料或应用程序)复制到数据交换区中。当切换到内网时,操作系统对于数据交换区是只读的,无法写入任何数据,但这时我们可以把从外网复制到数据交换区中的数据复制到内网中使用。由于在内网中数据交换区是只读的,因此数据只能够从外网导入到内网中,而内网中的保密数据绝对不可能通过这个通道传到外网中去。也就是说,即使黑客写了一段很高明的程序进入了内网,他也无法窃取到任何保密数据(参见图8-13)。图8-13 物理隔离卡工作示意图 C盘D盘E盘数据交换区F盘(光驱)工作在内网时C盘D盘F盘数据交换区G盘(光驱)工作在外网时E盘=只读内网区域外网区域可
49、读写8.4 电子商务系统的安全管理制度电子商务系统的安全管理制度8.4.1 电子商务系统的安全管理制度的涵义电子商务系统安全管理制度是用文字形式对各项安全要求所做的规定,它是保证企业电子商务取得成功的重要基础工作,是企业网络营销人员安全工作的规范和准则。企业在参与网络营销伊始,就应当形成一套完整的、适应于网络环境的安全管理制度。这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、用户管理制度、病毒定期清理制度等。8.4.2 人员管理制度电子商务是一种高智力的劳动。从事电子商务的人员,一方面必须具有传统市场营销的知识和经验;另一方面,又必须具有相应的计算机网络知识和操作技能。由于
50、营销人员在很大程度上支配着市场经济下的企业的命运,而计算机网络犯罪又具有智能性、隐蔽性、连续性、高黑数性1 的特点,因而,加强对从事电子商务人员的管理十分重要。(1)严格网络营销人员的选拔。将经过一定时间的考察、责任心强、讲原则、守纪律、了解市场、懂得营销、具有基本网络知识的人员委派到这种岗位上。1 犯罪黑数是指虽已发生但由于种种原因未予记载的犯罪数量,又称犯罪暗数或刑事隐案。(2)落实工作责任制。不仅要求网络营销人员完成规定的营销任务,而且要求他们严格遵守企业的网络营销安全制度。特别是在当前企业人员流动频率较高的情况下,更要明确网络营销人员的责任,对违反网络交易安全规定的行为应坚决进行打击,
