第六章電子商務(wù)安全2011-8電子商務(wù)研究中心2內(nèi)容概要電子商務(wù)安全概述1客戶端安全2服務(wù)器安全3電子商務(wù)安全技術(shù)4電子商務(wù)交易安全6電子商務(wù)安全協(xié)議52011-8電子商務(wù)研究中心36.1電子商務(wù)安全概述6.1.1電子商務(wù)的安全現(xiàn)狀6.1.2電子商務(wù)安全的要素6.1.3電子商務(wù)安全體系2011-8電子商務(wù)研究中心46.1.1電子商務(wù)的安全問題現(xiàn)狀在電子商務(wù)的發(fā)展過程中，企業(yè)與社會(huì)對(duì)網(wǎng)絡(luò)已經(jīng)出現(xiàn)了一定程度的依賴性。隨著信息化進(jìn)程的加快，病毒泛濫、黑客破壞、交易欺詐等電子商務(wù)安全問題也日益嚴(yán)重起來(lái)。1997年以前，我國(guó)已發(fā)現(xiàn)的計(jì)算機(jī)犯罪案件主要集中在金融領(lǐng)域，1997年以后，網(wǎng)絡(luò)犯罪活動(dòng)逐步轉(zhuǎn)向電子商務(wù)領(lǐng)域，國(guó)內(nèi)各大網(wǎng)絡(luò)幾乎都不同程度地遭到過黑客的攻擊。我國(guó)曾發(fā)生過影響較大的“熊貓燒香”病毒事件，制作木馬病毒、販賣病毒、散布木馬病毒、利用病毒木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙等系列網(wǎng)絡(luò)犯罪活動(dòng)已經(jīng)形成一條產(chǎn)業(yè)鏈，制作、散布病毒的趨利性進(jìn)一步增強(qiáng)。2011-8電子商務(wù)研究中心56.1.1電子商務(wù)的安全問題現(xiàn)狀

2011年1月CNNIC發(fā)布的第27次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示：雖然我國(guó)網(wǎng)絡(luò)和信息安全狀況有所改善，安全保障能力穩(wěn)步提升。但2010年，遇到過病毒或木馬攻擊的網(wǎng)民人數(shù)為2.09億人（比例為45.8%），有過賬號(hào)或密碼被盜經(jīng)歷的網(wǎng)民人數(shù)為9969萬(wàn)（占21.8%），2010年共受理釣魚網(wǎng)站舉報(bào)23455個(gè)。2011-8電子商務(wù)研究中心66.1.2電子商務(wù)安全的要素

電子商務(wù)系統(tǒng)的可靠性是指為防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒與自然災(zāi)害等所產(chǎn)生的潛在威脅，通過控制與預(yù)防等來(lái)確保系統(tǒng)安全可靠。電子商務(wù)系統(tǒng)的可靠性是保證數(shù)據(jù)傳輸與存儲(chǔ)、進(jìn)行電子商務(wù)完整性檢查的基礎(chǔ)。系統(tǒng)的可靠性可以通過各種網(wǎng)絡(luò)安全技術(shù)來(lái)實(shí)現(xiàn)。不可抵賴性完整性可靠性機(jī)密性真實(shí)性2011-8電子商務(wù)研究中心76.1.2電子商務(wù)安全的要素交易的真實(shí)性是指商務(wù)活動(dòng)中交易者身份的真實(shí)性，也就是要確定交易雙方是真實(shí)存在的。身份認(rèn)證通常采用電子簽名、數(shù)字證書等技術(shù)來(lái)實(shí)現(xiàn)。不可抵賴性完整性真實(shí)性機(jī)密性可靠性2011-8電子商務(wù)研究中心86.1.2電子商務(wù)安全的要素信息的機(jī)密性是指交易過程中必須保證信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。電子商務(wù)的交易信息直接代表著個(gè)人、企業(yè)的商業(yè)機(jī)密。個(gè)人的信用卡號(hào)和密碼在網(wǎng)上傳送時(shí)如被他人截獲，就可能被盜用；企業(yè)的訂貨和付款信息如被競(jìng)爭(zhēng)對(duì)手獲悉，該企業(yè)就可能貽誤商機(jī)。信息機(jī)密性的保護(hù)一般通過數(shù)據(jù)加密技術(shù)來(lái)實(shí)現(xiàn)。不可抵賴性完整性機(jī)密性真實(shí)性可靠性2011-8電子商務(wù)研究中心96.1.2電子商務(wù)安全的要素信息的完整性是指數(shù)據(jù)在傳輸或存儲(chǔ)過程中不會(huì)受到非法修改、刪除或重放，以確保信息的順序完整性和內(nèi)容完整性。數(shù)據(jù)完整性的保護(hù)通過安全散列函數(shù)（如數(shù)字摘要）與電子簽名技術(shù)來(lái)實(shí)現(xiàn)。不可抵賴性完整性機(jī)密性真實(shí)性可靠性2011-8電子商務(wù)研究中心106.1.2電子商務(wù)安全的要素

交易的不可抵賴性是指保證發(fā)送方不能否認(rèn)自己發(fā)送了信息，同時(shí)接收方也不能否認(rèn)自己接收到信息。交易的不可抵賴性通過電子簽名技術(shù)來(lái)實(shí)現(xiàn)。完整性不可抵賴性機(jī)密性真實(shí)性可靠性2011-8電子商務(wù)研究中心116.1.3電子商務(wù)安全體系完整電子商務(wù)安全體系一般包括4個(gè)組成部分：客戶端、服務(wù)器端、銀行端與認(rèn)證機(jī)構(gòu)。由于篇幅所限，本章重點(diǎn)介紹客戶端安全、服務(wù)器端安全，并根據(jù)電子商務(wù)應(yīng)用的實(shí)際需要介紹了電子商務(wù)安全技術(shù)、電子商務(wù)安全協(xié)議和電子商務(wù)交易安全。2011-8電子商務(wù)研究中心126.2客戶端安全本節(jié)將從以下幾方面方面來(lái)簡(jiǎn)述實(shí)現(xiàn)客戶機(jī)安全的常見軟件及操作：6.2.1計(jì)算機(jī)病毒及其防范6.2.2軟件防火墻的安裝與配置6.2.3系統(tǒng)任務(wù)的管理6.2.4瀏覽器的安全設(shè)置6.2.5系統(tǒng)備份與恢復(fù)2011-8電子商務(wù)研究中心136.2.1計(jì)算機(jī)病毒及其防范

1）計(jì)算機(jī)病毒的產(chǎn)生于發(fā)展 2）計(jì)算機(jī)病毒的類型與機(jī)理 計(jì)算機(jī)病毒可以按照傳染方式、連接方式、破壞程度、機(jī)理等來(lái)進(jìn)行分類： 按傳染方式分，可分為引導(dǎo)區(qū)型病毒、文件型病毒、混合型病毒和宏病毒。 按連接方式分，可分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒和外殼型病毒。 按破壞性來(lái)分病毒可分為良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒。 病毒按其機(jī)理來(lái)分類有伴隨型病毒、寄生型病毒、蠕蟲病毒和木馬病毒。較為常見的四大類惡意病毒：宏病毒、CIH病毒、蠕蟲病毒和木馬病毒。2011-8電子商務(wù)研究中心146.2.1計(jì)算機(jī)病毒及其防范 3）計(jì)算機(jī)病毒的防范 ①正確安裝和使用殺毒軟件。 ②安裝防火墻。 ③修改系統(tǒng)配置。防范病毒還可以通過修改系統(tǒng)配置、增強(qiáng)系統(tǒng)自身安全性來(lái)提高系統(tǒng)的抵抗能力。卸載、刪除系統(tǒng)不必要的系統(tǒng)功能和服務(wù)，修改系統(tǒng)安全配置，提高系統(tǒng)安全性。如：關(guān)閉自動(dòng)播放功能，防止各類Autorun病毒。取消不必要的默認(rèn)共享等。 ④修補(bǔ)系統(tǒng)漏洞。對(duì)于Windows系統(tǒng)，必須及時(shí)通過WindowsUpdate下載系統(tǒng)補(bǔ)丁來(lái)修補(bǔ)系統(tǒng)漏洞。2011-8電子商務(wù)研究中心156.2.2軟件防火墻的安裝與配置 本節(jié)通過windows防火墻和天網(wǎng)防火墻來(lái)介紹如何使用軟件防火墻保護(hù)客戶機(jī)的安全。 1）Windows防火墻 Windows防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻，它會(huì)斷開非請(qǐng)求的傳入通信，Windows防火墻針對(duì)依靠非請(qǐng)求傳入通信攻擊網(wǎng)絡(luò)計(jì)算機(jī)的惡意用戶和程序提供了一定程度的保護(hù)。 點(diǎn)擊“開始”-“程序”-“附件”-“系統(tǒng)工具”-“安全中心”命令，即可打開Windows安全中心，點(diǎn)擊右下的“Windows防火墻”，彈出如圖6-1左所示的對(duì)話框，該對(duì)話框包括常規(guī)、例外、高級(jí)三個(gè)選項(xiàng)卡。2011-8電子商務(wù)研究中心166.2.2軟件防火墻的安裝與配置圖6-1Windows防火墻圖6-2Windows防火墻“例外”選項(xiàng)卡2011-8電子商務(wù)研究中心176.2.2軟件防火墻的安裝與配置 2）天網(wǎng)防火墻 如圖6-3是天網(wǎng)防火墻軟件啟動(dòng)后的界面，一般情況下使用默認(rèn)設(shè)置就可以保證基本的安全需求，但有時(shí)需要對(duì)防火墻進(jìn)行一些設(shè)置，以讓某些特定病毒無(wú)法入侵。比如沖擊波病毒是利用WINDOWS系統(tǒng)的RPC服務(wù)漏洞以及開放的69、135、139、445、4444端口入侵系統(tǒng)的，所以要防范該病毒，就是封住以上端口，需要先把“允許互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源”這項(xiàng)劃掉（如圖6-4），這樣就已經(jīng)禁止了135和139兩個(gè)端口。然后依圖6-5所示操作依次禁止4444、69、445端口。2011-8電子商務(wù)研究中心186.2.2軟件防火墻的安裝與配置圖6-3天網(wǎng)防火墻啟動(dòng)后的界面2011-8電子商務(wù)研究中心196.2.2軟件防火墻的安裝與配置圖6-4天網(wǎng)防火墻規(guī)則設(shè)定2011-8電子商務(wù)研究中心206.2.2軟件防火墻的安裝與配置圖6-5天網(wǎng)防火墻的禁止端口2011-8電子商務(wù)研究中心216.2.3系統(tǒng)任務(wù)的管理殺毒軟件不停地彈出病毒提醒，但卻又無(wú)法有效清除病毒，這時(shí)候有經(jīng)驗(yàn)的用戶通常果斷地按下“Ctrl+Alt+Del”組合鍵，打開Windows的任務(wù)管理器，尋找到可疑的病毒進(jìn)程并關(guān)閉它。圖6-6任務(wù)管理器2011-8電子商務(wù)研究中心226.2.3系統(tǒng)任務(wù)的管理圖6-6任務(wù)管理器2011-8電子商務(wù)研究中心236.2.4瀏覽器安全設(shè)置1）設(shè)置“Internet選項(xiàng)”的安全選項(xiàng)以IE瀏覽器為例，點(diǎn)擊“工具”-“Internet選項(xiàng)”，在彈出的對(duì)話框中點(diǎn)“安全”選項(xiàng)卡（如圖6-7左所示），點(diǎn)擊右下的“自定義級(jí)別”可以打開如圖6-7右所示的安全設(shè)置對(duì)話框，可以設(shè)置ActiveX控件、腳本程序的安全配置，進(jìn)而保證WEB安全。2011-8電子商務(wù)研究中心246.2.4瀏覽器安全設(shè)置圖6-7瀏覽器安全設(shè)置2011-8電子商務(wù)研究中心256.2.4瀏覽器安全設(shè)置2）通過修改注冊(cè)表還原IE設(shè)置 在Windows啟動(dòng)后，點(diǎn)擊“開始”-“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入“regedit”，然后按“確定”鍵；在注冊(cè)表編輯器的窗口中展開注冊(cè)表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“StartPage”雙擊，將StartPage的鍵值改為“about:blank”；再展開注冊(cè)表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部分窗口中找到串值“StartPage”，同樣修改其鍵值，然后退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)。2011-8電子商務(wù)研究中心266.2.4瀏覽器安全設(shè)置

有時(shí)病毒還會(huì)修改注冊(cè)表，讓IE的默認(rèn)首頁(yè)按扭變?yōu)榛疑豢蛇x狀態(tài)。這是由于注冊(cè)表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD值“homepage”的鍵值被修改的緣故。只需將“1”改回為“0”即可。而對(duì)于開機(jī)彈出網(wǎng)頁(yè)的解決可采用如下方法：選擇“開始”-“運(yùn)行”，輸入“msconfig”，在彈出的對(duì)話框中選“啟動(dòng)”選項(xiàng)卡，把里面有網(wǎng)址類的（比）,后綴為url、html、htm的都勾掉。如果有類似regedit/s***的也去掉，它的作用是每次都改注冊(cè)表。2011-8電子商務(wù)研究中心276.2.4瀏覽器安全設(shè)置3）Cookie安全 Cookies是一種能夠讓網(wǎng)站服務(wù)器把少量數(shù)據(jù)儲(chǔ)存到客戶端的硬盤或內(nèi)存，或是從客戶端的硬盤讀取數(shù)據(jù)的一種技術(shù)。當(dāng)你瀏覽某網(wǎng)站時(shí)，Cookies是由Web服務(wù)器置于你硬盤上的一個(gè)非常小的文本文件，它可以記錄你的用戶ID、密碼、瀏覽過的網(wǎng)頁(yè)、停留的時(shí)間等信息。當(dāng)你再次來(lái)到該網(wǎng)站時(shí)，網(wǎng)站通過讀取Cookies，得知你的相關(guān)信息，就可以做出相應(yīng)的動(dòng)作，如在頁(yè)面顯示歡迎你的標(biāo)語(yǔ)，或者讓你不用輸入ID、密碼就直接登錄等等。雖然Cookies不能作為代碼執(zhí)行，也不會(huì)傳送病毒，且為你所專有，并只能由提供它的服務(wù)器來(lái)讀取，但黑客通過簡(jiǎn)單的方法即可竊取這些文件，這給安全和隱私帶來(lái)很大威脅。 面對(duì)可能帶來(lái)的安全威脅的Cookie，只要在IE的“Internet選項(xiàng)”-“常規(guī)”選項(xiàng)卡下，點(diǎn)擊“刪除Cookie”按鈕即可刪除計(jì)算機(jī)中所有的Cookie。2011-8電子商務(wù)研究中心286.2.5系統(tǒng)備份與恢復(fù)

本節(jié)從系統(tǒng)還原、數(shù)據(jù)恢復(fù)、系統(tǒng)備份三個(gè)方面選擇了一些代表軟件進(jìn)行講解。系統(tǒng)還原是系統(tǒng)關(guān)鍵信息恢復(fù)工具，如果你誤裝了驅(qū)動(dòng)程序、誤刪了系統(tǒng)文件或電腦出現(xiàn)各種奇怪故障，利用系統(tǒng)還原就可以令“時(shí)光倒流”，將操作系統(tǒng)“恢復(fù)”到以前健康的狀態(tài)。系統(tǒng)還原系統(tǒng)備份數(shù)據(jù)恢復(fù)2011-8電子商務(wù)研究中心296.2.5系統(tǒng)備份與恢復(fù)系統(tǒng)還原系統(tǒng)備份數(shù)據(jù)恢復(fù)圖6-8系統(tǒng)還原2011-8電子商務(wù)研究中心306.2.5系統(tǒng)備份與恢復(fù)系統(tǒng)還原系統(tǒng)備份數(shù)據(jù)恢復(fù)圖6-9選擇還原點(diǎn)2011-8電子商務(wù)研究中心316.2.5系統(tǒng)備份與恢復(fù) 經(jīng)常會(huì)碰到由于硬盤誤格式化（Format）、誤分區(qū)（如用Fdisk）而失去全部硬盤數(shù)據(jù)，或者由于病毒而使得某個(gè)分區(qū)完全消失使保存的大量數(shù)據(jù)化為灰燼，如果這些數(shù)據(jù)非常重要而又沒有做相應(yīng)備份的時(shí)候，如何來(lái)處理呢？有一些軟件可以實(shí)現(xiàn)修復(fù)硬盤數(shù)據(jù)的功能，常見的有EasyRecovery和FinalData，EasyRecovery可從其開發(fā)公司Ontrack的主頁(yè)下載最新的版本。數(shù)據(jù)恢復(fù)系統(tǒng)備份系統(tǒng)還原2011-8電子商務(wù)研究中心326.2.5系統(tǒng)備份與恢復(fù)數(shù)據(jù)恢復(fù)系統(tǒng)備份系統(tǒng)還原圖6-10數(shù)據(jù)恢復(fù)2011-8電子商務(wù)研究中心336.2.5系統(tǒng)備份與恢復(fù) 使用Ghost進(jìn)行系統(tǒng)備份，有整個(gè)硬盤（Disk）和分區(qū)（Partition）兩種方式。在菜單中點(diǎn)擊Local（本地）項(xiàng)，在右面彈出的菜單中有3個(gè)子項(xiàng)，其中Disk表示備份整個(gè)硬盤（即克隆）、Partition表示備份硬盤的單個(gè)分區(qū)、Check表示檢查硬盤或備份的文件，查看是否可能因分區(qū)、硬盤被破壞等造成備份或還原失敗。系統(tǒng)備份數(shù)據(jù)恢復(fù)系統(tǒng)還原2011-8電子商務(wù)研究中心346.2.5系統(tǒng)備份與恢復(fù) 分區(qū)備份作為個(gè)人用戶來(lái)保存系統(tǒng)數(shù)據(jù)，特別是在恢復(fù)和復(fù)制系統(tǒng)分區(qū)時(shí)具有實(shí)用價(jià)值。要備份一個(gè)分區(qū)，選Local-Partition-ToImage菜單，一旦備份分區(qū)的數(shù)據(jù)受到損壞，用一般數(shù)據(jù)修復(fù)方法不能修復(fù)，或者系統(tǒng)被破壞后不能啟動(dòng)，就可以用備份的數(shù)據(jù)進(jìn)行完全的復(fù)原而無(wú)須重新安裝程序或系統(tǒng)。要恢復(fù)備份的分區(qū)，在界面中選擇菜單Local-Partition-FromImage，在彈出窗口中選擇還原的備份文件，再選擇還原的硬盤和分區(qū)，點(diǎn)擊Yes按鈕即可。系統(tǒng)備份數(shù)據(jù)恢復(fù)系統(tǒng)還原2011-8電子商務(wù)研究中心356.3服務(wù)器安全6.3.1操作系統(tǒng)安全6.3.2服務(wù)的訪問控制與管理6.3.3防火墻與入侵檢測(cè)6.3.4數(shù)據(jù)庫(kù)安全6.3.5服務(wù)器的物理安全2011-8電子商務(wù)研究中心366.3.1操作系統(tǒng)安全 1）操作系統(tǒng)安全原理 操作系統(tǒng)安全主要集中于系統(tǒng)的及時(shí)更新、對(duì)于攻擊的防范和訪問控制權(quán)限的設(shè)置三個(gè)方面。前兩者分別通過更新操作系統(tǒng)與安裝防火墻等方法來(lái)實(shí)現(xiàn)，所以本小節(jié)更多從訪問權(quán)限控制角度來(lái)展開。2011-8電子商務(wù)研究中心376.3.1操作系統(tǒng)安全2）用戶安全配置圖6-11用戶安全配置2011-8電子商務(wù)研究中心386.3.1操作系統(tǒng)安全圖6-12用戶安全配置2011-8電子商務(wù)研究中心396.3.1操作系統(tǒng)安全

為了計(jì)算機(jī)的安全，進(jìn)行用戶安全配置時(shí)一般進(jìn)行如下操作： ①禁止Guest用戶。 ②給Administrator賬號(hào)改名，Windows2000的Administrator用戶一般為超級(jí)管理員的賬號(hào)，該賬號(hào)是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。把Administrator賬號(hào)改名可以有效地解決這一問題。 ③創(chuàng)建陷阱用戶，所謂陷阱用戶，就是把Administrator的權(quán)限設(shè)置成最低，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。2011-8電子商務(wù)研究中心406.3.1操作系統(tǒng)安全

④把共享文件的權(quán)限從Everyone組改成授權(quán)用戶。Everyone在Windows2000中意味著任何有權(quán)進(jìn)入網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。 ⑤不讓系統(tǒng)顯示上次登錄的用戶名。⑥開啟賬戶策略可以有效地防止字典式攻擊，比如可以設(shè)置為當(dāng)某一用戶連續(xù)5次登錄都失敗后將自動(dòng)鎖定該賬戶，30分鐘之后自動(dòng)復(fù)位被鎖定的賬戶。2011-8電子商務(wù)研究中心416.3.1操作系統(tǒng)安全

3）系統(tǒng)安全配置 除了安裝殺毒軟件、防火墻、更新操作系統(tǒng)等客戶端常用的系統(tǒng)安全措施之外，服務(wù)器端安全一般還會(huì)進(jìn)行如下操作： ①因?yàn)镹TFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多，所以最好把服務(wù)器的所有分區(qū)都改成NTFS格式。 ②關(guān)閉默認(rèn)共享。 ③鎖住注冊(cè)表。 ④禁止用戶從軟盤和光驅(qū)啟動(dòng)系統(tǒng)。 ⑤開啟審核策略。2011-8電子商務(wù)研究中心426.3.2服務(wù)的訪問控制與管理

服務(wù)的訪問控制與管理2）禁止建立空鏈接1）關(guān)閉不必要的端口3）關(guān)閉不必要的服務(wù)2011-8電子商務(wù)研究中心436.3.2訪問控制服務(wù)名說(shuō)明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表及提供這個(gè)列表TaskScheduler允許程序在指定時(shí)間運(yùn)行RoutingandRemoteAccess在局域網(wǎng)及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)RemovableStorage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)RemoteRegistryService允許遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略及啟動(dòng)ISAKMP/Oakey(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClint當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件的自動(dòng)發(fā)布到訂閱COM組件表6-1Windows2000可禁用的服務(wù)2011-8電子商務(wù)研究中心446.3.3防火墻與入侵檢測(cè)

網(wǎng)絡(luò)防火墻是指在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問控制的一整套裝置，即防火墻是構(gòu)造在內(nèi)部網(wǎng)和外部網(wǎng)之間的保護(hù)裝置，強(qiáng)制所有的訪問和連接都必須經(jīng)過這個(gè)保護(hù)層，并在此進(jìn)行連接和安全檢查。只有合法的數(shù)據(jù)包才能通過此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵。 1）防火墻的安全策略。 通常，防火墻采用的安全策略有如下兩個(gè)基本準(zhǔn)則。 ①一切未被允許的訪問就是禁止的。②一切未被禁止的訪問就是允許的。2011-8電子商務(wù)研究中心456.3.3防火墻與入侵檢測(cè) 2）防火墻的類型 從所采用的技術(shù)上看，防火墻有6種基本類型：①包過濾型；②代理服務(wù)器型；③電路層網(wǎng)關(guān)；④混合型；⑤應(yīng)用層網(wǎng)關(guān)；⑥自適應(yīng)代理技術(shù)。 3）防火墻的功能 ①保護(hù)易受攻擊的服務(wù)。 ②控制對(duì)特殊站點(diǎn)的訪問。 ③集中化的安全管理。 ④檢測(cè)外來(lái)黑客攻擊的行動(dòng)。⑤對(duì)網(wǎng)絡(luò)訪問進(jìn)行日志記錄和統(tǒng)計(jì)。2011-8電子商務(wù)研究中心466.3.3防火墻與入侵檢測(cè)4）入侵檢測(cè)系統(tǒng)（IDS） 入侵檢測(cè)是系統(tǒng)安全的重要組成部分，它擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。入侵檢測(cè)技術(shù)的一個(gè)獨(dú)有的特征是有一個(gè)基于規(guī)則的參考引擎，系統(tǒng)通過這個(gè)引擎來(lái)匹配所有已知的攻擊方法，入侵檢測(cè)系統(tǒng)支持的攻擊模式集是根據(jù)國(guó)內(nèi)外許多安全專家的寶貴經(jīng)驗(yàn)得到的。入侵檢測(cè)技術(shù)的另一個(gè)特點(diǎn)是它并不需要頻繁更新規(guī)則庫(kù)，黑客攻擊程序千變?nèi)f化，但并不是沒有規(guī)律可循。2011-8電子商務(wù)研究中心476.3.4數(shù)據(jù)庫(kù)安全

1）不良的口令政策 在安裝SQLServer后，SQLServer會(huì)將產(chǎn)生一個(gè)默認(rèn)的SA用戶，而且初始密碼在管理員沒有設(shè)置的情況下為空。如密碼為空，黑客就可以通過SQLServer的客戶端進(jìn)行數(shù)據(jù)庫(kù)遠(yuǎn)程連接，然后再通過SQL的遠(yuǎn)程數(shù)據(jù)庫(kù)管理命令來(lái)進(jìn)行命令操作，在SQLServer的服務(wù)器上新建一個(gè)管理員級(jí)別的用戶。2）SQL注入攻擊 SQL注入攻擊就其本質(zhì)而言，利用的工具是SQL的語(yǔ)法，針對(duì)的是應(yīng)用程序開發(fā)者編程過程中的漏洞。當(dāng)攻擊者能夠操作數(shù)據(jù)庫(kù)，往應(yīng)用程序中插入一些SQL語(yǔ)句時(shí)，SQL注入攻擊就發(fā)生了。2011-8電子商務(wù)研究中心486.3.4數(shù)據(jù)庫(kù)安全3）交叉站點(diǎn)腳本 驗(yàn)證和清潔從用戶那里收到的數(shù)據(jù)的理由是防止交叉站點(diǎn)腳本攻擊。黑客通過一個(gè)網(wǎng)絡(luò)蠕蟲把JavaScript等客戶方面的腳本注入到一個(gè)網(wǎng)絡(luò)應(yīng)用程序的輸出中。這些腳本用于收集cookie數(shù)據(jù)，這些數(shù)據(jù)經(jīng)常被用來(lái)存儲(chǔ)用戶賬戶登錄信息等資料。 還有一個(gè)重要的措施是定期進(jìn)行數(shù)據(jù)庫(kù)備份，以備在數(shù)據(jù)庫(kù)遭到破壞后能迅速還原數(shù)據(jù)庫(kù)。2011-8電子商務(wù)研究中心496.3.5服務(wù)器的物理安全

服務(wù)器運(yùn)行的物理安全環(huán)境是很重要的，很多人忽略了這點(diǎn)。物理環(huán)境主要是指服務(wù)器托管機(jī)房的設(shè)施狀況，包括通風(fēng)系統(tǒng)、電源系統(tǒng)、防雷防火系統(tǒng)以及機(jī)房的溫度、濕度條件等，這些因素會(huì)影響到服務(wù)器的壽命和所有數(shù)據(jù)的安全。物理安全是指計(jì)算機(jī)所在的物理環(huán)境是否可靠，會(huì)不會(huì)受到自然災(zāi)害（如火災(zāi)、水災(zāi)、雷電、地震等引起設(shè)施能源供應(yīng)中斷、設(shè)施設(shè)備損壞引起業(yè)務(wù)中斷）和人為的破壞（失竊、破壞）等。物理安全并不完全是系統(tǒng)或者網(wǎng)絡(luò)管理員的責(zé)任，還需要公司的其他部門如行政、保安等一起協(xié)作。2011-8電子商務(wù)研究中心506.3.5服務(wù)器的物理安全

要保證服務(wù)器的物理安全，首先要特別保證所有的重要設(shè)備與服務(wù)器要集中在機(jī)房里，并制訂機(jī)房相關(guān)制度，無(wú)關(guān)人員不得進(jìn)入機(jī)房等。 人們研制開發(fā)了“物理隔離卡”。這些網(wǎng)絡(luò)安全物理隔離卡可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)的兩個(gè)網(wǎng)絡(luò)（內(nèi)網(wǎng)和外網(wǎng)）進(jìn)行物理上的完全隔離，其功能包括“網(wǎng)絡(luò)隔離”和“數(shù)據(jù)隔離”兩方面，“網(wǎng)絡(luò)隔離”是指對(duì)內(nèi)、外兩個(gè)網(wǎng)絡(luò)進(jìn)行隔離，使兩個(gè)網(wǎng)絡(luò)之間不能存在物理連接。 最后還得考慮服務(wù)器對(duì)環(huán)境的要求，比如機(jī)房需要安裝空調(diào)，以防止高溫對(duì)服務(wù)器的影響，需要安裝不間斷電源UPS，防止斷電等。2011-8電子商務(wù)研究中心516.4電子商務(wù)安全技術(shù)6.4.1加密技術(shù)6.4.2電子簽名技術(shù)6.4.3CA認(rèn)證與數(shù)字證書6.4.4公開密鑰基礎(chǔ)設(shè)施2011-8電子商務(wù)研究中心526.4.1加密技術(shù)信息加密就是采用數(shù)學(xué)方法與一串?dāng)?shù)字（密鑰）對(duì)原始信息（明文）進(jìn)行編碼，產(chǎn)生密文的一系列步驟。密鑰是用來(lái)對(duì)文本進(jìn)行編碼和解碼的數(shù)字。將這些明文轉(zhuǎn)成密文的程序稱作加密程序，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對(duì)于非法接收者成為無(wú)法理解的符號(hào)（密文）。合法的接收方運(yùn)用其掌握的密鑰，對(duì)密文進(jìn)行解密得到原始信息，所用的程序稱為解密程序，這是加密的逆過程。通過數(shù)據(jù)加密技術(shù)可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩裕ＷC傳輸數(shù)據(jù)的完整性。2011-8電子商務(wù)研究中心531）加密系統(tǒng)

一個(gè)數(shù)據(jù)加密系統(tǒng)包括加密算法、明文、密文以及密鑰。加密算法和密鑰對(duì)保護(hù)安全至關(guān)重要。加密的另一個(gè)特點(diǎn)是，即使有人知道加密的方法，不知道密鑰也無(wú)法解開加密信息。加密信息的保密性取決于加密所用密鑰的長(zhǎng)度，40位的密鑰是最低要求，更長(zhǎng)的（如128位）密鑰能提供更高程度的加密保障。一個(gè)簡(jiǎn)單的加密方法是把英文字母按字母表的順序編號(hào)作為明文，將密鑰定為17，加密算法為將明文加上密鑰17，就得到一個(gè)密碼表。2011-8電子商務(wù)研究中心546.4.1加密技術(shù)字母ABC…Z空格,./：？明文010203…26272829303132密文181920…43444546474849信息Thisisasecret.明文2008091927091927012719050318052029密文3725263644263644184436222035223746表6-2一個(gè)簡(jiǎn)單的密碼表2011-8電子商務(wù)研究中心552）數(shù)據(jù)加密算法

數(shù)據(jù)加密算法有很多種，密碼算法標(biāo)準(zhǔn)化是信息化社會(huì)發(fā)展的必然趨勢(shì)，是世界各國(guó)保密通信領(lǐng)域的一個(gè)重要課題。按照發(fā)展進(jìn)程來(lái)分，經(jīng)歷了古典密碼、對(duì)稱密鑰密碼和公開密鑰密碼階段。古典密碼算法有替代加密、置換加密；對(duì)稱加密算法包括DES和AES；非對(duì)稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamalD_H等。目前在數(shù)據(jù)通信中使用最普遍的算法有DES算法和RSA算法等。2011-8電子商務(wù)研究中心563）對(duì)稱加密對(duì)稱加密又稱為單鑰加密或私鑰加密，即收發(fā)信雙方同用一個(gè)密鑰去加密和解密數(shù)據(jù)，常見的對(duì)稱加密算法為DES（dataencryptstandard）和IDEA等算法,目前廣泛使用的是3DES。圖6-13對(duì)稱加密流程示意圖2011-8電子商務(wù)研究中心573）對(duì)稱加密

對(duì)稱加密方法對(duì)信息編碼和解碼的速度很快，效率也很高，但需要細(xì)心保存密鑰。 如果發(fā)送者和接收者處在不同地點(diǎn)，就必須當(dāng)面或在公共傳送系統(tǒng)（電話系統(tǒng)、郵政服務(wù)）中無(wú)人偷聽偷看的情況下交換密鑰。所以對(duì)稱加密的一個(gè)問題就出在密鑰的分發(fā)上，包括密鑰的生成、傳輸和存放。在公共網(wǎng)絡(luò)上進(jìn)行密鑰發(fā)布非常麻煩，如果企業(yè)有幾千個(gè)在線顧客，那么密鑰的發(fā)布就很難滿足要求。 對(duì)稱加密的另一個(gè)問題是其規(guī)模無(wú)法適應(yīng)互聯(lián)網(wǎng)這類大環(huán)境的要求。每?jī)蓚€(gè)人通信就要求一個(gè)密鑰，n個(gè)人彼此之間進(jìn)行保密通訊就需要n（n-1）/2個(gè)密鑰。想用互聯(lián)網(wǎng)交換保密信息的每對(duì)用戶都需要一個(gè)密鑰，這時(shí)密鑰組合就會(huì)是一個(gè)天文數(shù)字。2011-8電子商務(wù)研究中心584）非對(duì)稱加密

非對(duì)稱加密又稱為公開密鑰加密或雙鑰加密，1977年麻省理工學(xué)院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)，它是最常用的一種不對(duì)稱加密算法。RSA公開密鑰密碼系統(tǒng)使用一對(duì)不同的密鑰，給別人用的就叫公鑰，給自己用的就叫私鑰。這兩個(gè)可以互相并且只有為對(duì)方加密或解密，用公鑰加密后的密文，只有私鑰能解。2011-8電子商務(wù)研究中心594）非對(duì)稱加密

RSA的算法如下： 選取兩個(gè)足夠大的質(zhì)數(shù)P和Q； 計(jì)算P和Q相乘所產(chǎn)生的乘積n＝P×Q； 找出一個(gè)小于n的數(shù)e，使其符合與（P－1）×（Q－1）互為質(zhì)數(shù)； 另找一個(gè)數(shù)d，使其滿足（e×d）MOD［（P－1）×（Q－l）］＝1其中MOD（模）為相除取余；（n，e）即為公鑰；（n，d）為私鑰。加密和解密的運(yùn)算方式為：明文M＝Cd（MODn）；密文C＝Me（MODn）。這兩個(gè)質(zhì)數(shù)無(wú)論哪一個(gè)先與明文密碼相乘，對(duì)文件加密，均可由另一個(gè)質(zhì)數(shù)再相乘來(lái)解密。但要用一個(gè)質(zhì)數(shù)來(lái)求出另一個(gè)質(zhì)數(shù)，則是非常困難的，因此將這一對(duì)質(zhì)數(shù)稱為密鑰對(duì)。2011-8電子商務(wù)研究中心604）非對(duì)稱加密

舉例來(lái)說(shuō)，假定P＝3，Q＝11，則n=P×Q＝33，選擇e=3，因?yàn)?和20沒有公共因子。（3×d）MOD（20）＝1，得出d＝7。從而得到（33，3）為公鑰；（33，7）為私鑰。加密過程為將明文M的3次方模33得到密文C，解密過程為將密文C的7次方模33得到明文。表6-3顯示了非對(duì)稱加密和解密的過程。明文M密文C解密字母序號(hào)M3M3（MOD33）C7C7（MOD33）字母A01101101AE0512526803181017605EN142744057812514NS196859281349292851219SZ26175762012800000026Z表6-3非對(duì)稱加密和解密的過程2011-8電子商務(wù)研究中心614）非對(duì)稱加密圖6-14非對(duì)稱加密技術(shù)示意圖2011-8電子商務(wù)研究中心624）非對(duì)稱加密非對(duì)稱加密有若干優(yōu)點(diǎn)：第一，在多人之間進(jìn)行保密信息傳輸所需的密鑰組合數(shù)量很小。發(fā)布者只需要一對(duì)密鑰即可，把公鑰告知大家，每個(gè)人用公鑰加密后的密文相互無(wú)法解密，只有發(fā)布者能用私鑰解密。第二，公鑰的發(fā)布不成問題，它沒有特殊的發(fā)布要求，可以在網(wǎng)上公開。第三，非對(duì)稱加密可用于電子簽名。采用非對(duì)稱加密技術(shù)，除簽名者外他人無(wú)法冒充簽名，而且簽名者事后也無(wú)法否認(rèn)自己以電子方式簽過文檔，因?yàn)橹挥泻灻邠碛兴借€。2011-8電子商務(wù)研究中心634）非對(duì)稱加密

非對(duì)稱加密系統(tǒng)也有缺點(diǎn)，例如，加密解密的速度比對(duì)稱加密的速度慢得多。非對(duì)稱加密系統(tǒng)并不是要取代對(duì)稱加密系統(tǒng)，恰恰相反，它們是相互補(bǔ)充的。如可用非對(duì)稱加密在互聯(lián)網(wǎng)上傳輸對(duì)稱加密系統(tǒng)的密鑰，而用對(duì)稱加密方式加密報(bào)文，即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長(zhǎng)的報(bào)文；而RSA可解決DES密鑰分配的問題。2011-8電子商務(wù)研究中心646.4.2電子簽名技術(shù)

對(duì)信息進(jìn)行加密只解決了電子商務(wù)安全的第一個(gè)問題，而要防止他人破壞傳輸?shù)臄?shù)據(jù)，還要確定發(fā)送信息人的身份，還需要采取另外一種手段——電子簽名（也稱數(shù)字簽名）。 電子簽名技術(shù)采用電子簽名來(lái)模擬手寫簽名，解決了電子商務(wù)中不可否認(rèn)的安全需求。電子簽名可以保證接收者能夠核實(shí)發(fā)送者對(duì)電子文件的簽名，發(fā)送者事后不能抵賴對(duì)文件的簽名，接收者不能偽造對(duì)電子文件的簽名。它能夠在電子文件中識(shí)別雙方交易人的真實(shí)身份，保證交易的安全性和真實(shí)性以及不可抵賴性，起到與手寫簽名或者蓋章同等作用。電子簽名主要有3種應(yīng)用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。2011-8電子商務(wù)研究中心656.4.2電子簽名技術(shù)

Hash簽名是最主要的電子簽名方法，也稱之為數(shù)字摘要法（DigitalDigest）。它是將電子簽名與要發(fā)送的信息捆在一起，所以比較適合電子商務(wù)。 電子簽名操作具體過程如下：首先是生成被簽名的電子文件，然后對(duì)電子文件用哈希算法生成一個(gè)128比特的散列值（數(shù)字摘要），再對(duì)數(shù)字摘要用發(fā)送方的私鑰做非對(duì)稱加密，即做電子簽名，然后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進(jìn)行封裝，形成簽名結(jié)果發(fā)送給接收方，待接收方驗(yàn)證。 接收方收到簽名結(jié)果后進(jìn)行簽名驗(yàn)證，驗(yàn)證過程是：接收方首先用發(fā)送方公鑰解密電子簽名，導(dǎo)出數(shù)字摘要，并對(duì)電子文件原文做同樣哈希算法得到一個(gè)新的數(shù)字摘要，將兩個(gè)摘要的哈希值進(jìn)行結(jié)果比較，結(jié)果相同簽名得到驗(yàn)證，否則簽名無(wú)效。2011-8電子商務(wù)研究中心666.4.2電子簽名技術(shù)圖6-15電子簽名與驗(yàn)證過程2011-8電子商務(wù)研究中心676.4.3CA認(rèn)證與數(shù)字證書 1）CA認(rèn)證 CA(CertificationAuthority)是認(rèn)證機(jī)構(gòu)的國(guó)際通稱，它是對(duì)數(shù)字證書的申請(qǐng)者發(fā)放、管理、取消數(shù)字證書的機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)相當(dāng)于一個(gè)權(quán)威可信的中間人，它的職責(zé)是核實(shí)交易各方的身份，負(fù)責(zé)電子證書的發(fā)放和管理。 2）數(shù)字證書的概念與內(nèi)容數(shù)字證書又稱為數(shù)字憑證或數(shù)字標(biāo)識(shí)(DigitalCertificate，DigitalID)，也被稱作CA證書，實(shí)際是一串很長(zhǎng)的數(shù)學(xué)編碼，包含有客戶的基本信息及CA的簽字，通常保存在計(jì)算機(jī)硬盤或IC卡中。2011-8電子商務(wù)研究中心686.4.3CA認(rèn)證與數(shù)字證書

數(shù)字證書主要包括三方面的內(nèi)容：證書所有者的信息、證書所有者的公開密鑰和證書頒發(fā)機(jī)構(gòu)的簽名及證書有效期等內(nèi)容。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：證書的版本信息。證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)。證書所使用的簽名算法。證書的發(fā)行機(jī)構(gòu)名稱(命名規(guī)則一般采用X.500格式)及其用私鑰的簽名。證書的有效期。證書使用者的名稱及其公鑰的信息。 3）數(shù)字證書的類型 常見的數(shù)字證書有三種類型。個(gè)人證書、企業(yè)(服務(wù)器)證書(ServerID)、軟件(開發(fā)者)證書。上述三類憑證中前兩類是常用的憑證，大部分認(rèn)證中心提供前兩類憑證。從證書的用途來(lái)看可以將數(shù)字證書分為根證書、服務(wù)器證書和客戶證書三種。2011-8電子商務(wù)研究中心696.4.3CA認(rèn)證與數(shù)字證書 4）數(shù)字證書的安裝與使用CA認(rèn)證中心簽發(fā)證書后，證書的持有者給其他人、Web站點(diǎn)提供他的證書來(lái)證明他的身份，以建立加密的、可信的通信通道。在銀行網(wǎng)上銀行系統(tǒng)中，下載客戶證書及CA根證書的過程即是將這些證書安裝到瀏覽器的過程，瀏覽器會(huì)引導(dǎo)你完成安裝過程。在用戶進(jìn)入網(wǎng)上銀行交易之前，瀏覽器與服務(wù)器之間建立SSL安全通道時(shí)，會(huì)自動(dòng)使用雙方的證書，所以，在進(jìn)入交易之前，你應(yīng)保證客戶證書及CA根證書已經(jīng)安裝在瀏覽器中。在完成證書下載后，建議立即備份客戶證書及私鑰。私鑰是有密碼保護(hù)的，在導(dǎo)出證書及私鑰時(shí)，系統(tǒng)將提示提供該密碼，應(yīng)牢記這個(gè)密碼，并定期更換密碼。2011-8電子商務(wù)研究中心706.4.4公開密鑰基礎(chǔ)設(shè)施

公開密鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI），是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI由認(rèn)證機(jī)構(gòu)、證書庫(kù)、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等基本成分組成。CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。2011-8電子商務(wù)研究中心716.5電子商務(wù)安全協(xié)議6.5.1安全套接層協(xié)議6.5.2安全電子交易協(xié)議2011-8電子商務(wù)研究中心726.5.1安全套接層協(xié)議 安全套接層(SecureSocketsLayer，SSL)是一種傳輸層技術(shù)，由Netscape開發(fā)，可以實(shí)現(xiàn)兼容瀏覽器和服務(wù)器之間的安全通信。SSL協(xié)議是目前購(gòu)物網(wǎng)站中常使用的一種安全協(xié)議。所謂SSL就是在和另一方通信前先講好的一套方法，這個(gè)方法能夠在它們之間建立一個(gè)電子商務(wù)的安全性秘密信道，確保電子商務(wù)的安全性，凡是不希望被別人看到的機(jī)密數(shù)據(jù)，都可通過這個(gè)秘密信道傳送給對(duì)方，即使通過公共線路傳輸，也不必?fù)?dān)心別人的偷窺。SSL使用的是RSA電子簽名算法，可以支持X.509證書和多種保密密鑰加密算法。2011-8電子商務(wù)研究中心736.5.1安全套接層協(xié)議SSL在客戶機(jī)和服務(wù)器開始交換一個(gè)簡(jiǎn)短信息時(shí)提供一個(gè)安全的握手信號(hào)。在開始交換的信息中，雙方確定將使用的安全級(jí)別并交換數(shù)字證書。每個(gè)計(jì)算機(jī)都要正確識(shí)別對(duì)方。如果客戶機(jī)沒有證書也沒關(guān)系，因?yàn)榭蛻魴C(jī)是發(fā)送敏感信息的一方。而客戶機(jī)正與之交易的服務(wù)器應(yīng)有一個(gè)有效的證書，否則客戶機(jī)就無(wú)法確認(rèn)這個(gè)商務(wù)網(wǎng)站是否與其聲稱的身份相符。確認(rèn)完成后，SSL對(duì)在這兩臺(tái)計(jì)算機(jī)之間傳輸?shù)男畔⑦M(jìn)行加密和解密。這將意味著對(duì)HTTP請(qǐng)求和響應(yīng)都進(jìn)行加密。所加密的信息包括客戶機(jī)所請(qǐng)求的URL、用戶所填的各種表（如信用卡號(hào)）和HTTP訪問授權(quán)數(shù)據(jù)（如用戶名和口令）等。2011-8電子商務(wù)研究中心746.5.1安全套接層協(xié)議由于SSL處在互聯(lián)網(wǎng)協(xié)議集中TCP/IP層的上面，實(shí)現(xiàn)SSL的協(xié)議是HTTP的安全版，名為HTTPS。圖6-16HTTPS協(xié)議的使用2011-8電子商務(wù)研究中心756.5.1安全套接層協(xié)議

SSL有兩種安全級(jí)別：40位和128位。這是指每個(gè)加密交易所生成的私有會(huì)話密鑰的長(zhǎng)度?？筛鶕?jù)互聯(lián)網(wǎng)Explorer和Netscape瀏覽器狀態(tài)條上鎖頭的開關(guān)來(lái)判別瀏覽器是否進(jìn)入了SSL會(huì)話。如果未進(jìn)入，則鎖頭處于打開狀態(tài)。一旦會(huì)話結(jié)束，會(huì)話密鑰將被永遠(yuǎn)拋棄，以后的會(huì)話也不再使用。SSL安全協(xié)議的缺點(diǎn)主要有：不能自動(dòng)更新證書，認(rèn)證機(jī)構(gòu)編碼困難，瀏覽器的口令具有隨意性，不能自動(dòng)檢測(cè)證書撤銷表，用戶的密鑰信息在服務(wù)器上是以明文方式存儲(chǔ)的。2011-8電子商務(wù)研究中心766.5.2安全電子交易協(xié)議

Visa與MasterCard兩家信用卡組織共同推出，并且與眾多IT公司，如Microsoft、Netscape、RSA等共同發(fā)展而成的安全電子交易協(xié)議（SecureElectronicTransaction，SET)應(yīng)運(yùn)而生。SET在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，由于設(shè)計(jì)合理，SET協(xié)議得到了IBM、Microsoft等許多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。 SET是一種以信用卡為基礎(chǔ)的、在互聯(lián)網(wǎng)上交易的付款協(xié)議書，是授權(quán)業(yè)務(wù)信息傳輸安全的標(biāo)準(zhǔn)，它采用RSA密碼算法，利用公鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對(duì)信息加密傳輸，并用散列函數(shù)來(lái)鑒別信息的完整性。2011-8電子商務(wù)研究中心776.5.2安全電子交易協(xié)議

在SET的交易中，成員主要有持卡人（消費(fèi)者）、網(wǎng)上商家、收單銀行、支付網(wǎng)關(guān)、發(fā)卡銀行、認(rèn)證中心CA。SET系統(tǒng)的動(dòng)作是通過4個(gè)軟件來(lái)完成的，包括電子錢包、商店服務(wù)器、支付網(wǎng)關(guān)和認(rèn)證中心軟件，這4個(gè)軟件分別存儲(chǔ)在持卡人、網(wǎng)上商店、銀行以及認(rèn)證中心的計(jì)算機(jī)中，相互運(yùn)作來(lái)完成整個(gè)SET交易服務(wù)。2011-8電子商務(wù)研究中心786.6電子商務(wù)交易安全

很多詐騙分子發(fā)現(xiàn)利用互聯(lián)網(wǎng)行騙可以獲取極大的利潤(rùn)，于是互聯(lián)網(wǎng)上出現(xiàn)了假網(wǎng)站和虛假的信息，需要學(xué)會(huì)辨別互聯(lián)網(wǎng)上信息的真假，從容地應(yīng)對(duì)網(wǎng)絡(luò)中的各種騙局。對(duì)網(wǎng)上的信息不盲目信任，也不必過度懷疑，懂得合理防范風(fēng)險(xiǎn)。2011-8電子商務(wù)研究中心796.6電子商務(wù)交易安全6.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別6.6.2電子商務(wù)交易風(fēng)險(xiǎn)的防范及應(yīng)對(duì)6.6.3遭遇網(wǎng)絡(luò)詐騙后的應(yīng)對(duì)策略6.6.4典型的電子商務(wù)詐騙案例分析2011-8電子商務(wù)研究中心806.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別

1）從信息內(nèi)容辨別真?zhèn)稳绻窘榻B太簡(jiǎn)單，求購(gòu)意圖不明顯，地址也寫得很模糊，預(yù)留的公司網(wǎng)站是虛假地址或者并非誠(chéng)信通會(huì)員統(tǒng)一的格式，通常情況下，就有可能是虛假的信息。圖6-17是可疑信息的樣本2011-8電子商務(wù)研究中心816.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別2）查詢企業(yè)信用記錄通常情況下，阿里巴巴的會(huì)員可以將信息發(fā)布方的公司名稱輸入到阿里巴巴企業(yè)信用數(shù)據(jù)庫(kù)，查詢信息發(fā)布方的信用記錄。在阿里巴巴的企業(yè)信用數(shù)據(jù)庫(kù)中，可以查詢到很多信用不良的企業(yè)被投訴的記錄。這些記錄，可以幫助用戶判定信息發(fā)布方的誠(chéng)信程度。圖6-18企業(yè)被投訴的記錄2011-8電子商務(wù)研究中心826.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別3）從論壇搜索相關(guān)信息

阿里巴巴論壇是網(wǎng)商們交流信息的園地，其中不少是揭露網(wǎng)絡(luò)詐騙分子的信息，因此，用戶對(duì)某企業(yè)誠(chéng)信程度不能把握的情況下，可以到阿里巴巴論壇中去搜索相關(guān)信息。只要把某個(gè)企業(yè)的名稱輸入到阿里巴巴論壇中進(jìn)行搜索，如果發(fā)現(xiàn)有網(wǎng)商發(fā)貼子揭露該企業(yè)的不誠(chéng)信行為，那用戶與該企業(yè)進(jìn)行商業(yè)貿(mào)易的風(fēng)險(xiǎn)性就比較大了。圖6-19揭露網(wǎng)絡(luò)詐騙分子的貼子2011-8電子商務(wù)研究中心836.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別4）查詢誠(chéng)信指數(shù)及評(píng)價(jià)如果信息發(fā)布方是誠(chéng)信通會(huì)員，準(zhǔn)確了解該企業(yè)的誠(chéng)信程度就比較方便了。這是因?yàn)榘⒗锇桶驼\(chéng)信通會(huì)員都是通過了第三方認(rèn)證的，同時(shí)用戶可以查看該企業(yè)作為誠(chéng)信通會(huì)員的誠(chéng)信通檔案。誠(chéng)信通檔案記錄了企業(yè)的誠(chéng)信指數(shù)及其他客戶的評(píng)價(jià)，可以借以綜合判斷與該企業(yè)進(jìn)行貿(mào)易時(shí)的風(fēng)險(xiǎn)程度。圖6-20誠(chéng)信通檔案2011-8電子商務(wù)研究中心846.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別

5）通過搜索引擎搜索前面四項(xiàng)防范貿(mào)易風(fēng)險(xiǎn)的措施，均是依據(jù)阿里巴巴網(wǎng)站來(lái)獲取信息的，除此之外，也可以借助其他工具獲得相應(yīng)的信息。而通過搜索引擎獲取某個(gè)企業(yè)的貿(mào)易誠(chéng)信信息也不失為一個(gè)好辦法。借助于Yahoo!、Google、百度等著名搜索引擎，用戶可以比較方便的查找所需的資料。將某個(gè)企業(yè)的名稱、地址、聯(lián)系人、手機(jī)、電話、傳真等信息輸入到搜索引擎中，可能會(huì)搜索到和其相關(guān)的信息。圖6-21利用中國(guó)雅虎搜索2011-8電子商務(wù)研究中心856.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別6）通過工商管理部門網(wǎng)站查詢 要了解交易對(duì)方誠(chéng)信的資的訊，可以通過國(guó)家權(quán)威部門的網(wǎng)站上查詢。一個(gè)非盈利性網(wǎng)站主頁(yè)最下方必需有ICP備案號(hào)，一個(gè)盈利性網(wǎng)站主頁(yè)最下方必需有紅盾標(biāo)記。點(diǎn)擊紅盾標(biāo)記進(jìn)入工商紅盾網(wǎng)的網(wǎng)站，可查看交易對(duì)方的企業(yè)代碼、法人代表、地址、以及聯(lián)系方式等信息，幫助用戶了解對(duì)方公司的真實(shí)注冊(cè)情況。圖6-22通過工商行政部門查詢企業(yè)基本信息

如果發(fā)現(xiàn)對(duì)方提供的信息和工商紅盾網(wǎng)上的信息不一致，就需要留心，必要時(shí)還可以通過114查詢對(duì)方的電話號(hào)碼，打電話去核實(shí)。2011-8電子商務(wù)研究中心866.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別7）手機(jī)歸屬地判斷在交易對(duì)方所提供聯(lián)系方式中，通常有手機(jī)號(hào)碼。對(duì)交易對(duì)方身份信息的真實(shí)性也可以通過手機(jī)歸屬地查詢。例如，通過移動(dòng)與聯(lián)通的官方網(wǎng)站或者其他網(wǎng)站核實(shí)對(duì)方所提供信息的真實(shí)性。圖6-23所示是通過IPl38．COM網(wǎng)站查詢得到的手機(jī)真實(shí)地址的信息。圖6-23通過IPl38.COM網(wǎng)站查詢手機(jī)歸屬地www.ip138．com網(wǎng)站包括手機(jī)所屬地查詢、lP地址所屬地查詢、身份證號(hào)碼所屬地查詢等功能，可以幫助訪問者了解手機(jī)主人的注冊(cè)地，以及身份證登記所在地。2011-8電子商務(wù)研究中心876.6.1電子商務(wù)交易風(fēng)險(xiǎn)的識(shí)別8）專業(yè)性測(cè)試網(wǎng)絡(luò)詐騙分子的目的是通過網(wǎng)絡(luò)獲取非法收入，因此通常情況下其專業(yè)知識(shí)是有限的。大多數(shù)網(wǎng)絡(luò)詐騙分子是通過格式化的傳真或是求購(gòu)函，四處散發(fā)類似于傳單的求購(gòu)信息。由于網(wǎng)絡(luò)詐騙分子們沒有真實(shí)的采購(gòu)意圖，往往對(duì)產(chǎn)品本身并不了解或是了解不多。因此，用戶在與其進(jìn)行溝通的過程中，可以運(yùn)用自己對(duì)產(chǎn)品的知識(shí)，設(shè)定一些問題，測(cè)試對(duì)方是否了解采購(gòu)的產(chǎn)品，進(jìn)而來(lái)判斷對(duì)方是否有真實(shí)的采購(gòu)意圖。2011-8電子商務(wù)研究中心886.6.2電子商務(wù)交易風(fēng)險(xiǎn)的防范及應(yīng)對(duì) 1）賬戶密碼安全設(shè)置符合規(guī)則的密碼是成功地進(jìn)行網(wǎng)絡(luò)交易的基本條件，也是防范網(wǎng)絡(luò)貿(mào)易風(fēng)險(xiǎn)的第一道關(guān)。目前，各大網(wǎng)站密碼被盜的現(xiàn)象時(shí)有發(fā)生，例如在阿里巴巴網(wǎng)站，會(huì)員密碼被盜會(huì)有兩種危害：一種情況是誠(chéng)信通會(huì)員密碼被盜，會(huì)導(dǎo)致網(wǎng)絡(luò)騙子利用誠(chéng)信通會(huì)員的賬號(hào)，假借誠(chéng)信通會(huì)員的名義行騙，使公司名譽(yù)受損。另一種是支付寶和網(wǎng)上銀行密碼被盜，導(dǎo)致的直接結(jié)果是錢款的損失。2011-8電子商務(wù)研究中心8