電子商務(wù)安全技術(shù)最新文檔

電子商務(wù)安全技術(shù)最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）

電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）簡介：這是大學(xué)上課時(shí)學(xué)習(xí)的電子商務(wù)安全技術(shù)，是全書的概要，總結(jié)。大學(xué)期末考試，可以拿它做為參考。第一篇電子商務(wù)安全概述電子商務(wù)是由計(jì)算機(jī)、通信網(wǎng)絡(luò)及程序化、標(biāo)準(zhǔn)化的商務(wù)流程和一系列安全、認(rèn)證法律體系所組成的一個(gè)集合。電子商務(wù)系統(tǒng)是由Internet、用戶、配送中心、認(rèn)證中心、銀行和商家等組成TCP/IP協(xié)議，第1章電子商務(wù)安全基礎(chǔ)乙發(fā)送一條信息甲，信息內(nèi)容是：請給乙向銀行中打入10000元。落款：乙.甲收到：信息為：請給丙向銀行中打入10000元，乙。其實(shí)在傳遞信息的過程中已被丙修改了信息。1．1電子商務(wù)安全概念電子商務(wù)安全就是保護(hù)在電子商務(wù)系統(tǒng)里的企業(yè)或個(gè)人資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、竄改或破壞。電子商務(wù)安全覆蓋了電子商務(wù)的各個(gè)環(huán)節(jié)。涉及到三方面：客戶端-通信傳輸-服務(wù)器端。電子商務(wù)安全的六項(xiàng)中心內(nèi)容：1.商務(wù)數(shù)據(jù)的機(jī)密性或保密性通過加密來實(shí)現(xiàn)的。2．電子商務(wù)數(shù)據(jù)的完整性或正確性一定要保證數(shù)據(jù)沒有被更改過。3．商務(wù)對象的認(rèn)證性第三方認(rèn)證。CA認(rèn)證中心。4．商務(wù)服務(wù)的不可否認(rèn)性5．商務(wù)服務(wù)的不可拒絕性或可用性。6．訪問的控制性1.2電子商務(wù)安全問題技術(shù)上的安全性，安全技術(shù)的實(shí)用可行性。要考慮以下三方面的問題：1)安全性與方便性2)安全性與性能3)安全性與成本一、問題的提出二、電子商務(wù)的安全隱患1.數(shù)據(jù)被非法截獲，讀取或修改數(shù)據(jù)加密2.冒名頂替和否認(rèn)行為數(shù)字簽名、加密、認(rèn)證3．一個(gè)用戶未經(jīng)授權(quán)訪問了另一個(gè)網(wǎng)絡(luò)。Intranet:企業(yè)內(nèi)部網(wǎng)Internet:因特網(wǎng)防火墻4．計(jì)算機(jī)病毒殺毒軟件1．3電子商務(wù)安全需求一、電子交易的安全需求1.身份的可認(rèn)證性保證交易雙方身份是真實(shí)的，可靠的，不被冒名頂替。2．信息的保密性加密，即使泄露，別人也看不懂。原文-密文3.信息的完整性正確性，一定要保存?zhèn)鬟f的信息，到達(dá)接收方?jīng)]有被更改。4．可靠性/不可抵賴性5．審查能力/不可假造。6．內(nèi)部網(wǎng)的嚴(yán)密生二、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全1.物理實(shí)體的安全1)設(shè)備的功能失常2)電源故障3)由于電磁泄漏引起的信息失密4）搭線竊聽2.自然災(zāi)害的威脅3.黑客的惡意攻擊所謂黑客，一般泛指計(jì)算機(jī)信息的非法入侵者黑客的攻擊手段有兩種：一種主動攻擊，一種是被動攻擊。4．軟件的漏洞和后門5．網(wǎng)絡(luò)協(xié)議的安全漏洞各種協(xié)議都有一定的缺陷，黑客專門查找這些漏洞。復(fù)習(xí)：1.電子商務(wù)安全概念?2．電子商務(wù)安全的六項(xiàng)中心內(nèi)容。3．電子商務(wù)安全問題的提出4．電子商務(wù)的安全隱患5.電子商務(wù)安全需求電子交易過程中的安全需求計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全需求6．計(jì)算機(jī)病毒的攻擊1)什么是計(jì)算機(jī)病毒?指編制或者在計(jì)算機(jī)程序插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。CIH病毒2)計(jì)算機(jī)病毒的分類引導(dǎo)型病毒、可執(zhí)行文件病毒、宏病毒、混合病毒、特洛伊木馬、internet語言病毒(腳本病毒)<html><head></head><body>……</body></html>3)反病毒軟件瑞星，趨勢軟件、金山、諾頓、360免費(fèi)病毒軟件4)目前病毒的安全狀態(tài)。病毒的數(shù)量急聚增加。。一些商業(yè)公司流氓軟件很嚴(yán)重。木馬。病毒的傳播途徑比較廣。。軟件的漏洞成為病毒的突破口5）病毒的破壞目標(biāo)和攻擊部位。攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊文件。攻擊內(nèi)存。干擾系統(tǒng)運(yùn)行。使計(jì)算機(jī)速度下降。攻擊磁盤。擾亂屏幕顯示。干擾鍵盤。攻擊CMOS。干擾打印機(jī)1.4電子商務(wù)安全技術(shù)目前電子商務(wù)安全有許多的解決方案，安全技術(shù)主要有加密技術(shù)、授權(quán)認(rèn)證技術(shù)、CA安全認(rèn)證技術(shù)、安全電子交易協(xié)議、虛擬專用網(wǎng)技術(shù)、反病毒技術(shù)、黑客防范技術(shù)。從電子交易的過程來看，主要考慮三方面的安全技術(shù)：客戶端的安全技術(shù)、網(wǎng)絡(luò)通信的安全技術(shù)、服務(wù)器端的安全技術(shù)一、客戶端安全技術(shù)主要包括操作系統(tǒng)的安全描述和應(yīng)用系統(tǒng)安全技術(shù)1.操作系統(tǒng)的安全描述如windowsxp,windows2000,windowsvista,windowswin7,國際上將操作系統(tǒng)的安全進(jìn)行了分類級別，D級、C1級、C2級、B1級、B2級、A級。2.應(yīng)用系統(tǒng)的安全技術(shù)安全都是相對的。域控制器，所以的客戶端登錄必須經(jīng)過域控制器驗(yàn)證。二、網(wǎng)絡(luò)信息安全技術(shù)主要包括網(wǎng)絡(luò)安全技術(shù)和信息安全技術(shù)1.網(wǎng)絡(luò)安全技術(shù)分為四個(gè)相互交織的部分，保密、鑒別、反拒和完整性控制。網(wǎng)絡(luò)安全技術(shù)的主要作用：2．信息安全技術(shù)由于互聯(lián)網(wǎng)的開放性、連通性和自由性，用戶在共享資源的同時(shí)，也存在著被侵犯或惡意破壞的危險(xiǎn)。信息安全技術(shù)的目標(biāo)就是保護(hù)有可能被侵犯的機(jī)密信息不被外界非法操作、控制。保存進(jìn)行身份驗(yàn)證，數(shù)據(jù)加密等。三、服務(wù)器端的安全技術(shù)服務(wù)器端的安全技術(shù)主要包括網(wǎng)絡(luò)操作系統(tǒng)安全、電子商務(wù)網(wǎng)站的安全設(shè)置、數(shù)據(jù)庫服務(wù)器安全技術(shù)和應(yīng)用程序安全技術(shù)四部分。1.網(wǎng)絡(luò)操作系統(tǒng)的安全微軟公司的網(wǎng)絡(luò)操作系統(tǒng)有：windowsNT4.0，windows2000server,windows2003server,windows2021serverLinux操作系統(tǒng)，Unix操作系統(tǒng)，NetWare（NOVELL）操作系統(tǒng)。IDE接口，STAT接口，scsi接口（服務(wù)器）2.電子商務(wù)網(wǎng)站的安全技術(shù)主要包括web服務(wù)器的安全設(shè)置，強(qiáng)化服務(wù)器的軟件和信息傳輸?shù)陌踩珕栴}。IIS，internet信息服務(wù)管理器，3.數(shù)據(jù)庫服務(wù)器安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)有多種，目前常用的都是關(guān)系型的數(shù)據(jù)庫管理系統(tǒng)，access數(shù)據(jù)庫，sqlserver2005，oracle數(shù)據(jù)庫。4.應(yīng)用系統(tǒng)安全技術(shù)主要包括j2ee安全技術(shù)和DOT.NET安全技術(shù)。國內(nèi)用的比較多的是.NET，國外用的比較多的是java技術(shù)?？缙脚_。.net的開發(fā)體系主要包括幾層：表示層：業(yè)務(wù)層，業(yè)務(wù)數(shù)據(jù)訪問層三層架構(gòu)。AAjax技術(shù)。這是一種目前比較流行的java技術(shù)。LINQ支持。四、電子商務(wù)支付安全技術(shù)包括電子商務(wù)支付系統(tǒng)和電子支付安全技術(shù)兩部分。1.電子商務(wù)支付系統(tǒng)電子支付網(wǎng)關(guān)，電子支付：是指電子商務(wù)交易的當(dāng)事人，包括消費(fèi)者、商家和金融機(jī)構(gòu),使用安全電子支付手段通過網(wǎng)絡(luò)進(jìn)行的貨幣或資金的流轉(zhuǎn)。傳統(tǒng)支付和電子支付的區(qū)別：五、電子商務(wù)安全協(xié)議目前有兩種安全在線支付協(xié)議：安全套接層協(xié)議SSL，安全電子交易協(xié)議SET。SSL協(xié)議：是由網(wǎng)景公司推的一種安全通信協(xié)議。它能夠?qū)π庞每ê蛡€(gè)人信息提供保護(hù)。SET協(xié)議是由visa和mastercard以及其他一些業(yè)界主流廠商聯(lián)合推出的一種規(guī)范。用來保證銀行卡支付交易的安全性。1.5電子商務(wù)安全法律上機(jī)：1.查找五個(gè)電子商務(wù)網(wǎng)站，了解國內(nèi)和國際的電子商務(wù)安全技術(shù)發(fā)展?fàn)顟B(tài)，并了解電子商務(wù)安全方法有哪些？效果如何？2.計(jì)算機(jī)病毒軟件有哪些？分別具有什么功能。第2章電子商務(wù)網(wǎng)站常見的攻擊本章重點(diǎn)：1.端口掃描2.特洛伊木馬3.緩沖區(qū)溢出攻擊4.拒絕服務(wù)攻擊5.網(wǎng)絡(luò)監(jiān)聽2.1端口掃描計(jì)算機(jī)中存放著65535個(gè)端口，常用端口為1024以下，端口就是一個(gè)通信通道，通過端口掃描，可以得到許多目標(biāo)計(jì)算機(jī)中有用的信息。對于端口的掃描可以通過軟件實(shí)現(xiàn)，也可以通過手工實(shí)現(xiàn)。一、掃描器的定義掃描器就是一種自動檢測遠(yuǎn)程或本地主機(jī)安全弱點(diǎn)的程序，通過掃描器可不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它的軟件版本等，從而直接了解遠(yuǎn)程計(jì)算機(jī)的安全性。掃描器不攻擊遠(yuǎn)程計(jì)算機(jī)，只是得到有用的信息。二、掃描器的工作原理選用遠(yuǎn)程TCP/IP不同端口的服務(wù)，來記錄目標(biāo)給予的回答。可以搜集到許多關(guān)于目標(biāo)計(jì)算機(jī)的各種有用的信息。三、掃描器的功能1.發(fā)現(xiàn)主機(jī)或網(wǎng)絡(luò)的功能2.發(fā)現(xiàn)主機(jī)上運(yùn)行服務(wù)的功能3.發(fā)現(xiàn)漏洞的功能四、常用的端口掃描技術(shù)1.TCPconnect掃描技術(shù)優(yōu)點(diǎn)有兩個(gè)：不需要任何權(quán)限，系統(tǒng)中的任何用戶都有權(quán)利使用這個(gè)調(diào)用。速度快，通過同時(shí)打開多個(gè)套接字，加速掃描。缺點(diǎn)：很容易被發(fā)現(xiàn)，并且被過濾掉。TCP:傳輸控制協(xié)議。2.TCPSYN掃描半開放掃描，優(yōu)點(diǎn)在于一般不會在目標(biāo)計(jì)算機(jī)上留下記錄，缺點(diǎn)必須具有root權(quán)限才能建立自己的SYN數(shù)據(jù)包。3.TCPFIN掃描TCPFIN掃描能夠避開防火墻的監(jiān)視，F(xiàn)IN數(shù)據(jù)包，此種技術(shù)可以確定掃描端口的狀態(tài)。該方法可以用來區(qū)分unix和windowsNT。4,IP段掃描IDENT協(xié)議，這種方法必須和目標(biāo)端口建立一個(gè)完整的TCP連接后才能被使用。5.TCP反向IDENT掃描6.FTP返回攻擊該方法從一個(gè)代理的FTP服務(wù)器來掃描TCP端口，優(yōu)點(diǎn)是難以被跟蹤，容易穿過防火墻，缺點(diǎn)速度慢。7.UDPICMP端口不能到達(dá)掃描使用的是UDP協(xié)議，缺點(diǎn)是速度較慢，需root權(quán)限。8.UDPRecvfrom和write掃描只適合于unix系統(tǒng)，套接字函數(shù)對UDP端口進(jìn)行掃描。9.ICMPecho掃描不是真正意義的掃描，但有時(shí)通過ping，在判斷一個(gè)網(wǎng)絡(luò)上的主機(jī)是否開機(jī)。2.2特洛伊木馬1.特洛伊木馬是一個(gè)包含在合法程序中的非法程序，非法程序被用戶在不知情的情況下執(zhí)行。2.特洛伊木馬的組成一般的木馬都包括客戶端和服務(wù)器端，客戶端就是控制其他計(jì)算機(jī)的機(jī)器。遠(yuǎn)程計(jì)算機(jī)上。服務(wù)器端程序就是木馬程序，攻擊者通過客戶端控制服務(wù)器端實(shí)施攻擊。3.木馬入侵的途徑木馬必須通過一定的方法植入或復(fù)制到被攻擊的計(jì)算機(jī)上，主要通過郵件附件、下載軟件、或者通過一些提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件。木馬還可以通過script、activx以及CGI交互腳本的方式植入。木馬可以通過系統(tǒng)的一些漏洞植入。4.木馬程序入侵使用的協(xié)議木馬程序使用的協(xié)議絕大多數(shù)是TCP/IP協(xié)議，也有使用UDP協(xié)議進(jìn)行通信。一、特洛伊木馬的隱藏方式1.在任務(wù)欄里隱藏2.在任務(wù)管理器里隱藏計(jì)算機(jī)系統(tǒng)啟動后，會啟動許多服務(wù)，這些服務(wù)可以通過任務(wù)管理器來管理。一般使用ctrl+alt+delete三鍵打開任務(wù)管理器查看，它分為用戶進(jìn)程和系統(tǒng)進(jìn)程，一般木馬都裝成為”系統(tǒng)服務(wù)“，從而從正在運(yùn)行的進(jìn)程中消失。3.端口一臺機(jī)器有65535個(gè)端口，常用的是1024以下的，木馬常常隱藏在1024以上。4.隱藏通令1024以上的端口，先進(jìn)的木馬，會使用80端口.5.隱藏加載方式6.最新隱身技術(shù)最簡單的放在windows的注冊表中，最新的木馬隱藏方式，通過修改虛擬設(shè)備驅(qū)動程序VXD或修改動態(tài)鏈接庫DLL來加載木馬。二、特洛伊木馬的工作原理1.木馬服務(wù)器端程序的植入2.木馬將入侵主機(jī)信息發(fā)送給攻擊者3.木馬程序啟動并發(fā)揮作用木馬要發(fā)揮作用必須具備以下三個(gè)因素：1)木馬需要一種啟動方式，木馬必須啟動才能發(fā)揮作用。2)木馬需要在內(nèi)存中才能發(fā)揮作用3)木馬會打開特別的端口。三、木馬程序的存在形式(啟動方式)1.放在win.ini：run=或load=項(xiàng)目中的程序名會自動啟動。2.system.ini：shell=explorer.exe項(xiàng)后的程序名.3.注冊表：run項(xiàng)中的程序4.附在合法的自啟動程序中。四、木馬的特性1.隱藏性主要體現(xiàn)在兩個(gè)方面：不產(chǎn)生圖標(biāo)，自動在任務(wù)管理器中隱藏。2.自動運(yùn)行性3.功能的特殊性可以實(shí)現(xiàn)遠(yuǎn)程控制4.自動恢復(fù)功能自動復(fù)制功能5.自動打開特別的端口五、木馬的種類1.破壞型木馬2.密碼發(fā)送型Cookie對象，session，application對象3.遠(yuǎn)程訪問型遠(yuǎn)程控制，就是攻擊者在本機(jī)，可以操作你的計(jì)算機(jī)。4.鍵盤記錄型5.dos攻擊型拒絕服務(wù)攻擊6.代理木馬7.FTP木馬8.程序殺手9.反彈端口六、木馬的入侵1.集成到程序中2.隱藏在配置文件中Autoexec.bat或config.sys3.潛伏在win.ini中4.裝在普通文件中Jpg5.內(nèi)置到注冊表中6.放在system.ini中7.隱藏在啟動組中8.隱藏在winstart.bat中9.捆綁在啟動文件中10.設(shè)置在超鏈接中x-scan3.3掃描工具復(fù)習(xí)：1.端口掃描1)掃描器的定義2)掃描器的工作原理3)掃描器的功能4)常用的端口掃描技術(shù)2.特咯伊木馬2.3緩沖區(qū)溢出攻擊一、緩沖區(qū)溢出攻擊的原理1.緩沖區(qū)緩沖區(qū)是程序運(yùn)行時(shí)機(jī)器內(nèi)存中的一個(gè)連續(xù)塊，保存了給定類型的數(shù)據(jù)和動態(tài)分配變量可能會出現(xiàn)的問題。緩沖區(qū)不是太大，如果放大文本，大字符串存儲到緩沖區(qū)中，緩沖區(qū)就會溢出。2.緩沖區(qū)溢出的原因在于數(shù)據(jù)超長，造成的后果，一是過長的字符串覆蓋了相鄰的存儲單元，相起程序運(yùn)行失敗，二是利用這種漏洞可以執(zhí)行任意指令甚至可以取得系統(tǒng)特權(quán)。二、緩沖區(qū)溢出攻擊的方法1.植入法此種方法不是使緩沖區(qū)溢出，只需將攻擊代碼放入緩沖區(qū)能正常執(zhí)行即可。2.利用已存在的代碼攻擊者攻擊的程序已經(jīng)在被攻擊的代碼中，攻擊者只需向代碼傳遞一些參數(shù)，然后使程序跳轉(zhuǎn)到目標(biāo)程序，從而擾亂程序的正常執(zhí)行順序。3.長跳轉(zhuǎn)緩沖區(qū)是在一個(gè)字符串里綜合了代碼植入和激活記錄。C#語言繼承了C和C++語言的優(yōu)點(diǎn)，C#主要編寫WEB應(yīng)用程序，從而將C和C++的指針部分取消了。計(jì)算機(jī)語言分為機(jī)器語言、低級語言和高級語言。三、緩沖區(qū)溢出攻擊的防范技術(shù)緩沖區(qū)溢出：是由于軟件的開發(fā)者在編寫軟件時(shí)缺乏全面老慮，對一些函數(shù)參數(shù)的長度及范圍沒有過細(xì)的限制而產(chǎn)生的漏洞。1.編寫正確的代碼編寫程序代碼是，考慮要全面，仔細(xì)，編寫后可以使用高級的查錯(cuò)工具或者手工檢查程序代碼的漏洞。2.非執(zhí)行的緩沖區(qū)將被攻擊的緩沖區(qū)設(shè)置為不可執(zhí)行。3.數(shù)組邊界檢查只要數(shù)組不溢出，溢出攻擊也就無從談起。Foreach循環(huán)是專門針對數(shù)組等集合類的數(shù)據(jù)。上界和下界。數(shù)組下標(biāo)越界，就會造成緩沖區(qū)溢出。Int[]x=newint[10];For(i=0;i<=10;i++)越界了。4.程序指針完整性檢查黑客攻擊時(shí)，必然要改變程序的指針指向。2.4拒絕服務(wù)攻擊一、拒絕服務(wù)攻擊的工作原理1.拒絕服務(wù)：簡稱為DoS，它是一種技術(shù)含量低，攻擊效果明顯的攻擊方法，受到攻擊，則服務(wù)器在長時(shí)間內(nèi)不能提供服務(wù)，使得合法的請求，無法滿足。2.拒絕服務(wù)攻擊的本質(zhì)特征本質(zhì)特征就是為了延長正常的應(yīng)用服務(wù)的等待時(shí)間。3.拒絕服務(wù)攻擊的原理拒絕服務(wù)攻擊不是服務(wù)器不接收服務(wù)，而是服務(wù)器太忙了，不能及時(shí)響應(yīng)請求。4.拒絕服務(wù)攻擊的目的無法服務(wù)于全法的請法語，是為了完成其他入侵的必需前提。二、拒絕服務(wù)攻擊的分類1.ping攻擊攻擊者向被攻擊者發(fā)送大量的超大字節(jié)的ICMP報(bào)文來進(jìn)行攻擊。Ping157896目標(biāo)地址。通常對此類攻擊防范容易，安裝防火墻，將大字節(jié)的數(shù)據(jù)拉住。2.SYNFLOOd攻擊使服務(wù)器通過產(chǎn)生大量的“半開連接”。通過使用大量的虛假地址向服務(wù)器發(fā)送SYN數(shù)據(jù)包，從而產(chǎn)生大量的“半開連接”?？梢酝ㄟ^修改windows的注冊表的相應(yīng)設(shè)置來防范此類攻擊。3.land攻擊此種攻擊是利用TCP/IP的漏洞，發(fā)送大量的源地址與目標(biāo)地址相同的數(shù)據(jù)包，從而使服務(wù)器解析數(shù)據(jù)包占用大量的處理資源?？梢酝ㄟ^防火墻來解決，將源地址與目標(biāo)地址相同的數(shù)據(jù)包丟棄處理。4.sumrf攻擊結(jié)合了IP欺騙和ICMP回復(fù)方法，使大量的網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)。IP廣播。這種攻擊可以采取一些隔離設(shè)備，使之不能進(jìn)行廣播。還可以采用vlan。5.teardrop攻擊解決辦法就是給系統(tǒng)打上最新的補(bǔ)丁，禁止防火墻的重組碎片功能。6.UKPFlooad攻擊攻擊者發(fā)送大量虛擬IP地址的小字節(jié)UDP包。解決辦法就是安裝具有入侵檢測的防火墻。二、分布式拒絕服務(wù)攻擊1.分布式拒絕服務(wù)攻擊概述分布式拒絕服務(wù)攻擊是在傳統(tǒng)的Dos攻擊基礎(chǔ)產(chǎn)生的一類攻擊方式，一對一的攻擊方式。如果將多臺計(jì)算機(jī)同時(shí)攻擊一臺計(jì)算機(jī)就產(chǎn)生了一種分布式拒絕服務(wù)攻擊。2.被分布式攻擊時(shí)的現(xiàn)象3.分布式拒絕服務(wù)攻擊的原理4.分布式拒絕服務(wù)攻擊的防范(1)在服務(wù)器上關(guān)閉不必要的服務(wù)，限制同時(shí)打開的SYN半連接數(shù)據(jù)包，及時(shí)更新系統(tǒng)補(bǔ)丁。(2)在防火墻方面，禁止對主要的非開放服務(wù)的訪問，嚴(yán)格限制對外開放的服務(wù)器的向外訪問。(3)在路由器方面，使用訪問控制列表過濾。(4)ISP/ICP要注意管理范圍的客戶托管主機(jī)不要成為傀儡機(jī)。2.5網(wǎng)絡(luò)監(jiān)聽一、網(wǎng)絡(luò)監(jiān)聽的基本原則1.網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽技術(shù)最終是提供給網(wǎng)絡(luò)管理員進(jìn)行管理的工具，用以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?.在局域網(wǎng)實(shí)現(xiàn)監(jiān)聽的基本原則在局域網(wǎng)內(nèi)數(shù)據(jù)以廣播的方式傳輸?shù)?。二、網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)要使主機(jī)工作在監(jiān)聽模式下，需要向網(wǎng)絡(luò)接口發(fā)出I/O控制集合，將其設(shè)置為監(jiān)聽模式。三、網(wǎng)絡(luò)監(jiān)聽的檢測四、網(wǎng)絡(luò)監(jiān)聽的防范措施1.從邏輯或物理上對網(wǎng)絡(luò)分段控制廣播風(fēng)暴的一種基本手段2.以交換式集線器代替共享式集線器3.使用加密技術(shù)MD5加密手段。4.劃分VLAN虛擬局域網(wǎng)。變?yōu)辄c(diǎn)到點(diǎn)通信?？偨Y(jié)：1.端口掃描技術(shù)2.特洛伊木馬3.緩沖區(qū)攻擊4.拒絕服務(wù)攻擊5.網(wǎng)絡(luò)監(jiān)聽實(shí)踐內(nèi)容：1.掃描工具的使用。參考教材P43頁，實(shí)驗(yàn)使用X-scan3.3掃描軟件，以相鄰計(jì)算機(jī)進(jìn)行系統(tǒng)漏洞、系統(tǒng)端口、系統(tǒng)用戶以及共享信息進(jìn)行掃描，并將掃描報(bào)告復(fù)制到你的word作業(yè)文檔中，分析掃描的信息對你來講是否有用。掃描00計(jì)算機(jī)，得到掃描報(bào)告。分析掃描報(bào)告內(nèi)容，該計(jì)算機(jī)安裝的什么操作系統(tǒng)。2.網(wǎng)絡(luò)監(jiān)聽工具的使用已知實(shí)驗(yàn)室內(nèi)有一臺FTP服務(wù)器，訪問地址為FTP://00，試使用SinfferPro網(wǎng)絡(luò)監(jiān)聽軟件獲取FTP賬號密碼和郵箱密碼，郵箱必須使用outlook登錄，使用瀏覽器登錄無法獲取。并在你的word作業(yè)文檔中，寫出使用該軟件的過程和體會。3．電子商務(wù)網(wǎng)站的攻擊已知實(shí)驗(yàn)室內(nèi)有一臺web服務(wù)器，訪問地址為：://00:8081/TeachPlatform_Test。使用IPHacker3.0軟件對該網(wǎng)站進(jìn)行攻擊，攻擊后查看是否能夠進(jìn)行訪問。結(jié)束攻擊再測試一下。并在你的word作業(yè)文檔中，寫出使用該軟件的過程和體會。通過以上三個(gè)軟件的使用，寫一份關(guān)于如何防范端口掃描、網(wǎng)絡(luò)監(jiān)聽和網(wǎng)絡(luò)攻擊的文章。第三章電子商務(wù)安全【學(xué)習(xí)目標(biāo)】1．掌握電子商務(wù)安全的要素；2．了解防火墻的應(yīng)用，熟悉防火墻的原理；3．掌握對稱加密和非對稱加密的基本原理，以及兩種加密的結(jié)合使用；4．了解數(shù)字證書技術(shù)及身份認(rèn)證技術(shù)；5．理解電子商務(wù)安全協(xié)議。【技能要求】1．能夠使用相關(guān)安全軟件，熟悉防火墻的配置；2．能夠申請數(shù)字證書，安裝、使用數(shù)字證書?！竞诵母拍睢糠阑饓ΨQ加密非對稱加密CA認(rèn)證數(shù)字簽名SSLSET【開篇案例】“棱鏡門”敲響了網(wǎng)絡(luò)安全的警鐘2021年6月，前中情局（CIA）職員愛德華·斯諾登將兩份絕密資料交給英國《衛(wèi)報(bào)》和美國《華盛頓郵報(bào)》，并告之媒體何時(shí)發(fā)表。按照設(shè)定的計(jì)劃，2021年6月5日，英國《衛(wèi)報(bào)》先扔出了第一顆輿論炸彈：美國國家安全局有一項(xiàng)代號為“棱鏡”的秘密項(xiàng)目，要求電信巨頭威瑞森公司必須每天上交數(shù)百萬用戶的通話記錄。6月6日，美國《華盛頓郵報(bào)》披露稱，過去6年間，美國國家安全局和聯(lián)邦調(diào)查局通過進(jìn)入微軟、谷歌、蘋果、雅虎等九大網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。美國輿論隨之嘩然。2021年9月28日，美國“棱鏡”項(xiàng)目揭秘者斯諾登提供的文件讓美國國安局活動再度曝光。美國國家安全局2021年起即用收集到的資料，分析部分美國公民的“社交連結(jié)，辨識他們來往對象、某個(gè)特定時(shí)間的所在地點(diǎn)、與誰出游等私人信息”。該文件顯示，“國安局官員解禁之后，2021年11月起開始準(zhǔn)許以海外情報(bào)意圖來分析以及電郵記錄，監(jiān)視美國公民交友網(wǎng)絡(luò)”。根據(jù)美國國安局2021年1月的備忘錄，政策轉(zhuǎn)向目的是在幫助該局“發(fā)現(xiàn)并追蹤”海外情報(bào)目標(biāo)和美國人民之間的關(guān)聯(lián)。該文件指出，美國國安局獲得授權(quán)，可在不檢查每個(gè)電郵地址、號碼或任何指針的“外來性”情況下，“大規(guī)模以圖表分析通訊原數(shù)據(jù)”。美國決策者意識到，互聯(lián)網(wǎng)在越來越多的國際事件上可以成為達(dá)到美國政治目的、塑造美國全球領(lǐng)導(dǎo)力的有效工具。2021年，以“臉譜網(wǎng)”（facebook）和“推特”（twitter）為代表的新媒體，貫穿埃及危機(jī)從醞釀、爆發(fā)、升級到轉(zhuǎn)折的全過程，成為事件發(fā)展的“催化劑”及反對派力量的“放大器”。同樣，類似的事件也在突尼斯和伊朗等國都上演過。這項(xiàng)代號為“棱鏡”（PRISM）的高度機(jī)密的行動此前從未對外公開?！度A盛頓郵報(bào)》獲得的文件顯示，美國總統(tǒng)的日常簡報(bào)內(nèi)容部分來源于此項(xiàng)目，該工具被稱作是獲得此類信息的最全面方式。一份文件指出，“國家安全局的報(bào)告越來越依賴‘棱鏡’項(xiàng)目。該項(xiàng)目是其原始材料的主要來源。報(bào)道刊出后外界嘩然。保護(hù)公民隱私組織予以強(qiáng)烈譴責(zé)，表示不管奧巴馬政府如何以反恐之名進(jìn)行申辯，不管多少國會議員或政府部門支持監(jiān)視民眾，這些項(xiàng)目都侵犯了公民基本權(quán)利。這是一起美國有史以來最大的監(jiān)控事件，其侵犯的人群之廣、程度之深讓人咋舌。第一節(jié)電子商務(wù)安全概述隨著互聯(lián)網(wǎng)的飛速發(fā)展與廣泛應(yīng)用，電子商務(wù)的應(yīng)用前景越來越廣闊，然而它的安全問題也變得日益嚴(yán)重，在互聯(lián)網(wǎng)環(huán)境下開展電子商務(wù)，客戶、商家、銀行等參與者都對自身安全能否得到保障存在擔(dān)心。如何創(chuàng)造安全的電子商務(wù)應(yīng)用環(huán)境，已經(jīng)成為社會、企業(yè)和消費(fèi)者共同關(guān)注的問題。電子商務(wù)安全是一個(gè)多層次、多方位的系統(tǒng)的概念：廣義上講，它不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、操作人員素質(zhì)和社會因素有關(guān)，包括電子商務(wù)系統(tǒng)的硬件安全、軟件安全、運(yùn)行安全及電子商務(wù)立法；狹義上講，它是指電子商務(wù)信息的安全，主要包括信息的存儲安全和信息的傳輸安全。一、電子商務(wù)安全要素電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)問題，在開展電子商務(wù)的過程中會涉及以下幾個(gè)安全性方面的要素：可靠性、真實(shí)性、機(jī)密性、完整性、不可否認(rèn)性。（一）可靠性電子商務(wù)系統(tǒng)的可靠性是指為防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒與自然災(zāi)害等所產(chǎn)生的潛在威脅，通過控制與預(yù)防等來確保系統(tǒng)安全可靠。電子商務(wù)系統(tǒng)的安全是保證數(shù)據(jù)傳輸與存儲以及電子商務(wù)完整性檢查的基礎(chǔ)。系統(tǒng)的可靠性可以通過網(wǎng)絡(luò)安全技術(shù)來實(shí)現(xiàn)。（二）真實(shí)性交易的真實(shí)性是指商務(wù)活動中交易者身份是真實(shí)有效的，也就是要確定交易雙方是真實(shí)存在的。網(wǎng)上交易的雙方可能素昧平生、相隔千里，要進(jìn)行成功交易的前提條件是要能確認(rèn)對方的身份是否真實(shí)可信。身份認(rèn)證通常采用電子簽名技術(shù)、數(shù)字證書來實(shí)現(xiàn)。（三）機(jī)密性信息的機(jī)密性是指交易過程中必須保證信息不會泄露給非授權(quán)的人或?qū)嶓w。電子商務(wù)的交易信息直接代表著個(gè)人、企業(yè)的商業(yè)機(jī)密。個(gè)人的信用卡號和密碼在網(wǎng)上傳送時(shí)如被他人截獲，就可能被盜用；企業(yè)的訂貨和付款信息如被競爭對手獲悉，該企業(yè)就可能貽誤商機(jī)。電子商務(wù)則建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上，商業(yè)保密就成為電子商務(wù)全面推廣應(yīng)用的重要障礙。因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取，確保只有合法用戶才能看到數(shù)據(jù)，防止泄密事件。信息的機(jī)密性的保護(hù)一般通過數(shù)據(jù)加密技術(shù)來實(shí)現(xiàn)。（四）完整性信息的完整性是指數(shù)據(jù)在傳輸或存儲過程中不會受到非法修改、刪除或重放，以確保信息的順序完整性和內(nèi)容完整性。電子商務(wù)簡化了傳統(tǒng)的貿(mào)易過程，減少了人為的干預(yù)，但卻需要維護(hù)商業(yè)信息的完整與一致。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為以及數(shù)據(jù)傳輸過程中信息丟失、重復(fù)或傳送的次序差異，都有可能導(dǎo)致貿(mào)易各方收到的信息不一致。信息的完整性將影響到貿(mào)易各方的交易與經(jīng)營策略，保持這種完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。數(shù)據(jù)完整性的保護(hù)通過安全散列函數(shù)（如數(shù)字摘要）與電子簽名技術(shù)來實(shí)現(xiàn)。（五）不可否認(rèn)性交易的不可否認(rèn)性是指保證發(fā)送方不能否認(rèn)自己發(fā)送了信息，同時(shí)接收方也不能否認(rèn)自己接收的信息。在傳統(tǒng)的紙面貿(mào)易方式中，貿(mào)易雙方通過在交易合同、契約等書面文件上簽名，或是通過蓋上印章來鑒別貿(mào)易伙伴，以確定合同、契約、交易的可靠性，并能預(yù)防可能的否認(rèn)行為的發(fā)生。在電子商務(wù)的應(yīng)用環(huán)境中，通過手寫簽名與印章鑒別已不可能，就需要其他方法實(shí)現(xiàn)交易的不可否認(rèn)。因此，電子商務(wù)交易的各方在進(jìn)行數(shù)據(jù)信息傳輸時(shí)，必須帶有自身特有的，無法被別人復(fù)制的信息，以防發(fā)送方否認(rèn)曾經(jīng)發(fā)生過的信息，或接收方否認(rèn)曾經(jīng)接收到的信息，確保在交易發(fā)生糾紛時(shí)可以拿出證據(jù)。交易的不可否認(rèn)性是通過電子簽名技術(shù)來實(shí)現(xiàn)的。二、電子商務(wù)安全體系電子商務(wù)的核心是通過網(wǎng)絡(luò)技術(shù)來傳遞商業(yè)信息并開展交易，所以解決電子商務(wù)系統(tǒng)的硬件安全、軟件安全和系統(tǒng)運(yùn)行安全等實(shí)體安全問題成為電子商務(wù)安全的基礎(chǔ)。電子商務(wù)系統(tǒng)硬件（物理）安全是指保護(hù)計(jì)算機(jī)系統(tǒng)硬件的安全，包括計(jì)算機(jī)的電器特性、防電防磁以及計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全、受到物理保護(hù)而免于破壞、丟失等，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。電子商務(wù)系統(tǒng)軟件安全是指保護(hù)軟件和數(shù)據(jù)不被篡改、破壞和非法復(fù)制。系統(tǒng)軟件安全的目標(biāo)是使計(jì)算機(jī)系統(tǒng)邏輯上安全，主要是使系統(tǒng)中信息的存取、處理和傳輸滿足系統(tǒng)安全策略的要求。根據(jù)計(jì)算機(jī)軟件系統(tǒng)的組成，軟件安全可分為操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)軟件安全、通信軟件安全和應(yīng)用軟件安全。電子商務(wù)系統(tǒng)運(yùn)行安全是指保護(hù)系統(tǒng)能連續(xù)正常地運(yùn)行。對企事業(yè)單位來說，為了保證電子商務(wù)中計(jì)算機(jī)與網(wǎng)絡(luò)實(shí)體自身的安全，實(shí)際應(yīng)用中一般選擇并綜合各類實(shí)體安全技術(shù)形成一個(gè)綜合安全體系。這些技術(shù)包括數(shù)據(jù)備份、系統(tǒng)（或者數(shù)據(jù)庫、服務(wù)）用戶權(quán)限管理、服務(wù)器配置、VPN、防火墻、入侵檢測系統(tǒng)（IDS）、病毒防范等。一般的電子商務(wù)客戶端使用防火墻、殺毒軟件、用戶管理等技術(shù)來保證安全，而服務(wù)器端則會采用代理服務(wù)型防火墻、入侵檢測技術(shù)、雙機(jī)熱備份、數(shù)據(jù)庫與服務(wù)的用戶權(quán)限管理等技術(shù)來防止黑客攻擊，實(shí)現(xiàn)服務(wù)器安全。實(shí)現(xiàn)了實(shí)體安全，電子商務(wù)系統(tǒng)的可靠性就得到了較好的保證，但交易的真實(shí)性、機(jī)密性、完整性和不可否認(rèn)性并未能實(shí)現(xiàn)，這就需要使用加密技術(shù)、電子簽名技術(shù)和數(shù)字認(rèn)證技術(shù)等來構(gòu)建一個(gè)科學(xué)、合理的電子商務(wù)安全體系。第二節(jié)電子商務(wù)安全技術(shù)一、防火墻技術(shù)防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中，尤其是在連接到互聯(lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)中，防火墻技術(shù)使用最普遍。網(wǎng)絡(luò)防火墻是指在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問控制的一整套裝置，即防火墻是構(gòu)造在內(nèi)部網(wǎng)和外部網(wǎng)之間的保護(hù)層，強(qiáng)制所有的連接都必須經(jīng)過此保護(hù)層，并在此進(jìn)行安全檢查和連接（如圖3-1所示）。只有被授權(quán)的通信才能通過此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵。圖3-1防火墻的應(yīng)用示意圖（一）防火墻的安全策略為網(wǎng)絡(luò)建立防火墻，首先需決定此防火墻將采取何種安全策略。通常防火墻采用的安全策略有如下兩個(gè)基本準(zhǔn)則：1．一切未被允許的訪問就是禁止的基于該準(zhǔn)則，防火墻要封鎖所有的信息流，然后對希望開放的服務(wù)逐步開放。這是一種非常實(shí)用的方法，可以形成一個(gè)安全的環(huán)境，但其安全是以犧牲用戶使用的方便為代價(jià)的，用戶所能使用的服務(wù)范圍受到較大的限制。2．一切未被禁止的訪問就是允許的基于該準(zhǔn)則，防火墻開放所有的信息流，然后逐項(xiàng)屏蔽有害的服務(wù)。這種方法構(gòu)成了一種靈活的應(yīng)用環(huán)境，但很難提供可靠的安全保護(hù)，特別是當(dāng)保護(hù)的網(wǎng)絡(luò)范圍增大時(shí)。總之，從安全性角度考慮，第一種策略更可取一些。因?yàn)槲覀円话愫茈y找出網(wǎng)絡(luò)的所有漏洞，從而也就很難排除所有的非法服務(wù)。而從靈活性和使用方便性的角度考慮，則第二種策略更合適。（二）防火墻的主要類型防火墻有多種類型，但大體上可以劃分為三類：一類是基于包過濾（packetfilter）的防火墻，通常直接轉(zhuǎn)發(fā)報(bào)文，對用戶完全透明，速度較快；第二類是基于代理服務(wù)（proxyservice）的防火墻，通過代理服務(wù)器建立連接，可以有更強(qiáng)的身份驗(yàn)證和日志功能；第三類則是上述兩種的結(jié)合，即復(fù)合型防火墻。1．包過濾防火墻圖3-2包過濾防火墻的工作原理包過濾防火墻是最簡單的防火墻，通常只包括對源和目的IP地址及端口的檢查（如圖3-2所示）。對用戶來說，這些檢查是透明的。包過濾防火墻比其他模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性。但是，這種簡單性帶來了一個(gè)嚴(yán)重的問題：過濾器不能在用戶層次上進(jìn)行安全過濾，即在同一臺機(jī)器上，過濾器分辨不出是哪個(gè)用戶的報(bào)文。包過濾器通常是放在路由器上，大多數(shù)路由器都缺省地提供了包過濾功能。現(xiàn)在已出現(xiàn)了智能包過濾器，它與簡單包過濾器相比，具有解釋數(shù)據(jù)流的能力。然而，智能包過濾器同樣不能對用戶進(jìn)行區(qū)分。圖3-2包過濾防火墻的工作原理2．代理服務(wù)型防火墻代理服務(wù)型防火墻使用一個(gè)客戶程序與特定的中間結(jié)點(diǎn)（防火墻）連接，然后中間結(jié)點(diǎn)與服務(wù)器進(jìn)行實(shí)際連接（如圖3-3所示）。圖3-3代理服務(wù)器防火墻的工作原理使用代理服務(wù)型防火墻，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不存在直接連接，因此即使防火墻出了問題，外部網(wǎng)絡(luò)也無法與內(nèi)部網(wǎng)絡(luò)連接，通常稱內(nèi)、外網(wǎng)之間的中間結(jié)點(diǎn)為雙端主機(jī)。代理服務(wù)器提供了詳細(xì)的日志和審計(jì)功能，大大提高了網(wǎng)絡(luò)的安全性，也為改進(jìn)現(xiàn)有軟件的安全性能提供了可能。代理服務(wù)運(yùn)行在雙端主機(jī)上，但它是基于特定應(yīng)用的。這樣，就必須配置每個(gè)應(yīng)用（如Telnet、FTP），而且只要應(yīng)用程序一升級，原來的代理服務(wù)就不再適用了。因此，從這個(gè)意義上說，代理服務(wù)型防火墻比包過濾防火墻有更多的局限性。另外，這種防火墻常常會使網(wǎng)絡(luò)性能明顯下降，相當(dāng)多的防火墻不能處理高負(fù)載的網(wǎng)絡(luò)通信。如果防火墻的網(wǎng)絡(luò)性能差，就很容易受到攻擊。圖3-3代理服務(wù)器防火墻的工作原理3．復(fù)合型防火墻這種防火墻是把前兩類防火墻結(jié)合起來，形成新的產(chǎn)品，以發(fā)揮各自的優(yōu)勢，克服各自的缺點(diǎn)，具有對一切連接嘗試進(jìn)行過濾、提取和管理多種狀態(tài)信息的功能，同時(shí)可以智能化地做出安全控制和流量的決策，提供高性能的服務(wù)和靈活的適應(yīng)性，具有網(wǎng)絡(luò)內(nèi)外完全透明的特性。（三）防火墻的主要功能1．保護(hù)易受攻擊的服務(wù)防火墻能過濾那些不安全的服務(wù)。只有預(yù)先被允許的服務(wù)才能通過防火墻，強(qiáng)化身份識別體系，防止用戶的非法訪問和非法用戶的訪問，這樣就降低了受到非法攻擊的風(fēng)險(xiǎn)性，大大提高了企業(yè)內(nèi)部網(wǎng)的安全性。2．控制對特殊站點(diǎn)的訪問防火墻能控制對特殊站點(diǎn)的訪問，隱藏網(wǎng)絡(luò)架構(gòu)。如有些主機(jī)能被外部網(wǎng)絡(luò)訪問而有些則要被保護(hù)起來，防止不必要的訪問。通常會有這樣一種情況，在內(nèi)部網(wǎng)中只有電子郵件服務(wù)器、FTP服務(wù)器和WWW服務(wù)器能被外部網(wǎng)訪問，而其他訪問則被防火墻禁止。3．集中化的安全管理對于一個(gè)企業(yè)而言，使用防火墻比不使用防火墻可能更加經(jīng)濟(jì)一些。這是因?yàn)槿绻褂昧朔阑饓Γ涂梢詫⑺行薷倪^的軟件和附加的安全軟件都放在防火墻上集中管理。如不使用防火墻，就必須將所有軟件分散到各個(gè)主機(jī)上。4．檢測外來黑客攻擊的行動防火墻集成了入侵檢測功能，提供了監(jiān)視互聯(lián)網(wǎng)安全和預(yù)警的方便端點(diǎn)。5．對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計(jì)如果所有對互聯(lián)網(wǎng)的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑操作時(shí)，防火墻能夠報(bào)警并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。（四）防火墻的局限性防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失，主要表現(xiàn)在以下幾個(gè)方面。1．只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力。2．不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。3．不能防止已感染病毒的文件的傳輸，因?yàn)楝F(xiàn)在的各類病毒種類太多，防火墻無法逐個(gè)掃描每個(gè)文件來查找病毒。4．不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。5．不能防止數(shù)據(jù)驅(qū)動式攻擊，當(dāng)有些表面看來無害的數(shù)據(jù)如電子郵件、FTP等被郵寄或復(fù)制到內(nèi)部主機(jī)上并被執(zhí)行時(shí)，就會發(fā)生數(shù)據(jù)驅(qū)動式攻擊。數(shù)據(jù)驅(qū)動式攻擊常常會先修改一臺主機(jī)有關(guān)的安全文件，從而為下次入侵做準(zhǔn)備。二、加密技術(shù)數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障其安全性，這是一種主動的安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。（一）加密的基本概念加密是一種限制對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)的技術(shù)。所謂加密，就是用基于數(shù)學(xué)方法的程序和保密的密鑰對信息進(jìn)行編碼，把計(jì)算機(jī)數(shù)據(jù)變成一堆雜亂無章難以理解的字符串，也就是把明文變成密文。加密技術(shù)與密碼學(xué)緊密相連，密碼學(xué)的基本術(shù)語如下。明文：也稱為原文，作為加密輸入的原始信息。密文：明文變換后的結(jié)果。密鑰：參與變換的參數(shù)。密碼算法：用于加密和解密的數(shù)學(xué)函數(shù)。加密算法：發(fā)送方對明文進(jìn)行加密操作時(shí)所采用的一組規(guī)則。解密算法：接收方對密文進(jìn)行解密時(shí)所采用的一組規(guī)則。數(shù)據(jù)加密/解密的一般模型如圖3-4所示，用加密算法和加密密鑰將明文編碼成密文。到了接收端，利用解密算法和解密密鑰，解出明文。圖3-4數(shù)據(jù)加密/解密的一般模型（二）密碼體制分類按加密密鑰和解密密鑰是否相同，可將現(xiàn)有的加密體制分為兩種：對稱加密體制和非對稱加密體制。1．對稱加密體制這種體制的加密密鑰和解密密鑰相同，即發(fā)送方和接收方使用相同的密鑰對明文進(jìn)行加密和解密運(yùn)算，對稱加密模型如圖3-5所示。常見的對稱加密算法為DES（DataEncryptStandard）和IDEA等算法，目前廣泛使用的是3DES。如圖3-5對稱加密模型對稱加密技術(shù)由于雙方擁有相同的密鑰，具有易于實(shí)現(xiàn)和速度快的優(yōu)點(diǎn)，所以廣泛應(yīng)用于通信和存儲數(shù)據(jù)的加密和解密。但它的密鑰必須按照安全途徑進(jìn)行傳遞，密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，難以滿足開放式計(jì)算機(jī)網(wǎng)絡(luò)的需求。對稱加密體制存在以下問題：（1）密鑰使用一段時(shí)間后就要更換，加密方需經(jīng)過某種秘密渠道把密鑰傳給解密方，而密鑰在此過程中可能會泄露。（2）網(wǎng)絡(luò)通信時(shí)，如果網(wǎng)內(nèi)用戶使用相同的密鑰，就失去了保密的意義；但如果網(wǎng)內(nèi)任意兩個(gè)用戶通信使用互不相同的密鑰，則N個(gè)用戶相互通信需要N*（N-1）個(gè)不同的密鑰，密鑰量太大，難以管理。（3）無法滿足互不相識的人進(jìn)行私人談話的保密性需求。（4）難以解決數(shù)字簽名驗(yàn)證的問題。2．非對稱加密體制這種體制的加密密鑰和解密密鑰不相同，而且從其中一個(gè)很難推出另一個(gè)，非對稱加密模型如圖3-6所示。非對稱加密算法主要有RSA（Rivest，Shamir，Adelman）、橢圓曲線和背包算法等。如圖3-6非對稱加密模型非對稱加密技術(shù)也可以稱為公開密鑰加密技術(shù)。之所以又叫做公開密鑰加密技術(shù)是由于加密密鑰可以公開，即陌生人可以得到它并用來加密信息，但只有用相應(yīng)的解密密鑰才能解密信息。非對稱加密過程中，加密密鑰叫做公開密鑰，解密密鑰叫做私有密鑰。非對稱加密的工作流程：要求發(fā)送方和接收方在安全通信之前，發(fā)送方通過網(wǎng)絡(luò)查詢或其他方式取得接收方的公開密鑰；發(fā)送方使用接收方的公開密鑰對明文進(jìn)行加密得到密文；接收方收到密文后，用自己的私有密鑰進(jìn)行解密，恢復(fù)出明文。非對稱加密算法的一個(gè)致命缺點(diǎn)就是處理速度很慢，不適于對大量數(shù)據(jù)進(jìn)行加密/解密運(yùn)算，而且其密鑰長度必須很長才能保證安全性。相比對稱加密體制，非對稱加密體制具有以下優(yōu)點(diǎn)：（1）密鑰分配簡單，N個(gè)用戶相互通信需要N對密鑰。（2）密鑰的保存量少，每個(gè)用戶只需記住自己的私有密鑰即可。（3）可以滿足互不相識的人之間進(jìn)行私人談話時(shí)的保密性需求。（4）可以完成數(shù)字簽名和數(shù)字鑒別。（三）數(shù)字信封技術(shù)數(shù)字信封技術(shù)結(jié)合了對稱加密和非對稱加密技術(shù)的優(yōu)點(diǎn)，使用兩層次的加密來獲得非對稱加密密鑰技術(shù)的方便性和對稱加密技術(shù)的高效性。具體做法是：每當(dāng)發(fā)送方需要發(fā)送信息時(shí)，首先生成一個(gè)單密鑰，用這個(gè)單密鑰加密所要發(fā)送的明文，然后用接收方的公共密鑰加密這個(gè)密鑰形成數(shù)字信封，將密文和數(shù)字信封一同傳送給接收方；接收方收到數(shù)字信封和密文后，首先用自己的私有密鑰解密出被加密的單密鑰，再用這個(gè)單密鑰解密出真正的明文。數(shù)字信封產(chǎn)生的過程如圖3-7所示。圖3-7數(shù)字信封加密過程數(shù)字信封技術(shù)在外層使用非對稱加密技術(shù)，就可以享受其傳遞方便、加密性能好的優(yōu)點(diǎn)；而于內(nèi)層使用對稱加密技術(shù)，使得加密效率提高。同時(shí)也使得非對稱加密相對低效率被降到最低。而且由于可以在每次傳送信息時(shí)，使用不同的對稱密鑰，是系統(tǒng)的安全性又得到了進(jìn)一步保證。三、數(shù)字簽名技術(shù)（一）數(shù)字摘要數(shù)字摘要，就是發(fā)送方對被傳送的明文根據(jù)某種數(shù)學(xué)算法（通常是哈希算法）計(jì)算出此明文的摘要，數(shù)字摘要與明文之間有一一對應(yīng)的關(guān)系。發(fā)送方將此數(shù)字摘要和明文一起通過網(wǎng)絡(luò)傳送給接收方，接收方根據(jù)此數(shù)字摘要來檢驗(yàn)明文在網(wǎng)絡(luò)傳送過程中有沒有發(fā)生變化，判斷明文的真實(shí)與否，從而來判斷明文的完整性。其過程如圖3-8所示。圖3-8數(shù)字摘要產(chǎn)生示意圖哈希（Hash）算法是一個(gè)單向的、不可逆的數(shù)學(xué)函數(shù)。即明文通過此算法后，能產(chǎn)生一個(gè)數(shù)字摘要，但不可能由此數(shù)字摘要用任何辦法或算法來還原明文，從而保護(hù)明文的機(jī)密性。數(shù)字摘要可以用于保護(hù)明文的真實(shí)性，可以在一定程度上防偽防修改，但是數(shù)字摘要技術(shù)如哈希算法本身并不能保證數(shù)據(jù)的完整性，還必須與其他密鑰加密技術(shù)結(jié)合起來使用才能保證。因?yàn)楣Ｋ惴ㄊ枪_的，如果某人改變可傳送的明文，可以很容易地同時(shí)改變由哈希算法生成的數(shù)字摘要。單用數(shù)字摘要顯然無法保證數(shù)據(jù)的完整性，必須將數(shù)字摘要保護(hù)起來，使別人無法偽造。（二）數(shù)字簽名在電子商務(wù)中，完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴，他人不能偽造，在公證人面前能驗(yàn)證真?zhèn)蔚哪芰?。目前的?shù)字簽名是建立在公開密鑰體制基礎(chǔ)上的，其基本原理是，發(fā)送方用私鑰對明文加密（簽名），接收方用公鑰解密（核對簽名）。數(shù)字簽名可以保證接收方能夠核實(shí)發(fā)送方對電子文件的簽名，發(fā)送方事后不能否認(rèn)對文件的簽名，接收方不能偽造對電子文件的簽名。它能夠在電子文件中識別雙方交易人的真實(shí)身份，保證交易的安全性和真實(shí)性以及不可否認(rèn)性，起到與手寫簽名或者蓋章的同等作用。具體做法如圖3-9所示：圖3-9數(shù)字簽名過程1．發(fā)送方用哈希算法生成明文的數(shù)字摘要。2．對數(shù)字摘要用發(fā)送方的私鑰做非對稱加密，即形成數(shù)字簽名。由于私鑰只有發(fā)送者本人擁有，因此它的簽名具有不可否認(rèn)性。3．將數(shù)字簽名和明文通過網(wǎng)絡(luò)一起傳送給接收方。4．接收方用發(fā)送方的公鑰將數(shù)字簽名解密成數(shù)字摘要。5．再利用哈希算法將收到的明文生成一個(gè)新的數(shù)字摘要。6．將兩個(gè)數(shù)字摘要進(jìn)行對比，如果相同則數(shù)字簽名得到驗(yàn)證，否則數(shù)字簽名無效。如果接收方對發(fā)送方數(shù)字簽名驗(yàn)證成功，就可以說明以下實(shí)質(zhì)性的問題：該電子文件確實(shí)是經(jīng)發(fā)送方簽名后發(fā)送的，說明發(fā)送方用了自己的私鑰做的簽名并得到驗(yàn)證，達(dá)到不可否認(rèn)的目的；數(shù)字簽名防止了冒名發(fā)送信息；接收方收到的電子文件在傳輸中沒有被篡改，保持了數(shù)據(jù)的完整性，因?yàn)楹炇鸷髮?shù)字簽名的任何改動都能夠被發(fā)現(xiàn)。（三）數(shù)字時(shí)間戳服務(wù)數(shù)字時(shí)間戳相當(dāng)于郵戳。在交易文件中，文件簽署的時(shí)間是十分重要的信息。相當(dāng)于書面合同中，文件簽署日期和蓋章的時(shí)間同樣十分重要。在電子商務(wù)中，同樣需要對交易文件的日期和時(shí)間信息采取安全措施，因此數(shù)字時(shí)間戳或稱數(shù)字時(shí)間標(biāo)志（DTS）的提出為電子文件的發(fā)表時(shí)間提供了安全保護(hù)和證明。數(shù)字時(shí)間戳是網(wǎng)上的兩種安全服務(wù)項(xiàng)目，由專門機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括以下三個(gè)部分：1．需要加時(shí)間戳的文件摘要。2．?dāng)?shù)字時(shí)間標(biāo)志機(jī)構(gòu)收到文件的日期和時(shí)間。3．?dāng)?shù)字時(shí)間標(biāo)志機(jī)構(gòu)的數(shù)字簽名。數(shù)字時(shí)間戳產(chǎn)生的過程：用戶首先將需要加時(shí)間戳的文件用哈希算法加密后形成摘要，然后將該摘要發(fā)送到數(shù)字時(shí)間標(biāo)志機(jī)構(gòu)，數(shù)字時(shí)間標(biāo)志機(jī)構(gòu)在加入了收到文件摘要的日期和時(shí)間信息后，再對該文件用數(shù)字時(shí)間標(biāo)志機(jī)構(gòu)的密鑰加密（數(shù)字簽名），然后送回用戶手中。數(shù)字時(shí)間戳產(chǎn)生過程如圖3-10所示。圖3-10獲得數(shù)字時(shí)間戳的過程四、認(rèn)證技術(shù)（一）CA認(rèn)證與數(shù)字證書1．CA認(rèn)證CA（CertificationAuthority）是認(rèn)證機(jī)構(gòu)的國際通稱，是對數(shù)字證書的申請者發(fā)放、管理、取消數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書，以防證書被偽造或篡改。認(rèn)證機(jī)構(gòu)相當(dāng)于一個(gè)權(quán)威可信的中間人，它的職責(zé)是核實(shí)交易各方的身份，負(fù)責(zé)電子證書的發(fā)放和管理。理想化的狀態(tài)是，上網(wǎng)的每一企業(yè)或者個(gè)人都要有一個(gè)自己的網(wǎng)絡(luò)身份證作為唯一的標(biāo)識。這些網(wǎng)絡(luò)身份證的發(fā)放、管理和認(rèn)證是一個(gè)復(fù)雜的過程，也就是所謂的CA認(rèn)證。2．?dāng)?shù)字證書數(shù)字證書又稱數(shù)字憑證或數(shù)字標(biāo)識（DigitalCertificate，DigitalID），也被稱作CA證書，實(shí)際上是一串很長的數(shù)學(xué)編碼，通常保存在計(jì)算機(jī)硬盤或IC卡中。數(shù)字證書主要包含證書持有者的信息、證書持有者的公開密鑰和證書頒發(fā)機(jī)構(gòu)的簽名及證書有效期等內(nèi)容。數(shù)字證書一般是由CA認(rèn)證中心簽發(fā)的，證明證書主體（證書申請者獲得CA認(rèn)證中心簽發(fā)的證書后即成為證書主體）與證書中所包含的公鑰的唯一對應(yīng)關(guān)系。它提供了一種在互聯(lián)網(wǎng)上驗(yàn)證身份的方式，是用來標(biāo)識和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字文件。從證書的用途來看，可以將數(shù)字證書分為根證書、服務(wù)器證書和客戶證書三種。根證書是CA認(rèn)證中心給自己頒發(fā)的證書，是信任鏈的起始點(diǎn)。服務(wù)器證書是CA認(rèn)證中心頒發(fā)的，用以證明服務(wù)器的身份?？蛻糇C書又稱瀏覽器證書，是指由CA認(rèn)證中心頒發(fā)的，安裝在客戶瀏覽端使用的個(gè)人或企業(yè)證書。（二）身份認(rèn)證技術(shù)身份認(rèn)證即鑒別認(rèn)證，是指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確定對方身份?；ヂ?lián)網(wǎng)上身份認(rèn)證的方法有很多，比如口令認(rèn)證、智能卡認(rèn)證、短信密碼認(rèn)證、動態(tài)口令牌認(rèn)證、USBKey認(rèn)證以及生物特性認(rèn)證等。1．口令認(rèn)證：主要是基于固定口令的認(rèn)證方法。用戶的密碼是自己設(shè)定的，在登錄時(shí)輸入密碼，然后系統(tǒng)與事先保存的用戶信息進(jìn)行比較，如果吻合，計(jì)算機(jī)就認(rèn)為操作者是合法的?？诹钫J(rèn)證存在密碼容易泄露，在驗(yàn)證過程中可能會被木馬程序或網(wǎng)絡(luò)截獲等不足之處。2．智能卡認(rèn)證：智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)。智能卡由合法用戶隨身攜帶，登錄時(shí)將智能卡插入或用專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。智能卡存在驗(yàn)證信息被截取等安全隱患。3．短信密碼認(rèn)證：以短信形式請求包含6位隨機(jī)數(shù)的動態(tài)密碼，客戶在登錄或者交易時(shí)輸入此動態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。短信密碼認(rèn)證具有安全性、普及性、易收費(fèi)、易維護(hù)等優(yōu)點(diǎn)。4．動態(tài)口令牌認(rèn)證：動態(tài)口令一般是長度5-8位的字符串，由數(shù)字、字母、特殊字符、控制字符等組成。用戶在登錄服務(wù)器時(shí)，服務(wù)器采用用戶名與動態(tài)口令對用戶進(jìn)行認(rèn)證，一般還要提供動態(tài)口令更改工具，通常還提供用戶提醒工具以防忘記口令。這也是目前最為安全的身份認(rèn)證方式，是利用“用戶所有”的一種動態(tài)密碼。5．USBKey認(rèn)證：采用軟硬件結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或證書，利用內(nèi)置密碼算法實(shí)現(xiàn)對用戶的認(rèn)證。6．生物特性認(rèn)證：通過可測量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。身體特征包括：指紋、掌形、視網(wǎng)膜、虹膜、人體氣味、臉形和DNA等；行為特征包括：簽名、語音、行走步態(tài)等。第三節(jié)電子商務(wù)安全協(xié)議電子商務(wù)應(yīng)用的核心和關(guān)鍵問題是交易的安全性。由于互聯(lián)網(wǎng)本身的開放性，使得網(wǎng)上交易面臨著各種危險(xiǎn)，由此提出了相應(yīng)的安全控制要求。安全套接層協(xié)議（SSL）和安全電子交易協(xié)議（SET）是電子商務(wù)中比較常用的安全協(xié)議。一、安全套接層協(xié)議（SSL）1．SSL協(xié)議概述安全套接層協(xié)議（SecureSocketsLayer，SSL）是一種傳輸層技術(shù)，由Netscape開發(fā)，利用數(shù)據(jù)加密技術(shù)，確保數(shù)據(jù)在傳輸過程中不會被截取及竊聽，可以實(shí)現(xiàn)瀏覽器和服務(wù)器之間的安全通信。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上，并且與上層協(xié)議無關(guān)，各種應(yīng)用層協(xié)議（如HTTP、FTP、Telnet等）能通過SSL協(xié)議進(jìn)行透明傳輸。SSL是兩層協(xié)議，見表3-1。SSL協(xié)議提供的安全連接具有三個(gè)基本特點(diǎn)：（1）數(shù)據(jù)保密：連接是安全保密的，在初始化握手協(xié)議協(xié)商加密密鑰之后傳輸?shù)南⒕鶠榧用艿南ⅲ用艿乃惴閷ΨQ加密算法，如DES、RC4、IDEA等。（2）身份認(rèn)證：通信雙方的身份可以通過公鑰加密算法，如RSA、DSS等簽名來驗(yàn)證，杜絕假冒。（3）數(shù)據(jù)完整性：Hash函數(shù)如SHA、MD5等被用來產(chǎn)生消息摘要MAC。所傳輸?shù)南⒕瑪?shù)字簽名，以保證消息的完整性。這保證連接是可靠的。表3-1SSL協(xié)議的結(jié)構(gòu)體系SSL握手協(xié)議SSL更改密碼規(guī)格協(xié)議SSL警報(bào)協(xié)議HTTPSSL記錄協(xié)議TCPIP2．SSL握手協(xié)議該協(xié)議允許服務(wù)器和客戶機(jī)相互驗(yàn)證，協(xié)商加密和MAC算法以及保密密鑰，用來保護(hù)在SSL記錄中發(fā)送的數(shù)據(jù)。握手協(xié)議是在任何應(yīng)用程序數(shù)據(jù)傳輸之前使用的。SSL握手協(xié)議用于在通信雙方建立安全傳輸通道，具體實(shí)現(xiàn)以下功能：（1）在客戶端驗(yàn)證服務(wù)器，SSL協(xié)議采用公鑰方式進(jìn)行身份認(rèn)證。（2）在服務(wù)器端驗(yàn)證客戶（可選的）。（3）客戶端和服務(wù)器之間協(xié)商雙方都支持的加密算法和壓縮算法，可選用的加密算法包括IDEA、RC4、DES、3DES、RSA、DSS、Diffie-hellman、Fortezza、MD5、SHA等。（4）產(chǎn)生對稱加密算法的會話密鑰。（5）建立加密SSL連接。3．SSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供了兩種服務(wù)：（1）機(jī)密性：握手協(xié)議為SSL有效載荷的常規(guī)密碼定義共享的保密密鑰。（2）消息完整性：握手協(xié)議為生成MAC（MessageAuthenticationCode，消息身份認(rèn)證碼）定義共享的保密密鑰。SSL記錄協(xié)議從高層接收到數(shù)據(jù)后要經(jīng)過分段、壓縮、添加MAC和加密處理，最后由傳輸層發(fā)送出去。在SSL協(xié)議中，所有的傳輸數(shù)據(jù)都被封裝在記錄中，SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)的格式。二、安全電子交易協(xié)議（SET）1．SET協(xié)議概述安全電子交易（SecureElectronicTransaction，SET）是1996年由MasterCard（萬事達(dá)）與Visa（維薩）兩大國際信用卡公司聯(lián)合制訂的安全電子交易規(guī)范，它提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保交易的保密性、可靠性和不可否認(rèn)性，保證在開放網(wǎng)絡(luò)環(huán)境下使用信用卡進(jìn)行在線購物的安全。2．SET協(xié)議中采用的數(shù)據(jù)加密模型SET協(xié)議中采用的數(shù)據(jù)加密模型具有以下特點(diǎn)：（1）交易參與者的身份鑒別采用數(shù)字證書的方式來完成，數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)。（2）交易的不可否認(rèn)性用數(shù)字簽名的方式來實(shí)現(xiàn)。由于數(shù)字簽名是由發(fā)送方的私鑰產(chǎn)生，而發(fā)送方的私鑰只有他本人知道，所以發(fā)送方便不能對其發(fā)送過的交易數(shù)據(jù)進(jìn)行抵賴。（3）用數(shù)字摘要來保證數(shù)據(jù)的完整性。（4）由于非對稱加密算法的運(yùn)算速度慢，所以要和對稱加密算法聯(lián)合使用，用對稱加密算法來加密數(shù)據(jù)，用數(shù)字信封來交換對稱密鑰。第四節(jié)電子商務(wù)安全管理電子商務(wù)發(fā)展到目前，隨著相關(guān)技術(shù)和設(shè)施的逐步成熟，越來越突出的問題不再局限于技術(shù)領(lǐng)域，而擴(kuò)展到了企業(yè)管理、經(jīng)濟(jì)體制、政府參與、公眾意識更新等更加廣泛復(fù)雜的層面。因此，實(shí)現(xiàn)電子商務(wù)的關(guān)鍵因素不只是技術(shù)，還包括電子商務(wù)制度建設(shè)、人員管理、誠信體系建設(shè)、法律法規(guī)保證等諸多社會因素。逐步建立起協(xié)調(diào)發(fā)展的電子商務(wù)社會環(huán)境已經(jīng)成為電子商務(wù)健康發(fā)展所面臨的嚴(yán)峻挑戰(zhàn)。建立健全電子商務(wù)安全管理制度和法律法規(guī)，對促進(jìn)電子商務(wù)的發(fā)展具有重要的現(xiàn)實(shí)意義。一、電子商務(wù)安全管理制度電子商務(wù)系統(tǒng)是面向社會的服務(wù)系統(tǒng)，參與電子商務(wù)的自然人或法人都有責(zé)任和義務(wù)保持系統(tǒng)的正常運(yùn)行，不得隨意破壞。對于從事網(wǎng)上交易的企業(yè)來說，保證商務(wù)活動的安全特別重要。電子商務(wù)安全管理約束機(jī)制的建立，一方面，需要用具體的文字對各項(xiàng)安全管理辦法做出各項(xiàng)明確的規(guī)定；另一方面，要將責(zé)任落實(shí)到個(gè)人，實(shí)行崗位職責(zé)的有效管理與全程監(jiān)督，這是保證電子商務(wù)活動取得成功的環(huán)境基礎(chǔ)。安全管理規(guī)章制度包括從業(yè)人員管理制度、信息保密制度、跟蹤、審計(jì)、稽核制度、系統(tǒng)日常維護(hù)制度、數(shù)據(jù)備份制度、病毒防護(hù)制度和信息簽發(fā)制度等。安全管理制度能否實(shí)施到位，既是管理水平的具體體現(xiàn)，也是關(guān)系到電子商務(wù)系統(tǒng)安全順利運(yùn)作的重要保證。二、電子商務(wù)安全的法律保障市場經(jīng)濟(jì)又是法治經(jīng)濟(jì)，電子商務(wù)的發(fā)展需要建設(shè)和完善相關(guān)的法律體系。雖然從技術(shù)角度而言有各種保證電子商務(wù)交易的安全措施，但是人們對網(wǎng)上交易是否安全仍然心存疑慮，法律問題只有通過法律法規(guī)才能解決。如合同執(zhí)行、賠償、個(gè)人隱私、資金安全、知識產(chǎn)權(quán)保護(hù)、稅收等問題，這些問題都是人們最為擔(dān)心的，處理不當(dāng)將會嚴(yán)重影響電子商務(wù)的應(yīng)用與普及。因此，研究、制定與電子商務(wù)相關(guān)的法律法規(guī)，采取相應(yīng)的法律保障措施勢在必行?！舅伎季毩?xí)】1．試述開展電子商務(wù)過程中會涉及的安全性方面的要素。2．防火墻的主要功能有哪些？3．對稱加密和非對稱加密各有什么特點(diǎn)？4．圖示數(shù)字簽名的過程。5．安全電子交易（SET）協(xié)議有哪些特點(diǎn)？實(shí)驗(yàn)一系統(tǒng)安全設(shè)置［實(shí)驗(yàn)?zāi)康暮鸵螅?/p>

1、掌握本地安全策略的設(shè)置

2、掌握系統(tǒng)資源的共享及安全的設(shè)置技術(shù)

3、掌握管理安全設(shè)置的技術(shù)［實(shí)驗(yàn)內(nèi)容］1、本地安全策略2、資源共享3、管理安全設(shè)置［實(shí)驗(yàn)步驟］一、本地安全策略“控制面板”---“管理工具”---“本地安全策略”，如圖1-1。圖1-1本地安全設(shè)置圖1-2拒絕本地登錄在“用戶權(quán)利指派”中查看：哪些用戶不可以在本地登錄？哪些用戶可以從網(wǎng)絡(luò)訪問計(jì)算機(jī)？哪些用戶可以關(guān)閉計(jì)算機(jī)？答：分別見圖1-2,1-3和1-4。圖1-3從網(wǎng)絡(luò)訪問計(jì)算機(jī)圖1-4關(guān)閉系統(tǒng)在“安全選項(xiàng)”中查看：如何使計(jì)算機(jī)在登錄前必須按“CTRL+ALT+DEL”？未簽名驅(qū)動程序的安裝是如何設(shè)置的？如何禁止網(wǎng)絡(luò)用戶訪問CD-ROM？答：找到“交互式登錄：不需要按CTRL+ALT+DEL”，雙擊打開，選擇“已禁用(S)”后單擊“確定”按鈕。找到“設(shè)備：未簽名驅(qū)動程序的安裝操作”，在下拉菜單中選擇“允許安裝但發(fā)出警告”，單擊“確定”按鈕即可。找到“設(shè)備：只有本地登錄的用戶才能訪問CD-ROM”，打開選擇“已啟用(E)”，點(diǎn)擊“確定”按鈕即可。二、文件共享如何設(shè)置共享文件，并通過網(wǎng)上鄰居訪問共享文件？設(shè)置共享文件:方法一：“工具－－文件夾選項(xiàng)－－查看－－使用簡單文件夾共享”。這樣設(shè)置后，其他用戶只能以Guest用戶的身份訪問你共享的文件或者是文件夾。方法二：“控制面板－－管理工具－－計(jì)算機(jī)管理”，在“計(jì)算機(jī)管理”這個(gè)對話框中，依次點(diǎn)擊“文件夾共享－－共享”，然后在右鍵中選擇“新建共享”即可。選擇你要共享的文件，右擊選擇“屬性”，打開如圖1-5顯示的窗口。勾選“在網(wǎng)絡(luò)上共享這個(gè)文件夾”即可在網(wǎng)絡(luò)鄰居訪問這個(gè)文件。圖1-5文件夾屬性三、管理安全設(shè)置1、對“Internet選項(xiàng)”中的“安全”設(shè)置進(jìn)行分析。為了保證瀏覽網(wǎng)頁的方便，你認(rèn)為哪些設(shè)置必需放開？而哪些設(shè)置又可能引起安全問題？我認(rèn)為對于網(wǎng)絡(luò)的大部分設(shè)置應(yīng)設(shè)為啟用可方便瀏覽網(wǎng)頁；對于ActiveX控間和插件的設(shè)置若設(shè)置為禁用可能會引起安全問題。2、windows防火墻中的“例外”是什么意思？如何讓某個(gè)應(yīng)用程序不受防火墻限制？一般情況下如果某程序使用了非常規(guī)方式連接互聯(lián)網(wǎng)那么Windows默認(rèn)防火就會提示，是否放行此程序。如果你點(diǎn)擊放行，那么就會在防火墻規(guī)則中出現(xiàn)例外項(xiàng)。點(diǎn)控制面板里面的WINDOWS防火墻,里面有個(gè)例外,點(diǎn)他就可以看到你允許了哪些程序運(yùn)行3、自動更新的主要目的是什么？有什么重要意義？目的是定期更新重要的軟件。意義在于方便用戶，不需要用戶再手動下載更新，省時(shí)省力。［實(shí)驗(yàn)思考題］安全設(shè)置時(shí)，如何把握“度”？（如：區(qū)別原則、適度原則、適用原則……可借助搜索引擎）（一）建議你下載惡意軟件和木馬強(qiáng)殺工具windows清理助手查殺惡意軟件和木馬：下載安裝后，首先升級到最新版本，然后退出正常模式并重啟按F8進(jìn)入到安全模式。打開軟件，點(diǎn)擊“系統(tǒng)掃描”，對掃描結(jié)果全選，然后點(diǎn)擊“執(zhí)行清理”按鈕，如果軟件提示你是否“備份”，選擇“是”（備份是為了防止發(fā)生清理錯(cuò)誤，如果清理后系統(tǒng)沒有發(fā)生異常，就刪除備份），按提示進(jìn)行操作即可。（二）查殺惡意軟件：用360安全衛(wèi)士查殺惡意軟件、木馬、開啟監(jiān)控。（三）建議你下載超級兔子，在她的IE選項(xiàng)中設(shè)置阻止彈出廣告，也可將惡意網(wǎng)站的網(wǎng)址設(shè)置阻止的名單中就可阻止這些網(wǎng)站彈出窗口了。（四）查殺惡意軟件和木馬后，打開IE選工具/Internet選項(xiàng)/在常規(guī)中設(shè)置你的主頁。建議你下載超級兔子，在她的IE中設(shè)置你的主頁，這樣你的主頁就不容易被惡意網(wǎng)站更改了。如果IE選主頁為灰色不可選，這樣設(shè)置，開始/運(yùn)行輸入gpedit.msc回車打開組策略，在左側(cè)選用戶配置/管理模板/InternetExplorer/在右側(cè)選“禁用更改主頁設(shè)置”雙擊它，在打開的對話框中選擇“未配置”然后按應(yīng)用確定，重啟電腦即可。（五）設(shè)置主頁后，將主頁鎖住不讓惡意網(wǎng)站修改：開始/運(yùn)行輸入gpedit.msc回車打開組策略，在左側(cè)選用戶配置/管理模板/InternetExplorer/在右側(cè)選“禁用更改主頁設(shè)置”雙擊它，在打開的對話框中選擇“已啟用”然后按應(yīng)用確定，重啟電腦即可。（六）使用超級兔子修復(fù)IE，清理惡意插件。建議你不要下載小網(wǎng)站的軟件或插件，這樣就能避免上述故障的發(fā)生。實(shí)驗(yàn)二系統(tǒng)檢測與分析［實(shí)驗(yàn)?zāi)康暮鸵螅?/p>

1、掌握惡意軟件的基本概念與特征

2、掌握系統(tǒng)檢測與分析工具的使用

3、掌握簡單安全問題的處理［實(shí)驗(yàn)內(nèi)容］1、系統(tǒng)掃描程序HijackThis的使用2、P進(jìn)程瀏覽器rocessExplorer的使用［實(shí)驗(yàn)步驟］一、實(shí)驗(yàn)預(yù)備知識“惡意軟件”是一個(gè)集合名詞，來指代故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。特洛伊木馬程序包含了旨在利用或損壞運(yùn)行該程序的系統(tǒng)的隱藏代碼。特洛伊木馬不被認(rèn)為是計(jì)算機(jī)病毒或蠕蟲，因?yàn)樗蛔孕袀鞑?。特洛伊木馬可能在系統(tǒng)中提供后門，使黑客可以竊取數(shù)據(jù)或更改配置設(shè)置。蠕蟲使用自行傳播的惡意代碼，它可以通過網(wǎng)絡(luò)連接自動將其自身從一臺計(jì)算機(jī)分發(fā)到另一臺計(jì)算機(jī)上。蠕蟲會執(zhí)行有害操作，例如，消耗網(wǎng)絡(luò)或本地系統(tǒng)資源，這樣可能會導(dǎo)致拒絕服務(wù)攻擊。病毒病毒代碼的明確意圖就是自行復(fù)制（將其自身的副本添加到文件、文檔或磁盤驅(qū)動器的啟動扇區(qū)來進(jìn)行復(fù)制）。病毒嘗試將其自身附加到宿主程序，以便在計(jì)算機(jī)之間進(jìn)行傳播。它可能會損害硬件、軟件或數(shù)據(jù)。宿主程序執(zhí)行時(shí)，病毒代碼也隨之運(yùn)行，并會感染新的宿主，有時(shí)還會傳遞額外負(fù)載。二、系統(tǒng)掃描程序1、HijackThisHijackThis(右擊另存為)是一個(gè)掃描程序。其掃描結(jié)果的每項(xiàng)都有一個(gè)編號，代表不同含義。O2－－代表瀏覽器輔助對象。O3－－代表IE工具欄項(xiàng)。O4－－代表從注冊表自動加載的程序。04代表啟機(jī)時(shí)自動加載的程序，你要對系統(tǒng)有一定的了解，以確定它們是無害的還是有害的。O8－－IE右鍵菜單中的額外項(xiàng)。如果不能識別IE右鍵菜單中的項(xiàng)目名稱，用HijackThis修復(fù)它。O23項(xiàng)提示注冊為系統(tǒng)服務(wù)的程序(可以通過運(yùn)行->Services.msc,察看所有的系統(tǒng)服務(wù))。很多正常軟件都會注冊到系統(tǒng)服務(wù)，比如各種殺毒軟件和防火墻的服務(wù)以及Apache，MySQL等軟件，般來說這些正常的服務(wù)的描述都很容易識別他們的身份。2、操作應(yīng)用用HijackThis掃描計(jì)算機(jī)，借助于搜索引擎，對掃描結(jié)果的至少15項(xiàng)做一個(gè)安全分類表，指出哪些是安全的？哪些是可疑的？并說明原因？圖2-1圖2-2HijackThis掃描結(jié)果表2-3分析結(jié)果三、進(jìn)程瀏覽器的使用ProcessExplorer是一個(gè)進(jìn)程瀏覽器應(yīng)用程序。圖2-4ProcessExplorer運(yùn)行結(jié)果請你對計(jì)算機(jī)做一個(gè)進(jìn)程分析：至少對其中的15個(gè)進(jìn)程做一個(gè)進(jìn)程分類表，指出哪些是安全的？哪些是可疑的？并說明原因？如表2-4表2-5分析結(jié)果［實(shí)驗(yàn)思考題］如何保障你的計(jì)算機(jī)安全？（不少于300字）我覺得要保障計(jì)算機(jī)安全應(yīng)做到以下幾點(diǎn)：一、密碼安全原則。不要使用太簡單的密碼。不要簡單地用單詞、生日或號碼作密碼,密碼長度至少要在8個(gè)字符以上,應(yīng)該同時(shí)包含大、小寫字母、數(shù)字和鍵盤上的其他字符;還要,要經(jīng)常更換密碼,并且不向任何人透露密碼。二、E-mail安全原則。不要輕易運(yùn)行E-mail附件中的可執(zhí)行程序,除非確定知道信息來源;對E-mail附件要先用防毒軟件和清楚木馬的工具掃描后方可使用。三、使用IE軟件的安全原則。IE中的歷史記錄保存了用戶訪問過的全部頁面的鏈接,在離開前一定要清掉歷史記錄;另外IE的臨時(shí)文件夾中保存了用戶已瀏覽過的內(nèi)容,所以離開前也應(yīng)刪除此路徑下的所有文件。四、使用聊天軟件的安全原則。在用聊天軟件時(shí),最好設(shè)置成隱藏用戶,以免別有用心的人使用專用軟件查到IP地址,然后使用針對IP的黑客工具發(fā)動攻擊。五、防范特洛伊木馬的原則。不要輕易信任何人,不要輕易安裝、運(yùn)行那些從不知名、不可靠的網(wǎng)站下載來的軟件和來歷不明的軟件,有些程序可能就是木馬程序。六、定期升級系統(tǒng)。軟件開發(fā)商會公布補(bǔ)丁,以便用戶補(bǔ)上這些漏洞,建議用戶訂閱有關(guān)這些漏洞的E-mail列表,以便及時(shí)知道這些漏洞并打上補(bǔ)丁,以防黑客攻擊。七、安裝防火墻。不要在沒防火墻的情況下上網(wǎng)。如果使用的是寬帶,意味著可能在任何時(shí)候都聯(lián)上Internet,這樣就很有可能成為黑客的目標(biāo)。最好在不需要網(wǎng)絡(luò)的時(shí)候斷開聯(lián)接,如可以,最好在電腦上安裝防黑客的防火墻——一種專門反入侵的程序作電腦的門衛(wèi),以監(jiān)視數(shù)據(jù)流或斷開網(wǎng)絡(luò)聯(lián)接。實(shí)驗(yàn)三常用防火墻軟件的使用［實(shí)驗(yàn)?zāi)康暮鸵螅?/p>

1、掌握防火墻的一般應(yīng)用

2、掌握防火墻的端口設(shè)置技術(shù)

3、掌握常見病毒的防控技術(shù)［實(shí)驗(yàn)內(nèi)容］1、防火墻的一般應(yīng)用2、防火墻的端口設(shè)置技術(shù)3、常見病毒的防控［實(shí)驗(yàn)步驟］一、普通應(yīng)用（默認(rèn)情況）下載:天網(wǎng)

(注:由于版本不一樣,下面的有關(guān)示例圖會有一些偏差.)

下面來介紹天網(wǎng)的一些簡單設(shè)置，如下圖3-1是系統(tǒng)設(shè)置界面，大家可以參照來設(shè)置：圖3-1系統(tǒng)設(shè)置界面圖3-2IP規(guī)則

圖3-2是IP規(guī)則，一般默認(rèn)就可以了。

下面是各個(gè)程序使用及監(jiān)聽端口的情況，可以查看什么程序使用了端口，使用哪個(gè)端口，是不是有可疑程序在使用網(wǎng)絡(luò)資源，如木馬程序，然后可以根據(jù)要求再自定義IP規(guī)則里封了某些端口以及禁止某些IP訪問自己的機(jī)子等等。圖3-3各個(gè)程序使用及監(jiān)聽端口的情況圖3-4日志

再看3-4就是日志，上面記錄了你程序訪問網(wǎng)絡(luò)的記錄，局域網(wǎng)，和網(wǎng)上被IP掃描你端口的情況。二、防火墻開放端口應(yīng)用

常用端口號的含義?

21/tcpFTP文件傳輸協(xié)議?

22/tcpSSH安全登錄、文件傳送(SCP)和端口重定向?

23/tcpTelnet

?

25/tcpSMTPSimpleMailTransferProtocol(E-mail)?

79/tcpfingerFinger?

80/tcpHTTP超文本傳送協(xié)議(WWW)?

110/tcpPOP3PostOfficeProtocol(E-mail)?

1433Microsoft的SQL服務(wù)開放的端口。如果想開放端口就得新建新的IP規(guī)則，在自定義IP規(guī)則里雙擊進(jìn)行新規(guī)則設(shè)置，如圖3-5顯示。圖3-5增加IP規(guī)則圖3-6修改IP規(guī)則點(diǎn)擊增加規(guī)則后就會出現(xiàn)圖3-6所示界面，我們把它分成四部分。三、打開端口實(shí)例

BT使用的端口為6881－6889端口這九個(gè)端口，而防火墻的默認(rèn)設(shè)置是不允許訪問這些端口的，它只允許BT軟件訪問網(wǎng)絡(luò)，所以有時(shí)在一定程度上影響了BT下載速度。下面以打開6881－6889端口舉個(gè)實(shí)例。

1）建立一個(gè)新的IP規(guī)則，由于BT使用的是TCP協(xié)議，所以按圖3-7設(shè)置就OK了，點(diǎn)擊確定完成新規(guī)則的建立。圖3-7

設(shè)置新規(guī)則后，把規(guī)則上移到該協(xié)議組的置頂，并保存。然后可以進(jìn)行在線端口測試是否BT的連接端口已經(jīng)開放的，如圖3-8。圖3-8四、應(yīng)用自定義規(guī)則防止常見病毒

上面介紹的是開放端口的應(yīng)用，大體上都能類推，如其他程序要用到某些端口，而防火墻沒有開放這些端口時(shí)，就可以自己設(shè)置。下面來介紹一些實(shí)例的應(yīng)用，就是封端口，讓某些病毒無法入侵。

1、防范沖擊波

沖擊波是利用WINDOWS系統(tǒng)的RPC服務(wù)漏洞以及開放的69、135、139、445、4444端口入侵。

如何防范，就是封主以上端口，首先在圖八里見到的“禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源”這項(xiàng)的起用（就是打勾）就已經(jīng)禁止了135和139兩個(gè)端口。

圖3-9是禁止4444端口的。圖3-9

下面是禁止69和445端口的圖，圖3-10為69，圖3-11為445。

圖3-10圖3-11

建立完后就保存，記得保存，保存完后就可以防范沖擊波了。

2、防范冰河木馬

冰河使用的是UDP協(xié)議，默認(rèn)端口為7626，如圖3-12。圖3-12

如你掌握一些病毒的攻擊特性及其使用的端口就可以參照上面的方法設(shè)置，其實(shí)設(shè)置都差不多。五、下面介紹怎么打開WEB和FTP服務(wù)圖3-13WEB服務(wù)圖3-14FTP服務(wù)六、常見日志的分析

使用防火墻關(guān)鍵是會看日志，看懂日志對分析問題是非常關(guān)鍵的。日志記錄了不符合規(guī)則的數(shù)據(jù)包被攔截的情況，通過分析日志就能知道自己受到什么攻擊，如圖3-15。圖3-15看上圖，一般日志分為三行，第一行反映了數(shù)據(jù)包的發(fā)送、接受時(shí)間、發(fā)送者IP地址、對方通訊端口、數(shù)據(jù)包類型、本機(jī)通訊端口等等情況；第二行為TCP數(shù)據(jù)包的標(biāo)志位，共有六位標(biāo)志位，分別是：URG、ACK、PSH、RST、SYN、FIN，在日志上顯示時(shí)只標(biāo)出第一個(gè)字母.

第三行是對數(shù)據(jù)包的處理方法，對于不符合規(guī)則的數(shù)據(jù)包會攔截或拒絕，對符合規(guī)則的但被設(shè)為監(jiān)視的數(shù)據(jù)包會顯示為“繼續(xù)下一規(guī)則”。如圖所示，UDP數(shù)據(jù)包被攔截了。七、練習(xí)與思考1、如何用防火墻來禁止本地的應(yīng)用程序（如QQ）訪問網(wǎng)絡(luò)？（用兩種方法）第一種：確認(rèn)不要將QQGame這個(gè)程序添加到各自的“例外”規(guī)則中，當(dāng)你進(jìn)入QQ時(shí)會發(fā)現(xiàn)，天網(wǎng)個(gè)人防火墻立即阻止QQ的網(wǎng)絡(luò)訪問，然后詢問是否給予通行。第二種：而Windows防火墻對這個(gè)主動出站的請求不做任何處理，就好像沒有防火墻一樣，輸入帳戶信息后登錄到游戲平臺，QQGame實(shí)際上已經(jīng)完成了往外網(wǎng)絡(luò)訪問；這時(shí)需要將游戲信息下載到本地(就是有外部訪問請求)，防火墻就彈出了“Windows

安全警報(bào)”。2、如何禁止本機(jī)訪問WEB站點(diǎn)？點(diǎn)擊菜單欄上的"工具"選項(xiàng)，點(diǎn)"Internet選項(xiàng)"，在出來的對話框中點(diǎn)"安全"選項(xiàng)，點(diǎn)"受限制的站點(diǎn)"，再點(diǎn)"站點(diǎn)"按鈕，將WEB網(wǎng)站添加到上面,"點(diǎn)擊"確定"按鈕即可。實(shí)驗(yàn)四數(shù)字證書的創(chuàng)建與程序簽名［實(shí)驗(yàn)?zāi)康暮鸵螅?、了解并掌握數(shù)字證書的工作原理；2、掌握數(shù)字證書的使用方法［實(shí)驗(yàn)內(nèi)容］1、數(shù)字證書的制作和安裝2、程序文件的數(shù)字簽名與使用［實(shí)驗(yàn)環(huán)境］Windws9x/NT/2000/XP數(shù)字證書制作相關(guān)軟件［實(shí)驗(yàn)步驟］一、“數(shù)字證書”制作相關(guān)軟件makecert.exe制作cer格式的證書，即X.509證書，同時(shí)可以創(chuàng)建私鑰。makecert.exe是一個(gè)微軟出品的用來制作"數(shù)字簽名"的軟件，是命令行界面，利用它可以輕松地做出屬于自己的個(gè)人“數(shù)字簽名”。（注：自己做出來的這個(gè)數(shù)字簽名不屬于受信任的證書）cert2spc.exe將cer格式證書轉(zhuǎn)換成spc格式證書，即PKCS#7證書IEXPRESS是MAKECAB.EXE的GUI界面程序，用來把程序所需文件壓縮打包為CAB格式，便于傳輸，當(dāng)然如果你的程序是一個(gè)獨(dú)立的EXE文件時(shí)，可以不需要用這個(gè)工具打包，但考慮現(xiàn)在多數(shù)免費(fèi)空間不支持EXE格式的文件上傳，建議打包！類似的工具還有命令行界面的Cabarc.exe。signcode.exe（數(shù)字簽名軟件）用自己的“數(shù)字證書”簽署自己的軟件，給軟件加上數(shù)字簽名，使其可以在網(wǎng)頁中運(yùn)行。（如：可將證書簽署到ocx上去）

chktrust.exe檢查簽署證書后的ocx是否正確軟件下載(右擊另存為)二、具體的步驟

1、創(chuàng)建一個(gè)自己的證書文件：

makecert-svzdb.pvk-n"CN=金種子"

-r-b01/01/1900-e01/01/9999zdb.cer其中，運(yùn)行過程中需要輸入私人密鑰的保護(hù)密碼，要輸入一致。(直接點(diǎn)"無"按鈕也可以)最后得到zdb.PVK和zdb.cer兩個(gè)文件。注：makecert命令中各參數(shù)的含義:-svzdb.pvk意思是生成一個(gè)私匙文件zdb.pvk-n"CN=金種子"其中的"金種子"就是簽名中顯示的證書所有人的名字-ssMy指定生成后的證書保存在個(gè)人證書中-r意思是說證書是自己頒發(fā)給自己的-b01/01/1900指定證書的有效期起始日期，格式為月/日/年，最低為1900年-e01/01/9999指定證書的有效期終止日期，格式同上又如：makecert-svzdb.pvk-n"CN=金種子,E=ec879@263.net,O=Mircrosoft"-rzdb.cer，如圖4-1所示。圖4-12、轉(zhuǎn)換cer格式為spc格式（可以省略）cert2spczdb.cerzdb.spc得到zdb.spc文件。3、在IE