电子商务基础与应用-模块8

任务一网络安全隐患分析与防范任务二电子商务信息安全技术分析模块八电子商务安全与防范任务三CA证书的申请与使用第一页，共36页。任务一网络安全隐患分析与防范学习目标第二页，共36页。一开篇案例：熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。第三页，共36页。一开篇案例：熊猫烧香熊猫烧香是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中等病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

第四页，共36页。二相关知识电子商务与网络安全

在运用电子商务模式进行贸易中，安全问题成为最核心的问题。

电子商务安全性包括：硬件安全、软件安全、运行安全、电子商务安全立法等。第五页，共36页。二相关知识2.计算机病毒的本质（1）概念：计算机病毒，是指编制在计算机程序中插入的“破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”第六页，共36页。二相关知识2.计算机病毒的本质（2）病毒传播载体：网络、电磁性介质和光学介质（3）病毒传染的基本条件：计算机系统的运行、读写介质（磁盘）上的数据和程序（4）病毒的传播步骤：驻留内存、寻找传染的机会、进行传染。（5）病毒传染方式：引导扇区（包括硬盘的主引导扇区）传染类、文件型病毒第七页，共36页。二相关知识3.计算机病毒的特点隐蔽性：隐藏在可执行文件、数据文件等。传染性：自我复制潜伏性：定期发作可触发性：控制条件，日期、时间、标识、计数器破坏性：干扰系统、破坏数据、占用资源第八页，共36页。二相关知识4.计算机病毒的种类蠕虫（worm）：监测IP地址，它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。逻辑炸弹（logicbomb）：条件触发，定时器。特洛伊木马（TrojanHorse）：隐含在应用程序上的一段程序，当它被执行时，会破坏用户的安全性。陷阱入门：程序可以正常完成功能，之后进入死循环。核心大战：允许两个程序相互破坏的游戏程序，对计算机系统安全形成威胁。第九页，共36页。二相关知识5.计算机病毒命名方法

病毒前缀.病毒名.病毒后缀病毒前缀：病毒种类，如木马是Trojan，蠕虫是Worm病毒名：区别和表示病毒家族，如震荡波蠕虫的病毒家族名是Sasser病毒后缀：病毒的变种特征，如就是震荡波蠕虫病毒的变种B。第十页，共36页。二相关知识6.常见电脑病毒1、系统病毒，前缀为:Win32、PE、Win95、W32、W95等。特性是感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播，如CIH病毒。2、蠕虫病毒，前缀:Worm。特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件)等。3、木马病毒，前缀是:Trojan。特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。4、黑客病毒，前缀为Hack，有一个可视的界面，能对用户的电脑进行远程控制。第十一页，共36页。二相关知识6.常见电脑病毒5、脚本病毒，前缀是:Script、VBS、JS。特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)。6、宏病毒，前缀是:Macro，第二前缀是:Word、Word97、Excel、Excel97等，能感染Office系列文档。7、种植程序病毒，前缀是：Dropper，特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。第十二页，共36页。二相关知识6.常见电脑病毒8、坏性程序病毒，前缀是:Harm。特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令等。9、玩笑病毒，前缀是:Joke。也称恶作剧病毒。特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如:女鬼病毒。第十三页，共36页。二相关知识6.常见电脑病毒10、捆绑机病毒，前缀是:Binder。特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。11、后门病毒，前缀是:Backdoor。特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。第十四页，共36页。二相关知识

复习题1.下面那个选项是计算机病毒的正确解释是一种生物病毒能够通过人体进行传播在任何条件下对计算机系统没有影响计算机病毒是人为编制的程序，在一定条件下可能影响程序的执行，破坏用户的数据和程序第十五页，共36页。二相关知识7.计算机病毒的防治备份数据（最重要）四个基本手段安装防毒软件（瑞星、360杀毒、卡巴斯基等）安装防火墙（瑞星）安装反恶意软件（360安全卫士）系统更新（打补丁）一个意识：慎（邮件、网页、图片、软件等）第十六页，共36页。二相关知识

复习题2.为了预防计算机病毒，应采取的正确措施每天都要对硬盘格式化不玩任何网络游戏不用盗版软件和来历不明的光盘经常清除计算机上的尘土第十七页，共36页。二相关知识

复习题3.下列计算机病毒属于哪类病毒？（1）（2）第十八页，共36页。任务二电子商务信息安全技术分析学习目标第十九页，共36页。一开篇案例：钓鱼网站瞄上网购家住北京海淀区的苏女士春节期间通过“去哪里网”购票，却不小心通过一个链接进入一家名为“逍遥行上海营业部”的网站购票，当苏女士按网站提示输入相关信息，通过网银付款后，苏女士再次核对才发现自己受骗了。

上述案例就是典型的“网络钓鱼”事件，网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息第二十页，共36页。二相关知识（1）信息的保密性：防止未授权数据暴露（2）信息的完整性：防止未授权数据修改（3）信息的不可否认性：一旦发生，不能抵赖（4）交易身份的认证性：确保信息的真实性1.电子商务信息的安全性要求第二十一页，共36页。二相关知识纵观当今世界，加密离我们并不遥远，从小小的个人密码，到重要的机密文件，无一不是加密的产物。请看图片2.加密与解密第二十二页，共36页。二相关知识（1）数据加密概述

一个加密系统至少由明文、密文、密钥与加密算法这四个基本要素构成。数据加密技术是保护信息安全的主要手段，它是结合数学、计算机科学、电子与通信等诸多科学于一身的交叉学科。它可以保证信息机密性的信息加密功能，而且可以利用其基本原理进行数字签名、身份验证、维护系统安全等。2.加密与解密第二十三页，共36页。二相关知识（2）加密术语

例如：采用替换加密算法（利用恺撒密码算法原理），使向右移动3位后的英文字母表示原来的英文字母，原来的英文字母为HOWDOYOUDO,用移位后的字母顺序表示原文。

英文字母：ABCDEFGHIJKLMNOPQRSTUVWXYZ

原文：HOWDOYOUDO

密文：KRZGRBRXGR2.加密与解密第二十四页，共36页。二相关知识（2）加密术语最初的原始信息称为明文被加密信息打乱后的信息称为密文将明文转换成密文的方法称为算法参与变换的参数称为密钥算法和密钥在加密和解密过程中是相互配合的，两者缺一不可2.加密与解密第二十五页，共36页。二相关知识（3）密码体制构成2.加密与解密第二十六页，共36页。二相关知识（3）密码体制构成通用密钥密码体制：加密密钥和解密密钥是通用的，即发送方和接收方使用同样密钥的密码体制，如恺撒密码公开密钥密码体制：加密密钥(即公开密钥)PK是公开信息，而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的2.加密与解密第二十七页，共36页。二相关知识是将任意长度的消息变成固定长度的短消息，它类似于一个自变量是消息的函数，也就是Hash函数。数字摘要就是采用单项Hash函数将需要加密的明文"摘要"成一串固定长度(128位)的密文这一串密文又称为数字指纹，它有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。3.数字摘要第二十八页，共36页。二相关知识手写签名4.数字签名第二十九页，共36页。二相关知识数字签名(又称公钥数字签名、电子签章)是对电子文档利用电子手段进行的签名，数字签名的设计需求：签名必须是依赖于被签名信息的一个位串模式必须使用某些对发送者是唯一的信息，防止伪造或否认必须相对容易生成数字签名必须相对容易识别和验证该数字签名

4.数字签名第三十页，共36页。二相关知识

使用公钥秘密体系的数字签名4.数字签名第三十一页，共36页。三任务与训练

使用公钥秘密体系的数字签名1.利用ChinaTCP个人空间数字签名系统生成数字签名第三十二页，共36页。任务三CA证书的申请与使用学习目标第三十三页，共36页。一开篇案例:上海市数字证书认证中心

上海市数字证书认证中心，是中国第一家专业的第三方网络安全与信任服务提供商，成立于1998年，专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合。

第三十四页，共36页。二相关知识