第7章电子商务的安全技术

第7章电子商务的安全技术

7.1电子商务的安全概述一

7.2网络安全技术

7.3对称密钥密码技术

7.4公钥密码技术

_7.5数字证书及数字认证

7.6防火墙技术

7.7检测技术

7.8病毒及其防治

7.9SET协议

7.10其他安全技术介绍

7.1电子商务的安全概述

7.1.1电子商务的安全'

1.电子商务安全从整体上可分为两大部分：

(1)计算机网络安全。包括网络设备安全、网络系统安全、

数据库安全等，其特征是针对网络本身可能存在的安全问题，

实施网络安全增强方案，以保证网络自身的安全性为目标。\

(2)商务交易安全。在网络安全的基础上，围绕传统商务在

互联网上应用时产生的各种安全问题，考虑如何保障电子商

务过程顺利进行，即实现电子商务的保密性、完整性、可鉴

别性、不可伪造性和不可抵赖屉。

2.计算机网络安全

(1)计算机网络潜在的安全问题\

①操作系统的安全。\

_②CGI程序代码的审计。关键是那些为某些网站专用开发的CGI代码。

(3)拒绝服务(DoS,DenialofService)o、

④安全产品使用不当。\

⑤缺少严格的网络安全管理制度'

(2)计算机网络安全体系

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安

全、系统安全、用户安全、信息加密、安全传输和管理安全等。，

3.电子商务交易安全

交易安全是电子商务涉及到的最核心、最关键的安全问题

(X)电子商务的安全隐患

①窃取信息

②篡改信息

③假冒,•

④恶意破坏

⑵电子商务安全交易的要求

①信息保密性

②交易者身份的确定性

③不可否认性

不可修改性________________

f4

(3)电子商务交易中的标准

①安全超文本传输协议(S-HTTP)

②安全套接层协议(SSL)。一个由Netscape提出的安全交易协议，提供

加密、认证服务和报文的完整性，用于NetscapeCommunicator和Microsoft

IE。\

③安全交易技术协议(STT:SecureTransactionTechnology)。由Microsoft

提出，用于MicrosoftIE。\

④安全电子交易协议(SET:SecureElectronicTransaction)。其主要目

标是保障付款安全，确定应用的互通性，并使全球市场接受。'

3.主要的安全技术

⑴虚拟专用网(VPN)o

⑵数字认证。这种技术可用电子方式证明信息发送者和接收者的身份、

文件的完整性、数据媒体的有效性。这需要有一个可信的第三方，以便

对有关数据进行数字认证。

(3)加密技术。根据所用加密和解密算法的异同，可分为对称加密和菲对

祢加密。\

(4)电子商务认证中心(CA)。、

4.电子商务安全总结

电子商务安全主要有以下几个方面的内容：

(1)有效性。(4)可靠性/不可抵赖性/鉴别。

⑵机密性。(5)审查能力。

(3)完整，电_________⑹信道6

7.1.2电子商务的安全策略

安全策略是指在某个安全区域内，用于所有与安全活动相关的一套规则。

1.安全策略的等级\

⑴安全策略目标\

(2)机构安全策略'

(3)系统安全策略

2.安全策略应重视的几个方面

⑴机密性\

(2)数据完整性

⑶授权与验证

(4)访问控制策略。包括基于身份的策略、基于任务的策略、

7

3.0SI安全结构的安全机制

OSI安全结构共有八种安全机制：加密机制、数字签名X型、访

问控制机制、数据完整性机制、认证交换机制、业务流量填充机制、、路

由控制机制、确认机制。\

相应的五种通用安全机制：可信任功能、安全标签、事件检测、安、

全审计跟踪、安全恢复。\

7.2网络安全技术

7.2.1网络安全协议\

考虑到网络安全性能，主要的安全协议集中在应用层、传输层和网

络层。\

1.应用层协议

(1)Telnet的安全性。用SSH软件包的slogin应用、TexasA&M大

学开发的安全RFC认证(RSA)、软件包簧安全的Telnet软件包来代

春rlogin和telnet命令可以防止来自内部的口令窃取攻盅。

⑵E-mail的安全性。认证、保密、数据完整和不可否认。

(3)Web的安全性。即Web客户机的一系列安全服务。

9

2.传输层协议\

(1)传输控制协议(TCP)。实现在无连接的、不可靠的网络业务

上运行面向连接的、可靠的业务。\

(2)用户数据报协议(UDP)。为一个无连接传输协议。

(3)安全外壳(SSH)。用于安全登录到远程机器上，在其上执行

命令后转移文彳牛。\

(4)安全套接层(SSL)和传输层协议(TLSWG)。'

3.网络层协议

IP协议(InternetProtocol),是面向无连接的、不可靠的数据

传输。IPV6安全协议，有认证和保密功能。

7.2.2防火墙技术\

\

防火墙(Firewall)是内部网络与外部公共网络之间的分界安全屏障，

狭义指安装了Firewall软件的主机或路由器系统，广义还包括整个网缘的安

全策略和安全行为。\

1.防火墙主要安全技术\

(1)包过滤技术(PacketFiltering)o是在网络层依据系统的过滤,

规则，对数据包进行选择和过滤，这种规则又称为访问控制表ACLs,通

常安装在路由器上。

(2)网络地址翻译NAT(NetworkAddressTranslation)用

于隐藏内部主机。\o

(3)应用级代理。代理服务器充当双重身份，将内部系统与外界完

全隔离开来，它侦听网络内部客房的服务请求，检查并验证其合法性，

只宥合法的才能通过。

2.防火墙分类\

(1)包过滤型。依据网络中的分包传输技术。优点是简单实用，实现X

成本较低；缺点是它无法识别基于应用层的恶意侵入。

(2)代理型(代理服务器)。优点是安全性较高，可以对应用层进

行侦测和扫描，对付基于应用层的侵入和病毒都十分有效；缺点是对系

统的整体性能有较大的影响，大大增加了系统管理的复杂性。

3.防火墙的功能

主要功能：数据包过滤、应用代理服务和状态检测。

新增功能：综合技术

结构和管理界面简单

支持加密的VPN

内部信息完全隐藏

增加强制访问控制

支持多种认证方式

网络安全监控系统和内容过滤

7.2.3虚拟专用网技术、

1.虚拟专用网概述\

虚拟专用网(VirtualPrivateNetwork,VPN)是一种在公共网络上运行的

专用网络，通过隧道(Tunneling)技术，在Internet上为企业开通一条专用通

道，以代替原来昂贵的专线租赁或者中继方式，把其分布在世界各地的分支

机构和合作伙伴们连接起来，感觉就像在一个自己的专用网里。\

优点：保密性好、使用方便、建设成本低。\

结构和管理界面简单

支持加密的VPN

内部信息完全隐藏

增加强制访问控制

支持多种认证方式

网络安全监控系统和内容过滤

14

2.VPN的特点

优点：VPN比广域网更便宜、更容易建立

缺点：VPN比广域网要慢，不如广域网可靠

不如单独的局域网或广域网安全。

3.VPN的类型

基于服务器的VPN

基于防火墙的VPN

基于路由器的VPN

15

7.2.4入侵检测技术

入侵检测技术是一种主动实时保护免受攻击的网络安

全技术，是继防火墙后的第二道安全防线。\

1.入侵检测技术

①基于应用的监控技术。\

②基于主机的监控技术。\

③基于目标的监控技术。

④基于网络的监控技术。

⑤综合以上四种方法进行监控。

16

2.漏洞检测技术

①基于应用的检测技术。\

②基于主机的检测技术。\

③基于目标的检测技术。'

④基于网络的检测技术。

⑤综合的技术。

3.入侵检测实现模型

设计为两部分：安全服务器(Securityserver)和侦

测代理(Agent)o

17

7.3对称密钥密码技术

对称密码(又称为私钥密码)体制使用相同的密钥加密和

解密信息，即通信双方建立并共享一个密钥。\

1.工作原理

用户A要发送机密信息给B,则A和B必须共享一个预先由人

工分配或由密钥分发中心(KDC)分发的密钥K,于是A用簧

钥K和加密算法E对明文P加密到密文C=Ek(p),并将密文C发递

给B;B用同样的密钥K和解密算法D对密天解密，得到明文

P=Dk(Ek(p))

18

2.分类\

按加密模式可以分为流密码（或称序列密码）和分组

密码（或称块密码）两大类。、

（1）流密码：通过有限状态机产生性能优良的伪随机

序列，使用该序列加密信息流得到密文序列。错误扩展队、

迅度快、同步容易和安全程度高。'

（2）分组密码：修明文分成固定的组（块），用同一

密钥算法对每一块加密，输出固定长度的密文。

19

7.4公钥密码技术

以公开钥作为加密密钥，以用户专用钥作为解密密钥，则

可以实现多个用户的消息只能由一个用户解读；以用户专用钥

作为加密密钥而以公开钥作为解密密钥，则可实现由一个再停

加密的消息而使多个用尸解读。\

前者可用于保密通讯，后者可用于数字签字。

20

1.概念\

公开密钥体制也称为非对称密钥，要求密钥成

对出现，一个为加密密钥（e）,即公共密钥，另

一个为解密密钥（d）,即专用密钥，且两者不可

能从其中一个推出另一个，其中公共密钥可以发

布出去，专用密钥则每个用户不同。

21

2.工作原理\

用户A和B各自拥有一对密钥(库、KJ)和(KB>埠」)。

私钥K/KB-I分别由A、B各自秘密保管，而KAKB则以相书的

形式对外公布。当A要将明文消息P安全的发送给B,则A用B

的公钥KB加密P得到密文C=Ekb(p);而B受到密文C后，用私，

钥KB」解密恢复明文P=DkJ(c)=DkJ(Ekb(p))。'

公共密钥加密算法主要有：

(1)RSA(Receive>Shamir>Adelman)

(2)Fertezza(3)EIGama

3.RSA公共密钥密码算法

公开密钥：n=pq(p、q分别为两个互异的大素数，p,q必、须

保密)，e与(p-1)(q-1)互素。、

专用密钥:d-e1(mod(p-1)(q-1))

加密：c=me(modn),其中m为明文，c为密文

解密：m=cd(modn)

一般要求p,q为安全素数，n的长度大于512bit,这主要是

因为RSA算法的安全性依赖于因子分解大数问题。

2.数字签字\

数字签字是使用某人的私钥加密特定的消息摘要散

列值而得到的结果，通过这种方法把人同特定消息联系

起来。\

消息签字与消息加密有所不同，消息加密和解密可、、

能是一次性的，它要求在解密之前是安全的；而一个签

字的信息可能作为一个法律上的文件，很可能在对信息

签署多年之后才验证其签字，且可能需要多次验证此签

字。

7.5数字证书与数字认证\

1.数字证书\

数字证书即数字ID,是一种电子形式的由CA签发用手识别的

个人证书。一个标准格式为X.509公钥证书。\

其他的数字证书的可选格式还有：\

（1）简单公开密钥基础设施（SPKI）\

（部口多号（；*量GoodPrivacy）是一种对电子邮件和文件进行加畲\

（3）安全电子交易（SET）标准定义了在分布网络上进行信用卡支■

付交易所需的标准。

（4）属性证书是用来传递一个给定主体的属性以便于灵活、可扩展的

薜权管理。”

25

2.数字认证\

数字认证也称为证书验证，是检查一份给定的证书是否

可用的过程。\

数字认证确定的内容有：

(1)一个可信的CA已经在证书上签名。\

(2)证书具有良好的完整性。、

(3)证书处在有效期内。

(4)证书没有撤销。

(5)证书的使用方式与任何声明的策略

和/或使用限制相一致。

26

7.6防火墙技术

7.6.1防火墙主要技术

762防火墙分类

防火墙主要技术

防火墙是一道介于开放的、不安全的公共网与信息、资

源汇集的内部网之间的屏障，由一个或一组系统组成。狭义

的防火墙指安装了防火墙软件的主机或路由器系统，广义的

防火墙还包括整个网络的安全策略和安全行为。防火墙技术

包括：

＞包过滤技术

＞网络地址翻译

＞应用级代理

防火墙主要技术

1.包过滤技术

包过滤技术(PacketFiltering)是在网络层依据系统

的过滤规则，对数据包进行选择和过滤，这种规则又称为访

问控制表。这种防火墙通常安装在路由器上，如图8.3所示。

这种技术通过检查数据流中的每个数据包的源地址、

防火墙主要技术

包过滤技术包括两种基本类型：无状态检查的包过滤和

有状态检查的包过滤，其区别在于后者通过记住防火墙的所

有通信状态，并根据状态信息来过滤整个通信流，而不仅仅

是包。

有许多方法可绕过包过滤器进入Internet,包过滤技术

存在以下缺陷：

>TCP只能在第0个分段中被过滤。

>特洛伊木马可以使用NAT来使包过滤器失效。

>许多包过滤器允许1024以上的端口通过。

“纯”包过滤器的防火墙不能完全保证内部网的安全，

而必须与代理服务器和网络地址翻译结合起来才能解决问题。

30

防火墙主要技术

2.网络地址翻译

网络地址翻译(NAT,NetworkAddressTranslation)

最初的设计目的是增加在专用网络中可使用的IP地址数，但

现在则用于屏蔽内部主机。

NAT通过将专用网络中的专用IP地址转换成在Internet

上使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所

有TCP/IP级的有关内部主机信息的功能，使外部主机无法

探测到它们。

NAT实质上是一个基本代理：一个主机充当代理，代

表内部所有主机发出请求，从而将内部主机的身份从公用

网上隐藏起来了。

防火墙主要技术

按普及程度和可用性顺序，NAT防火墙最基本的翻译模

式包括：

＞静态翻译。在这种模式中，一个指定的内部网络

源有一个从改变的固定翻译表。

＞动态翻译。在这种模式中，为了隐藏内部主机的

身份或扩展内部网的地址空间，一个大的Internet客

户群共享单个或一组小的InternetIP地址。

＞负载平衡翻译。在这种模式中，一个IP地址和端

口被翻译为同等配置的多个服务器的一个集中处，这

样一个公共地址可以为许多服务器服务。

＞网络冗余翻译。在这种模式中，多个Internet连

接被附加在一个NAT防火墙上，从而防火墙根据负载

和可用性对这些连接进行选择和使用。

32

防火墙主要技术

3.应用级代理

代理现在主要用于防火墙。代理服务器通过侦听网络内

部客户的服务请求，检查并验证其合法性，若合法，它将作

为一台客户机一样向真正的服务器发出请求并取回所需信息,

33

防火墙主要技术

应用代理技术的优缺点：\

>代理隐藏了私有客户，不让它们暴露给外界。但客户必

须使用代理才能工作，且不能被设置为网络透明工作。

>代理能阻断危险的URL,但阻断URL也容易被消除。

>代理能在危险的内容传送给客户之前过滤掉它们，但代

理无法保护操作系统。

>代理能检查返回内容的一致性。但大多数一致性检查都

是在发现有被利用的弱点后才有效。

>代理能消除在网络之间的传输层路由。但阻断路由功能

通常使用得不充分

>代理提供了单点的访问、控制和日志记录功能。

>代理服务器有消除冗余访问，平衡内部多个服务器负载

的性能优化功能，但易形成服务瓶颈。

34

防火墙分类'、

1.按技术分类

根据防火墙采用的技术，防火墙分为包过滤型、代理型

和监测型。

＞包过滤型

防火墙通过读取数据包中的地址信息来判断这些“包”

是否来自可信任的安全站点，一旦发现来自危险站点的数

据包，防火墙便会将这些数据拒之门外。系统管理员也可

以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用，实现成本。其缺点只能

根据数据包的来源、目标和端口等网络信息进行判断，无

法识别基于应用层的恶意入侵。

防火墙分类

＞代理型

代理型防火墙也称为代理服务器。从结构上看，代理服

务器由代理的服务器部分和代理的客户机部分组成。从客

户机来看，代理服务器相当于一台真正的服务器，而从服

务器来看，代理服务器又是一台真正的客户机。壁垒主机

即一台软件上配置代理服务程序的计算机，也可以作为代

理服务器。

代理型防火墙的优点是安全性较高，可以针对应用层进

行侦测和扫描，对付基于应用层的入侵和病毒都十分有效。

其缺点是对系统的整体性能有较大的影响，而且代理服务

器必须针对客户机可能产生的所有应用类型逐一进行设置，

大大增加了系统管理的复杂性。

36

防火墙分类

>监测型

监测型防火墙是新一代的产品，它实际已经超越了最

初的防火墙定义。监测型防火墙能够对各层的数据进行主

动的、实时的监测。并在对这些数据分析的基础上，它能

够有效地判断出各层中的非法入侵。

监测型防火墙产品一般还带有分布式探测器，这些探

测器安置在各种应用服务器和其他网络的节点之中，不仅

能够检测来自网络外部的攻击，还对来自内部的恶意破坏

也有极强的防范作用。

防火墙分类

2.按结构分类

目前，防火墙按结构可分为简单型和复合型。简单型包

括只使用屏蔽路由器或者作为代理服务器的双目主机结构；

复合结构一般包括屏蔽主机和屏蔽子网。

»双目主机结构

双目主机结构防火墙系统主要由一台双目主机构成，具

有两个网络接口，分别连接到内部网和外部网，充当转发器,

如图8.5所示。这样，主机可以充当与这些接口相连的路由

器，能够把IP数据包从一个网络接口转发到另一个网络接口。

但是，实现双目主机的防火墙结构禁止这种转发功能。

38

防火墙分类

aioa

图8.5双目主机结构防火墙

防火墙内部的系统能与双目主机通信，同时防火墙外部

的系统如因特网也能与双目主机通信，但二者之间不能直接

通信。

39

防火墙分类

A屏蔽主机结构

屏蔽主机结构使用一个单独的路由来提供与内部网相连主机即壁垒主机

的服务。在这种安全体系结构中，主要的安全措施是数据包过滤，如图8.6

所示。在屏蔽路由器中，数据包过滤配置按以下方式执行：\

•允许其他的内部主机为了某些服务与因特网上的主机连接，即允许那

些经过数据包过滤的服务。

•不允许来自内部主机的所有连接，即强迫内部主机通过壁垒主机使用

代理服务。

由于这种结构允许数据包通过因特网访问内部数据，因此，它的设计

比双目主机结构要更冒风险。

40

防火墙分类

图8.6屏蔽主机结构防火墙

41

防火墙分类

＞屏蔽子网结构

屏蔽子网结构防火墙是通过添加隔离内外网的边界网络

为屏蔽主机结构增添另一个安全层，这个边界网络有时候称

为非军事区。

壁垒主机是最脆弱的、最易受攻击的部位，通过隔离壁

垒主机的边界网络，便可减轻壁垒主机被攻破所造成的后果。

因为壁垒主机不再是整个网络的关键点，所以它们给入侵者

提供一些访问，而不是全部。

最简单的屏蔽子网有两个屏蔽路由器，一个接外部网与

边界网络，另一个连接边界网络与内部网，如图8.7所不。这

样为了攻进内部网，入侵者必须通过两个屏蔽路由器。

42

防火墙分类

Internet

壁壁主机

图8.5屏蔽子网防火墙

防火墙的选择标准和发展方向

1.选择防火墙标准

＞总拥有成本。防火墙产品的总拥有成本不应该超过受保护网

络系统可能遭受最大损失的成本。\

＞防火墙本身的安全。防火墙本身应该是安全的，不给外部入侵

者可乘之机。

＞管理与培训。管理和培训是评价一个防火墙好坏的重要方面。

人员培训和日常维护费用通常会在总拥有成本中占据较大的比例。

＞可扩充性。好产品应该留给用户足够的弹性空间。

＞防火墙的安全性能。即防火墙是否能够有效地阻挡外部入侵。

防火墙的选择标准和发展方向'、

2.防火墙的发展方向\

为了有效抵御网络攻击，适应Internet的发展势头，防火墙表现出如下发

展趋势：

＞智能化的发展。防火墙将从目前的静态防御策略向具备人工智露的

智能化方向发展。\

＞速度的发展。随着网络速率的不断提高，防火墙必须提高运算速度'

及包转发速度，否则成为网络的瓶颈。

＞体系结构的发展。要求防火墙能够协同工作，共同组成一个强大的、

具备并行处理能力和负载均衡能力的逻辑防火墙。

＞功能的发展。未来网络防火墙将在现有的基础上继续完善其功能并

不断增加新的功能。

＞专业化的发展。单向防火墙、电子邮件防火墙、FTP防火墙等针对

特定服务的专业化防火墙将作为一种产品门类出现。

2.PKI体系结构及功能

(1)体系结构

46

(2)操作功能

A产生、验证和分发密钥。A证书废止的申请。'

»密钥的恢复。\

A签名和验证。

A证书的获取。>CRL(作废证书表)的获取。

A验证证书。A密钥更新。

A保存证书。A审计。

A本地保存证书的获取。>存档。

3.PKI的性能要求

①透明性和易用性

②可扩展性。

③互操作性。

④支持多应用。

⑤支持多平台。

4.PKI的核心服务

①认证：实体鉴别、数据来源鉴别

②完整性

③机密性

5.PKI系统的常用信任模型

①认证机构的严格层次结构模型

②分布式信任结构模型

③Web模型

④以用户为中心的信任模型

48

7.7检测技术

7.7.1检测技术概述'\

772入侵检测技术\

7.7.3漏洞扫描技术

7.7.4入侵检测和漏洞扫描系统模型

7.7.5检测产品的布署

776入侵检测系统的新发展，

49

检测技术概述

1.入侵检测

从计算机安全的目标来看，入侵指企图破坏资源的

完整性、保密性、可用性的任何行为，也指违背系统安

全策略的任何事件。从入侵策略的角度看，入侵可分为

企图进入、冒充合法用户、成功闯入等方面。入侵者一

般称为黑客或解密高手。Anderson把入侵者分为伪装

者、违法者和秘密用户3类。

入侵检测指对计算机和网络资源的恶意使用行为进

行识别和响应的处理过程。它不仅检测来自外部的入侵

行为，同时也能检测出内部用户的未授权活动，是一种

增强系统安全的有效方法。入侵检测从计算机网络或计

算机系统中若干关键点收集信息并对其进行分析，从中

发现网络或系统中是否有违反安全策略的行为和遭到攻

击的迹象，同时做出响应。入侵检测的一般过程包括信

息收集、信怠预处理、数据检测分析和响应等,班图-

8.18所示。

检测技术概述

图8.18入侵检测的一般过程

入侵检测可分为实时入侵检测和事后入侵检测。实时入侵检测在

网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中

的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入

侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。事

后入侵检测由网络管理人员定期或不定期进行，根据计算机系统对用户

操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连

接，并记录入侵证据和进行数据恢复。但是其入侵检测的能力不如实时

入侵检测系统。-d

检测技术概述

2.漏洞检测

漏洞是由软件编写不当或软件配置不当造成的。漏洞

扫描是网络安全防御中的一项重要技术，其原理是采用模拟

攻击的形式对目标可能存在的、已知的安全漏洞进行逐项检

查，根据检测结果向系统管理员提供周密可靠的安全性分析

报告，为提高网络安全整体水平提供了重要依据。漏洞扫描

也称为事前的检测系统、安全性评估或者脆弱性分析。其作

用是在发生网络攻击事件前，通过对整个网络扫描及时发现

网络中存在的漏洞隐患，及时给出漏洞相应的修补方案，网

络人员根据方案可以进行漏洞的修补。

漏洞检测技术通常采用两种策略，即被动式策略和主

动式策略。被动式策略是基于主机的检测，对系统中不合适

的设置、脆弱的口令以及其他同安全规则相抵触的对象进行

检查；而主动式策略是基于网络的检测，通过执行一些脚本一

支件对系统进行攻击7并记录它的反应，从而发现其中的褊52

洞。

入侵检测技术

1.常用的入侵检测技术

入侵检测技术可分为五种：

＞基于应用的监控技术。主要使用监控传感器在应用

层收集信息。

＞基于主机的监控技术。主要使用主机传感器监控本

系统的信息。

＞基于目标的监控技术。主要针对专有系统属性、文

件属性、敏感数据等进行监控。"

＞基于网络的监控技术。主要利用网络监控传感器监

控包监听器收集的信息。

＞综合以上4种方法进行监控。其特点是提高了侦测

性能，但会产生非常复杂的网络安全方案。

入侵检测技术

2.入侵检测技术的选用

在使用入侵检测技术时，应该注意具有以下技术特点：\

＞信息收集分析时间一、

＞分析类型

＞侦测系统对攻击和误用的反应

＞侦测系统的管理和安装

＞侦测系统的完整性

＞设置诱骗服务器

信息收集分析时间可分为固定时间间隔和实时收集分析两种。分析类

型可分为签名分析、统计分析和完整性分析。完整性就是系统自身的安

全性。置诱骗服务器的目的就是吸引黑客的注意力，把攻击导向它，从

敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质，随后把

这些信息送到一个安全的地方，供以后查用。

54

漏洞扫描技术

1.漏洞扫描分类

漏洞扫描技术可分为5种:

基于应用的扫描技术。采用被动的、非破坏性的办

法检查应用软件包的设置，从而发现安全漏洞。

＞基于主机的扫描技术。采用被动的、非破坏性的办

法对系统进行扫描。它涉及到系统的内核、文件的属

性等问题。

＞基于目标的扫描技术。采用被动的、非破坏性的办

法检查系统属性和文件属性，如数据库、注册号等。

＞基于网络的扫描技术。它利用一系列的脚本对系统

进行攻击，检验系统是否可能被攻击崩溃，然后对结

果进行分析的综合技术。

＞综合利用上述4种方法的技术。集中了以上4种技

术的优点，极大地增强j麻司识别的精度。55

漏洞扫描技术

2,漏洞扫描技术的选用

在使用漏洞扫描技术时，应该注意以下技术特点：

＞检测分析的位置

＞报表与安装

＞检测后的解决方案

＞检测系统本身的完整性

在不同威胁程度的环境下，可以有不同的检测标准。在

漏洞扫描中，第一步是收集数据，第二步是数据分析。漏洞

扫描系统生成的报表是理解系统安全状况的关键。一旦扫描

完毕，如果发现了漏洞，则系统可以有多种反应机制，如预

警机制等。检测系统本身就是一种攻击，如果被黑客利用，

那么就会产生难以预料的后果。

56

入侵检测和漏洞扫描系统模型

入侵检测和漏洞扫描系统是安全技术的核心。入侵检测

和漏洞扫描系统的实现是和具体的网络拓扑密切相关的，

不同的网络拓扑对入侵检测和漏洞扫描系统的结构和功能

有不同的要求。通常情况下该系统在网络系统中可设计为

两个部分：

图8.19入侵检测和漏洞扫描系统示意图

57

入侵检测和漏洞检测系统模型'\

主机代理中有主机入侵检测代理和主机漏洞扫描代理两种

类型。主机入侵检测代理动态地实现探测入侵信号，并做出

相应的反应；主机漏洞扫描代理检测系统的配置、日志等，

把检测到的信息传给安全服务器和用户。

入侵检测代理在结构上由传感器、分析器、通信管理器等

部件组成。漏洞扫描代理在结构上由检测器、检测单元、通

信管理器等部件组成。每一个主机代理感受敏感的安全信息,

对这些信息进行处理，做出反应，然后把一些信息交给网段

代理和安全服务器处理。

安全服务器中包含网络安全数据库、通信管理器、联机信

息处理器等部件。其主要功能是和每一个代理进行相互通信,

实时处理所有从各代理发来的信息，做出响应的反映，同时

对网络的各安全参数进行审计和记录日志，并可以对防火一

检测产品的布署

这里对检测产品中的IDS探测器和漏洞扫描仪进行简单

介绍。

从图8.20中看出，IDS探测器可以部署在网络中各个关

键节点。比如IDS探测器1部署在防火墙的前面，这样可

以侦探各种入侵的企图，但是这将产生许多不必要的报警。

IDS探测器2部署在防火墙的DMZ(DemilitarizedZone)

区，DMZ区是内部网络对外部提供各种服务的区域，比如

Web服务、邮件服务、FTP服务等。由于DMZ区往往是遭

受攻击最多的区域，在此部署一台探测器是非常必要。

IDS探测器3部署在防火墙与路由器之间，也是部署探测

器的最关键的位置，实时监测进入到内部网的数据包。

IDS探测器4、5部署在内部各个网段，监测来自内部的违

反安全规则的行为。

59

检测产品的布署

内部网IDS检测器4财务网IDS检测器5

60

检测产品的布署

目前，漏洞扫描仪在市场上最常见有两种类型，即基于主

机型与基于网络型。基于主机的漏洞扫描主要是软件形式。

基于网络型漏洞扫描有软件形式、机架式、掌上电脑形式。

图8.21是一个适合内外网安全体系结构的漏洞扫描仪的布

署示意图。在该图中扫描仪1对入侵检测系统代理、服务器

集群、代理服务器等进行扫描，扫描仪2对各种电脑主机进

行扫描，及时发现并解决网络中存在的隐患，就能够使网络

受到攻击的风险降到最低，起到一个事先的预防功效，以最

小的投入换取最大的安全保障。

61

检测产品的布署

图8.21漏洞扫描仪在内部网中布署示意图

入侵检测系统的新发展

随着日益复杂的网络攻击的出现，原有的安全构架面临

新的危机，许多入侵可以穿过只有记录和检测功能的传统的

网络入侵检测系统。在这一背景下，新的网络安全产品入侵

防御系统就出现了。

1.IDS存在如下问题

>较高的漏报率和误报率。

>对IDS系统的管理和维护比较难。

>当IDS系统遭受拒绝服务攻击时，它的失效开放机

制使得黑客可以实施攻击而不被发现。

入侵检测系统的新发展

2.IPS的定义与功能

IPS又称为入侵检测和防御系统（IDP）,它不但能检测人\

侵的发生，并且能指挥防火墙和其他响应方式，实时终止入

侵行为的发生和发展，是实时保护系统不受实质性攻击的智

能化的安全产品。'

从功能上来看，IPS则是一种主动的、积极的入侵防范、

阻止系统，是一种在线的解决方案。它部署在网络的进出口

处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采

取措施将攻击源阻断。它可以阻击由防火墙漏掉的或IDS检

测到而不能处理的网络攻击，从而减少因网络攻击而受到的

损失，增强网络的性能和可用性。

但是，IPS在处理一些比较新的协议和比较少用的协议上

亚，表现得不尽如人意丁身H一些需要解码的数螂，-64

IPS不能够准确判断。在这方面IPS还是需要继续拓1的。

入侵检测系统的新发展

3.IPS、IDS和防火墙的比较

与IDS相比，IPS不但能检测入侵的发生，而且有能力终

止入侵活动的进行；而IDS是一种并联在网络上的设备，\

它只能被动地检测网络遭到了何种攻击，它的阻断攻击能

力非常有限，一般只能通过发送TCPreset包或联动防火

墙来阻止攻击。

与防火墙相比，IPS能够从不断更新的模式库中发现各

种各样新的入侵方法，并作出智能的保护性操作；而防火

墙只能死板的执行预先设定的简单规则，不能发现规则之

外的入侵行为。但是IPS不能完全代替防火墙，因为防火

墙除了是粒度比较粗的访问控制产品，它还可以提供网络

地址转换、服务代理、流量统计等功能，甚至有的防火墙

还能提供VPN功能。另外，IPS的功能比较单一，它只能

串联在网络上，类似于通常所说的网桥式防火墙，对防火

嘱所不能过滤的攻击进行过滤7■因此「把IPS与吵墙结65

合起来，可以最大程度的保护系统的安全。

7.10SET协议\

SET是由Visa和MasterCard所开发的，是为了在Internet上进行在线

交易时保证用卡支付的安全而设立的一个开放的规范。'

协议内容：\

(1)加密算法的应用(RSA和DES)

(2)证书消息和对象格式\

(3)购买消息和对象格式\

(4)请款消息和对象格式

66

7.8反病毒技术

7.8.1病毒概述

7.8.2宏病毒

7.8.3CIH病毒

7.8.4常用反病毒技术

67

病毒概述\

1.病毒定义

计算机病毒指编制或者在计算机程序中插入的破坏计算

机功能或者毁坏数据，影响计算机使用，并能自我复制的一

组计算机指令或者程序代码。

一般地，我们所讲的病毒包括特洛伊木马、病毒、细菌

和蠕虫等等。特洛伊木马和病毒，它们不能脱离某些特定的

的应用程序、应用工具或系统而独立存在；而细菌和蠕虫是

完整的程序，操作系统可以调度和运行它们。而且除特洛伊

木马外，其他三种形式的病毒都有能够复制。

68

病毒概述

2.病毒传染方式

病毒的传染途径有电磁波、有线电路、军用或民用设备

或直接放毒等。具体传播介质有计算机网络、软硬磁盘和光

盘等。根据传输过程中病毒是否被激活，病毒传染分为静态

传染和动态传染。

静态传染是指由于用户使用了COPY、DISKCOPY

等拷贝命令或类似操作，一个病毒连同其载体文件一

起从一处被复制到另一处。而被复制后的病毒不会引

起其他文件感染。

＞动态传染是指一个静态病毒被加载进入内存变为动

病毒概述\

3,病毒的分类

按病毒感染的途径，病毒分为三类：

>引导型病毒。它是是藏匿在磁盘片或硬盘的第一个

扇区。每次启动计算机时，在操作系统还没被加载之

前就被加载到内存中，这个特性使得病毒完全控制

DOS的各类中断，并且拥有更大的能力进行传染与破

坏。

>文件型病毒。文件型病毒通常寄生在可执行文件中

当这些文件被执行时，病毒的程序就跟着被执行。根

据病毒依传染方式的不同，它分成非常驻型和常驻型。

>复合型病毒。这类病毒兼具引导型病毒以及文件型

病毒的特性。它们可以传染*.COM和*.EXE文件，也

可以传染磁盘的引导区。

病毒概述

4.病毒结构

计算机病毒是一种特殊的程序，它寄生在正常的、合法

的程序中，并以各种方式潜伏下来，伺机进行感染和破坏。

在这种情况下，称原先的那个正常的、合法的程序为病毒的

宿主或宿主程序。病毒程序一般由以下部份组成：

初始化部分。它指随着病毒宿主程序的执行而进入

内存并使病毒相对独立于宿主程序的部分。

>传染部分。它指能使病毒代码连接于宿主程序之上

的部分，由传染的判断条件和完成病毒与宿主程序连

接的病毒传染主体部分组成。

>破坏部分或表现部分。主要指破坏被传染系统或者

在被传染系统设备上表现特定的现象。它是病毒程序

的主体，在一定程度上反映了病毒设计者的意图。7

71

病毒概述

5.病毒感染原理

＞引导型病毒感染原理

引导型病毒通过执行启动计算机的动作作为感染的途径。

一般正常软盘启动动作为：开机、执行BIOS、读入BOOT程序

执行和加载DOS。

假定某张启动软盘已经了感染病毒，那么该软盘上的

BOOT扇区将存放着病毒程序，而不是BOOT程序。所以，

“读入BOOT程序并执行”将变成“读入病毒程序并执行”，

等到病毒入侵内存后，等到病毒入侵内存后，再由病毒程序

读入原始BOOT程序，既然病毒DOS先一步进入内存中，自然

在DOS下的所有读写动作将受到病毒控制。所以，当使用者

只要对另一张干净的软盘进行读写，驻在内存中的病毒可以

感染这张软盘。_

病毒概述

若启动盘是硬盘。因硬盘多了一个分区表，分区表位于

硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”

之前是“读入分区表并执行"，比软盘启动多了一道手续。

所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT

扇区还可以感染硬盘的分区表。

感染BOOT扇区是在“读入分区表并执行”之后，“读入

BOOT程序并执行”之前“读入病毒程序并执行”。感染分区

表是在“读入病毒程序并执行”之后，“读入分区表并执行”

之前“读入BOOT程序并执行”。

不管是软盘还是硬盘，引导型病毒一定比DOS早一步进入

内存中，并控制读写动作，伺机感染其他未感染病毒的磁盘。

病毒概述

＞文件型病毒感染原理

对非常驻型病毒而言，只要一执行中毒的程序文件，病

毒便立即寻找磁盘中尚未感染病毒的文件，若找到了便加以

感染。一般而言，对于.COM型文件，病毒替换它的第一条指

令；对于.ExE文件，病毒改变入口指针。

而常驻型病毒必须常驻内存，才能达到感染其他文件的

目的。在每一个程序文件在执行时，都会调用INT21H中断

命令，所以病毒必须拦截INT21H的调用，使其先通过病毒

的程序，再去执行真正的INT21H服务程序。这样，每个要

被执行的程序文件都要先通过病毒“检查”是否已中毒，若

未中毒则病毒感染该文件。

＞复合型病毒感染原理

就启动动作来说，假设以感染复合型病毒的磁盘启动、7

却么病毒便先潜入内存中，伺机感染其他未中可蝉盘T京

当DOS载入内存后，病毒再拦截INT21H已好嬉泰文件的目

病毒概述\

6.病毒的网络威胁

>工作站受到的威胁。病毒对网络工作站的攻击途径

主要包括：利用软盘读写进行传播、通过网络共享进

行攻击、通过电子邮件系统进行攻击、通过FTP下载

进行攻击和通过WWW浏览进行攻击。

>服务器受到的威胁。网络操作系统一般都采用

WindowsNT/2000Server和少量Unix/Linux,而

Unix/Linux本身的计算机病毒的流行报告几乎很少。

但至》目前为止感染WindowsNT系统的病毒已有一定

数量。

>Web站点受到的威胁。一般Web站点，用户访问

量很大，目前能通过WEB站点传播的病毒只有脚本蠕

虫、一些恶意Java代码和ActiveX。

宏病毒\

1.宏病毒的传染原理

每个Word文本对应一个模板，而且对文本进行操作时，

如打开、关闭文件等，都执行了相应模板中的宏程序，由此

可知：

>当打开一个带病毒模板后，该模板可以通过执行其

中的宏程序，如AutoOpen、AutoExit等将自身所携

带病毒程序拷贝到Word系统中的通用模板上，如

Normal.dot中。

>若使用带病毒模板对文件进行操作时，如存盘

FileSave等，可以将该文本文件重新存盘为带毒模板

宏病毒

2.宏病毒的危害

Word宏病毒几乎是唯一可跨越不同硬件平台而生存、

传染和流行的一类病毒。与感染普通.EXE或.COM文件的病毒

相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难

以防治等特点。具体表现为：

对Word的运行破坏。不能正常打印、封闭或改变文

件存储路径、将文件改名