第一章計算機網(wǎng)絡安全技術(shù)概論

王文奇135268270511考核方式：開卷考試成績：平時30%考勤20%作業(yè)實驗10%考查成績：70%2學習本課程要求教學目標：通過本課程的學習，對電子商務的安全有全面地了解，掌握電子商務安全保密的基礎理論和實用技術(shù)，并能在實踐中起主導作用。教材《電子商務安全技術(shù)》清華大學出版社張愛菊主編。3講課內(nèi)容（方法）專題+章節(jié)攻擊技術(shù)網(wǎng)絡安全技術(shù)(理論＋方法)防御技術(shù)常見的防御手段防火墻、入侵檢測、防御木馬4第一章電子商務安全概論1.1電子商務與安全1.2網(wǎng)絡面臨的威脅與攻擊1.3電子商務的安全需求5電子商務與你？中國互聯(lián)網(wǎng)絡信息中心（CNNIC）在京發(fā)布《第24次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》：08年6月

寬帶網(wǎng)民數(shù)達到2.14億人，躍居世界第一。截至2009年6月30日，中國網(wǎng)民規(guī)模達到3.38億人，普及率達到25.5%。那些網(wǎng)絡商務活動購票，網(wǎng)上銀行、網(wǎng)上購書等62009年第一季度中國網(wǎng)上銀行市場總交易額已達到86．78萬億元。工行、建行、農(nóng)行、中行、招行成為國內(nèi)網(wǎng)上銀行交易額居前的銀行。09年一季度末，工行個人網(wǎng)上銀行和企業(yè)網(wǎng)上銀行客戶數(shù)量已達到6196萬戶和159萬戶，分別比年初新增524萬戶和15．1萬戶。該行個人網(wǎng)上銀行交易額和交易筆數(shù)分別達到3．21萬億元和2．79億筆，較去年同期增長84．6％和76．6％。

7制約電子商務發(fā)展的關(guān)鍵問題安全問題就是影響電子商務健康發(fā)展的重要因素之一。中國網(wǎng)民中有82.4%的網(wǎng)民在最常用的電腦中安裝了安全軟件。半年內(nèi)有1.95億網(wǎng)民在上網(wǎng)過程中遇到過病毒和木馬的攻擊，1.1億網(wǎng)民遇到過賬號或密碼被盜的問題。8央視315晚會今天曝光一名叫“頂狐”的黑客，通過自己制造木馬程序，盜取大量用戶的網(wǎng)上銀行信息，用很低廉的價格在網(wǎng)上出售，危及大量網(wǎng)銀用戶的安全?！绊敽币呀?jīng)被警方實抓捕。據(jù)警方透露，“頂狐”是一名黑客高手，2006年他編寫了木馬程序，從此開始了盜取個人信息的行當。頂狐還以免費下載的方式任由人下載和傳播，頂狐偷偷給自己留了一手，黑客們盜取的所有信息都會自動回復到他的手中。每天存儲在他電腦上的信息有3G9電子商務系統(tǒng)遭攻擊實例據(jù)統(tǒng)計，目前全球平均每20秒就會發(fā)生一起Internet主機被入侵的事件，美國75%-85%的網(wǎng)站抵擋不住黑客攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中25%的企業(yè)損失在25萬美元以上。而通過網(wǎng)絡傳播的病毒無論在其傳播速度、傳播范圍和破壞性方面都比單機病毒更令人色變。2005年，美國超過300萬的信用卡用戶資料外泄，導致用戶財產(chǎn)損失嚴重。10網(wǎng)絡攻擊造造成巨大損損失據(jù)國家安全全部門負責責人透露，，有63.6%的企業(yè)用戶戶處于“高高度風險””級別，我我國每年因因網(wǎng)絡泄密密導致的經(jīng)經(jīng)濟損失高高達上百億億。2004年，病毒、、蠕蟲和特特洛伊木馬馬等惡意程程序共給全全球造成了了1690億美元的經(jīng)經(jīng)濟損失11安全與戰(zhàn)爭爭美國網(wǎng)絡司司令部內(nèi)部部12安全戰(zhàn)爭美國網(wǎng)絡司司令部內(nèi)部部13世界的命根根子都捏在在美國手里里部隊由世界界頂級電腦腦專家和““黑客”組組成，其人人員組成包包括美國中中央情報局局、國家安安全局、聯(lián)聯(lián)邦調(diào)查局局以及其他他部門的專專家，甚至至還可能包包括盟國的的頂級電腦腦天才，所所有成員的的平均智商商都在140分以上，因因此也被一一些媒體戲戲稱為“140部隊”。今年6月伊朗大選選的時候，，美國各大大網(wǎng)站在全全球發(fā)布假假新聞，宣宣布內(nèi)賈德德的對手穆穆薩維獲勝勝。而隨后后伊朗官方方卻發(fā)布了了內(nèi)賈德獲獲勝的消息息。許多不不明真相的的伊朗民眾眾(多數(shù)是穆薩薩維的支持持者)發(fā)動了抗議議行動，甚甚至爆發(fā)了了強烈的沖沖突。（新新華網(wǎng)）14美國很霸道道伊拉克戰(zhàn)爭爭期間，在在美國政府府的授意下下，“.iq”(伊拉克頂級級域名，相相當于中文文網(wǎng)址后綴綴的.cn)的申請和解解析工作被被終止，所所有網(wǎng)址以以“.iq”為后綴的網(wǎng)網(wǎng)站全部從從互聯(lián)網(wǎng)蒸蒸發(fā)，伊拉拉克這個活活生生的國國家竟然被被美國在虛虛擬世界里里干掉了。。09年5月30日，古巴、、伊朗、敘敘利亞、蘇蘇丹和朝鮮鮮5國用戶在登登陸MSN時出現(xiàn)了這這樣的提示示：“810003c1：我們無法法為你提供供NETMessenger服務”。是是微軟遵從從美國的意意志把這5個國家的聊聊天軟件關(guān)關(guān)閉了。15直接影響商務交易類類網(wǎng)絡應用用使用率水水平較低，，相對滯后后。網(wǎng)絡購物下下由7400萬擴大到8788萬，旅游預訂受受經(jīng)濟現(xiàn)狀狀影響，用用戶規(guī)模比比08年底略有下下降網(wǎng)上支付半半年增加達達到2370萬人。84.3%的網(wǎng)民認為為互聯(lián)網(wǎng)是是其最重要要的信息渠渠道。網(wǎng)民對網(wǎng)絡絡交易的信信任程度偏偏低，僅29.2%的網(wǎng)民認可可網(wǎng)上交易易安全。16第一章電電子商務安安全概論1.1電子商務與與安全1.2網(wǎng)絡面臨的的威脅與攻攻擊1.3電子商務的的安全需求求171.2.1網(wǎng)絡系系統(tǒng)面臨的的威脅非人為威脅脅天災系統(tǒng)本身的的脆弱性操作系統(tǒng)的的脆弱性網(wǎng)絡系統(tǒng)的的脆弱性數(shù)據(jù)庫管理理系統(tǒng)的脆脆弱性人為威脅各種攻擊18為什么這么么多的攻擊擊操作系統(tǒng)的的脆弱性操作系統(tǒng)越越來越龐大大，由于人人的認知和和實踐能力力的局限性性，產(chǎn)生的的缺陷、錯錯誤和漏洞洞越來越多多。見下表表操作系統(tǒng)設設計的缺陷陷，如遠程程主機可以以登陸并擁擁有超級用用戶的權(quán)限限、網(wǎng)絡日日志記錄補補完整等。。操作系統(tǒng)可可以創(chuàng)建進進程，這些些進程可在在遠程節(jié)點點上創(chuàng)建與與激活，被被創(chuàng)建的進進程可以繼繼續(xù)創(chuàng)建進進程（蠕蟲蟲攻擊）19操作系統(tǒng)推出年份代碼行數(shù)(萬)估計缺陷數(shù)(萬)Windows3.119923001.5~3Windows95199515002.5~5WindowsNT4.0199616508.25~16.5Windows98199818009~18Windows200020003500~500017.5~35WindowsXP3500vista5000微軟操作系系統(tǒng)的安全全性估計20網(wǎng)絡協(xié)議的的脆弱性網(wǎng)絡的開放放性。由于于早期的網(wǎng)網(wǎng)絡用戶以以科研人員員為主，網(wǎng)網(wǎng)絡的設計計主要以共共享和開放放為宗旨，，對網(wǎng)絡協(xié)協(xié)議安全性性考慮的較較少，其中中存在大量量的缺陷。。數(shù)據(jù)處理的的可訪問性性和資源共共享的目的的性之間是是一對矛盾盾。造成了了計算機系系統(tǒng)保密性性難。使用TCP/IP協(xié)議的網(wǎng)絡絡所提供的的FTP、E-Mail、RPC和NFS都包含許多多不安全的的因素，存存在著許多多漏洞。21程序后門，，關(guān)機時刻刻開啟后門門，造成不不可估量的的損失，因因此我國堅堅決開發(fā)自自己的操作作系統(tǒng)，(如海灣戰(zhàn)爭爭的打印機機后門)操作系統(tǒng)安安排的無口口令入口或或口令過短短，是為系系統(tǒng)開發(fā)人人員提供的的邊界入口口，但這些些入口也可可能被黑客客利用。沒有有對對運運行行的的程程序序進進行行檢檢查查，，如如程程序序的的擁擁有有者者、、是是否否已已經(jīng)經(jīng)被被改改變變，，是是否否含含有有病病毒毒等等？？盡管管操操作作系系統(tǒng)統(tǒng)的的缺缺陷陷可可以以通通過過版版本本的的不不斷斷升升級級來來克克服服，，但但系系統(tǒng)統(tǒng)的的某某一一個個安安全全漏漏洞洞就就會會使使系系統(tǒng)統(tǒng)所所有有安安全全控控制制毫毫無無價價值值。。并并可可能能引引發(fā)發(fā)新新的的安安全全漏漏洞洞22常用用攻攻擊擊手手段段信息息收收集集地址址掃掃描描、、端端口口掃掃描描、、拓拓撲撲掃掃描描、、操操作作系系統(tǒng)統(tǒng)類類型型、、漏漏洞洞利用用型型攻攻擊擊口令令猜猜測測、、木木馬馬、、緩緩沖沖區(qū)區(qū)溢溢出出網(wǎng)絡絡欺欺騙騙、、瀏瀏覽覽器器劫劫持持、、流流氓氓軟軟件件拒絕絕服服務務死亡亡之之ping、淚淚滴滴、、SYNflooding、UDPflooding、ICMPflooding、電電子子郵郵件件炸炸彈彈、、網(wǎng)網(wǎng)絡絡蠕蠕蟲蟲23第一一章章電電子子商商務務安安全全概概論論1.1電子子商商務務與與安安全全1.2網(wǎng)絡絡面面臨臨的的威威脅脅與與攻攻擊擊1.3電子子商商務務的的安安全全需需求求24電子子商商務務交交易易安安全全的的要要求求電子子商商務務順順利利開開展展的的核核心心和和關(guān)關(guān)鍵鍵的的保保證證交交易易的的安安全全性性，，這這是是網(wǎng)網(wǎng)上上交交易易的的基基礎礎，，也也是是電電子子商商務務技技術(shù)術(shù)的的難難點點所所在在。。保障障數(shù)數(shù)據(jù)據(jù)信信息息的的有有效效性性、、機機密密性性、、完完整整性性、、可可靠靠性性、、不不可可否否認認性性等等。。25電子子商商務務安安全全要要素素-真真實實性性指網(wǎng)網(wǎng)上上交交易易雙雙方方身身份份信信息息和和交交易易信信息息真真實實有有效效，，雙雙方方交交換換通通過過數(shù)字字簽簽名名、身份份認認證證、數(shù)字字證證書書等辨辨別別交交易易者者的的身身份份。。26電子子商商務務安安全全要要素素-有效效性性要對對網(wǎng)網(wǎng)絡絡故故障障、、操操作作錯錯誤誤、、應應用用程程序序錯錯誤誤、、硬硬件件故故障障、、系系統(tǒng)統(tǒng)軟軟件件錯錯誤誤及及計計算算機機病病毒毒所所產(chǎn)產(chǎn)生生的的潛潛在在威威脅脅加加以以控控制制和和預預防防，，以以保保證證貿(mào)貿(mào)易易數(shù)數(shù)據(jù)據(jù)在在確確定定的的時時刻刻、、確確定定的的地地點點是是有有效效的的。。27電子子商商務務安安全全要要素素-機密密性性保證證個個人人或或?qū)Ｓ糜玫牡母吒叨榷让裘舾懈袛?shù)數(shù)據(jù)據(jù)的的機機密密性性主主要要技技術(shù)術(shù)，，密密碼碼學學EC信息息直直接接代代表表著著個個人人、、企企業(yè)業(yè)或或國國家家的的商商業(yè)業(yè)機機密密。。要要預預防防非非法法的的信信息息存存取取和和信信息息在在傳傳輸輸過過程程中中被被非非法法竊竊取取。。28電子商務務安全要要素-完整性保證所存存儲、傳傳輸?shù)裙芄芾淼男判畔⒉槐槐淮鄹摹?。由于?shù)據(jù)據(jù)輸入時時的意外外差錯或或欺詐行行為，可可能導致致貿(mào)易各各方信息息的差異異。貿(mào)易各方方信息的的完整性性將影響響到貿(mào)易易各方的的交易和和經(jīng)營策策略，保保持貿(mào)易易各方信信息的完完整性是是EC應用的基基礎。29電子商務務安全要要素-可靠性可靠性是是指防止止計算機機失效、、程序錯錯誤、傳傳輸錯誤誤、自然然災害等等引起的的計算機機信息失失效或失失誤。保保證存儲儲在介質(zhì)質(zhì)上的信信息的正正確性。。30電子商務務安全要要素-不可否認認性防止通信信的雙方方對已進進行業(yè)務務的否認認在傳統(tǒng)的的紙面貿(mào)貿(mào)易中，，貿(mào)易雙雙方通過過在交易易合同、、契約或或貿(mào)易單單據(jù)等書書面文件件上手寫寫簽名或或印章來來鑒別貿(mào)貿(mào)易伙伴伴。保證信息息的發(fā)送送方不能能否認已已發(fā)送的的信息，，接收方方不能否否認已收收到的信信息，身身份的不不可否認認性常采采用數(shù)字字簽名來來實現(xiàn)。。31電子商務務安全技技術(shù)常用的網(wǎng)網(wǎng)絡安全全技術(shù)密碼學、、安全協(xié)協(xié)議、防防火墻墻、虛擬擬專用網(wǎng)網(wǎng)、入侵侵檢測技技術(shù)、計計算機防防病毒技技術(shù)等。。32電子商務務安全技技術(shù)密碼技術(shù)術(shù)：對稱密碼碼體制，，非對稱稱密碼體體制。（（AES加密標準準、RSA公鑰密碼碼體制和和橢圓曲曲線密碼碼系統(tǒng)）），報文文摘要技技術(shù)(散列函數(shù)數(shù))。公鑰基礎礎設施（（PKI）利用公鑰鑰理論和和技術(shù)建建立的提提供信息息安全服服務的基基礎設施施。33電子商務務安全技技術(shù)電子安全全交易協(xié)