网站安全设计

13.1网络安全的主要问题网站的常见安全问题电子商务网站面对的新问题网络安全的概念国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网站的常见安全问题服务拒绝攻击闯入保密区域计算机病毒网络安全的主要问题服务拒绝攻击网络对拒绝服务攻击的抵抗力很有限，攻击者将阻止合法的用户使用网络和服务。拒绝服务有三种常见的攻击方式，它们是：服务过载，消息流和信号接地。电子商务网站面对的新问题信息传输的保密性交易文件的完整性交易者身份的确定性交易不可抵赖性网络安全的主要问题13.2加密技术加密技术概述对称密钥体系非对称密钥体系数字信封数字签名数字证书SSL安全技术和SET安全技术1.加密技术概述由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术概述计算机加密技术是解决计算机数据的加密及其解密的技术，它是数学和计算机学的交叉技术待加密的报文，也称明文加密后的报文，也称密文加密、解密装置或算法用于加密和解密的钥匙，简称密钥，一般是一个数字加密技术任何加密系统无论其形式多么复杂，至少应包括以下四个组成部分：算法和密钥加密包括两个元素：算法和密钥。一个加密算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。2.对称密钥体系对称密钥体系（SymmetricCryptography）又称对称密钥技术，在对称密钥体系中，对信息的加密和解密均使用同一个密钥（或者是密钥对，但其中一个密钥可用通过另一个密钥推导而得）对称密钥体系的优点在于算法比较简单，加密、解密速度快，但是也有不可避免的缺点，那就是密钥分发和管理非常困难加密技术对称加密对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DNS），另一个对称密钥加密系统系统是国际数据加密算法（IDEA），它比DNS的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（PrettyGoodPrivacy）系统使用。对称加密算法在电子商务交易过程中存在几个问题：（1）要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。直接的面对面协商可能是不现实而且难于实施的，所以双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商；（2）密钥的数目难于管理。因为对于每一个合作者都需要使用不同的密钥，很难适应开放社会中大量的信息交流；（3）对称加密算法一般不能提供信息完整性的鉴别。它无法验证发送者和接受者的身份；（4）对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。对称加密是基于共同保守秘密来实现的，采用对称加密技术的贸易双方必须保证采用的是相同的密钥，保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。加密技术3.非对称密钥体系1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。3.非对称密钥体系公钥密码技术：以公钥(PK)作为加密密钥，私钥(IK)作为解密密钥，可实现多个用户加密的消息只能由一个用户解读，可用于保密通信；反之，以私钥作为加密密钥，而以公钥作为解密秘钥，则可实现由一个用户加密的消息可使多个用户解读，可用于数字签名。3.非对称密钥体系非对称密钥系统优点在于密钥的管理非常简单和安全非对称密钥体系缺点，是密钥较长，加、解密速度比较慢，对系统的要求较高加密技术3.非对称密钥体系使用公开密钥对文件进行加密传输的实际过程包括四步：（1）发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密，然后通过网络传输到接收方；（2）发送方对需要传输的文件用自己的私有密钥进行加密，然后通过网络把加密后的文件传输到接收方；（3）接收方用自己的公开密钥进行解密后得到发送方的私有密钥；（4）接受方用发送方的私有密钥对文件进行解密得到文件的明文形式。加密技术4.数字信封数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。4.数字信封数字信封（也称为电子信封）并不是一种新的加密体系，它只是把两种密钥体系结合起来，获得了非对称密钥技术的灵活和对称密钥技术的高效数字信封使网上的信息传输的保密性得以解决4.数字信封在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的安全性相当高。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据(通信密钥)还原；数字信封拆解是使用私钥将加密过的数据解密的过程。5.数字签名数字签名技术的目的是保证信息的完整性和真实性数字签名技术就要保证以下两点文件内容没有被改变文件出自签字人之手和经过签字人批准（即签字没有被改动）5.数字签名简单地说，所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。6.数字证书数字证书就是网络通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式数字证书最重要的信息是一对公用密钥体系中的密钥数字证书的关键就是认证中心7.SSL安全技术和SET安全技术SSL和SET是目前Internet上比较成熟的安全技术标准基础就是以上介绍的各种加密技术目的则是保证数据传输的安全性SSL安全技术和SET安全技术SSL（SecureSocketsLayer安全套接层）协议是由Netscape公司研究制定的安全协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施SSL安全技术SSL握手协议SSL记录协议SSL协议包括了两个子协议：SSL安全技术和SET安全技术是一个通过开放网络（包括Internet）进行安全资金支付的技术标准，由VISA和MasterCard组织共同制定，1997年5月联合推出SET安全技术安全电子交易（SET，SecureElectronicTransaction）SSL安全技术和SET安全技术SET安全技术信息在Internet上安全传输定单信息和个人帐号信息的隔离持卡人和商家相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保SET主要目标如下：要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上13.3反病毒技术计算机病毒计算机网络病毒的特点及危害计算机的反病毒技术计算机网络病毒的防治方法计算机病毒首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对电脑资源进行破坏的这样一组程序或指令集合。计算机病毒的定义从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。计算机病毒自我复制的能力它具有潜在的破坏力它只能由人为编制而成它具有可传染性特点:反病毒技术计算机病毒的特征1.传染性：正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。计算机病毒的特征2.隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。计算机病毒的特征3.潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。计算机病毒的特征4.破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻病毒与恶性病毒、良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。计算机病毒的特征5.不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。计算机病毒分类引导区病毒文件型复合型脚本病毒宏病毒特洛伊木马病毒蠕虫病毒黑客型病毒后门病毒计算机网络病毒的特点及危害计算机网络病毒是在计算机网络上传播扩散，专门攻击网络薄弱环节、破坏网络资源的计算机病毒计算机网络病毒破坏性极强它具有潜在的破坏力具有较强的传播性，扩散范围大它具有可传染性具有潜伏性和可激发性具有潜伏性和可激发性对计算机硬件有一定选择性新的传播渠道和破坏手段特点:反病毒技术计算机的反病毒技术检测清除防御免疫反病毒技术反病毒技术分成四个方面：病毒的检测比较法搜索法防御计算机病毒特征字的识别法分析法计算机反病毒技术检测计算机病毒：就是要到病毒寄生场所去检查,发现异常情况，并进而验明“正身”，确证计算机病毒的存在病毒的清除先由人工分析病毒传染的方法，然后再加以程序化在每个可执行文件中追加一部分用于恢复的信息计算机病毒特征字的识别法利用软件自动分析一个文件的原始备份和被病毒感染后的拷贝计算机反病毒技术常用的除手工清除计算机病毒的方法有：病毒的防疫计算机反病毒技术目前最常用的技术就是实时监视技术。这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。病毒的免疫计算机反病毒技术计算机病毒的免疫技术目前没有很大发展。计算机网络病毒的防治方法