相关链接：电子商务网站的安全设计与管理辅导3

第七节 网络病毒与防范

1． 病毒的概念和基本特征

概念：

计算机病毒：是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，

特征：

传染性

隐蔽性

潜伏性

破坏性

2． 网络病毒的新特点

破坏性强

传播性强

潜伏性和可激发性更强

针对性强

扩散面广

3． 网络病毒的预防，检测和杀毒

预防病毒技术

1) 加密可执行程序，

2) 引导区保护，

3) 系统监控和读写控制

检测病毒技术

1) 自身检验，

2) 关键字，

3) 文件变化

消毒技术

1) 对服务器文件频繁扫描和监测

2) 对客户端安装病毒芯片

3) 目录文件权限控制

1） 措施：

加强管理人员的安全意识

安装防病毒软件

2） 预防原则：

防重于治

防毒不能停

与网络管理集成，形成多层防御体系

网络病毒防治是整个安全体系的一部分

第八节 电子支付中的安全

1． 网络支付的安全要求

1) 对交易双方身份的认证，基于可信的第三方CA，数据签名，认证协议，防止假冒和欺骗

2) 保障交易信息的保密性、完整性，通过SSL/TLS,SET,防止泄漏和修改

3) 保证交易双方对交易的不可否认性，通过数字证书和签名技术，防止事后抵赖

支付网关：

位于internet和传统的银行专网之间，

其主要作用是安全连接internet和专网，将不安全的internet上的交易信息传给安全的银行专网，起到隔离和保护专网的作用，

主要功能：

1) 将Internet传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；

2) 接收银行系统内部的传回来的响应消息，将数据转换为Internet传送的数据格式，并对其进行加密。

3) 即支付网关主要完成通信、协议转换和数据加解密功能，以保护银行内部网络。

2． 信用卡支付安全技术

SET通过4种安全措施来保护网上支付信息的安全性

1) 持卡人能够确认收款商家是否有权以采用SET标准的安全方式接收支付卡

2) 采用SET的商家能够确认交易中正在使用的支付卡

3) SET采用先进的公钥密码系统以及数字签名，数字认证等技术

4) SET保护支付信息只能被指定的接受方读取，信息只能被采用SET的商家与金融机构破译，商家看不到持卡人的账号

SET包括4个子系统：

1) 持卡人钱包：

在网上消费者的电脑上运行，产生能够被SET商家服务器、支付网关、认证机构子系统接受的SET协议消息

2) 商家服务器：

运行在电子商务网站商家的服务器上，处理支付卡交易与认证

3) 支付网关：

运行在收单银行的电脑上，处理商家的认证与支付信息，并提供与专用金融网络的接口。

4) 认证机构CA：

运行在发卡银行的电脑上，发放与验证由其他3个子系统要求提供的数字证书。

SET流程：

浏览商品---选购商品---填写订单---选定付款方式----发送订单与付款指令-----商家看不到持卡人账号-----商家收到订单后向持卡人的金融机构申请付款认可----确认返回给商家---商家向持卡人发回订单确认----商家发货

SET安全尺度：

1． 保密性

2． 完整性

3． 验证真实性

4． 不可拒付性

SET缺点：

1． 不能隐匿消费者的身份，消费者交易信息会留下记录

2． 复杂，运行维护费用较高，加重消费者的额外负担

3． 电子现金支付中的安全

定义：

电子现金又称为数字现金或数字货币，是一种能被客户和商家接受的，通过Internet购买商品或者服务时使用的一种交易媒介

流程：

客户从客户银行转账到电子银行客户---电子银行给客户发放电子现金 -----客户将电子现金存放在计算机或者智能卡中---客户挑选货物并将电子现金发送给商家----商家向客户提供货物 -----商家将电子现金发送给电子银行-----电子银行向商家开户行入账

优点：

1) 欺诈的可能性小

2) 防止客户拒绝支付和透支

3) 不会透露与客户身份有关的信息

缺点：

1) 易被复制，只能一次性使用

2) 每一步都需要银行的直接参与，交易商，消费者，银行三方都需要互相保留数字签名的收据，以供日后核实

3) 只要被偷看就等丢失，且无法找回

4) 还要牵涉到法律和银行管理等问题

4． 对电子交易安全机制的总体评价