第7章電子商務的安全技術

7.1電子商務的安全概述一

7.2網絡安全技術

7.3對稱密鑰密碼技術

7.4公鑰密碼技術

_7.5數字證書及數字認證

7.6防火墻技術

7.7檢測技術

7.8病毒及其防治

7.9SET協議

7.10其他安全技術介紹

7.1電子商務的安全概述

7.1.1電子商務的安全'

1.電子商務安全從整體上可分為兩大部分：

(1)計算機網絡安全。包括網絡設備安全、網絡系統安全、

數據庫安全等，其特征是針對網絡本身可能存在的安全問題，

實施網絡安全增強方案，以保證網絡自身的安全性為目標。\

(2)商務交易安全。在網絡安全的基礎上，圍繞傳統商務在

互聯網上應用時產生的各種安全問題，考慮如何保障電子商

務過程順利進行，即實現電子商務的保密性、完整性、可鑒

別性、不可偽造性和不可抵賴屜。

2.計算機網絡安全

(1)計算機網絡潛在的安全問題\

①操作系統的安全。\

_②CGI程序代碼的審計。關鍵是那些為某些網站專用開發的CGI代碼。

(3)拒絕服務(DoS,DenialofService)o、

④安全產品使用不當。\

⑤缺少嚴格的網絡安全管理制度'

(2)計算機網絡安全體系

一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安

全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。，

3.電子商務交易安全

交易安全是電子商務涉及到的最核心、最關鍵的安全問題

(X)電子商務的安全隱患

①竊取信息

②篡改信息

③假冒,?

④惡意破壞

⑵電子商務安全交易的要求

①信息保密性

②交易者身份的確定性

③不可否認性

不可修改性________________

f4

(3)電子商務交易中的標準

①安全超文本傳輸協議(S-HTTP)

②安全套接層協議(SSL)。一個由Netscape提出的安全交易協議，提供

加密、認證服務和報文的完整性，用于NetscapeCommunicator和Microsoft

IE。\

③安全交易技術協議(STT:SecureTransactionTechnology)。由Microsoft

提出，用于MicrosoftIE。\

④安全電子交易協議(SET:SecureElectronicTransaction)。其主要目

標是保障付款安全，確定應用的互通性，并使全球市場接受。'

3.主要的安全技術

⑴虛擬專用網(VPN)o

⑵數字認證。這種技術可用電子方式證明信息發送者和接收者的身份、

文件的完整性、數據媒體的有效性。這需要有一個可信的第三方，以便

對有關數據進行數字認證。

(3)加密技術。根據所用加密和解密算法的異同，可分為對稱加密和菲對

禰加密。\

(4)電子商務認證中心(CA)。、

4.電子商務安全總結

電子商務安全主要有以下幾個方面的內容：

(1)有效性。(4)可靠性/不可抵賴性/鑒別。

⑵機密性。(5)審查能力。

(3)完整，電_________⑹信道6

7.1.2電子商務的安全策略

安全策略是指在某個安全區域內，用于所有與安全活動相關的一套規則。

1.安全策略的等級\

⑴安全策略目標\

(2)機構安全策略'

(3)系統安全策略

2.安全策略應重視的幾個方面

⑴機密性\

(2)數據完整性

⑶授權與驗證

(4)訪問控制策略。包括基于身份的策略、基于任務的策略、

7

3.0SI安全結構的安全機制

OSI安全結構共有八種安全機制：加密機制、數字簽名X型、訪

問控制機制、數據完整性機制、認證交換機制、業務流量填充機制、、路

由控制機制、確認機制。\

相應的五種通用安全機制：可信任功能、安全標簽、事件檢測、安、

全審計跟蹤、安全恢復。\

7.2網絡安全技術

7.2.1網絡安全協議\

考慮到網絡安全性能，主要的安全協議集中在應用層、傳輸層和網

絡層。\

1.應用層協議

(1)Telnet的安全性。用SSH軟件包的slogin應用、TexasA&M大

學開發的安全RFC認證(RSA)、軟件包簧安全的Telnet軟件包來代

春rlogin和telnet命令可以防止來自內部的口令竊取攻盅。

⑵E-mail的安全性。認證、保密、數據完整和不可否認。

(3)Web的安全性。即Web客戶機的一系列安全服務。

9

2.傳輸層協議\

(1)傳輸控制協議(TCP)。實現在無連接的、不可靠的網絡業務

上運行面向連接的、可靠的業務。\

(2)用戶數據報協議(UDP)。為一個無連接傳輸協議。

(3)安全外殼(SSH)。用于安全登錄到遠程機器上，在其上執行

命令后轉移文彳牛。\

(4)安全套接層(SSL)和傳輸層協議(TLSWG)。'

3.網絡層協議

IP協議(InternetProtocol),是面向無連接的、不可靠的數據

傳輸。IPV6安全協議，有認證和保密功能。

7.2.2防火墻技術\

\

防火墻(Firewall)是內部網絡與外部公共網絡之間的分界安全屏障，

狹義指安裝了Firewall軟件的主機或路由器系統，廣義還包括整個網緣的安

全策略和安全行為。\

1.防火墻主要安全技術\

(1)包過濾技術(PacketFiltering)o是在網絡層依據系統的過濾,

規則，對數據包進行選擇和過濾，這種規則又稱為訪問控制表ACLs,通

常安裝在路由器上。

(2)網絡地址翻譯NAT(NetworkAddressTranslation)用

于隱藏內部主機。\o

(3)應用級代理。代理服務器充當雙重身份，將內部系統與外界完

全隔離開來，它偵聽網絡內部客房的服務請求，檢查并驗證其合法性，

只宥合法的才能通過。

2.防火墻分類\

(1)包過濾型。依據網絡中的分包傳輸技術。優點是簡單實用，實現X

成本較低；缺點是它無法識別基于應用層的惡意侵入。

(2)代理型(代理服務器)。優點是安全性較高，可以對應用層進

行偵測和掃描，對付基于應用層的侵入和病毒都十分有效；缺點是對系

統的整體性能有較大的影響，大大增加了系統管理的復雜性。

3.防火墻的功能

主要功能：數據包過濾、應用代理服務和狀態檢測。

新增功能：綜合技術

結構和管理界面簡單

支持加密的VPN

內部信息完全隱藏

增加強制訪問控制

支持多種認證方式

網絡安全監控系統和內容過濾

7.2.3虛擬專用網技術、

1.虛擬專用網概述\

虛擬專用網(VirtualPrivateNetwork,VPN)是一種在公共網絡上運行的

專用網絡，通過隧道(Tunneling)技術，在Internet上為企業開通一條專用通

道，以代替原來昂貴的專線租賃或者中繼方式，把其分布在世界各地的分支

機構和合作伙伴們連接起來，感覺就像在一個自己的專用網里。\

優點：保密性好、使用方便、建設成本低。\

結構和管理界面簡單

支持加密的VPN

內部信息完全隱藏

增加強制訪問控制

支持多種認證方式

網絡安全監控系統和內容過濾

14

2.VPN的特點

優點：VPN比廣域網更便宜、更容易建立

缺點：VPN比廣域網要慢，不如廣域網可靠

不如單獨的局域網或廣域網安全。

3.VPN的類型

基于服務器的VPN

基于防火墻的VPN

基于路由器的VPN

15

7.2.4入侵檢測技術

入侵檢測技術是一種主動實時保護免受攻擊的網絡安

全技術，是繼防火墻后的第二道安全防線。\

1.入侵檢測技術

①基于應用的監控技術。\

②基于主機的監控技術。\

③基于目標的監控技術。

④基于網絡的監控技術。

⑤綜合以上四種方法進行監控。

16

2.漏洞檢測技術

①基于應用的檢測技術。\

②基于主機的檢測技術。\

③基于目標的檢測技術。'

④基于網絡的檢測技術。

⑤綜合的技術。

3.入侵檢測實現模型

設計為兩部分：安全服務器(Securityserver)和偵

測代理(Agent)o

17

7.3對稱密鑰密碼技術

對稱密碼(又稱為私鑰密碼)體制使用相同的密鑰加密和

解密信息，即通信雙方建立并共享一個密鑰。\

1.工作原理

用戶A要發送機密信息給B,則A和B必須共享一個預先由人

工分配或由密鑰分發中心(KDC)分發的密鑰K,于是A用簧

鑰K和加密算法E對明文P加密到密文C=Ek(p),并將密文C發遞

給B;B用同樣的密鑰K和解密算法D對密天解密，得到明文

P=Dk(Ek(p))

18

2.分類\

按加密模式可以分為流密碼（或稱序列密碼）和分組

密碼（或稱塊密碼）兩大類。、

（1）流密碼：通過有限狀態機產生性能優良的偽隨機

序列，使用該序列加密信息流得到密文序列。錯誤擴展隊、

迅度快、同步容易和安全程度高。'

（2）分組密碼：修明文分成固定的組（塊），用同一

密鑰算法對每一塊加密，輸出固定長度的密文。

19

7.4公鑰密碼技術

以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則

可以實現多個用戶的消息只能由一個用戶解讀；以用戶專用鑰

作為加密密鑰而以公開鑰作為解密密鑰，則可實現由一個再停

加密的消息而使多個用尸解讀。\

前者可用于保密通訊，后者可用于數字簽字。

20

1.概念\

公開密鑰體制也稱為非對稱密鑰，要求密鑰成

對出現，一個為加密密鑰（e）,即公共密鑰，另

一個為解密密鑰（d）,即專用密鑰，且兩者不可

能從其中一個推出另一個，其中公共密鑰可以發

布出去，專用密鑰則每個用戶不同。

21

2.工作原理\

用戶A和B各自擁有一對密鑰(庫、KJ)和(KB>埠」)。

私鑰K/KB-I分別由A、B各自秘密保管，而KAKB則以相書的

形式對外公布。當A要將明文消息P安全的發送給B,則A用B

的公鑰KB加密P得到密文C=Ekb(p);而B受到密文C后，用私，

鑰KB」解密恢復明文P=DkJ(c)=DkJ(Ekb(p))。'

公共密鑰加密算法主要有：

(1)RSA(Receive>Shamir>Adelman)

(2)Fertezza(3)EIGama

3.RSA公共密鑰密碼算法

公開密鑰：n=pq(p、q分別為兩個互異的大素數，p,q必、須

保密)，e與(p-1)(q-1)互素。、

專用密鑰:d-e1(mod(p-1)(q-1))

加密：c=me(modn),其中m為明文，c為密文

解密：m=cd(modn)

一般要求p,q為安全素數，n的長度大于512bit,這主要是

因為RSA算法的安全性依賴于因子分解大數問題。

2.數字簽字\

數字簽字是使用某人的私鑰加密特定的消息摘要散

列值而得到的結果，通過這種方法把人同特定消息聯系

起來。\

消息簽字與消息加密有所不同，消息加密和解密可、、

能是一次性的，它要求在解密之前是安全的；而一個簽

字的信息可能作為一個法律上的文件，很可能在對信息

簽署多年之后才驗證其簽字，且可能需要多次驗證此簽

字。

7.5數字證書與數字認證\

1.數字證書\

數字證書即數字ID,是一種電子形式的由CA簽發用手識別的

個人證書。一個標準格式為X.509公鑰證書。\

其他的數字證書的可選格式還有：\

（1）簡單公開密鑰基礎設施（SPKI）\

（部口多號（；*量GoodPrivacy）是一種對電子郵件和文件進行加畬\

（3）安全電子交易（SET）標準定義了在分布網絡上進行信用卡支■

付交易所需的標準。

（4）屬性證書是用來傳遞一個給定主體的屬性以便于靈活、可擴展的

薜權管理。”

25

2.數字認證\

數字認證也稱為證書驗證，是檢查一份給定的證書是否

可用的過程。\

數字認證確定的內容有：

(1)一個可信的CA已經在證書上簽名。\

(2)證書具有良好的完整性。、

(3)證書處在有效期內。

(4)證書沒有撤銷。

(5)證書的使用方式與任何聲明的策略

和/或使用限制相一致。

26

7.6防火墻技術

7.6.1防火墻主要技術

762防火墻分類

防火墻主要技術

防火墻是一道介于開放的、不安全的公共網與信息、資

源匯集的內部網之間的屏障，由一個或一組系統組成。狹義

的防火墻指安裝了防火墻軟件的主機或路由器系統，廣義的

防火墻還包括整個網絡的安全策略和安全行為。防火墻技術

包括：

＞包過濾技術

＞網絡地址翻譯

＞應用級代理

防火墻主要技術

1.包過濾技術

包過濾技術(PacketFiltering)是在網絡層依據系統

的過濾規則，對數據包進行選擇和過濾，這種規則又稱為訪

問控制表。這種防火墻通常安裝在路由器上，如圖8.3所示。

這種技術通過檢查數據流中的每個數據包的源地址、

防火墻主要技術

包過濾技術包括兩種基本類型：無狀態檢查的包過濾和

有狀態檢查的包過濾，其區別在于后者通過記住防火墻的所

有通信狀態，并根據狀態信息來過濾整個通信流，而不僅僅

是包。

有許多方法可繞過包過濾器進入Internet,包過濾技術

存在以下缺陷：

>TCP只能在第0個分段中被過濾。

>特洛伊木馬可以使用NAT來使包過濾器失效。

>許多包過濾器允許1024以上的端口通過。

“純”包過濾器的防火墻不能完全保證內部網的安全，

而必須與代理服務器和網絡地址翻譯結合起來才能解決問題。

30

防火墻主要技術

2.網絡地址翻譯

網絡地址翻譯(NAT,NetworkAddressTranslation)

最初的設計目的是增加在專用網絡中可使用的IP地址數，但

現在則用于屏蔽內部主機。

NAT通過將專用網絡中的專用IP地址轉換成在Internet

上使用的全球唯一的公共IP地址，實現對黑客有效地隱藏所

有TCP/IP級的有關內部主機信息的功能，使外部主機無法

探測到它們。

NAT實質上是一個基本代理：一個主機充當代理，代

表內部所有主機發出請求，從而將內部主機的身份從公用

網上隱藏起來了。

防火墻主要技術

按普及程度和可用性順序，NAT防火墻最基本的翻譯模

式包括：

＞靜態翻譯。在這種模式中，一個指定的內部網絡

源有一個從改變的固定翻譯表。

＞動態翻譯。在這種模式中，為了隱藏內部主機的

身份或擴展內部網的地址空間，一個大的Internet客

戶群共享單個或一組小的InternetIP地址。

＞負載平衡翻譯。在這種模式中，一個IP地址和端

口被翻譯為同等配置的多個服務器的一個集中處，這

樣一個公共地址可以為許多服務器服務。

＞網絡冗余翻譯。在這種模式中，多個Internet連

接被附加在一個NAT防火墻上，從而防火墻根據負載

和可用性對這些連接進行選擇和使用。

32

防火墻主要技術

3.應用級代理

代理現在主要用于防火墻。代理服務器通過偵聽網絡內

部客戶的服務請求，檢查并驗證其合法性，若合法，它將作

為一臺客戶機一樣向真正的服務器發出請求并取回所需信息,

33

防火墻主要技術

應用代理技術的優缺點：\

>代理隱藏了私有客戶，不讓它們暴露給外界。但客戶必

須使用代理才能工作，且不能被設置為網絡透明工作。

>代理能阻斷危險的URL,但阻斷URL也容易被消除。

>代理能在危險的內容傳送給客戶之前過濾掉它們，但代

理無法保護操作系統。

>代理能檢查返回內容的一致性。但大多數一致性檢查都

是在發現有被利用的弱點后才有效。

>代理能消除在網絡之間的傳輸層路由。但阻斷路由功能

通常使用得不充分

>代理提供了單點的訪問、控制和日志記錄功能。

>代理服務器有消除冗余訪問，平衡內部多個服務器負載

的性能優化功能，但易形成服務瓶頸。

34

防火墻分類'、

1.按技術分類

根據防火墻采用的技術，防火墻分為包過濾型、代理型

和監測型。

＞包過濾型

防火墻通過讀取數據包中的地址信息來判斷這些“包”

是否來自可信任的安全站點，一旦發現來自危險站點的數

據包，防火墻便會將這些數據拒之門外。系統管理員也可

以根據實際情況靈活制訂判斷規則。

包過濾技術的優點是簡單實用，實現成本。其缺點只能

根據數據包的來源、目標和端口等網絡信息進行判斷，無

法識別基于應用層的惡意入侵。

防火墻分類

＞代理型

代理型防火墻也稱為代理服務器。從結構上看，代理服

務器由代理的服務器部分和代理的客戶機部分組成。從客

戶機來看，代理服務器相當于一臺真正的服務器，而從服

務器來看，代理服務器又是一臺真正的客戶機。壁壘主機

即一臺軟件上配置代理服務程序的計算機，也可以作為代

理服務器。

代理型防火墻的優點是安全性較高，可以針對應用層進

行偵測和掃描，對付基于應用層的入侵和病毒都十分有效。

其缺點是對系統的整體性能有較大的影響，而且代理服務

器必須針對客戶機可能產生的所有應用類型逐一進行設置，

大大增加了系統管理的復雜性。

36

防火墻分類

>監測型

監測型防火墻是新一代的產品，它實際已經超越了最

初的防火墻定義。監測型防火墻能夠對各層的數據進行主

動的、實時的監測。并在對這些數據分析的基礎上，它能

夠有效地判斷出各層中的非法入侵。

監測型防火墻產品一般還帶有分布式探測器，這些探

測器安置在各種應用服務器和其他網絡的節點之中，不僅

能夠檢測來自網絡外部的攻擊，還對來自內部的惡意破壞

也有極強的防范作用。

防火墻分類

2.按結構分類

目前，防火墻按結構可分為簡單型和復合型。簡單型包

括只使用屏蔽路由器或者作為代理服務器的雙目主機結構；

復合結構一般包括屏蔽主機和屏蔽子網。

?雙目主機結構

雙目主機結構防火墻系統主要由一臺雙目主機構成，具

有兩個網絡接口，分別連接到內部網和外部網，充當轉發器,

如圖8.5所示。這樣，主機可以充當與這些接口相連的路由

器，能夠把IP數據包從一個網絡接口轉發到另一個網絡接口。

但是，實現雙目主機的防火墻結構禁止這種轉發功能。

38

防火墻分類

aioa

圖8.5雙目主機結構防火墻

防火墻內部的系統能與雙目主機通信，同時防火墻外部

的系統如因特網也能與雙目主機通信，但二者之間不能直接

通信。

39

防火墻分類

A屏蔽主機結構

屏蔽主機結構使用一個單獨的路由來提供與內部網相連主機即壁壘主機

的服務。在這種安全體系結構中，主要的安全措施是數據包過濾，如圖8.6

所示。在屏蔽路由器中，數據包過濾配置按以下方式執行：\

?允許其他的內部主機為了某些服務與因特網上的主機連接，即允許那

些經過數據包過濾的服務。

?不允許來自內部主機的所有連接，即強迫內部主機通過壁壘主機使用

代理服務。

由于這種結構允許數據包通過因特網訪問內部數據，因此，它的設計

比雙目主機結構要更冒風險。

40

防火墻分類

圖8.6屏蔽主機結構防火墻

41

防火墻分類

＞屏蔽子網結構

屏蔽子網結構防火墻是通過添加隔離內外網的邊界網絡

為屏蔽主機結構增添另一個安全層，這個邊界網絡有時候稱

為非軍事區。

壁壘主機是最脆弱的、最易受攻擊的部位，通過隔離壁

壘主機的邊界網絡，便可減輕壁壘主機被攻破所造成的后果。

因為壁壘主機不再是整個網絡的關鍵點，所以它們給入侵者

提供一些訪問，而不是全部。

最簡單的屏蔽子網有兩個屏蔽路由器，一個接外部網與

邊界網絡，另一個連接邊界網絡與內部網，如圖8.7所不。這

樣為了攻進內部網，入侵者必須通過兩個屏蔽路由器。

42

防火墻分類

Internet

壁壁主機

圖8.5屏蔽子網防火墻

防火墻的選擇標準和發展方向

1.選擇防火墻標準

＞總擁有成本。防火墻產品的總擁有成本不應該超過受保護網

絡系統可能遭受最大損失的成本。\

＞防火墻本身的安全。防火墻本身應該是安全的，不給外部入侵

者可乘之機。

＞管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。

人員培訓和日常維護費用通常會在總擁有成本中占據較大的比例。

＞可擴充性。好產品應該留給用戶足夠的彈性空間。

＞防火墻的安全性能。即防火墻是否能夠有效地阻擋外部入侵。

防火墻的選擇標準和發展方向'、

2.防火墻的發展方向\

為了有效抵御網絡攻擊，適應Internet的發展勢頭，防火墻表現出如下發

展趨勢：

＞智能化的發展。防火墻將從目前的靜態防御策略向具備人工智露的

智能化方向發展。\

＞速度的發展。隨著網絡速率的不斷提高，防火墻必須提高運算速度'

及包轉發速度，否則成為網絡的瓶頸。

＞體系結構的發展。要求防火墻能夠協同工作，共同組成一個強大的、

具備并行處理能力和負載均衡能力的邏輯防火墻。

＞功能的發展。未來網絡防火墻將在現有的基礎上繼續完善其功能并

不斷增加新的功能。

＞專業化的發展。單向防火墻、電子郵件防火墻、FTP防火墻等針對

特定服務的專業化防火墻將作為一種產品門類出現。

2.PKI體系結構及功能

(1)體系結構

46

(2)操作功能

A產生、驗證和分發密鑰。A證書廢止的申請。'

?密鑰的恢復。\

A簽名和驗證。

A證書的獲取。>CRL(作廢證書表)的獲取。

A驗證證書。A密鑰更新。

A保存證書。A審計。

A本地保存證書的獲取。>存檔。

3.PKI的性能要求

①透明性和易用性

②可擴展性。

③互操作性。

④支持多應用。

⑤支持多平臺。

4.PKI的核心服務

①認證：實體鑒別、數據來源鑒別

②完整性

③機密性

5.PKI系統的常用信任模型

①認證機構的嚴格層次結構模型

②分布式信任結構模型

③Web模型

④以用戶為中心的信任模型

48

7.7檢測技術

7.7.1檢測技術概述'\

772入侵檢測技術\

7.7.3漏洞掃描技術

7.7.4入侵檢測和漏洞掃描系統模型

7.7.5檢測產品的布署

776入侵檢測系統的新發展，

49

檢測技術概述

1.入侵檢測

從計算機安全的目標來看，入侵指企圖破壞資源的

完整性、保密性、可用性的任何行為，也指違背系統安

全策略的任何事件。從入侵策略的角度看，入侵可分為

企圖進入、冒充合法用戶、成功闖入等方面。入侵者一

般稱為黑客或解密高手。Anderson把入侵者分為偽裝

者、違法者和秘密用戶3類。

入侵檢測指對計算機和網絡資源的惡意使用行為進

行識別和響應的處理過程。它不僅檢測來自外部的入侵

行為，同時也能檢測出內部用戶的未授權活動，是一種

增強系統安全的有效方法。入侵檢測從計算機網絡或計

算機系統中若干關鍵點收集信息并對其進行分析，從中

發現網絡或系統中是否有違反安全策略的行為和遭到攻

擊的跡象，同時做出響應。入侵檢測的一般過程包括信

息收集、信怠預處理、數據檢測分析和響應等,班圖-

8.18所示。

檢測技術概述

圖8.18入侵檢測的一般過程

入侵檢測可分為實時入侵檢測和事后入侵檢測。實時入侵檢測在

網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中

的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入

侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。事

后入侵檢測由網絡管理人員定期或不定期進行，根據計算機系統對用戶

操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連

接，并記錄入侵證據和進行數據恢復。但是其入侵檢測的能力不如實時

入侵檢測系統。-d

檢測技術概述

2.漏洞檢測

漏洞是由軟件編寫不當或軟件配置不當造成的。漏洞

掃描是網絡安全防御中的一項重要技術，其原理是采用模擬

攻擊的形式對目標可能存在的、已知的安全漏洞進行逐項檢

查，根據檢測結果向系統管理員提供周密可靠的安全性分析

報告，為提高網絡安全整體水平提供了重要依據。漏洞掃描

也稱為事前的檢測系統、安全性評估或者脆弱性分析。其作

用是在發生網絡攻擊事件前，通過對整個網絡掃描及時發現

網絡中存在的漏洞隱患，及時給出漏洞相應的修補方案，網

絡人員根據方案可以進行漏洞的修補。

漏洞檢測技術通常采用兩種策略，即被動式策略和主

動式策略。被動式策略是基于主機的檢測，對系統中不合適

的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行

檢查；而主動式策略是基于網絡的檢測，通過執行一些腳本一

支件對系統進行攻擊7并記錄它的反應，從而發現其中的褊52

洞。

入侵檢測技術

1.常用的入侵檢測技術

入侵檢測技術可分為五種：

＞基于應用的監控技術。主要使用監控傳感器在應用

層收集信息。

＞基于主機的監控技術。主要使用主機傳感器監控本

系統的信息。

＞基于目標的監控技術。主要針對專有系統屬性、文

件屬性、敏感數據等進行監控。"

＞基于網絡的監控技術。主要利用網絡監控傳感器監

控包監聽器收集的信息。

＞綜合以上4種方法進行監控。其特點是提高了偵測

性能，但會產生非常復雜的網絡安全方案。

入侵檢測技術

2.入侵檢測技術的選用

在使用入侵檢測技術時，應該注意具有以下技術特點：\

＞信息收集分析時間一、

＞分析類型

＞偵測系統對攻擊和誤用的反應

＞偵測系統的管理和安裝

＞偵測系統的完整性

＞設置誘騙服務器

信息收集分析時間可分為固定時間間隔和實時收集分析兩種。分析類

型可分為簽名分析、統計分析和完整性分析。完整性就是系統自身的安

全性。置誘騙服務器的目的就是吸引黑客的注意力，把攻擊導向它，從

敏感的傳感器中發現攻擊者的攻擊位置、攻擊路徑和攻擊實質，隨后把

這些信息送到一個安全的地方，供以后查用。

54

漏洞掃描技術

1.漏洞掃描分類

漏洞掃描技術可分為5種:

基于應用的掃描技術。采用被動的、非破壞性的辦

法檢查應用軟件包的設置，從而發現安全漏洞。

＞基于主機的掃描技術。采用被動的、非破壞性的辦

法對系統進行掃描。它涉及到系統的內核、文件的屬

性等問題。

＞基于目標的掃描技術。采用被動的、非破壞性的辦

法檢查系統屬性和文件屬性，如數據庫、注冊號等。

＞基于網絡的掃描技術。它利用一系列的腳本對系統

進行攻擊，檢驗系統是否可能被攻擊崩潰，然后對結

果進行分析的綜合技術。

＞綜合利用上述4種方法的技術。集中了以上4種技

術的優點，極大地增強j麻司識別的精度。55

漏洞掃描技術

2,漏洞掃描技術的選用

在使用漏洞掃描技術時，應該注意以下技術特點：

＞檢測分析的位置

＞報表與安裝

＞檢測后的解決方案

＞檢測系統本身的完整性

在不同威脅程度的環境下，可以有不同的檢測標準。在

漏洞掃描中，第一步是收集數據，第二步是數據分析。漏洞

掃描系統生成的報表是理解系統安全狀況的關鍵。一旦掃描

完畢，如果發現了漏洞，則系統可以有多種反應機制，如預

警機制等。檢測系統本身就是一種攻擊，如果被黑客利用，

那么就會產生難以預料的后果。

56

入侵檢測和漏洞掃描系統模型

入侵檢測和漏洞掃描系統是安全技術的核心。入侵檢測

和漏洞掃描系統的實現是和具體的網絡拓撲密切相關的，

不同的網絡拓撲對入侵檢測和漏洞掃描系統的結構和功能

有不同的要求。通常情況下該系統在網絡系統中可設計為

兩個部分：

圖8.19入侵檢測和漏洞掃描系統示意圖

57

入侵檢測和漏洞檢測系統模型'\

主機代理中有主機入侵檢測代理和主機漏洞掃描代理兩種

類型。主機入侵檢測代理動態地實現探測入侵信號，并做出

相應的反應；主機漏洞掃描代理檢測系統的配置、日志等，

把檢測到的信息傳給安全服務器和用戶。

入侵檢測代理在結構上由傳感器、分析器、通信管理器等

部件組成。漏洞掃描代理在結構上由檢測器、檢測單元、通

信管理器等部件組成。每一個主機代理感受敏感的安全信息,

對這些信息進行處理，做出反應，然后把一些信息交給網段

代理和安全服務器處理。

安全服務器中包含網絡安全數據庫、通信管理器、聯機信

息處理器等部件。其主要功能是和每一個代理進行相互通信,

實時處理所有從各代理發來的信息，做出響應的反映，同時

對網絡的各安全參數進行審計和記錄日志，并可以對防火一

檢測產品的布署

這里對檢測產品中的IDS探測器和漏洞掃描儀進行簡單

介紹。

從圖8.20中看出，IDS探測器可以部署在網絡中各個關

鍵節點。比如IDS探測器1部署在防火墻的前面，這樣可

以偵探各種入侵的企圖，但是這將產生許多不必要的報警。

IDS探測器2部署在防火墻的DMZ(DemilitarizedZone)

區，DMZ區是內部網絡對外部提供各種服務的區域，比如

Web服務、郵件服務、FTP服務等。由于DMZ區往往是遭

受攻擊最多的區域，在此部署一臺探測器是非常必要。

IDS探測器3部署在防火墻與路由器之間，也是部署探測

器的最關鍵的位置，實時監測進入到內部網的數據包。

IDS探測器4、5部署在內部各個網段，監測來自內部的違

反安全規則的行為。

59

檢測產品的布署

內部網IDS檢測器4財務網IDS檢測器5

60

檢測產品的布署

目前，漏洞掃描儀在市場上最常見有兩種類型，即基于主

機型與基于網絡型。基于主機的漏洞掃描主要是軟件形式。

基于網絡型漏洞掃描有軟件形式、機架式、掌上電腦形式。

圖8.21是一個適合內外網安全體系結構的漏洞掃描儀的布

署示意圖。在該圖中掃描儀1對入侵檢測系統代理、服務器

集群、代理服務器等進行掃描，掃描儀2對各種電腦主機進

行掃描，及時發現并解決網絡中存在的隱患，就能夠使網絡

受到攻擊的風險降到最低，起到一個事先的預防功效，以最

小的投入換取最大的安全保障。

61

檢測產品的布署

圖8.21漏洞掃描儀在內部網中布署示意圖

入侵檢測系統的新發展

隨著日益復雜的網絡攻擊的出現，原有的安全構架面臨

新的危機，許多入侵可以穿過只有記錄和檢測功能的傳統的

網絡入侵檢測系統。在這一背景下，新的網絡安全產品入侵

防御系統就出現了。

1.IDS存在如下問題

>較高的漏報率和誤報率。

>對IDS系統的管理和維護比較難。

>當IDS系統遭受拒絕服務攻擊時，它的失效開放機

制使得黑客可以實施攻擊而不被發現。

入侵檢測系統的新發展

2.IPS的定義與功能

IPS又稱為入侵檢測和防御系統（IDP）,它不但能檢測人\

侵的發生，并且能指揮防火墻和其他響應方式，實時終止入

侵行為的發生和發展，是實時保護系統不受實質性攻擊的智

能化的安全產品。'

從功能上來看，IPS則是一種主動的、積極的入侵防范、

阻止系統，是一種在線的解決方案。它部署在網絡的進出口

處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采

取措施將攻擊源阻斷。它可以阻擊由防火墻漏掉的或IDS檢

測到而不能處理的網絡攻擊，從而減少因網絡攻擊而受到的

損失，增強網絡的性能和可用性。

但是，IPS在處理一些比較新的協議和比較少用的協議上

亞，表現得不盡如人意丁身H一些需要解碼的數螂，-64

IPS不能夠準確判斷。在這方面IPS還是需要繼續拓1的。

入侵檢測系統的新發展

3.IPS、IDS和防火墻的比較

與IDS相比，IPS不但能檢測入侵的發生，而且有能力終

止入侵活動的進行；而IDS是一種并聯在網絡上的設備，\

它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能

力非常有限，一般只能通過發送TCPreset包或聯動防火

墻來阻止攻擊。

與防火墻相比，IPS能夠從不斷更新的模式庫中發現各

種各樣新的入侵方法，并作出智能的保護性操作；而防火

墻只能死板的執行預先設定的簡單規則，不能發現規則之

外的入侵行為。但是IPS不能完全代替防火墻，因為防火

墻除了是粒度比較粗的訪問控制產品，它還可以提供網絡

地址轉換、服務代理、流量統計等功能，甚至有的防火墻

還能提供VPN功能。另外，IPS的功能比較單一，它只能

串聯在網絡上，類似于通常所說的網橋式防火墻，對防火

囑所不能過濾的攻擊進行過濾7■因此「把IPS與吵墻結65

合起來，可以最大程度的保護系統的安全。

7.10SET協議\

SET是由Visa和MasterCard所開發的，是為了在Internet上進行在線

交易時保證用卡支付的安全而設立的一個開放的規范。'

協議內容：\

(1)加密算法的應用(RSA和DES)

(2)證書消息和對象格式\

(3)購買消息和對象格式\

(4)請款消息和對象格式

66

7.8反病毒技術

7.8.1病毒概述

7.8.2宏病毒

7.8.3CIH病毒

7.8.4常用反病毒技術

67

病毒概述\

1.病毒定義

計算機病毒指編制或者在計算機程序中插入的破壞計算

機功能或者毀壞數據，影響計算機使用，并能自我復制的一

組計算機指令或者程序代碼。

一般地，我們所講的病毒包括特洛伊木馬、病毒、細菌

和蠕蟲等等。特洛伊木馬和病毒，它們不能脫離某些特定的

的應用程序、應用工具或系統而獨立存在；而細菌和蠕蟲是

完整的程序，操作系統可以調度和運行它們。而且除特洛伊

木馬外，其他三種形式的病毒都有能夠復制。

68

病毒概述

2.病毒傳染方式

病毒的傳染途徑有電磁波、有線電路、軍用或民用設備

或直接放毒等。具體傳播介質有計算機網絡、軟硬磁盤和光

盤等。根據傳輸過程中病毒是否被激活，病毒傳染分為靜態

傳染和動態傳染。

靜態傳染是指由于用戶使用了COPY、DISKCOPY

等拷貝命令或類似操作，一個病毒連同其載體文件一

起從一處被復制到另一處。而被復制后的病毒不會引

起其他文件感染。

＞動態傳染是指一個靜態病毒被加載進入內存變為動

病毒概述\

3,病毒的分類

按病毒感染的途徑，病毒分為三類：

>引導型病毒。它是是藏匿在磁盤片或硬盤的第一個

扇區。每次啟動計算機時，在操作系統還沒被加載之

前就被加載到內存中，這個特性使得病毒完全控制

DOS的各類中斷，并且擁有更大的能力進行傳染與破

壞。

>文件型病毒。文件型病毒通常寄生在可執行文件中

當這些文件被執行時，病毒的程序就跟著被執行。根

據病毒依傳染方式的不同，它分成非常駐型和常駐型。

>復合型病毒。這類病毒兼具引導型病毒以及文件型

病毒的特性。它們可以傳染*.COM和*.EXE文件，也

可以傳染磁盤的引導區。

病毒概述

4.病毒結構

計算機病毒是一種特殊的程序，它寄生在正常的、合法

的程序中，并以各種方式潛伏下來，伺機進行感染和破壞。

在這種情況下，稱原先的那個正常的、合法的程序為病毒的

宿主或宿主程序。病毒程序一般由以下部份組成：

初始化部分。它指隨著病毒宿主程序的執行而進入

內存并使病毒相對獨立于宿主程序的部分。

>傳染部分。它指能使病毒代碼連接于宿主程序之上

的部分，由傳染的判斷條件和完成病毒與宿主程序連

接的病毒傳染主體部分組成。

>破壞部分或表現部分。主要指破壞被傳染系統或者

在被傳染系統設備上表現特定的現象。它是病毒程序

的主體，在一定程度上反映了病毒設計者的意圖。7

71

病毒概述

5.病毒感染原理

＞引導型病毒感染原理

引導型病毒通過執行啟動計算機的動作作為感染的途徑。

一般正常軟盤啟動動作為：開機、執行BIOS、讀入BOOT程序

執行和加載DOS。

假定某張啟動軟盤已經了感染病毒，那么該軟盤上的

BOOT扇區將存放著病毒程序，而不是BOOT程序。所以，

“讀入BOOT程序并執行”將變成“讀入病毒程序并執行”，

等到病毒入侵內存后，等到病毒入侵內存后，再由病毒程序

讀入原始BOOT程序，既然病毒DOS先一步進入內存中，自然

在DOS下的所有讀寫動作將受到病毒控制。所以，當使用者

只要對另一張干凈的軟盤進行讀寫，駐在內存中的病毒可以

感染這張軟盤。_

病毒概述

若啟動盤是硬盤。因硬盤多了一個分區表，分區表位于

硬盤的第0面第0道第1扇區。當在“讀入BOOT程序并執行”

之前是“讀入分區表并執行"，比軟盤啟動多了一道手續。

所以和感染軟盤不同的地方是病毒不但可以感染硬盤的BOOT

扇區還可以感染硬盤的分區表。

感染BOOT扇區是在“讀入分區表并執行”之后，“讀入

BOOT程序并執行”之前“讀入病毒程序并執行”。感染分區

表是在“讀入病毒程序并執行”之后，“讀入分區表并執行”

之前“讀入BOOT程序并執行”。

不管是軟盤還是硬盤，引導型病毒一定比DOS早一步進入

內存中，并控制讀寫動作，伺機感染其他未感染病毒的磁盤。

病毒概述

＞文件型病毒感染原理

對非常駐型病毒而言，只要一執行中毒的程序文件，病

毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以

感染。一般而言，對于.COM型文件，病毒替換它的第一條指

令；對于.ExE文件，病毒改變入口指針。

而常駐型病毒必須常駐內存，才能達到感染其他文件的

目的。在每一個程序文件在執行時，都會調用INT21H中斷

命令，所以病毒必須攔截INT21H的調用，使其先通過病毒

的程序，再去執行真正的INT21H服務程序。這樣，每個要

被執行的程序文件都要先通過病毒“檢查”是否已中毒，若

未中毒則病毒感染該文件。

＞復合型病毒感染原理

就啟動動作來說，假設以感染復合型病毒的磁盤啟動、7

卻么病毒便先潛入內存中，伺機感染其他未中可蟬盤T京

當DOS載入內存后，病毒再攔截INT21H已好嬉泰文件的目

病毒概述\

6.病毒的網絡威脅

>工作站受到的威脅。病毒對網絡工作站的攻擊途徑

主要包括：利用軟盤讀寫進行傳播、通過網絡共享進

行攻擊、通過電子郵件系統進行攻擊、通過FTP下載

進行攻擊和通過WWW瀏覽進行攻擊。

>服務器受到的威脅。網絡操作系統一般都采用

WindowsNT/2000Server和少量Unix/Linux,而

Unix/Linux本身的計算機病毒的流行報告幾乎很少。

但至》目前為止感染WindowsNT系統的病毒已有一定

數量。

>Web站點受到的威脅。一般Web站點，用戶訪問

量很大，目前能通過WEB站點傳播的病毒只有腳本蠕

蟲、一些惡意Java代碼和ActiveX。

宏病毒\

1.宏病毒的傳染原理

每個Word文本對應一個模板，而且對文本進行操作時，

如打開、關閉文件等，都執行了相應模板中的宏程序，由此

可知：

>當打開一個帶病毒模板后，該模板可以通過執行其

中的宏程序，如AutoOpen、AutoExit等將自身所攜

帶病毒程序拷貝到Word系統中的通用模板上，如

Normal.dot中。

>若使用帶病毒模板對文件進行操作時，如存盤

FileSave等，可以將該文本文件重新存盤為帶毒模板

宏病毒

2.宏病毒的危害

Word宏病毒幾乎是唯一可跨越不同硬件平臺而生存、

傳染和流行的一類病毒。與感染普通.EXE或.COM文件的病毒

相比，Word宏病毒具有隱蔽性強，傳播迅速，危害嚴重，難

以防治等特點。具體表現為：

對Word的運行破壞。不能正常打印、封閉或改變文

件存儲路徑、將文件改名