实训八 电子商务安全与防范
任务一 实训内容与步骤
1.计算机病毒防范
我们防毒杀毒主用是用杀毒软件,而世界上的杀毒软件有很多,这里有一些杀毒软件我国现用户最多的几款软件:
1.360杀毒 360杀毒是360安全中心出品的一款免费的云安全杀毒软件。360杀毒具有以下优点:查杀率高、资源占用少、升级迅速等等。同时,360杀毒可以与其他杀毒软件共存,是一个理想的杀毒备选方案。360杀毒是一款一次性通过VB100认证的国产杀毒。
2.金山毒霸 金山毒霸(Kingsoft Antivirus)是金山网络旗下研发的云安全智扫反病毒软件。融合了启发式搜索、代码分析、虚拟机查毒等经业界证明成熟可靠的反病毒技术,使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面达到世界先进水平,同时金山毒霸具有病毒防火墙实时监控、压缩文件查毒、查杀电子邮件病毒等多项先进的功能。紧随世界反病毒技术的发展,为个人用户和企事业单位提供完善的反病毒解决方案。从2010年11月10日下午15点30分起,金山毒霸(个人简体中文版)的杀毒功能和升级服务永久免费。金山毒霸2010(猎豹)是最新一版杀毒软件。
3.卡巴斯基 卡巴斯基总部设在俄罗斯首都莫斯科,Kaspersky Labs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黑客和反垃圾邮件产品。经过十四年与计算机病毒的战斗,卡巴斯基获得了独特的知识和技术,使得卡巴斯基成为了病毒防卫的技术领导者和专家。该公司的旗舰产品-著名的卡巴斯基反病毒软件(Kaspersky Anti-Virus,原名AVP)被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。
4.瑞星杀毒软件 瑞星杀毒软件(Rising Antivirus)(简称RAV)采用获得欧盟及中国专利的六项核心技术,形成全新软件内核代码;具有八大绝技和多种应用特征;是目前国内外同类产品中最具实用价值和安全保障的杀毒软件产品。
5.小红伞 一款德国著名杀毒软件的中文昵称,其英文名为AntiVir,自带防火墙(S版),它能有效的保护个人电脑以及工作站的使用,以免受到病毒侵害。软件只有几M大小,它却可以检测并移除超过60万种病毒,支持网络更新。
6.ESET Nod32 ESET nod32是由ESET发明设计的杀毒防毒软件。ESET,于1992年建立,是一个全球性的安全防范软件公司,主要为企业和个人消费者提供服务。其得奖之旗舰产品 NOD32 能针对已知及未知的病毒,间谍软件(SPYWARE)及其它对用户系统带来威胁的程式进行实时的保护。
7.微软杀毒软件 Microsoft Security Eentials (开发代号Morro)是一款由微软(Microsoft)公司(收购一家反病毒软件厂商)开发的免费防病毒软件。该软件可以为正版 Windows XP、正版 Windows Vista 和 正版 Windows 7 提供保护,(注意:不支持正版Windows 2000)使其免受病毒、间谍软件、rootkit 和木马的侵害。Security Eentials 易于安装和使用。更新和升级是自动完成的,因此您不用担心是否拥有最新的保护。安装该软件后,很容易区分您是否受到保护 – Security Eentials 图标为绿色时,您的状态为良好。就是这么简单。当您忙于使用 PC 时,您不想被不需要的警报打扰。而 Security Eentials 在后台静默运行,仅当遇到需要您采取操作的情况时才会向您发出警报。而且它不会占用大量的系统资源,因此不会影响您的工作或娱乐。
8.AVG杀毒软件 avg杀毒软件是欧洲有名的杀毒软件,avg杀毒软件功能上相当完整,可即时对任何存取文件侦测,防止电脑病毒感染;可对电子邮件和附加文件进行扫瞄,防止电脑病毒透过电子邮件和附加文件传播;“病毒资料库”里面则记录了一些电脑病毒的特性和发作日期等相关资讯;“开机保护”可在电脑开机时侦测开机型病毒,防止开机型病毒感染。在扫毒方面,可扫瞄磁碟片、硬盘、光盘机外,也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件 (支持 ZIP、ARJ、RAR 等压缩文件即时解压缩扫描)。在扫描时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt,待扫描完成后再一并解毒。
9.微点杀毒软件 微点杀毒软件是由北京东方微点信息技术有限责任公司自主研发,具有完全自主知识产权的第二代杀毒软件。微点杀毒软件主要针对日益凸显的病毒、木马、恶意软件的检测而诞生,对于各种病毒、木马变种具有很好的检测能力。微点杀毒软件除了采用传统的特征值扫描技术外,还融合了国际领先的虚拟机技术和启发式扫描技术,不仅能够查杀已知病毒,还可以针对未知病毒进行检测。同时还具有强大的感染型修复能力、寄生类木马清除/修复技术、多态病毒检测能力,可以全面有效地保障用户的信息安全。
10.比特梵德 比特梵德/ BitDefender(简称BD),是来自罗马尼亚的老牌杀毒软件。BitDefender 成立于2001年,是SOFTWIN的子公司,总部位于罗马尼亚首都布加勒斯特,同时在德国,西班牙,英国,加拿大等地设有相应的分公司。 SOFTWIN 公司成立于1990年,提供高端软件解决方案及相关服务,客户主要面向于大型银行业,国家服务部门,公共事业,物流及通信行业。BitDefender用户遍及80 多个国家和地区,包括超过300万个企业用户License和4100万个人用户;同时,BitDefender领先的安全技术也得到了众多同业公司的认可和应用,包括Data Becker GmbH ,G-Data ,GFI ,Ipswitch ,Laplink ),Software602 , and Hauri 。BitDefender安全方案套件为各种规模的企业和个人用户提供领先的信息安全保护。凭借防病毒,防间谍软件,防垃圾邮件,防火墙,网络内容过滤等多种安全管理工具。BitDefender为运行在Windows/Linux/FreeBSD等平台下的桌面计算机,网关,Internet服务器,邮件和文件服务器等网络环境中的一切安全薄弱环节提供全面的防护。
11.迈克菲 McAfee 公司的总部位于美国加州圣克拉拉市,致力于创建最佳的计算机安全解决方案,以防止网络入侵并保护计算机系统免受下一代混合攻击和威胁。
12.诺顿杀毒软件 诺顿杀毒软件是Symantec公司个人信息安全产品之一,亦是一个广泛被应用的反病毒程序。该项产品发展至今,除了原有的防毒外,还有防间谍等网络安全风险的功能。
2.个人CA证书的申请、审批、下载及安装
1、本人到所在营业部柜台
2、填写《个人CA证书网上交易开通申请》(一式2份),并且出示本人身份证
3、营业部柜台业务人员盖章后将一份开通申请返还
4、2个交易日以后,登录\"华夏稳赢网上交易\",点击\"下载个人sheca证书\"按钮,按照《个人CA证书网上交易开通申请》所填内容输入、系统进行信息校验、自动下载安装个人证书。
5、重新登录,将启用个人CA证书交易。同时可以通过交易软件将证书进行妥善备份。
3.企业CA证书的注册与下载
电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证,并负责管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。 4.加密与解密
加密:
ca认证我们将文字转换成不能直接阅读的形式(即密文)的过程称为加密。 解密:
我们将密文转换成能够直接阅读的文字(即明文)的过程称为解密。
如何在电子文档上实现签名的目的呢?我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:
信息发送者用其私匙对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验证。
在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些HASH函数的特殊要求是:
1.接受的输入报文数据没有长度限制;
2.对任何输入报文数据生成固定长度的摘要(数字指纹)输出; 3.从报文能方便地算出摘要;
4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要; 5.难以生成两个不同的报文具有相同的摘要。
任务二 CA认证中心管理
1.CA认证中心管理内容
CA认证中心是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
认证中心的主要功能: 1.证书的颁发 2.证书的更新 3.证书的查询 4.证书的作废 5.证书的归档
2.数字证书审批流程
1)数字证书的概念 :
数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。 2)数字证书的作用:
访问需要客户验证的安全INTERNET站点。
用对方的数字证书向对方发送加密的邮件。
给对方发送带自己签名的邮件。 3)数字证书的内容 :
证书的格式由ITU标准X.509V3来定义。根据这项标准,证书包括申请证书个体的信息和发行证书CA的信息。证书由以下两部分组成: (1)证书数据
版本信息,用来与X.509的将来版本兼容;
证书序列号,每一个由CA发行的证书必须有一个唯一的序列号; CA所使用的签名算法;
发行证书CA的名称;
证书的有效期限;
证书主题名称;
被证明的公钥信息,包括公钥算法、公钥的位字符串表示;
包含额外信息的特别扩展。 (2)发行证书的CA签名
证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。
3.企业安全证书的申请和领取过程
企业申领安全证书时需提交下列材料:
1.申领企业和加工贸易审批机关均已盖章的加工贸易CA安全证书申领表三份(企业、审批机关、苏州分部各一份)
2.经申领企业盖章的加工贸易申领系统技术服务协议二份(下载) 3.外商投资企业批准证书(或对外贸易经营者备案登记表)复印件一份 4.企业法人营业执照(副本)复印件一份 5.申领者身份证复印件一份。 6.银行汇款底单复印件一份。
* 若非本人前来办理,请出具单位委托书和来人身份证件 注意事项:
1.安全证书的有效期为一年,有效期从申请之日开始。
2.CA安全证书的申请过程从开始申请到制作完成需要7个工作日。
3.企业领取CA安全证书后应由专人妥善保管,因企业自身原因导致CA安全证书损坏和遗失的,由此产生的一切后果由企业自己承担。
4.用户在正式递交申领表之前请仔细阅读并签署“加工贸易申领系统技术服务协议”。一旦递交则视作承认并遵守协议中的各项约定,如违反协议,将承担相应法律责任。
