电子商务安全

TCP/IP协议体系结构(各层协议)

①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP

②传输层：TCP（传输控制协议）、UDP（用户数据报协议）

③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消

息协议ICMP

电子商务对安全的基本要求：1）内部网的严密性2）完整性3）保密性4）不可修改性5）交易者身份的确定性6）交易的无争议和不可抵赖性7）有效性8）授权合法性

没有绝对安全的计算机和网络

1.计算机网络安全的定义

网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义

在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义

除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。

5.TCSEC 四类、七个级别(描述、选择题，p37表2.3)

类别名称主要特征

A1 可验证的安全设计形式化的最高级描述和验证，形式化的隐秘通道分析，非形式化的代码一致性证明

B3 安全域机制安全内核，高抗渗透能力

B2 结构化安全保护设计系统必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，

较好的抗渗透能力，访问控制应对所有的主体和客体进行保护，对系统进行隐蔽通道分

析

B1 标号安全控制除了C2级的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制

C2 受控的访问控制存取控制以用户为单位，广泛的审计。如Unix、WindowsNT等

C1 选择的安全保护有选择的存取控制，用户与数据分离，数据的保护以用户组为单位

D 最小保护保护措施很少，没有安全功能。如DOS、Windows等

黑客的定义

源于英文“黑客”（hacker）一词，本来有“恶作剧”之意，现在特指电脑系统的非法进入者。（利用系统安全漏洞对网络进行攻击破坏或窃取资料的人）

1.计算机病毒定义

编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码

2.IP欺骗的原理

IP欺骗由若干步骤组成，简要地描述如下：先做以下假定:首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作:使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

4.Siniffer定义，原理

1）定义：数据报嗅探是一种协议分析软件，它利用网卡的混杂模式来监听网络中的数据

报。

2）原理：S niffer就是一种能将本地网卡状态设成‘杂收’状态的软件，当网卡处于这种

“杂收”方式时，该网卡具备“广播地址”，它对遇到的每一个帧都产生一个

硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多

数的网卡具备置成杂收方式的能力）

可见，sniffer 工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局

5.扫描技术分类以及端口扫描技术分类

1）主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构， 主要利用ICMP

数据包

2）端口扫描：发现远程主机开放的端口以及服务

①开放扫描(Open Scanning)：需要扫描方通过三次握手过程与目标主机建立完整的TCP 连接可靠性高，产

生大量审计数据，容易被发现

②半开放扫描(Half-Open Scanning)：扫描方不需要打开一个完全的TCP 连

③秘密扫描(Stealth Scanning)：不包含标准的TCP 三次握手协议的任何部分，隐蔽性好，但这种扫描使用的

数据包在通过网络时容易被丢弃从而产生错误的探测信息

3）操作系统指纹扫描：根据协议栈判别操作系统

6.TCP connect()，TCP syn ，TCP Fin 扫描原理，属于哪一类扫描.

1）TCP connect()：①原理：扫描器调用socket 的connect()函数发起一个正常的连接，

如果端口是打开的，则连接成功；否则，连接失败

②属于开放扫描

2） TCP syn ：①原理：向目标主机的特定端口发送一个SYN 包，如果应答包为RST 包，则说明该端口是关

闭的，否则，会收到一个SYN|ACK 包。于是，发送一个RST ，停止建立连接

②属于“半开放”扫描

3） TCP Fin ：①原理：扫描器发送一个FIN 数据包，如果端口关闭的，则远程主机丢弃该包，并送回一个RST

包；否则的话，远程主机丢弃该包，不回送

②属于秘密扫描

7.特洛伊木马定义、特点、工作原理、潜伏性

1） 定义：特洛伊木马是一个程序，它驻留在目标计算机里。在目标计算机系统启动的时候，特洛伊木马自动启动。然后在某一端口进行侦听。如果在该端口受到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作

2）特点：隐蔽性、顽固性、潜伏性

3）工作原理：

4）潜伏性：表面上的木马被发现并删除以后，后背的木马在一定的条件下会跳出来。这种条件主要是目标电脑用户的操作造成的。（表面木马、后备木马） 8.nmap 用法 Nmap 的语法： 1）Ping 扫描： nmap -sP +网络号 2）端口扫描：nmap -sT +网络号 3）隐蔽扫描：nmap -sS +网络号 4）操作系统识别： nmap -sS -O +网络号

9.简述病毒、蠕虫、木马的区别

1）病毒：计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒必须满足两个条件:1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中；2、它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。

2）蠕虫： 蠕虫(worm)也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。

一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过

木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。 当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。