交易环境的安全性.ppt

交易环境的安全性 客户机的安全性 电子商务业务系统 电子商务支付系统 安全认证体系 CA体系、数字签名 安全应用协议 SET、SSL、S/HTTP 基本加密算法 对称加密、非对称加密 活动内容 活动内容是指在页面上嵌入的对用户透明的程序 ，可以完成一些动作。一些提供交互功能的动 态网页经常会应用这些活动内容。 知名的活动内容有JAVA小应用程序、ActiveX控 件、JavaScript、VBScript等 JAVA小应用程序和JavaScript 1、 JAVA小应用程序（Java Applet） Java所以能成为Internet中的“世界语”,原因之一是 它具有开发多媒体小应用程序(Applet)的能力 。 由于Java Applet是要下载到客户端执行的，所以 任何人都可以得到其*.class文件，从而可以利用 Java反编译器或者反汇编器对其进行逆向工程， 从而分析出其中所用到的算法和涉及到的隐藏的 URL； 2、另外，Java Applet能够读取的URL也是任何 人都可以读取的。这是用Java Applet做网页保护 的先天性的缺陷。 JAVA运行程序安全区 是根据安全模式所定义的规则来限制Java小 应用程序的活动。这些规则适用于所有不可 信的Java小应用程序。不可信的Java小应 用程序是指尚未被证明是安全的Java小应 用程序。 JavaScript JavaScript语言的前身叫作Livescript。自从 Sun公司推出著名的Java语言之后， Netscape公司引进了Sun公司有关Java的程 序概念，将自己原有的Livescript 重新进行 设计，并改名为JavaScript。 ActiveX控件 ActiveX插件软件的特点是：一般软件需要 用户单独下载然后执行安装，而ActiveX插 件是当用户浏览到特定的网页时，IE浏览器 即可自动下载并提示用户安装。 ActiveX插 件安装的一个前提是必须经过用户的同意 及确认。 浏览器插件和电子邮件的附件 浏览器插件是增强浏览器功能的程序，即 完成浏览器不能处理的页面内容。一般情 况下浏览器是有益的。 电子邮件的附件可以提供一种在文本系统 上传输非文本信息的一种方便的方法。 电子商务客户机的潜在威胁 1、特洛伊木马 特洛伊木马是具有欺骗性的文件（宣称是 良性的，但事实上是恶意的）。特洛伊包 含能够在触发时导致数据丢失甚至被窃的 恶意代码。要使特洛伊木马传播，必须在 计算机上有效地启用这些程序，例如打开 电子邮件附件或者打开一个www页面。 2、信息泄露 简单的说，Cookie就是服务器暂存放在你计 算机上的一笔资料，好让服务器用来辨认你 的计算机。当你在浏览网站的时候，Web服 务器会先送一小小资料放在你的计算机上， Cookie 会帮你在网站上所打的文字或是一 些选择，都记录下来。当下次你再光临同一 个网站，Web服务器会先看看有没有它上次 留下的Cookie资料，有的话，就会依据 Cookie里的内容来判断使用者，送出特定 的网页内容给你。 因特网的Cookie技术极其简单，却有着旺盛 的生命力。Cookie开始引起众人的注意是 从2000年二月份随着网络隐私权的提出开 始的，有关的辩论至今仍在继续。从另一方 面来说，Cookie使得浏览网页更容易了。 几乎所有的主要的网站设计者都使用了 Cookie，因为他们想为浏览网站的人提供 一个更好的浏览环境，同时也能更加准确地 收集访客的信息 3、JavaScript的安全威胁 破坏性的JavaScript程序会侵犯保密性和完 整性，恶意的JavaScript程序会装扮成其对 用户有吸引力的程序来诱导用户点击。点 击后恶意的JavaScript程序就会启动完成它 的破坏作用。 ActiveX控件的安全威胁 每次打开一些网站时，系统老是提示该页的 Active控件不安全，可能会打不开网页，或 者对客户信息有安全威胁！ 解决办法 关闭IE，再重新设置 IE 的 Internet 区域的安全级别。方法如下： 1 ） 在 Internet Explorer 的“工具”菜单上，单击“ Internet 选项”。 2 ） 单击“安全”选项卡，然后单击要设置安全级别的区域，本处选择 “ Internet ”区域。 3 ） 在“该区域的安全级别”下，选择“默认级别”来使用 Internet 区域 的默认安全级别。如果“默认级别”已变灰，表明 Internet 区域已处于 默认的安全级别。 4 ） 或者单击“自定义级别”，弹出“安全设置”窗口，确保“ ActiveX 控 件和插件”的有关设置为： a. 对标记为可安全执行脚本的 ActiveX 控件执行脚本启用； b. 对没有标记为可安全执行脚本的 ActiveX 控件进行初始化和脚 本运行提示； c. 下载未签名的 ActiveX 控件禁用； d. 下载已签名的 ActiveX 控件提示； e. 运行 ActiveX 控件和插件