电子商务网站相关技术及安全.ppt

电子商务运营与推广,本讲内容,互联网基础知识网站开发常用相关技术网站维护注意事项网站安全,IP地址通讯协议域名空间服务器,互联网基础,IP地址,所谓IP地址就是给每个连接在Internet上的主机分配的一个32位地址.用来唯一的标识网络上的一台计算机.023因特网上的IP地址具有全球唯一性；32位，4个字节，常用点分十进制的格式表示，例如：6,两台计算机通过网络进行通信,A,B,18域名,0域名,协议,协议,端口,端口,什么是域名?,域名是INTERNET上用来寻找网站所用的名字，是INTERNET上的重要标识，相当于主机的门牌号码，在全世界，没有重复的域名。企业上网的第一步就是要为自己的公司申请域名。例如：中央电视台的域名是。域名是互联网上一个企业或机构的名字，又称企业网上商标。,网址与域名的区别,例：,超文本传输协议，通知服务器显示Web页。,WWW(WorldWideWeb)的含义是“环球网”俗称“万维网”,域名,网址,域名服务器会把网址转化成IP地址与0,域名的分类,按国际区域分国际域名：如：,国内域名：如：或,域名的分类,按域名的机构性质来划分一般国际域名的最后一个后缀是一些诸如.com，.net，.gov，.edu的”国际通用域”，这些不同的后缀分别代表了不同的机构性质。比如.com表示的是商业机构，.net表示的是网络服务机构，.gov表示的是政府机构，.edu表示的是教育机构。,域名的分类,中文域名中文域名是含有中文的新一代域名，同英文域名一样，是互联网上的门牌号码。表现形式（四种）：青峰网络.中国青峰网络.cn青峰网络.公司青峰网络.网络注：个人不可以注册中文域名,域名的价位,1、国际域名如：.com、.net100元如：.cc300元2、国内域名如：.cn、100元3、中文域名如：中文.com、中文.net200元如：中文.cn、中国.公司.cn280元如：中文.cc400元,什么是空间,空间就是存放我们网站原文件的那块地方。,空间与域名的关系,如果说域名是我们家的门牌号码的话，那么空间就是我们那温馨幸福的家了。,新签网站默认空间大小,300M(兆),空间的价格,250元300M,什么是服务器,服务器与个人电脑的功能相类似，均是帮助人类处理信息的工具，只是二者的定位不同，个人电脑(简称为PersonalComputer，PC)是为满足个人的多功能需要而设计的，而服务器是为满足众多用户同时在其上处理数据而设计的。,服务器与空间的关系,如果说空间是我们的家的话，那么服务器就是社会，它可以容纳下很多的家，让这些家庭虽生活在同一个社会里，但是各有各的生活方式。,公司服务器,1、省际带宽（常用的带宽为市级带宽）2、使用Linux+Apache+Php+Mysql平台3、一般情况下只收取网站空间费用，不收取数据库空间费用（超大数据库除外）。注：目前大公司5M的数据库+空间=400元4、每两天做一次数据库备份工作，每周做一次原文件备份，以保证客户网站的安全性5、724小时有专业人士值守。,网站常用开发技术,网站的类型网站的组成部分各种相关技术简介,WWW工作原理,客户端,服务器端,发出请求,发回网页,静态网页,最初的都是用超文本标记语言HTML来实现的.一般后缀为.htm或.html制作工具可以是记事本、EditPlus等纯文本编写工具，也可以是FrontPage、DreamWeaver等所见即所得的工具。静态网页的缺点是：如果要修改网页，必须修改源代码，并重新上传。,静态网页示例,静态网页的工作原理,接受请求,找到静态网页,发送网页,服务器端,动态网页,所谓动态网页，就是服务器端可以根据客户端的不同请求动态产生网页内容。两个显著特点：可以动态产生页面支持客户端和服务器端的交互功能,动态网页示例,注册,留言板,聊天室,动态网页的工作原理,接受请求,找到动态网页,发送网页,服务器端,运行动态网页，生成静态网页,网站组成,CS模式与BS模式网站界面(文字,图片,动画,对话框)程序数据库硬件前台,后台,常用开发技术,HtmlCss+DIVAsp,jsp,php,photoshop,firworks,flash数据库DreamweaverHtml,Css,DIV用来做界面,Asp,jsp,php,用来写程序,photoshop,firworks,flash处理界面素材.数据库用来存储信息,Dreamweaver用来整合.,html,加入CNZZ统计代码,将代码加入您要跟踪的每个网页标记之前,DIV+CSS的应用,支持浏览器的向后兼容搜索引擎更加友好样式的调整更加方便。内容和样式的分离，使页面和样式的调整变得更加方便。CSS的极大优势表现在简洁的代码，对于一个大型网站来说，可以节省大量带宽，而且众所周知，搜索引擎喜欢清洁的代码。使页面载入得更快降低流量费用修改设计时更有效率保持视觉的一致性,Javascript,脚本语言作用:1.验证表单2.美化网页3.做简单动画4.做一些网页特效5.减少服务器负荷,Phpotshop,Photoshop功能1,亮度清晰度调整,色阶调整,Photoshop功能2,色彩调整,Photoshop功能3,图片选择与剪裁,Photoshop功能4,图片的修饰,Photoshop功能5,图片的合成,图片优化,Php,asp,jsp,PHP的优点开放的源代码,所有的PHP源代码事实上都可以得到PHP是免费的。和其它技术相比，PHP本身免费。效率高，PHP消耗相当少的系统资源。学习相对容易,Dreamweaver,Macromedia公司出品的Web网页制作工具，具有“所见即所得”的技术特点。用户可以直接在页面添加和编辑网页元素，还支持各种动态网页脚本编辑技术，可以方便高效地制作出漂亮的Web页面。,数据库及其操作,数据库（Database）是来组织、存储和管理数据的仓库，就是为了数据能很好的管理与处理。例如，企业或事业单位的人事部门常常要把本单位职工的基本情况(职工号、姓名、年龄、性别、籍贯、工资、简历等)存放在表中，这张表就可以看成是一个数据库。,常见数据库,OracleSqlServerDb2MySql:1、免费2、简单3、速度快4、常用功能都有5、和开源软件配合很好Access,数据库的基本术语,字段、记录、值、表、数据库,利用SQL语言建立查询,当进行左图时，直接单击【关闭】按钮，然后在主窗口中依次选择【视图】、【SQL视图】菜单命令，就会出现”SQL视图”对话框。,7.3.1Select语句,此时可以使用Select语句来取得满足特定条件的记录集。也就是说可以从数据库中查询有关记录。SelectTop(数值)字段列表From表Where条件OrderBy字段GroupBy字段,Select语句示例,Select*FromusersSelect学号,姓名FromusersSelectTop3*FromusersSelectsum(入学成绩)astotalfromtableSelect*FromusersWhere提交日期#2003-11-1#AND姓名=“建波”,Select语句示例,Select*FromusersWhere姓名like“%勇%”Select*FromusersOrderBy姓名DESCSelectCount(*)AstotalFromusersWheresubmit_date#2003-11-1#,电子商务安全问题,漏洞病毒黑客攻击网络仿冒,后门与漏洞,后门：美国等西方发达国家的情报机构，明确要求各大信息技术公司，在计算机通信、软件研究开发中，要按照他们的旨意设置后门和陷阱。windows计算机操作系统中都有可能预留了后门程序。漏洞：IBM公司专家认为大型软件1000-4000行程序就存在一个漏洞，象windwos系统5000万源程序可能存在20000个漏洞；微软Vista已报道发现的缺陷达到2万个。,漏洞1995到2004年漏洞公布数量（单位：个）,1.1电子商务安全问题,1、利用漏洞进行入侵,安全事件：2005年7月至10月，某某间谍情报机关曾对我境内76所高校和研究单位所在的222个网段反复扫描，利用漏洞控制了北大、清华、北师大等高校的大量主机，从中搜获、窃取了包括863课题研究计划在内的45份违规上互联网的文件和数千份资料。江苏人陈某租住武汉，2007年7月，在网上找到黑客，委托其将某重点大学的招生网站上的数据库中的11名学生信息删除，同时非法追加另外8名学生。然后给家长验证已被录取。2008年12月5日，荆州市商务局网站，局领导变成一名三点式女郎。而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。,1、利用漏洞进行入侵,防范对策：定期备份和检查相关访问和应用日志；及时对计算机操作系统和应用程序“打补丁”；安装防火墙和杀毒软件，并及时更新特征库；关闭不必要的端口和服务。,2、利用协议缺陷进行DOS攻击,案例：2009年5月19日全国大面积网络故障，6月25日，湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。2009年7月7日9日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务（DDoS）攻击。美国财政部、特工处、联邦贸易委员会和交通部网站7月日起遭到黑客持续攻击，截至当地时间日仍处于不同程度瘫痪状态。两国共有大约家网站受攻击，其中家为韩国网站。韩国主要情报机构说，韩国.万台个人电脑和国外台个人电脑遭黑客“俘虏”，成为傀儡主机，沦为攻击工具。,利用协议缺陷进行DOS攻击,什么是DOS攻击：,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。,DenialofService(DoS)拒绝服务攻击,DistributedDenialofService(DDoS)分布式拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。,DdoS攻击过程,主控主机,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,荆州人赵蓉的网上银行帐户上的资金被划走：2004年7月，黑龙江人付某使用了一种木马程序，挂在自己的网站上；荆州人赵蓉下载付某的软件，木马就“进入”电脑；屏幕上敲入的信息通过邮件发出：账户、密码；付某成功划出1万元；抓获付某时，他已获取7000多个全国各地储户的网上银行密码。,3、利用木马进行攻击,安全事件：,付某：,3、利用木马进行攻击,生么是“木马”？,3、利用木马进行攻击,“木马”的主要危害：,盗取文件资料；盗取用户帐号和密码；监控用户行为，获取用户重要资料；发送QQ、msn尾巴，骗取更多人访问恶意网站下载木马；,3、利用木马进行攻击,防范对策：不下载不明的软件；不随意打开不明电子邮件，尤其是不轻易打开邮件附件；不点击和打开陌生图片和网页；必须安装杀毒软件并及时升级更新，及时打补丁；所有外网PC安装360软件，定期查杀木马程序。,4、利用数据恢复技术,安全事件：陈冠希。,4、利用数据恢复技术,数据恢复技术：数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复。,4、利用数据恢复技术,防范对策：严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。涉密存储介质淘汰报废时必须进行彻底的物理销毁。严禁将秘密载体当做废品出售。,5、利用口令破解攻击,安全事件：2003年2月，有关部门检测发现某间谍情报机关利用口令破解技术，对我某重要网络进行了有组织的大规模攻击，控制了57台违规上互联网的涉密计算机，窃走1550余份文件资料。,5、利用口令破解攻击,口令破解是指以口令为攻击目标，进行猜测破译，或避开口令验证，冒充合法用户潜入目标计算机，取得控制权的过程。“暴力破解”是进行口令破解用得较多的方式、口令越长，口令组合越复杂，破译难度越大，所需时间越多。,Unix口令:6位小写字母穷举:36小时8位小写字母穷举:3年NT口令:8位小写字母及数字穷举，时间通常不超过30小时,5、利用口令破解攻击,防范对策：口令密码设置应当采用多种字符和数字混合编制，要有足够的长度（至少8位以上），并定期更换。涉密信息系统必须按照保密标准，采取符合要求的口令密码、智能卡或USBKey、生理特征的身份鉴别方式。,黑客攻击网页篡改,电子商务安全问题,门户网站具体防护手段,1.保持Windows升级：你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以web的形式将文件发布出来。,2.如果你并不需要FTP和SMTP服务，请卸载它们：,3.设置复杂的密码：,4.设置账号锁定的策略：通过设备windows自带的安全策略设置，可对非法暴力破解口令进行有效的控制,5.使用NTFS安全：缺省地，你的NTFS驱动器使用的是EVERY0NE/完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是System32，这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。,6.禁用多余的管理员账号：如果你已经安装IIS，你可能产生了一个TSInternetUser账户。除非你真正需要这个账户，则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。,7.网站目录权限最小化：在网站正常运行时：空间应该全部关闭写入权限，只保留需要写权限的某几个目录，同时被保留写权限的目录，必须要关闭执行权限。站点需要更新时：开放所有写入权限，更新完毕后立即关闭写入权限。原则是：有写入权限的目录，不能有执行权限有执行权限的目录，不能有写入权限这样最大限度的保证了站点的安全性,8.移除缺省的Web站点：很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。如果是一个虚拟主机，并且服务器上放置了多个域名的站点，建议对不同的站点设置不同的账号权限（读取和执行）。这样可保证一个域名上的站点被黑，而不会影响到整个服务器上其它的站点,9.定期备份数据和程序：至少以每天一次来定期的备份网站数据和程序，对大型数据库可使用专业的快速导出工具。建议使用WinRAR类型的压缩软件进行备份，并同时设定压缩密码的加密压缩方式。如果文件较多压缩时间可能会长，可使用计划任务自动执行或采取存储压缩方式对操作系统建议每月备份一次，可直接使用GHOST。对于特殊的服务器需要RAID驱动时，建议自制一个WinPE将RAID驱动加载在该系统中。（有一定难度，但很帮助特别是安装系统时无需引导盘）,10.仔细检查*.bat和*exe文件：每周搜索一次*.bat和*.exe文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场噩梦的可执行文件。在这些破坏性的文件中，也许有一些是*reg文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。或定期生成一份主机的文件列表，然后再进行文件比对,11.定期检查访问日志对于IIS，其默认记录存放在c:winntsystem32logfilesw3svc1，文件名就是当天的日期，记录格式是标准的W3C扩展记录格式，可以被各种记录分析工具解析，默认的格式包括时间、访问者IP地址、访问的方法（GETorPOST）、请求的资源、HTTP状态（用数字表示）等。,常用安全分析软件介绍,Windows自带命令netstat-an,TCPView工具,检查其它已开放的端口,强制关闭顽固病毒或可疑进程,IceSword,检查和关闭可疑的驱动,Windows自带的驱动查看器,触发电子商务安全问题的原因,先天原因后天原因1.管理2.人3.技术,1.6电子商务安全防治措施,管理措施1.人员管理制度2.保密制度3.系统维护制度硬件的日常管理与维护软件的日常管理与维护4.数据容灾制度5.病毒防范制度6.应急措施,由于系统的安全性是由它的最薄弱环节决定，因此，安全范围必须是整个系统性的。例如，在某个大企业的内部网络中，含有许多不同品牌和型号的机器，而这些机器的操作系统和应用程序又是千差万别。在这样不同种类、不断变化的环境中，检测整个系统和确保所有部件的安全是相当费时和复杂的。,防火墙的基本知识,硬件防火墙与软件防火墙硬件防火墙一般用于企业，价格较软件防火墙贵，软件防火墙功能上不如硬件防火墙，但价格便宜些.病毒库防火墙与行为防火墙。防火墙的关键技术防火墙技术发展到现在，其技术竞争的焦点主要是在