第1章_电子商务安全概述.ppt

1、Prof. Xing Zhou 海南大学信息科学技术学院 College of Information Science and Technology, Hainan University zhouxingH,电子商务安全本科生课程 E-Business Security,第一章：电子商务安全概述,1,2020/7/9,2,课程目录,2020/7/9,2,第1章 电子商务安全概述 第2章 加密与解密 第3章 安全网络协议 第4章 防火墙与VPN 第5章 认证与管理 第6章 安全电子商务应用 第7章 网上支付概论 第8章 安全的网上支付 总复习 （2学时）,2020/7/9,3,第1章 目标,20

2、20/7/9,3,了解和掌握造成客户机和服务器的安全原因； 掌握如何保护个人PC机的安全； 掌握电子商务的安全目标； 学会如何配置安全的Web服务器。,E-Business Security and Online Payment,2020/7/9,4,第1章 电子商务安全概述,2020/7/9,4,目录 1.1 导读 1.2 电子商务安全技术 1.3 客户机的安全 1.3 服务器的安全 1.4 电子商务安全问题 1.5 系统安全评测标准,E-Business Security and Online Payment,2020/7/9,5,1.1 导 读,引导性案例 2004年12月7日，中央电视

3、台经济信息联播报道，有人在网上发现了一个假的中国银行网站。网址中号码与中国银行的服务电话相似，网页与中国银行的官方网站网页简直一模一样。 12月8日，内蒙古呼和浩特市一市民，致电中央电视台称他因为登录了这个假网站，卡里的2.5万元莫名其妙地不见了。,E-Business Security and Online Payment,2020/7/9,6,电子商务及其发展 电子商务的基本概念我们也可以从多个角度来看待电子商务。 通信的角度 业务流程的角度 服务的角度 在线的角度 综上所述，电子商务通常是指在全球各地广泛的商业贸易活动中，在 Internet 开放的网络环境下，基于浏览器/服务器应用方式

4、，买卖双方不谋面地进行各种商贸活动,1.1 导 读,E-Business Security and Online Payment,2020/7/9,7,电子商务的发展 在国外，电子商务的研究与应用始于20世纪70年代末。其发展可分为两个阶段: 始于20世纪80年代中期的基于EDI的电子商务 始于20世纪90年代初期的基于Internet的电子商务。 在我国，计算机应用已有40多年历史，但电子商务仅有10多年。1998年3月，我国第一笔互联网网上交易成功。 1998年7月，中国商品交易市场正式宣告成立。1999年3月“8848”等B2C网站正式开通，网上购物进入实际应用阶段。,1.1 导 读,E

5、-Business Security and Online Payment,2020/7/9,8,说明：EDI 与电子商务的关系 EDI（Electronic data interchange）是基于电子数据交换的商务活动 电子商务是指基于互联网的的商务活动 EDI也属于电子商务的形式，但其原理和应用方式与基于互联网的电子商务有很大的不同，这也造成了两者之间应用状况的差异。 EDI虽然也获得了很大的发展，但根本无法与基于互联网的电子商务相提并论，这其中的重要原因，一方面在于EDI复杂的标准难以为众多企业和机构所掌握，另一方面，实施EDI的费用非常高昂，使得很多企业难以跨过这一门槛。因此从网络营

6、销角度上看，可以将EDI比喻为逐渐走向没落的贵族式的电子商务， 而基于互联网的电子商务则可称为现代电子商务，代表了企业电子商务的发展方向。,1.1 导 读,E-Business Security and Online Payment,2020/7/9,9,电子商务对生活的影响 电子商务改变了交易方式 电子商务改变和正在改变着人们的消费方式 电子商务改变和正在改变着厂家的营销方式 电子商务再造整个流通环节 电子商务改变采购方式 电子商务改变和正在改变着企业资金筹措的操作手段 人才的挑选与聘用，正在发生革命性的变化 电子商务改变和正在改变着厂家的生产组织和生产过程的管理,1.1 导 读,E-Bus

7、iness Security and Online Payment,2020/7/9,10,电子商务的安全 电子商务安全的现状 电子商务应用面临的首要风险就是计算机病毒。 电子商务安全必须解决的问题 信息的机密性 信息的真实性 信息的完整性 信息的可靠性 信息的不可抵赖性,1.1 导 读,E-Business Security and Online Payment,2020/7/9,11,电子商务的安全风险来源 信息传输风险 信用风险 管理风险 法律方面的风险,1.1 导 读,E-Business Security and Online Payment,2020/7/9,12,电子商务安全体系

8、结构,1.1 导 读,2020/7/9,13,TCP/IP的四层、OSI参考模型和常用协议的对应关系如图2-3所示。,传统的 TCP/IP 协议簇,2020/7/9,14,TCP/IP Family Add Security Components,IP,LLC/SNAP,MAC,ARP,WANs,SLIP,PPP,TCP,UDP,BGP,EGP,RIP,OSPF,DNS,IGMP,ICMP,DHCP,BOOTP,SNMP,NFS,TFTP,RPC,SMTP,FTP,TELNET,WWW(HTTP),IPSec,TLS,DTLS,L2TP,DNSSec,SCTP,TLS over SCTP SC

9、TP over IPSec Secure SCTP SCTP aware DTLS,HTTPS SHTTP,S-BGP,PGP,E-Business Security and Online Payment,2020/7/9,15,说明1 SET（Secure Electronle Transaction）协议 于1997.5由Master Card、Visa、网景与微软共同开发 位于应用层，是面向B2C的一种电子支付规范 保证在开放网络上在线购物的安全性，即保证数据完整性、交易的不可抵赖性等 SSL（Security Socket Layer）协议 于1994由网景公司提出并开发 SSL采用用

10、对称与公开密码技术保证：机密性、完整性及认证性,1.1 导 读,E-Business Security and Online Payment,2020/7/9,16,说明2 CA（Certificate Authority）认证机构 提供及验证基于公钥体制的数字证书机构 数字证书 数字证书是由认证机构CA 发行的一种权威性的电子文档 数字证书是网络环境中的一种身份证，用于证明某一用户的身份以及其公开密钥的合法性 AES（Advanced Encryption Algorithm） 于1997由美国国家标准技术研究所提出 是DES算法的替代算法,1.1 导 读,E-Business Securi

11、ty and Online Payment,2020/7/9,17,说明3：电子商务相关的缩写词汇 B2B（Business-to-Business）是电子商务的一种模式，即商业对商业，或者说是企业间的电子商务，即企业与企业之间通过互联网进行产品、服务及信息的交换。 B2C：商业对消费者 C2C：消费者之间、消费者对消费者 G2B：政府对企业,1.1 导 读,2020/7/9,18,网上支付导引案例 根据艾瑞网的调查：中国网上支付交易规模从2007年的976亿元飙升到2008年的2 743亿元，同比迅增181%，远高于网络经济 49.2% 的增速，成为互联网发展最快的行业。网上支付是整个电子商

12、务存在和不断发展的基础，没有高速、安全的网上支付，就没有电子商务的迅猛发展，网上支付系统在整个电子商务系统中占有极其重要的作用，甚至影响着电子商务未来的发展。,1.1 导 读,E-Business Security and Online Payment,2020/7/9,19,基于Internet 的电子商务已经成为现代国际商业的最新模式，越来越多的商家计划对其企业进行扩展，支付问题也显得越来越突出： 如何配套世界范围内的电子商务活动的支付问题？ 如何处理每日通过信息技术网络产生的成千上万个交易流的支付问题？ 答案只有一个利用网上支付。,1.1 导 读,E-Business Security

13、and Online Payment,2020/7/9,20,网上支付的定义 网上支付是指电子交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。主要包括： 电子货币类、 电子信用卡类、 电子支票类。,1.1 导 读,E-Business Security and Online Payment,2020/7/9,21,网上支付的种类 目前世界上通用的支付系统有几十种，根据在线传输数据的种类（加密、分发类型），粗略可以分为三类： 是使用“信任的三方”（Trusted Third Party）。 是传统银行转账结算的扩充。 是包括各种数字现金（Digit

14、al Cash）、电子货币（Electronic Money and Electronic Coins）。,1.1 导 读,E-Business Security and Online Payment,2020/7/9,22,网上支付的工具 世界上通用的支付系统不下几十种，比较常见的支付系统有以下几种： 银行卡 电子信用卡 电子支票 电子现金,1.1 导 读,E-Business Security and Online Payment,2020/7/9,23,电子商务网上支付存在的问题 安全问题* 金融监管问题 交易问题 支付方式的统一问题 跨国交易中的货币兑换问题 法律问题,1.1 导 读,

15、E-Business Security and Online Payment,2020/7/9,24,第1章 电子商务安全概述,2020/7/9,24,目录 1.1 导读 1.2 电子商务安全技术 1.3 客户机的安全 1.3 服务器的安全 1.4 电子商务安全问题 1.5 系统安全评测标准,E-Business Security and Online Payment,2020/7/9,25,引导性案例 2005年2月出现了一种骗取美邦银行用户的账号和密码的“网络钓鱼”电子邮件，该邮件利用IE的图片映射地址欺骗漏洞，并精心设计脚本程序，用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏，使用

16、户无法看到此网站的真实地址。当用户单击链接时，实际连接的是钓鱼网站。该网站页面酷似Smith Barney银行网站的登录界面，而用户一旦输入了自己的账号和密码，这些信息就会被黑客窃取。,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,26,说明 Salomon Smith Barney 是什么机构？ 所罗门美邦国际(Salomon Smith Barney)是全球性的，为公司、政府和个人提供经纪人业务、投资银行和资产管理等全套服务的金融公司，在美国证券业处于领导地位。主要的业务包括：为个人与机构提供研究、销售服务，保险业

17、、咨询和特殊投资咨询服务，共同基金和资产管理服务。作为美国第二大的零售经纪公司，为顾客提供一系列投资产品和各种资产分配、管理，信托服务等方面的建议 Founder(s): Charles D. Barney, Edward B. Smith Industry: Financial Services,1.2 电子商务安全技术,2020/7/9,27,/wiki/Smith_Barney Morgan Stanley Smith Barney LLC is an American multinational financial services corp

18、oration specializing in retail brokerage. It is a joint venture between Morgan Stanley and Citigroup.1 On January 13, 2009, Morgan Stanley and Citigroup announced that Citigroup would sell 51% of Smith Barney to Morgan Stanley, creating Morgan Stanley Smith Barney, which was formerly a division of C

19、iti Global Wealth Management. The combined brokerage house has 17,649 financial advisors and manages $1.65 trillion in client assets.2 Clients range from individual investors to small- and mid-sized businesses, as well as large corporations, non-profit organizations and family foundations. Effective

20、 September 2012, the Smith Barney name will be removed and the company will be renamed Morgan Stanley Wealth Management.3,1.2 电子商务安全技术,2020/7/9,28,电子商务应用系统实体组成 电子商务应用系统实体包括物理实体和逻辑实体两类。 电子商务物理实体 客户即买方 商户即卖方 银行即电子支付承办方 认证中心即安全和信用中介方 电子监管职能部门,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9

21、,29,电子商务逻辑实体 电子商务逻辑实体就是: 电子商务应用系统的软件 硬件 网络及 信息系统支撑环境,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,30,应用系统的分类与逻辑结构 应用系统的分类 企业内部的电子商务 企业与企业之间的电子商务B2B 企业与消费者之间的电子商务B2C 电子政务 应用系统的逻辑结构,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,31,电子商务应用系统安全措施 应用系统安全是指在特定的应用服务中所建立的安全防护体系

22、，它独立于任何网络的安全措施。因为应用层服务的多样性，在现代的应用中，人们更倾向于在应用层而不是在网络层上采取安全措施。应用系统千差万别，安全措施也不尽相同，但归纳起来，大致包括以下3个方面。 1应用系统的可用性管理 2应用系统的配置文件管理 3应用系统的运行安全管理,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,32,操作系统的安全控制方法 操作系统常用的安全控制方法主要有隔离控制和访问控制两种。 隔离控制 物理隔离 时间隔离 加密隔离 逻辑隔离,1.2 电子商务安全技术,E-Business Security an

23、d Online Payment,2020/7/9,33,访问控制 从访问控制方式来说，访问控制可分为以下四种： 自主访问控制（Discretionary Access Control，DAC） 强制访问控制（Mandatory Access ControlMAC） 共享/独占型访问控制 访问控制的重要内容之一是用户身份识别。而口令字验证又是用户身份识别的主要内容,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,34,说明1 自主访问控制 由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权

24、授予其他主体，这种控制方式是自主的。也就是说，在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。 自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制是自主的，即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。 Linux系统中有两种自主访问控制策略，一种是9位权限码（User-Group-Other），另一种是访问控制列表ACL（Access Control List）。,1.2 电子商务安全技术,2020/7/9,35,说明2 强制访问控制 强制访问控制用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息

25、的一种访问约束机制。通俗的来说，在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。 多级安全（MultiLevel Secure, MLS）就是一种强制访问控制策略。,1.2 电子商务安全技术,2020/7/9,36,操作系统的分级安全管理 系统级安全管理 主要采用的手段有两种。 注册 登录 用户级安全管理 用户级安全管理是为了给用户文件分配文件“访问权限”而设计的。用户对文件访问权限的大小，是根据用户分类、需求和文件属性来分配的。 文件级安全管理 是通过系统管理员或文

26、件组对文件属性的设置，来控制用户对文件的访问,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,37,审计技术 安全审计的作用 根据审计信息追查执行事件的当事人，明确事故责任。 通过对审计信息的分析，可以发现系统设计或配置管理存在的不足，有利于改进系统安全性。 把审计功能与报警功能结合起来，可以实现安全管理员对系统状态的实时监控。 安全审计的加强 审计信息的结构化和可视化 自动化分析 审计信息的保护 Win 7 Control PanelAll Control Panel ItemsAdministrative Tools

27、Event Viewer Windows Log or Component Services Event ViewerWindows Log,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,38,安全扫描技术 扫描程序（Scanner）是自动检测本地或远程主机安全缺陷的程序。 通过使用扫描程序，一个用户可以方便地发现远程服务器的安全脆弱点或安全漏洞。通过扫描发现系统安全漏洞后，可以通过补丁程序来弥补这些漏洞。许多系统提供商都会在其网站上发布补丁，用户必须及时利用补丁程序保护操作系统安全。,1.2 电子商务安全技术,E-B

28、usiness Security and Online Payment,2020/7/9,39,加强操作系统安全性 1使用安全系数高的密码 2做好边界防护 3升级软件 4关闭没有使用的服务 5使用数据加密 6通过备份保护你的数据 7加密敏感通信 8不要信任外部网络 9使用不间断电源支持 10监控系统的安全是否被威胁,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,40,数据库安全的定义 数据库安全概述 数据库安全是指保护数据库以防止非法用户对数据的越权使用、窃取、更改或破坏。数据库安全涉及很多层面，必须在以下几个层面做好

29、安全措施。 物理层 人员层 操作系统层 网络层 数据库系统层,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,41,数据库安全的目标 提供数据共享，集中统一管理数据。 简化应用程序对数据的访问，应用程序得以在更为逻辑的层次上访问数据。 解决数据有效性问题，保证数据的逻辑一致性。 保证数据独立性问题，降低程序对数据及数据结构的依赖。 保证数据的安全性，在共享环境下保证数据所有者的利益。,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,42,数据库系统

30、的安全特性 数据库系统的安全特性主要是针对数据而言的，包括以下几个方面: 1数据独立性 2数据安全性 3数据完整性 4并发控制 5故障恢复,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,43,数据库系统安全的主要风险 来自操作系统的风险 主要集中在病毒、后门、数据库系统和操作系统的关联性方面。 来自管理的风险 用户安全意识薄弱，对信息网络安全重视不够，安全管理措施不落实。 来自用户的风险 主要表现在用户账号和对特定数据库目标的操作许可。 来自数据库系统内部的风险 许多应该具有的特征，在操作系统和现在普遍使用的数据库系统

31、中，并没有提供。,1.2 电子商务安全技术,2020/7/9,44,数据库安全技术研究 数据库加密技术 加密技术概述 数据加密就是将称为明文的敏感信息，通过算法和密钥，转换为一种难于直接辨认的密文。解密是加密的逆向过程，即将密文转换成可识别的明文。 根据文件型数据库的特点，数据库的加密一般可以有三种方式。 库外加密 库内加密 硬件加密,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,45,说明1 库外加密 库外加密（采用文件加密的方法），形成存储块，然后文件系统把整个数据库当成一个文件，将每一个存储块当成一个文件记录，文

32、件系统与DBMS交换的就是块号。当DBMS要求组装数据块或插入数据记录时，就向文件系统申请一块，以便建立索引。DBMS为了更好的管理整个存储块，需要确定块号、块大小、块头信息、标识位、块尾信息等参数。 库外加密方法比较简单，密钥管理也相对简单，只需借用文件加密的密钥管理办法，但是，加密的数据块纳入数据库时，要对数据进行完整性约束，而加密后的数据可能会超出约束范围，因此要在算法或数据库系统中做些必要的改动，以便于公共数据字典（CCD）的使用和维护系统的完整性要求。,1.2 电子商务安全技术,2020/7/9,46,说明2 库内加密 根据数据库结构的特点，要对数据进行加密，可以增设一数据加密模式实

33、现数据的加密。该加密模式所处的位置应在模式之间。加密的单位可以记录、域或者数据元素。粒度是指一次访问操作所涉及的被访问对象大小。 记录加密 域加密 数据项加密,1.2 电子商务安全技术,2020/7/9,47,说明3 硬件加密 硬件加密主要是相对于软件加密的，是指在物理存储器与数据库系统之间加上一层硬件作为中间层，加密和解密的工作都由添加的硬件完成。 不过由于添加的硬件与原计算机硬件之间可能存在着兼容问题，还有在进行控制读写的时候存在着繁琐的设置，所以这种应用起来也不会太广泛。,1.2 电子商务安全技术,2020/7/9,48,数据加密的算法 DES算法。 三重DES。 RSA算法。 AES算

34、法。 数据库数据加密的实现 在系统中加密 在DBMS内核层加密 在DBMS外层加密,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,49,数据库安全技术研究 存取管理技术 存取管理技术主要包括用户认证技术和访问控制技术两方面。 用户认证技术 用户身份验证 用户身份识别 访问控制技术 按功能模块对用户授权 将数据库系统权限赋予用户,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,50,数据库安全技术研究 备份与恢复 备份又称为转储，是指将计算机系统中

35、硬盘上的数据通过适当的形式转录到可脱机保存的介质上，以便需要时再读入计算机系统中使用。恢复也称为重载或重入，是指当磁盘损坏或数据崩溃时，通过转储或备份重新安装数据库，使其恢复到原来状态的过程。 （1）数据库备份的必要性 （2）数据库备份的原理和方式 （3）数据库恢复的条件 （4）数据库恢复分类 （5）数据库的恢复功能,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,51,数据库安全技术研究 建立安全的审计机制 审计就是对指定用户在数据库中的操作进行监控和记录的一种数据库功能。 数据库审计的客观需求 捕捉数据访问 捕捉数据

36、库配置变化 自动防御 审计策略的灵活配置和管理 审计记录的管理 灵活的报告生成,1.2 电子商务安全技术,E-Business Security and Online Payment,2020/7/9,52,第1.2章 电子商务安全技术,审计的类型与基本对象 审计的类型主要有以下几种。 设备安全审计 操作审计 应用程序的审计 欺诈审计 审计主要包括以下三个基本对象。 用户 事务 数据,E-Business Security and Online Payment,2020/7/9,53,第1.2章 电子商务安全技术,审计的注意事项 除了记录发生在数据库系统中的所有事件以外，审计跟踪还必须提供审计

37、的查询支持 应允许用户按照各自的需要选择开启不同的审计。 如果将审计功能与警告功能结合起来，那么，每当发生违反数据库系统安全的事件或者涉及系统安全的重要操作，就可以向安全操作员终端发送警告信息,E-Business Security and Online Payment,2020/7/9,54,第1.2章 电子商务安全技术,计算机网络的潜在安全隐患 1未进行操作系统相关安全配置 2未进行CGI（Common Gateway Interface ）程序代码审计 3拒绝服务（Denial of Service，DoS）攻击 4安全产品使用不当 5缺少严格的网络安全管理制度,E-Business S

38、ecurity and Online Payment,2020/7/9,55,第1.2章 电子商务安全技术,计算机网络安全的脆弱性 计算机网络安全的脆弱性主要表现在三个方面： 1很容易被窃听和欺骗 2脆弱的TCP/IP服务 3配置的错误和疏忽,E-Business Security and Online Payment,2020/7/9,56,第1.2章 电子商务安全技术,计算机网络安全体系 一个全方位的计算机网络安全体系结构包含： 网络的物理安全 访问控制安全 系统安全 用户安全 信息加密 安全传输 管理安全等。,E-Business Security and Online Payment,

39、2020/7/9,57,第1.2章 电子商务安全技术,计算机网络安全体系 网络安全技术是伴随着网络的诞生而出现的，但直到20世纪80年代末才引起关注，90年代在国外获得了飞速的发展。 信息安全是国家发展所面临的一个重要问题。建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。,E-Business Security and Online Payment,2020/7/9,58,第1.2章 电子商务安全技术,网络安全主要技术 网络防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环

40、境的特殊网络互联设备。 根据防火墙所采用的技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换型NAT、代理型和监测型。,E-Business Security and Online Payment,2020/7/9,59,第1.2章 电子商务安全技术,虚拟专用网VPN（Virtual Private Network ） 这是一种特殊的网络，它采用一种叫做“IP通道”或“数据封装”的系统，用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是互联网上的一种专用通道，可保证数据在外部网上的企业之间安全地传输。 其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之

41、间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输,E-Business Security and Online Payment,2020/7/9,60,第1.2章 电子商务安全技术,网络安全主要技术 数字签名技术 数字签名是附加在信息上并随着信息一起传送的一串代码，可以保证信息传输过程中的信息完整性，以及提供信息发送者的身份认证和不可抵赖性。 认证技术 数字签名技术是利用公开密钥加密技术来保障网上传送信息的真实性，但是它存在一个问题，就是

42、任何人都可以生成一对密钥，为保证一对密钥只属于一个人，就需要一个权威机构对密钥进行管理，颁发证书证明密钥的有效性，将公开密钥同某一个实体联系在一起，这种机构就称为认证中心.,E-Business Security and Online Payment,2020/7/9,61,第1章 电子商务安全概述,2020/7/9,61,目录 1.1 导读 1.2 电子商务安全技术 1.3 客户机的安全 1.3 服务器的安全 1.4 电子商务安全问题 1.5 系统安全评测标准,E-Business Security and Online Payment,2020/7/9,62,1.3 客户机的安全,客户机：

43、指一台连接远程服务器的本地机，通常就是个人PC机，也是B/S结构中的浏览器那一端。其安全性可划分为两段： 客户机上网前的安全（是电子商务安全的前提） 硬件的安全：如，计算机的各种插卡是否有问题，对意外事件的抵御能力等 软件的安全：如，操作系统是否及时更新了漏洞，各种应用软件是否有被入侵的风险等 客户机上网面临的安全，即来源于页面活动内容,E-Business Security and Online Payment,2020/7/9,63,1.3 客户机的安全,活动内容：指在页面上嵌入的对用户透明的程序。通过以下活动内容形式来体现： 包括Java小应用程序 Active X控件 浏览器插件 Ja

44、vaScript、VBScript 活动脚本和 包含一些隐含嵌入指令的文件等。 JavaApplet的下载执行过程 及 ASP文件处理,E-Business Security and Online Payment,2020/7/9,64,1.3 客户机的安全,E-Business Security and Online Payment,2020/7/9,65,说明,JavaApplet Java小应用程序是一种在Web环境下，运行于客户端的Java程序组件。它也是1990年代中期，Java在诞生后得以一炮走红的功臣之一。通常，每个Applet的功能都比较单一（例如仅用于显示一个舞动的Logo）

45、，因此它被称作“小应用程序” Applet是由英语“应用程序”Application的缩写App和代表“小”的后缀let组成。,2020/7/9,66,1.3 客户机的安全,E-Business Security and Online Payment,2020/7/9,67,说明,ActiveX插件 ActiveX插件技术是国际上通用的基于Windows平台的软件技术，除了网络实名插件之外，许多软件均采用此种方式开发，例如Flash动画播放插件、Microsoft MediaPlayer插件、CNNIC通用网址插件等。 是当用户浏览到特定的网页时，IE浏览器即可自动下载并提示用户安装。 Act

46、iveX插件分为内置组件和第三方组件两部分。内置组件有：Ad Rotator（广告循环）、 ADO（数据库访问）、Browser Capability（浏览器性能）Content Linking（）, File access （文件系统）。第三方组件是最灵活的，安装的一个前提是必须经过用户的同意及确认。,2020/7/9,68,说明,IIS Internet Information Services（IIS，互联网信息服务），是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包，随后内置在Windows 2000、Windows

47、XP Professional和Windows Server 2003一起发行. 是一个World Wide Web server, IIS意味着你能发布网页，如：HTML网页、ASP网页。,2020/7/9,69,说明,ASP ASP是Active Server Page的缩写，意为“动态服务器页面”。ASP是微软公司开发的代替CGI脚本程序的一种应用，它可以与数据库和其它程序进行交互，是一种简单、方便的编程工具。ASP的网页文件的格式是。asp，现在常用于各种动态网站中。 ASP是一种服务器端脚本编写环境，可以用来创建和运行动态网页或Web应用程序。ASP网页可以包含HTML标记、普通文本

48、、脚本命令以及COM组件等。利用ASP可以向网页中添加交互式内容（如在线表单），也可以创建使用HTML网页作为用户界面的web应用程序。,2020/7/9,70,提出问题 如果活动内容是特洛伊木马、网络蠕虫、病毒等，将为电商务带来最大安全风险是什么？ HTTP协议特点 协议是无状态的 不能记忆从一个页面到另一个页面的间的响应 Cookie的功能 是服务器写在客户机硬盘上的一个小甜心文本文件 它用于记忆客户身份证号、密码、订单信息或用户名与口令 它记忆客户访问过的站点,1.3 客户机的安全,E-Business Security and Online Payment,2020/7/9,71,如何

49、保护上网的客户机呢？ 首先，对于活动页面的活动内容要有所限制，设置好用户的浏览器安全选项 ； Internet OptionsSecurityTrusted Sites 其次，对于活动内容喜欢访问的Cookie，用户要加以控制。 如可在“注册表”中设置禁用 在IE 7中工具-Internet选项Internet属性隐私高级勾选替代自动Cookie处理勾选第一方Cookie和第三方Cookie下的接受可以启用Cookie。 第三，对于用户有意下载的文件、软件和电子邮件的附件等，要进行签名消息或签名代码的检查，同时用防病毒软件查杀病毒。,1.3 客户机的安全,E-Business Security

50、 and Online Payment,2020/7/9,72,第1章 电子商务安全概述,2020/7/9,72,目录 1.1 导读 1.2 电子商务安全技术 1.3 客户机的安全 1.4 服务器的安全 1.4 电子商务安全问题 1.5 系统安全评测标准,E-Business Security and Online Payment,2020/7/9,73,1.4 服务器的安全,服务器：是客户机的信息资源不对等实体，它对外提供资源的共享和访问一端。 服务器要防止被破坏和非法获取信息，重点要考察其入口。服务器的入口： 包括WWW服务器及其软件 公共网关接口（CGI）程序 Asp（IIS Web服务

51、器）、jsp（JSWDK服务器）、php（Apache服务器）等其他工具程序、以及任何有数据的后台程序，如数据库和数据库服务器。,E-Business Security and Online Payment,2020/7/9,74,1.4.1 服务器的安全威胁,对WWW服务器的安全威胁 对数据库的安全威胁 数据库的安全威胁主要包括：事务内部的故障、系统范围内的故障、介质故障、计算机病毒与黑客。其中，数据库系统故障又称为数据库软故障，是指系统突然停止运行时造成的数据库故障。如CPU故障、突然断电，操作系统故障。介质故障又称数据库硬故障，主要指外存故障，如磁盘磁头碰撞，瞬时的强磁场干扰等。 公共网

52、关接口（CGI）程序、asp、jsp、pl、php等其他工具程序的安全威胁 服务器所运行程序的安全威胁,E-Business Security and Online Payment,2020/7/9,75,1.4.2 保护电子商务服务器,电子商务服务器的安全解决方案主要做好以下几点 访问控制和认证 操作系统控制 为电子商务服务器配置好防火墙 为了防止和追踪黑客闯入和内部滥用，需要对Web站点上的出入情况进行监视控制。 监控请求 测算访问次数 传输 传输更新,E-Business Security and Online Payment,2020/7/9,76,第1章 电子商务安全概述,2020/

53、7/9,76,目录 1.1 导读 1.2 电子商务安全技术 1.3 客户机的安全 1.4 服务器的安全 1.5 电子商务安全问题 1.6 系统安全评测标准,E-Business Security and Online Payment,2020/7/9,77,1.5 电子商务安全问题,电子商务活动的内容 电子商务信息必须通过计算机网络进行传输 在网络上传输的信息需要进行加密 进行商务活动的双方必须得到某种身份认证，保证交易的安全 电子商务的安全性体现在网络安全、信息加密技术以及交易的安全。,E-Business Security and Online Payment,2020/7/9,78,1.5 电子商务安全问题,电子商务网络安全主要有以下方面的安全问题： 物理实体的安全问题：包括设备的机能失常、电源故障、由于电磁泄漏引起的信息失密、搭线窃听、自然灾害。 未进行操作系统相关安全配置 软件的漏洞和“后门” 网络协议的安全漏洞 黑客的恶意攻击 计算机病毒的攻击 安全产品使用不当 缺少严格的网络安全管理制度,E-Business Security an