电子商务站点黑客防范PDF电子书下载

前言 1

作者简介 1

第1章 为电子商务引入安全原则 1

1．1概述 1

1．2安全是基础 1

1．2．1机密性 2

1．2．2完整性 2

1．2．3可用性 2

1．2．4安全并不只是一个时髦词 3

1．2．5电子商务的安全目标 5

1．2．6精心计划安全策略 5

1．2．7开发阶段的安全 7

1．2．8实现安全方案 7

1．2．9在安全环境中管理和维护系统 8

1．3为现有站点引入安全原则 10

1．3．1找出安全隐患 11

1．3．2修补过程中的管理和维护 12

1．4如何评估安全预算 14

1．4．1标尺方法 14

1．4．2刺激方法 16

1．5安全作为一种限制 18

1．6安全作为一种帮助 18

1．7小结 19

1．8要点 19

1．9常见问题解答 21

第2章 DDoS攻击 23

2．1概述 23

2．2什么是DDoS攻击 24

2．2．1 DoS基础 24

2．2．2 DDoS攻击详解 30

2．2．3 2000年2月的攻击 32

2．3为何电子商务网站是DDoS的主要攻击目标 34

2．3．1一个日益迫切的问题 34

2．3．2媒体的“功劳” 35

2．4攻击者为了什么 35

2．4．1黑客的逻辑 35

2．4．2黑客主义 36

2．4．3追求短暂的出名 36

2．4．4发泄愤怒 37

2．4．5经济利益 37

2．4．6心怀恶意 37

2．5哪些工具可用来执行DDoS攻击 38

2．5．1 Trinoo 38

2．5．2 TFN2K：可移植的怪物 39

2．5．3 Stacheldrabt：有刺的铁丝网 41

2．5．4更多的DDoS家族 44

2．6如何保护网站免遭攻击 45

2．7小结 56

2．8要点 57

2．9常见问题解答 59

第3章 安全网站设计 61

3．1概述 61

3．2挑选Web服务器的方法 61

3．2．1 Web服务器与Web服务 62

3．2．2考虑Web服务器的价格和支持的操作系统 62

3．2．3对比Web服务器的安全特性 64

3．3安全站点设计基础 73

3．3．1拟定安全计划 73

3．3．2将安全层次扩展到Web服务器之外 74

3．3．3 Apache和IIS的比较 76

3．3．4安装 77

3．3．5强化服务器软件 87

3．3．6总体系统强化 88

3．3．7密码破解和分析工具 89

3．3．8和HTML代码有关的Web设计问题 92

3．4 Java、JavaScript和ActiveX设计指南 95

3．4．1概述 96

3．4．2防范Java、JavaScript和ActiveX的问题 97

3．5安全脚本编程 99

3．6代码签名：是解决问题还是带来更多的问题 101

3．6．1理解代码签名 101

3．6．2代码签名的优点 102

3．6．3代码签名的缺点 102

3．7．1理解需要的技术 103

3．7网站应该让别人来设计吗 103

3．7．2把设计工作承包给别人的优缺点 104

3．7．3实施前应仔细检查 105

3．8小结 105

3．9要点 106

3．10常见问题解答 108

第4章 设计和实现安全策略 111

4．1概述 111

4．2安全策略对电子商务网站的重要性 111

4．3安全策略应强调哪些方面 116

4．3．1保密性与个人隐私策略 117

4．3．2信息完整性策略 121

4．3．3服务策略的可用性 124

4．4网上有现成的安全策略吗 124

4．4．2示范策略和框架 125

4．4．1每家单位的策略是不同的 125

4．4．3让外人来制订策略的问题 126

4．5如何利用安全策略来实现技术方案 126

4．6如何将安全策略通知给客户 127

4．7小结 129

4．8要点 129

4．9常见问题解答 131

第5章 实现一个安全的电子商务网站 132

5．1概述 132

5．2实现安全区 133

5．2．1非军事区 134

5．2．2每种需要设置一个区 136

5．2．3多区网络存在的问题 137

5．3．1探索防火墙选项 138

5．3理解防火墙 138

5．3．2设置防火墙规则集 139

5．4把组件放到哪里 142

5．4．1按风险来定义系统 142

5．4．2建立风险控制需求 143

5．4．3通过需求分组来创建安全区 143

5．5实现入侵侦测 144

5．5．1什么是入侵侦测 145

5．5．2在入健侦测中选择 145

5．5．3基于网络的IDS的例子 148

5．5．4基于主机的IDS的例子 149

5．6管理和监视系统 150

5．6．1需要执行哪些管理任务 150

5．6．2应进行哪些监视 151

5．7站点托管 153

5．7．1站点托管的优点 153

5．7．3挑选承包合作伙伴或者ASP 154

5．7．2服务器寄放 154

5．8小结 155

5．9要点 155

5．10常见问题解答 157

第6章 保护金融交易 159

6．1概述 159

6．2理解网上支付卡系统 160

6．2．1信用卡、签账卡或借记卡 160

6．2．2销售点处理 161

6．2．3清算和结算 162

6．2．4网上支付卡交易步骤 163

6．3商业支付方案中的选项 166

6．3．1商业服务器供应商 166

6．3．2直接使用内部资源 167

6．4安全支付处理环境 168

6．4．1其他服务器控制 170

6．4．2在应用层的控制 171

6．5密码学 171

6．5．1方法 171

6．5．2密钥在密码系统中扮演的角色 174

6．5．3密码学原理 174

6．5．4数学证书 177

6．6探讨电子商务中的密码学 179

6．6．1散列功能 179

6．6．2区块密码 179

6．6．3 PPK密码的实现 180

6．6．4 SSL协议 180

6．6．5传输层安全 182

6．6．6 PGP 182

6．6．7 S/MIME 182

6．6．9 XML数字签名 183

6．6．8安全电子交易 183

6．7虚拟POS实现 185

6．8其他支付系统 186

6．8．1基于智能卡的方案 187

6．8．2代理付账 189

6．8．3电子货币 190

6．9小结 190

6．10要点 191

6．11常见问题解答 193

第7章 检查网站漏洞 195

7．1概述 195

7．2已知的各类攻击 195

7．2．1拒绝服务攻击 195

7．2．2信息泄漏攻击 196

7．2．4讹信攻击 197

7．2．3文件访问攻击 197

7．2．5特殊文件/数据库访问攻击 198

7．2．6提高权限攻击 198

7．3对站点进行一次风险分析 199

7．3．1资产评估 200

7．3．2攻击原因 200

7．4检测自己站点的安全漏洞 202

7．4．1决定检测技术 203

7．4．2研究自己的漏洞 204

7．4．3使用自动扫描工具 212

7．5雇佣一个人侵测试小组 215

7．6小结 216

7．7要点 217

7．8常见问题解答 218

8．2什么是灾难恢复计划 220

第8章 灾难恢复计划 220

8．1概述 220

8．2．1拟定灾难恢复计划 221

8．2．2保证符合质量标准 225

8．3确保安全的信息备份和恢复 226

8．3．1进行备份和验证的必要性 226

8．3．2保护敏感信息的备份 229

8．4预防硬件故障或服务丢失 231

8．5如何防范自然灾害 235

8．5．1热站：进行恢复的另一个办法 235

8．5．2如何挑选一个热站 235

8．5．3进行测试 236

8．6保险选择 236

8．6．1错误和疏忽保险 237

8．6．2知识产权保险 237

8．6．4决定保险范围 238

8．6．3第一方电子商务保护 238

8．6．5一些可能不必要的保险 240

8．7小结 241

8．8要点 241

8．9常见问题解答 243

第9章 控制大流量网络传输 245

9．1概述 245

9．2想不到站点如此受欢迎，怎么办 245

9．2．1判断站点负载 246

9．2．2性能调节Web服务器 253

9．3怎样管理带宽需求 255

9．3．1洽商带宽大小 256

9．3．2如何规划带宽升级 258

9．3．3根据需要获取带宽 258

9．4．1什么是负载平衡 259

9．4负载平衡概论 259

9．4．2负载平衡的优缺点 262

9．4．3负载平衡和安全 262

9．5小结 264

9．6要点 264

9．7常见问题解答 265

第10章 事故反应、司法调查和法律 267

10．1概述 267

10．2事件反应策略的重要性 267

10．2．1惊慌还是冷静 267

10．2．2如何才能不去管一个事件 268

10．2．3正确的策略权衡 268

10．2．4再论事件反应策略 271

10．4．1试图越界的攻击者 272

10．4设置起诉范围 272

10．3建立一个事件反应小组 272

10．4．2理解管制链 274

10．5建立一个事件反应规程 274

10．6司法调查 275

10．7事件跟踪 279

10．8资源 280

10．8．1法律/政府/执法 281

10．8．2备份/司法 281

10．8．3事件跟踪系统 281

10．8．4杂项 282

10．9小结 282

10．10要点 283

10．11常见问题解答 284

附录A 进行内容发布的Cisco方案 286