《电子商务安全》PDF下载

电子商务安全隐患篇 1

第1章　电子商务安全隐患概述 3

1.1　信息安全的历史故事 3

1.2　电子商务信息的价值 4

1.3　电子商务时代安全隐患丛生 4

1.3.1　处处有安全漏洞，时时有安全隐患 4

1.3.2　电子商务中的犯罪特点 5

1.3.3　电子商务发展的关键是安全性 5

1.3.4　安全威胁的林林总总 5

1.4　电子商务安全的中心内容 8

1.4.3　商务对象的认证性 9

1.4.4　商务服务的不可否认性 9

1.4.2　商务数据的完整性 9

1.4.1　商务数据的机密性 9

1.4.5　商务服务的不可拒绝性 10

1.4.6　访问的控制性 10

1.4.7　其他内容 10

1.5　黑客与攻击三步曲 10

1.5.1　黑客与攻击者 10

1.5.2　非法使用者与过失者 10

1.5.3　攻击者的三步曲 11

习题一 12

2.1　单机硬件故障 13

第2章　物理设备的不安全性 13

2.3　软件问题 14

2.2　网络设备故障 14

2.4　天灾 15

2.5　人为事故 15

习题二 16

第3章　Internet的不安全性 17

3.1　Internet的安全漏洞 17

3.1.1　Internet各个环节的安全漏洞 17

3.1.2　外界攻击Internet安全的类型 17

3.1.3　局域网服务和相互信任的主机的安全漏洞 18

3.2.1　TCP/IP协议简介 19

3.2.2　IP协议的安全隐患是极严重的 19

3.1.4　设备或软件的复杂性带来的安全隐患 19

3.2　TCP/TP协议及其不安全性 19

3.2.3　TCP协议劫持入侵 20

3.2.4　嗅探入侵 20

3.3　HTTP和Web的不安全性 20

3.3.1　HTTP协议的特点 21

3.3.2　HTTP协议中的不安全性 21

3.3.3　Web站点的安全隐患 21

3.4.2　入侵Telnet会话 22

3.4.1　E-mail的不安全性 22

3.4　E-mail,Telnet及网页的不安全性 22

3.4.3　网页做假 23

3.4.4　电子邮件炸弹和电子邮件列表链接 23

3.5　网上安全攻击实例 24

3.5.1　病毒 24

3.5.2　主动搭线窃听 24

3.5.3　对不可拒绝性的安全威胁 24

3.5.4　薄弱的认证环节 24

3.6.3　系统管理员的失误 25

3.6.2　通信不畅 25

3.6.1　工作压力引起精力不集中 25

3.6　人为过失 25

3.5.5　系统的易被监视性 25

习题三 26

第4章　客户机／服务器的不安全性 27

4.1　对Web服务器的安全威胁 27

4.1.1　高权限的安全威胁 27

4.1.2　服务器目录的默认设置 28

4.1.3　CGI中的不安全性 28

4.1.4　ASP中的不安全性 28

4.1.5　对Web服务器其他程序的安全威胁 28

4.2　UNIX系统服务器的不安全性 29

4.1.9　邮件炸弹 29

4.2.1　攻破口令 29

4.1.7　来自FTP的安全威胁 29

4.1.6　服务器端嵌入 29

4.1.8　口令不当 29

4.2.2　Web服务器软件的不安全性 30

4.3　客户机的不安全性 30

4.3.1　对客户机安全构成威胁的来源 30

4.3.2　浏览器的安全 31

4.3.3　伪装成合法网站的服务器 32

4.3.4　在Web活动页面里的特洛伊木马 32

4.3.5　Java,Java小应用程序与JavaScript 32

4.3.8　Cookie的安全威胁 33

4.3.6　ActiveX控件 33

4.3.7　图形文件、插件和电子邮件的附件 33

4.4　无法估计主机的安全性 34

习题四 34

第5章　电子商务中的不安全性 35

5.1　电子商务数据库的不安全性 35

5.1.1　篡改数据库数据 35

5.1.2　窃取数据库数据 35

5.2　从事电子商务人员的管理 35

5.3.2　EDI要利用Internet 36

5.3　密切注意未来的安全威胁 36

5.3.1　电子支付手段 36

5.3.3　B to B的发展 37

5.3.4　电子商务法律漏洞 37

习题五 38

电子商务安全基础篇 39

第6章　电子商务安全基础概述 40

6.1　电子商务的安全要求 40

6.1.1　电子商务安全基础要求 40

6.1.2　电子商务安全要求的特殊性 41

6.2　电子商务安全与其他领域的交融 43

6.3.2　安全风险的特点 44

6.3　安全风险与安全保护 44

6.3.1　认识安全风险 44

6.3.3　风险管理 45

习题六 46

第7章　电子商务流程的安全事务 47

7.1　建立认证中心CA和其他各种第三方公证机构 47

7.1.1　建立认证中心CA等的必要性 47

7.1.2　建立认证中心CA等概述 48

7.2　电子支付系统 48

7.2.1　支付系统的特点 48

7.2.2　卡的安全体系和卡的安全 51

7.2.3　电子信用卡系统 53

7.3　安全电子商务的主要流程 54

7.3.1　安全电子商务系统的组成 54

7.3.2　电子商务各参与单位的作用 55

习题七 55

第8章　加密与密钥体系 57

8.1　加密概念与基本方法 57

8.1.1　替代密码法 58

8.1.2　转换密码法 59

8.1.3　网络上数据的加密方式 60

8.1.5　密钥体系 61

8.1.4　文件加密 61

8.2　单钥密码体制 62

8.2.1　流密码体制 62

8.2.2　分组密码体制 63

8.2.3　DES加密标准 63

8.2.4　IDEA加密算法 63

8.2.5　RC-5加密算法 64

8.2.6　单钥密码体制的特点 64

8.3　双钥密码体制 64

8.3.1　RSA密码体制 65

8.3.2　ElGamal密码体制 66

8.5　密钥的管理 67

8.4　加密算法和标准 67

习题八 68

第9章　数据的完整性和安全性 69

9.1　数据完整性和安全性概述 69

9.1.1　数据完整性被破坏的严重后果 69

9.1.2　散列函数的概念 70

9.1.3　散列函数应用于数据的完整性 70

9.1.4　数字签名使用双钥密码加密和散列函数 70

9.2　应用散列函数保证完整性的方案 71

9.2.1　应用散列函数的基本方式 71

9.2.4　其他散列算法 74

习题九 74

9.2.2　MD-4和MD-5散列算法 74

9.2.3　安全散列算法（SHA） 74

第10章　数字鉴别 76

10.1　数字签名 76

10.1.1　数字签名的基本概念 76

10.1.2　数字签名的必要性 76

10.1.3　数字签名的原理 77

10.1.6　单独数字签名的安全问题 79

10.1.7　RSA签名体制 79

10.1.4　数字签名的要求 79

10.1.5　数字签名的作用 79

10.1.8　EIGamal签名体制 80

10.1.9　无可争辩签名 80

10.1.10　盲签名 80

10.1.11　双联签名 81

10.2　身份证书与数字认证 82

10.2.1　身份认证证书的概念 82

10.2.2　身份认证证书的类型 82

10.2.3　身份认证证书的内容 83

10.2.4　身份认证证书的有效性 83

10.2.7　身份证明 84

10.2.5　身份认证证书的使用 84

10.2.6　数字证书的发行 84

10.2.8　口令认证系统 85

10.3　公钥数字证书 85

10.3.1　公钥证书的基本概念 85

10.3.2　公钥／私钥对的生成和要求 87

10.3.3　公钥证书的申请、更新、分配 88

10.3.4　公钥的格式 89

10.3.5　公钥证书的吊销 89

10.4.1　公钥基础设施 90

10.4　公钥基础设施、证书机构和证书政策 90

10.3.7　公钥证书的授权信息 90

10.3.6　证书的使用期限 90

10.4.2　认证系统 92

10.4.3　中国电子商务认证中心 92

10.5　数字时间戳及其业务 93

10.5.1　数字时间戳仲裁方案要点 93

10.5.2　数字时间戳链接协议 93

10.6　不可否认业务 94

10.6.1　不可否认业务的概念 94

10.6.2　不可否认业务类型和业务活动 94

10.6.4　递送的不可否认性及实现方法 95

10.6.3　源的不可否认性及实现方法 95

10.6.5　可信赖第三方 96

10.6.6　解决纠纷 96

10.7　数字签名和证书应用举例 97

习题十 97

第11章　安全协议与标准 99

11.1　安全协议种类 99

11.1.1　仲裁协议 99

11.1.6　消息认证 100

11.1.4　密钥建立协议 100

11.1.5　认证协议 100

11.1.3　自动执行协议 100

11.1.2　裁决协议 100

11.1.7　实体认证协议 101

11.1.8　认证的密钥建立协议 101

11.1.9　Internet业务提供者协议 101

11.1.10　ikp协议 101

11.2　IPSec——IP安全协议 102

11.2.1　IPSec的概念 102

11.2.2　IPSec的应用 104

11.2.3　IPSec的优势 105

11.3.1　S-HTTP是HTTP的安全扩展 106

11.3　安全超文本传输协议S-HTTP 106

11.2.4　路由应用 106

11.3.2　S-HTTP和SSL的异同 107

11.3.3　S-HTTP的应用 107

11.4　有关安全技术的标准 107

11.4.1　密码技术的国际标准 107

11.4.2　ANSI和ISO的银行信息系统安全标准 108

11.4.3　ISO安全结构和安全框架标准 109

11.4.4　美国政府标准（FIPS） 110

11.4.5　Internet标准和RFC 110

11.4.6　PKCS 110

11.5.1　消息安全性的基本概念 111

11.5　Internet消息安全性协议 111

11.4.7　其他标准 111

11.5.2　保密强化邮件PEM 112

11.5.3　X.400国际电子消息协议 112

11.5.4　消息安全协议MSP 112

11.5.5　各种消息安全协议比较 113

11.6 EDI的安全协议 113

11.7　安全等级 114

习题十一 115

电子商务安全解决篇 116

12.2　实体安全措施 117

12.2.1　建立物理安全的环境 117

12.1　做好损坏的应对策略 117

第12章　物理设备的安全措施 117

12.2.2　维护良好的环境 118

12.2.3　建立定期检测和日常检查制度 118

12.2.4　容错技术和冗余系统 118

12.3　保护数据的完整性 118

12.3.1　网络备份系统 119

12.3.2　数据文件的备份 119

12.3.3　归档 119

12.3.4　提高数据完整性的预防性措施 119

习题十二 120

第13章　客户机／服务器的安全措施 121

13.1　客户机的保护措施 121

13.1.1　Web浏览器信息泄漏的防止方法 121

13.1.2　使用内容协商禁止PostScript危险操作 122

13.1.3　监测活动内容 122

13.1.4　处理Cookie 123

13.1.5　使用防病毒软件 124

13.1.6　网上的安全购物——识别SSL联机 124

13.2　服务器的安全措施 124

13.2.1　UNIX系统正确配置主机的操作系统 124

13.2.2　Web服务器安全配置原则 125

13.2.3　认证和访问控制机制 126

13.2.4　口令的使用和管理 128

13.2.5　注意ASP漏洞 131

13.2.6　商家使用SSL建立安全的商务网站 131

13.3　使用杀毒软件 133

13.3.1　杀毒软件使用综述 133

13.3.2　KV系列杀毒软件 134

13.3.3　瑞星杀毒软件 134

13.3.4　金山毒霸杀毒软件 134

13.3.5　杀毒服务网站 135

13.3.6　国外有名杀毒产品 135

习题十三 136

第14章　Internet上的安全措施和使用安全协议 137

14.1　Internet上的安全措施概述 137

14.1.1　网络安全 137

14.1.2　应用安全 138

14.1.3　系统安全性 138

14.1.4　对付一些攻击 139

14.2　使用防火墙 139

14.2.1　防火墙的基本概述 140

14.2.2　防火墙的配置 142

14.2.3　防火墙的类型 144

14.2.4　防火墙的选择 146

14.2.5　防火墙软件 148

14.2.6　防火墙不能对付的安全威胁 152

14.2.7　包过滤技术的概念 153

14.2.8　代理服务技术的概念 153

14.3　对访问的认证和控制 156

14.3.1　对访问的认证 157

14.3.2　对访问的控制 157

14.3.3　入侵的审计、追踪与检测技术 158

14.4　Kerberos身份验证应用 159

14.4.2　用Kerberos实现认证的NetCheque电子支票系统 160

14.4.1　用Kerberos通信过程说明 160

14.4.3　防止网络上的嗅探入侵 161

14.5　免费加密软件 161

14.5.1　使用RSA算法的SecurPC 161

14.5.2　信息摘要软件 161

14.5.3　其他加密程序 161

14.6　认证证书的发放 161

14.6.1　证书发放政策 161

14.6.2　认证机构之间的相互关系 162

习题十四 164

14.6.5　证书管理协议 164

14.6.4　认证通路的查找和确认 164

14.6.3　证书中名字的约束 164

第15章　两大安全电子邮件的实用技术 166

15.1　PGP完美加密程序的使用 166

15.1.1　PGP的概念 166

15.1.2　PGP的原理 166

15.1.3　PGP的作用 167

15.1.4　PGP的安装与设置 167

15.1.5　PGP软件的使用 170

15.1.6　PGP使用的注意事项 174

15.2　S/MIME安全的电子邮件标准 174

15.2.1　Secure-MIME标准 174

15.2.2　S/MIME如何满足电子邮件的安全要求 175

15.2.4　收发S/MIME的操作 176

15.2.3　Secure-MIME特点 176

15.3　PGP与S/MIME比较 178

习题十五 178

第16章　电子商务的安全协议 179

16.1　SSL——提供网上购物安全的协议 179

16.1.1　安全套接层SSL协议概念 180

16.1.2　SSL提供的安全内容 180

16.1.3　SSL体系结构 181

16.2　SET——提供安全的电子商务数据交换 182

16.2.1　网上信用卡安全交易必须使用SET 182

16.1.5　传输层安全TLS 182

16.1.4　服务器和浏览器对SSL的支持 182

16.2.2　SET的认证过程 184

16.2.3　SET协议的安全技术 187

16.2.4　SET交易中的电子钱包 188

16.2.5　商店服务器和支付网关 190

16.2.6　SET网上购物实例 191

16.2.7　SET实际操作的全过程 192

16.3　SET与SSL对比及SET的缺陷 194

16.4.2　出现同时使用SSL和SET的网站 195

16.4.1　SSL已经开始普及 195

16.4　目前国内应用SSL和SET的情况 195

16.4.3　认证中心的涌现及各自的特色 196

16.4.4　电子商务“专业银行”的出现 196

16.5　SET公钥基础设施 197

习题十六 198

第17章　安全的管理 200

17.1　安全策略制定的目的、内容和原则 200

17.1.1　制定安全策略的目的 200

17.1.2　安全策略的内容 200

17.2.2　要定义保护的风险 201

17.2.3　要吃透电子商务安全的法律法规 201

17.2　安全策略 201

17.2.1　要定义保护的资源 201

17.1.3　制定安全策略的基本原则 201

17.2.4　建立安全策略和确定一套安全机制 202

17.3　关于版权和知识产权的安全管理 202

17.4　网上安全求援 203

习题十七 204

附录 205

附录一　加密中的数学知识 205

附录二　电子商务安全名词术语 207

附录三 电子商务安全英语词汇和缩略词 212