第1章 电子商务安全概述 1
1.1 深入理解电子商务 2
1.1.1 电子商务的概念 2
1.1.2 电子商务——新的经济形式 2
1.1.3 电子商务的主要类型 3
1.1.4 电子商务环境 4
1.1.5 电子商务基础设施 5
1.2 电子商务安全 7
1.2.1 电子商务的风险和威胁 7
1.2.2 电子商务安全的要素 9
1.2.3 电子商务安全体系 11
1.3 电子商务安全技术 12
1.3.1 数据加密技术 12
1.3.2 密钥管理技术 13
1.3.3 公钥基础设施 15
1.3.4 身份认证与访问控制技术 15
1.3.5 网络安全技术 16
1.3.6 安全电子商务协议 17
1.4 电子交易常见问题及解决方法 18
1.5 电子商务安全管理 20
1.5.1 安全管理的目标 20
1.5.2 安全意识和培训 21
1.5.3 创建安全域 23
1.5.4 应急预案 23
本章小结 24
思考题 25
第2章 密码学基础 27
2.1 密码学基础概述 28
2.1.1 密码学的基本概念 28
2.1.2 传统加密技术 29
2.2 对称密码技术 30
2.2.1 对称密码技术概论 30
2.2.2 DES加密标准 31
2.2.3 AES加密标准 33
2.2.4 流密码与RC4 34
2.3 非对称密码技术 37
2.3.1 公钥密码体制的原理 38
2.3.2 RSA密码体制 38
2.3.3 椭圆曲线密码体制 40
2.3.4 单向散列函数 44
2.3.5 非对称密码技术的应用 47
2.3.6 数字签名 52
2.4 使用密码通信 55
2.4.1 通信信道加密 55
2.4.2 硬件加密与软件加密 58
2.4.3 销毁信息 59
本章小结 59
思考题 59
第3章 密钥管理 61
3.1 密钥管理的目标和内容 62
3.2 密钥的组织结构 62
3.2.1 密钥的分类 62
3.2.2 密钥的层次 63
3.2.3 密钥的分割与连通 64
3.3 密钥的产生 64
3.3.1 密钥长度 64
3.3.2 密钥的随机性要求 65
3.3.3 噪声源技术 66
3.3.4 种子公钥技术 66
3.4 密钥的分配 68
3.4.1 密钥分配技术的重要性 68
3.4.2 密钥分配方案 69
3.4.3 一个实际的系统Kerberos 70
3.5 密钥的保护 70
3.5.1 传输密钥 72
3.5.2 验证密钥 72
3.5.3 更新密钥 72
3.5.4 存储密钥 73
3.5.5 备份密钥 74
3.5.6 密钥有效期 74
3.5.7 销毁密钥 74
3.6 密钥托管 75
3.6.1 密钥托管技术 75
3.6.2 密钥托管系统 75
本章小结 77
思考题 77
第4章 公钥基础设施与应用 79
4.1 公钥基础设施基础 80
4.1.1 安全基础设施的概念 80
4.1.2 公钥基础设施的概念 80
4.1.3 公钥基础设施的意义 82
4.2 数字证书 83
4.2.1 数字证书的概念 83
4.2.2 数字证书的格式 84
4.2.3 证书撤销列表 85
4.2.4 证书的存放 86
4.3 公钥基础设施的内容 87
4.3.1 认证机构 87
4.3.2 证书库 89
4.3.3 密钥备份及恢复 90
4.3.4 证书撤销 91
4.3.5 密钥更新 91
4.3.6 应用程序接口 92
4.4 公钥基础设施的信任模型 92
4.4.1 信任模型的概念 92
4.4.2 交叉认证 95
4.4.3 常用的信任模型 95
4.5 公钥基础设施的服务和实现 99
4.6 公钥基础设施的应用 103
4.6.1 PKI相关标准 103
4.6.2 基于PKI的应用领域 106
4.6.3 PKI技术的发展 109
本章小结 111
思考题 111
第5章 身份认证与访问控制技术 113
5.1 身份认证技术概述 114
5.2 认证口令 116
5.2.1 关键问题 116
5.2.2 挑战/响应认证机制 117
5.3 认证令牌 118
5.3.1 几个术语 118
5.3.2 时间令牌 119
5.4 生物特征认证 120
5.5 访问控制的概念与原理 122
5.6 访问控制结构 124
5.7 访问控制策略 126
5.8 访问控制模型 129
5.8.1 自主访问控制 129
5.8.2 强制访问控制 129
5.8.3 基于角色的访问控制 131
5.9 RBAC参考模型 133
5.9.1 RBAC0(Core RBAC) 133
5.9.2 RBAC1(Hierarchical RBAC) 135
5.9.3 RBAC2(Constraint RBAC) 137
本章小结 138
思考题 140
第6章 互联网安全技术 141
6.1 网络安全概述 142
6.1.1 网络安全的概念 142
6.1.2 网络系统面临的威胁 143
6.1.3 网络安全的基本原则 143
6.1.4 网络安全关键技术 144
6.2 防火墙 145
6.2.1 防火墙概述 145
6.2.2 防火墙实现技术 147
6.2.3 防火墙系统结构 151
6.3 入侵检测系统 154
6.3.1 入侵检测系统概述 154
6.3.2 入侵检测系统的数据源 156
6.3.3 入侵检测技术 157
6.3.4 入侵检测系统结构 161
6.4 虚拟专用网络(VPN) 162
6.4.1 VPN概述 163
6.4.2 VPN的分类 165
6.4.3 隧道技术 166
6.4.4 常用的隧道协议 168
6.5 病毒及防护 171
6.5.1 计算机病毒的产生和发展 171
6.5.2 计算机病毒及类型 172
6.5.3 计算机病毒防护 176
本章小结 177
思考题 178
第7章 电子商务安全协议 181
7.1 电子商务安全协议概述 182
7.2 安全电子交易协议 182
7.2.1 SET协议概述 182
7.2.2 SET交易的参与者 183
7.2.3 SET协议的相关技术 184
7.2.4 SET的交易流程 187
7.3 安全套接层协议 188
7.3.1 SSL概述 188
7.3.2 SSL握手协议 189
7.3.3 SSL记录协议 190
7.3.4 SSL协议与SET协议的比较 192
7.4 安全超文本传输协议 192
7.5 EDI协议 193
本章小结 194
思考题 194
第8章 数据高可用技术 195
8.1 数据备份和恢复 196
8.1.1 数据备份 196
8.1.2 数据恢复 197
8.2 网络备份系统 198
8.2.1 单机备份和网络备份 198
8.2.2 网络备份系统的组成 199
8.2.3 网络备份系统方案 200
8.3 数据容灾 202
8.3.1 数据容灾概述 202
8.3.2 数据容灾技术 203
本章小结 205
思考题 205
第9章 电子商务安全评估与管理 207
9.1 电子商务安全评估与管理基本概念 208
9.2 电子商务安全风险管理 208
9.3 电子商务安全风险评估 210
9.3.1 安全风险分析 210
9.3.2 安全风险评估 216
9.4 安全风险评估方法 217
9.4.1 层次分析法 218
9.4.2 模糊综合评价方法 219
9.4.3 贝叶斯网络方法 222
9.4.4 故障树方法 223
9.5 电子商务安全风险管理与控制 225
9.5.1 电子商务安全风险控制原则 225
9.5.2 电子商务安全风险控制机制 226
9.5.3 电子商务安全风险控制策略 228
9.5.4 信息系统生命周期各阶段的风险控制 229
本章小结 231
思考题 232
第10章 电子商务安全解决方案 233
10.1 IBM电子商务安全解决方案 234
10.1.1 身份管理 234
10.1.2 单点登录 236
10.1.3 IBM预防性安全方案ISS 236
10.2 CA公司电子商务安全解决方案 239
10.2.1 CA安全解决方案概述 239
10.2.2 eTrust网络防护 239
10.2.3 eTrust系统安全 241
10.2.4 eTrust Policy Compliance 242
10.2.5 eTrust用户与应用安全 243
10.3 HP公司电子商务安全解决方案 244
本章小结 246
思考题 246
第11章 电子商务安全法律规范 247
11.1 电子商务安全法律问题概述 248
11.1.1 电子商务安全的法律制度 248
11.1.2 电子商务安全的法律责任 249
11.2 电子商务的网络安全法律规范 253
11.2.1 网络安全的管理制度 253
11.2.2 中国网络安全管理机构及其职责 256
11.2.3 网络经营者的责任 258
11.2.4 系统安全管理制度 258
11.3 电子商务的信息安全 259
11.3.1 网络信息资源的管理制度 259
11.3.2 网络信息安全的法律规制 260
11.4 电子商务的交易安全 265
11.4.1 电子商务交易安全的制度安排 265
11.4.2 电子商务交易安全的法律规制 266
11.4.3 电子商务交易安全的管理机制 267
本章小结 269
思考题 270
附录A 缩略语表 271
参考文献 277