《电子商务安全》PDF下载

第一章 电子商务安全概述 1

【学习目标】 1

第一节 电子商务安全问题及安全要求 1

一、电子商务安全问题产生的原因 1

二、全球范围的网络安全问题 2

【背景资料】美英的网络安全举措 3

三、电子商务的安全问题 4

四、电子商务安全的要求 6

第二节 电子商务安全管理体系 9

一、物理安全 9

二、运行安全 10

三、信息安全 11

第三节 电子商务安全管理标准和法律政策 11

一、电子商务安全管理标准 11

二、电子商务安全法律、法规和管理办法 14

【本章小结】 15

【关键概念】 15

【思考与练习】 15

【案例分析】2009年一季度中国B2B电子商务市场诚信报告 15

第二章 加密技术基础 21

【学习目标】 21

第一节 密码学基础 21

一、密码学的发展过程 21

二、信息加密原理 22

三、密码分析 23

四、传统密码学 25

第二节 私有密钥密码算法 27

一、数据加密标准DES 28

【背景知识】破解DES加密的挑战 28

二、3DES算法 38

三、国际数据加密算法IDEA 38

四、私有密钥密码技术的优缺点 39

第三节 公开密钥密码算法 39

一、公开密钥密码算法概述 39

二、RSA算法 40

【本章小结】 42

【关键概念】 42

【思考与练习】 43

【实际应用】四款常用加密软件介绍 43

第三章 数字签名及消息认证技术 47

【学习目标】 47

第一节 报文检验码与数字摘要 47

一、报文验证码 47

二、数字摘要 48

三、SHA-1算法 53

第二节 数字签名 55

一、数字签名概述 55

二、数字签名的分类 56

【发展前景】数字签名的应用前景 59

第三节 数字签名方案 61

一、RSA签名 61

二、ElGamal签名 62

三、其他签名方案 63

第四节 电子商务安全通信过程 64

一、数字时间戳 64

二、数字信封 65

三、数字证书 66

四、电子商务安全通信的过程 67

【本章小结】 68

【关键概念】 69

【思考与练习】 69

【相关法律】中华人民共和国电子签名法 69

第四章 公钥基础设施 74

【学习目标】 74

第一节 公钥基础设施概述 74

一、公钥基础设施的含义 74

二、PKI发展历程 74

三、典型的PKI体系结构 76

四、PKI系统的组成要素 77

五、PKI的基本功能 78

第二节 认证中心 79

一、CA概述 79

二、CA的职能 79

三、CA的体系结构 80

第三节 信任模式及证书认证过程 83

一、信任模式 83

二、数字证书的认证过程 85

第四节 中国的PKI体系 88

一、国家信任源根CA中心 89

二、中国电信CA安全认证系统CTCA 90

三、中国金融认证中心CFCA 90

四、上海市数字证书认证中心SHECA 91

五、北京天威诚信电子商务服务有限公司iTrusChina 91

六、中国台湾的PKI体系 92

第五节 国外的PKI体系建设 93

【背景知识】国际上有影响力的PKI产品与服务提供商 93

一、韩国的PKI体系 94

二、加拿大的PKI体系 95

三、欧盟的PKI体系 96

四、美国的PKI体系 96

五、日本的PKI体系 98

【本章小结】 99

【关键概念】 99

【思考与练习】 99

【案例分析】中国金融认证中心CFCA 99

第五章 电子商务安全协议及支付安全 103

【学习目标】 103

第一节 SSL协议 103

一、SSL协议概述 103

二、SSL记录协议 106

三、SSL握手协议 107

四、SSL协议的缺陷 110

【应用案例】浏览器对SSL协议的支持 111

第二节 SET协议 111

一、SET协议概述 111

二、双重签名 112

三、SET交易流程 113

四、SET协议的优势和劣势 117

第三节 网上支付安全 117

一、电子支付概述 117

二、银行卡安全支付模式 119

【应用案例】我国网上银行安全技术介绍 123

三、第三方支付模式 124

【应用案例】使用PayPal进行第三方支付的过程 126

四、电子现金支付模式 126

五、电子支票支付模式 127

【本章小结】 128

【关键概念】 128

【思考与练习】 129

【实际应用】防范假网站 银行为你支招 129

第六章 移动商务安全 132

【学习目标】 132

第一节 移动商务安全概述 132

一、移动商务的概念及发展 132

二、移动商务面临的安全威胁 133

三、移动商务的安全需求 135

四、移动商务隐私问题 136

五、移动商务安全现状 136

第二节 WAP的安全 137

一、WAP概述 137

二、WAP的体系结构 139

三、WAP移动商务安全架构体系 140

四、WAP移动商务实体安全策略 143

五、WAP2.0的安全性 144

第三节 基于WPKI的移动商务安全 145

一、WPKI概述 145

二、WPKI体系结构和工作流程 147

三、WPKI的证书格式 148

四、引入VA的WPKI移动商务安全框架 149

第四节 移动支付安全 150

一、移动支付概述 150

二、移动支付标准 152

【背景知识】Mobey论坛与GMCIG简介 152

【本章小结】 154

【关键概念】 155

【思考与练习】 155

【实际应用】手机病毒 155

第七章 电子商务身份认证 158

【学习目标】 158

第一节 身份认证机制 158

一、身份认证概述 158

二、非密码的认证机制 158

三、基于密码算法的认证机制 159

第二节 身份认证协议 160

【背景知识】零知识证明 161

一、Kerberos认证系统 162

【应用案例】Kerberos协议的应用 167

二、X.509身份认证协议 168

第三节 生物识别认证技术 170

一、生物识别认证技术概述 170

二、常用的生物识别技术 171

三、生物识别系统的安全 172

【应用案例】生物识别技术的应用 173

【本章小结】 174

【关键概念】 174

【思考与练习】 174

【案例分析】某省电力公司身份认证系统应用案例 174

第八章 电子商务访问控制 179

【学习目标】 179

第一节 访问控制概述 179

一、安全电子商务系统结构 179

二、访问控制定义和主要过程 181

三、访问控制策略 182

第二节 自主访问控制和强制访问控制 182

一、自主访问控制 182

二、强制访问控制策略 183

第三节 基于角色的访问控制 185

一、RBAC的工作原理 185

二、RBAC模型 185

三、RBAC的优点 188

四、RBAC的应用 189

第四节 属性证书 192

一、属性证书概述 192

二、属性可以表达的含义 192

三、属性证书的发展现状 193

第五节 授权管理基础设施PMI 194

一、PMI概述 194

二、PMI体系结构 194

三、PMI基本模型 196

四、RBAC在PKI/PMI中的实现模型 197

五、PMI的应用 199

【本章小结】 200

【关键概念】 200

【思考与练习】 200

【实际应用】个人计算机中常用的访问控制措施介绍 200

第九章 防火墙与虚拟专用网 203

【学习目标】 203

第一节 防火墙概述 203

一、防火墙及其属性 203

二、防火墙的特性 203

三、防火墙的历史及发展趋势 204

四、防火墙的分类 205

五、防火墙的功能 206

六、防火墙的局限性 207

第二节 防火墙的工作原理及体系结构 207

一、包过滤防火墙 207

二、代理服务器防火墙 209

三、防火墙的体系结构 212

第三节 虚拟专用网VPN 217

一、VPN的基本要求 217

二、VPN的应用 218

三、基于OSI模型分层的VPN类型 220

第四节 VPN隧道技术 220

一、隧道概念 221

二、隧道类型 221

三、隧道协议 222

【本章小结】 227

【关键概念】 228

【思考与练习】 228

【实际应用】世界优秀防火墙软件介绍 228

第十章 网络攻击 232

【学习目标】 232

第一节 网络攻击概述 232

【背景知识】20世纪80年代后的主要黑客事件 232

一、网络攻击的分类 234

二、网络攻击的步骤 234

三、网络攻击的特点 235

四、常见的网络攻击方式 236

第二节 网络信息采集 236

一、常用的信息采集命令 237

二、漏洞扫描 238

三、端口扫描 239

【背景知识】端口介绍 239

四、网络监听 241

第三节 口令攻击 242

一、常见的口令攻击方法 242

二、常用口令管理策略 243

第四节 拒绝服务攻击 244

一、拒绝服务攻击概述 244

二、常见的拒绝服务攻击类型 245

三、对拒绝服务攻击的防范 248

第五节 欺骗攻击 249

【背景知识】TCP序列号猜测 249

一、IP欺骗 250

二、Web欺骗 251

三、DNS欺骗 251

四、电子邮件欺骗 252

【本章小结】 252

【关键概念】 252

【思考与练习】 253

【案例分析】2009年我国网络安全状况综述及典型安全事件介绍 253

第十一章 计算机病毒、木马和蠕虫 258

【学习目标】 258

第一节 计算机病毒的概念 258

【背景知识】计算机病毒的历史 258

一、计算机病毒的定义 260

二、计算机病毒的特征 260

三、计算机病毒的发展阶段 262

四、计算机病毒的分类 263

五、计算机病毒的构成 266

【发展方向】计算机病毒的发展趋势 267

第二节 计算机病毒的防治与检测 269

一、计算机病毒的破坏行为 269

二、计算机病毒的检测技术 270

三、计算机病毒的预防技术 272

四、计算机病毒的防治 273

第三节 特洛伊木马 276

一、木马概述 276

二、木马的特性 276

三、木马的种类 279

四、木马的监测与防范 280

第四节 网络蠕虫 283

一、蠕虫的概念与危害 283

【背景知识】网络蠕虫造成的损失 283

二、蠕虫的工作原理和行为特征 285

三、蠕虫的检测与防治 287

【本章小结】 288

【关键概念】 289

【思考与练习】 289

【实际应用】国内外著名杀毒软件介绍 289

第十二章 入侵检测及应急响应 293

【学习目标】 293

第一节 入侵检测及入侵检测系统概述 293

一、入侵的界定 293

二、入侵检测的概念 294

三、入侵检测的功能 294

四、入侵检测系统 295

【背景知识】入侵监测系统的发展历史 295

五、入侵检测系统通用模型 296

第二节 入侵检测过程 297

一、信息收集 297

二、信号分析 298

第三节 入侵检测系统的类型 299

一、入侵检测系统的分类 299

二、基于主机的入侵检测系统 300

三、基于网络的入侵检测系统 302

四、分布式入侵检测系统 303

第四节 应急响应 306

一、应急响应的阶段 307

二、我国的应急体系 308

【相关机构】CNCERT/CC简介 309

三、国际应急组织的发展 310

【补充知识】电子商务风险管理及风险控制 310

【本章小结】 312

【关键概念】 312

【思考与练习】 312

【案例分析】面向大规模网络的分布式入侵检测系统介绍 313

第十三章 电子商务系统的容错 316

【学习目标】 316

第一节 容错和冗余 316

一、容错 316

二、冗余技术 317

第二节 磁盘冗余阵列 320

一、RAID磁盘阵列及其特征 320

二、RAID磁盘阵列类型 320

第三节 容错软件 324

一、容错软件设计的结构方案 324

二、实现容错软件的有关技术 328

三、软件容错的执行过程 328

四、容错软件的设计准则 329

第四节 系统级容错 329

一、双机容错 330

二、计算机集群系统 332

第五节 电子商务系统的容错 332

一、基本支持子系统 333

二、数据管理子系统 335

三、安全认证子系统 337

四、购物子系统 339

五、支付子系统 340

六、物流管理子系统 342

【本章小结】 344

【关键概念】 344

【思考与练习】 344

【案例分析】雕琢之美——国都证券网上交易容错系统实施案例 345

第十四章 电子商务系统审核与取证 348

【学习目标】 348

第一节 安全审核概述 348

一、安全审核内容 348

二、安全审核类型 348

第二节 安全审核日志 350

一、审核日志概述 350

二、审核日志的管理 351

三、Syslog系统日志 352

第三节 电子商务系统安全取证 352

一、取证技术概述 353

二、取证工具 353

三、反取证技术 354

【本章小结】 354

【关键概念】 355

【思考与练习】 355

【实际应用】 Windows 2000系统审核 355

主要参考文献 361

附录A国际和国外重要电子商务法律一览 365

附录B中英文及缩略词对照表 367