電子商務(wù)安全

電子商務(wù)安全隱患篇
第1章 電子商務(wù)安全隱患概述
1.1 信息安全的歷史故事
1.2 電子商務(wù)信息的價(jià)值
1.3 電子商務(wù)時(shí)代安全隱患叢生
1.3.1 處處有安全漏洞，時(shí)時(shí)有安全隱患
1.3.2 電子商務(wù)中的犯罪特點(diǎn)
1.3.3 電子商務(wù)發(fā)展的關(guān)鍵是安全性
1.3.4 安全威脅的林林總總
1.4 電子商務(wù)安全的中心內(nèi)容
1.4.1 商務(wù)數(shù)據(jù)的機(jī)密性
1.4.2 商務(wù)數(shù)據(jù)的完整性
1.4.3 商務(wù)對(duì)象的認(rèn)證性
1.4.4 商務(wù)服務(wù)的不可否認(rèn)性
1.4.5 商務(wù)服務(wù)的不可拒絕性
1.4.6 訪問(wèn)的控制性
1.4.7 其他內(nèi)容
1.5 黑客與攻擊三步曲
1.5.1 黑客與攻擊者
1.5.2 非法使用者與過(guò)失者
1.5.3 攻擊者的三步曲
習(xí)題一
第2章 物理設(shè)備的不安全性
2.1 單機(jī)硬件故障
2.2 網(wǎng)絡(luò)設(shè)備故障
2.3 軟件問(wèn)題
2.4 天災(zāi)
2.5 人為事故
習(xí)題二
第3章 Internet的不安全性
3.1 Internet的安全漏洞
3.1.1 Internet各個(gè)環(huán)節(jié)的安全漏洞
3.1.2 外界攻擊Internet安全的類(lèi)型
3.1.3 局域網(wǎng)服務(wù)和相互信任的主機(jī)的安全漏洞
3.1.4 設(shè)備或軟件的復(fù)雜性帶來(lái)的安全隱患
3.2 TCP/IP協(xié)議及其不安全性
3.2.1 TCP/IP協(xié)議簡(jiǎn)介
3.2.2 IP協(xié)議的安全隱患是極嚴(yán)重的
3.2.3 TCP協(xié)議劫持入侵
3.2.4 嗅探入侵
3.3 HTTP和Web的不安全性
3.3.1 HTTP協(xié)議的特點(diǎn)
3.3.2 HTTP協(xié)議中的不安全性
3.3.3 Web站點(diǎn)的安全隱患
3.4 E-mail,Telnet,網(wǎng)頁(yè)的不安全性
3.4.1 E-mail的不安全性
3.4.2 入侵Telnet會(huì)話(huà)
3.4.3 網(wǎng)頁(yè)做假
3.4.4 電子郵件炸彈和電子郵件列表鏈接
3.5 網(wǎng)上安全攻擊實(shí)例
3.5.1 病毒
3.5.2 主動(dòng)搭線(xiàn)竊聽(tīng)
3.5.3 對(duì)不可拒絕性的安全威脅
3.5.4 薄弱的認(rèn)證環(huán)節(jié)
3.5.5 系統(tǒng)的易被監(jiān)視性
3.6 人為過(guò)失
3.6.1 工作壓力引起精力不集中
3.6.2 由于通信不暢
3.6.3 系統(tǒng)管理員的失誤
習(xí)題三
第4章 客戶(hù)機(jī)／服務(wù)器的不安全性
4.1 對(duì)Web服務(wù)器的安全威脅
4.1.1 高權(quán)限的安全威脅
4.1.2 服務(wù)器目錄的默認(rèn)設(shè)置
4.1.3 CGI中的不安全性
4.1.4 ASP中的不安全性
4.1.5 對(duì)Web服務(wù)器其他程序的安全威脅
4.1.6 服務(wù)器端嵌入
4.1.7 來(lái)自FTP的安全威脅
4.1.8 口令不當(dāng)
4.1.9 郵件炸彈
4.2 UNIX系統(tǒng)服務(wù)器的不安全性
4.2.1 攻破口令
4.2.2 Web服務(wù)器軟件的不安全性
4.3 客戶(hù)機(jī)的不安全性
4.3.1 對(duì)客戶(hù)機(jī)安全構(gòu)成威脅的來(lái)源
4.3.2 瀏覽器的安全
4.3.3 偽裝成合法網(wǎng)站的服務(wù)器
4.3.4 在Web活動(dòng)頁(yè)面里的特洛伊木馬
4.3.5 Java、Java小應(yīng)用程序與JavaScript
4.3.6 ActiveX控件
4.3.7 圖形文件、插件和電子郵件的附件
4.3.8 Cookie的安全威脅
4.4 無(wú)法估計(jì)主機(jī)的安全性
習(xí)題四
第5章 電子商務(wù)中的不安全性
5.1 電子商務(wù)數(shù)據(jù)庫(kù)的不安全
5.1.1 篡改數(shù)據(jù)庫(kù)數(shù)據(jù)
5.1.2 竊取數(shù)據(jù)庫(kù)數(shù)據(jù)
5.2 從事電子商務(wù)人員的管理
5.3 密切注意未來(lái)的安全威脅
5.3.1 電子支付手段
5.3.2 EDI要利用Internet
5.3.3 B to B的發(fā)展
5.3.4 電子商務(wù)法律漏洞
習(xí)題五
電子商務(wù)安全基礎(chǔ)篇
第6章 電子商務(wù)安全基礎(chǔ)概述
6.1 電子商務(wù)的安全要求
6.1.1 電子商務(wù)安全基礎(chǔ)要求
6.1.2 電子商務(wù)安全要求的特殊性
6.2 電子商務(wù)安全與其他領(lǐng)域的交融
6.3 安全風(fēng)險(xiǎn)與安全保護(hù)
6.3.1 認(rèn)識(shí)安全風(fēng)險(xiǎn)
6.3.2 安全風(fēng)險(xiǎn)的特點(diǎn)
6.3.3 風(fēng)險(xiǎn)管理
習(xí)題六
第7章 電子商務(wù)流程的安全事務(wù)
7.1 建立認(rèn)證中心CA和其他各種第三方公證機(jī)構(gòu)
7.1.1 建立認(rèn)證中心CA等的必要性
7.1.2 建立認(rèn)證中心CA等概述
7.2 電子支付系統(tǒng)
7.2.1 支付系統(tǒng)的特點(diǎn)
7.2.2 卡的安全體系和卡的安全
7.2.3 電子信用卡系統(tǒng)
7.3 安全電子商務(wù)的主要流程
7.3.1 安全電子商務(wù)系統(tǒng)的組成
7.3.2 電子商務(wù)各參與單位的作用
習(xí)題七
第8章 加密與密鑰體系
8.1 加密概念與基本方法
8.1.1 替代密碼法
8.1.2 轉(zhuǎn)換密碼法
8.1.3 網(wǎng)絡(luò)上數(shù)據(jù)的加密方式
8.1.4 文件加密
8.1.5 密鑰體系
8.2 單鑰密碼體制
8.2.1 流密碼體制
8.2.2 分組密碼體制
8.2.3 DES加密標(biāo)準(zhǔn)
8.2.4 IDEA加密算法
8.2.5 RC-5加密算法
8.2.6 單鑰密碼體制的特點(diǎn)
8.3 雙鑰密碼體制
8.3.1 RSA密碼體制
8.3.2 ElGamal密碼體制
8.4 加密算法和標(biāo)準(zhǔn)
8.5 密鑰的管理
習(xí)題八
第9章 數(shù)據(jù)的完整性和安全
9.1 數(shù)據(jù)完整性和安全概述
9.1.1 數(shù)據(jù)完整性被破壞的嚴(yán)重后果
9.1.2 散列函數(shù)的概念
9.1.3 散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性
9.1.4 數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)
9.2 應(yīng)用散列函數(shù)保證完整性的方案
9.2.1 應(yīng)用散列函數(shù)的基本方式
9.2.2 MD-4和MD-5散列算法
9.2.3 安全散列算法（SHA）
9.2.4 其他散列算法
習(xí)題九
第10章 數(shù)字鑒別
10.1 數(shù)字簽名
10.1.1 數(shù)字簽名的基本概念
10.1.2 數(shù)字簽名的必要性
10.1.3 數(shù)字簽名的原理
10.1.4 數(shù)字簽名的要求
10.1.5 數(shù)字簽名的作用
10.1.6 單獨(dú)數(shù)字簽名的安全問(wèn)題
10.1.7 RSA簽名體制
10.1.8 ElGamal簽名體制
10.1.9 無(wú)可爭(zhēng)辯簽名
10.1.10 盲簽名
10.1.11 雙聯(lián)簽名
10.2 身份證書(shū)與數(shù)字認(rèn)證
10.2.1 身份認(rèn)證證書(shū)的概念
10.2.2 身份認(rèn)證證書(shū)的類(lèi)型
10.2.3 身份認(rèn)證證書(shū)的內(nèi)容
10.2.4 身份認(rèn)證證書(shū)的有效性
10.2.5 身份認(rèn)證證書(shū)的使用
10.2.6 數(shù)字證書(shū)的發(fā)行
10.2.7 身份證明
10.2.8 口令認(rèn)證系統(tǒng)
10.3 公鑰數(shù)字證書(shū)
10.3.1 公鑰證書(shū)的基本概念
10.3.2 公鑰/私鑰對(duì)的生成和要求
10.3.3 公鑰證書(shū)的申請(qǐng)、更新、分配
10.3.4 公鑰的格式
10.3.5 公鑰證書(shū)的吊銷(xiāo)
10.3.6 證書(shū)的使用期限
10.3.7 公鑰證書(shū)的授權(quán)信息
10.4 公鑰基礎(chǔ)設(shè)施、證書(shū)機(jī)構(gòu)和證書(shū)政策
10.4.1 公鑰基礎(chǔ)設(shè)施
10.4.2 認(rèn)證系統(tǒng)
10.4.3 中國(guó)電子商務(wù)認(rèn)證中心
10.5 數(shù)字時(shí)間戳及其業(yè)務(wù)
10.5.1 數(shù)字時(shí)間戳仲裁方案要點(diǎn)
10.5.2 數(shù)字時(shí)間戳鏈接協(xié)議
10.6 不可否認(rèn)業(yè)務(wù)
10.6.1 不可否認(rèn)業(yè)務(wù)的概念
10.6.2 不可否認(rèn)業(yè)務(wù)類(lèi)型和業(yè)務(wù)活動(dòng)
10.6.3 源的不可否認(rèn)性及實(shí)現(xiàn)方法
10.6.4 遞送的不可否認(rèn)性及實(shí)現(xiàn)方法
10.6.5 可信賴(lài)第三方
10.6.6 解決糾紛
10.7 數(shù)字簽名和證書(shū)應(yīng)用舉例
習(xí) 題 十
第11章 安全協(xié)議與標(biāo)準(zhǔn)
11.1 安全協(xié)議種類(lèi)
11.1.1 仲裁協(xié)議
11.1.2 裁決協(xié)議
11.1.3 自動(dòng)執(zhí)行協(xié)議
11.1.4 密鑰建立協(xié)議
11.1.5 認(rèn)證協(xié)議
11.1.6 消息認(rèn)證
11.1.7 實(shí)體認(rèn)證協(xié)議
11.1.8 認(rèn)證的密鑰建立協(xié)議
11.1.9 Internet業(yè)務(wù)提供者協(xié)議
11.1.10 IKP協(xié)議
11.2 IPSEC——IP安全協(xié)議
11.2.1 IPSec的概念
11.2.2 IPSec的應(yīng)用
11.2.3 IPSec的優(yōu)勢(shì)
11.2.4 路由應(yīng)用
11.3 安全超文本傳輸協(xié)議S-HTTP
11.3.1 S-HTTP是HTTP的安全擴(kuò)展
11.3.2 S-HTTP和SSL的異同
11.3.3 S-HTTP的應(yīng)用
11.4 有關(guān)安全技術(shù)的標(biāo)準(zhǔn)
11.4.1 密碼技術(shù)的國(guó)際標(biāo)準(zhǔn)
11.4.2 ANSI和ISO的銀行信息系統(tǒng)安全標(biāo)準(zhǔn)
11.4.3 ISO安全結(jié)構(gòu)和安全框架標(biāo)準(zhǔn)
11.4.4 美國(guó)政府標(biāo)準(zhǔn)（FIPS）
11.4.5 Internet標(biāo)準(zhǔn)和RFC
11.4.6 PKCS
11.4.7 其他標(biāo)準(zhǔn)
11.5 INTERNET消息安全性協(xié)議
11.5.1 消息安全性的基本概念
11.5.2 保密強(qiáng)化郵件PEM
11.5.3 X.400國(guó)際電子消息協(xié)議
11.5.4 消息安全協(xié)議MSP
11.5.5 各種消息安全協(xié)議比較
11.6 EDI的安全協(xié)議
11.7 安全等級(jí)
習(xí) 題 十一
電子商務(wù)安全解決篇
第12章 物理設(shè)備的安全措施
12.1 做好損壞的應(yīng)對(duì)策略
12.2 實(shí)體安全措施
12.2.1 建立物理安全的環(huán)境
12.2.2 維護(hù)良好的環(huán)境
12.2.3 建立定期檢測(cè)和日常檢查制度
12.2.4 容錯(cuò)技術(shù)和冗余系統(tǒng)
12.3 保護(hù)數(shù)據(jù)的完整性
12.3.1 網(wǎng)絡(luò)備份系統(tǒng)
12.3.2 數(shù)據(jù)文件的備份
12.3.3 歸檔
12.3.4 提高數(shù)據(jù)完整性的預(yù)防性措施
習(xí) 題 十 二
第13章 客戶(hù)機(jī)／服務(wù)器的安全措施
13.1 客戶(hù)機(jī)的保護(hù)措施
13.1.1 Web瀏覽器信息泄漏的防止
13.1.2 使用內(nèi)容協(xié)商禁止PostScript危險(xiǎn)操作
13.1.3 監(jiān)測(cè)活動(dòng)內(nèi)容
13.1.4 處理Cookie
13.1.5 使用防病毒軟件
13.1.6 網(wǎng)上的安全購(gòu)物——識(shí)別SSL聯(lián)機(jī)
13.2 服務(wù)器的安全措施
13.2.1 UNIX系統(tǒng)正確配置主機(jī)的操作系統(tǒng)
13.2.2 Web服務(wù)器安全配置原則
13.2.3 認(rèn)證和訪問(wèn)控制機(jī)制
13.2.4 口令的使用和管理
13.2.5 注意ASP漏洞
13.2.6 商家使用SSL建立安全的商務(wù)網(wǎng)站
13.3 使用殺毒軟件
13.3.1 殺毒軟件使用綜述
13.3.2 KV系列殺毒軟件
13.3.3 瑞星殺毒軟件
13.3.4 金山毒霸殺毒軟件
13.3.5 殺毒服務(wù)網(wǎng)站
13.3.6 國(guó)外有名殺毒產(chǎn)品
習(xí) 題 十 三
第14章 INTERNET上的安全措施和使用安全協(xié)議
14.1 INTERNET上的安全措施概述
14.1.1 網(wǎng)絡(luò)安全
14.1.2 應(yīng)用安全
14.1.3 系統(tǒng)安全性
14.1.4 對(duì)付一些攻擊
14.2 使用防火墻
14.2.1 防火墻的基本概述
14.2.2 防火墻的配置
14.2.3 防火墻的類(lèi)型
14.2.4 防火墻的選擇
14.2.5 防火墻軟件
14.2.6 防火墻不能對(duì)付的安全威脅
14.2.7 包過(guò)濾技術(shù)的概念
14.2.8 代理服務(wù)技術(shù)的概念
14.3 對(duì)訪問(wèn)的認(rèn)證和控制
14.3.1 對(duì)訪問(wèn)的認(rèn)證
14.3.2 對(duì)訪問(wèn)的控制
14.3.3 入侵的審計(jì)、追蹤與檢測(cè)技術(shù)
14.4 KERBEROS身份驗(yàn)證應(yīng)用
14.4.1 用Kerberos通信過(guò)程說(shuō)明
14.4.2 用Kerberos實(shí)現(xiàn)認(rèn)證的NetCheque電子支票系統(tǒng)
14.4.3 防止網(wǎng)絡(luò)上的嗅探入侵
14.5 免費(fèi)加密軟件
14.5.1 使用RSA算法的SecurPC
14.5.2 信息摘要軟件
14.5.3 其他加密程序
14.6 認(rèn)證證書(shū)的發(fā)放
14.6.1 證書(shū)發(fā)放政策
14.6.2 認(rèn)證機(jī)構(gòu)之間的相互關(guān)系
14.6.3 證書(shū)中名字的約束
14.6.4 認(rèn)證通路的查找和確認(rèn)
14.6.5 證書(shū)管理協(xié)議
習(xí) 題 十 四
第15章 兩大安全電子郵件的實(shí)用技術(shù)
15.1 PGP完美的加密程序的使用
15.1.1 PGP的概念
15.1.2 PGP的原理
15.1.3 PGP的作用
15.1.4 PGP的安裝與設(shè)置
15.1.5 PGP軟件的使用
15.1.6 PGP使用的注意事項(xiàng)
15.2 S/MIME安全的電子郵件標(biāo)準(zhǔn)
15.2.1 Secure-MIME標(biāo)準(zhǔn)
15.2.2 S/MIME如何滿(mǎn)足電子郵件的安全要求
15.2.3 Secure-MIME特點(diǎn)
15.2.4 收發(fā)S/MIME的操作
15.3 PGP與S/MIME比較
習(xí) 題 十 五
第16章 電子商務(wù)的安全協(xié)議
16.1 SSL——提供網(wǎng)上購(gòu)物安全的協(xié)議
16.1.1 安全套接層SSL協(xié)議概念
16.1.2 SSL提供的安全內(nèi)容
16.1.3 SSL體系結(jié)構(gòu)
16.1.4 服務(wù)器和瀏覽器對(duì)SSL的支持
16.1.5 傳輸層安全TLS
16.2 SET——提供安全的電子商務(wù)數(shù)據(jù)交換
16.2.1 網(wǎng)上信用卡安全交易必須用SET
16.2.2 SET的認(rèn)證過(guò)程
16.2.3 SET協(xié)議的安全技術(shù)
16.2.4 SET交易中的電子錢(qián)包
16.2.5 商店服務(wù)器和支付網(wǎng)關(guān)
16.2.6 SET網(wǎng)上購(gòu)物實(shí)例
16.2.7 SET實(shí)際操作的全過(guò)程
16.3 SET與SSL對(duì)比及SET的缺陷
16.4 目前國(guó)內(nèi)應(yīng)用SSL和SET的情況
16.4.1 SSL已經(jīng)開(kāi)始普及
16.4.2 出現(xiàn)同時(shí)使用SSL和SET的網(wǎng)站
16.4.3 認(rèn)證中心的涌現(xiàn)及各自的特色
16.4.4 電子商務(wù)“專(zhuān)業(yè)銀行”的出現(xiàn)
16.5 SET公鑰基礎(chǔ)設(shè)施
習(xí) 題 十 六
第17章 安全的管理
17.1 安全策略制定的目的、內(nèi)容和原則
17.1.1 制定安全策略的目的
17.1.2 安全策略的內(nèi)容
17.1.3 制定安全策略的基本原則
17.2 安全策略
17.2.1 要定義保護(hù)的資源
17.2.2 要定義保護(hù)的風(fēng)險(xiǎn)
17.2.3 要吃透電子商務(wù)安全的法律法規(guī)
17.2.4 建立安全策略和確定一套安全機(jī)制
17.3 關(guān)于版權(quán)和知識(shí)產(chǎn)權(quán)的安全管理
17.4 網(wǎng)上安全求援
習(xí) 題 十 七
附 錄
附錄一 加密中的數(shù)學(xué)知識(shí)
附錄二 電子商務(wù)安全名詞術(shù)語(yǔ)
附錄三 電子商務(wù)安全英語(yǔ)詞匯和縮略詞