第九章 安全电子交易协议

1、SQL Server和MySQL。
相对来说，SQL Server由于可以使用存储过程，并且数据库无法被下载，如果设置得当的话，安全性比其他两种数据库稍高些。
(3)第三个因素是看网站被部署在何种操作系统平台上 UNIXWindows,网站面临的安全威胁,对于电子商务网站来说，其面临的安全威胁主要有：操作系统漏洞、SQL注入攻击、绕过授权等。
其中操作系统漏洞主要有： 允许拒绝服务的漏洞； 允许本地用户未经授权提高其权限的漏洞； 允许远程用户未经授权提高其权限的漏洞,黑客攻击网站的一般过程,（1）扫描系统漏洞，主要是扫描有没有操作系统漏洞或SQL注入漏洞，扫描漏洞可以用专业的黑客工具扫描，也可以手工扫描 （2）破解后台登录口令。
（3）利用后台的文件上传功能上传木马软件。
为了防范黑客上传并运行木马程序，一种基本的方法是在IIS中把可以上传文件的目录的“执行”权限去掉，使得其不能通过输入木马URL地址的方式来执行木马,设置上传文件目录的执行权限为“无”,提示,“执行许可”的设置选项中有三种选项，默认值是“纯脚本”，它表示可以执行该目录中的服务器端脚本（如ASP），如果选择“脚。

2、现金、票据和信用卡三种 在交易时采用“一手交钱，一手交货”的方式称为货币即时结算，这是商品经济社会较低级阶段的主要结算方式，采用的支付媒体是现金 票据在我国分为汇票、本票和支票三种 信用卡是银行或金融公司发行的，授权持卡人在指定的场所进行记账消费的信用凭证。
,9.1电子支付系统,传统支付手段对于支持电子商务的局限性 缺乏方便性 安全性低 缺乏覆盖面 适应性不强 缺乏对微支付的支持,9.1电子支付系统,9.1.2电子支付系统方式 在internet进行电子商务的支付过程可以分为预支付、实时支付和后支付三种方式。
预支付是先付款、后消费，如同现在的手机话费卡、银行储蓄卡等，是商家最喜欢的支付方式。
后支付是先购买、再付款，信用卡就是一种后支付方式，这样存在商家被欺诈的风险。
实时支付在交易的同时，款项也通过银行由买方转到了卖方。
,9.1电子支付系统,电子支付系统分类: 根据在线传输数据的种类（加密、分发类型）可以分为三类； 1.使用“信任的第三方”(trusted third party) 2.传统银行转账结算的扩充 3.数字现金(Digital Cash)、电子货币(Electronic。

3、进行编码，使它成为一种不可理解的形式。
这种不可理解的形式叫做密文。
解密 解密是加密的逆过程，即将密文还原成原来可理解的形式。
算法 是加密或解密的一步步的过程和规则。
密钥 加密或解密过程中需要的一串数字。
,加密和解密、算法和密钥,举例 将字母a、b、c、d、e、f、gw、x、y、z的自然顺序保持不变，但使之与e、f、gz、a、b、c分别对应即相差4个字母。
这条规则就是加密算法，其中4为密钥。
若原信息为How are you,按照这个加密算法和密钥，加密后的密文就是lsaevicsy。
不知道算法和密钥的人，是不能将这条密文还原成How are you的。
在实际加密过程中，一般来说，加密算法是不变的，存在的加密算法也屈指可数，但是密钥是变化的。
因此，加密技术的关键是密钥。
,典型加密算法简介,DES（Data Encryption Standard) 是一种对而元数据进行加密的算法，数据分组长度为64bit，密文分组长度也为64bit，没有数据扩展。
密钥长度为64bit，其中8bit 为奇偶校验。
DES的整个体制是公开的，系统安全性全靠密钥保密。
美国1977年批准其为联邦数据加。

4、念,一、电子商务安全的概念 二、电子商务安全的主要问题 三、电子商务安全问题产生的原因 四、电子商务对安全的基本需求 五、电子商务的安全管理策略,一、电子商务安全的概念,电子商务系统硬件安全 电子商务系统软件安全 电子商务系统运行安全 电子商务安全立法,二、电子商务安全的主要问题,网络协议安全性问题 用户信息安全性问题 电子商务网站的安全性问题,三、电子商务安全问题产生的原因,管理问题 技术问题 环境问题,四、电子商务对安全的基本需求,信息的保密性/机密性 信息的完整性 信息的有效性 信息的不可否认性 信息的可认证性/交易者身份的真实性 系统的可靠性 审查能力,五、电子商务的安全管理策略,物理安全策略 自然灾害安全防范策略 人为风险防范策略 硬件防护策略 网络安全策略 技术策略 管理策略 灾难恢复策略 灾难备份 数据恢复,第二节 威胁和攻击的种类,一、入侵性病毒 二、扩展类威胁 三、网络侵害 四、黑客网络攻击的发展趋势,一、入侵性病毒,系统病毒 蠕虫病毒 木马病毒、黑客病毒 脚本病毒 宏病毒 破坏性程序病毒 玩笑病毒 捆绑机病毒,二、扩展类威胁,间谍软件(Spyware) 广告软件(A。

5、 交易安全,账户安全账户被盗类型,案例一：一些会员们用的登录账户的密码都是纯数字或者纯字母，一般还都是6位密码。
这样很容易被盗用者猜配，导致账号丢失。
,会员设置的密码过于简单，被盗用者猜配,网上零售 交易安全,账户安全账户被盗类型,案例二：会员出差在外,不小心把自己的钱包丢了。
因为里面有很多银行帐号密码的记录。
等到回家后，发现都登陆不上了，后悔莫及。
,会员密码保管不当,网上零售 交易安全,账户安全账户被盗类型,密码设置小诀窍：数字+英文/拼音+其他1、名字加数字：比如大毛2006年入职，damao20062、生日加名字：比如大毛19820303出生，19820303dm3、使用一些标点符号和英文：比如，我最喜欢说welldone，密码我就设置为welldone！,网上零售 交易安全,账户安全账户被盗类型,案例三：会员在旺旺上接到别人发过来的一个文件，说是一个大订单，接受后便发现1分钟后，电脑黑屏，重启后已登录不上淘宝。
,会员的计算机中了木马病毒,网上零售 交易安全,账户安全账户被盗类型,案例四：会员客服报告账户无法登录，怀疑被盗，。

6、期采用的安全措施 部分告知（partial order）。
在网上交易中将最关键的数据，如信用卡帐号及交易金额等略去，然后再用电话告知，以防泄密。
另行确认 (order confirmation)。
在网上传输交易信息之后，再用电子邮件对交易进行确认，才认为有效。
在线服务 (online service)。
为了保证信息传输的安全，用企业提供的内部网来提供联机服务。
,实现真正安全的网上购物，必须进入应用SSL或SET的网站。
SSL是对会话的保护。
SSL所提供的安全业务有实体认证、完整性、保密性，还可通过数字签名提供不可否认性。
SET是一种以信用卡为基础的，在因特网上交易的付款协议，利用公钥体系对通信双方进行认证，用加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性。
,9.1 SSL协议,SSL所提供的安全业务类似于S-HTTP：有实体认证，完整性，保密性，还可通过数字签名提供不可否认性。
一、 SSL协议的概念SSL协议(Secure Socket Layer，安全套接层)是由网景（Netscape）公司推出的一种安全通信协议，在1995年发表。
它能够对信用卡和个人信息提供。