电子商务安全技术 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128） 电子商务安全技术 简介：这是大学上课时学习的电子商务安全技术，是全书的概要，总结。大学期末考试，可以拿它做为参考。

第一篇 电子商务安全概述 电子商务是由计算机、通信网络及程序化、标准化的商务流程和一系列安全、认证法律体系所组成的一个集合。

电子商务系统是由Internet、用户、配送中心、认证中心、银行和商家等组成

TCP/IP协议， 第1章 电子商务安全基础 乙发送一条信息甲，信息内容是：请给乙向银行中打入10000元。落款：乙.

甲收到：信息为：请给丙向银行中打入10000元，乙。 其实在传递信息的过程中已被丙修改了信息。 1．1电子商务安全概念 电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、窜改或破坏。电子商务安全覆盖了电子商务的各个环节。涉及到三方面：客户端-通信传输-服务器端。

电子商务安全的六项中心内容： 1.商务数据的机密性或保密性 通过加密来实现的。 2．电子商务数据的完整性或正确性 一定要保证数据没有被更改过。 3．商务对象的认证性 第三方认证。 CA认证中心。 4．商务服务的不可否认性 5．商务服务的不可拒绝性或可用性。 6．访问的控制性 1.2电子商务安全问题 技术上的安全性，安全技术的实用可行性。 要考虑以下三方面的问题： 1)安全性与方便性 2)安全性与性能 3)安全性与成本 一、问题的提出 二、电子商务的安全隐患 1.数据被非法截获，读取或修改 数据加密 2.冒名顶替和否认行为 数字签名、加密、认证 3．一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4．计算机病毒 杀毒软件 1．3电子商务安全需求 一、电子交易的安全需求 1.身份的可认证性 保证交易双方身份是真实的，可靠的，不被冒名顶替。 2．信息的保密性 加密，即使泄露，别人也看不懂。 原文-密文 3.信息的完整性 正确性，一定要保存传递的信息，到达接收方没有被更改。 4．可靠性/不可抵赖性 5．审查能力/不可假造。 6．内部网的严密生 二、计算机网络系统的安全 1.物理实体的安全 1)设备的功能失常 2)电源故障 3)由于电磁泄漏引起的信息失密 4）搭线窃听 2.自然灾害的威胁 3.黑客的恶意攻击 所谓黑客，一般泛指计算机信息的非法入侵者 黑客的攻击手段有两种：一种主动攻击，一种是被动攻击。 4．软件的漏洞和后门 5．网络协议的安全漏洞 各种协议都有一定的缺陷，黑客专门查找这些漏洞。 复习： 1.电子商务安全概念? 2．电子商务安全的六项中心内容。 3．电子商务安全问题的提出 4．电子商务的安全隐患 5.电子商务安全需求 电子交易过程中的安全需求 计算机网络系统的安全需求 6．计算机病毒的攻击 1)什么 是计算机病毒? 指编制或者在计算机程序 插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。CIH病毒

2)计算机病毒的分类 引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马、internet语言病毒(脚本病毒)

…… 3)反病毒软件 瑞星，趋势软件、金山、诺顿、360免费病毒软件 4)目前病毒的安全状态 。病毒的数量急聚增加。 。一些商业公司流氓软件很严重 。木马 。病毒的传播途径比较广。 。软件的漏洞成为病毒的突破口 5）病毒的破坏目标和攻击部位 。攻击系统数据区 。攻击文件 。攻击内存 。干扰系统运行 。使计算机速度下降 。攻击磁盘 。扰乱屏幕显示 。干扰键盘 。攻击CMOS 。干扰打印机 1.4 电子商务安全技术 目前电子商务安全有许多的解决方案，安全技术主要有加密技术、授权认证技术、CA安全认证技术、安全电子交易协议、虚拟专用网技术、反病毒技术、黑客防范技术。

从电子交易的过程来看，主要考虑三方面的安全技术： 客户端的安全技术、网络通信的安全技术、服务器端的安全技术 一、客户端安全技术 主要包括操作系统的安全描述和应用系统安全技术 1.操作系统的安全描述 如windows xp,windows 2000,windows vista,windows win7,国际上将操作系统的安全进行了分类级别，D级、C1级、C2级、B1级、B2级、A级。

2.应用系统的安全技术 安全都是相对的。 域控制器，所以的客户端登录必须经过域控制器验证。 二、网络信息安全技术 主要包括网络安全技术和信息安全技术 1.网络安全技术 分为四个相互交织的部分，保密、鉴别、反拒和完整性控制。 网络安全技术的主要作用： 2．信息安全技术 由于互联网的开放性、连通性和自由性，用户在共享资源的同时，也存在着被侵犯或恶意破坏的危险。信息安全技术的目标就是保护有可 能被侵犯的机密信息不被外界非法操作、控制。保存进行身份验证，数据加密等。

三、服务器端的安全技术 服务器端的安全技术主要包括网络操作系统安全、电子商务网站的安全设置、数据库服务器安全技术和应用程序安全技术四部分。

1.网络操作系统的安全 微软公司的网络操作系统有：windows NT4.0，windows 2000 server,windows 2003 server,windows 2008 server

Linux操作系统，Unix操作系统，NetWare（NOVELL）操作系统。 IDE接口，STAT接口，scsi接口（服务器） 2.电子商务网站的安全技术 主要包括web服务器的安全设置，强化服务器的软件和信息传输的安全问题。

IIS，internet信息服务 管理器， 3.数据库服务器安全技术 数据库管理系统有多种，目前常用的都是关系型的数据库管理系统，access数据库，sql server 2005，oracle数据库。

4.应用系统安全技术 主要包括j2ee安全技术和DOT.NET安全技术。 国内用的比较多的是.NET，国外用的比较多的是java技术。 跨平台。 .net的开发体系主要包括几层： 表示层：业务层，业务数据访问层 三层架构。 Ado.net Ajax技术。这是一种目前比较流行的java技术。 LINQ支持。 四、电子商务支付安全技术 包括电子商务支付系统和电子支付安全技术两部分。 1.电子商务支付系统 电子支付网关， 电子支付：是指电子商务交易的当事人，包括消费者、商家和金融机构,使用安全电子支付手段通过网络进行的货币或资金的流转。

传统支付和电子支付的区别： 五、电子商务安全协议 目前有两种安全在线支付协议：安全套接层协议SSL，安全电子交易协议SET。

SSL协议：是由网景公司推的一种安全通信协议。它能够对信用卡和个人信息提供保护。

SET协议是由visa和mastercard以及其他一些业界主流厂商联合推出的一种规范。用来保证银行卡支付交易的安全性。

1.5电子商务安全法律 上机： 1.查找五个电子商务网站，了解国内和国际的电子商务安全技术发展状态，并了解电子商务安全方法有哪些？效果如何？

2.计算机病毒软件有哪些？分别具有什么功能。 第2章 电子商务网站常见的攻击 本章重点： 1.端口扫描 2.特洛伊木马 3.缓冲区溢出攻击 4.拒绝服务攻击 5.网络监听 2.1端口扫描 计算机中存放着65535个端口，常用端口为1024以下，端口就是一个通信通道，通过端口扫描，可以得到许多目标计算机中有用的信息。对于端口的扫描可以通过软件实现，也可以通过手工实现。

一、扫描器的定义 扫描器就是一种自动检测远程或本地主机安全弱点的程序，通过扫描器可不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它的软件版本等，从而直接了解远程计算机的安全性。

扫描器不攻击远程计算机，只是得到有用的信息。 二、扫描器的工作原理 选用远程TCP/IP不同端口的服务，来记录目标给予的回答。可以搜集到许多关于目标计算机的各种有用的信息。

三、扫描器的功能 1.发现主机或网络的功能 2.发现主机上运行服务的功能 3.发现漏洞的功能 四、常用的端口扫描技术 1.TCP connect扫描技术 优点有两个：不需要任何权限，系统中的任何用户都有权利使用这个调用。速度快，通过同时打开多个套接字，加速扫描。

缺点：很容易被发现，并且被过滤掉。 TCP:传输控制协议。 2.T CP SYN扫描 半开放扫描，优点在于一般不会在目标计算机上留下记录，缺点必须具有root权限才能建立自己的SYN数据包。

3.TCP FIN扫描 TCP FIN扫描能够避开防火墙的监视，FIN数据包，此种技术可以确定扫描端口的状态。该方法可以用来区分unix和windowsNT。

4,IP段扫描 IDENT协议，这种方法必须和目标端口建立一个完整的TCP连接后才能被使用。

5.TCP反向IDENT扫描 6.FTP返回攻击 该方法从一个代理的FTP服务器来扫描TCP端口，优点是难以被跟踪，容易穿过防火墙，缺点速度慢。

7.UDP ICMP端口不能到达扫描 使用的是UDP协议，缺点是速度较慢，需root权限。 8.UDP Recvfrom和write扫描 只适合于unix系统，套接字函数对UDP端口进行扫描。 9.ICMP echo扫描 不是真正意义的扫描，但有时通过ping，在判断一个网络上的主机是否开机。