第2章  电子商务系统的安全需求.ppt

* * 第2章 电子商务系统的安全需求 2.1 安全问题的产生 2.2 交易环境的安全性 2.3 交易对象和交易过程的安全性 2.4 网上支付的安全需求 2.1 安全问题的产生 传统商务是在现实物理世界中真实地进行的商务活动，其过程可以简单地分为查询、订货和交易三个环节。 电子商务也分为查询、订货、交易等环节，但电子商务不需要客户和商家之间直接见面，并且可以通过Internet这一媒介来进行。以普通消费者的一次网上购物为例，基本过程： (1) 客户在Internet上查询自己想购买的商品 (2) 客户输入订单 (3) 商家向客户提供所购商品信息 (4) 客户在确认上述信息后，用电子钱包或其他方式付款 (5) 信用卡号码经加密后发送到相应银行 如果信用卡信息经银行检验后遭到拒绝或不予授权，说明客户的信用卡不足以支付本次消费金额或已过期。 这时客户还可以从电子钱包中选出其他信用卡，重复上述过程。 (6) 如果经银行证明客户信用卡有效授权，商家就可以准备付货。同时，商家留下整个交易过程中发生的财务数据，并且出示一份电子收据给消费者。 (7) 销售商店就按照订单通过邮政系统或配送中心送货。 恶者对电子商务系统的主要威胁有： 系统穿透 (2) 违反授权原则 (3) 植入 (4) 通信监视 (5) 通信干扰 (6) 中断 (7) 拒绝服务 (8) 否认 2.2 交易环境的安全性 2.2.1 WWW简介 WWW的含义 WWW是“World Wide Web”的缩写，翻译成环球信息网、全球资源网或万维网等。 HTML的产生和WWW的发展 WWW中的客户机和服务器 客户机是一个需要某些东西的程序，而服务器则是提供某些东西的程序。 图2-1 客户机和服务器关系示意图 客户机的任务是： (1) 制作一个请求（通常在单击某个链接点时启动）。 (2) 将请求发送给某个服务器。 (3) 通过对直接图像适当解码，呈交HTML文档和传递各种文件给相应的观察器（Viewer），把请求所得的结果报告给你。 一个WWW服务器的任务是： (1) 接受请求。 (2) 检查请求的合法性，包括安全性屏蔽。 (3) 针对请求获取并制作数据。 (4) 把信息发送给提出请求的客户机。 浏览器 WWW测览器（Browser）是一种WWW客户程序，其最基本的目的在于让用户在自己的电脑（客户机）上检索、查询、获取WWW上的各种资源。 基本功能： 检索查询功能 文件服务功能 (3) 热表管理 (4) 建立自己的主页（Home Page） (5) 提供其他Internet服务 2.2.2 客户机的安全性 1．活动内容 活动内容是指在页面上嵌入的对用户透明的程序，它可完成一些动作。 活动内容有多种形式，最知名的活动内容形式包括Java小应用程序、ActiveX控件、JavaScript和VBScript。 活动内容模块是嵌在WWW页面里的，它对浏览页面的用户完全透明，企图破坏客户机的人可将破坏性的活动页面放进表面看起来完全无害的WWW页面中。 这种技术称作特洛伊木马，它可立即运行并进行破坏活动。 在WWW页面里加入活动内容为电子商务带来了多种安全危胁。 2．Java、Java小应用程序和JavaScript Java是Sun微系统公司开发的一种高级程序设计语言。 Java是一种真正的面向对象的语言. JavaScript是网景公司（Netscape）开发的一种脚本语言，它支持页面设计者创建活动内容。 3．ActiveX控件 ActiveX是一个对象（称作控件），它含有由页面设计者放在页面来执行特定任务的程序. 4．图形文件、插件和电子函件的附件 图形文件、浏览器插件和电子函件附件均有可存储可执行的内容。 这就意味着带这种图形的任何页面都是潜在的安全威胁，因为嵌在图形中的代码可能会破坏计算机. 2.2.3 通信信道的安全性 1．对必威体育官网网址性的安全威胁 2．对完整性的安全威胁 3．对即需性的安全威胁 2.2.4 服务器的安全性 WWW服务器的安全性 大多数计算机（包括UNIX计算机）上所运行的WWW服务器可在不同权限下运行。 WWW服务器上最敏感的文件之一就是存放用户名和口令的文件，如果此文件没有得到保护，任何人就都能以他人身份进入敏感区域。 公用网关接口的安全性 公用网关接口，它可实现从WWW服务器到另一个程序的信息传输。 其他程序的安全性 另一个对WWW服务器的