電子商務安全

電子商務安全隱患篇
第1章 電子商務安全隱患概述
1.1 信息安全的歷史故事
1.2 電子商務信息的價值
1.3 電子商務時代安全隱患叢生
1.3.1 處處有安全漏洞，時時有安全隱患
1.3.2 電子商務中的犯罪特點
1.3.3 電子商務發(fā)展的關鍵是安全性
1.3.4 安全威脅的林林總總
1.4 電子商務安全的中心內(nèi)容
1.4.1 商務數(shù)據(jù)的機密性
1.4.2 商務數(shù)據(jù)的完整性
1.4.3 商務對象的認證性
1.4.4 商務服務的不可否認性
1.4.5 商務服務的不可拒絕性
1.4.6 訪問的控制性
1.4.7 其他內(nèi)容
1.5 黑客與攻擊三步曲
1.5.1 黑客與攻擊者
1.5.2 非法使用者與過失者
1.5.3 攻擊者的三步曲
習題一
第2章 物理設備的不安全性
2.1 單機硬件故障
2.2 網(wǎng)絡設備故障
2.3 軟件問題
2.4 天災
2.5 人為事故
習題二
第3章 Internet的不安全性
3.1 Internet的安全漏洞
3.1.1 Internet各個環(huán)節(jié)的安全漏洞
3.1.2 外界攻擊Internet安全的類型
3.1.3 局域網(wǎng)服務和相互信任的主機的安全漏洞
3.1.4 設備或軟件的復雜性帶來的安全隱患
3.2 TCP/IP協(xié)議及其不安全性
3.2.1 TCP/IP協(xié)議簡介
3.2.2 IP協(xié)議的安全隱患是極嚴重的
3.2.3 TCP協(xié)議劫持入侵
3.2.4 嗅探入侵
3.3 HTTP和Web的不安全性
3.3.1 HTTP協(xié)議的特點
3.3.2 HTTP協(xié)議中的不安全性
3.3.3 Web站點的安全隱患
3.4 E-mail,Telnet,網(wǎng)頁的不安全性
3.4.1 E-mail的不安全性
3.4.2 入侵Telnet會話
3.4.3 網(wǎng)頁做假
3.4.4 電子郵件炸彈和電子郵件列表鏈接
3.5 網(wǎng)上安全攻擊實例
3.5.1 病毒
3.5.2 主動搭線竊聽
3.5.3 對不可拒絕性的安全威脅
3.5.4 薄弱的認證環(huán)節(jié)
3.5.5 系統(tǒng)的易被監(jiān)視性
3.6 人為過失
3.6.1 工作壓力引起精力不集中
3.6.2 由于通信不暢
3.6.3 系統(tǒng)管理員的失誤
習題三
第4章 客戶機／服務器的不安全性
4.1 對Web服務器的安全威脅
4.1.1 高權限的安全威脅
4.1.2 服務器目錄的默認設置
4.1.3 CGI中的不安全性
4.1.4 ASP中的不安全性
4.1.5 對Web服務器其他程序的安全威脅
4.1.6 服務器端嵌入
4.1.7 來自FTP的安全威脅
4.1.8 口令不當
4.1.9 郵件炸彈
4.2 UNIX系統(tǒng)服務器的不安全性
4.2.1 攻破口令
4.2.2 Web服務器軟件的不安全性
4.3 客戶機的不安全性
4.3.1 對客戶機安全構成威脅的來源
4.3.2 瀏覽器的安全
4.3.3 偽裝成合法網(wǎng)站的服務器
4.3.4 在Web活動頁面里的特洛伊木馬
4.3.5 Java、Java小應用程序與JavaScript
4.3.6 ActiveX控件
4.3.7 圖形文件、插件和電子郵件的附件
4.3.8 Cookie的安全威脅
4.4 無法估計主機的安全性
習題四
第5章 電子商務中的不安全性
5.1 電子商務數(shù)據(jù)庫的不安全
5.1.1 篡改數(shù)據(jù)庫數(shù)據(jù)
5.1.2 竊取數(shù)據(jù)庫數(shù)據(jù)
5.2 從事電子商務人員的管理
5.3 密切注意未來的安全威脅
5.3.1 電子支付手段
5.3.2 EDI要利用Internet
5.3.3 B to B的發(fā)展
5.3.4 電子商務法律漏洞
習題五
電子商務安全基礎篇
第6章 電子商務安全基礎概述
6.1 電子商務的安全要求
6.1.1 電子商務安全基礎要求
6.1.2 電子商務安全要求的特殊性
6.2 電子商務安全與其他領域的交融
6.3 安全風險與安全保護
6.3.1 認識安全風險
6.3.2 安全風險的特點
6.3.3 風險管理
習題六
第7章 電子商務流程的安全事務
7.1 建立認證中心CA和其他各種第三方公證機構
7.1.1 建立認證中心CA等的必要性
7.1.2 建立認證中心CA等概述
7.2 電子支付系統(tǒng)
7.2.1 支付系統(tǒng)的特點
7.2.2 卡的安全體系和卡的安全
7.2.3 電子信用卡系統(tǒng)
7.3 安全電子商務的主要流程
7.3.1 安全電子商務系統(tǒng)的組成
7.3.2 電子商務各參與單位的作用
習題七
第8章 加密與密鑰體系
8.1 加密概念與基本方法
8.1.1 替代密碼法
8.1.2 轉換密碼法
8.1.3 網(wǎng)絡上數(shù)據(jù)的加密方式
8.1.4 文件加密
8.1.5 密鑰體系
8.2 單鑰密碼體制
8.2.1 流密碼體制
8.2.2 分組密碼體制
8.2.3 DES加密標準
8.2.4 IDEA加密算法
8.2.5 RC-5加密算法
8.2.6 單鑰密碼體制的特點
8.3 雙鑰密碼體制
8.3.1 RSA密碼體制
8.3.2 ElGamal密碼體制
8.4 加密算法和標準
8.5 密鑰的管理
習題八
第9章 數(shù)據(jù)的完整性和安全
9.1 數(shù)據(jù)完整性和安全概述
9.1.1 數(shù)據(jù)完整性被破壞的嚴重后果
9.1.2 散列函數(shù)的概念
9.1.3 散列函數(shù)應用于數(shù)據(jù)的完整性
9.1.4 數(shù)字簽名使用雙鑰密碼加密和散列函數(shù)
9.2 應用散列函數(shù)保證完整性的方案
9.2.1 應用散列函數(shù)的基本方式
9.2.2 MD-4和MD-5散列算法
9.2.3 安全散列算法（SHA）
9.2.4 其他散列算法
習題九
第10章 數(shù)字鑒別
10.1 數(shù)字簽名
10.1.1 數(shù)字簽名的基本概念
10.1.2 數(shù)字簽名的必要性
10.1.3 數(shù)字簽名的原理
10.1.4 數(shù)字簽名的要求
10.1.5 數(shù)字簽名的作用
10.1.6 單獨數(shù)字簽名的安全問題
10.1.7 RSA簽名體制
10.1.8 ElGamal簽名體制
10.1.9 無可爭辯簽名
10.1.10 盲簽名
10.1.11 雙聯(lián)簽名
10.2 身份證書與數(shù)字認證
10.2.1 身份認證證書的概念
10.2.2 身份認證證書的類型
10.2.3 身份認證證書的內(nèi)容
10.2.4 身份認證證書的有效性
10.2.5 身份認證證書的使用
10.2.6 數(shù)字證書的發(fā)行
10.2.7 身份證明
10.2.8 口令認證系統(tǒng)
10.3 公鑰數(shù)字證書
10.3.1 公鑰證書的基本概念
10.3.2 公鑰/私鑰對的生成和要求
10.3.3 公鑰證書的申請、更新、分配
10.3.4 公鑰的格式
10.3.5 公鑰證書的吊銷
10.3.6 證書的使用期限
10.3.7 公鑰證書的授權信息
10.4 公鑰基礎設施、證書機構和證書政策
10.4.1 公鑰基礎設施
10.4.2 認證系統(tǒng)
10.4.3 中國電子商務認證中心
10.5 數(shù)字時間戳及其業(yè)務
10.5.1 數(shù)字時間戳仲裁方案要點
10.5.2 數(shù)字時間戳鏈接協(xié)議
10.6 不可否認業(yè)務
10.6.1 不可否認業(yè)務的概念
10.6.2 不可否認業(yè)務類型和業(yè)務活動
10.6.3 源的不可否認性及實現(xiàn)方法
10.6.4 遞送的不可否認性及實現(xiàn)方法
10.6.5 可信賴第三方
10.6.6 解決糾紛
10.7 數(shù)字簽名和證書應用舉例
習 題 十
第11章 安全協(xié)議與標準
11.1 安全協(xié)議種類
11.1.1 仲裁協(xié)議
11.1.2 裁決協(xié)議
11.1.3 自動執(zhí)行協(xié)議
11.1.4 密鑰建立協(xié)議
11.1.5 認證協(xié)議
11.1.6 消息認證
11.1.7 實體認證協(xié)議
11.1.8 認證的密鑰建立協(xié)議
11.1.9 Internet業(yè)務提供者協(xié)議
11.1.10 IKP協(xié)議
11.2 IPSEC——IP安全協(xié)議
11.2.1 IPSec的概念
11.2.2 IPSec的應用
11.2.3 IPSec的優(yōu)勢
11.2.4 路由應用
11.3 安全超文本傳輸協(xié)議S-HTTP
11.3.1 S-HTTP是HTTP的安全擴展
11.3.2 S-HTTP和SSL的異同
11.3.3 S-HTTP的應用
11.4 有關安全技術的標準
11.4.1 密碼技術的國際標準
11.4.2 ANSI和ISO的銀行信息系統(tǒng)安全標準
11.4.3 ISO安全結構和安全框架標準
11.4.4 美國政府標準（FIPS）
11.4.5 Internet標準和RFC
11.4.6 PKCS
11.4.7 其他標準
11.5 INTERNET消息安全性協(xié)議
11.5.1 消息安全性的基本概念
11.5.2 保密強化郵件PEM
11.5.3 X.400國際電子消息協(xié)議
11.5.4 消息安全協(xié)議MSP
11.5.5 各種消息安全協(xié)議比較
11.6 EDI的安全協(xié)議
11.7 安全等級
習 題 十一
電子商務安全解決篇
第12章 物理設備的安全措施
12.1 做好損壞的應對策略
12.2 實體安全措施
12.2.1 建立物理安全的環(huán)境
12.2.2 維護良好的環(huán)境
12.2.3 建立定期檢測和日常檢查制度
12.2.4 容錯技術和冗余系統(tǒng)
12.3 保護數(shù)據(jù)的完整性
12.3.1 網(wǎng)絡備份系統(tǒng)
12.3.2 數(shù)據(jù)文件的備份
12.3.3 歸檔
12.3.4 提高數(shù)據(jù)完整性的預防性措施
習 題 十 二
第13章 客戶機／服務器的安全措施
13.1 客戶機的保護措施
13.1.1 Web瀏覽器信息泄漏的防止
13.1.2 使用內(nèi)容協(xié)商禁止PostScript危險操作
13.1.3 監(jiān)測活動內(nèi)容
13.1.4 處理Cookie
13.1.5 使用防病毒軟件
13.1.6 網(wǎng)上的安全購物——識別SSL聯(lián)機
13.2 服務器的安全措施
13.2.1 UNIX系統(tǒng)正確配置主機的操作系統(tǒng)
13.2.2 Web服務器安全配置原則
13.2.3 認證和訪問控制機制
13.2.4 口令的使用和管理
13.2.5 注意ASP漏洞
13.2.6 商家使用SSL建立安全的商務網(wǎng)站
13.3 使用殺毒軟件
13.3.1 殺毒軟件使用綜述
13.3.2 KV系列殺毒軟件
13.3.3 瑞星殺毒軟件
13.3.4 金山毒霸殺毒軟件
13.3.5 殺毒服務網(wǎng)站
13.3.6 國外有名殺毒產(chǎn)品
習 題 十 三
第14章 INTERNET上的安全措施和使用安全協(xié)議
14.1 INTERNET上的安全措施概述
14.1.1 網(wǎng)絡安全
14.1.2 應用安全
14.1.3 系統(tǒng)安全性
14.1.4 對付一些攻擊
14.2 使用防火墻
14.2.1 防火墻的基本概述
14.2.2 防火墻的配置
14.2.3 防火墻的類型
14.2.4 防火墻的選擇
14.2.5 防火墻軟件
14.2.6 防火墻不能對付的安全威脅
14.2.7 包過濾技術的概念
14.2.8 代理服務技術的概念
14.3 對訪問的認證和控制
14.3.1 對訪問的認證
14.3.2 對訪問的控制
14.3.3 入侵的審計、追蹤與檢測技術
14.4 KERBEROS身份驗證應用
14.4.1 用Kerberos通信過程說明
14.4.2 用Kerberos實現(xiàn)認證的NetCheque電子支票系統(tǒng)
14.4.3 防止網(wǎng)絡上的嗅探入侵
14.5 免費加密軟件
14.5.1 使用RSA算法的SecurPC
14.5.2 信息摘要軟件
14.5.3 其他加密程序
14.6 認證證書的發(fā)放
14.6.1 證書發(fā)放政策
14.6.2 認證機構之間的相互關系
14.6.3 證書中名字的約束
14.6.4 認證通路的查找和確認
14.6.5 證書管理協(xié)議
習 題 十 四
第15章 兩大安全電子郵件的實用技術
15.1 PGP完美的加密程序的使用
15.1.1 PGP的概念
15.1.2 PGP的原理
15.1.3 PGP的作用
15.1.4 PGP的安裝與設置
15.1.5 PGP軟件的使用
15.1.6 PGP使用的注意事項
15.2 S/MIME安全的電子郵件標準
15.2.1 Secure-MIME標準
15.2.2 S/MIME如何滿足電子郵件的安全要求
15.2.3 Secure-MIME特點
15.2.4 收發(fā)S/MIME的操作
15.3 PGP與S/MIME比較
習 題 十 五
第16章 電子商務的安全協(xié)議
16.1 SSL——提供網(wǎng)上購物安全的協(xié)議
16.1.1 安全套接層SSL協(xié)議概念
16.1.2 SSL提供的安全內(nèi)容
16.1.3 SSL體系結構
16.1.4 服務器和瀏覽器對SSL的支持
16.1.5 傳輸層安全TLS
16.2 SET——提供安全的電子商務數(shù)據(jù)交換
16.2.1 網(wǎng)上信用卡安全交易必須用SET
16.2.2 SET的認證過程
16.2.3 SET協(xié)議的安全技術
16.2.4 SET交易中的電子錢包
16.2.5 商店服務器和支付網(wǎng)關
16.2.6 SET網(wǎng)上購物實例
16.2.7 SET實際操作的全過程
16.3 SET與SSL對比及SET的缺陷
16.4 目前國內(nèi)應用SSL和SET的情況
16.4.1 SSL已經(jīng)開始普及
16.4.2 出現(xiàn)同時使用SSL和SET的網(wǎng)站
16.4.3 認證中心的涌現(xiàn)及各自的特色
16.4.4 電子商務“專業(yè)銀行”的出現(xiàn)
16.5 SET公鑰基礎設施
習 題 十 六
第17章 安全的管理
17.1 安全策略制定的目的、內(nèi)容和原則
17.1.1 制定安全策略的目的
17.1.2 安全策略的內(nèi)容
17.1.3 制定安全策略的基本原則
17.2 安全策略
17.2.1 要定義保護的資源
17.2.2 要定義保護的風險
17.2.3 要吃透電子商務安全的法律法規(guī)
17.2.4 建立安全策略和確定一套安全機制
17.3 關于版權和知識產(chǎn)權的安全管理
17.4 網(wǎng)上安全求援
習 題 十 七
附 錄
附錄一 加密中的數(shù)學知識
附錄二 電子商務安全名詞術語
附錄三 電子商務安全英語詞匯和縮略詞