电子商务安全隐患篇
第1章 电子商务安全隐患概述
1.1 信息安全的历史故事
1.2 电子商务信息的价值
1.3 电子商务时代安全隐患丛生
1.3.1 处处有安全漏洞,时时有安全隐患
1.3.2 电子商务中的犯罪特点
1.3.3 电子商务发展的关键是安全性
1.3.4 安全威胁的林林总总
1.4 电子商务安全的中心内容
1.4.1 商务数据的机密性
1.4.2 商务数据的完整性
1.4.3 商务对象的认证性
1.4.4 商务服务的不可否认性
1.4.5 商务服务的不可拒绝性
1.4.6 访问的控制性
1.4.7 其他内容
1.5 黑客与攻击三步曲
1.5.1 黑客与攻击者
1.5.2 非法使用者与过失者
1.5.3 攻击者的三步曲
习题一
第2章 物理设备的不安全性
2.1 单机硬件故障
2.2 网络设备故障
2.3 软件问题
2.4 天灾
2.5 人为事故
习题二
第3章 Internet的不安全性
3.1 Internet的安全漏洞
3.1.1 Internet各个环节的安全漏洞
3.1.2 外界攻击Internet安全的类型
3.1.3 局域网服务和相互信任的主机的安全漏洞
3.1.4 设备或软件的复杂性带来的安全隐患
3.2 TCP/IP协议及其不安全性
3.2.1 TCP/IP协议简介
3.2.2 IP协议的安全隐患是极严重的
3.2.3 TCP协议劫持入侵
3.2.4 嗅探入侵
3.3 HTTP和Web的不安全性
3.3.1 HTTP协议的特点
3.3.2 HTTP协议中的不安全性
3.3.3 Web站点的安全隐患
3.4 E-mail,Telnet,网页的不安全性
3.4.1 E-mail的不安全性
3.4.2 入侵Telnet会话
3.4.3 网页做假
3.4.4 电子邮件炸弹和电子邮件列表链接
3.5 网上安全攻击实例
3.5.1 病毒
3.5.2 主动搭线窃听
3.5.3 对不可拒绝性的安全威胁
3.5.4 薄弱的认证环节
3.5.5 系统的易被监视性
3.6 人为过失
3.6.1 工作压力引起精力不集中
3.6.2 由于通信不畅
3.6.3 系统管理员的失误
习题三
第4章 客户机/服务器的不安全性
4.1 对Web服务器的安全威胁
4.1.1 高权限的安全威胁
4.1.2 服务器目录的默认设置
4.1.3 CGI中的不安全性
4.1.4 ASP中的不安全性
4.1.5 对Web服务器其他程序的安全威胁
4.1.6 服务器端嵌入
4.1.7 来自FTP的安全威胁
4.1.8 口令不当
4.1.9 邮件炸弹
4.2 UNIX系统服务器的不安全性
4.2.1 攻破口令
4.2.2 Web服务器软件的不安全性
4.3 客户机的不安全性
4.3.1 对客户机安全构成威胁的来源
4.3.2 浏览器的安全
4.3.3 伪装成合法网站的服务器
4.3.4 在Web活动页面里的特洛伊木马
4.3.5 Java、Java小应用程序与JavaScript
4.3.6 ActiveX控件
4.3.7 图形文件、插件和电子邮件的附件
4.3.8 Cookie的安全威胁
4.4 无法估计主机的安全性
习题四
第5章 电子商务中的不安全性
5.1 电子商务数据库的不安全
5.1.1 篡改数据库数据
5.1.2 窃取数据库数据
5.2 从事电子商务人员的管理
5.3 密切注意未来的安全威胁
5.3.1 电子支付手段
5.3.2 EDI要利用Internet
5.3.3 B to B的发展
5.3.4 电子商务法律漏洞
习题五
电子商务安全基础篇
第6章 电子商务安全基础概述
6.1 电子商务的安全要求
6.1.1 电子商务安全基础要求
6.1.2 电子商务安全要求的特殊性
6.2 电子商务安全与其他领域的交融
6.3 安全风险与安全保护
6.3.1 认识安全风险
6.3.2 安全风险的特点
6.3.3 风险管理
习题六
第7章 电子商务流程的安全事务
7.1 建立认证中心CA和其他各种第三方公证机构
7.1.1 建立认证中心CA等的必要性
7.1.2 建立认证中心CA等概述
7.2 电子支付系统
7.2.1 支付系统的特点
7.2.2 卡的安全体系和卡的安全
7.2.3 电子信用卡系统
7.3 安全电子商务的主要流程
7.3.1 安全电子商务系统的组成
7.3.2 电子商务各参与单位的作用
习题七
第8章 加密与密钥体系
8.1 加密概念与基本方法
8.1.1 替代密码法
8.1.2 转换密码法
8.1.3 网络上数据的加密方式
8.1.4 文件加密
8.1.5 密钥体系
8.2 单钥密码体制
8.2.1 流密码体制
8.2.2 分组密码体制
8.2.3 DES加密标准
8.2.4 IDEA加密算法
8.2.5 RC-5加密算法
8.2.6 单钥密码体制的特点
8.3 双钥密码体制
8.3.1 RSA密码体制
8.3.2 ElGamal密码体制
8.4 加密算法和标准
8.5 密钥的管理
习题八
第9章 数据的完整性和安全
9.1 数据完整性和安全概述
9.1.1 数据完整性被破坏的严重后果
9.1.2 散列函数的概念
9.1.3 散列函数应用于数据的完整性
9.1.4 数字签名使用双钥密码加密和散列函数
9.2 应用散列函数保证完整性的方案
9.2.1 应用散列函数的基本方式
9.2.2 MD-4和MD-5散列算法
9.2.3 安全散列算法(SHA)
9.2.4 其他散列算法
习题九
第10章 数字鉴别
10.1 数字签名
10.1.1 数字签名的基本概念
10.1.2 数字签名的必要性
10.1.3 数字签名的原理
10.1.4 数字签名的要求
10.1.5 数字签名的作用
10.1.6 单独数字签名的安全问题
10.1.7 RSA签名体制
10.1.8 ElGamal签名体制
10.1.9 无可争辩签名
10.1.10 盲签名
10.1.11 双联签名
10.2 身份证书与数字认证
10.2.1 身份认证证书的概念
10.2.2 身份认证证书的类型
10.2.3 身份认证证书的内容
10.2.4 身份认证证书的有效性
10.2.5 身份认证证书的使用
10.2.6 数字证书的发行
10.2.7 身份证明
10.2.8 口令认证系统
10.3 公钥数字证书
10.3.1 公钥证书的基本概念
10.3.2 公钥/私钥对的生成和要求
10.3.3 公钥证书的申请、更新、分配
10.3.4 公钥的格式
10.3.5 公钥证书的吊销
10.3.6 证书的使用期限
10.3.7 公钥证书的授权信息
10.4 公钥基础设施、证书机构和证书政策
10.4.1 公钥基础设施
10.4.2 认证系统
10.4.3 中国电子商务认证中心
10.5 数字时间戳及其业务
10.5.1 数字时间戳仲裁方案要点
10.5.2 数字时间戳链接协议
10.6 不可否认业务
10.6.1 不可否认业务的概念
10.6.2 不可否认业务类型和业务活动
10.6.3 源的不可否认性及实现方法
10.6.4 递送的不可否认性及实现方法
10.6.5 可信赖第三方
10.6.6 解决纠纷
10.7 数字签名和证书应用举例
习 题 十
第11章 安全协议与标准
11.1 安全协议种类
11.1.1 仲裁协议
11.1.2 裁决协议
11.1.3 自动执行协议
11.1.4 密钥建立协议
11.1.5 认证协议
11.1.6 消息认证
11.1.7 实体认证协议
11.1.8 认证的密钥建立协议
11.1.9 Internet业务提供者协议
11.1.10 IKP协议
11.2 IPSEC——IP安全协议
11.2.1 IPSec的概念
11.2.2 IPSec的应用
11.2.3 IPSec的优势
11.2.4 路由应用
11.3 安全超文本传输协议S-HTTP
11.3.1 S-HTTP是HTTP的安全扩展
11.3.2 S-HTTP和SSL的异同
11.3.3 S-HTTP的应用
11.4 有关安全技术的标准
11.4.1 密码技术的国际标准
11.4.2 ANSI和ISO的银行信息系统安全标准
11.4.3 ISO安全结构和安全框架标准
11.4.4 美国政府标准(FIPS)
11.4.5 Internet标准和RFC
11.4.6 PKCS
11.4.7 其他标准
11.5 INTERNET消息安全性协议
11.5.1 消息安全性的基本概念
11.5.2 保密强化邮件PEM
11.5.3 X.400国际电子消息协议
11.5.4 消息安全协议MSP
11.5.5 各种消息安全协议比较
11.6 EDI的安全协议
11.7 安全等级
习 题 十一
电子商务安全解决篇
第12章 物理设备的安全措施
12.1 做好损坏的应对策略
12.2 实体安全措施
12.2.1 建立物理安全的环境
12.2.2 维护良好的环境
12.2.3 建立定期检测和日常检查制度
12.2.4 容错技术和冗余系统
12.3 保护数据的完整性
12.3.1 网络备份系统
12.3.2 数据文件的备份
12.3.3 归档
12.3.4 提高数据完整性的预防性措施
习 题 十 二
第13章 客户机/服务器的安全措施
13.1 客户机的保护措施
13.1.1 Web浏览器信息泄漏的防止
13.1.2 使用内容协商禁止PostScript危险操作
13.1.3 监测活动内容
13.1.4 处理Cookie
13.1.5 使用防病毒软件
13.1.6 网上的安全购物——识别SSL联机
13.2 服务器的安全措施
13.2.1 UNIX系统正确配置主机的操作系统
13.2.2 Web服务器安全配置原则
13.2.3 认证和访问控制机制
13.2.4 口令的使用和管理
13.2.5 注意ASP漏洞
13.2.6 商家使用SSL建立安全的商务网站
13.3 使用杀毒软件
13.3.1 杀毒软件使用综述
13.3.2 KV系列杀毒软件
13.3.3 瑞星杀毒软件
13.3.4 金山毒霸杀毒软件
13.3.5 杀毒服务网站
13.3.6 国外有名杀毒产品
习 题 十 三
第14章 INTERNET上的安全措施和使用安全协议
14.1 INTERNET上的安全措施概述
14.1.1 网络安全
14.1.2 应用安全
14.1.3 系统安全性
14.1.4 对付一些攻击
14.2 使用防火墙
14.2.1 防火墙的基本概述
14.2.2 防火墙的配置
14.2.3 防火墙的类型
14.2.4 防火墙的选择
14.2.5 防火墙软件
14.2.6 防火墙不能对付的安全威胁
14.2.7 包过滤技术的概念
14.2.8 代理服务技术的概念
14.3 对访问的认证和控制
14.3.1 对访问的认证
14.3.2 对访问的控制
14.3.3 入侵的审计、追踪与检测技术
14.4 KERBEROS身份验证应用
14.4.1 用Kerberos通信过程说明
14.4.2 用Kerberos实现认证的NetCheque电子支票系统
14.4.3 防止网络上的嗅探入侵
14.5 免费加密软件
14.5.1 使用RSA算法的SecurPC
14.5.2 信息摘要软件
14.5.3 其他加密程序
14.6 认证证书的发放
14.6.1 证书发放政策
14.6.2 认证机构之间的相互关系
14.6.3 证书中名字的约束
14.6.4 认证通路的查找和确认
14.6.5 证书管理协议
习 题 十 四
第15章 两大安全电子邮件的实用技术
15.1 PGP完美的加密程序的使用
15.1.1 PGP的概念
15.1.2 PGP的原理
15.1.3 PGP的作用
15.1.4 PGP的安裝与设置
15.1.5 PGP软件的使用
15.1.6 PGP使用的注意事项
15.2 S/MIME安全的电子邮件标准
15.2.1 Secure-MIME标准
15.2.2 S/MIME如何满足电子邮件的安全要求
15.2.3 Secure-MIME特点
15.2.4 收发S/MIME的操作
15.3 PGP与S/MIME比较
习 题 十 五
第16章 电子商务的安全协议
16.1 SSL——提供网上购物安全的协议
16.1.1 安全套接层SSL协议概念
16.1.2 SSL提供的安全内容
16.1.3 SSL体系结构
16.1.4 服务器和浏览器对SSL的支持
16.1.5 传输层安全TLS
16.2 SET——提供安全的电子商务数据交换
16.2.1 网上信用卡安全交易必须用SET
16.2.2 SET的认证过程
16.2.3 SET协议的安全技术
16.2.4 SET交易中的电子钱包
16.2.5 商店服务器和支付网关
16.2.6 SET网上购物实例
16.2.7 SET实际操作的全过程
16.3 SET与SSL对比及SET的缺陷
16.4 目前国内应用SSL和SET的情况
16.4.1 SSL已经开始普及
16.4.2 出现同时使用SSL和SET的网站
16.4.3 认证中心的涌现及各自的特色
16.4.4 电子商务“专业银行”的出现
16.5 SET公钥基础设施
习 题 十 六
第17章 安全的管理
17.1 安全策略制定的目的、内容和原则
17.1.1 制定安全策略的目的
17.1.2 安全策略的内容
17.1.3 制定安全策略的基本原则
17.2 安全策略
17.2.1 要定义保护的资源
17.2.2 要定义保护的风险
17.2.3 要吃透电子商务安全的法律法规
17.2.4 建立安全策略和确定一套安全机制
17.3 关于版权和知识产权的安全管理
17.4 网上安全求援
习 题 十 七
附 录
附录一 加密中的数学知识
附录二 电子商务安全名词术语
附录三 电子商务安全英语词汇和缩略词