【正文】 ? 電子郵件附件 ? 提供一種在文本系統(tǒng) (即電子郵件 )上傳輸非文本信息的方便的方法。 ? ? 瀏覽器插件： ?是增強(qiáng)瀏覽器功能的程序，即完成瀏覽器不能處理的頁(yè)面內(nèi)容。 ?如果瀏覽器安全特性設(shè)置正確，在你下載 Active X控件時(shí) ,瀏覽器會(huì)提醒你。 ? ? Active X控件存在的安全威脅：一旦下載下來(lái) ,它就能像計(jì)算機(jī)上的其他程序一樣執(zhí)行 ,能訪問(wèn)包括 OS代碼在內(nèi)的所有系統(tǒng)資源 , 非常危險(xiǎn)。 ? ? ?Active X代碼編完后，程序設(shè)計(jì)人員將其封裝在 Active X信封里 (代碼轉(zhuǎn)換成機(jī)讀碼前的一種特殊方式 )、編譯控件并把它放到頁(yè)面上。 ? 這是特洛伊木馬的又一個(gè)例子。 ? ? JavaScript程序和 Java小應(yīng)用程序的區(qū)別在于它不在 Java運(yùn)行程序安全區(qū)的安全模式限制下運(yùn)行。另外還可能把你所訪問(wèn)頁(yè)面的 URL記下 來(lái)、捕捉你填入任何表中的信息等。 ? 各種流行瀏覽器都支持 JavaScript，它和 Java語(yǔ)言有同樣的結(jié)構(gòu)。 ? 如果 Java小應(yīng)用程序有簽名，它就可在 Java運(yùn)行程序安全區(qū)之外使用所有系統(tǒng)資源。 ?防止了 Java小應(yīng)用程序?qū)ΡＣ苄?(泄密 )和完整性 (刪除或修改 )的破壞。 ? 規(guī)則適應(yīng)于所有不可信的 Java 小應(yīng)用程序。 ?這些小應(yīng)用程序隨頁(yè)面下載下來(lái)，只要瀏覽器兼容 Java，它就可在客戶機(jī)上運(yùn)行。 ? ?Java增強(qiáng)了業(yè)務(wù)應(yīng)用功能。 ? 是一種面向?qū)ο笳Z(yǔ)言 , 支持代碼重用。 ? ?當(dāng)瀏覽互聯(lián)網(wǎng)時(shí)會(huì)積累下大量的Cookie, 有些 Cookie可能包含一些敏感的個(gè)人信息。 ? 特洛伊木馬： ? 是隱藏在程序或頁(yè)面里而掩蓋其真實(shí)目的程序。 ? ? 若用 瀏覽器就可查看一個(gè)帶有活動(dòng)內(nèi)容的 WWW頁(yè)面，如小應(yīng)用程序，其會(huì)隨你所看到的頁(yè)面自動(dòng)下載下來(lái)，并開始在你的計(jì)算機(jī)上啟動(dòng)運(yùn)行。 ? 活動(dòng)頁(yè)面可顯示動(dòng)態(tài)圖像、下載和播放音樂或?qū)崿F(xiàn)基于 WWW的電子表格程序。但都無(wú)法防止未經(jīng)版權(quán)所有者允許的盜竊。迄今為止，絕對(duì)的保護(hù)是不現(xiàn)實(shí)的，但有些措施可提供一定程度的保護(hù)。 ? 傳統(tǒng)的知識(shí)產(chǎn)權(quán) (如文字作品、藝術(shù)和音樂等 )主要通過(guò)國(guó)內(nèi)法律甚至國(guó)際法來(lái)保護(hù)。 ? 互聯(lián)網(wǎng)成為版權(quán)侵犯者目標(biāo)的原因 ? 網(wǎng)上的信息無(wú)論是否受到版權(quán)保護(hù)，它都非常容易復(fù)制； ? 很多人不了解保護(hù)知識(shí)產(chǎn)權(quán)方面的版權(quán)規(guī)定。 ? 所有作品創(chuàng)作出后就得到法律的保護(hù)。 ? 2. 版權(quán) ? 是對(duì)表現(xiàn)的保護(hù)。 ?安全策略一般要陳述物理安全、網(wǎng)絡(luò)安全、訪問(wèn)授權(quán)、病毒保護(hù)、災(zāi)難恢復(fù)等內(nèi)容，這個(gè)策略會(huì)隨時(shí)間而變化，公司負(fù)責(zé)安全的人員必須定期修改安全策略。 ? 安全措施 ?是指識(shí)別、降低或消除安全威脅的物理或邏輯步驟的總稱。 ? ?對(duì)計(jì)算機(jī)資產(chǎn)帶來(lái)危險(xiǎn)的任何行動(dòng)或?qū)ο?。返? 電 子 商 務(wù) 的 安 全 內(nèi)容 概述 對(duì)版權(quán)和知識(shí)產(chǎn)權(quán)的保護(hù) 保護(hù)客戶機(jī) 保護(hù)通訊信道的安全 對(duì)服務(wù)器的安全威脅 ? 概述 計(jì)算機(jī)安全 計(jì)算機(jī)安全分類 安全措施 安全策略 ? 計(jì)算機(jī)安全 1. 計(jì)算機(jī)安全 2. 物理安全 3. 邏輯安全 4. 安全威脅 ? 1. 計(jì)算機(jī)安全 ?是保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問(wèn)、使用、篡改或破壞。 ? 4. 安全威脅 計(jì)算機(jī)安全分類 1. 保密 2. 完整 3. 即需 ? 1. 保密 ?是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性。 ?根據(jù)資產(chǎn)的重要性不同，相應(yīng)的安全措施也有多種。 ? 安全策略一般包含的內(nèi)容 ：誰(shuí)想訪問(wèn)電子商務(wù)網(wǎng)站？ ：允許誰(shuí)登錄 EC網(wǎng)站并訪問(wèn)它？ ：誰(shuí)有權(quán)利查看特定的信息？ ：允許、不允許誰(shuí)修改數(shù)據(jù)？ ：在何時(shí)由何人導(dǎo)致了何事？ ? 對(duì)版權(quán)和知識(shí)產(chǎn)權(quán)的保護(hù) 對(duì)知識(shí)產(chǎn)權(quán)的安全威脅 保護(hù)知識(shí)產(chǎn)權(quán) ? 對(duì)知識(shí)產(chǎn)權(quán)的安全威脅 1. 知識(shí)產(chǎn)權(quán) 2. 版權(quán) ? 1. 知識(shí)產(chǎn)權(quán) ? 是思想的所有權(quán)和對(duì)思想的實(shí)際或虛擬表現(xiàn)的任制權(quán)。 ? 一般包括對(duì)文學(xué)和音樂作品、戲曲和舞蹈作品、繪畫和雕塑作品、電影和其他視聽作品以及建筑作品的保護(hù)。 ? 沒有明確的版權(quán)聲明的作品也受到法律的保護(hù)。 ? ? 合法使用版權(quán)： 是指在符合特定要求下有限度地使用受版權(quán)保護(hù)的材料。 ? 數(shù)字知識(shí)產(chǎn)權(quán) (包括網(wǎng)站上的藝術(shù)圖形、圖標(biāo)和音樂 )也受到法律保護(hù)。 ? 數(shù)字化知識(shí)產(chǎn)權(quán)的保護(hù) 1. 組織 2. 方法 ? 1. 組織 ? 世界知識(shí)產(chǎn)權(quán)組織 (WPO)： 一直在推進(jìn)和監(jiān)督國(guó)際數(shù)字化版權(quán)的問(wèn)題。 ? 數(shù)字化水?。?是隱蔽地嵌入在數(shù)字圖像或聲音文件里的數(shù)字碼或數(shù)字流。 ? EC中使用的活動(dòng)內(nèi)容涉及將你選中的商品放入購(gòu)物車并計(jì)算發(fā)票總額。 ? 由于活動(dòng)內(nèi)容模塊是嵌入在 WWW頁(yè)面里的，它對(duì)瀏覽頁(yè)面的用戶是完全透明的。 破壞： ? 可竊聽計(jì)算機(jī)上的保密信息，并將這些信息傳給它的 WWW服務(wù)器，構(gòu)成保密性侵害； ? 可改變或刪除客戶機(jī)上的信息，構(gòu)成完整性侵害。 ? ? Cookie本身并沒有惡意，但由于其信息可能會(huì)被利用。 ? 可在操作系統(tǒng)上運(yùn)行。它可在客戶機(jī)端處理交易并完成各種各樣的操作，這就解放了非常繁性的服務(wù)器，使服務(wù)器不必同時(shí)處理上千種應(yīng)用。 ?Netscape Navigator和 Microsoft Inter Explorer都兼容 Java。 ? 不可信的 Java 小應(yīng)用程序： ? 指尚未被證明是安全的 Java小應(yīng)用程序。 ? 可信的小應(yīng)用程序： ?本地文件系統(tǒng)中下載的 Java小應(yīng)用程序 ,其運(yùn)行不受 Java運(yùn)行程序安全區(qū)的限制。 ? 理由： ? 如果你知道小應(yīng)用程序是誰(shuí)開發(fā)，并且相信這個(gè)小應(yīng)用程序的來(lái)源，那么當(dāng)它破壞了你的計(jì)算機(jī)上的內(nèi)容后，你可以通過(guò)法律要求賠償。 ? 當(dāng)你下載一個(gè)嵌有 JavaScript代碼的頁(yè)面后 ,此代碼就在你的客戶機(jī)上開始運(yùn)行了。 ? 如果你在租車時(shí)輸入了信用卡號(hào)、懷有惡意的JavaScript程序就可能把信用卡號(hào)復(fù)制下來(lái)。 ? JavaScript程序同 Java程序或 Java小應(yīng)用程序不同的是： JavaScript程序不能自行啟動(dòng)。 ? X控件 ? 是一個(gè)對(duì)象 (稱做控件 )，由頁(yè)面設(shè)計(jì)者放在頁(yè)面里來(lái)執(zhí)行特定任務(wù)的程序。 ?當(dāng)瀏覽器下載嵌有 Active X控件的頁(yè)面時(shí)，它就可在客戶機(jī)上運(yùn)行了。 ? 一個(gè)有惡意的 Active X控件可格式化硬盤 ,向郵件通訊簿里的所有人發(fā)送電子郵件或關(guān)閉計(jì)算機(jī)。 ? 4. 圖形文件、插件和電子郵件的附件 ?圖形文件 、 瀏覽器插件 和 電子郵件附件 均可存儲(chǔ)可執(zhí)行的內(nèi)容。 ?插件通常都是有益的，用于執(zhí)行一些特殊的任務(wù)，如播放音樂片斷、顯示電影片斷或動(dòng)畫圖形。 ? 附件可以是文字處理文件、電子報(bào)表、數(shù)據(jù)庫(kù)、圖像及你能想象的任何信息。 宏病毒： ?是嵌入在文件中的稱作“宏”的小程序。 ? 如果電子郵件消息或網(wǎng)頁(yè)含有數(shù)字證書 ,就稱之為簽名消息或簽名代碼。 ?軟件開發(fā)商不必是證書簽署者。 ? 數(shù)字證書 (護(hù)照 )，認(rèn)證中心 (公安局 )。 ? ? 認(rèn)證中心以公開加密密鑰的方式來(lái)簽署證書，收到軟件出版商程序上所附證書的人可用公開加密密鑰來(lái)打開這個(gè)程序。 ? 2. 微軟公司的 Inter Explorer 微軟公司的 Inter Explorer在瀏覽器內(nèi)部提供了對(duì)客戶機(jī)端的保護(hù)。 ? Authenticode技術(shù)可驗(yàn)證程序是否具備有效的證書，但不能阻止惡意程序的下載和運(yùn)行。 ? Inter Explorer內(nèi)置有可信認(rèn)證中心的清單及其公開密鑰 ,Authenticode掃描此清單 ,找到提供證書的認(rèn)證中心。此顯示向用戶保證了軟件提供者是有效的。 ? 如果認(rèn)證中心發(fā)現(xiàn)某公司曾發(fā)過(guò)有惡意的代碼，就可單方面拒絕頒發(fā)新證書，并且廢棄其所有正在使用的證書。 ? 共有四個(gè)區(qū) ? Inter 區(qū)：是不在用戶的計(jì)算機(jī)上、不在內(nèi)部網(wǎng)里或未分到其他區(qū)的所有網(wǎng)站。 ? 受限站點(diǎn)區(qū)：該區(qū)內(nèi)是用戶不信任的網(wǎng)站 ,它們未必有破壞性 ,只是用戶不熟悉這些網(wǎng)站。 ? 3. 網(wǎng)景公司的 Navigator ?可允許用戶控制是否將活動(dòng)內(nèi)容下載到客戶機(jī)上。在同一對(duì)話框中可確定對(duì)Cookie的處理措施。它指出某活動(dòng)內(nèi)容是否有簽名 ,并允許用戶查看活動(dòng)內(nèi)容所附證書 ,以便用戶決定是否允許下載活動(dòng)內(nèi)容。 ? ? ? Cookie只可由創(chuàng)建它的網(wǎng)站來(lái)檢索。 ? ? 很多人認(rèn)為這種偷偷摸摸的信息采集方式很令人惱火。 ? 5. 使用防病毒軟件 ? 如果沒有采用防病毒軟件，那么對(duì)客戶機(jī)的防衛(wèi)仍舊是不完全的。這些文件存儲(chǔ)的是用于檢測(cè)病毒的病毒識(shí)別信息。雖然互聯(lián)網(wǎng)起源于軍事網(wǎng)絡(luò) ,但美國(guó)國(guó)防部高級(jí)研究項(xiàng)目中心 (DARP)建造網(wǎng)絡(luò)的主要目的不是為安全傳輸 ,而是為提供冗余傳輸 ,即為防止一個(gè)或多個(gè)通訊線路被切斷。此信息在到達(dá)最終目標(biāo)之前會(huì)通過(guò)許多中間節(jié)點(diǎn)。由于你無(wú)法控制信息的傳輸路徑，不知道信息包曾到過(guò)哪里，所以很可能有中間節(jié)點(diǎn)竊取、篡改甚至刪除了你的信息。 保密和隱私雖很相似 ,但卻是不同問(wèn)題 : ? 保密是防止未經(jīng)授權(quán)的信息泄露，而隱私是保護(hù)個(gè)人不被曝光的權(quán)利； ? 保密是要求繁雜的物理和邏輯安全的技術(shù)問(wèn)題，隱私則需要法律的保護(hù)。保密措施是用來(lái)保護(hù)向外發(fā)送的消息。 ? 傳輸電子郵件。 ? 竊取信用卡號(hào)是大家很關(guān)心的問(wèn)題。 ?當(dāng)未經(jīng)授權(quán)方改變了信息流時(shí)就構(gòu)成了對(duì)完整性的安全威脅。 ? 該行為相當(dāng)于破壞他人財(cái)產(chǎn)或在公共場(chǎng)所涂鴉。 ? ?例如， 黑客利用 DNS的安全漏洞用自己的IP地址替換掉 ABC公司的 IP地址 ,這就把問(wèn)站。 ?改變信息對(duì)企業(yè)或個(gè)人都有非常嚴(yán)重的后果。 ? ?延遲 (降低處理速度 )會(huì)導(dǎo)致服務(wù)無(wú)法使用或沒有吸引力。 ? 1. 交易的保密 ⑴ 加密 ⑵ 安全套接層協(xié)議 (SSL) ⑶ 安全 HTTP協(xié)議 (SHTTP) ⑷ SHTTP與 SSL異同 ? ⑴ 加密 ① 加密技術(shù) ② 加密分類 ? ① 加密技術(shù) ★ 明文與密文 ★ 加密過(guò)程 ★ 加密與解密程序 ★ 加密算法和密鑰 ? ★ 明文與密文 明文： ?加密前的普通數(shù)據(jù)； 密文： ?加密后的數(shù)據(jù) (位的隨機(jī)組合 ) 。 ? ★ 加密算法和密鑰 加密算法： ?加密程序的邏輯稱為加密算法。 ? 散列值相當(dāng)于消息的 指紋 ，因它對(duì)每條消息都是惟一的。 ? ★ 對(duì)稱加密 ?又稱私有密鑰加密，它只用一個(gè)密鑰對(duì)信息進(jìn)行加密和解密。若密鑰泄露 ,以前的所有信息都失去了保密性 ,以后發(fā)送者和接收者進(jìn)行通訊時(shí)必須使用新的密鑰。 ?如果每?jī)蓚€(gè)人要求一個(gè)私有密鑰 ,12個(gè)人彼此間進(jìn)行保密通訊就需要 66個(gè)私有密鑰。使用公開密鑰對(duì)信息加密。 ? 由于密鑰對(duì)是惟一的，只有私有密鑰才能打開以配對(duì)的公開密鑰加密的信息，反之亦然。 ? 一旦信息從服務(wù)器下載并解密后，就以明文的形式保存在接收者的計(jì)算機(jī)上，這時(shí)所有人都可閱讀了。如果需要，每人的公開密鑰甚至可張貼在地鐵站，它沒有特殊的發(fā)布要求。 ? 公開密鑰加密缺點(diǎn)： ? 是加密密鑰比私有密鑰加密系統(tǒng)的 速度慢 得多。 ? ⑵ 安全套接層協(xié)議 (SSL) ① SSL簡(jiǎn)介 ② SSL工作方式 ? ① SSL簡(jiǎn)介 ? 安全套接層 (SSL)系統(tǒng)由網(wǎng)景公司提出； ? SSL是支持兩臺(tái)計(jì)算機(jī)間的安全連接； ? SSL透明地自動(dòng)完成發(fā)出信息的加密和收到信息的解密工作； ? 處于 Inter多層協(xié)議集的傳輸層。 記錄是由記錄頭和記錄數(shù)據(jù)組成的。證書包含有一個(gè)公鑰，這個(gè)公鑰是由