电子商务安全技术实用教程 课件 第07、8章 电子商务软件系统安全、电子支付与网上银行

第七章电子商务软件系统安全7.1操作系统安全7.2数据库系统安全7.3Web网站系统安全7.4手机端系统安全

7.1操作系统安全7.1.1操作系统安全概述1.操作系统安全的重要性操作系统是管理整个计算机硬件与软件资源的程序，网络操作系统是网络系统的基础长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品2.操作系统安全主要内容（1）系统安全不允许未经核准的用户进入系统，主要采取的手段有注册和登录。（2）用户安全用户安全管理,是为用户分配文件“访问权限”而设计。（3）资源安全资源安全是通过系统管理员或授权的资源用户对资源属性的设置（4）通信网络安全用户身份验证和对等实体鉴别、访问控制、数据完整性、防抵赖、审计3.操作系统安全机制（1）硬件安全机制：存储保护：运行保护；I/O保护（2）身份鉴别：计算机系统对用户身份的标识与鉴别机制（3）访问控制：授权、确定访问权限、实施访问权限控制（4）最小特权原则：主体只能拥有与其操作相符的最小特权（5）可信通道：只能直接与可信计算机通信的一种机制（6）安全审计：对系统中的活动进行记录、检查或审核7.1.2Linux安全机制1.用户帐号用户帐号是用户的身份标志2.文件系统权限主要是通过设置文件的权限来实现的3.日志文件日志文件用来记录整个操作系统使用状况7.1.3WindowsServer安全机制1.系统登录：Windows要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。2．访问控制：允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。3．安全审计：提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。4．WINDOWSServer系列的安全策略：本地安全策略，域安全策略，域控制器安全策略。5．WindowsServer系列组的形式：从组的使用领域分为本地组、全局组和通用组三种形式。7.2数据库系统安全7.2.1数据库系统安全概述1.数据库系统的安全问题目前用于网站的数据库管理系统有Access、SQLServer、Oracle、Sybase、MySQL等。大多数关系数据库已经存在几十年了，都是相当成熟的产品。但由于其应用目的、环境等的不同，其安全性存在着不同程度的缺陷。2.数据库系统安全威胁（1）数据库数据量大，数据敏感度不同而且粒度很细（2）用户成分复杂（3）数据库操作的种类多，安全性要求也不同（4）推导控制问题，利用统计结果推导出高敏感度的原始数据（5）分布式数据库带来更多的安全问题（6）安全设计可能地降低对原数据库系统使用效率的影响图7-1数据库安全威胁示意图4.数据库安全技术（1）用户标识与鉴别（2）存取控制技术（3）隔离控制技术（4）加密技术（5）信息流向控制（6）审计（7）备份与恢复7.2.2SQL-Server安全机制1.SQLServer的安全体系SQLServer主要有四个部分组成：（1）数据定义语言：即SQLDDL，用于定义SQL模式、基本表、视图、索引等结构。（2）数据操纵语言：即SQLDML。数据操纵分成数据查询和数据更新两类。其中数据更新又分成插入、删除和修改三种操作。（3）嵌入式SQL语言的使用规定：这一部分内容涉及到SQL语句嵌入在宿主语言程序中的规则。（4）数据控制语言：即SQLDCL，这一部分包括对基本表和视图的授权、完整性规则的描述、事务控制等内容。SQLServer提供四层安全防线操作系统的安全防线：Windows操作系统的网络管理员负责建立用户组，设置账号并注册，同时决定不同用户对不同系统资源的访问级别。SQLServer的运行安全防线：通过登录账号设置来创建附加安全层。用户只有登录成功，才能与SQLServer建立一次连接。SQLServer数据库的安全防线：特定数据库都有自己的用户和角色，该数据库只能由它的用户或角色访问，其他用户无权访问其数据。SQLServer数据库对象的安全防线：可以对权限进行管理，保证合法用户即使进入了数据库也不能有超越权限的数据存取操作，即合法用户必须在自己的权限范围内进行数据操作。3.SQLServer安全策略（1）安全的密码策略（2）安全的帐号策略（3）加强数据库日志的记录（4）管理扩展存储过程（5）使用加密协议（6）防止探测、修改TCP/IP端口（7）对网络连接进行IP限制7.2.3Oracle的安全机制1．Oracle的安全体系（1）系统安全性（2）数据安全性（3）网络安全性2．Oracle的安全策略（1）用户管理（2）资源限定与口令管理（3）权限管理（4）角色管理（5）审计7.3Web网站系统安全电子商务网站的概念1.Web技术简介WorldWideWeb称为万维网，简称Web。它的基本结构是采用开放式的B/S（浏览器/服务器模式，相当于三层C/S模式：Client/Server）三个组成部分：服务器（Web服务器）客户接收机（Web浏览器）通讯协议（HTTP协议）常用的Web服务器软件（1）Apache：是世界使用排名第一的Web服务器软件（2）IIS：Internet信息服务（InternetInformationServer）是微软公司主推的服务器（3）Lighttpd：是由德国人JanKneschke领导开发的，基于BSD许可的开源WEB服务器软件（4）Tomcat：是Apache软件基金会的Jakarta项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成（5）小旋风：小旋风asp服务器软件是由残剑无敌在NETBOX核心下开发的一套强大简洁的ASPWEB服务器7.3.1Web网站的安全问题SQL注入跨站脚本攻击没有有效限制URL访问越权访问泄露配置信息不安全的加密存储传输层保护不足登录提示信息重复提交请求网页脚本错误7.3.2建立安全的Web网站（1）配置主机操作系统（2）合理配置Web服务器（3）设置Web服务器有关目录的权限（4）网页高效编程（5）Web网站的安全管理7.4手机端系统安全7.4.1安卓系统的安全1．安卓系统架构安卓（Android）系统是一种基于Linux内核和Java语言编程的、自由的、开源的操作系统。它主要用于移动设备，如智能手机和平板电脑，由Google公司和开放手机联盟开发。Android系统架构可以分为4层结构7.4手机端系统安全2．安卓系统的安全机制（1）用户识别和机构识别（2）权限管理（3）签名机制3．安卓系统的安全风险（1）非法获取安卓系统权限（2）缺乏认证机构的认证（3）密码安全问题（4）利用浏览器下载恶意软件（5）无线传送的风险（6）恶意软件的攻击4．安卓系统的安全对策（1）使用Android内建的安全功能（2）停用Wi-Fi自动连接（3）封锁官方应用商店以外的应用程序（4）接受授权要求时先确认（5）考虑安装有效的手机安全软件7.4.2移动App的安全1．App开发安全策略（1）应用安全（2）组件安全（3）运行时安全（4）通信安全。2．App应用安全策略（1）安装必要的手机安全软件（2）避免多个App使用相同的账号和密码。（3）避免到非官方的应用市场下载App（4）尽量不将自己的手机借给他人（5）不要轻易蹭网（6）不接听诈骗电话和诈骗短信本章小结电子商务系统与其他信息系统一样，除物理层、网络层外，软件系统主要由操作系统、数据库系统、应用系统（网站与交易平台）。网络操作系统是网络协议和网络服务得以实现的最终载体之一，网络操作系统安全是软件系统安全的基础。数据库系统安全是电子商务信息安全的核心环节，数据库存储着重要程度和敏感程度不同的各种数据。Web安全保护较为复杂。在开发编程过程中要做到加强输入验证、缜密的编程思路、慎用客户端执行代码，在Web应用当中要注意：服务器软件安装路径选择、注意缓冲区溢出问题、提防拒绝服务攻击、勤打补丁、完善日志文件功能等问题。第八章电子支付与网上银行8.1电子支付概述8.2电子支付工具8.3第三方支付8.4网上银行

8.1电子支付概述8.1.1相关概念1.电子支付：指的是电子交易的当事人，包括消费者、厂商和金融机构以商用电子化设备和各类交易卡为媒介，以计算机技术和通信技术为手段，以二进制为存储形式，通过计算机网络系统进行的货币支付或资金流转。8.1.2网上支付的工作原理图8-2网上支付体系的基本构成2.网上支付的流程客户进行商品的浏览在网上提交订单客户支付信息转发给支付网关银行验证确认资金从客户到商家的划拨结算成功后通知客户3.网上支付系统的安全特性（1）使用数字签名和数字证书实现对参与各方的认证。（2）使用加密技术对业务信息进行加密。（3）使用消息摘要技术确认业务信息的完整性。（4）保证业务信息的不可否认性。（5）能够处理贸易业务中的多边支付问题。（6）大部分支付过程对交易双方来说应该是透明的。（7）要保证网上支付结算的速度，应该让交易双方感到快捷。8.2电子支付工具8.2.1银行卡

银行卡是指经批准由商业银行（含邮政金融机构）向社会发行的具有消费信用、转账结算、存取现金等全部或部分功能的信用支付工具。银行卡的分类：（1）按是否具有透支功能分为信用卡和借记卡（如表8-1）（2）按照币种不同分为人民币卡、外币卡。（3）按发行对象不同分为单位卡(商务卡)、个人卡。（4）按信息载体不同分为磁条卡、芯片(IC)卡。8.2.2电子现金1.电子现金的概念电子现金又称数字现金，是一种以数据形式存在的现金货币，它把对应的现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。要使用电子现金，用户只需在开展电子现金业务的银行开设账户并在账户内存钱电子现金表现形式主要有预付卡和纯数字现金两种图8-5电子现金的购物流程图8-4电子现金的使用模型3.电子现金系统中使用的密码技术盲签名：用于实现电子现金的匿名性；分割选择技术：防止用户伪造电子现金；零知识证明：实现电子现金的匿名性，而且可实现条件匿名；认证：电子现金在花费或传递之前必须先进行认证；离线鉴别技术。数字人民币（字母缩写按照国际使用惯例暂定为“e-CNY”）是由中国人民银行发行的数字形式的法定货币，由指定运营机构参与运营并向公众兑换，以广义账户体系为基础，支持银行账户松耦合功能，与纸钞、硬币等价，具有价值特征和法偿性，支持可控匿名。8.2.3电子钱包电子钱包概念：是电子商务活动中购物顾客常用的一种支付软件，是在小额购物或购买小商品时常用的新式钱包。电子钱包的功能：存储个人信息、存储电子货币、管理电子证书、保存交易记录、保障电子交易安全。电子钱包的优势：（1）电子钱包给商家、客户和银行都带来了极大的方便。（2）电子钱包较现金系统具有更大的可靠性。（3）电子钱包给予用户较大的隐私保护。（4）电子钱包有利于降低交易成本和管理费用。（5）电子钱包使发行者获利的范围扩大。（6）电子钱包有利于银行法定准备金的管理。（7）电子钱包实现了“一卡走天下”。图8-6电子钱包的使用过程8.2.4电子支票1.电子支票的概念电子支票是客户向收款人签发的、无条件的数字化支付指令。电子支票是网络银行常用的一种电子支付工具。将传统支票改变为带有数字签名的电子报文，或利用其他数字电文代替传统支票的全部信息。与传统支票的运作流程类似图8-8电子支票交易过程4.电子支票的安全方案（1）电子支票的认证（2）公钥的发送（3）私钥的存贮（3）银行本票8.3第三方支付8.3.1第三方支付概述1.第三方支付的概念所谓第三方支付，就是通过与国内外各大银行签约、并由具备一定实力和信誉保障的第三方独立机构提供交易支持平台。由独立的第三方平台作为中介，在网上交易的商家和消费者之间作一个信用的中转，通过改造支付流程来约束双方的行为，从而在一定程度上缓解彼此对双方信用的猜疑，增加网上购物的可信度。2.第三方支付平台的优点不参与买卖双方的具体业务采用了与众多银行合作的方式能够提供增值服务可以对交易双方的交易进行详细的记录3.第三方支付的模式

账户型支付模式网关型支付模式多种支付手段结合模式优势承担中介职责，有客户资源，建立信用评价体系，可信度高起步早，充分了解客户需求方式多样，不用上网也可完成操作，风险低客户个人或中小型商户，面向B2B、B2C、C2C为中小型电子商务网站提供在线支付服务，面向B2C主要面向个人消费者，主要提供线下服务盈利服务费、店铺费、商品展示费等手续费+年费手续费+会员费问题平台间竞争激烈，认证程序复杂，中介账户有资金滞留吸储嫌疑单独网关型的收入主要是银行的二次结算获得的分成，一旦商家和银行直接相连，这种模式就会因为附加值低而最容易被抛弃大部分是线下服务，若当地没有开通此服务或没有相关终端，则无法进行操作发展加强与银行、物流、认证中心的合作，将信息流、资金流、物流整合在一起提供多种增值服务，扩大自己的营销领域；整合电子商务资源，发展成为以支付为基础的行业咨询公司提供各式各样的增值服务，建立多种会员制，牢牢把握客户表8-3三种模式典型代表模式举例账户型支付模式支付宝（）财付通（/）安付通（/）PAYPAL贝宝（）YeePay（）网关型支付模式快钱（/）北京首信易支付（）云网支付（）多种支付手段结合模式拉卡拉（/）嗖!付（/）缴费易（）8.3.2主要的第三方支付产品支付宝：支付宝（中国）网络技术有限公司2004年建立，是国内最大的独立第三方支付平台，由阿里巴巴集团创办。PayPal（贝宝）：全球范围内电子支付正迅速发展，PayPal这个全世界范围内最大的电子支付平台在全球有超过一亿的注册用户。银联在线（ChinaPay）：银联电子支付服务有限公司2002年3月26日成立，总部设在上海，是中国银联控股的银行卡专业化服务公司。财付通：是腾讯公司于2005年9月正式推出专业在线支付平台，致力于为互联网用户和企业提供安全、便捷、专业的在线支付服务。快钱：是国内领先的独立第三方支付企业，旨在为各类企业及个人提供安全、便捷和保密的综合电子支付服务。其他第三方支付：安付通、YeePay、首信易、汇付天下、环迅支付、付云网支付、GoogleCheckout等。8.3.3第三方交易平台安全问题（1）第三方支付机构安全意识薄弱（2）安全管理机构不健全、安全管理制度不完善（3）安全技术防护能力薄弱（4）应用程序中存在安全漏洞（5）个人信息不能得到保护8.4网上银行8.4.1网上银行的概念1.网上银行的定义网上银行又称在线银行，也称网络银行，是指银行利用Internet网络或其他专用网络，为银行客户在网上提供开户、销户、支付、转账、查询、汇款、网上证券、投资理财等传统服务项目。客户足不出户就能够安全快捷地办理银行业务。2．网上银行的产生与发展随着Internet的快速发展，特别是Web的广泛应用，越来越多的企业和个人选择在网上进行商业交易1995年10月18日，世界上第一家网络银行“安全第一网络银行”诞生3.网上银行与传统银行的比较（1）提高了金融服务质量（2）打破了地域的局限（3）拓宽金融服务领域（4）大大降低服务成本（5）网络银行系统简单易用，便于升级维护图8-12网上银行系统结构图8.4.2网上银行的组成与业务流程1.网上银行的组成（1）客户机前台子系统（2）银行端后台业务处理子系统（3）支付密码管理子系统（4）通信子系统（5）保密子系统8.4.2网上银行的组成与业务流程客户开户流程（1）提交申请（2