版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 电子商务安全与网页制作第1页,共70页。电子商务安全体系 完整电子商务安全体系一般包括4个组成部分: 客户端 服务器端 银行端 认证机构。第2页,共70页。计算机病毒及其防范杀毒软件安装系统升级防火墙软件防火墙的安装与配置防火墙应用软件防火墙系统任务的管理浏览器安全设置Internet选项cookies系统备份与恢复系统还原系统(恢复软件EasyRecovery )系统备份Ghost(1) 客户端安全第3页,共70页。1 操作系统安全2 服务的访问控制与管理 3 防火墙4 数据库安全5 服务器的物理安全(2) 服务器安全第4页,共70页。为了计算机的安全,进行用户安全配置时进行如下操作: 禁
2、止Guest用户。 给Administrator账号改名。 创建陷阱用户。1 操作系统安全第5页,共70页。 除了安装杀毒软件、防火墙、更新操作系统等客户端常用的系统安全措施之外,服务器端安全一般还会进行如下操作: 把服务器的所有分区都改成NTFS格式。 关闭默认共享。 禁止用户从软盘和光驱启动系统。 2 服务的访问控制与管理第6页,共70页。 网络防火墙是构造在内部网和外部网之间的保护装置。1)防火墙的安全策略。 2)防火墙的功能 保护易受攻击的服务。 控制对特殊站点的访问。 集中化的安全管理。 检测外来黑客攻击的行动。 对网络访问进行日志记录和统计。 3 防火墙第7页,共70页。1)不良的
3、口令政策 在安装SQL Server后,SQL Server会将产生一个默认的SA用户,而且初始密码在管理员没有设置的情况下为空。所以需要在SQL Server的服务器上新建一个管理员级别的用户。2)SQL注入攻击 SQL注入攻击就其本质而言,利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据库,往应用程序中插入一些SQL语句时,SQL注入攻击就发生了。4 数据库安全第8页,共70页。 物理环境主要是指服务器托管机房的设施状况,包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等,这些因素会影响到服务器的寿命和所有数据的安全。 物理安全是指计算机所
4、在的物理环境是否可靠,会不会受到自然灾害和人为的破坏(失窃、破坏)等。 要保证服务器的物理安全,首先要特别保证所有的重要设备与服务器要集中在机房里,并制订机房相关制度,无关人员不得进入机房等。 5 服务器的物理安全第9页,共70页。1)CA认证 CA (Certification Authority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。认证机构相当于一个权威可信的中间人,它的职责是核实交易各方的身份,负责电子证书的发放和管理。2)数字证书的概念与内容 数字证书又称为数字凭证或数字标识(Digital Certificate,Digital ID),也被称
5、作CA证书,实际是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在计算机硬盘中。5.2 CA认证与数字证书第10页,共70页。 数字证书主要包括四个方面的内容:证书所有者的信息证书所有者的公开密钥证书颁发机构的签名证书有效期 一个标准的X.509数字证书包含以下一些内容:证书的版本信息证书的序列号证书所使用的签名算法证书的发行机构名称(命名规则一般采用X.500格式)私钥的签名证书的有效期证书使用者的名称及其公钥的信息。 5.2 CA认证与数字证书第11页,共70页。 3)数字证书的类型 常见的数字证书有三种类型。个人证书、企业(服务器)证书(Server ID)、软件(开发者
6、)证书。上述三类凭证中前两类是常用的凭证,大部分认证中心提供前两类凭证。 从证书的用途来看可以将数字证书分为根证书、服务器证书和客户证书三种。5.2 CA认证与数字证书第12页,共70页。4)数字证书的安装与使用 CA认证中心签发证书后,证书的持有者给其他人、Web站点提供他的证书来证明他的身份。在银行网上银行系统中,下载客户证书及CA根证书的过程即是将这些证书安装到浏览器的过程,浏览器会引导你完成安装过程。在用户进入网上银行交易之前,浏览器与服务器之间建立SSL安全通道时,会自动使用双方的证书,所以,在进入交易之前,你应保证客户证书及CA根证书已经安装在浏览器中。 在完成证书下载后,建议立即
7、备份客户证书及私钥。私钥是有密码保护的,在导出证书及私钥时,系统将提示提供该密码,应牢记这个密码,并定期更换密码。5.2 CA认证与数字证书第13页,共70页。数字证书工作情况第14页,共70页。国内常见的CA有中国商务在线 中国数字认证网() 数字认证,数字签名,CA认证,CA证书,数字证书,安全电子商务。 北京数字证书认证中心()为网上电子政务和电子商务活动提供数字证书服务。 5)CA中心第15页,共70页。1)安全套接层协议2)安全电子交易协议5.3 电子商务安全协议第16页,共70页。 安全套接层(Secure Sockets Layer,SSL)是一种传输层技术,由Netscape开
8、发,可以实现兼容浏览器和服务器之间的安全通信。 SSL协议是目前购物网站中常使用的一种安全协议。SSL协议就是在和另一方通信前先讲好的一套方法,这个方法能够在它们之间建立一个电子商务的安全性秘密信道,确保电子商务的安全性,凡是不希望被别人看到的机密数据,都可通过这个秘密信道传送给对方,即使通过公共线路传输,也不必担心别人的偷窥。SSL可以支持X.509证书和多种保密密钥加密算法。1)安全套接层协议第17页,共70页。 SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中,双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。如果客户机没有证书也没
9、关系,因为客户机是发送敏感信息的一方。而客户机正与之交易的服务器应有一个有效的证书,否则客户机就无法确认这个商务网站是否与其声称的身份相符。确认完成后,SSL对在这两台计算机之间传输的信息进行加密和解密。 由于SSL处在互联网协议集中TCP/IP层的上面,实现SSL的协议是HTTP的安全版,名为HTTPS。1)安全套接层协议第18页,共70页。 Visa与MasterCard两家信用卡组织共同推出,并且与众多IT公司,如Microsoft、Netscape、RSA等共同发展而成的安全电子交易协议(Secure Electronic Transaction,SET) 应运而生。SET在保留对客户
10、信用卡认证的前提下,又增加了对商家身份的认证,由于设计合理,SET协议得到了IBM、Microsoft等许多大公司的支持,已成为事实上的工业标准。 SET是一种以信用卡为基础的、在互联网上交易的付款协议书,是授权业务信息传输安全的标准。2)安全电子交易协议第19页,共70页。 在SET的交易中,成员主要有持卡人(消费者)、网上商家、收单银行、支付网关、发卡银行、认证中心CA。 SET系统的动作是通过4个软件来完成的,包括电子钱包、商店服务器、支付网关和认证中心软件,这4个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中,相互运作来完成整个SET交易服务。2)安全电子交易协议第20页,
11、共70页。电子商务交易风险的识别电子商务交易风险的防范及应对 遭遇网络诈骗后的应对策略5.3 电子商务交易安全第21页,共70页。 1)从信息内容辨别真伪 如果公司介绍太简单,求购意图不明显,地址也写得很模糊,预留的公司网站是虚假地址或者并非诚信通会员统一的格式,通常情况下,就有可能是虚假的信息。5.3 电子商务交易风险的识别第22页,共70页。 2)查询企业信用记录 在阿里巴巴的企业信用数据库中,可以查询到很多信用不良的企业被投诉的记录。这些记录,可以帮助用户判定信息发布方的诚信程度。5.3 电子商务交易风险的识别第23页,共70页。 3)从论坛搜索相关信息 把某个企业的名称输入到阿里巴巴论
12、坛中进行搜索,如果发现有网商发贴子揭露该企业的不诚信行为,那用户与该企业进行商业贸易的风险性就比较大了。5.3 电子商务交易风险的识别第24页,共70页。 4)查询诚信指数及评价 诚信通档案记录了企业的诚信指数及其他客户的评价,可以借以综合判断与该企业进行贸易时的风险程度。5.3 电子商务交易风险的识别第25页,共70页。 5)通过搜索引擎搜索 借助于Yahoo!、Google、百度等著名搜索引擎,用户可以比较方便的查找所需的资料。将某个企业的名称、地址、联系人、手机、电话、传真等信息输入到搜索引擎中,可能会搜索到和其相关的信息。5.3 电子商务交易风险的识别第26页,共70页。 6)通过工商
13、管理部门网站查询 要了解交易对方诚信的资讯,可以通过国家权威部门的网站上查询。一个非盈利性网站主页最下方必需有ICP备案号,一个盈利性网站主页最下方必需有红盾标记。点击红盾标记进入工商红盾网的网站,可查看交易对方的企业代码、法人代表、地址、以及联系方式等信息,帮助用户了解对方公司的真实注册情况。 如果发现对方提供的信息和工商红盾网上的信息不一致,就需要留心,必要时还可以通过114查询对方的电话号码,打电话去核实。5.3 电子商务交易风险的识别第27页,共70页。7)专业性测试 由于网络诈骗分子们没有真实的采购意图,往往对产品本身并不了解或是了解不多。因此,用户在与其进行沟通的过程中,可以运用自
14、己对产品的知识,设定一些问题,测试对方是否了解采购的产品,进而来判断对方是否有真实的采购意图。5.3 电子商务交易风险的识别第28页,共70页。 1)账户密码安全 密码长度应该在8到20位; 密码使用不同符号组合,如字母加数字; 切不可将密码设置成与公开的信息一致 定期更改密码; 企业内掌握密码的人数应尽量少; 不同的账户设置不同的密码,以免多个账户同时被盗; 不能将企业重要资料告诉他人,以免他人据此要求阿里巴巴系统管理员更改密码。5.4 电子商务交易风险的防范与应对第29页,共70页。2)养成良好的网络使用习惯 养成良好的网络使用习惯也是防范网络贸易风险的措施之一。尽量不要在网吧里登录阿里巴
15、巴诚信通账户或者支付宝账户;输入密码时尽量使用“复制+粘贴”的方式,以防止记键木马;在使用贸易通和客户沟通时,一定要注意陌生人发过来的链接,如果对方发过来一个文件,可以使用各类杀毒软件先行检测,确定是否是病毒后再决定是否打开。 5.4 电子商务交易风险的防范与应对第30页,共70页。3)使用第三方支付平台来支付货款 支付宝是阿里巴巴公司针对网上交易而特别推出的安全付款服务。支付宝的实质是以其为信用中介,在买家确认收到商品前,由支付宝替买卖双方暂时保管货款的一种增值服务。正是由于这一因素,使得从事网络贸易都可以坦然地利用网络进行交易,解除了网络交易者最为担心的支付安全问题。5.4 电子商务交易风
16、险的防范与应对第31页,共70页。(1)搜集、保留诈骗证据(2)及时报警(3)进行投诉 遭遇网络诈骗后的应对策略第32页,共70页。5.5 商务网站规划第33页,共70页。网站设计1标题设计 每一个网站都有一个响亮的名字和独具风格的标志,好的标题能简洁明了地体现出这个网站的主题,同时具有吸引力。标志也同样要设计得简单而独具特色。2网页模块设计 网页中的内容分为若干个板块,以利于规划网页的组织结构。3网页结构设计 在前面内容分块的基础之上,网页按树状结构安排。整个网页共有四到五个层次,网页之间的关系将由文档之间的链接表现出来。第34页,共70页。(案例:艺海拾贝)艺海泛舟经典画廊交响之魂各时期经
17、典绘画CD圣经交响随想入门园地推荐曲目交响历史集邮天地奇闻共赏邮品分类欣赏集邮知识邮品交流各类电子书籍投稿箱留言板第35页,共70页。4.网页目录结构有一个清晰的目录结构对设计网页是很有益处的,便于维护与查找。由于目录和网页的结构都是树状结构,一般一一对应地一个节点创建一个子目录,子节点的网页就存在父节点对应的目录中。艺海拾贝网站的目录结构如右图: ArtSeafeedbackhistoryfeelingcdbibleknowledgeinfogermsymphonystampliteralimagegallery第36页,共70页。商务网站开发流程阶段名称主要工作内容与阶段成果规划与设计网站
18、规划网站策划书或网站建设规划需求分析网站建设目标、需求说明书、功能模块图等网站设计网站设计说明书网站开发网站(网页文件)部署与管理网站发布域名申请、服务器准备、文件上传与发布网站推广与维护网站推广、日常管理与维护等第37页,共70页。一、商务网站概述 商务网站是指一个企业、机构或公司在互联网上建立的站点,其目的是为了宣传企业形象、发布产品信息、宣传经济法规、提供商业服务等。1用户数量大2加强与客户的联系3提供商业信息4提供客户服务5建立24小时服务中心6提供迅速变化的信息第38页,共70页。二、商务网站的组成一个基本商务网站的主要内容就是对公司和产品的简单介绍。一个基本商业网站点都包括以下几部
19、分:1联系信息:公司的名称、地址、主要的电话号码和传真号码、E-mail地址 2商业机构的地址:如果公司的商品项目是因地而异的 3重要人物的介绍4重要客户的介绍5公司产品和服务介绍6新闻:商业巡展、产品发布、新闻发布以及有关公司的报纸摘要等内容第39页,共70页。三、商务网站建设步骤目标规划系统分析系统设计网站实现网页发布网页调试维护与管理第40页,共70页。1.目标规划1)服务对象:描述这个网站面向的对象,包括已知对象和潜在对象;2)设置目的:建站的目的;3)开发目标:要建网站的规模、功能、形式等;4)应用领域:网站所提供信息所属的应用领域范围;5)规格描述:具体网页的信息内容、信息链路设置
20、、人机界面功能等;6)实现要求:网站建立所需的开发时间、软硬件环境等。 这些问题要在规划阶段就有一个大体的轮廓,在进一步的分析、设计、实现中逐步完善。第41页,共70页。2.系统分析网页主题意义的分析对网页内容的分析对制作者已有资源的分析对网站的软硬件环境的分析对网页可能访问者的分析网站建设的合理性及可行性第42页,共70页。3.系统设计 一般网页设计类似于软件开发的设计,有自顶向下、自底向上和不断增补等设计方法。主要任务是网页内容的设计,包括网页的信息组织结构、外观、内容分块、导航与链接、目录结构等的设计。 系统设计是网站具体实现前的准备,对网页的实现进一步提出更具体的要求,对网页的整体效果
21、、局部细节能有更明确的想法。第43页,共70页。4.网站实现网页的实现:主要使用HTML语言,另外用到JavaScript、图像制作、CGI编程等具体的技术WWW服务器的实现:用到各种基于不同操作系统的WWW服务器软件的安装、调试。第44页,共70页。网站开发技术分类 对于网页设计与制作,一般来说分为“静态网页”和“动态网页”两大类型。 (1)静态网页指网页的内容已预先设计好,存放在WEB服务器上,当用户使用浏览器通过互联网的HTTP协议向WEB服务器提出请求时,服务器仅仅是将原已设计好的静态HTML文档传送给用户浏览器。在网页上加上一些动画和视频并不是动态网页。 (2)动态网页指能够根据用户
22、的要求和选择,进行不同的处理,并根据处理的结果,自动生成新的页面,不再需要设计者手动更新HTML文档。第45页,共70页。WEB开发技术分类类型开发技术开发工具(软件)静态普通静态网页HTML, CSS设计Dreamweaver,Frontpage多媒体静态网页图像美化,FLASH,视频插件等PhotoShop,Firework,Flash动态客户端动态技术Java script,Java applet等各种文本(代码)编辑软件服务器端普通WEB应用程序设计(ASP,JSP,PHP)企业级应用程序设计(.net,J2EE), XMLVWD,Jbuild等开发平台跨平台系统集成WEB Serve
23、r,SOAP,XML等数据管理数据访问ODBC,JDBC,ADO; 数据库Oracle, SQL Server, DB2,MySQL, Access等第46页,共70页。5.网页发布这个阶段网页制作接近尾声,主要工作是把做好的网页发布到网络上(Internet或Intranet),对网页作最后的修改、测试,保证网页能在网络上正常地运行。6.网页调试网页发布后将对网页进行各个方面各种情况的测试,包括网页能否在任何不同的浏览器中浏览;对于任何不同的访问者都表现正常,JavaScript、CGI程序能否正常工作等等。这个阶段称为网页的试运行期,此时应把网页的各种缺陷尽量弥补,使网页更为完善。7.维护
24、与管理这个阶段网站进入正常运行期,主要工作是及时更新网页过时的信息,及时对访问者的留言作出反馈,进一步完善网页,不断采用新的技术更新升级网页,使网页的访问更迅速,外观更美观,信息资源更丰富。第47页,共70页。四、选择商务模式 企业与用户企业与企业 第48页,共70页。五、域名注册 域名是由人、企业或组织申请的网站使用的Internet标识,并对提供服务或产品的品质进行承诺和提供信息交换或交易的虚拟地址。在确定企业电子商务网站域名的命名时,应考虑以下几个方面:选用企业已有商标或企业名称选择简单和易记易用的名字域名的自我保护 申请域名可以直接到中国互联网信息中心CNNIC (/)办理,也可以委托
25、网络服务单位代为办理。域名注册申请人必须是依法登记并且能够独立承担民事责任的组织,个人不能申请注册域名。 第49页,共70页。六、选择支付方式 支付方式决定了资金的流动过程,目前的主要支付方式有:送货上门付款:商家将商品交给客户,客户查验货物后以现金的方式支付给商家 汇款方式:客户在完成订单时,通过邮政系统或银行系统汇款,当商家接到汇款后,再将商品发给客户 电子支付:通过银行卡或信用卡支付完成的支付,涉及到客户、商家、银行、CA中心等第50页,共70页。5.6 硬件环境第51页,共70页。网站的硬件一般应考虑客户、服务器、接入Internet的方式等三方面的问题,网站硬件一般架构如右图所示 :
26、1客户机2服务器3WWW服务器与Internet连接方式第52页,共70页。互联网服务商提供的服务虚拟主机托管服务器第53页,共70页。虚拟主机 采用特殊的软硬件技术把一台完整的服务器主机分成若干个主机,实际上是将真实主机的硬盘空间分成若干份,然后租给不同的用户,每一台被分割的主机都具有独立的域名和IP地址,但共享真实主机的CPU、RAM、操作系统、应用软件等。运行时由用户远程操作属于自己的那一块,而这一块对任何用户而言,就是一台完整的服务器,和一台真实独立的主机功能完全一样。第54页,共70页。虚拟主机第55页,共70页。虚拟主机服务内容存储空间:互联网服务商必须提供存储空间,企业可根据发展
27、的需求不断调整存储空间。电子邮件:互联网服务商一般提供35个电子信箱。电子邮件目前是企业最常用的通信工具之一。网页制作:网页可委托互联网服务商制作,也可由企业自已制作。IP地址:互连服务商必须提供独立的IP地址,并且支持多个域名指向同一个IP地址。因企业的域名由于被他人抢注或其它原因,企业可能有多个域名。文件传输(FTP):文件传输的主要功能是上传网页,在企业内部将网页文件上传到互联网服务商的虚拟主机上。时间:互连服务商应提供每天24小时,每周7天,每年365天的服务,因商业网一但开通不允许长时间停机。速度:速度是企业网站的生命,选择互联网服务商时应重点考虑这个问题。第56页,共70页。虚拟主
28、机特点采用虚拟主机技术的用户只需对自己的信息进行远程维护,而无需对硬件、操作系统及通信线路进行维护。虚拟主机到Internet的连接一般采用高速宽带网,用户到虚拟主机的连接可采公共电话网PSTN、一线通INDN、ADSL等。采用虚拟主机方式建立电子商务网站具有投资小,建立速度快,安全可靠,无须软硬件配置及投资,无须拥有技术支持等特点。多个不同的站点共享一台服务器的所有资源,是入门级的站点解决方案。如果虚拟主机所在的服务器上运行了过多的虚拟主机,系统就会容易过载,性能下降,从而直接影响浏览网站的效果。 第57页,共70页。托管服务器 服务器托管是指用户将自己的独立服务器寄放在互联网服务商的机房,
29、日常系统维护由互联网服务商进行,可为企业节约大量的维护资金。 第58页,共70页。服务器托管的特点 灵活:当web已经成熟后,Web用户希望内容动态化,连接互动化,个性化,而这需要依靠托管独立主机才能得到较好的解决。稳定:在独立主机的环境下,就可以对行为和程序严密把关、精密测试,将服务器的稳定性提升到最高。安全:虚拟服务器主机是非常容易被黑客和病毒袭击的,如果服务商没有处理好安全问题,可能其他用户可以轻易地通过程序来进行浏览、删除、修改等操作。而托服务器极少会出现这样的问题。快捷:托管独立主机接入网络速度高。第59页,共70页。怎样选择主机托管服务 可靠性 主机服务设施要具备排除任何可能发生的
30、故障的能力,如果一个设施遇到问题,其功能可以由另一个设施来承担。例如配备双重供电系统,主机服务设施通过两个途径链接到互联网上。安全问题 选择的托管主机设施既要不断地监控硬件设施,也要不断地监控进入到硬件设施中的数据和软件。身份证明和一些其他的访问控制可以对进入指挥中心进行严格的控制。功能需求 托管主机设施应具备提供潜在的功能,特别是具有较高的带宽。同时,所有这些服务器和管道都有实时的监控。指挥中心能够及时发现问题和解决问题,为客户提供高质量的服务。第60页,共70页。案例:上海电信IDC的主机托管服务IDC (Internet Data Center),第61页,共70页。5.7 软件环境第62页,共70页。系统平台:Windows NT、UNIX、Net ware、Linux等
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年保山c1客运资格证考试项目
- 2024年珠海道路旅客运输从业资格证模拟试题
- 吉首大学《结构模型设计制作》2021-2022学年第一学期期末试卷
- 吉林艺术学院《音乐美学Ⅰ》2021-2022学年第一学期期末试卷
- 吉林艺术学院《色彩基础训练II》2021-2022学年第一学期期末试卷
- 2024年共同经营宾馆合作协议书模板
- 2024年供货肉类合同范本
- 2024年大宗商办租赁合同范本
- 2024年大型储罐合同范本
- 公司与公司劳务外包协议书范文范本
- 限度样品一览表
- 人教版七年级上册生物312种子植物说课课件(共22张)
- 生物安全手册
- 气管切开术Tracheotomy课件
- 船用火灾报警控制器使用说明书20230801v11
- 冀教版九年级上册英语课件 Unit4 写作能力提升练
- 盆底康复治疗记录
- 齐鲁工业大学2022年上期末药物分离工程期末考试复习资料
- 《药疹(Drug Eruption)》PPT课件
- GB∕T 41426-2022 牙科学 一体式手柄牙线
- 第二章 生涯发展理论PPT课件
评论
0/150
提交评论