第四章　電子商務(wù)的安全
    1.計(jì)算機(jī)安全
    計(jì)算機(jī)安全就是保護(hù)企業(yè)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、篡改或破壞。
    安全專家通常把計(jì)算機(jī)安全分成三類，即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性；完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改；即需是防止延遲或拒絕服務(wù)。
    安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。
    安全策略是對所需保護(hù)的資產(chǎn)、保護(hù)的原因、誰負(fù)責(zé)進(jìn)行保護(hù)、哪些行為可接受、哪些不可接受等的書面描述。
    安全策略一般包含以下內(nèi)容：
    (1)認(rèn)證：誰想訪問電子商務(wù)網(wǎng)站？
    (2)訪問控制：允許誰登錄電子商務(wù)網(wǎng)站并訪問它？
    (3)保密：誰有權(quán)利查看特定的信息？
    (4)數(shù)據(jù)完整性：允許誰修改數(shù)據(jù)，不允許誰修改數(shù)據(jù)？
    (5)審計(jì)：在何時(shí)由何人導(dǎo)致了何事？
    2.對版權(quán)和知識產(chǎn)權(quán)的保護(hù)
    版權(quán)是對表現(xiàn)的保護(hù)，一般包括對文學(xué)和音樂作品、戲曲和舞蹈作品、繪畫和雕塑作品、電影和其他視聽作品以及建筑作品的保護(hù)。
    知識產(chǎn)權(quán)是思想的所有權(quán)和對思想的實(shí)際或虛擬表現(xiàn)的控制權(quán)。
    3.保護(hù)客戶機(jī)
    對客戶機(jī)的安全威脅來自：
    (1)活動(dòng)內(nèi)容；
    (2)Java、Java小應(yīng)用程序和javascript；
    (3)ActiveX控件；
    (4)圖形文件、插件和電子郵件附件。
    信息隱蔽是指隱藏在另一片信息中的信息(如命令)，其目的可能是善意的，也可能是惡意的。信息隱蔽提供將加密的文件隱藏在另一個(gè)文件中的保護(hù)方式。
    數(shù)字證書是電子郵件附件或嵌在網(wǎng)頁上的程序，可用來驗(yàn)證用戶或網(wǎng)站的身份。另外，數(shù)字證書還有向網(wǎng)頁或電子郵件附件原發(fā)送者發(fā)送加密信息的功能。
    4.通訊信道的安全威脅
    對保密性的安全威脅，是指未經(jīng)授權(quán)的信息泄露。
    對完整性的安全威脅也叫主動(dòng)搭線竊聽。當(dāng)未經(jīng)授權(quán)方同意改變了信息流時(shí)就構(gòu)成了對完整性的安全威脅。
    對即需性的安全威脅也叫延遲安全威脅或拒絕安全威脅，其目的是破壞正常的計(jì)算機(jī)處理或完全拒絕處理。
    5.信息加密
    加密就是用基于數(shù)學(xué)算法的程序和保密的密鑰對信息進(jìn)行編碼，生成難以理解的字符串。將這些文字(稱為明文)轉(zhuǎn)成密文(位的隨機(jī)組合)的程序稱作加密程序。
    解密就是指把加密后的密文還原為原來的文字(明文)。
    按密鑰和相關(guān)加密程序類型可把加密分為三類：散列編碼、對稱加密和非對稱加密。
    散列編碼是用散列算法求出某個(gè)消息的散列值的過程。散列編碼對于判別信息是否在傳輸時(shí)被改變非常方便。
    對稱加密又稱私有密鑰加密，它只用一個(gè)密鑰對信息進(jìn)行加密和解密。來源:考試大網(wǎng)
    非對稱加密也叫公開密鑰加密，它用兩個(gè)數(shù)學(xué)相關(guān)的密鑰對信息進(jìn)行編碼。其中一個(gè)密鑰叫公開密鑰，可隨意發(fā)給期望同密鑰持有者進(jìn)行安全通訊的人。公開密鑰用于對信息加密。第二個(gè)密鑰是私有密鑰，屬于密鑰持有者，此人要仔細(xì)保存私有密鑰。密鑰持有者用私有密鑰對收到的信息進(jìn)行解密。
    6.SSL和S-HTTP
    SSL和S-HTTP支持客戶機(jī)和服務(wù)器對彼此在安全WWW會(huì)話過程中的加密和解密活動(dòng)的管理。
    SSL是支持兩臺(tái)計(jì)算機(jī)間的安全連接，而S-HTTP則是為安全地傳輸信息。SSL和S-HTTP都是透明地自動(dòng)完成發(fā)出信息的加密和收到信息的解密工作。SSL處于Internet多層協(xié)議集的傳輸層，而S-HTTP是在層--應(yīng)用層。
    7.對服務(wù)器的安全威脅
    安全漏洞是指破壞者可因之進(jìn)入系統(tǒng)的安全方面的缺陷。
    防火墻是具有以下特征的計(jì)算機(jī)：由內(nèi)到外和由外到內(nèi)的所有訪問都必須通過它；只有本地安全策略所定義的合法訪問才被允許通過它；防火墻本身無法被穿透。
    (以下三種類型,有映像即可能區(qū)分開來.
    濾是防火墻的一種，它要檢查在可信網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，包括信息包的源地址、目標(biāo)地址及進(jìn)入可信網(wǎng)絡(luò)的信息包的端口，并根據(jù)預(yù)先設(shè)定的規(guī)則拒絕或允許這些包進(jìn)入。來源:考試大網(wǎng)
    網(wǎng)關(guān)服務(wù)器是根據(jù)所請求的應(yīng)用對訪問進(jìn)行過濾的防火墻。網(wǎng)關(guān)服務(wù)器會(huì)限制諸如Telnet、FTP和HTTP等應(yīng)用的訪問。應(yīng)用網(wǎng)關(guān)對網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的訪問進(jìn)行仲裁。
    代理服務(wù)器是代表某個(gè)專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)行通訊的防火墻。)