电子商务网站相关技术及安全.pptx
- 文档编号:30844705
- 上传时间:2024-02-02
- 格式:PPTX
- 页数:97
- 大小:4.13MB
电子商务网站相关技术及安全.pptx
《电子商务网站相关技术及安全.pptx》由会员分享,可在线阅读,更多相关《电子商务网站相关技术及安全.pptx(97页珍藏版)》请在冰豆网上搜索。
电子商务运营与推广主讲人:
薛福亮天津财经大学商学院电子商务教研室主任天津财经大学虚拟旅游研究所所长天津大学技术经济及管理博士本讲内容o互联网基础知识o网站开发常用相关技术o网站维护注意事项o网站安全1.IP地址2.通讯协议3.域名4.空间5.服务器互联网基础互联网基础IP地址o所谓IP地址就是给每个连接在Internet上的主机分配的一个32位地址.用来唯一的标识网络上的一台计算机.o202.113.96.10o202.113.128.123o因特网上的因特网上的IP地址具有全球唯一性;地址具有全球唯一性;o32位,位,4个字节,常用点分十进制的格式个字节,常用点分十进制的格式表示,例如:
表示,例如:
192.168.0.16两台计算机通过网络进行通信AB网络网络192.168.0.118域名域名192.168.0.10域名域名协议协议协议协议端端口口端端口口什么是域名?
域名是INTERNET上用来寻找网站所用的名字,是INTERNET上的重要标识,相当于主机的门牌号码,在全世界,没有重复的域名。
企业上网的第一步就是要为自己的公司申请域名。
例如:
中央电视台的域名是。
域名是互联网上一个企业或机构的名字,又称企业网上商标。
网址与域名的区别超文本传输协议,通知服务器显示Web页。
域名域名网址域名的分类域名的分类按域名的机构性质来划分一般国际域名的最后一个后缀是一些诸如.com,.net,.gov,.edu的”国际通用域”,这些不同的后缀分别代表了不同的机构性质。
比如.com表示的是商业机构,.net表示的是网络服务机构,.gov表示的是政府机构,.edu表示的是教育机构。
域名的分类中文域名中文域名是含有中文的新一代域名,同英文域名一样,是互联网上的门牌号码。
表现形式(四种):
青峰网络.中国青峰网络.cn青峰网络.公司青峰网络.网络注:
个人不可以注册中文域名域名的价位1、国际域名如:
.com、.net100元如:
.cc300元2、国内域名如:
.cn、、100元3、中文域名如:
中文.com、中文.net200元如:
中文.cn、中国.公司.cn280元如:
中文.cc400元什么是空间空间就是存放我们网站原文件的那块地方。
空间与域名的关系如果说域名是我们家的门牌号码的话,那么空间就是我们那温馨幸福的家了。
新签网站默认空间大小300M(兆)空间的价格250元300M什么是服务器服务器与个人电脑的功能相类似,均是帮助人类处理信息的工具,只是二者的定位不同,个人电脑(简称为PersonalComputer,PC)是为满足个人的多功能需要而设计的,而服务器是为满足众多用户同时在其上处理数据而设计的。
服务器与空间的关系如果说空间是我们的家的话,那么服务器就是社会,它可以容纳下很多的家,让这些家庭虽生活在同一个社会里,但是各有各的生活方式。
公司服务器1、省际带宽(常用的带宽为市级带宽)2、使用Linux+Apache+Php+Mysql平台3、一般情况下只收取网站空间费用,不收取数据库空间费用(超大数据库除外)。
注:
目前大公司5M的数据库+空间=400元4、每两天做一次数据库备份工作,每周做一次原文件备份,以保证客户网站的安全性5、724小时有专业人士值守。
网站常用开发技术o网站的类型o网站的组成部分o各种相关技术简介客户端客户端服务器端服务器端发出请求发出请求发回网页发回网页静态网页o最初的都是用超文本标记语言HTML来实现的.一般后缀为.htm或.htmlo制作工具可以是记事本、EditPlus等纯文本编写工具,也可以是FrontPage、DreamWeaver等所见即所得的工具。
o静态网页的缺点是:
如果要修改网页,必须修改源代码,并重新上传。
静态网页示例静态网页的工作原理接受请求找到静态网页发送网页服务器端动态网页o所谓动态网页,就是服务器端可以根据客户端的不同请求动态产生网页内容。
o两个显著特点:
n可以动态产生页面n支持客户端和服务器端的交互功能动态网页示例注册注册留言板留言板聊天室聊天室动态网页的工作原理接受请求找到动态网页发送网页服务器端运行动态网页,生成静态网页网站组成oCS模式与BS模式o网站界面(文字,图片,动画,对话框)o程序o数据库o硬件o前台,后台常用开发技术oHtmloCss+DIVoAsp,jsp,php,ophotoshop,firworks,flasho数据库oDreamweaveroHtml,Css,DIV用来做界面,Asp,jsp,php,用来写程序,photoshop,firworks,flash处理界面素材.数据库用来存储信息,Dreamweaver用来整合.html加入CNZZ统计代码ooo将代码加入您要跟踪的每个网页标记之前DIV+CSS的应用o支持浏览器的向后兼容o搜索引擎更加友好o样式的调整更加方便。
内容和样式的分离,使页面和样式的调整变得更加方便。
oCSS的极大优势表现在简洁的代码,对于一个大型网站来说,可以节省大量带宽,而且众所周知,搜索引擎喜欢清洁的代码。
o使页面载入得更快降低流量费用修改设计时更有效率保持视觉的一致性Javascript脚本语言作用:
1.验证表单2.美化网页3.做简单动画4.做一些网页特效5.减少服务器负荷PhpotshopPhotoshop功能1o亮度清晰度调整,色阶调整Photoshop功能2o色彩调整Photoshop功能3o图片选择与剪裁Photoshop功能4o图片的修饰Photoshop功能5o图片的合成图片优化Php,asp,,jspoPHP的优点o开放的源代码,所有的PHP源代码事实上都可以得到oPHP是免费的。
和其它技术相比,PHP本身免费。
o效率高,PHP消耗相当少的系统资源。
o学习相对容易DreamweaverMacromedia公司出品的公司出品的Web网页制作网页制作工具,具有“所见即所得”的技术特点。
用户工具,具有“所见即所得”的技术特点。
用户可以直接在页面添加和编辑网页元素,还支持可以直接在页面添加和编辑网页元素,还支持各种动态网页脚本编辑技术,可以方便高效地各种动态网页脚本编辑技术,可以方便高效地制作出漂亮的制作出漂亮的Web页面。
页面。
数据库及其操作o数据库(Database)是来组织、存储和管理数据的仓库,就是为了数据能很好的管理与处理。
例如,企业或事业单位的人事部门常常要把本单位职工的基本情况(职工号、姓名、年龄、性别、籍贯、工资、简历等)存放在表中,这张表就可以看成是一个数据库。
常见数据库oOracleoSqlServeroDb2oMySql:
1、免费2、简单3、速度快4、常用功能都有5、和开源软件配合很好oAccess数据库的基本术语o字段、记录、值、表、数据库利用利用SQL语言建立查询语言建立查询o当进行左图时,直接单击【关闭】按钮,然后在主窗口中依次选择【视图】、【SQL视图】菜单命令,就会出现”SQL视图”对话框。
7.3.1Select语句o此时可以使用Select语句来取得满足特定条件的记录集。
也就是说可以从数据库中查询有关记录。
oSelectTop(数值)字段列表From表Where条件OrderBy字段GroupBy字段Select语句示例oSelect*FromusersoSelect学号,姓名FromusersoSelectTop3*FromusersoSelectsum(入学成绩)astotalfromtableoSelect*FromusersWhere提交日期#2003-11-1#AND姓名=“建波”Select语句示例oSelect*FromusersWhere姓名like“%勇%”oSelect*FromusersOrderBy姓名DESCoSelectCount(*)AstotalFromusersWheresubmit_date#2003-11-1#电子商务安全问题电子商务安全问题o漏洞o病毒o黑客攻击o网络仿冒后门与漏洞后门与漏洞后门后门:
美国等西方发达国家的情报机构,明确要求各大信息技术公司,在计算机通信、软件研究开发中,要按照他们的旨意设置后门和陷阱。
windows计算机操作系统中都有可能预留了后门程序。
漏洞漏洞:
IBM公司专家认为大型软件1000-4000行程序就存在一个漏洞,象windwos系统5000万源程序可能存在20000个漏洞;微软Vista已报道发现的缺陷达到2万个。
o漏洞n1995到2004年漏洞公布数量(位:
)单个1.1电子商务安全问题电子商务安全问题171345311262417109024374129378437800500100015002000250030003500400045001、利用漏洞进行入侵、利用漏洞进行入侵安全事件:
安全事件:
2005年7月至10月,某某间谍情报机关曾对我境内76所高校和研究单位所在的222个网段反复扫描,利用漏洞控制了北大、清华、北师大等高校的大量主机,从中搜获、窃取了包括863课题研究计划在内的45份违规上互联网的文件和数千份资料。
江苏人陈某租住武汉,2007年7月,在网上找到黑客,委托其将某重点大学的招生网站上的数据库中的11名学生信息删除,同时非法追加另外8名学生。
然后给家长验证已被录取。
2008年12月5日,荆州市商务局网站,局领导变成一名三点式女郎。
而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。
1、利用漏洞进行入侵、利用漏洞进行入侵防范对策:
防范对策:
1.定期备份和检查相关访问和应用日志;2.及时对计算机操作系统和应用程序“打补丁”;3.安装防火墙和杀毒软件,并及时更新特征库;4.关闭不必要的端口和服务。
2、利用协议缺陷进行、利用协议缺陷进行DOS攻击攻击案例:
案例:
2009年5月19日全国大面积网络故障,6月25日,湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。
2009年7月7日9日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务(DDoS)攻击。
美国财政部、特工处、联邦贸易委员会和交通部网站7月日起遭到黑客持续攻击,截至当地时间日仍处于不同程度瘫痪状态。
两国共有大约家网站受攻击,其中家为韩国网站。
两国共有大约家网站受攻击,其中家为韩国网站。
韩国主要情报机构说,韩国韩国主要情报机构说,韩国.万台个人电脑和国外台个万台个人电脑和国外台个人电脑遭黑客“俘虏”,成为傀儡主机,沦为攻击工具。
人电脑遭黑客“俘虏”,成为傀儡主机,沦为攻击工具。
利用协议缺陷进行利用协议缺陷进行DOS攻击攻击什么是什么是DOSDOS攻击:
攻击:
攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。
DenialofService(DoS)拒绝服务攻击DistributedDenialofService(DDoS)分布式拒绝服务攻击攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。
DdoS攻击过程主控主机主控主机扫描程序扫描程序黑客黑客Internet非安全主机非安全主机被控主机被控主机应用服务器应用服务器o荆州人赵蓉的网上银行帐户上的资金被划走:
o20042004年年77月,黑龙江人付某使用了一种木马程月,黑龙江人付某使用了一种木马程序,挂在自己的网站上;荆州人赵蓉下载付某的序,挂在自己的网站上;荆州人赵蓉下载付某的软件,木马就“进入”电脑;屏幕上敲入的信软件,木马就“进入”电脑;屏幕上敲入的信息通过邮件发出:
账户、密码;付某成功划出息通过邮件发出:
账户、密码;付某成功划出11万元;抓获付某时,他已获取万元;抓获付某时,他已获取70007000多个全国各多个全国各地储户的网上银行密码。
地储户的网上银行密码。
3、利用木马进行攻击、利用木马进行攻击安全事件:
安全事件:
付某:
付某:
3、利用木马进行攻击、利用木马进行攻击生么是“木马”?
生么是“木马”?
3、利用木马进行攻击、利用木马进行攻击“木马”的主要危害:
木马”的主要危害:
v盗取文件资料;v盗取用户帐号和密码;v监控用户行为,获取用户重要资料;v发送QQ、msn尾巴,骗取更多人访问恶意网站下载木马;3、利用木马进行攻击、利用木马进行攻击防范对策:
防范对策:
1.不下载不明的软件;2.不随意打开不明电子邮件,尤其是不轻易打开邮件附件;3.不点击和打开陌生图片和网页;4.必须安装杀毒软件并及时升级更新,及时打补丁;5.所有外网PC安装360软件,定期查杀木马程序。
4、利用数据恢复技术、利用数据恢复技术安全事件:
安全事件:
陈冠希。
4、利用数据恢复技术、利用数据恢复技术数据恢复技术:
数据恢复技术:
数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。
U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理,使用专用软件仍能将其恢复。
4、利用数据恢复技术、利用数据恢复技术防范对策:
防范对策:
1.严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。
2.涉密存储介质淘汰报废时必须进行彻底的物理销毁。
3.严禁将秘密载体当做废品出售。
5、利用口令破解攻击、利用口令破解攻击安全事件:
安全事件:
2003年2月,有关部门检测发现某间谍情报机关利用口令破解技术,对我某重要网络进行了有组织的大规模攻击,控制了57台违规上互联网的涉密计算机,窃走1550余份文件资料。
5、利用口令破解攻击、利用口令破解攻击口令破解是指以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得控制权的过程。
“暴力破解”暴力破解”是进行口令破解用得较多的方式、口令越长,口令组合越复杂,破译难度越大,所需时间越多。
Unix口令口令:
6位小写字母穷举位小写字母穷举:
36小时小时8位小写字母穷举位小写字母穷举:
3年年NT口令口令:
8位小写字母及数字穷举,时间位小写字母及数字穷举,时间通常不超过通常不超过30小时小时5、利用口令破解攻击、利用口令破解攻击防范对策:
防范对策:
1.口令密码设置应当采用多种字符和数字混合编制,要有足够的长度(至少8位以上),并定期更换。
2.涉密信息系统必须按照保密标准,采取符合要求的口令密码、智能卡或USBKey、生理特征的身份鉴别方式。
o黑客攻击n网页篡改电子商务安全问题电子商务安全问题门户网站具体防护手段1.保持保持Windows升级升级:
你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。
考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以web的形式将文件发布出来。
2.如果你并不需要如果你并不需要FTP和和SMTP服务,请卸载它们:
服务,请卸载它们:
3.设置复杂的密码:
设置复杂的密码:
4.设置账号锁定的策略:
设置账号锁定的策略:
通过设备windows自带的安全策略设置,可对非法暴力破解口令进行有效的控制5.使用使用NTFS安全:
安全:
缺省地,你的NTFS驱动器使用的是EVERY0NE/完全控制权限,除非你手工关掉它们。
关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。
最重要的文件夹是System32,这个文件夹的访问权限越小越好。
在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
6.禁用多余的管理员账号:
禁用多余的管理员账号:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。
除非你真正需要这个账户,则你应该禁用它。
这个用户很容易被渗透,是黑客们的显著目标。
为了帮助管理用户账户,确定你的本地安全策略没有问题。
IUSR用户的权限也应该尽可能的小。
7.网站目录权限最小化:
网站目录权限最小化:
在网站正常运行时:
空间应该全部关闭写入权限,只保留需要写权限的某几个目录,同时被保留写权限的目录,必须要关闭执行权限。
站点需要更新时:
开放所有写入权限,更新完毕后立即关闭写入权限。
原则是:
有写入权限的目录,不能有执行权限有执行权限的目录,不能有写入权限这样最大限度的保证了站点的安全性8.移除缺省的移除缺省的Web站点:
站点:
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。
防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。
如果是一个虚拟主机,并且服务器上放置了多个域名的站点,建议对不同的站点设置不同的账号权限(读取和执行)。
这样可保证一个域名上的站点被黑,而不会影响到整个服务器上其它的站点9.定期备份数据和程序:
定期备份数据和程序:
至少以每天一次来定期的备份网站数据和程序,对大型数据库可使用专业的快速导出工具。
建议使用WinRAR类型的压缩软件进行备份,并同时设定压缩密码的加密压缩方式。
如果文件较多压缩时间可能会长,可使用计划任务自动执行或采取存储压缩方式对操作系统建议每月备份一次,可直接使用GHOST。
对于特殊的服务器需要RAID驱动时,建议自制一个WinPE将RAID驱动加载在该系统中。
(有一定难度,但很帮助特别是安装系统时无需引导盘)10.仔细检查仔细检查*.bat和和*exe文件:
文件:
每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场噩梦的可执行文件。
在这些破坏性的文件中,也许有一些是*reg文件。
如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。
你可以删除这些没任何意义但却会给入侵者带来便利的主键。
或定期生成一份主机的文件列表,然后再进行文件比对11.定期检查访问日志定期检查访问日志对于IIS,其默认记录存放在c:
winntsystem32logfilesw3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法(GETorPOST)、请求的资源、HTTP状态(用数字表示)等。
常用安全分析软件介绍Windows自带命令netstat-anTCPView工具检查其它已开放的端口检查其它已开放的端口强制关闭顽固病毒或可疑进程强制关闭顽固病毒或可疑进程IceSword检查和关闭可疑的驱动检查和关闭可疑的驱动Windows自带的驱动查看器触发电子商务安全问题的原因触发电子商务安全问题的原因o先天原因o后天原因n1.管理n2.人n3.技术1.6电子商务安全防治措施电子商务安全防治措施o管理措施n1.人员管理制度n2.保密制度n3.系统维护制度o硬件的日常管理与维护o软件的日常管理与维护n4.数据容灾制度n5.病毒防范制度n6.应急措施由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统性的。
例如,在某个大企业的内部网络中,含有许多不同品牌和型号的机器,而这些机器的操作系统和应用程序又是千差万别。
在这样不同种类、不断变化的环境中,检测整个系统和确保所有部件的安全是相当费时和复杂的。
防火墙的基本知识o硬件防火墙与软件防火墙硬件防火墙与软件防火墙o硬件防火墙一般用于企业,价格较软件防火硬件防火墙一般用于企业,价格较软件防火墙贵,软件防火墙功能上不如硬件防火墙,墙贵,软件防火墙功能上不如硬件防火墙,但价格便宜些但价格便宜些.病毒库防火墙与行为防火墙。
病毒库防火墙与行为防火墙。
o防火墙的关键技术防火墙的关键技术o防火墙技术发展到现在,其技术防火墙技术发展到现在,其技术竞争的焦点主要是在管理、功能、性能、抗竞争的焦点主要是在管理、功能、性能、抗攻击能力这四个方面:
攻击能力这四个方面:
o杀毒最好的环境就是用干净引导盘启动的DOSo一、未被激活的非系统文件内的病毒o杀这种病毒很简单,只需要在一般的Windows环境下杀就行了。
一般都能将其歼灭。
o二、已经被激活或发作的非系统文件内的病毒o如果在一般Windows环境下杀毒,效果可能会大打折扣。
o因此,杀此类病毒应在Windows安全模式下进行。
o三、系统文件内病毒o这类病毒比较难缠,所以在操作前请先备份。
杀此类病毒一定要在干净的DOS环境下进行。
有时候还要反复查杀才能彻底清除。
o四、网络病毒(特别是通过局域网传播的病毒)o此类病毒必须在断网的情况下才能清除,而且清除后很容易重新被感染!
要根除此类病毒必需靠网络管理员的努力了!
o五、感染杀毒厂家有提供专用杀毒工具的病毒o杀灭此类病毒好办,只需下载免费的专用杀毒工具就行了。
专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具o1、选择一款正版的防毒软件。
借杀毒软件中的邮件监视功能,在邮件接收过程中对其进行病毒扫描过滤o2、及时升级病毒库。
病毒软件厂商天天都会更新病毒库,提供的升级服务是非常周到,如果用户不及时升级,就很难对新病毒进行查杀。
o3、打开实时监控防火墙。
防火墙最重要的功能就是邮件监视功能。
360安全卫士o4、升级windows补丁o加强网络安全的建议n1.安装操作系统和服务器所有的补丁程序。
n2.为网络设备升级。
n3.如果是通过网络服务商提供接入服务的,应当与网络服务商保持联系。
n4.通过使用防火墙等方式,制定严格的网络安全规则,对进出网络的信息进行严格限定。
n5.时刻监测系统的日志文件和网络信息流向,以便及时发现任何异常之处。
n6.经常对整个网络进行扫描,以发现任何安全隐患,如软件漏洞等。
n7.尽量减少暴露在互联网上的系统和服务的数量。
n8.路由器要安装必要的过滤规则。
谢谢大家!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 网站 相关 技术 安全
![提示](https://static.bdocx.com/images/bang_tan.gif)