吉林大学研究生课程电子商务概论六电子商务安全技术(HL).ppt

* * 第六节 其他电子商务安全 客户机面临的安全威胁 活动内容 活动内容是指在页面上嵌入的对用户透明的程序，它可完成一些动作。 活动页面可显示动态图像、下载和播放音乐或实现基于WWW的电子表格程序。 电子商务中使用的活动内容涉及将你选中的商品放入购物车并计算发票总额（包括销售税和送货费）。 * * 常见的活动内容形式 Java小应用程序 ActiveX控件 JavaScript VB script * * Java小应用程序 Java是Sun微系统公司开发的一种高级程序设计语言。 Java是一种真正的面向对象的语言，这是一个很有用的特点，因为它支持代码重用。 Java与平台无关，可在任何计算机上运行。 * * ActiveX控件 ActiveX是一个对象（称作控件），它含有（程序员称为“封装”）由页面设计者放在页面来执行特定任务的程序。 ActiveX的构件源于许多程序设计语言，如C++或Visual Basic。但与Java或JavaScript代码不同的是，ActiveX控件只能在装Windows的计算机上运行，并且只能在支持ActiveX控件的浏览器上运行。 ActiveX代码编完后，程序设计人员将其封装在ActiveX信封里（在代码转换成机读码前的一种特殊方式）、编译控件并把它放到页面上。当浏览器下载了嵌有ActiveX控件的页面时，它就可在客户机上运行了。 * * ActiveX控件的安全威胁是：一旦下载后，它就能像计算机上的其他程序一样执行，能访问包括操作系统代码在内的所有系统资源，这是非常危险的。一个有恶意的ActiveX控件可格式化硬盘、向邮件通讯簿里的所有人发送电子邮件或关闭计算机。由于ActiveX控件可全权访问你的计算机，它能破坏必威体育官网网址性、完整性或即需性，因此，ActiveX控件不能控制，但可被管理。如果浏览器安全特性设置正确，在你下载ActiveX控件时，浏览器就会提醒你。 * * JavaScript JavaScript是网景公司开发的一种脚本语言，它支持页面设计者创建活动内容。 JavaScript受到各种流行浏览器的支持，它和Java语言有同样的结构。 当你下载一个嵌有JavaScript代码的页面，此代码就在你的客户机上运行。同其他活动内容的载体一样，Java Script会侵犯必威体育官网网址性和完整性，它会破坏硬盘、把电子邮件的内容泄密或将敏感信息发给某个WWW服务器。 * * 其他活动内容形式 图形：图形文件中可包含一些隐含的嵌入指令，当图形下载到客户机后就可执行这些指令。如果运行可执行图形文件或其他文件格式中所嵌入指令的程序，可能会导致隐藏在合法图形指令中的有恶意指令的运行。 WWW浏览器插件：前面讲过插件是用于解释或执行嵌入在下载图形、声音或其他对象中的指令。所有形式的活动页面都支持WWW页面完成一些特定的任务。 * * 客户机面临的其他威胁 特洛伊木马 特洛伊木马是隐藏在程序或页面里而掩盖其真实目的程序。特洛伊木马可窃听计算机上的必威体育官网网址信息，并将这些信息传给它的WWW服务器，从而构成必威体育官网网址性侵害。更糟的是，特洛伊木马还可改变或删除客户机上的信息，构成完整性侵害。 * * Cookie 简单的说，Cookie就是服务器暂存放在你计算机上的一笔资料，好让服务器用来辨认你的计算机。 Cookie的使用很普遍，许多提供个人化服务的网站，都是利用Cookie来辨认使用者，以方便送出使用者量身定做的内容。 cookie本身并没有恶意，但由于其信息可能会被利用，因此有些人不喜欢让自己的计算机存储Cookie。 * * 对客户机的保护 微软公司的Authenticode技术 Authenticode可检查下载的ActiveX控件里的两个重要项目：谁在这段程序上签名；签名后是否被修改过。 Authenticode技术可验证程序是否具备有效的证书，但不能阻止恶意程序的下载和运行。 “活动内容不可防止，但可以管理！” * * IE浏览其中的安全区域 Internet、本地Intranet、可信站点、受限站点 IE浏览器中的安全级别 高、中、中低、低 * * 处理Cookie * * 使用病毒防火墙软件 防病毒软件只能保护你的计算机不受已下载到计算机上的病毒攻击，所以它是一种防卫策略。 不论选择哪家厂商的产品，你都得不断更新防病毒软件的数据文件。这些文件存储的是用于检测病毒的病毒识别信息。由于每月都会有数以百计的新病毒出现，你必须定期更新防病毒软件的数据文件，以识别新病毒并消灭它。 * * 防火墙技术 什么是防火墙 * * 防火墙的功能 * * 防火墙的种类 数据包过滤包过滤又分为简单包过滤和状态包过滤，简单包过滤是根据数据包的源地址、目的地址或端口号来进行投递的，目前的路由器都能实现简单的包过滤