电子商务安全与网页制作.ppt

《电子商务安全与网页制作.ppt》由会员分享，可在线阅读，更多相关《电子商务安全与网页制作.ppt（70页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、,电子商务安全与网页制作,电子商务安全体系,完整电子商务安全体系一般包括4个组成部分： 客户端 服务器端 银行端 认证机构。,计算机病毒及其防范杀毒软件安装系统升级防火墙软件防火墙的安装与配置防火墙应用软件防火墙系统任务的管理浏览器安全设置Internet选项cookies系统备份与恢复系统还原系统（恢复软件EasyRecovery ）系统备份Ghost,（1） 客户端安全,（2） 服务器安全,为了计算机的安全，进行用户安全配置时进行如下操作： 禁止Guest用户。 给Administrator账号改名。 创建陷阱用户。,1 操作系统安全,除了安装杀毒软件、防火墙、更新操作系统等客户端常用的系

2、统安全措施之外，服务器端安全一般还会进行如下操作： 把服务器的所有分区都改成NTFS格式。 关闭默认共享。 禁止用户从软盘和光驱启动系统。,2 服务的访问控制与管理,网络防火墙是构造在内部网和外部网之间的保护装置。1）防火墙的安全策略。 2）防火墙的功能 保护易受攻击的服务。 控制对特殊站点的访问。 集中化的安全管理。 检测外来黑客攻击的行动。 对网络访问进行日志记录和统计。,3 防火墙,1）不良的口令政策 在安装SQL Server后，SQL Server会将产生一个默认的SA用户，而且初始密码在管理员没有设置的情况下为空。所以需要在SQL Server的服务器上新建一个管理员级别的用户。2

3、）SQL注入攻击 SQL注入攻击就其本质而言，利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据库，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了。,4 数据库安全,物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等，这些因素会影响到服务器的寿命和所有数据的安全。 物理安全是指计算机所在的物理环境是否可靠，会不会受到自然灾害和人为的破坏（失窃、破坏）等。 要保证服务器的物理安全，首先要特别保证所有的重要设备与服务器要集中在机房里，并制订机房相关制度，无关人员不得进入机房等。,5 服务器的物理安全

4、,1）CA认证 CA (Certification Authority)是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。2）数字证书的概念与内容 数字证书又称为数字凭证或数字标识(Digital Certificate，Digital ID)，也被称作CA证书，实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在计算机硬盘中。,5.2 CA认证与数字证书,数字证书主要包括四个方面的内容：证书所有者的信息证书所有者的公开密钥证书颁发机构的签名证书有效期 一个标

5、准的X.509数字证书包含以下一些内容：证书的版本信息证书的序列号证书所使用的签名算法证书的发行机构名称(命名规则一般采用X.500格式)私钥的签名证书的有效期证书使用者的名称及其公钥的信息。,5.2 CA认证与数字证书,3）数字证书的类型 常见的数字证书有三种类型。个人证书、企业(服务器)证书(Server ID)、软件(开发者)证书。上述三类凭证中前两类是常用的凭证，大部分认证中心提供前两类凭证。 从证书的用途来看可以将数字证书分为根证书、服务器证书和客户证书三种。,5.2 CA认证与数字证书,4）数字证书的安装与使用 CA认证中心签发证书后，证书的持有者给其他人、Web站点提供他的证书来

6、证明他的身份。在银行网上银行系统中，下载客户证书及CA根证书的过程即是将这些证书安装到浏览器的过程，浏览器会引导你完成安装过程。在用户进入网上银行交易之前，浏览器与服务器之间建立SSL安全通道时，会自动使用双方的证书，所以，在进入交易之前，你应保证客户证书及CA根证书已经安装在浏览器中。 在完成证书下载后，建议立即备份客户证书及私钥。私钥是有密码保护的，在导出证书及私钥时，系统将提示提供该密码，应牢记这个密码，并定期更换密码。,5.2 CA认证与数字证书,数字证书工作情况,国内常见的CA有中国商务在线 中国数字认证网（） 数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。 北京数

7、字证书认证中心（）为网上电子政务和电子商务活动提供数字证书服务。,5）CA中心,5.3 电子商务安全协议,安全套接层(Secure Sockets Layer，SSL)是一种传输层技术，由Netscape开发，可以实现兼容浏览器和服务器之间的安全通信。 SSL协议是目前购物网站中常使用的一种安全协议。SSL协议就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。SSL可以支持X.509证书和多种保密密钥加密算法。,1）安全套

8、接层协议,SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中，双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。如果客户机没有证书也没关系，因为客户机是发送敏感信息的一方。而客户机正与之交易的服务器应有一个有效的证书，否则客户机就无法确认这个商务网站是否与其声称的身份相符。确认完成后，SSL对在这两台计算机之间传输的信息进行加密和解密。 由于SSL处在互联网协议集中TCP/IP层的上面，实现SSL的协议是HTTP的安全版，名为HTTPS。,1）安全套接层协议,Visa与MasterCard两家信用卡组织共同推出，并且与众多IT公司，如Mic

9、rosoft、Netscape、RSA等共同发展而成的安全电子交易协议（Secure Electronic Transaction，SET) 应运而生。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，由于设计合理，SET协议得到了IBM、Microsoft等许多大公司的支持，已成为事实上的工业标准。 SET是一种以信用卡为基础的、在互联网上交易的付款协议书，是授权业务信息传输安全的标准。,2）安全电子交易协议,在SET的交易中，成员主要有持卡人（消费者）、网上商家、收单银行、支付网关、发卡银行、认证中心CA。 SET系统的动作是通过4个软件来完成的，包括电子钱包、商店服务器、支

10、付网关和认证中心软件，这4个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中，相互运作来完成整个SET交易服务。,2）安全电子交易协议,5.3 电子商务交易安全,1）从信息内容辨别真伪 如果公司介绍太简单，求购意图不明显，地址也写得很模糊，预留的公司网站是虚假地址或者并非诚信通会员统一的格式，通常情况下，就有可能是虚假的信息。,5.3 电子商务交易风险的识别,2）查询企业信用记录 在阿里巴巴的企业信用数据库中，可以查询到很多信用不良的企业被投诉的记录。这些记录，可以帮助用户判定信息发布方的诚信程度。,5.3 电子商务交易风险的识别,3）从论坛搜索相关信息 把某个企业的名称输入到阿里巴

11、巴论坛中进行搜索，如果发现有网商发贴子揭露该企业的不诚信行为，那用户与该企业进行商业贸易的风险性就比较大了。,5.3 电子商务交易风险的识别,4）查询诚信指数及评价 诚信通档案记录了企业的诚信指数及其他客户的评价，可以借以综合判断与该企业进行贸易时的风险程度。,5.3 电子商务交易风险的识别,5）通过搜索引擎搜索 借助于Yahoo!、Google、百度等著名搜索引擎，用户可以比较方便的查找所需的资料。将某个企业的名称、地址、联系人、手机、电话、传真等信息输入到搜索引擎中，可能会搜索到和其相关的信息。,5.3 电子商务交易风险的识别,6）通过工商管理部门网站查询 要了解交易对方诚信的资讯，可以通

12、过国家权威部门的网站上查询。一个非盈利性网站主页最下方必需有ICP备案号，一个盈利性网站主页最下方必需有红盾标记。点击红盾标记进入工商红盾网的网站，可查看交易对方的企业代码、法人代表、地址、以及联系方式等信息，帮助用户了解对方公司的真实注册情况。,如果发现对方提供的信息和工商红盾网上的信息不一致，就需要留心，必要时还可以通过114查询对方的电话号码，打电话去核实。,5.3 电子商务交易风险的识别,7）专业性测试 由于网络诈骗分子们没有真实的采购意图，往往对产品本身并不了解或是了解不多。因此，用户在与其进行沟通的过程中，可以运用自己对产品的知识，设定一些问题，测试对方是否了解采购的产品，进而来判

13、断对方是否有真实的采购意图。,5.3 电子商务交易风险的识别,1）账户密码安全 密码长度应该在8到20位； 密码使用不同符号组合，如字母加数字； 切不可将密码设置成与公开的信息一致 定期更改密码； 企业内掌握密码的人数应尽量少； 不同的账户设置不同的密码，以免多个账户同时被盗； 不能将企业重要资料告诉他人，以免他人据此要求阿里巴巴系统管理员更改密码。,5.4 电子商务交易风险的防范与应对,2）养成良好的网络使用习惯 养成良好的网络使用习惯也是防范网络贸易风险的措施之一。尽量不要在网吧里登录阿里巴巴诚信通账户或者支付宝账户；输入密码时尽量使用“复制+粘贴”的方式，以防止记键木马；在使用贸易通和客

14、户沟通时，一定要注意陌生人发过来的链接，如果对方发过来一个文件，可以使用各类杀毒软件先行检测，确定是否是病毒后再决定是否打开。,5.4 电子商务交易风险的防范与应对,3）使用第三方支付平台来支付货款 支付宝是阿里巴巴公司针对网上交易而特别推出的安全付款服务。支付宝的实质是以其为信用中介，在买家确认收到商品前，由支付宝替买卖双方暂时保管货款的一种增值服务。正是由于这一因素，使得从事网络贸易都可以坦然地利用网络进行交易，解除了网络交易者最为担心的支付安全问题。,5.4 电子商务交易风险的防范与应对,（1）搜集、保留诈骗证据（2）及时报警（3）进行投诉,遭遇网络诈骗后的应对策略,5.5 商务网站规划

15、,网站设计,1标题设计 每一个网站都有一个响亮的名字和独具风格的标志，好的标题能简洁明了地体现出这个网站的主题，同时具有吸引力。标志也同样要设计得简单而独具特色。2网页模块设计 网页中的内容分为若干个板块，以利于规划网页的组织结构。3网页结构设计 在前面内容分块的基础之上，网页按树状结构安排。整个网页共有四到五个层次，网页之间的关系将由文档之间的链接表现出来。,（案例：艺海拾贝）,4.网页目录结构,有一个清晰的目录结构对设计网页是很有益处的，便于维护与查找。由于目录和网页的结构都是树状结构，一般一一对应地一个节点创建一个子目录，子节点的网页就存在父节点对应的目录中。艺海拾贝网站的目录结构如右图

16、：,商务网站开发流程,一、商务网站概述 商务网站是指一个企业、机构或公司在互联网上建立的站点，其目的是为了宣传企业形象、发布产品信息、宣传经济法规、提供商业服务等。1用户数量大2加强与客户的联系3提供商业信息4提供客户服务5建立24小时服务中心6提供迅速变化的信息,二、商务网站的组成一个基本商务网站的主要内容就是对公司和产品的简单介绍。一个基本商业网站点都包括以下几部分：1联系信息：公司的名称、地址、主要的电话号码和传真号码、E-mail地址 2商业机构的地址：如果公司的商品项目是因地而异的 3重要人物的介绍4重要客户的介绍5公司产品和服务介绍6新闻：商业巡展、产品发布、新闻发布以及有关公司的

17、报纸摘要等内容,三、商务网站建设步骤目标规划系统分析系统设计网站实现网页发布网页调试维护与管理,1.目标规划,1）服务对象：描述这个网站面向的对象，包括已知对象和潜在对象；2）设置目的：建站的目的；3）开发目标：要建网站的规模、功能、形式等；4）应用领域：网站所提供信息所属的应用领域范围；5）规格描述：具体网页的信息内容、信息链路设置、人机界面功能等；6）实现要求：网站建立所需的开发时间、软硬件环境等。 这些问题要在规划阶段就有一个大体的轮廓，在进一步的分析、设计、实现中逐步完善。,2.系统分析,网页主题意义的分析对网页内容的分析对制作者已有资源的分析对网站的软硬件环境的分析对网页可能访问者的

18、分析网站建设的合理性及可行性,3.系统设计,一般网页设计类似于软件开发的设计，有自顶向下、自底向上和不断增补等设计方法。主要任务是网页内容的设计，包括网页的信息组织结构、外观、内容分块、导航与链接、目录结构等的设计。 系统设计是网站具体实现前的准备，对网页的实现进一步提出更具体的要求，对网页的整体效果、局部细节能有更明确的想法。,4.网站实现,网页的实现：主要使用HTML语言，另外用到JavaScript、图像制作、CGI编程等具体的技术WWW服务器的实现：用到各种基于不同操作系统的WWW服务器软件的安装、调试。,网站开发技术分类,对于网页设计与制作，一般来说分为“静态网页”和“动态网页”两大

19、类型。 （1）静态网页指网页的内容已预先设计好，存放在WEB服务器上，当用户使用浏览器通过互联网的HTTP协议向WEB服务器提出请求时，服务器仅仅是将原已设计好的静态HTML文档传送给用户浏览器。在网页上加上一些动画和视频并不是动态网页。 （2）动态网页指能够根据用户的要求和选择，进行不同的处理，并根据处理的结果，自动生成新的页面，不再需要设计者手动更新HTML文档。,WEB开发技术分类,5.网页发布这个阶段网页制作接近尾声，主要工作是把做好的网页发布到网络上(Internet或Intranet)，对网页作最后的修改、测试，保证网页能在网络上正常地运行。6.网页调试网页发布后将对网页进行各个方

20、面各种情况的测试，包括网页能否在任何不同的浏览器中浏览；对于任何不同的访问者都表现正常，JavaScript、CGI程序能否正常工作等等。这个阶段称为网页的试运行期，此时应把网页的各种缺陷尽量弥补，使网页更为完善。7.维护与管理这个阶段网站进入正常运行期，主要工作是及时更新网页过时的信息，及时对访问者的留言作出反馈，进一步完善网页，不断采用新的技术更新升级网页，使网页的访问更迅速，外观更美观，信息资源更丰富。,四、选择商务模式 企业与用户企业与企业,五、域名注册 域名是由人、企业或组织申请的网站使用的Internet标识，并对提供服务或产品的品质进行承诺和提供信息交换或交易的虚拟地址。在确定企

21、业电子商务网站域名的命名时，应考虑以下几个方面：选用企业已有商标或企业名称选择简单和易记易用的名字域名的自我保护 申请域名可以直接到中国互联网信息中心CNNIC （http:/ 支付方式决定了资金的流动过程，目前的主要支付方式有：送货上门付款：商家将商品交给客户，客户查验货物后以现金的方式支付给商家 汇款方式：客户在完成订单时，通过邮政系统或银行系统汇款，当商家接到汇款后，再将商品发给客户 电子支付：通过银行卡或信用卡支付完成的支付，涉及到客户、商家、银行、CA中心等,5.6 硬件环境,网站的硬件一般应考虑客户、服务器、接入Internet的方式等三方面的问题，网站硬件一般架构如右图所示 ：,

22、1客户机2服务器3WWW服务器与Internet连接方式,互联网服务商提供的服务,虚拟主机托管服务器,虚拟主机,采用特殊的软硬件技术把一台完整的服务器主机分成若干个主机，实际上是将真实主机的硬盘空间分成若干份，然后租给不同的用户，每一台被分割的主机都具有独立的域名和IP地址，但共享真实主机的CPU、RAM、操作系统、应用软件等。运行时由用户远程操作属于自己的那一块，而这一块对任何用户而言，就是一台完整的服务器，和一台真实独立的主机功能完全一样。,虚拟主机,虚拟主机服务内容,存储空间：互联网服务商必须提供存储空间，企业可根据发展的需求不断调整存储空间。电子邮件：互联网服务商一般提供35个电子信箱

23、。电子邮件目前是企业最常用的通信工具之一。网页制作：网页可委托互联网服务商制作，也可由企业自已制作。IP地址：互连服务商必须提供独立的IP地址，并且支持多个域名指向同一个IP地址。因企业的域名由于被他人抢注或其它原因，企业可能有多个域名。文件传输（FTP）：文件传输的主要功能是上传网页，在企业内部将网页文件上传到互联网服务商的虚拟主机上。时间：互连服务商应提供每天24小时，每周7天，每年365天的服务，因商业网一但开通不允许长时间停机。速度：速度是企业网站的生命，选择互联网服务商时应重点考虑这个问题。,虚拟主机特点,采用虚拟主机技术的用户只需对自己的信息进行远程维护，而无需对硬件、操作系统及通

24、信线路进行维护。虚拟主机到Internet的连接一般采用高速宽带网，用户到虚拟主机的连接可采公共电话网PSTN、一线通INDN、ADSL等。采用虚拟主机方式建立电子商务网站具有投资小，建立速度快，安全可靠，无须软硬件配置及投资，无须拥有技术支持等特点。多个不同的站点共享一台服务器的所有资源，是入门级的站点解决方案。如果虚拟主机所在的服务器上运行了过多的虚拟主机，系统就会容易过载，性能下降，从而直接影响浏览网站的效果。,托管服务器,服务器托管是指用户将自己的独立服务器寄放在互联网服务商的机房，日常系统维护由互联网服务商进行，可为企业节约大量的维护资金。,服务器托管的特点,灵活：当web已经成熟后

25、，Web用户希望内容动态化，连接互动化，个性化，而这需要依靠托管独立主机才能得到较好的解决。稳定：在独立主机的环境下，就可以对行为和程序严密把关、精密测试，将服务器的稳定性提升到最高。安全：虚拟服务器主机是非常容易被黑客和病毒袭击的，如果服务商没有处理好安全问题，可能其他用户可以轻易地通过程序来进行浏览、删除、修改等操作。而托服务器极少会出现这样的问题。快捷：托管独立主机接入网络速度高。,怎样选择主机托管服务,可靠性 主机服务设施要具备排除任何可能发生的故障的能力，如果一个设施遇到问题，其功能可以由另一个设施来承担。例如配备双重供电系统，主机服务设施通过两个途径链接到互联网上。安全问题 选择的

26、托管主机设施既要不断地监控硬件设施，也要不断地监控进入到硬件设施中的数据和软件。身份证明和一些其他的访问控制可以对进入指挥中心进行严格的控制。功能需求 托管主机设施应具备提供潜在的功能，特别是具有较高的带宽。同时，所有这些服务器和管道都有实时的监控。指挥中心能够及时发现问题和解决问题，为客户提供高质量的服务。,案例：上海电信IDC的主机托管服务IDC (Internet Data Center)，,5.7 软件环境,系统平台：Windows NT、UNIX、Net ware、Linux等 数据库系统：Oracle、Sybase、DB2、SQL Server等,数据库系统,ORACLE 一种适用

27、于各种类型包括大型、中型和微型计算机的关系数据库管理系统，使用SQL（Structured query language）作为数据库语言。SYBASE 世界上第一个真正的基于client/server结构的RDBMS产品。DB2 IBM公司开发的关系数据库管理系统，它有多种不同的版本，可运行在OS/2、Windows NT、UNIX操作系统上。SQL server 微软公司开发的一个关系数据库管理系统。SQL Server 采用二级安全验证、登录验证及数据库用户帐号和角色的许可验证。,5.8 网页内容设计,网页设计方法网页设计案例-新浪商城主页,网页设计方法,1.自顶向下的设计方法 所谓自顶向

28、下，就是从整个网页的根向下一层一层地展开。采用这种设计方法，在开始实现网页时可以先用一些空的网页构筑起整个网页的框架，然后再逐步地添加内容。 采用这种设计方法的优点是能在总体上统一整个网页的风格，使网页的组织结构比较合理。用这种方法，通常在一开始就做出一个所谓“模板”，作为以后开发时页面设计的基础，这样就能保证整个系统用户界面的版面风格和功能设置的一致性。,网页设计方法,2.自底向上的设计方法 如果建站者在开发之初对整个网页的总体结构和布局还没有考虑成熟，而面对具体的Web页面的信息内容和服务方式很有把握，可以采用这种方法。即先设计树状信息结构的各个叶子节点，然后通过归纳，设计它们的枝叶：节点，最后完成对根节点的设计。 当我们由于某些原因，先有了一些现成的网页时，选择这种方法是很自然的。这种方法的优点是，网页的各个部分可以根据网页内容作因地制宜的设计，而不用拘泥于条条框框，较为有风格。,网页设计方法,3不断增补的设计方法 这是在网页投入运行后常用的方法，是一种需求驱动的设计方法。当出现某种信息服务的需求时，就立即设计相应的Web信息服务页面。随着需求的增加，不断的增加网页，不断地调整和相互链接，就能使我们的网页在短时间内建立起来。 这种方法的优点是不需要设计实现前长时间的规划分析期，效率相对较高。,网页设计案例-新浪商城主页,特点布局色彩图片,