5-电子商务网站的安全系统设计.pptxVIP

第五章 电子商务安全系统;本章主要内容;;;企业信息资产;电子商务系统安全的两个层次;电子商务基础设施安全;电子商务交易安全;信息系统安全框架;电子商务的安全要求;电子商务的系统的安全威胁;黑客攻击电子商务系统的常见步骤;电子商务系统的安全策略;防火墙的基本概念;防火墙的功能;防火墙的主要分类;目的物理地址;18;防火墙的部署与使用;防火墙的需求分析;防火墙的选购原则;防火墙的主要指标;软件与硬件防火墙;防火墙的选购-1;防火墙的选购-2;防火墙的选购-3;防火墙的选购经验;防火墙的选购-6;信息加密;数字签名;PKI技术与认证;PKI的结构;;新浪微博中毒事件;CSDN泄密事件;1.网站应用攻击与防御;（1）XSS攻击;反射型XSS攻击;【案例】新浪微博被反射型XSS攻击;持续型号XSS攻击;应对XSS策略：消毒与HttpOnly;（2）注入攻击（SQL/OS注入攻击）;SQL注入攻击者数据库表结构的获取手段;SQL注入攻击防御策略;（3）CSRF攻击;CSRF防御策略——识别请求者身份;【案例】验证码的不良体验——12306.cn;（4）其他攻击和漏洞-1;（4）其他攻击和漏洞-2;（5）Web应用防火墙;ModSecurity架构原理;（6）网站安全漏洞扫描;2.信息加密技术与密钥安全管理;【案例】CSDN泄密事件;（1）单向散列加密（MD5/SHA/…）;单向散列加密的优势;（2）对称加密（DES/RC/…）;（2）非对称加密（RSA等）;数字签名中的非对称加密;非对称加密的应用策略与不足;（4）密钥安全管理;;主要的信息过滤与反垃圾手段;（1）文本匹配;（2）分类算法;（3）黑名单;（1）电子商务风险分类;（2）风控;缺点：随着规则的逐渐增加，会出现规则冲突，难以维护等情况。规则越多，性能越差。;统计模型;小结