第一节 电子商务网站设计中的安全需求

1． 网络安全：如何防范攻击者对电子商务网站或设备的的攻击

2． 交易安全：交易过程如何防范机密泄露，欺骗，抵赖等

3． 系统安全：是关键数据的恢复和备份等

第二节 访问控制

1． 电子商务网站设计中的安全需求

2． 访问控制

1) 概念：

就是通过一组机制来控制不同级别的主体对受保护的网络资源客体的不

同级别的授权访问

2) 功能：

非法主体进入受保护的网络资源

合法用户进入受保护的网络资源

防止合法用户对受保护资源的非授权访问

3) 中心内容是实现对主体身体的识别和认证及客体对主体的授权访问

3． 实现策略

1) 入网访问控制：

用户名的识别与验证，

用户口令的识别与验证，

用户帐号的缺省限制检查

2) 网络的权限控制：

受托者指派：指派控制用户或组如何使用网络服务器的目录，文件和设备

继承权限屏蔽：相当于一个过滤器，可以限制子目录从父目录继承哪些权限

用户分为：特殊用户，一般用户，审计用户

用户对网络资源的访问权限可以用访问控制表来描述。

3) 目录级安全控制：

系统管理员权限

读权限

写权限

创建权限

删除权限

修改权限

文件查找权限

存取控制权限

取决于以下两个因素：

用户和用户所在组的受托者指派

继承权限来源：考试大

4) 属性安全控制

向某个文件写数据

拷贝文件

删除目录或文件

查看目录或文件

执行文件

隐含文件

共享

系统属性