网上购物系统网络安全 网络安全课程论文.doc

1、目录目录21.引言32.爱购物网上购物系统介绍42.1爱购物网购系统简介42.2工作相关性介绍43.爱购物网上购物系统软件安装部署53.1软硬件环境53.2安装部署操作54.爱购物网站的软硬件安全问题134.1硬件安全问题144.2操作系统安全设置154.3爱购物网上购物系统的安全设置194.4日常维护所需的操作204.4.1修改远程桌面端口204.4.2 IIS7备份还原204.4.3默认1433端口修改215. 爱购物网上购物系统的安全管理231.引言随着我国网络技术普及率的日益提高，通过网络进行购物、交易、支付等的电子商务新模式发展迅速。电子商务凭借其低成本、高效率的优势，不但受到普通消

2、费者的青睐，还有效促进中小企业寻找商机、赢得市场，已成为我国转变发展方式、优化产业结构的重要动力。而电子商务的基石就是购物网。购物网作为一种新兴的商业模式，与传统购物有很大差别。而每一种新的商业模式，在其出现和发展过程中，都需要具备相应的环境，购物网也不例外。由于21世纪网络的快速发展，人们对网络更多的需求都为购物网提供了发展的环境和空间。购物网商品种类多，没有商店营业面积限制。它可以包含国内外的各种产品，充分体现了网络无地域的优势。在传统商店中，无论其店铺空间有多大，它所能容纳的商品都是有限的，而对于网络来说，它是商品的展示平台，是一种虚拟的空间，只要有商品，就可以通过网络平台进行展示，可以

3、把世界的各类知名品牌全部放在上面，展示在上面。购物网没有任何时间限制。作为网络商店，它可以24小时对客户开放，只要用户在需要的时间登陆网站，就可以挑选自己需要的商品。而在传统商店中，消费者大多都要受到营业时间的限制。购物成本低。对于购物网购买者，他们挑选、对比各家的商品，只需要登陆不同的网站，或是选择不同的频道就可以在很短时间内完成，而且可以直接由商家负责送达，免去了传统购物中舟车劳顿的辛苦，时间和费用成本大幅降低。而对于传统购物来讲，这一点是无法达到的。购物网上商品价格相对较低。“淘来淘去”购物网上的商品与传统商场相比相对便宜，因为网络可以省去很多传统商场无法省去的相关费用，所以商品的附加费

4、用很低，商品的价格也就低了。而对c2c购物网站来说，用户通过竞价的方式，很有可能买到更便宜的商品。另外，在传统商场，一般利润率要达到20%以上，商场才可能盈利，而对于购物网，它的利润率在10%就可以盈利了。当然网络商品价格的优势，也有它的局限性，它的价格优势更多的是和较大规模的商场比较，和超市的商品价格是不能进行比较的。.购物网库存小，资金积压少。购物网中很多商品一般是在客户下订单后再进行商品调配，不需要很多库存，从而减少资金的积压。因为购物网可以通过消费者下订单和配送商品的时间差，进行商品的调配，而传统商店就需要在顾客选购商品的同时提供商品。当然，不同的商品，具有不同的库存需求，比如对于价格

5、、样式、功能等方面变化不大的商品，可以有适量的库存。而市场需求、价格变化大的商品，一般都是在接到订单后，再进行商品调配。这样，一方面可以减少不必要的损失，另一方面也会减少资金的积压。2.爱购物网上购物系统介绍2.1爱购物网购系统简介本网络购物系统依据开发要求主要应用于电子商务，网上购物系统是一套集网上购物和商品管理为一体的强大的网上商店(超市)系统。具有多级商品分类检索和搜索,购物车,在线订单,商品推荐,热卖排行,特价商品,商店公告,顾客点评,广告发布等功能和强大的后台管理功能。可适用于各种商店,超市。不需要任何专业知识,就可自己管理商店。通过本网购系统可以实现商品管理、商品分类管理、评论管理

6、、订单管理、订单商品管理、会员管理、管理员管理、个人帐户管理还有就是数据备份管理。对于本网络系统我们现提出如下的系统开发目标： (1) 系统应具有实用性、可靠性和适用性，同时注意到先进性。 (2) 对各个数据库进行动态管理，防止混乱。 (3) 能够按照用户选择的不同的条件进行简单查询和复合查询。 2.2工作相关性介绍网络购物系统由网站管理人员在商品信息管理系统中完成对商品信息和用户信息的基本数据的维护，包括这些信息的增加、修改及对各项信息的变动都将在这进行操作。 例如添加商品信息、商品下架、会员注册等等。系统具有动态的权限分配功能，可按用户权限对用户进行分组。可分为普通用户，一般用户，超级用户

7、。普通用户只是查询不能修改，一般用户只能对授权范围内进行相应修改及删除，超级用户能修改、删除所有信息。系统具有录入功能，为一般用户提供相应的录入功能，为超级用户提供对所有信息的录入功能。 系统具有查询功能，为所有用户提供查询的功能，可查询允许范围内的所有信息。 系统具有维护功能，为一般用户提供查询及相应的修改，删除功能，为超级用户提供对所有信息的修改删除功能。 3.爱购物网上购物系统软件安装部署3.1软硬件环境软件环境：windows7旗舰版64位操作系统，SQL2012，VS2010。硬件环境：Inter(R)Core(TM)i3 CPU 2.40GHz,RAM2.00GB,3.2安装部署操

8、作（1）附加数据库 图一 图2 图3 数据库附加成功2在VS 中添加解决方案进行编号 图4 添加解决方案 图5解决方案资源管理器 图6进行与数据库的连接4修改开源软件： 图7在VS中打开待修改的开源软件进行修改.修改web.config 配置修改前 修改后 - 5运行效果 图8主界面 图9登陆封面 图10注册界面6.IIS发布 图11新建站点 图12站点建立成功 图13设置ASP网站7在浏览器中输入http:/localhost/Fanwei/Index.aspx查看， 图14在其他电脑上输入http:/172.16.231.236/Fanwei/Index.aspx如下 图15网站发布成功4

9、.爱购物网站的软硬件安全问题4.1硬件安全问题硬件包括处理器、内存、协议、浏览器等，这些硬件或多或少的都存在一些问题。我们先来看看处理器的问题。当CPU的散热不良时，如果造成CPU温度过高一般都会造成主机故障。故障主要表现在：死机、黑屏、机器变慢、在camos和dos下死机、主机反复重启等现象。内存主要存在的安全问题有：内存损坏，导致开机内存报警；内存损坏导致系统经常报注册表错误；内存损坏安装系统提示解压缩文件出错；内存短路导致主机无法加电。IP协议在互连网络之间提供无连接的数据包传输。IP协议根据IP头中的目的地址项来发送IP数据包。也就是说，IP路由IP包时，对IP头中提供的源地址不作任何

10、检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。这样，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。其中最重要的就是利用IP欺骗引起的各种攻击。以防火墙为例，一些网络的防火墙只允许网络信任的IP数据包通过。但是由于IP地址不检测IP数据包中的IP源地址是否为放送该包的源主机的真实地址，攻击者可以采用IP源地址欺骗的方法来绕过这种防火墙。另外有一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP源地址欺骗的方法获得特权，从而给被攻击者造成严重的损失。如果是个人用户，需要注意的地方不多，主要是环境和电源。另外就是计算机应放在一个安全的屋子里，以预防盗窃及未经允

11、许的人对电脑的接触。还可以使用反偷窃装置来保护计算机和其外部设备，其中包括能把机器用工业粘合剂永久固定在桌面上的装置，这套系统能抵抗超过500吨的拉力，并能保护计算机内部零件不被偷窃。至于磁盘和磁带机等的储存设备也应妥加保管，像能抵抗火灾和水灾的保险箱就是个不错的选择。在某些情况下，对软驱和光驱加锁能有效防止人们利用软盘或光盘启动机器从而绕开系统的安全设置。对于计算机周围环境的考虑，应尽量保证合适的温度和湿度，避免热源，并给予计算机充分的空气流通。决不能把机器安置在有潜在水，烟或火患的地方。计算机应经常擦拭，因为灰尘是它们最大的敌人。还应该牢记的是不要在吃喝的地方附近放置计算机，如果这样做了就

12、有可能引起许多小麻烦，比如液体溅到了键盘上。最后一点就是关于电源问题，用户应确保他们的设备正确接地，并防止高电流对计算机内部部件的损坏。使用UPS（不间断电源）就能有效控制电流的冲击或突然停电，以保护重要数据不至于丢失。用户应该“拥有”自己的设备，“拥有”的意思是有权改造、变更等，包括root操作的权力。如果厂家担心用户不安全，可以增加“选择退出”功能，这非常容易，用户只需填写一个电子弃权表格，放弃厂家的支持和保修，就能获得访问自己机器的权力。 4.2操作系统安全设置操作系统以Windows7为例，高版本的Windows也有类似功能。格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT3

13、2类型。C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。（1） 系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，在安装IIS的过程中，只安装最基本必要的功能，那些不必要的危险服务千万不要安装，例如：FrontPage 2000服务器扩展，Internet服务管理器（

14、HTML），FTP服务，文档，索引服务等等。 图16（2）网络安全最基本的是端口设置，在“本地连接属性”，点“Internet协议（TCP/IP）”，点“高级”，再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口，配置界面如下图。图17进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。（3） 运行MMC，添加独立管理单元“安全配置与分析”,导入模板basicsv.inf或者securedc.inf，然后点“立刻配置计算机”,系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息，一步到位，不过这

15、些配置可能会导致某些软件无法运行或者运行出错。图18(4) WEB服务器的设置以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机-属性-WWW服务 编辑-主目录配置-应用程序映射，只保留asp和asa，其余全部删除。(5) ASP的安全在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。WScri

16、pt.Shell组件使用这个命令删除：regsvr32 WSHom.ocx /uWScript.Network组件使用这个命令删除：regsvr32 wshom.ocx /uShell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：cacls C：WINNTsystem32shell32.dll /e /d guests禁止guests用户执行cmd.exe的命令是： cacls C：WINNTsystem32Cmd.exe /e /d guestsFSO组件的禁用比较麻烦，如果网站本身不需要用这个组件，那么就通过RegSrv32 scr

17、run.dll /u命令来禁用吧。另外，使用微软提供的URLScan Tool这个过滤非法URL访问的工具，也可以起到一定防范作用。当然，每天备份也是一个好习惯。(6) 防止服务器网卡被误停用服务器一般放在IDC机房，如果我们远程控制Windows服务器的时候，不小心禁用了网卡，后果不堪设想。我这里就遭遇过好几次，下面说下如何在Windows 2003系统里进行设置防止误操作禁用网卡的方法。开始运行gpedit.msc ，本地计算机策略、用户配置、管理模板、网络、网络连接：找到“为管理员启用 Windows 2000 网络连接设置”，设置为“已启用”找到“启用/禁用 LAN 连接的能力”，设置

18、为“已禁用”运行：gpupdate /force现在检查一下本地连接的属性，“禁用”按钮已经变成灰色的不可用状态，这下再也不用担心意外点中了。4.3爱购物网上购物系统的安全设置爱购物网络系统作为企业的电子商务平台，采用B/S结构。鉴于经济相关数据的高度保密性，数据系统的安全性就成为重中之重。（1）用户身份登录验证的安全设置创建用户数据库时将用户的密码先采用目前国内外流行的单向散列算法加密后再存人数据库中。在程序中进行身份验证时对用户键人的密码先进行加密再行比较，结果为真时才建立相应记录集。通过这样的步骤，系统在并不知道用户明文密码的情况下就可以确定用户登录的合法性。这样不但可以避免普通用户的密

19、码被系统管理员知道，而且还在定程度上增加了密码被破解的难度。同时在登录界面附加采用图形验证码，这种验证码必须通过键盘输人，从而有效避免非法用户通过程序恶意枚举密码登录。（2）页面检查的安全设置在每个调用数据库的页面进入时先采用Session对象进行注册验证查验是否正常登录用户，否则不能进入，有效地避免非法用户在地址栏直接键人文件名进入操作页面进行非法操作。同时在服务端限制Session对象的生效时间，减少正常用户因故离开时计算机被他人误操作的机率。（3）数据备份的安全设置为避免数据库被不可知的原因破坏，通过SQL Server作业调度建立自动备份数据库机制，根据每天的日期来生成一个新的数据库备

20、份文件。4.4日常维护所需的操作4.4.1修改远程桌面端口众所周知，远程终端服务基于端口3389。入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵，所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。步骤：打开“开始运行”，输入“regedit”，打开注册表，进入以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，其下的PortNumber键值所对应的就是端口号，将PortNamber值(默认值是3389)修改成所希望的端口即可，例如8111

21、。再打开HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp，将PortNumber的值(默认是3389)修改成端口8111。修改完毕，重新启动电脑，以后远程登录的时候使用端口8111就可以了。4.4.2 IIS7备份还原IIS7下备份所有站点的配置，Microsoft提供了一个工具，“C:WindowsSystem32inetsrvAppcmd.exe”，它没有操作界面，只能使用DOS命令执行，而备份相关的命令有以下三种：(1) 建立备份appcmd add backup 备份名称(

22、2) 列出所有备份appcmd list backup(3) 还原备份appcmd restore backup 备份名称生成的备份文件在“C:WindowsSystem32inetsrvbackup”，您需要手动备份这些文件。4.4.3默认1433端口修改修改Mssql的端口(以sql2008以上版本为例)可以通过对应的配置管理器来实现,如图:图19打开后见下面的配置信息(我这里安装了Sql2008,所以集成了) 图20连接的配置分两部份,一部份是客户端协议的配置，另一部分是服务端协议的配置.若需要通过IP来访问，记得先启用tcp/ip,下面先从服务端的配置开始:图21连接由于更改了端口，所以连接方式会有所更改，请看下图： 图225. 爱购物网上购物系统的安全管理（1）管理员必须采取有效的方法和技术，防止信息数据丢失、破坏和失密保；保护硬件操作环境安全。（2）对系统用户的访问模块、访问权限进行审核，进行恰当的配置和存档。（3）系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。（4）对网络系统进行实时监控、查询，及时对故障进行有效隔离、排除和恢复工作。（5）网络系统的配置必须有专人负责，其他人员不得随意更改。22