电子商务安全与法规 上机实验指导书.doc

电子商务安全与法规 上机实验指导书实验名称 :电子商务安全与法规课程实验实验一 :电子商务网站建设及其网络服务的基本法律问题1、实验目的：(1)加深对电子商务网站概念的理解，熟悉电子商务网站的各种分类方法，了解电子商务网站的建设、开发的基本工作流程；(2) 加深电子商务网站所涉及的相关技术及其基本法律问题的理解； (3) 掌握电子商务网站的系统的软硬件构成。2、实验内容：(1)在网上浏览各类电子商务网站，并根据教材中的分类方式，将其归纳为以下几类：（参考电子商务法教程第一章）按商务模式分类的网站；按经营模式分类的网站；按所从事的商务活动分类的网站；按实现的技术方法分类的网站(2)了解电子商务实验室的网络设施和布线情况，画出网络拓扑结构示意图，并标出实验室使用的交换机型号、端口数目、以及你所使用PC机的位置和计算机名（LAN中使用NetBEUI协议就可按"计算机名"来识别网络中的各台计算机）。(3)了解你所使用计算机上的网络相关配置情况：使用Winipcfg（Windows 98用户）或Ipconfig（Windows2000用户）测试你所用计算机的IP地址、子网掩码；打开"控制面板网络"，查看安装的协议名称、相关属性,网卡型号以及你的计算机名；打开"控制面板Internet选项"，查看网关IP地址、DNS等有关配置，并根据网关的IP地址推出我们所处的网络号以及属于哪类网络；打开"控制面板Internet选项"，在"高级"选项中查看"安全"配置，看看使用了哪些版本的SSL协议。(4)利用"Tracert"命令观察你的计算机在访问某个网站时经过的路由，并作好记录；(5)使用"Ping"命令，观察你使用的计算机与我校LAN中IP地址为"202.114.170.10"、"202.114.170.1"、"202.114.170.12"主机之间的连接情况，并作好记录；3、预习要求及参考书目： (1)实验内容第一项可以通过在中国万网www.net.cn、中国新www.chinadns.com、东方网景b2b.east.net、中华大家网www.17365.com、东南数据www.1358.net、智能建网www.568com.com等网站上的成功案例中找出它们实施建立的电子商务网站，从中了解这些网站使用的技术方法。 (2)参考电子商务法教程第二章 网站设立及其网络服务的法律管制 (3)参考 附录资料4、实验步骤：按"实验内容"中的各项完成相应操作。 5、实验报告要求：(1) 按"实验内容"中的各项完成相应操作，实验报告中要求记录，并说明出现问题的原因；(2) 在实验报告中，列出23个例子说明我国电子商务网站中存在的"百站一面"的现象，要求将雷同的网页"抓"到你的实验报告中（用"Alt + Print Screen"抓图，然后用"Ctrl + V"粘贴到你的实验报告中，并指出它们的雷同之处，如是版面布局，或栏目设置，或内容，或经营方式等）。(3) 所有实验数据应当真实，不得相互抄袭。附录：1 PingPing是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，就可推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的，你必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。简单的说，Ping就是一个测试程序，如果Ping运行正确，你大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，Ping也被某些别有用心的人作为DOS（拒绝服务攻击）的工具，前段时间Yahoo就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。按照缺省设置，Windows上运行的Ping命令发送4个ICMP（网间控制报文协议）回送请求，每个32字节数据，如果一切正常，你应能得到4个回送应答（见图1）。Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL（Time To Live存在时间）值，你可以通过TTL值推算一下数据包已经通过了多少个路由器：源地点TTL起始值（就是比返回TTL略大的一个2的乘方数）减去返回时TTL值。例如，返回TTL值为119，那么可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。通过Ping检测网络故障的典型次序正常情况下，当你使用Ping命令来查找问题所在或检验网络运行情况时，你需要使用许多Ping命令，如果所有都运行正确，你就可以相信基本的连通性和配置参数没有问题；如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：ping 127.0.0.1-这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。ping 本机IP-这个命令被送到你计算机所配置的IP地址，你的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。ping 局域网内其他IP-这个命令应该离开你的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将IP地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。ping 网关IP-这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。ping 远程IP-如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。ping localhost-localhost是个操作系统的网络保留名，它是127.0.0.1的别名，每台计算机都应该能够将该名字转换成该地址。如果没有做到这一点，则表示主机文件（/Windows/host）中存在问题。ping www.yahoo.com-对这个域名执行Ping命令，你的计算机必须先将域名转换成IP地址，通常是通过DNS服务器。如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障（对于拨号上网用户，某些ISP已经不需要设置DNS服务器了）。顺便说一句：你也可以利用该命令实现域名对IP地址的转换功能。如果上面所列出的所有Ping命令都能正常运行，那么你的计算机进行本地和远程通信的功能基本上是正常的。但，这些命令的成功并不表示你所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。Ping命令的常用参数选项ping IP -t-连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。ping IP -l 2000-指定Ping命令中的数据长度为2000字节，而不是缺省的32字节。ping IP -n-执行特定次数的Ping命令。2 Winipcfg/IpconfigWinipcfg/Ipconfig实用程序可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。最常用的选项ipconfig-当使用IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。ipconfig /all-当使用all选项时，IPConfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址（MAC）。如果IP地址是从DHCP服务器租用的，IPConfig将显示DHCP服务器的IP地址和租用地址预计失效的日期（有关DHCP服务器的相关内容请详见其他有关NT服务器的书籍或询问你的网管）。ipconfig /release和ipconfig /renew-这是两个附加选项，只能在向DHCP服务器租用其IP地址的计算机上起作用。如果你输入ipconfig /release，那么所有接口的租用IP地址便重新交付给DHCP服务器（归还IP地址）。如果你输入ipconfig /renew，那么本地计算机便设法与DHCP服务器取得联系，并租用一个IP地址。请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。如果你的计算机和所在的局域网使用了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP-Windows NT下的一种把较少的IP地址分配给较多主机使用的协议，类似于拨号上网的动态IP分配），这个程序所显示的信息也许更加实用。这时，IPConfig可以让你了解你的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。3 Tracert当数据报从你的计算机经过多个网关传送到目的地时，Tracert命令可以用来跟踪数据报使用的路径。该实用程序跟踪的路径是源计算机到目的地的一条路径，不能保证或认为数据报总遵循这个路径。如果你的配置使用DNS，那么你常常会从所产生的应答中得到城市、地址和常见通信公司的名字。Tracert是一个运行得比较慢的命令（如果你指定的目标地址比较远），每个路由器你大约需要给它15秒钟。Tracert的使用很简单，只需要在tracert后面跟一个IP地址或URL，Tracert会进行相应的域名转换的。Tracert一般用来检测故障的位置，你可以用tracert IP来查找在哪个环节上出了问题，虽然还是没有确定是什么问题，但它已经告诉了我们问题所在的地方，你也就可以很有把握的告诉别人-某处出了问题。实验二、三 : EC网站系统及安全设计的实现技术与方法 1、实验目的：(1) 掌握电子商务网站开发的实现步骤与过程，了解一些著名企业推出的电子商务解决方案和开发平台的功能。(2) 掌握电子商务网站安全设计与管理的方法和基本原则。熟悉防火墙、VPN等安全技术措施的工作原理和过程，了解入侵及检测等技术的实现方法和手段，掌握计算机病毒的基本特点和防范措施。(3) 熟悉电子商务网站系统分析与设计的方法。2、实验内容：(1) 访问IBM、联想、HP等电子商务方案提供商的网站，了解这些公司提供的最新电子商务（网上交易）方案，包括方案的适用领域、功能、所需配置以及价格等资料。(2) 从网上寻找一些利用网络犯罪的资料，并将其整理成一个小案例（要求字数不超过1000字），其格式见附录2。(3) 在网上浏览有关网络安全的网站，从这些网站中了解有关安全方面的信息和相关技术的发展情况，并记录下你认为对今后电子商务工作有帮助的网站。 (4) 使用"Ping"命令，判断某远程主机的操作系统，并作好记录。(5) 访问国内几个主要的杀毒软件生产企业的网站（江民、瑞星、金山等），了解计算机最新的发展情况，尤其是26日国内计算机病毒的危害情况，和这些所采取的措施。(6) 进入一个使用SSL协议的安全电子商务网站，记录下访问的过程（从出现"https:/xxx.xxxx.xx"开始，到出现"离开安全网页"之类的提示为止）。(7) 从我校网站上下载计算机防病毒软件并安装在你所使用的计算机上，观察清除病毒的情况，并做好记录。(8) 在网上查找相关资料，分析目前黑客使用最多的攻击手段是哪几钟？应当如何防范？(9) 在网上查找相关资料，记录国内主要的防火墙产品生产厂商是哪几家，他们的主打产品是什么？(10) 举例说明，目前我国电子商务网站主要采用哪几种身份认证方式？3、预习要求及参考书目： (1) 提示：可以访问的网站有：国家信息中心www.chinafirst.org.cn、中国安全在线www.safen.org、信安网www.infosec.gov.cn、1218任子行www.1218.com.cn、五月安全网bgbbs.www70.cn4e.com、网络安全评估中心www.cnns.net、中国信息安全产品测评认证中心www.itsec.gov.cn，在这些网站上有许多安全防范方面的技术知识。 （2）参考电子商务安全第三、五章 安全协议、身份认证及防火墙。4、实验步骤：按"实验内容"中的各项完成相应操作，并做详细记录。 5、实验报告要求：(1) 按"实验内容"中的各项完成相应操作，并做详细记录。；(2) 实验报告中的记录要经过自己的加工整理，不能只是将原始资料堆砌在一起，要用精练的语言或数字简明扼要地加以描述，对无法记录的信息要说明出现其原因。(3) 实验数据和资料应真实，不要凑结果，更不能抄袭他人的实验数据和结果。附录：案例1：借刀杀人，破坏某电子公司的数据库1999年11月 该网站运行于Windows NT 4.0上,web server为IIS4.0,补丁号为Service Pack5。该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份，网站运行半年来积累的用户和资料全部丢失。系统管理员反复检查原因，通过web日志发现破坏者的调用web程序记录，确定了当时用户的IP是202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位)，而这个IP来自于某地一个ISP的一台代理服务器。这个202.103.xxx.xx的服务器安装了Wingate的代理软件。破坏者浏览电子公司的网站是用该代理访问的。这件事情给电子公司带来的损失是很严重的，丢失了半年的工作成果。入侵者同时给202.103.xxx.xxx带来了麻烦，电子公司报了案，协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。该代理服务器的系统管理员是本站一位技术人员F的朋友。F通过对受害者的服务器进行安全检查发现了原因。首先，其端口1433为开放，SQL数据库服务器允许远程管理访问；其次，其IIS服务器存在ASP的bug，允许任何用户查看ASP源代码，数据库管理员帐号sa和密码以明文的形式存在于ASP文件中。有了这两个条件，破坏者可以很容易地连上SQL数据库，以最高身份对数据库执行任意操作。案例2：窃取管理帐号999年7月中旬 该网站运行于Solaris2.5上，系统管理员经常发现网站的管理模块有不明用户进入，入侵者能用管理员的帐号查看，修改用户数据，查看用户密码 。从6月以来不断有用户投诉密码被更改，邮箱邮件被别人收走。还有的栏目信息被入侵者修改，换成莫名其妙的内容，更猖狂的是，该入侵者居然公然加了一个自己的帐号，并将其设置为管理员。经本站安全技术人员C检查，其网站至少存在2个致命漏洞，一个中等程度的漏洞和若干个配置错误。其中一个致命漏洞在于RPC程序中的一个守护进程。该守护进程的漏洞在Internet上发布已经有半年，但管理员既没有对该进程的程序打补丁，也没有关掉该服务。实际上这个服务是没有必要打开的。这个守护进程中存在一个缓冲区溢出错误，并且有黑客针对该错误写了一段攻击程序，公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令。该溢出发生的时候这个守护进程程序报错，这表明入侵者的确是利用这个漏洞进入系统的。该网站上的另一个中等程度的漏洞是finger服务，该服务暴露了这台机器的用户名。本站安全技术人员通过修改系统初始化文件和修补漏洞的工作以后，有效地防止了以后同类现象发生。该网站从7月中开始运行到现在没有出现过有关安全的投诉。实验四 : 企业网站的安全性分析和设计1、实验目的：(1) 掌握如何分析电子商务网站的安全性；(2) 了解设计信息发布型企业网站的整个过程。2、实验内容：(1) 上网考察以下的网站 联想集团有限公司 http:/www.lenovo.com/default.html 广东万家乐燃气具有限公司 http:/www.chinamacro.com/ 海尔集团 http:/www.haier.com/indexc800.htm试对以上的三个网站从以下几个方面进行分析。 网站的概况； 网站的结构； 网站的内容及功能 网站的安全性(2) 为你的企业（自己模拟一个你想创业的公司）设计一个信息发布型的网站（即没有网上支付功能）。例：假设你是一个小型快餐店的老板，你的生意越来越红火，以至于店面已不能应付，为了拓展业务，希望在网上开一家快送餐店，请设计一个完整的可行方案，简述该方案的流程并画出设计方案的流程图。设计出网站的首页，注意网站安全性与法律法规。3、预习要求及参考书目： 参考电子商务安全第八章 电子商务安全策略解决方案4、实验步骤：按"实验内容"中的各项完成相应操作，并做详细记录。 5、实验报告要求：(1) 按"实验内容"中的各项完成相应操作，并做详细记录。；(2) 实验报告中的记录要经过自己的加工整理，不能只是将原始资料堆砌在一起，要用精练的语言或数字简明扼要地加以描述，对无法记录的信息要说明出现其原因。(3) 实验数据和资料应真实，不要凑结果，更不能抄袭他人的实验数据和第 10 页 共 10 页