本书对如何保护电子商务网站做了全面的介绍。内容包括：灾难恢复、负载平衡和性能优化等，共涉及客户隐私策略和安全金融交易等专业主题。本书由多位资深网络安全专家精心编著而成，书仔结合他们近10年的网络安全管理经验，以通俗的语言为读者提供了切实可行的解决方案，是一本实用的网络安全参考书。

Ryan Russell（CCNA，CCNP）：全球畅销的《Hack Proofing Your Network：Internet Tradecraft》一书的作者，书的ISRN编号为 1－928994－ 15－6。他目前是 SecurityFocus．com的MIS主管，是业内知名的网络安全专家，并在一家大型软件开发商那里负责过内部安全调查。Ryan已在IT界干了11年，最近这6年的时间主要花在信息安全技术上。多年以来，他都是许多安全邮件列表的活跃人士，比如 BugTrap等等。Ryan目前已参与过四部涉及网络主题的 Syngress作品的编著。他拥有计算机科学的学士学位。Ryan想感谢美国能源部的 Karen Mathews女士，感谢她在作者准备本书第10章时所给予的帮助。
　　Mark S．Merkow（CCP）：自 1975年起，便是业内知名的信息系统专家，从事过多种工作。最近12年来，他在亚利桑那州（Arizona）凤凰城一家财富50强的金融服务公司工作。Mark当年从亚利桑那州立大学的商业分校获得了决策与信息系统的硕士学位，并在同一所大学的教育分校拿到了教育学硕士学位，他特别擅长开发远距离教学课程。如今，他以一名电子商务安全专家的身份，为国内外的Web设计及开发公司服务。自1990起，Mark总共创作或者与别人共同编著过六本计算机技术书籍，其中包括《Breaking Through Technical Jargon》、《Building SET Ap－plications for Secure Transactions》、《Thin Clients Clearly Explained》、《Virtual Private Networks ForDummies》、《A Complete Guide to Internet Security》以及《The ePrivacy Imperative》。除此以外，Mark还是几份本地、国家以及国际性出版物的计算机专栏作家，在Internet．com开设有自己的专栏。
　　Robin Walshaw（MCSE，DPM）：《Mission Critical Windows 2000 Server Administration》一书的作
者，书的ISBN编号为1－928994－16－4。他是一名独立咨询专家，为全球的大型公司提供安全与基本结构建设方案。既有丰富商业经验、也有高级技术水平的Robin可游刃有余地设计并实施具有高度扩展能力的方案，使各大企业能够最有效地挖掘出技术的潜力。由于需要为全世界的不同客户开发策略性的IT方案，最近10年间，他在8个国家长期工作过，短期工作的国家也有30多个。作为全球IT界的知名人士，Robin在大量领域、平台和技术上都有丰富的经验。为了促进安全技术和网络操作系统的开发与研究，他出了不少的力气！
　　Teri Bidwell（GCIA）：从事Internet安全行业已有超过10年的历史，她既是一名工程师，也是一名管理员，还是一名通过了SANS认证的GCIA入侵分析家。她的职业生涯始于当年在科罗拉多大学负责Unix网络的安全保护；后来，又担任Sybase公司的Cisco网络工程师和DNS管理员。如今，Teri是总部设在Reston市的一家公司的安全分析师。她是公司安全策略的关键负责人，也是电子商务开发的一名顾问。她的特长是企业环境中的安全策略创制、漏洞评估、入侵测试以及入侵检测。
　　Michael Cross（MCSE，MCP＋I，CNA）：是一名微软认证系统工程师、微软认证产品专家、微软认证专家十Internet（MCP＋I）以及Novell认证管理员。Michael是Niagara地区警察署的网络管理员、Internet专家和程序员。他的主要职责是保证网络安全，进行网络管理，负责程序开发，同时兼任他们的www．nrps．com网站的管理员。涉及本地的与计算机相关的Internet罪案时，他还要担当顾问的角色，而且是信息技术小组的一名成员，为800多名市民和用户提供支持。他的理论是假如用户带着枪，那么更能激励你去解决他们的问题。
　　Michael有一家自己的公司，名为KnightWare，这是一家综合性计算机公司，提供咨询、编程、网络、网页设计。计算机培训以及其他服务。他还在加拿大的Ontario和London的私立大学和技术学校担任教师职务。过去几年来，他有大量著作问世，有大量文章见于各种书籍和文选上。
　　Oliver Steudler（CCNP，CCDP，CSE，CNE）：南非开普敦 iFusion Networks公司的资深系统工程师。Oliver的专长是路由器、交换机以及网络安全。在复杂网络的咨询、设计、实现与故障诊断方面，有着10多年的经验。他撰写过大量涉及TCP／IP计算机连网、安全以及数据通信的文章，同时还参与了Syngress的《Managing　Cisco　Network　Security》一书的编著（ISBN：1－928994－17－ 2）。
　　Kevin Ziese：目前就职于Cisco Systems的计算机专家。加入 Cisco之前，他创办了Wheel－group公司。公司在1998年4月被Cisco收购。在创办Wheelgroup公司之前，他是美国空军信息战备中心高级对策局的一名军官。

本书是应我们第一本书《Hack Proofing Your Network：Internet Tradecraft》的读者的要求而写的，很多读者要求我们对如何保护电子商务网站作更详细的介绍，揭示一些特殊的风险并展示一些示范站点。我们希望这本书能回答读者的所有问题，并且能够有所发挥。假如您的单位已经跨进了电子商务的领域，便会发现这本书非常有价值——特别是假如过去未能给予安全足够的重视。如果您是一个老练的安全专家，我们相信这本书的详细程度也会让您大开眼界，特别是在涉及到客户隐私策略和安全金融交易等主题的时候。
　　作为从业者，我们遇到的网站只有两种：没有被黑过的和已经被黑过的网站。我们的目标是向您提供所需的工具和资源，来避免您的网络成为后者中的一员。对于这个目标来说，本书非常实用。我们承认假如要做“正确”的事（建一个司法调查实验室，中断经营以艰苦细致的工作来调查每一处可能的破坏），那么就超出了大多数单位的财力，所以我们提供了比较实际的解决方案，在条件许可的前提下接近于理想。
　　我们认为要让本书实用，它必须同时覆盖如下主题：灾难恢复、负载平衡和性能优化。我们努力避免陷入推荐不清楚的“黑盒”硬件解决方案的圈套，而这正是相同领域其他的很多书籍容易犯的毛病。
　　本书和Syngress的其他书籍有着许多共同的特色：它不仅教我们“为什么”，还教我们“怎么做”。这在信息安全世界里是非常关键的，因为技术正以特别快的速度发展，并且有令人难以置信的多样化。拼凑电子商务网站的方法，就像网站一样多。要想预见任何读者的配置是不可能的，我们提供的材料是专门为了让读者思考而挑选的。我们希望读者能够吸取这些信息，将它们用到自己的情况中。
　　我们真心希望您能喜欢这本书。您会注意到Syngress在他们的网站上为购书的读者提供“向作者提问”的功能。请好好利用它，我们很高兴能听到您的意见。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Ryan Russell（CCNA，CCNP）

（美）Ryan Russell 等：暂无简介

智慧东方工作室：暂无简介

第1章　为电子商务引入安全原则
1．1　概述
1．2　安全是基础
1．2．1　机密性
1．2．2　完整性
1．2．3　可用性
1．2．4　安全并不只是一个时髦词
1．2．5　电子商务的安全目标
1．2．6　精心计划安全策略
1．2．7　开发阶段的安全
1．2．8　实现安全方案
1．2．9　在安全环境中管理和维护系统
1．3　为现有站点引入安全原则
1．3．1　找出安全隐患
1．3．2　修补过程中的管理和维护
1．4　如何评估安全预算
1．4．1　标尺八法
1．4．2　刺激方法
1．5　安全作为一种限制
1．6　安全作为一种帮助
1．7　小结
1．8　要点
1．9　常见问题解答
第2章　DSoS攻击
2．1　概述
2．2　什么是DDoS攻击
2．2．1　DDoS基础
2．2．2　DDoS攻击详解
2．2．3　2000年2月的攻击
2．3　为何电子商务网站是DDoS的
主要攻击目标
2．3．1　一个日益迫切的问题
2．3．2　媒体的"功劳"
2．4　攻击者为了什么
2．4．1　黑客的逻辑
2．4．2　黑客主义
2．4．3　追求短暂的出名
2．4．4　发泄愤怒
2．4．5　经济利益
2．4．6　心怀恶意
2．5　哪些工具可用来执行DDoS攻击
2．5．1　Ttinoo
2．5．2　TFN2K：可移植的作物
2．5．3　Stacheldraht：有刺的铁丝网
2．5．4　更多的DDoS家族
2．6　如何保护网站免遭攻击
2．7　小结
2．8　要点
2．9　常见问题解答
第3章　安全网站设计
3．1　概述
3．2　挑选Web服务器的方法
3．2．1　Web服务器与Web服务
3．2．2　考虑Web服务器的价格和支持的
操作系统
3．2．3　对比Web服务器的安全特性
3．3　安全站点设计基础
3．3．1　拟定安全计划
3．3．2　将安全层次扩展到Web
服务器之外
3．3．3　Apache和IIS的比较
3．3．4　安装


3．3．5　强化服务器软件
3．3．6　总体系统强化
3．3．7　密码破解和分析工具
3．3．8　和HTML代码有关的Web
设计问题
3．4　Java、JavaScript和ActiveX
设计指南
3．4．1　概述
3．4．2　防范Java、JavaScript和ActiveX
的问题
3．5　安全脚本编程
3．6　代码签名：是解决问题还是带来更多
的问题
3．6．1　理解代码签名
3．6．2　代码签名的优点
3．6．3　代码签名的缺点
3．7　网站应该让别人来设计吗
3．7．1　理解需要的技术
3．7．2　把设计工作承包给别人的优缺点
3．7．3　实施前应仔细检查
3．8　小结
3．9　要点
3．10　常见问题解答
第4章　设计和实现安全策略
4．1　概述
4．2　安全策略对电子商务网站的
重要性
4．3　安全策略应强调哪此方面
4．3．1　保密性与个人隐私策略
4．3．2　信息完整性策略
4．3．3　服务策略的可用性
4．4　网上有现成的安全策略吗
4．4．1　每家单价的策略是不同的
4．4．2　示范策略和框架
4．4．3　让外人来制订策略的问题
4．5　如何利用安全策略来实现
技术方案
4．6　如何将安全策略通知给客户
4．7　小结
4．8　要点
4．9　常见问题解答
第5章　实现一个安全的电子商务网站
5．1　概述
5．2　实现安全区
5．2．1　非军事区
5．2．2　每种需要设置一个区
5．2．3　多区网络存在的问题
5．3　理解防火墙
5．3．1　探索防火墙选项
5．3．2　设置防火墙规则集
5．4　把组件放到哪里
5．4．1　按风险来定义系统
5．4．2　建立风险控制需求
5．4．3　通过需求分组来创建安全区
5．5　实现入侵侦测
5．5．1　什么是入侵侦测
5．5．2　在入侵侦测中选择
5．5．3　基于网络的IDS的例子
5．5．4　基于主机的IDS的例子
5．6　管理和监视系统
5．6．1　需要执行哪些管理任务
5．6．2　应进行哪些监视
5．7　站点托管
5．7．1　站点托管的优缺点
5．7．2　服务器寄放
5．7．3　挑选承包合作伙伴或者ASP
5．8　小结
5．9　要点
5．10　常见问题解答
第6章　保护金融交易
6．1　概述
6．2　理解网上支付卡系统
6．2．1　信用卡、签账卡或借记卡
6．2．2　销售点处理


6．2．3　清算和结算
6．2．4　网上支付卡交易步骤
6．3　商业支付方案中的选项
6．3．1　商业服务器供应商
6．3．2　直接使用内部资源
6．4　安全支付处理环境
6．4．1　其他服务器控制
6．4．2　在应用层的控制
6．5　密码学
6．5．1　方法
6．5．2　密钥在密码系统中扮演的角色
6．5．3　密码学原理
6．5．4　数字证书
6．6　探讨电子商务中的密码学
6．6．1　散列功能
6．6．2　区块密码
6．6．3　PPK密码的实现
6．6．4　SSL协议
6．6．5　传输层安全
6．6．6　PGP
6．6．7　S／MIME
6．6．8　安全电子交易
6．6．9　XML数字签名
6．7　虚拟POS实现
6．8　其他支付系统
6．8．1　基于智能卡的方案
6．8．2　代理付账
6．8．3　电子货币
6．9　小结
6．10　要点
6．11　常见问题解答
第7章　检查网站漏洞
7．1　概述
7．2　已知的各类攻击
7．2．1　拒绝服务攻击
7．2．2　信息泄漏攻击
7．2．3　文件访问攻击
7．2．4　讹信攻击
7．2．5　特殊文件／数据库访问攻击
7．2．6　提高权限攻击
7．3　对站点进行一次风险分析
7．3．1　资产评估
7．3．2　攻击原因
7．4　检测自己站点的安全漏洞
7．4．1　决定检测技术
7．4．2　研究自己的漏洞
7．4．3　使用自动扫描工具
7．5　雇佣一个入侵测试小组
7．6　小结
7．7　要点
7．8　常见问题解答
第8章　灾难恢复计划
8．1　概述
8．2　什么是灾难恢复计划
8．2．1　拟定灾难恢复计划
8．2．2　保证符合质量标准
8．3　确保安全的信息备份和恢复
8．3．1　进行备份和验证的必要性
8．3．2　保护敏感信息的备份
8．4　预防硬件故障或服务丢失
8．5　如何防范自然灾害
8．5．1　热站：进行恢复的另一个办法
8．5．2　如何挑选一个热站
8．5．3　进行测试
8．6　保险选择
8．6．1　错误和疏忽保险
8．6．2　知识产权保险
8．6．3　第一方电子商务保护
8．6．4　决定保险范围
8．6．5　一些可能不必要的保险
8．7　小结
8．8　要点
8．9　常见问题解答
第9章　控制大流量网络传输


9．1　概述
9．2　想不到站点如此受欢迎，怎么办
9．2．1　判断站点负载
9．2．2　性能调节Web服务器
9．3　怎样管理带宽需求
9．3．1　洽商带宽大小
9．3．2　如何规划带宽升级
9．3．3　根据需要获取带宽
9．4　负载平衡概论
9．4．1　什么是负载平衡
9．4．2　负载平衡的优缺点
9．4．3　负载平衡和安全
9．5　小结
9．6　要点
9．7　常见问题解答
第10章　事故反应、司法调查和法律
10．1　概述
10．2　事件反应策略的重要性
10．2．1　惊慌还是冷静
10．2．2　如何才能不去管一个事件
10．2．3　正确的策略权衡
10．2．4　再论事件反应策略
10．3　建立一个事件反应小组
10．4　设置起诉范围
10．4．1　试图越界的攻击者
10．4．2　理解管制链
10．5　建立一个事件反应规程
10．6　司法调查
10．7　事件跟踪
10．8　资源
10．8．1　法律／政府／执法
10．8．2　备份／司法
10．8．3　事件跟踪系统
10．8．4　杂项
10．9　小结
10．10　要点
10．11　常见问题解答
附录A　进行内容发布的Cisco方案