下载第 5章 电子商务的安全
5.1 引子
1 9 8 8年 11月 3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了,不管他们怎么尝试,计算机都不响应。追查这个灾难事件后发现是康奈尔大学 2 3岁的研究生小罗伯特·莫里斯( Robert Morris Jr.)干的,他放了一个因特网蠕虫,制造了因特网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作。所谓“蠕虫”
是将自己的“繁殖”版传给其他计算机。这个程序之所以能够在因特网迅速传播,主要是由于 U N I X电子邮件程序( s e n d m a i l)上有一个缺陷。蠕虫侵入和感染了六千两百多台计算机
(占当时因特网上计算机的 1 0 %),导致大面积的停机事件。由于媒体对这次事件大肆渲染,
一些未被感染的网站干脆切断了与因特网连接。停机及其相关损失的成本无法准确计算。有些估计认为损失的计算时间(称为拒绝服务)价值 2 400万美元,消除病毒和恢复计算机同因特网连接的直接成本大约为 4 000万美元;有些估计则认为成本接近 1亿美元。研究蠕虫的专家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机。因特网蠕虫使计算机界猛醒过来。自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的考虑因素。
学习目标
计算机和电子商务安全方面比较重要的术语。
安全程序为什么由保密、完整和即需三部分组成。
版权和知识产权的作用,它们在电子商务研究中的重要性。
安全威胁,消除和减少安全威胁的措施。
对客户机,W W W服务器和电子商务服务器的安全威胁。
后台产品(如数据库)如何提高安全性。
安全协议如何能堵住安全漏洞。
加密和认证在确认和保密中的作用。
5.2 安全概述在因特网早期,电子邮件是最常用的服务之一。在电子邮件出现后,人们一直担心电子邮件的信息会被竞争对手获取,从而对企业不利;另外一个担心是员工与工作无关的邮件
(如谈及周末的聚会)被上司读到后会对员工不利。这些都是很严重也很现实的问题。
今天这些问题更严重了。随着因特网的成熟,人们使用它的方式也发生了变化。竞争者未经授权而访问到公司的信息所带来的后果要比以前严重得多。电子商务出现后,长期以来对信息安全的要求就更加迫切了。
首次在因特网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会被上百万人看到。这个担心和 3 0多年来对在电话购物过程中申报信用卡号时的担心是一样的,
我怎么能相信在电话那边记录我信用卡号的人呢?现在人们对在电话中把自己的信用卡号告诉陌生人已不太在意了,但很多消费者还是不放心用计算机来传输信用卡号。本章从电子商务角度详细介绍计算机安全方面的问题。计算机安全涉及面很广,又非常复杂,而且其研究还在不断深入,本章主要概述一些比较重要的安全问题及目前的解决办法。
计算机安全 就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两大类的安全:物理安全和逻辑安全。 物理安全 是指可触及的保护设备,如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为 逻辑安全 。对计算机资产带来危险的任何行动或对象都称为 安全威胁 。
安全措施 是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不同,相应的安全措施也不同。如果保护资产免受安全威胁的成本超过所保护资产的价值,我们就认为对这种资产的安全风险很低或不可能发生。如在经常发生龙卷风的俄克拉荷马市,对计算机网络进行防龙卷风的保护是有意义的;而在很少发生龙卷风的洛杉矶市就不需要对计算机进行防龙卷风保护。图 5 - 1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。
在此模型中,堪萨斯市或俄克拉荷马市处在第二象限,而南加州的龙卷风可在第三或第四象限。
图 5-1 风险管理模型这种风险管理模型可同样应用在保护因特网或电子商务资产免受物理或逻辑的安全威胁的领域。这类安全威胁的例子如欺诈、窃听和盗窃,这里的 窃听者 是指能听到并复制因特网上传输内容的人或设备。实施好的安全计划必须识别出风险、确定对受到安全威胁的资产的保护方式并算出保护资产的成本。本章的重点不是保护的成本或资产的价值,而是识别安全威胁并保护资产免受这些安全威胁的方法。
5.2.1 计算机安全的分类安全专家通常把计算机安全分成三类,即保密、完整和即需。 保密 是指防止未授权的数
1 1 2 电 子 商 务 下载概率高影响小
(成本)
概率低影响大
(成本)
保险或备份计划预防控制不用理会据暴露并确保数据源的可靠性; 完整 是防止未经授权的数据修改; 即需 是防止延迟或拒绝服务。计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。相对来说,完整安全威胁的见报就不那么频繁,因此大众对这个领域比较陌生。假如一个电子邮件的内容被篡改成完全相反的意思,我们就说发生了对完整性的破坏。对即需性破坏的案例很多,而且频繁发生。延迟一个消息或消除它会带来灾难性的后果。例如,你在上午 1 0点向 E * Tr a d e(一家在线的股票交易公司)发一个电子邮件委托购买 1 0 0 0股 I B M公司的股票,假如这个邮件被人延迟了,股票经纪商在下午 2点半才收到这条邮件,这时股票已涨了 1 5 %。这个消息的延迟就使你损失了交易额的 1 5 %。
5.2.2 版权和知识产权虽然保护措施不同,版权和知识产权的保护实际上也属于安全问题。 版权 是对表现的保护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。 知识产权 是思想的所有权和对思想的实际或虚拟表现的控制权。同对计算机的安全威胁一样,对版权的侵犯也会带来破坏;但同对计算机安全的破坏不一样,侵犯版权的范围比较狭窄,对组织和个人的影响要小一些。
美国 1 9 7 6年的版权法规定的是固定期限的保护。对 1 9 7 8年前出版作品的保护期为出版期后 7 5年,对 1 9 7 8年 1月 1日后出版作品的保护期为作者去世后 5 0年或作品发表后 7 5年。所有作品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护,美国版权法中这一点最易引起误解。除非你从一家电子商务网站收到允许复制受版权保护的图片,否则你在自己的网站上使用这个图片就违反了美国的版权法。无论在什么搜索引擎上输入
,c o p y r i g h t”,都会找到数百种讨论版权问题的网站。其中的 Copyright Clearance Center网站里有大量美国版权方面的信息,图 5 - 2所示为它的主页。
图 5-2 Copyright Clearance Center的主页
5.2.3 安全策略和综合安全要保护自己的电子商务资产,所有组织都要有一个明确的安全策略。安全策略是用书面第 5章 电子商务的安全 1 1 3下载明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等。 安全策略 一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略。
制定安全策略时,首先要确定保护的内容(如保护信用卡号不被窃听);再确定谁有权访问系统的哪些部分,不能访问哪些部分;然后确定有哪些资源可用来保护这些资产。安全小组了解了上述信息后,制定出书面的安全策略。最后要提供资源保证来开发或购买实现企业安全策略所需的软硬件和物理防护措施。例如,如果安全策略要求不允许未经授权访问顾客信息(包括信用卡号和信用历史),这时就必须开发一个软件来为电子商务客户提供端到端的安全保证,或采购一个可实现这个安全策略的软件或协议。
虽然很难实现或根本不可能实现绝对的安全,但完全可构造一些障碍来阻止绝大多数的入侵者。如果一个电子窃贼进行未经授权活动的成本超过了进行这个非法活动所获得的价值,
这就大大降低了非法活动发生的概率。
综合安全意味着将所有安全措施协同起来以防止未经授权的资产暴露、破坏或修改。安全策略必须包含着对安全问题的多方面考虑因素。安全策略一般要包含以下内容:
认证:谁想访问电子商务网站?
访问控制:允许谁登录电子商务网站并访问它?
保密:谁有权利查看特定的信息?
数据完整性:允许谁修改数据,不允许谁修改数据?
审计:在何时由何人导致了何事?
本章逐步介绍上述问题,重点放在如何将这些安全策略应用到电子商务上。下面讲述对数字化信息的安全威胁,首先来看一下对知识产权的安全威胁。
5.3 知识产权的安全因特网广泛应用后,对知识产权的安全威胁比以前严重多了。未经所有者允许而擅自使用网络上的材料是非常容易的。侵犯版权所导致的财务损失比侵犯计算机的保密、完整和即需所带来的损失更难测量,但无论如何侵犯版权所造成的损失是非常大的。因特网成为了版权侵犯者的诱人目标,这主要有两个原因:首先,网络的信息非常容易复制,无论它是否受到版权保护;其次,很多人不了解保护知识产权方面的版权规定。因特网上每天都会发生许多无意或有意侵犯版权的案件。例如,迪尔伯特( D i l b e r t)卡通迷常会建立一些电子商店或俱乐部,在这些网站里使用了斯科特·亚当斯( Scott Adams)绘制的卡通,尽管这是善意的仰慕表示,但毫无疑问这是一种严重的版权侵犯行为。现在许多人都认为在 W W W上发生的版权侵犯行为主要是由于不了解哪些内容允许复制。大多数人不会恶意地去复制受版权保护的作品,并将它在 W W W上发布。
尽管在因特网出现前版权法已经生效了,但因特网使出版商的版权保护工作变得更为复杂了。要查找文字材料的未经授权复制非常容易,但查找被盗用、剪辑和非法使用在页面上的照片就比较困难了。哈佛商学院的 Berkman Center for Internet and Society(伯克曼因特网和社会研究中心)最近开设了一门“网络时空的知识产权”的新课。 The Copyright We b s i t e网站上有大量关于版权及合法使用的文章和新闻组的讨论。 合法使用 版权是指在符合特定要求下有限度地使用受版权保护的材料。图 5 - 3所示为 The Copyright We b s i t e网站的主页。
1 1 4 电 子 商 务 下载图 5-3 The Copyright Website的主页过去几年里出现了大量有关知识产权和网络域名的争论。因抢注域名而公堂相见的数量也在不断上升。 抢注域名 是指用别人公司的商标来注册一个域名,以期商标所有者付巨资赎回 域名。 可访问 Oppendahl & Larson律师 事务所 的网站 (可查 看本 书在线 版上的
Cybersquatting and the law),里面有对域名抢注方面的最新报道。
5.4 对电子商务的安全威胁要了解电子商务的安全需求,需要考查从客户机到电子商务服务器的整个过程。在考查
“电子商务链”上每个逻辑链条时,为保证安全的电子商务所必须保护的资产包括客户机、在通信信道上传输的消息,W W W和电子商务服务器(包括服务器端所有的硬件) 。电影中商业间谍主要是窃听各种通信设备,如电话线和卫星通信线路。虽然电信通道是需要保护的主要的资产之一,但并不是计算机和电子商务安全所考虑的惟一因素。例如,如果通信连接是安全的,而客户机上有一个病毒,这个病毒就会污染要安全传输到 W W W或电子商务服务器上的信息,这时商务交易的安全就像客户机一样不安全了。
本章的其余内容分成三部分,即保护客户机、保护在因特网上的信息传输和保护电子商务服务器。首先来看客户机上存在的安全威胁。
5.4.1 对客户机的安全威胁在可执行的 W W W内容出现前,页面是静态的。静态页面是以 W W W标准页面描述语言
H T M L编制的,其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后,这第 5章 电子商务的安全 1 1 5下载个状况就发生变化了。
1,活动内容活动内容 是指在页面上嵌入的对用户透明的程序,它可完成一些动作。活动页面可显示动态图像、下载和播放音乐或实现基于 W W W的电子表格程序。电子商务中使用的活动内容涉及将你选中的商品放入购物车并计算发票总额(包括销售税和送货费) 。开发人员非常欢迎活动内容,因为它扩展了 H T M L的功能,使页面更为活泼。它还将原来要在服务器上完成的某些辅助性处理任务转给大多数情况下处于闲置状态的客户机来完成。
活动内容有多种形式,最知名的活动内容形式包括 J a v a小应用程序,A c t i v e X控件、
J a v a S c r i p t和 V B S c r i p t(从本书在线版的 Java applet Central和 Java security链接可找到因特网上
J a v a小应用程序和 J a v a安全方面的信息) 。脚本语言 J a v a S c r i p t和 V B S c r i p t可用来构造脚本(即可执行的命令) 。 V B S c r i p t是微软公司 Visual Basic程序设计语言的子集,可用作 W W W浏览器和其他 Microsoft ActiveX控件与 J a v a小应用程序的应用上的快速、轻便和可移植的解释程序。
小应用程序 是可在另一个程序中执行的程序,但它不能在计算机上直接执行。小应用程序通常是在 W W W浏览器中运行。 Cool applets网站上有许多很好的小应用程序,图 5 - 4所示为从
Cool applets上下载的一个小应用程序。
图 5-4 Java小应用程序的例子还有些不知名的为 W W W提供活动内容的方式,其中包括图形和 W W W浏览器插件。图形文件中可包含一些隐含的嵌入指令,当图形下载到客户机后就可执行这些指令。如果运行可执行图形文件或其他文件格式中所嵌入指令的程序,可能会导致隐藏在合法图形指令中的有
1 1 6 电 子 商 务 下载恶意指令的运行。前面讲过插件是用于解释或执行嵌入在下载图形、声音或其他对象中的指令。所有形式的活动页面都支持 W W W页面完成一些特定的任务。例如,表上的按钮可激活嵌入的程序来计算和显示信息,或将客户机上的数据发给 W W W服务器。活动内容为静态页面带来了生机。
对于一个在一台计算机上花十年才能完成的计算任务,可用分而治之的方法将它分布多台计算机上并行运行,可能只花几个月就可完成。 W W W页面上的活动内容为将计算强度大的活动分布到多台计算机上执行提供了一个理想的方式。从宇宙搜索可识别的信号就是使用这种技术的例子。志愿者从因特网上下载联邦政府从太空中接收到的宇宙信号,然后用自己的计算机分析这些信号。当志愿者的计算机空闲(也就是这些计算机处于等待状态,不执行任何程序)时,这些计算机就可用来过滤从太空中接收到的无线电波,以便从噪音中发现智慧生命所发出的信号。当志愿者下载了模式识别的程序后,就可以不断地下载和处理这些信号数据,以便确定太空中是否有人在试图与地球联系。
活动内容是如何启动的呢?你用浏览器就可查看一个带有活动内容的 W W W页面。小应用程序会随你所看到的页面自动下载下来,并开始在你的计算机上启动运行。这时就存在一个问题。由于活动内容模块是嵌入在 W W W页面里的,它对浏览页面的用户是完全透明的。
企图破坏客户机的人可将破坏性的活动页面放进表面看起来完全无害的 W W W页面中。这种技术称作特洛伊木马,它可立即运行并进行破坏活动。 特洛伊木马 是隐藏在程序或页面里而掩盖其真实目的程序。特洛伊木马可窃听计算机上的保密信息,并将这些信息传给它的
W W W服务器,从而构成保密性侵害。更糟的是,特洛伊木马还可改变或删除客户机上的信息,构成完整性侵害。
在 W W W页面里加入活动内容,就为电子商务带来了多种安全危胁。通过 W W W页面潜入的有恶意的程序可使通常存在 co o k i e里的信用卡号、用户名和口令等信息泄密。因为因特网是无状态的,它不能记忆从一个页面到另一个页面间的响应,用 c o o k i e可帮助解决需要记忆关于顾客订单信息或用户名与口令等问题( Cookie Central网站主要讲述有关因特网 c o o k i e方面的知识) 。有些恶意的活动内容利用 c o o k i e可将客户机端的文件泄密,甚至破坏存储在客户机上的文件。不久前,一个计算机病毒成功地检测到用户电子邮件通讯簿上的信息,把病毒发给了因特网上的其他人。在这个案例中,这个破坏性程序通过浏览器成功地得到了进入电子邮件的权利。虽然 c o o k i e本身并没有恶意,但有些人不喜欢让自己的计算机存储 c o o k i e。当你浏览因特网时会积累下大量的 c o o k i e,而有些 c o o k i e可能包含一些敏感的个人信息。幸好有很多免费程序或自由软件可帮你识别、管理、显示或删除 c o o k i e,如 Cookie Crusher(可在 c o o k i e
存进硬盘前对其进行控制)和 Cookie Pal。
2,Java,J a v a小应用程序和 J a v a S c r i p t
J a v a是 S u n微系统公司开发的一种高级程序设计语言。 J a v a以前称做 O A K,当初是为嵌入式系统开发的。许多 J a v a支持者认为 J a v a代码可嵌入在家用电器的芯片里,为家用电器带来智能。但今天 J a v a最普遍的应用是在 W W W页面上,数以千计的 J a v a小应用程序可实现各种各样的客户机端应用。这些小应用程序随页面下载下来,只要浏览器兼容 J a v a,它就可在客户机上运行。 Netscape Navigator和 Microsoft Internet Explorer都兼容 J a v a。图 5 - 5为 S u n公司的 J a v a
小应用程序页面,上有到许多 J a v a小应用程序的链接。
第 5章 电子商务的安全 1 1 7下载图 5-5 Sun公司的 Java小应用程序页面
J a v a是一种真正的面向对象的语言,这是一个很有用的特点,因为它支持代码重用。除
W W W应用外,J a v a还可在操作系统上运行。 J a v a得以广泛应用的另一个原因是它与平台无关性,它可在任何计算机上运行。这种“一次开发多处使用”的特点降低了开发成本,因为对所有计算机都只需维护一种原代码即可。
J a v a增强了业务应用功能。它可在客户机端处理交易并完成各种各样的操作,这就解放了非常繁忙的服务器,使其不必同时处理上千种应用。嵌入的 J a v a代码一旦下载就可在客户机上运行,这就意味着非常可能发生破坏安全的问题。为解决这个问题而提出了称为 J a v a
“运行程序安全区”的安全模式。运行程序安全区如何实现安全性的细节已超出了本书的范围。
简单来说,J a v a运行程序安全区 ( Java Sandbox)是根据安全模式所定义的规则来限制 J a v a小应用程序的活动。这些规则适应于所有不可信的 J a v a小应用程序。 不可信的 J a v a小应用程序是指尚未被证明是安全的 J a v a小应用程序。当 J a v a小应用程序在 J a v a运行程序安全区限制的范围内运行时,它们不会访问系统中安全规定范围之外的程序代码。例如,遵守运行程序安全区规则的 J a v a小应用程序不能执行文件输入、输出或删除操作。这就防止了破坏保密性(泄密)和完整性(删除或修改) (详细内容参见本书在线版的 Java Sandbox) 。 J a v a应用程序和
J a v a小应用程序不同,J a v a应用程序不在浏览器上运行,而是在计算机上运行,它可以完成任何操作(包括灾难性的操作) 。
从本地文件系统中下载的 J a v a小应用程序是可信的,其运行不受 J a v a运行程序安全区
1 1 8 电 子 商 务 下载的限制。可信的小应用程序能够访问客户机上的所有系统资源,系统相信它们不会进行破坏。 签名的 J a v a小应用程序 带有可信的第三方的数字签名,这是识别 J a v a小应用程序来源的措施。如果 J a v a小应用程序有签名,它就可在 J a v a运行程序安全区之外使用所有系统资源。采用这种方法的原因是,如果你知道小应用程序是谁开发的,并且相信这个小应用程序,那么当它破坏了你的计算机上的内容,你可寻求法律帮助赔偿。从理论上说,有破坏作用的 J a v a小应用程序通常是匿名开发的,细节信息参见本书在线版的 Security and signed
a p p l e t s。
J a v a S c r i p t是网景公司开发的一种脚本语言,它支持页面设计者创建活动内容。 J a v a S c r i p t
受到各种流行浏览器的支持,它和 J a v a语言有同样的结构。当你下载一个嵌有 J a v a S c r i p t代码的页面,此代码就在你的客户机上运行。同其他活动内容的载体一样,J a v a S c r i p t会侵犯保密性和完整性,它会破坏硬盘、把电子邮件的内容泄密或将敏感信息发给某个 W W W服务器。
另外还可能把你所访问页面的 U R L记下来、捕捉你填入任何表中的信息等。如果你在租车时输入了信用卡号,有恶意的 J a v a S c r i p t程序就可能把信用卡号复制下来。由于这种破坏是发生在客户机上的,在客户机到电子商务服务器之间所建立的安全通信连接起不到保护作用。这时犯罪发生在客户机上,处于网站安全区之外。 J a v a S c r i p t程序和 J a v a小应用程序的区别在于它不在 J a v a运行程序安全区的安全模式限制下运行。
同 J a v a程序或 J a v a小应用程序不同的是,J a v a S c r i p t程序不能自行启动。有恶意的
J a v a S c r i p t程序要运行,必须由你亲手启动。有恶意者为诱导你启动这个程序,会把程序假扮成退休金计算程序,在你按下按钮来查看自己的退休金收入时,恶意的 J a v a S c r i p t程序就会启动,完成它的破坏任务。这是特洛伊木马的另一个例子。
3,ActiveX控件
A c t i v e X是一个对象(称作控件),它含有(程序员称为“封装” )由页面设计者放在页面来执行特定任务的程序。 A c t i v e X的构件源于许多程序设计语言,如 C + +或 Visual Basic。但与
J a v a或 J a v a S c r i p t代码不同的是,A c t i v e X控件只能在装 Wi n d o w s( 9 5,9 8或 2 0 0 0)的计算机上运行,并且只能在支持 A c t i v e X控件的浏览器上运行。 A c t i v e X代码编完后,程序设计人员将其封装在 A c t i v e X信封里(在代码转换成机读码前的一种特殊方式),编译控件并把它放到页面上。当浏览器下载了嵌有 A c t i v e X控件的页面时,它就可在客户机上运行了。 S h o c k w a v e是用于动画和娱乐控制的浏览器插件程序,它就是 A c t i v e X控件。控件的其他例子有 W W W支持的日历控件及各种各样的 W W W游戏。在本书在线版中的 ActiveX controls library链接下可查看 A c t i v e X控件的清单。
A c t i v e X控件的安全威胁是:一旦下载后,它就能像计算机上的其他程序一样执行,能访问包括操作系统代码在内的所有系统资源,这是非常危险的。一个有恶意的 A c t i v e X控件可格式化硬盘、向邮件通讯簿里的所有人发送电子邮件或关闭计算机。由于 A c t i v e X控件可全权访问你的计算机,它能破坏保密性、完整性或即需性,因此,A c t i v e X控件不能控制,但可被管理。在第 6章的“客户机安全”一节中将讲述通过把 A c t i v e X控件分成可信组和不可信组来保护计算机的方法。如果浏览器安全特性设置正确(见第 6章内容),在你下载 A c t i v e X控件时,
浏览器就会提醒你。图 5 - 6所示为 Internet Explorer检测到一个 A c t i v e X控件时所发出的警告信息。
第 5章 电子商务的安全 1 1 9下载图 5-6 检测到 ActiveX时的警告对话框
4,图形文件、插件和电子邮件的附件前面曾提到图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。有些图像文件的格式是专门设计的,能够包含确定图像显示方式的指令。这就意味着带这种图形的任何页面都是潜在的安全威胁,因为嵌入在图形中的代码可能会破坏计算机。同样,浏览器插件是增强浏览器功能的程序,即完成浏览器不能处理的页面内容。插件通常都是有益的,用于执行一些特殊的任务,如播放音乐片断、显示电影片断或动画图形。例如,Q u i c k Ti m e可下载并放映特殊格式的电影片断。
许多插件都是通过执行相应媒体里的指令来完成其职责的。这就为某些企图破坏计算机的人打开了方便之门,他们可在看起来无害的视频或音频片断里嵌入一些指令,这些隐藏在插件程序所要解释对象里的恶意指令可通过删除若干或全部文件来进行破坏。图 5 - 7所示为网景公司的插件页面,内有它提供的可免费下载的插件程序分类表。
图 5-7 网景公司的插件页面
1 2 0 电 子 商 务 下载潜伏在电子邮件附件里的安全威胁已被新闻媒体大肆报道,所以大众都非常熟悉。电子邮件的附件提供了一种在文本系统(即电子邮件)上传输非文本信息的一种方便方法。
附件可是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。当你收到附件时,大部分程序(包括最常用的浏览器电子邮件程序)都可通过自动执行所关联的程序来显示附件。例如,接收者的 E x c e l程序可打开所附加的 E x c e l工作表并显示它,Wo r d程序可打开并显示 Wo r d文档。这个动作本身并不会带来破坏,但驻留在所下载的文档或工作表里的 Wo r d或 E x c e l宏病毒会破坏你的计算机或将信息泄密。 宏病毒 是嵌入在文件中的称作
“宏”的小程序。最近报纸上不断有这类电子邮件附件类型的病毒报道,如 Happy99 Wo r m、
Tr i p l i c a t e和 C h e r n o b y l(即 C I H) 。 S y m a n t e c等许多公司一直在追踪病毒并提供抗病毒软件。
信息隐蔽 是指隐藏在另一片信息中的信息(如命令),其目的可能是善意的,也可能是恶意的。一般情况下,计算机文件中都有冗余的或能为其他信息所替代的无关信息。后者一般驻留在背景中,无法看到。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式,粗心的观察者看不到后者中含有重要的信息。加密文件是使其不能被阅读,信息隐藏是使信息不被人看到。信息隐蔽相当于把一个涉及贸易秘密的加密缩微胶片贴到肖像画中人眼的瞳孔上,即隐蔽又加密。粗心的观察者只看到了人的肖像,仔细检查才会发现缩微胶片。有多家软件开发商提供实现信息隐蔽的软件。
5.4.2 对通信信道的安全威胁因特网是将顾客(客户机)和电子商务资源(电子商务服务器)连接起来的电子链条。
现在你已了解了对客户机的安全威胁,所要考虑的下一个环节就是将客户机连到服务器上的传输信道,即因特网。
因特网一点儿也不安全。虽然因特网起源于军事网络,但美国国防部高级研究项目中心
( D A R PA)建造网络的主要目的不是为安全传输,而是为提供冗余传输,即为防止一个或多个通信线路被切断。换句话说,它最初的设计目的是提供多条路径来传输关键的军事信息。
军方计划以加密形式来传送敏感信息,保证在网络上传输的任何信息都是在保密状态。但在网络上所传输信息的保密性是通过将信息转化为不可识别字符串(称作密文)的软件来实现的。
因特网发展到今天,其不安全状态与最初相比并没有多大改观。在因特网上传输的信息,
从起始节点到目标节点之间的路径是随机选择的。此信息在到达最终目标之前会通过许多中间节点。在同一起始节点和目标节点之间发送信息时,每次所用的路径都是不同的。根本就无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。例如,从英国曼彻斯特发出一条信息给埃及开罗的一个商人,此信息可能会通过在黎巴嫩的贝鲁特的竞争者的计算机。
由于你无法控制信息的传输路径,不知道信息包曾到过哪里,所以很可能有中间节点窃取、
篡改甚至删除了你的信息。换句话说,在因特网上传输的电子邮件信息都会受到对安全、完整和即需的侵犯。本节详细讨论这些问题,第 6章将描述解决本章所提的安全问题的解决方法。
我们从保密、完整和即需等三方面来讨论因特网信道的安全。这样的组织为考查对因特网的直接安全威胁提供了很好的框架。
第 5章 电子商务的安全 1 2 1下载
1,对保密性的安全威胁保密是在大众媒体上最常提及的一种安全威胁。和保密紧密相关的问题是隐私。隐私也得到大众的关心,人们每天都会读到侵犯隐私的报道。保密和隐私虽然很相似,但却是不同的问题。 保密 是防止未经授权的信息泄露,而 隐私 是保护个人不被曝光的权利;保密是要求繁杂的物理和逻辑安全的技术问题,隐私则需要法律的保护。阐述保密与隐私间区别的一个经典例子就是电子邮件。 公司的电子邮件可通过加密技术来防止对保密性的破坏 (参见第 6章) 。
在加密时,信息编码成不可识别的形式,只有指定的接收者才能把它还原成原来的消息。保密措施是用来保护向外发送的消息。电子邮件的隐私问题则涉及是否允许公司主管阅读员工的消息,争端集中在于电子邮件的所有权属于谁,是公司还是发电子邮件的员工。本节讨论保密问题,即不让坏人阅读不想让他们阅读的信息。
前面已经提到过,开展电子商务的一个很大的安全威胁就是敏感信息或个人信息(包括信用卡号、名字、地址或个人喜好方面的信息等)被窃。这种事会发生某人在网上填写表来提交信用卡信息的时候,有恶意的人想从因特网上记录信息包(即破坏安全性)并不困难。
在电子邮件传输时也会发生同样的问题。有种叫做,探测程序,的特殊软件能够侵入因特网并记录通过某台计算机(路由器)的信息。探测程序类似于在电话线上搭线并录下一段对话。
探测程序既可阅读电子邮件信息,也可记录电子商务信息。窃取信用卡号是大家很关心的问题。但发给分公司的关于公司专利产品的信息或不公开的数据也可能被轻易地中途截取,而公司的保密信息可能比若干信用卡更有价值。因为信用卡往往有花费限制,而公司被窃取的信息可能价值数百万美元。
在因特网破坏保密信息并不困难。下面讲一个不经意泄露了机密信息而被窃听者或另一个网站服务器截取的例子。假定你登录一个名为 w w w,a n y b i z,c o m网站,此网站上有一个表要你填写姓名、地址和电子邮件地址。当你填完这些表格后用鼠标点击,S u b m i t”按钮,这时信息就会发给 W W W服务器去处理。一种最常用的将数据传给 W W W服务器的办法是收集你在编辑框中的回答信息,把它放在目标服务器 U R L地址的末端,然后把所采集的数据和要求将数据发给服务器的 H T T P请求发送出去。迄今为止还没有发生任何破坏活动。假定你临时改变主意,决定不再等待 a n y b i z,c o m服务器的反应,跳到另一个网站(如 w w w,s o m e c o m p a n y,c o m) 。
s o m e c o m p a n y,c o m服务器可能在收集 W W W的使用统计,并记录你刚访问的 U R L。这会帮助这家网站的管理员了解访问自己网站的方式。由于它记录了前面的 a n y b i z,c o m的 U R L,就因了解到你刚输入的保密信息而破坏了保密性。当然这种情况不会经常发生,但关键的是它确实能够发生。
在使用 W W W的时候,你在连续不断地暴露自己的信息。其中包括你的 I P地址和所用的浏览器,这也是破坏保密性的例子。有很多网站提供一种“匿名浏览”的服务,可使你所访问的网站看不到你的个人信息。其中之一是 A n o n y m i z e r网站,它可提供保密措施,但要求你将它作为你的门户,即访问其他网站时的出发网站。 A n o n y m i z e r的作用相当于防火墙(参见第 6
章),保护你的隐私信息不至泄露到你所访问的网站上。其工作原理是将 A n o n y m i z e r地址放在你要访问的 U R L地址前,这就使其他网站只能看到 A n o n y m i z e r网站的信息而不是你的信息。
例如,你要访问 A m a z o n,c o m网站,A n o n y m i z e r提供的 U R L是 h t t p,/ / w w w,a n o n y m i z e r.
c o m,8 0 8 0 / h t t p,/ / w w w,a m a z o n,c o m。图 5 - 8所示为请求匿名访问 A m a z o n,c o m主页的 A n o n y m i z e r
的主页。
1 2 2 电 子 商 务 下载图 5-8 Anonymizer的主页你可免费试用 A n o n y m i z e r的服务(其免费版故意加了一些延迟) 。进入本书在线版中的
A n o n y m i z e r,在文本框里输入一个 U R L(参见图 5 - 8),用鼠标点击 G o按钮;然后用鼠标按下
A n o n y m i z e r所显示的下一个页面底部的 Surf for FREE按钮。
2,对完整性的安全威胁对完整性的安全威胁也叫主动搭线窃听。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易(如在因特网上传输的储蓄交易)很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃听者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息,而对完整性的安全威胁是指某人改动了关键的传输。
破坏他人网站就是破坏完整性的例子。 破坏他人网站 是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。近来媒体有多起破坏网页的报道,
某些商业网页的内容被他人用黄色内容或其他不堪入目的内容替代了。
电子伪装也是破坏网站的例子。 电子伪装 是指某人装成他人或将某个网站伪装成另一个网站。这些破坏利用了域名服务器( D N S)的一个安全漏洞,将一个真实网站的地址替换成自己网站的地址,愚弄这些网站的访问者。例如,黑客用 D N S的安全漏洞将 Wi d g e t s国际公司的 I P地址用他的 I P地址替换,这就把 w w w,w i d g e t s i n t e r n a t i e n a l,c o m网站的访问者引到一个虚假网站。这样黑客就可改变订单中的订购量,并改变送货地址。这种对完整性的侵犯更改订单后再把它发给一家公司的电子商务网站,这家电子商务网站并不知道已经发生了对完整性的第 5章 电子商务的安全 1 2 3下载你想匿名访问的网站的 URL
破坏,它只简单验证顾客的信用卡后就开始履行订单。
对完整性的安全威胁还会改变重要的财金、医疗或军事信息。想象一下,某人采集一条向银行贷 1 0 0 0万美元的消息,然后将“贷”改成“借”的后果;同样,改变一份电子邮件发来的简历,这可能会改变求职者被公司录取的机会。改变信息对企业或个人都有非常严重的后果。
3,对即需性的安全威胁即需安全威胁 也叫 延迟安全威胁 或 拒绝安全威胁,其目的是破坏正常的计算机处理或完全拒绝处理。破坏即需性后,计算机的处理速度会非常低。例如,一台自动取款机的交易处理速度从两秒慢到三十秒,这时用户就会放弃自动取款机交易;同样,降低因特网服务的速度会把顾客赶到竞争者的网站,顾客就再也不会回到原网站上(有人说因特网的 1小时等于现实世界 1 0秒) 。换句话说,降低处理速度会导致服务无法使用或没有吸引力。显然,一份报导三天前新闻的报纸根本没有阅读价值。
拒绝攻击会将一个交易或文件中的信息整个删除。例如,曾发生过一次拒绝攻击,受到攻击的 P C机上的 Q u i c k e n理财软件将钱都汇到别的银行账户,这就使合法所有者无法提取这些钱。本章前面描述过的罗伯特·莫里斯的 I n t e r n e t蠕虫攻击就是拒绝攻击的著名例子。
5.4.3 对服务器的安全威胁客户机、因特网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。其中一个入口是 W W W服务器及其软件,其他入口包括任何有数据的后台程序,如数据库和数据库服务器。也许最危险的入口是服务器上的公用网关接口( common gateway interface,CGI)程序或其他工具程序。尽管没有系统能够实现完全的安全,但电子商务服务器管理员的工作就是制定出安全措施,并考虑电子商务系统的每个部分的安全措施。
1,对 W W W服务器的安全威胁
W W W服务器软件(如第 3章所述的软件)是用来响应 H T T P请求进行页面传输的。虽然
W W W服务器软件本身并没有内在的高风险性,但其主要设计目标是支持 W W W服务和方便使用,所以软件越复杂,包含错误代码的概率就越高,有安全漏洞的概率也就越高。安全漏洞是指破坏者可因之进入系统的安全方面的缺陷。
大多数计算机(包括 U N I X计算机)上所运行的 W W W服务器可在不同权限下运行。高权限提供了更大的灵活性,允许包括 W W W服务器在内的程序执行所有指令,并可以不受限制地访问系统的各个部分(包括高敏感的特权区域) 。相对来说,低权限在所运行程序的周围设置了一层逻辑栅栏,防止它运行全部指令,只允许它访问一些计算机中不很敏感的区域。安全规则是为程序提供完成工作所需的最低权限。为用户设置账号和口令的系统管理员需要很高权限,在 U N I X系统里称之为超级用户,他有权修改系统里敏感的数据区。 W W W服务器如果以高权限状态运行,就构成对 W W W服务器的安全威胁。在大多数情况下,W W W服务器提供的是在低权限下能完成的普通服务和任务。如果 W W W服务器在高权限下运行,破坏者就可利用 W W W服务器的能力执行高权限的指令。
如果 W W W服务器不更改目录显示的缺省设置,它的保密性就会大打折扣。如果一个服务器的文件夹名能让浏览器看到,就会破坏保密性。例如,当你为查看 FA Q子目录的缺省页
1 2 4 电 子 商 务 下载面而输入 h t t p,/ / w w w,s o m e c o m p a n y,c o m / FA Q /时,就可能发生这种情况。通常服务器显示的缺省页面为 i n d e x,h t m或 i n d e x,h t m l,如果目录中没有这样的文件,W W W服务器就会显示出此目录下所有文件夹名。这时你就可随便点击其中一个文件夹名,从而访问到实际是限制访问的某些文件夹。图 5 - 9所示为显示出文件夹名例子。
图 5-9 用浏览器显示文件夹名诸如微软等网站的管理员都细心地关闭了文件夹名的显示功能。如果你想浏览已限制浏览的文件夹的内容时,W W W服务器就会发出警告信息,如“你不能浏览此目录” 。
当 W W W服务器要求你输入用户名和口令时,其安全性也会大打折扣。输入用户名以求得到进入 W W W特定区域的允许,此行为本身并不会破坏保密性或隐私性。但当你访问同一
W W W服务器上受保护区域内的多个页面时,用户名和口令就可能被泄露。引起这种情况的原因之一是某些服务器要求你在访问安全区域中每个页面时都要输入用户名和口令。因为
W W W是无状态的(它无法记忆在上一事务中发生过什么),记录用户名和口令的最方便的方式就是将用户的保密信息存在他计算机上的 c o o k i e里,这样服务器就可以请求计算机发出
c o o k i e的方式来请求得到确认。这时会出现麻烦,因为 c o o k i e信息可能是以不安全的方式传输,
从而被窃听者复制。虽然 c o o k i e本身并非不安全的,但 W W W服务器不能要求不加保护地传输
c o o k i e里的信息。
服务器端嵌入( S S I)是嵌入在由服务器执行的页面上的一个小程序(参见第 3章) 。在服务器上执行来自于未知或不可信来源(如来自用户的页面)的程序时,S S I就可能会请求一些非法的执行。嵌入的 S S I代码可能是操作系统级的命令,要求将口令文件显示或发到特定位置。
本书在线版上的 W3C Threat Document提供了服务器安全的其他信息和常见问题解答。
第 2章所讲的文件传输协议( F T P)程序虽然不是 W W W服务器,但会随 W W W服务器软第 5章 电子商务的安全 1 2 5下载目录名件包提供。 F T P程序会对 W W W服务器的完整性带来安全威胁。如果对 F T P用户可浏览的文件夹没有进行保护,就可能发生未经授权的信息泄露。例如,假定某企业的员工有另一企业的计算机账号,以便定期把数据上传到企业业务伙伴的计算机上;系统管理员可用 F T P客户机程序登录到业务伙伴的计算机里上载数据,然后打开并显示 W W W服务器上其他文件夹里的内容。如果没有保护措施,这样的操作就很容易。使用 W W W客户机程序,你可用鼠标双击父目录以进入文件夹结构,再用鼠标双击其他文件夹(如有权限保护的文件夹),然后下载你所看到的任何信息。如果业务伙伴忘记限制其业务伙伴的浏览能力,这种情况就很可能发生。
W W W服务器上最敏感的文件之一就是存放用户名和口令的文件。如果此文件没有得到保护,任何人就都能以他人身份进入敏感区域。侵入者得到用户名和口令信息的前提是没有对用户信息加密。大多数 W W W服务器都会把用户认证信息放在安全区里,保证 W W W服务器能够为敏感数据提供保护措施正是 W W W服务器管理员的职责(第 6章将讲述认证信息的保护措施) 。
用户所选的口令也会构成安全威胁。有时用户所选的口令很容易猜出,因为口令可能是父母或孩子的名字、电话号码或身份证等很容易想到的内容。所谓字典攻击程序就是按电子字典里的每个单词来验证口令。对付这种攻击的策略非常简单。但如果用户口令泄露了,就会使恶意者非法进入服务器,而这种非法进入可能长时间不被发现。
2,对数据库的安全威胁电子商务系统以数据库存储用户数据,并可从 W W W服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息,如果被更改或泄露会对公司带来无法弥补的损失。现在大多数大型数据库都使用基于用户名和口令的安全措施,
一旦用户获准访问数据库,就可查看数据库中相关内容。数据库安全是通过权限实施的。而有些数据库没有以安全方式存储用户名与口令,或没有对数据库进行安全保护,仅依赖
W W W服务器的安全措施。如果有人得到用户的认证信息,他就能伪装成合法的数据库用户来下载保密的信息。隐藏在数据库系统里的特洛伊木马程序可通过将数据权限降级来泄露信息。数据权限降级是指将敏感信息发到未保护的区域,使每个人都可使用。当数据权限降级后,所有用户都可访问这些信息,其中当然包括那些潜在的侵入者。
有很多讨论数据库安全问题的文章和网站,可查看本书在线版上的数据库安全方面的链接。本书在线版的 SQL Server databases threats链接描述 SQL Server的安全威胁,这些安全威胁也适应于一般数据库系统。实现数据库安全系统需要一位高素质的数据库管理员进行仔细的管理。图 5 - 1 0所示为描述 O r a c l e数据库安全特性的网页( O r a c l e数据库支持了许多大型的电子商务网站,其中包括 A m a z o n,c o m,Disney Store Online,e B a y和 E * Tr a d e等) 。
3,对公用网关接口的安全威胁前面已讲过公用网关接口( C G I),它可实现从 W W W服务器到另一个程序(如数据库程序)的信息传输。 C G I和接收它所传输数据的程序为网页提供了活动内容。例如,网页上有一个列表框,要你填入最喜欢的职业运动队的名字;当你提交了自己的选择后,C G I程序就处理此信息,寻找你所选运动队的最新比分,然后把比分放到一个网页上,将此新网页发给你的浏览器。因为 C G I是程序,如果滥用就会带来安全威胁。同 W W W服务器一样,C G I脚本能以高权限来运行。因此,能自由访问系统资源的有恶意的 C G I程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息(包括用户名和口令) 。当程序设计人员发现 C G I程序中
1 2 6 电 子 商 务 下载的错误时,会重编这个程序以替代以前的版本。而未删除的 C G I旧版本可能已被系统设计员遗忘了,但它们为系统留下了安全漏洞。因为 C G I程序或脚本会驻留在 W W W服务器的任何地方
(即任何文件夹和目录下),C G I程序就很难追踪和管理。但有心人能够追踪到这些废弃的 C G I
脚本,检查这些程序以了解其弱点,然后利用这些弱点来访问 W W W服务器及其资源。同
J a v a S c r i p t不一样,C G I脚本的运行不受 J a v a运行程序安全的限制。
4,对其他程序的安全威胁另一个对 W W W服务器的攻击可能来自服务器上所运行的程序。通过客户机传输给 W W W
服务器或直接驻留在服务器上的 J a v a或 C + +程序需要经常使用缓存。 缓存 是指定存放从文件或数据库中读取数据的单独的内存区域。在需要处理输入和输出操作时就需要缓存,因为计算机处理文件信息的速度比从输入设备上读取信息或将信息写到输出设备上的速度快得多,缓存就用作数据进出的临时存放区。例如,可把即将处理的数据库信息放在缓存中,等所有信息都进入计算机内存后,处理器操作和分析所需的数据就都准备好了。缓存的问题在于向缓存发送数据的程序可能会出错,导致缓存溢出,溢出的数据进入到指定区域之外。通常情况下,这是由程序中的错误引起的;但有时这种错误是有意的。不论哪种情况都会导致非常严重的安全后果。
有编程经验的人都会知道,缓存溢出会导致数据或指令替代了内存指定区域外的内容,
这种程序设计错误的后果是程序会遇到意外然后停机。有恶意的程序所引起的破坏叫做故意的拒绝攻击。从某种意义来说,因特网蠕虫就是这样的程序,它引起的溢出会消耗掉所有资第 5章 电子商务的安全 1 2 7下载图 5-10 Oracle安全特性网页安全特性源,直到主机停机。
另一种更狡猾的溢出攻击就是将指令写在关键的内存位置上,使侵入的程序在完成了覆盖缓存内容后,W W W服务器通过载入记录攻击程序地址的内部寄存器来恢复执行。这种攻击会使 W W W服务器遭受严重破坏,因为恢复运行的程序是攻击程序,它会获得很高的超级用户权限,这就使每个程序都可能被侵入的程序泄密或破坏。
图 5 - 11为从文件里读出数据的图示。这些数据进入缓存,再进入称作保留区的系统区内。
保留区 是系统存储关键性信息(如在 C P U寄存器的内容和控制权移交前,本程序计算状态的信息)的区域。当控制权返还给原来的程序时,保留区的内容就会重新载入 C P U寄存器,将控制权交给程序的下一条指令。但在攻击发生时,控制权返给攻击程序,而不是最初让出控制权的程序。本书在线版的 B u ffer overflow attacks链接下详细介绍了两种不同的 W W W服务器的缓存缺陷。
图 5-11 缓存溢出攻击另一种类似的攻击是将多余的数据发给一个服务器,一般是邮件服务器。这种攻击叫作邮件炸弹,即数以千计的人将同一消息发给一个电子邮件地址。邮件炸弹的目标电子邮件地址收到大量的邮件,超出了所允许的邮件区域限制,导致邮件系统堵塞或失效。虽然很容易跟踪到扔邮件炸弹的人,但一般是没有意义的。邮件炸弹看起来和垃圾邮件很相似,但实际上完全相反。某人或某个组织将同一邮件发给多人称为发送垃圾邮件,垃圾邮件很大程度上只是令人讨厌,但不会带来安全威胁。
5.5 计算机应急小组十年前,为研究和消灭臭名昭著的因特网蠕虫集中起一组研究者。美国国家安全委员会下属的全国计算机安全中心发起了一系列研讨会,确定在未来出现影响到数千人安全问题时的响应方式。在安全专家会议结束后,D A R D A成立了计算机应急小组( C E RT)协调中心,
并以卡内基梅隆大学作为中心总部。计算机应急小组成员负责在安全专家之间建立一个有效
1 2 8 电 子 商 务 下载数据读入缓存并进入到保留区里保存返回地址的区域中进程地址空间 保留区缓存局部数据返回地址功击程序内存高端的快速沟通机制,以便在未来出现安全问题时可快速发现病毒并清除。在计算机应急小组成立的十年来,已处理 1 4 0 0 0多起政府或企业里发生的安全问题。今天,计算机应急小组仍在覆行其使命,并提供了丰富信息以支持因特网用户和公司构造更安全的电子商务网站。例如,
计算机应急小组出版的 C E RT alerts期刊,报道因特网上最近发生的安全事件; C E RT DNS
attack advisory里有很多文章讨论域名服务器攻击的问题。本书第 6章将阐述本章所提出的安全威胁的解决措施,其中包括计算机应急小组所定义的安全风险及识别与防止这些风险的方法。图 5 - 1 2所示为 C E RT alerts的页面。
图 5-12 CERT alerts的页面
5.6 小结电子商务的安全非常重要,安全攻击会使他人信息泄密或滥用这些信息。电子商务安全策略必须明确陈述保密、完整、即需和知识产权的要求。对电子商务的安全威胁会发生在由客户机到电子商务服务器的电子链条上的任何地方。新闻媒体对病毒的报道让用户了解了客户机的安全风险,但更隐蔽的安全威胁来自客户端应用程序。 J a v a,J a v a S c r i p t和 A c t i v e X都是在客户机上运行的程序或脚本,它们都有破坏安全的可能性。
通信信道(尤其是因特网)很容易受到攻击。因特网是一个巨大的网络,由于无人能控制信息传输所经过的节点,这就为未经授权泄露隐私信息、更改关键的商业文件以及窃取重要的商业信息等带来了前所未有的安全威胁。 1 9 8 8年发生的因特蠕虫就是以因特网为工具在几分钟内感染全世界数千台计算机的经典的安全威胁的例子。
第 5章 电子商务的安全 1 2 9下载电子商务服务器在很多方面和客户计算机一样,很容易受到安全破坏。更糟糕的是,被破坏的服务器上所连接的任何客户计算机也会发生安全问题。在服务器上运行的公用网关接口( C G I)程序能破坏数据库、非正常中断服务器软件或改变一些重要的信息。攻击程序可能来自服务器内部,也可能来自服务器外部。如果一个消息从服务器内存溢出并覆盖掉一些关键信息,就会发生外部攻击。在被覆盖信息的位置上可能是能启动服务器上其他程序的数据或指令。
为解决安全问题而成立的计算机应急小组( C E RT)将主要的安全专家联合起来。当发生重大的安全破坏时,这些安全专家可集结起来讨论、寻找和消除电子攻击者的方法。安全问题是利害攸关的,如果在电子商务客户机和服务器上没有充分的安全保护措施,电子商务就不能持久。有效的安全策略和充分的安全检测与保护措施是保护电子沟通和电子商务交易的惟一方法。
关键术语
active content(活动内容)
A c t i v e X
a p p l e t(小应用程序)
b u ff e r(缓存)
computer security(计算机安全)
c o p y r i g h t(版权)
c o u n t e r m e a s u r e(安全措施)
cyber vandalism(破坏他人网站)
c y b e r s q u a t t i n g(抢注域名)
delay threat(延迟安全威胁)
denial threat(拒绝安全威胁)
e a r e s d r o p p e r(窃听者)
fair use(合法使用)
i n t e g r i t y(完整)
intellectual property(知识产权)
Java sandbox( J a v a运行程序安全区)
logical security(逻辑安全)
macro virus(宏病毒)
mail bomb(邮件炸弹)
m a s q u e r a d i n g(电子伪装)
n e c e s s i t y(即需)
necessity threat(即需安全威胁)
physical security(物理安全)
p r i v a c y(隐私)
save area(保留区)
1 3 0 电 子 商 务 下载
s e c r e c y(保密)
security policy(安全策略)
signed Java applet(签名的 J a v a小应用程序)
s n i ffer program(探测程序)
s t e g a n o g r a p h y(信息隐蔽)
t h r e a t(安全威胁)
Trojan Horse(特洛伊木马)
trusted Java applet(可信的 J a v a小应用程序)
untrusted Java applet(不可信的 J a v a小应用程序)
复习题
1,解释网站使用 c o o k i e的原因。 c o o k i e能解决什么问题? c o o k i e包含什么内容? c o o k i e有多大?存储在何处?可查看本书在线版来帮助你解答这些问题。
2,什么是信息隐蔽?信息隐蔽对安全有何影响?可查看本书在线版来帮助你解答这些问题。
3,举一些服务器安全风险的例子。找一家网站,试试能否看到此网站上的目录名并打印出来。
4,因特网上有什么安全威胁?这些安全威胁主要涉及保密性还是会影响消息完整性?
5,为什么在客户机和 W W W服务器运行的 C G I脚本和 J a v a程序等会构成安全威胁?概述这些程序破坏安全性的方式。 J a v a脚本程序会带来同样的安全风险吗?
练习题
1,Brouhgt Back Bugs是内布拉斯加州林肯市的一家大众牌二手车经销商。这家公司聘你为他们创建一个网站。其要求之一是在网站上显示标题广告,现在你的首要任务是调查 J a v a、
J a v a S c r i p t,J s c r i p t和 J a v a小应用程序等方案,你可用本书在线版和搜索引擎来了解 J a v a应用情况。写两页纸的报告,陈述你对 J a v a,J a v a S c r i p t和 J a v a其他形式的了解。报告可从 J a v a历史开始,谁发明了 J a v a? J a v a和 A c t i v e X控件相比有何优缺点?谁发布了 J a v a S c r i p t和 J s c r i p t?顾客为运行 J a v a页面而需要特殊的浏览器吗?在报告中列出你访问过的网站和对你有帮助的网站。
2,假定你怀疑自己的电子商务网站会受到不怀好意人的攻击,描述一下你的电子商务服务器可能会受到哪几类安全威胁。回答此问题时不要从网络上寻找资料。有哪三类安全威胁?以你所在大学的网站为例具体说明?就上述两个问题分别写一到两百字的报告。
3,写一篇三百字报告,描述计算机应急小组( C E RT) 。在其中要介绍这个组织成立的时间,其会员情况,总部在何处;在报告中介绍三种最新的安全警报,说明病毒或攻击程序的名字和警报发布日期,并用两句话介绍每个安全警报。写报告时可用本书在线版、搜索引擎或 C E RT的主页来帮助你寻找信息。
第 5章 电子商务的安全 1 3 1下载
5.1 引子
1 9 8 8年 11月 3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了,不管他们怎么尝试,计算机都不响应。追查这个灾难事件后发现是康奈尔大学 2 3岁的研究生小罗伯特·莫里斯( Robert Morris Jr.)干的,他放了一个因特网蠕虫,制造了因特网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作。所谓“蠕虫”
是将自己的“繁殖”版传给其他计算机。这个程序之所以能够在因特网迅速传播,主要是由于 U N I X电子邮件程序( s e n d m a i l)上有一个缺陷。蠕虫侵入和感染了六千两百多台计算机
(占当时因特网上计算机的 1 0 %),导致大面积的停机事件。由于媒体对这次事件大肆渲染,
一些未被感染的网站干脆切断了与因特网连接。停机及其相关损失的成本无法准确计算。有些估计认为损失的计算时间(称为拒绝服务)价值 2 400万美元,消除病毒和恢复计算机同因特网连接的直接成本大约为 4 000万美元;有些估计则认为成本接近 1亿美元。研究蠕虫的专家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机。因特网蠕虫使计算机界猛醒过来。自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的考虑因素。
学习目标
计算机和电子商务安全方面比较重要的术语。
安全程序为什么由保密、完整和即需三部分组成。
版权和知识产权的作用,它们在电子商务研究中的重要性。
安全威胁,消除和减少安全威胁的措施。
对客户机,W W W服务器和电子商务服务器的安全威胁。
后台产品(如数据库)如何提高安全性。
安全协议如何能堵住安全漏洞。
加密和认证在确认和保密中的作用。
5.2 安全概述在因特网早期,电子邮件是最常用的服务之一。在电子邮件出现后,人们一直担心电子邮件的信息会被竞争对手获取,从而对企业不利;另外一个担心是员工与工作无关的邮件
(如谈及周末的聚会)被上司读到后会对员工不利。这些都是很严重也很现实的问题。
今天这些问题更严重了。随着因特网的成熟,人们使用它的方式也发生了变化。竞争者未经授权而访问到公司的信息所带来的后果要比以前严重得多。电子商务出现后,长期以来对信息安全的要求就更加迫切了。
首次在因特网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会被上百万人看到。这个担心和 3 0多年来对在电话购物过程中申报信用卡号时的担心是一样的,
我怎么能相信在电话那边记录我信用卡号的人呢?现在人们对在电话中把自己的信用卡号告诉陌生人已不太在意了,但很多消费者还是不放心用计算机来传输信用卡号。本章从电子商务角度详细介绍计算机安全方面的问题。计算机安全涉及面很广,又非常复杂,而且其研究还在不断深入,本章主要概述一些比较重要的安全问题及目前的解决办法。
计算机安全 就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两大类的安全:物理安全和逻辑安全。 物理安全 是指可触及的保护设备,如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为 逻辑安全 。对计算机资产带来危险的任何行动或对象都称为 安全威胁 。
安全措施 是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不同,相应的安全措施也不同。如果保护资产免受安全威胁的成本超过所保护资产的价值,我们就认为对这种资产的安全风险很低或不可能发生。如在经常发生龙卷风的俄克拉荷马市,对计算机网络进行防龙卷风的保护是有意义的;而在很少发生龙卷风的洛杉矶市就不需要对计算机进行防龙卷风保护。图 5 - 1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。
在此模型中,堪萨斯市或俄克拉荷马市处在第二象限,而南加州的龙卷风可在第三或第四象限。
图 5-1 风险管理模型这种风险管理模型可同样应用在保护因特网或电子商务资产免受物理或逻辑的安全威胁的领域。这类安全威胁的例子如欺诈、窃听和盗窃,这里的 窃听者 是指能听到并复制因特网上传输内容的人或设备。实施好的安全计划必须识别出风险、确定对受到安全威胁的资产的保护方式并算出保护资产的成本。本章的重点不是保护的成本或资产的价值,而是识别安全威胁并保护资产免受这些安全威胁的方法。
5.2.1 计算机安全的分类安全专家通常把计算机安全分成三类,即保密、完整和即需。 保密 是指防止未授权的数
1 1 2 电 子 商 务 下载概率高影响小
(成本)
概率低影响大
(成本)
保险或备份计划预防控制不用理会据暴露并确保数据源的可靠性; 完整 是防止未经授权的数据修改; 即需 是防止延迟或拒绝服务。计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。相对来说,完整安全威胁的见报就不那么频繁,因此大众对这个领域比较陌生。假如一个电子邮件的内容被篡改成完全相反的意思,我们就说发生了对完整性的破坏。对即需性破坏的案例很多,而且频繁发生。延迟一个消息或消除它会带来灾难性的后果。例如,你在上午 1 0点向 E * Tr a d e(一家在线的股票交易公司)发一个电子邮件委托购买 1 0 0 0股 I B M公司的股票,假如这个邮件被人延迟了,股票经纪商在下午 2点半才收到这条邮件,这时股票已涨了 1 5 %。这个消息的延迟就使你损失了交易额的 1 5 %。
5.2.2 版权和知识产权虽然保护措施不同,版权和知识产权的保护实际上也属于安全问题。 版权 是对表现的保护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。 知识产权 是思想的所有权和对思想的实际或虚拟表现的控制权。同对计算机的安全威胁一样,对版权的侵犯也会带来破坏;但同对计算机安全的破坏不一样,侵犯版权的范围比较狭窄,对组织和个人的影响要小一些。
美国 1 9 7 6年的版权法规定的是固定期限的保护。对 1 9 7 8年前出版作品的保护期为出版期后 7 5年,对 1 9 7 8年 1月 1日后出版作品的保护期为作者去世后 5 0年或作品发表后 7 5年。所有作品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护,美国版权法中这一点最易引起误解。除非你从一家电子商务网站收到允许复制受版权保护的图片,否则你在自己的网站上使用这个图片就违反了美国的版权法。无论在什么搜索引擎上输入
,c o p y r i g h t”,都会找到数百种讨论版权问题的网站。其中的 Copyright Clearance Center网站里有大量美国版权方面的信息,图 5 - 2所示为它的主页。
图 5-2 Copyright Clearance Center的主页
5.2.3 安全策略和综合安全要保护自己的电子商务资产,所有组织都要有一个明确的安全策略。安全策略是用书面第 5章 电子商务的安全 1 1 3下载明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等。 安全策略 一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略。
制定安全策略时,首先要确定保护的内容(如保护信用卡号不被窃听);再确定谁有权访问系统的哪些部分,不能访问哪些部分;然后确定有哪些资源可用来保护这些资产。安全小组了解了上述信息后,制定出书面的安全策略。最后要提供资源保证来开发或购买实现企业安全策略所需的软硬件和物理防护措施。例如,如果安全策略要求不允许未经授权访问顾客信息(包括信用卡号和信用历史),这时就必须开发一个软件来为电子商务客户提供端到端的安全保证,或采购一个可实现这个安全策略的软件或协议。
虽然很难实现或根本不可能实现绝对的安全,但完全可构造一些障碍来阻止绝大多数的入侵者。如果一个电子窃贼进行未经授权活动的成本超过了进行这个非法活动所获得的价值,
这就大大降低了非法活动发生的概率。
综合安全意味着将所有安全措施协同起来以防止未经授权的资产暴露、破坏或修改。安全策略必须包含着对安全问题的多方面考虑因素。安全策略一般要包含以下内容:
认证:谁想访问电子商务网站?
访问控制:允许谁登录电子商务网站并访问它?
保密:谁有权利查看特定的信息?
数据完整性:允许谁修改数据,不允许谁修改数据?
审计:在何时由何人导致了何事?
本章逐步介绍上述问题,重点放在如何将这些安全策略应用到电子商务上。下面讲述对数字化信息的安全威胁,首先来看一下对知识产权的安全威胁。
5.3 知识产权的安全因特网广泛应用后,对知识产权的安全威胁比以前严重多了。未经所有者允许而擅自使用网络上的材料是非常容易的。侵犯版权所导致的财务损失比侵犯计算机的保密、完整和即需所带来的损失更难测量,但无论如何侵犯版权所造成的损失是非常大的。因特网成为了版权侵犯者的诱人目标,这主要有两个原因:首先,网络的信息非常容易复制,无论它是否受到版权保护;其次,很多人不了解保护知识产权方面的版权规定。因特网上每天都会发生许多无意或有意侵犯版权的案件。例如,迪尔伯特( D i l b e r t)卡通迷常会建立一些电子商店或俱乐部,在这些网站里使用了斯科特·亚当斯( Scott Adams)绘制的卡通,尽管这是善意的仰慕表示,但毫无疑问这是一种严重的版权侵犯行为。现在许多人都认为在 W W W上发生的版权侵犯行为主要是由于不了解哪些内容允许复制。大多数人不会恶意地去复制受版权保护的作品,并将它在 W W W上发布。
尽管在因特网出现前版权法已经生效了,但因特网使出版商的版权保护工作变得更为复杂了。要查找文字材料的未经授权复制非常容易,但查找被盗用、剪辑和非法使用在页面上的照片就比较困难了。哈佛商学院的 Berkman Center for Internet and Society(伯克曼因特网和社会研究中心)最近开设了一门“网络时空的知识产权”的新课。 The Copyright We b s i t e网站上有大量关于版权及合法使用的文章和新闻组的讨论。 合法使用 版权是指在符合特定要求下有限度地使用受版权保护的材料。图 5 - 3所示为 The Copyright We b s i t e网站的主页。
1 1 4 电 子 商 务 下载图 5-3 The Copyright Website的主页过去几年里出现了大量有关知识产权和网络域名的争论。因抢注域名而公堂相见的数量也在不断上升。 抢注域名 是指用别人公司的商标来注册一个域名,以期商标所有者付巨资赎回 域名。 可访问 Oppendahl & Larson律师 事务所 的网站 (可查 看本 书在线 版上的
Cybersquatting and the law),里面有对域名抢注方面的最新报道。
5.4 对电子商务的安全威胁要了解电子商务的安全需求,需要考查从客户机到电子商务服务器的整个过程。在考查
“电子商务链”上每个逻辑链条时,为保证安全的电子商务所必须保护的资产包括客户机、在通信信道上传输的消息,W W W和电子商务服务器(包括服务器端所有的硬件) 。电影中商业间谍主要是窃听各种通信设备,如电话线和卫星通信线路。虽然电信通道是需要保护的主要的资产之一,但并不是计算机和电子商务安全所考虑的惟一因素。例如,如果通信连接是安全的,而客户机上有一个病毒,这个病毒就会污染要安全传输到 W W W或电子商务服务器上的信息,这时商务交易的安全就像客户机一样不安全了。
本章的其余内容分成三部分,即保护客户机、保护在因特网上的信息传输和保护电子商务服务器。首先来看客户机上存在的安全威胁。
5.4.1 对客户机的安全威胁在可执行的 W W W内容出现前,页面是静态的。静态页面是以 W W W标准页面描述语言
H T M L编制的,其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后,这第 5章 电子商务的安全 1 1 5下载个状况就发生变化了。
1,活动内容活动内容 是指在页面上嵌入的对用户透明的程序,它可完成一些动作。活动页面可显示动态图像、下载和播放音乐或实现基于 W W W的电子表格程序。电子商务中使用的活动内容涉及将你选中的商品放入购物车并计算发票总额(包括销售税和送货费) 。开发人员非常欢迎活动内容,因为它扩展了 H T M L的功能,使页面更为活泼。它还将原来要在服务器上完成的某些辅助性处理任务转给大多数情况下处于闲置状态的客户机来完成。
活动内容有多种形式,最知名的活动内容形式包括 J a v a小应用程序,A c t i v e X控件、
J a v a S c r i p t和 V B S c r i p t(从本书在线版的 Java applet Central和 Java security链接可找到因特网上
J a v a小应用程序和 J a v a安全方面的信息) 。脚本语言 J a v a S c r i p t和 V B S c r i p t可用来构造脚本(即可执行的命令) 。 V B S c r i p t是微软公司 Visual Basic程序设计语言的子集,可用作 W W W浏览器和其他 Microsoft ActiveX控件与 J a v a小应用程序的应用上的快速、轻便和可移植的解释程序。
小应用程序 是可在另一个程序中执行的程序,但它不能在计算机上直接执行。小应用程序通常是在 W W W浏览器中运行。 Cool applets网站上有许多很好的小应用程序,图 5 - 4所示为从
Cool applets上下载的一个小应用程序。
图 5-4 Java小应用程序的例子还有些不知名的为 W W W提供活动内容的方式,其中包括图形和 W W W浏览器插件。图形文件中可包含一些隐含的嵌入指令,当图形下载到客户机后就可执行这些指令。如果运行可执行图形文件或其他文件格式中所嵌入指令的程序,可能会导致隐藏在合法图形指令中的有
1 1 6 电 子 商 务 下载恶意指令的运行。前面讲过插件是用于解释或执行嵌入在下载图形、声音或其他对象中的指令。所有形式的活动页面都支持 W W W页面完成一些特定的任务。例如,表上的按钮可激活嵌入的程序来计算和显示信息,或将客户机上的数据发给 W W W服务器。活动内容为静态页面带来了生机。
对于一个在一台计算机上花十年才能完成的计算任务,可用分而治之的方法将它分布多台计算机上并行运行,可能只花几个月就可完成。 W W W页面上的活动内容为将计算强度大的活动分布到多台计算机上执行提供了一个理想的方式。从宇宙搜索可识别的信号就是使用这种技术的例子。志愿者从因特网上下载联邦政府从太空中接收到的宇宙信号,然后用自己的计算机分析这些信号。当志愿者的计算机空闲(也就是这些计算机处于等待状态,不执行任何程序)时,这些计算机就可用来过滤从太空中接收到的无线电波,以便从噪音中发现智慧生命所发出的信号。当志愿者下载了模式识别的程序后,就可以不断地下载和处理这些信号数据,以便确定太空中是否有人在试图与地球联系。
活动内容是如何启动的呢?你用浏览器就可查看一个带有活动内容的 W W W页面。小应用程序会随你所看到的页面自动下载下来,并开始在你的计算机上启动运行。这时就存在一个问题。由于活动内容模块是嵌入在 W W W页面里的,它对浏览页面的用户是完全透明的。
企图破坏客户机的人可将破坏性的活动页面放进表面看起来完全无害的 W W W页面中。这种技术称作特洛伊木马,它可立即运行并进行破坏活动。 特洛伊木马 是隐藏在程序或页面里而掩盖其真实目的程序。特洛伊木马可窃听计算机上的保密信息,并将这些信息传给它的
W W W服务器,从而构成保密性侵害。更糟的是,特洛伊木马还可改变或删除客户机上的信息,构成完整性侵害。
在 W W W页面里加入活动内容,就为电子商务带来了多种安全危胁。通过 W W W页面潜入的有恶意的程序可使通常存在 co o k i e里的信用卡号、用户名和口令等信息泄密。因为因特网是无状态的,它不能记忆从一个页面到另一个页面间的响应,用 c o o k i e可帮助解决需要记忆关于顾客订单信息或用户名与口令等问题( Cookie Central网站主要讲述有关因特网 c o o k i e方面的知识) 。有些恶意的活动内容利用 c o o k i e可将客户机端的文件泄密,甚至破坏存储在客户机上的文件。不久前,一个计算机病毒成功地检测到用户电子邮件通讯簿上的信息,把病毒发给了因特网上的其他人。在这个案例中,这个破坏性程序通过浏览器成功地得到了进入电子邮件的权利。虽然 c o o k i e本身并没有恶意,但有些人不喜欢让自己的计算机存储 c o o k i e。当你浏览因特网时会积累下大量的 c o o k i e,而有些 c o o k i e可能包含一些敏感的个人信息。幸好有很多免费程序或自由软件可帮你识别、管理、显示或删除 c o o k i e,如 Cookie Crusher(可在 c o o k i e
存进硬盘前对其进行控制)和 Cookie Pal。
2,Java,J a v a小应用程序和 J a v a S c r i p t
J a v a是 S u n微系统公司开发的一种高级程序设计语言。 J a v a以前称做 O A K,当初是为嵌入式系统开发的。许多 J a v a支持者认为 J a v a代码可嵌入在家用电器的芯片里,为家用电器带来智能。但今天 J a v a最普遍的应用是在 W W W页面上,数以千计的 J a v a小应用程序可实现各种各样的客户机端应用。这些小应用程序随页面下载下来,只要浏览器兼容 J a v a,它就可在客户机上运行。 Netscape Navigator和 Microsoft Internet Explorer都兼容 J a v a。图 5 - 5为 S u n公司的 J a v a
小应用程序页面,上有到许多 J a v a小应用程序的链接。
第 5章 电子商务的安全 1 1 7下载图 5-5 Sun公司的 Java小应用程序页面
J a v a是一种真正的面向对象的语言,这是一个很有用的特点,因为它支持代码重用。除
W W W应用外,J a v a还可在操作系统上运行。 J a v a得以广泛应用的另一个原因是它与平台无关性,它可在任何计算机上运行。这种“一次开发多处使用”的特点降低了开发成本,因为对所有计算机都只需维护一种原代码即可。
J a v a增强了业务应用功能。它可在客户机端处理交易并完成各种各样的操作,这就解放了非常繁忙的服务器,使其不必同时处理上千种应用。嵌入的 J a v a代码一旦下载就可在客户机上运行,这就意味着非常可能发生破坏安全的问题。为解决这个问题而提出了称为 J a v a
“运行程序安全区”的安全模式。运行程序安全区如何实现安全性的细节已超出了本书的范围。
简单来说,J a v a运行程序安全区 ( Java Sandbox)是根据安全模式所定义的规则来限制 J a v a小应用程序的活动。这些规则适应于所有不可信的 J a v a小应用程序。 不可信的 J a v a小应用程序是指尚未被证明是安全的 J a v a小应用程序。当 J a v a小应用程序在 J a v a运行程序安全区限制的范围内运行时,它们不会访问系统中安全规定范围之外的程序代码。例如,遵守运行程序安全区规则的 J a v a小应用程序不能执行文件输入、输出或删除操作。这就防止了破坏保密性(泄密)和完整性(删除或修改) (详细内容参见本书在线版的 Java Sandbox) 。 J a v a应用程序和
J a v a小应用程序不同,J a v a应用程序不在浏览器上运行,而是在计算机上运行,它可以完成任何操作(包括灾难性的操作) 。
从本地文件系统中下载的 J a v a小应用程序是可信的,其运行不受 J a v a运行程序安全区
1 1 8 电 子 商 务 下载的限制。可信的小应用程序能够访问客户机上的所有系统资源,系统相信它们不会进行破坏。 签名的 J a v a小应用程序 带有可信的第三方的数字签名,这是识别 J a v a小应用程序来源的措施。如果 J a v a小应用程序有签名,它就可在 J a v a运行程序安全区之外使用所有系统资源。采用这种方法的原因是,如果你知道小应用程序是谁开发的,并且相信这个小应用程序,那么当它破坏了你的计算机上的内容,你可寻求法律帮助赔偿。从理论上说,有破坏作用的 J a v a小应用程序通常是匿名开发的,细节信息参见本书在线版的 Security and signed
a p p l e t s。
J a v a S c r i p t是网景公司开发的一种脚本语言,它支持页面设计者创建活动内容。 J a v a S c r i p t
受到各种流行浏览器的支持,它和 J a v a语言有同样的结构。当你下载一个嵌有 J a v a S c r i p t代码的页面,此代码就在你的客户机上运行。同其他活动内容的载体一样,J a v a S c r i p t会侵犯保密性和完整性,它会破坏硬盘、把电子邮件的内容泄密或将敏感信息发给某个 W W W服务器。
另外还可能把你所访问页面的 U R L记下来、捕捉你填入任何表中的信息等。如果你在租车时输入了信用卡号,有恶意的 J a v a S c r i p t程序就可能把信用卡号复制下来。由于这种破坏是发生在客户机上的,在客户机到电子商务服务器之间所建立的安全通信连接起不到保护作用。这时犯罪发生在客户机上,处于网站安全区之外。 J a v a S c r i p t程序和 J a v a小应用程序的区别在于它不在 J a v a运行程序安全区的安全模式限制下运行。
同 J a v a程序或 J a v a小应用程序不同的是,J a v a S c r i p t程序不能自行启动。有恶意的
J a v a S c r i p t程序要运行,必须由你亲手启动。有恶意者为诱导你启动这个程序,会把程序假扮成退休金计算程序,在你按下按钮来查看自己的退休金收入时,恶意的 J a v a S c r i p t程序就会启动,完成它的破坏任务。这是特洛伊木马的另一个例子。
3,ActiveX控件
A c t i v e X是一个对象(称作控件),它含有(程序员称为“封装” )由页面设计者放在页面来执行特定任务的程序。 A c t i v e X的构件源于许多程序设计语言,如 C + +或 Visual Basic。但与
J a v a或 J a v a S c r i p t代码不同的是,A c t i v e X控件只能在装 Wi n d o w s( 9 5,9 8或 2 0 0 0)的计算机上运行,并且只能在支持 A c t i v e X控件的浏览器上运行。 A c t i v e X代码编完后,程序设计人员将其封装在 A c t i v e X信封里(在代码转换成机读码前的一种特殊方式),编译控件并把它放到页面上。当浏览器下载了嵌有 A c t i v e X控件的页面时,它就可在客户机上运行了。 S h o c k w a v e是用于动画和娱乐控制的浏览器插件程序,它就是 A c t i v e X控件。控件的其他例子有 W W W支持的日历控件及各种各样的 W W W游戏。在本书在线版中的 ActiveX controls library链接下可查看 A c t i v e X控件的清单。
A c t i v e X控件的安全威胁是:一旦下载后,它就能像计算机上的其他程序一样执行,能访问包括操作系统代码在内的所有系统资源,这是非常危险的。一个有恶意的 A c t i v e X控件可格式化硬盘、向邮件通讯簿里的所有人发送电子邮件或关闭计算机。由于 A c t i v e X控件可全权访问你的计算机,它能破坏保密性、完整性或即需性,因此,A c t i v e X控件不能控制,但可被管理。在第 6章的“客户机安全”一节中将讲述通过把 A c t i v e X控件分成可信组和不可信组来保护计算机的方法。如果浏览器安全特性设置正确(见第 6章内容),在你下载 A c t i v e X控件时,
浏览器就会提醒你。图 5 - 6所示为 Internet Explorer检测到一个 A c t i v e X控件时所发出的警告信息。
第 5章 电子商务的安全 1 1 9下载图 5-6 检测到 ActiveX时的警告对话框
4,图形文件、插件和电子邮件的附件前面曾提到图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。有些图像文件的格式是专门设计的,能够包含确定图像显示方式的指令。这就意味着带这种图形的任何页面都是潜在的安全威胁,因为嵌入在图形中的代码可能会破坏计算机。同样,浏览器插件是增强浏览器功能的程序,即完成浏览器不能处理的页面内容。插件通常都是有益的,用于执行一些特殊的任务,如播放音乐片断、显示电影片断或动画图形。例如,Q u i c k Ti m e可下载并放映特殊格式的电影片断。
许多插件都是通过执行相应媒体里的指令来完成其职责的。这就为某些企图破坏计算机的人打开了方便之门,他们可在看起来无害的视频或音频片断里嵌入一些指令,这些隐藏在插件程序所要解释对象里的恶意指令可通过删除若干或全部文件来进行破坏。图 5 - 7所示为网景公司的插件页面,内有它提供的可免费下载的插件程序分类表。
图 5-7 网景公司的插件页面
1 2 0 电 子 商 务 下载潜伏在电子邮件附件里的安全威胁已被新闻媒体大肆报道,所以大众都非常熟悉。电子邮件的附件提供了一种在文本系统(即电子邮件)上传输非文本信息的一种方便方法。
附件可是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。当你收到附件时,大部分程序(包括最常用的浏览器电子邮件程序)都可通过自动执行所关联的程序来显示附件。例如,接收者的 E x c e l程序可打开所附加的 E x c e l工作表并显示它,Wo r d程序可打开并显示 Wo r d文档。这个动作本身并不会带来破坏,但驻留在所下载的文档或工作表里的 Wo r d或 E x c e l宏病毒会破坏你的计算机或将信息泄密。 宏病毒 是嵌入在文件中的称作
“宏”的小程序。最近报纸上不断有这类电子邮件附件类型的病毒报道,如 Happy99 Wo r m、
Tr i p l i c a t e和 C h e r n o b y l(即 C I H) 。 S y m a n t e c等许多公司一直在追踪病毒并提供抗病毒软件。
信息隐蔽 是指隐藏在另一片信息中的信息(如命令),其目的可能是善意的,也可能是恶意的。一般情况下,计算机文件中都有冗余的或能为其他信息所替代的无关信息。后者一般驻留在背景中,无法看到。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式,粗心的观察者看不到后者中含有重要的信息。加密文件是使其不能被阅读,信息隐藏是使信息不被人看到。信息隐蔽相当于把一个涉及贸易秘密的加密缩微胶片贴到肖像画中人眼的瞳孔上,即隐蔽又加密。粗心的观察者只看到了人的肖像,仔细检查才会发现缩微胶片。有多家软件开发商提供实现信息隐蔽的软件。
5.4.2 对通信信道的安全威胁因特网是将顾客(客户机)和电子商务资源(电子商务服务器)连接起来的电子链条。
现在你已了解了对客户机的安全威胁,所要考虑的下一个环节就是将客户机连到服务器上的传输信道,即因特网。
因特网一点儿也不安全。虽然因特网起源于军事网络,但美国国防部高级研究项目中心
( D A R PA)建造网络的主要目的不是为安全传输,而是为提供冗余传输,即为防止一个或多个通信线路被切断。换句话说,它最初的设计目的是提供多条路径来传输关键的军事信息。
军方计划以加密形式来传送敏感信息,保证在网络上传输的任何信息都是在保密状态。但在网络上所传输信息的保密性是通过将信息转化为不可识别字符串(称作密文)的软件来实现的。
因特网发展到今天,其不安全状态与最初相比并没有多大改观。在因特网上传输的信息,
从起始节点到目标节点之间的路径是随机选择的。此信息在到达最终目标之前会通过许多中间节点。在同一起始节点和目标节点之间发送信息时,每次所用的路径都是不同的。根本就无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。例如,从英国曼彻斯特发出一条信息给埃及开罗的一个商人,此信息可能会通过在黎巴嫩的贝鲁特的竞争者的计算机。
由于你无法控制信息的传输路径,不知道信息包曾到过哪里,所以很可能有中间节点窃取、
篡改甚至删除了你的信息。换句话说,在因特网上传输的电子邮件信息都会受到对安全、完整和即需的侵犯。本节详细讨论这些问题,第 6章将描述解决本章所提的安全问题的解决方法。
我们从保密、完整和即需等三方面来讨论因特网信道的安全。这样的组织为考查对因特网的直接安全威胁提供了很好的框架。
第 5章 电子商务的安全 1 2 1下载
1,对保密性的安全威胁保密是在大众媒体上最常提及的一种安全威胁。和保密紧密相关的问题是隐私。隐私也得到大众的关心,人们每天都会读到侵犯隐私的报道。保密和隐私虽然很相似,但却是不同的问题。 保密 是防止未经授权的信息泄露,而 隐私 是保护个人不被曝光的权利;保密是要求繁杂的物理和逻辑安全的技术问题,隐私则需要法律的保护。阐述保密与隐私间区别的一个经典例子就是电子邮件。 公司的电子邮件可通过加密技术来防止对保密性的破坏 (参见第 6章) 。
在加密时,信息编码成不可识别的形式,只有指定的接收者才能把它还原成原来的消息。保密措施是用来保护向外发送的消息。电子邮件的隐私问题则涉及是否允许公司主管阅读员工的消息,争端集中在于电子邮件的所有权属于谁,是公司还是发电子邮件的员工。本节讨论保密问题,即不让坏人阅读不想让他们阅读的信息。
前面已经提到过,开展电子商务的一个很大的安全威胁就是敏感信息或个人信息(包括信用卡号、名字、地址或个人喜好方面的信息等)被窃。这种事会发生某人在网上填写表来提交信用卡信息的时候,有恶意的人想从因特网上记录信息包(即破坏安全性)并不困难。
在电子邮件传输时也会发生同样的问题。有种叫做,探测程序,的特殊软件能够侵入因特网并记录通过某台计算机(路由器)的信息。探测程序类似于在电话线上搭线并录下一段对话。
探测程序既可阅读电子邮件信息,也可记录电子商务信息。窃取信用卡号是大家很关心的问题。但发给分公司的关于公司专利产品的信息或不公开的数据也可能被轻易地中途截取,而公司的保密信息可能比若干信用卡更有价值。因为信用卡往往有花费限制,而公司被窃取的信息可能价值数百万美元。
在因特网破坏保密信息并不困难。下面讲一个不经意泄露了机密信息而被窃听者或另一个网站服务器截取的例子。假定你登录一个名为 w w w,a n y b i z,c o m网站,此网站上有一个表要你填写姓名、地址和电子邮件地址。当你填完这些表格后用鼠标点击,S u b m i t”按钮,这时信息就会发给 W W W服务器去处理。一种最常用的将数据传给 W W W服务器的办法是收集你在编辑框中的回答信息,把它放在目标服务器 U R L地址的末端,然后把所采集的数据和要求将数据发给服务器的 H T T P请求发送出去。迄今为止还没有发生任何破坏活动。假定你临时改变主意,决定不再等待 a n y b i z,c o m服务器的反应,跳到另一个网站(如 w w w,s o m e c o m p a n y,c o m) 。
s o m e c o m p a n y,c o m服务器可能在收集 W W W的使用统计,并记录你刚访问的 U R L。这会帮助这家网站的管理员了解访问自己网站的方式。由于它记录了前面的 a n y b i z,c o m的 U R L,就因了解到你刚输入的保密信息而破坏了保密性。当然这种情况不会经常发生,但关键的是它确实能够发生。
在使用 W W W的时候,你在连续不断地暴露自己的信息。其中包括你的 I P地址和所用的浏览器,这也是破坏保密性的例子。有很多网站提供一种“匿名浏览”的服务,可使你所访问的网站看不到你的个人信息。其中之一是 A n o n y m i z e r网站,它可提供保密措施,但要求你将它作为你的门户,即访问其他网站时的出发网站。 A n o n y m i z e r的作用相当于防火墙(参见第 6
章),保护你的隐私信息不至泄露到你所访问的网站上。其工作原理是将 A n o n y m i z e r地址放在你要访问的 U R L地址前,这就使其他网站只能看到 A n o n y m i z e r网站的信息而不是你的信息。
例如,你要访问 A m a z o n,c o m网站,A n o n y m i z e r提供的 U R L是 h t t p,/ / w w w,a n o n y m i z e r.
c o m,8 0 8 0 / h t t p,/ / w w w,a m a z o n,c o m。图 5 - 8所示为请求匿名访问 A m a z o n,c o m主页的 A n o n y m i z e r
的主页。
1 2 2 电 子 商 务 下载图 5-8 Anonymizer的主页你可免费试用 A n o n y m i z e r的服务(其免费版故意加了一些延迟) 。进入本书在线版中的
A n o n y m i z e r,在文本框里输入一个 U R L(参见图 5 - 8),用鼠标点击 G o按钮;然后用鼠标按下
A n o n y m i z e r所显示的下一个页面底部的 Surf for FREE按钮。
2,对完整性的安全威胁对完整性的安全威胁也叫主动搭线窃听。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易(如在因特网上传输的储蓄交易)很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃听者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息,而对完整性的安全威胁是指某人改动了关键的传输。
破坏他人网站就是破坏完整性的例子。 破坏他人网站 是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。近来媒体有多起破坏网页的报道,
某些商业网页的内容被他人用黄色内容或其他不堪入目的内容替代了。
电子伪装也是破坏网站的例子。 电子伪装 是指某人装成他人或将某个网站伪装成另一个网站。这些破坏利用了域名服务器( D N S)的一个安全漏洞,将一个真实网站的地址替换成自己网站的地址,愚弄这些网站的访问者。例如,黑客用 D N S的安全漏洞将 Wi d g e t s国际公司的 I P地址用他的 I P地址替换,这就把 w w w,w i d g e t s i n t e r n a t i e n a l,c o m网站的访问者引到一个虚假网站。这样黑客就可改变订单中的订购量,并改变送货地址。这种对完整性的侵犯更改订单后再把它发给一家公司的电子商务网站,这家电子商务网站并不知道已经发生了对完整性的第 5章 电子商务的安全 1 2 3下载你想匿名访问的网站的 URL
破坏,它只简单验证顾客的信用卡后就开始履行订单。
对完整性的安全威胁还会改变重要的财金、医疗或军事信息。想象一下,某人采集一条向银行贷 1 0 0 0万美元的消息,然后将“贷”改成“借”的后果;同样,改变一份电子邮件发来的简历,这可能会改变求职者被公司录取的机会。改变信息对企业或个人都有非常严重的后果。
3,对即需性的安全威胁即需安全威胁 也叫 延迟安全威胁 或 拒绝安全威胁,其目的是破坏正常的计算机处理或完全拒绝处理。破坏即需性后,计算机的处理速度会非常低。例如,一台自动取款机的交易处理速度从两秒慢到三十秒,这时用户就会放弃自动取款机交易;同样,降低因特网服务的速度会把顾客赶到竞争者的网站,顾客就再也不会回到原网站上(有人说因特网的 1小时等于现实世界 1 0秒) 。换句话说,降低处理速度会导致服务无法使用或没有吸引力。显然,一份报导三天前新闻的报纸根本没有阅读价值。
拒绝攻击会将一个交易或文件中的信息整个删除。例如,曾发生过一次拒绝攻击,受到攻击的 P C机上的 Q u i c k e n理财软件将钱都汇到别的银行账户,这就使合法所有者无法提取这些钱。本章前面描述过的罗伯特·莫里斯的 I n t e r n e t蠕虫攻击就是拒绝攻击的著名例子。
5.4.3 对服务器的安全威胁客户机、因特网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。其中一个入口是 W W W服务器及其软件,其他入口包括任何有数据的后台程序,如数据库和数据库服务器。也许最危险的入口是服务器上的公用网关接口( common gateway interface,CGI)程序或其他工具程序。尽管没有系统能够实现完全的安全,但电子商务服务器管理员的工作就是制定出安全措施,并考虑电子商务系统的每个部分的安全措施。
1,对 W W W服务器的安全威胁
W W W服务器软件(如第 3章所述的软件)是用来响应 H T T P请求进行页面传输的。虽然
W W W服务器软件本身并没有内在的高风险性,但其主要设计目标是支持 W W W服务和方便使用,所以软件越复杂,包含错误代码的概率就越高,有安全漏洞的概率也就越高。安全漏洞是指破坏者可因之进入系统的安全方面的缺陷。
大多数计算机(包括 U N I X计算机)上所运行的 W W W服务器可在不同权限下运行。高权限提供了更大的灵活性,允许包括 W W W服务器在内的程序执行所有指令,并可以不受限制地访问系统的各个部分(包括高敏感的特权区域) 。相对来说,低权限在所运行程序的周围设置了一层逻辑栅栏,防止它运行全部指令,只允许它访问一些计算机中不很敏感的区域。安全规则是为程序提供完成工作所需的最低权限。为用户设置账号和口令的系统管理员需要很高权限,在 U N I X系统里称之为超级用户,他有权修改系统里敏感的数据区。 W W W服务器如果以高权限状态运行,就构成对 W W W服务器的安全威胁。在大多数情况下,W W W服务器提供的是在低权限下能完成的普通服务和任务。如果 W W W服务器在高权限下运行,破坏者就可利用 W W W服务器的能力执行高权限的指令。
如果 W W W服务器不更改目录显示的缺省设置,它的保密性就会大打折扣。如果一个服务器的文件夹名能让浏览器看到,就会破坏保密性。例如,当你为查看 FA Q子目录的缺省页
1 2 4 电 子 商 务 下载面而输入 h t t p,/ / w w w,s o m e c o m p a n y,c o m / FA Q /时,就可能发生这种情况。通常服务器显示的缺省页面为 i n d e x,h t m或 i n d e x,h t m l,如果目录中没有这样的文件,W W W服务器就会显示出此目录下所有文件夹名。这时你就可随便点击其中一个文件夹名,从而访问到实际是限制访问的某些文件夹。图 5 - 9所示为显示出文件夹名例子。
图 5-9 用浏览器显示文件夹名诸如微软等网站的管理员都细心地关闭了文件夹名的显示功能。如果你想浏览已限制浏览的文件夹的内容时,W W W服务器就会发出警告信息,如“你不能浏览此目录” 。
当 W W W服务器要求你输入用户名和口令时,其安全性也会大打折扣。输入用户名以求得到进入 W W W特定区域的允许,此行为本身并不会破坏保密性或隐私性。但当你访问同一
W W W服务器上受保护区域内的多个页面时,用户名和口令就可能被泄露。引起这种情况的原因之一是某些服务器要求你在访问安全区域中每个页面时都要输入用户名和口令。因为
W W W是无状态的(它无法记忆在上一事务中发生过什么),记录用户名和口令的最方便的方式就是将用户的保密信息存在他计算机上的 c o o k i e里,这样服务器就可以请求计算机发出
c o o k i e的方式来请求得到确认。这时会出现麻烦,因为 c o o k i e信息可能是以不安全的方式传输,
从而被窃听者复制。虽然 c o o k i e本身并非不安全的,但 W W W服务器不能要求不加保护地传输
c o o k i e里的信息。
服务器端嵌入( S S I)是嵌入在由服务器执行的页面上的一个小程序(参见第 3章) 。在服务器上执行来自于未知或不可信来源(如来自用户的页面)的程序时,S S I就可能会请求一些非法的执行。嵌入的 S S I代码可能是操作系统级的命令,要求将口令文件显示或发到特定位置。
本书在线版上的 W3C Threat Document提供了服务器安全的其他信息和常见问题解答。
第 2章所讲的文件传输协议( F T P)程序虽然不是 W W W服务器,但会随 W W W服务器软第 5章 电子商务的安全 1 2 5下载目录名件包提供。 F T P程序会对 W W W服务器的完整性带来安全威胁。如果对 F T P用户可浏览的文件夹没有进行保护,就可能发生未经授权的信息泄露。例如,假定某企业的员工有另一企业的计算机账号,以便定期把数据上传到企业业务伙伴的计算机上;系统管理员可用 F T P客户机程序登录到业务伙伴的计算机里上载数据,然后打开并显示 W W W服务器上其他文件夹里的内容。如果没有保护措施,这样的操作就很容易。使用 W W W客户机程序,你可用鼠标双击父目录以进入文件夹结构,再用鼠标双击其他文件夹(如有权限保护的文件夹),然后下载你所看到的任何信息。如果业务伙伴忘记限制其业务伙伴的浏览能力,这种情况就很可能发生。
W W W服务器上最敏感的文件之一就是存放用户名和口令的文件。如果此文件没有得到保护,任何人就都能以他人身份进入敏感区域。侵入者得到用户名和口令信息的前提是没有对用户信息加密。大多数 W W W服务器都会把用户认证信息放在安全区里,保证 W W W服务器能够为敏感数据提供保护措施正是 W W W服务器管理员的职责(第 6章将讲述认证信息的保护措施) 。
用户所选的口令也会构成安全威胁。有时用户所选的口令很容易猜出,因为口令可能是父母或孩子的名字、电话号码或身份证等很容易想到的内容。所谓字典攻击程序就是按电子字典里的每个单词来验证口令。对付这种攻击的策略非常简单。但如果用户口令泄露了,就会使恶意者非法进入服务器,而这种非法进入可能长时间不被发现。
2,对数据库的安全威胁电子商务系统以数据库存储用户数据,并可从 W W W服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息,如果被更改或泄露会对公司带来无法弥补的损失。现在大多数大型数据库都使用基于用户名和口令的安全措施,
一旦用户获准访问数据库,就可查看数据库中相关内容。数据库安全是通过权限实施的。而有些数据库没有以安全方式存储用户名与口令,或没有对数据库进行安全保护,仅依赖
W W W服务器的安全措施。如果有人得到用户的认证信息,他就能伪装成合法的数据库用户来下载保密的信息。隐藏在数据库系统里的特洛伊木马程序可通过将数据权限降级来泄露信息。数据权限降级是指将敏感信息发到未保护的区域,使每个人都可使用。当数据权限降级后,所有用户都可访问这些信息,其中当然包括那些潜在的侵入者。
有很多讨论数据库安全问题的文章和网站,可查看本书在线版上的数据库安全方面的链接。本书在线版的 SQL Server databases threats链接描述 SQL Server的安全威胁,这些安全威胁也适应于一般数据库系统。实现数据库安全系统需要一位高素质的数据库管理员进行仔细的管理。图 5 - 1 0所示为描述 O r a c l e数据库安全特性的网页( O r a c l e数据库支持了许多大型的电子商务网站,其中包括 A m a z o n,c o m,Disney Store Online,e B a y和 E * Tr a d e等) 。
3,对公用网关接口的安全威胁前面已讲过公用网关接口( C G I),它可实现从 W W W服务器到另一个程序(如数据库程序)的信息传输。 C G I和接收它所传输数据的程序为网页提供了活动内容。例如,网页上有一个列表框,要你填入最喜欢的职业运动队的名字;当你提交了自己的选择后,C G I程序就处理此信息,寻找你所选运动队的最新比分,然后把比分放到一个网页上,将此新网页发给你的浏览器。因为 C G I是程序,如果滥用就会带来安全威胁。同 W W W服务器一样,C G I脚本能以高权限来运行。因此,能自由访问系统资源的有恶意的 C G I程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息(包括用户名和口令) 。当程序设计人员发现 C G I程序中
1 2 6 电 子 商 务 下载的错误时,会重编这个程序以替代以前的版本。而未删除的 C G I旧版本可能已被系统设计员遗忘了,但它们为系统留下了安全漏洞。因为 C G I程序或脚本会驻留在 W W W服务器的任何地方
(即任何文件夹和目录下),C G I程序就很难追踪和管理。但有心人能够追踪到这些废弃的 C G I
脚本,检查这些程序以了解其弱点,然后利用这些弱点来访问 W W W服务器及其资源。同
J a v a S c r i p t不一样,C G I脚本的运行不受 J a v a运行程序安全的限制。
4,对其他程序的安全威胁另一个对 W W W服务器的攻击可能来自服务器上所运行的程序。通过客户机传输给 W W W
服务器或直接驻留在服务器上的 J a v a或 C + +程序需要经常使用缓存。 缓存 是指定存放从文件或数据库中读取数据的单独的内存区域。在需要处理输入和输出操作时就需要缓存,因为计算机处理文件信息的速度比从输入设备上读取信息或将信息写到输出设备上的速度快得多,缓存就用作数据进出的临时存放区。例如,可把即将处理的数据库信息放在缓存中,等所有信息都进入计算机内存后,处理器操作和分析所需的数据就都准备好了。缓存的问题在于向缓存发送数据的程序可能会出错,导致缓存溢出,溢出的数据进入到指定区域之外。通常情况下,这是由程序中的错误引起的;但有时这种错误是有意的。不论哪种情况都会导致非常严重的安全后果。
有编程经验的人都会知道,缓存溢出会导致数据或指令替代了内存指定区域外的内容,
这种程序设计错误的后果是程序会遇到意外然后停机。有恶意的程序所引起的破坏叫做故意的拒绝攻击。从某种意义来说,因特网蠕虫就是这样的程序,它引起的溢出会消耗掉所有资第 5章 电子商务的安全 1 2 7下载图 5-10 Oracle安全特性网页安全特性源,直到主机停机。
另一种更狡猾的溢出攻击就是将指令写在关键的内存位置上,使侵入的程序在完成了覆盖缓存内容后,W W W服务器通过载入记录攻击程序地址的内部寄存器来恢复执行。这种攻击会使 W W W服务器遭受严重破坏,因为恢复运行的程序是攻击程序,它会获得很高的超级用户权限,这就使每个程序都可能被侵入的程序泄密或破坏。
图 5 - 11为从文件里读出数据的图示。这些数据进入缓存,再进入称作保留区的系统区内。
保留区 是系统存储关键性信息(如在 C P U寄存器的内容和控制权移交前,本程序计算状态的信息)的区域。当控制权返还给原来的程序时,保留区的内容就会重新载入 C P U寄存器,将控制权交给程序的下一条指令。但在攻击发生时,控制权返给攻击程序,而不是最初让出控制权的程序。本书在线版的 B u ffer overflow attacks链接下详细介绍了两种不同的 W W W服务器的缓存缺陷。
图 5-11 缓存溢出攻击另一种类似的攻击是将多余的数据发给一个服务器,一般是邮件服务器。这种攻击叫作邮件炸弹,即数以千计的人将同一消息发给一个电子邮件地址。邮件炸弹的目标电子邮件地址收到大量的邮件,超出了所允许的邮件区域限制,导致邮件系统堵塞或失效。虽然很容易跟踪到扔邮件炸弹的人,但一般是没有意义的。邮件炸弹看起来和垃圾邮件很相似,但实际上完全相反。某人或某个组织将同一邮件发给多人称为发送垃圾邮件,垃圾邮件很大程度上只是令人讨厌,但不会带来安全威胁。
5.5 计算机应急小组十年前,为研究和消灭臭名昭著的因特网蠕虫集中起一组研究者。美国国家安全委员会下属的全国计算机安全中心发起了一系列研讨会,确定在未来出现影响到数千人安全问题时的响应方式。在安全专家会议结束后,D A R D A成立了计算机应急小组( C E RT)协调中心,
并以卡内基梅隆大学作为中心总部。计算机应急小组成员负责在安全专家之间建立一个有效
1 2 8 电 子 商 务 下载数据读入缓存并进入到保留区里保存返回地址的区域中进程地址空间 保留区缓存局部数据返回地址功击程序内存高端的快速沟通机制,以便在未来出现安全问题时可快速发现病毒并清除。在计算机应急小组成立的十年来,已处理 1 4 0 0 0多起政府或企业里发生的安全问题。今天,计算机应急小组仍在覆行其使命,并提供了丰富信息以支持因特网用户和公司构造更安全的电子商务网站。例如,
计算机应急小组出版的 C E RT alerts期刊,报道因特网上最近发生的安全事件; C E RT DNS
attack advisory里有很多文章讨论域名服务器攻击的问题。本书第 6章将阐述本章所提出的安全威胁的解决措施,其中包括计算机应急小组所定义的安全风险及识别与防止这些风险的方法。图 5 - 1 2所示为 C E RT alerts的页面。
图 5-12 CERT alerts的页面
5.6 小结电子商务的安全非常重要,安全攻击会使他人信息泄密或滥用这些信息。电子商务安全策略必须明确陈述保密、完整、即需和知识产权的要求。对电子商务的安全威胁会发生在由客户机到电子商务服务器的电子链条上的任何地方。新闻媒体对病毒的报道让用户了解了客户机的安全风险,但更隐蔽的安全威胁来自客户端应用程序。 J a v a,J a v a S c r i p t和 A c t i v e X都是在客户机上运行的程序或脚本,它们都有破坏安全的可能性。
通信信道(尤其是因特网)很容易受到攻击。因特网是一个巨大的网络,由于无人能控制信息传输所经过的节点,这就为未经授权泄露隐私信息、更改关键的商业文件以及窃取重要的商业信息等带来了前所未有的安全威胁。 1 9 8 8年发生的因特蠕虫就是以因特网为工具在几分钟内感染全世界数千台计算机的经典的安全威胁的例子。
第 5章 电子商务的安全 1 2 9下载电子商务服务器在很多方面和客户计算机一样,很容易受到安全破坏。更糟糕的是,被破坏的服务器上所连接的任何客户计算机也会发生安全问题。在服务器上运行的公用网关接口( C G I)程序能破坏数据库、非正常中断服务器软件或改变一些重要的信息。攻击程序可能来自服务器内部,也可能来自服务器外部。如果一个消息从服务器内存溢出并覆盖掉一些关键信息,就会发生外部攻击。在被覆盖信息的位置上可能是能启动服务器上其他程序的数据或指令。
为解决安全问题而成立的计算机应急小组( C E RT)将主要的安全专家联合起来。当发生重大的安全破坏时,这些安全专家可集结起来讨论、寻找和消除电子攻击者的方法。安全问题是利害攸关的,如果在电子商务客户机和服务器上没有充分的安全保护措施,电子商务就不能持久。有效的安全策略和充分的安全检测与保护措施是保护电子沟通和电子商务交易的惟一方法。
关键术语
active content(活动内容)
A c t i v e X
a p p l e t(小应用程序)
b u ff e r(缓存)
computer security(计算机安全)
c o p y r i g h t(版权)
c o u n t e r m e a s u r e(安全措施)
cyber vandalism(破坏他人网站)
c y b e r s q u a t t i n g(抢注域名)
delay threat(延迟安全威胁)
denial threat(拒绝安全威胁)
e a r e s d r o p p e r(窃听者)
fair use(合法使用)
i n t e g r i t y(完整)
intellectual property(知识产权)
Java sandbox( J a v a运行程序安全区)
logical security(逻辑安全)
macro virus(宏病毒)
mail bomb(邮件炸弹)
m a s q u e r a d i n g(电子伪装)
n e c e s s i t y(即需)
necessity threat(即需安全威胁)
physical security(物理安全)
p r i v a c y(隐私)
save area(保留区)
1 3 0 电 子 商 务 下载
s e c r e c y(保密)
security policy(安全策略)
signed Java applet(签名的 J a v a小应用程序)
s n i ffer program(探测程序)
s t e g a n o g r a p h y(信息隐蔽)
t h r e a t(安全威胁)
Trojan Horse(特洛伊木马)
trusted Java applet(可信的 J a v a小应用程序)
untrusted Java applet(不可信的 J a v a小应用程序)
复习题
1,解释网站使用 c o o k i e的原因。 c o o k i e能解决什么问题? c o o k i e包含什么内容? c o o k i e有多大?存储在何处?可查看本书在线版来帮助你解答这些问题。
2,什么是信息隐蔽?信息隐蔽对安全有何影响?可查看本书在线版来帮助你解答这些问题。
3,举一些服务器安全风险的例子。找一家网站,试试能否看到此网站上的目录名并打印出来。
4,因特网上有什么安全威胁?这些安全威胁主要涉及保密性还是会影响消息完整性?
5,为什么在客户机和 W W W服务器运行的 C G I脚本和 J a v a程序等会构成安全威胁?概述这些程序破坏安全性的方式。 J a v a脚本程序会带来同样的安全风险吗?
练习题
1,Brouhgt Back Bugs是内布拉斯加州林肯市的一家大众牌二手车经销商。这家公司聘你为他们创建一个网站。其要求之一是在网站上显示标题广告,现在你的首要任务是调查 J a v a、
J a v a S c r i p t,J s c r i p t和 J a v a小应用程序等方案,你可用本书在线版和搜索引擎来了解 J a v a应用情况。写两页纸的报告,陈述你对 J a v a,J a v a S c r i p t和 J a v a其他形式的了解。报告可从 J a v a历史开始,谁发明了 J a v a? J a v a和 A c t i v e X控件相比有何优缺点?谁发布了 J a v a S c r i p t和 J s c r i p t?顾客为运行 J a v a页面而需要特殊的浏览器吗?在报告中列出你访问过的网站和对你有帮助的网站。
2,假定你怀疑自己的电子商务网站会受到不怀好意人的攻击,描述一下你的电子商务服务器可能会受到哪几类安全威胁。回答此问题时不要从网络上寻找资料。有哪三类安全威胁?以你所在大学的网站为例具体说明?就上述两个问题分别写一到两百字的报告。
3,写一篇三百字报告,描述计算机应急小组( C E RT) 。在其中要介绍这个组织成立的时间,其会员情况,总部在何处;在报告中介绍三种最新的安全警报,说明病毒或攻击程序的名字和警报发布日期,并用两句话介绍每个安全警报。写报告时可用本书在线版、搜索引擎或 C E RT的主页来帮助你寻找信息。
第 5章 电子商务的安全 1 3 1下载
