电子商务－005

电子商务－005内容摘要：

电子商务－005 下载第 5章 引子1 9 8 8年 11月 3日，美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了，不管他们怎么尝试，计算机都不响应。 追查这个灾难事件后发现是康奈尔大学 2 3岁的研究生小罗伯特·莫里斯（ r.）干的，他放了一个因特网蠕虫，制造了因特网有史以来最臭名昭著的攻击事件：美国数千台计算机速度极慢或干脆不工作。 所谓“蠕虫”是将自己的“繁殖”版传给其他计算机。 这个程序之所以能够在因特网迅速传播，主要是由于 U N I s e n d m a i l）上有一个缺陷。 蠕虫侵入和感染了六千两百多台计算机（占当时因特网上计算机的 1 0 %） ，导致大面积的停机事件。 由于媒体对这次事件大肆渲染，一些未被感染的网站干脆切断了与因特网连接。 停机及其相关损失的成本无法准确计算。 有些估计认为损失的计算时间（称为拒绝服务）价值 2 400万美元，消除病毒和恢复计算机同因特网连接的直接成本大约为 4 000万美元；有些估计则认为成本接近 1亿美元。 研究蠕虫的专家发现蠕虫没有破坏性代码，损失是由这种蠕虫在每台计算机内失控的复制引起的，这种癌细胞式的生长最终会耗尽计算机所有的资源，导致被感染的计算机停机。 因特网蠕虫使计算机界猛醒过来。 自从发生蠕虫攻击后，计算机安全成为计算机软硬件采购和使用时很重要的考虑因素。 学习目标 计算机和电子商务安全方面比较重要的术语。 安全程序为什么由保密、完整和即需三部分组成。 版权和知识产权的作用，它们在电子商务研究中的重要性。 安全威胁，消除和减少安全威胁的措施。 对客户机、 W W 后台产品（如数据库）如何提高安全性。 安全协议如何能堵住安全漏洞。 加密和认证在确认和保密中的作用。 安全概述在因特网早期，电子邮件是最常用的服务之一。 在电子邮件出现后，人们一直担心电子邮件的信息会被竞争对手获取，从而对企业不利；另外一个担心是员工与工作无关的邮件（如谈及周末的聚会）被上司读到后会对员工不利。 这些都是很严重也很现实的问题。 今天这些问题更严重了。 随着因特网的成熟，人们使用它的方式也发生了变化。 竞争者未经授权而访问到公司的信息所带来的后果要比以前严重得多。 电子商务出现后，长期以来对信息安全的要求就更加迫切了。 首次在因特网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会被上百万人看到。 这个担心和 3 0多年来对在电话购物过程中申报信用卡号时的担心是一样的，我怎么能相信在电话那边记录我信用卡号的人呢。 现在人们对在电话中把自己的信用卡号告诉陌生人已不太在意了，但很多消费者还是不放心用计算机来传输信用卡号。 本章从电子商务角度详细介绍计算机安全方面的问题。 计算机安全涉及面很广，又非常复杂，而且其研究还在不断深入，本章主要概述一些比较重要的安全问题及目前的解决办法。 计算机安全 就是保护企业资产不受未经授权的访问、使用、篡改或破坏。 迄今主要有两大类的安全：物理安全和逻辑安全。 物理安全 是指可触及的保护设备，如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。 使用非物理手段对资产进行保护称为 逻辑安全。 对计算机资产带来危险的任何行动或对象都称为 安全威胁。 安全措施 是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。 根据资产的重要性不同，相应的安全措施也不同。 如果保护资产免受安全威胁的成本超过所保护资产的价值，我们就认为对这种资产的安全风险很低或不可能发生。 如在经常发生龙卷风的俄克拉荷马市，对计算机网络进行防龙卷风的保护是有意义的；而在很少发生龙卷风的洛杉矶市就不需要对计算机进行防龙卷风保护。 图 5 - 1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。 在此模型中，堪萨斯市或俄克拉荷马市处在第二象限，而南加州的龙卷风可在第三或第四象限。 图 5 风险管理模型这种风险管理模型可同样应用在保护因特网或电子商务资产免受物理或逻辑的安全威胁的领域。 这类安全威胁的例子如欺诈、窃听和盗窃，这里的 窃听者 是指能听到并复制因特网上传输内容的人或设备。 实施好的安全计划必须识别出风险、确定对受到安全威胁的资产的保护方式并算出保护资产的成本。 本章的重点不是保护的成本或资产的价值，而是识别安全威胁并保护资产免受这些安全威胁的方法。 计算机安全的分类安全专家通常把计算机安全分成三类，即保密、完整和即需。 保密 是指防止未授权的数1 1 2 电 子 商 务 下载概率高影响小（成本）概率低影响大（成本）保险或备份计划预防控制不用理会据暴露并确保数据源的可靠性； 完整 是防止未经授权的数据修改； 即需 是防止延迟或拒绝服务。 计算机安全中最知名的领域是保密，新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。 相对来说，完整安全威胁的见报就不那么频繁，因此大众对这个领域比较陌生。 假如一个电子邮件的内容被篡改成完全相反的意思，我们就说发生了对完整性的破坏。 对即需性破坏的案例很多，而且频繁发生。 延迟一个消息或消除它会带来灾难性的后果。 例如，你在上午 1 0点向 E * Tr a d e（一家在线的股票交易公司）发一个电子邮件委托购买 1 0 0 0股 I B 如这个邮件被人延迟了，股票经纪商在下午 2点半才收到这条邮件，这时股票已涨了 1 5 %。 这个消息的延迟就使你损失了交易额的 1 5 %。 版权和知识产权虽然保护措施不同，版权和知识产权的保护实际上也属于安全问题。 版权 是对表现的保护，一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。 知识产权 是思想的所有权和对思想的实际或虚拟表现的控制权。 同对计算机的安全威胁一样，对版权的侵犯也会带来破坏；但同对计算机安全的破坏不一样，侵犯版权的范围比较狭窄，对组织和个人的影响要小一些。 美国 1 9 7 6年的版权法规定的是固定期限的保护。 对 1 9 7 8年前出版作品的保护期为出版期后 7 5年，对 1 9 7 8年 1月 1日后出版作品的保护期为作者去世后 5 0年或作品发表后 7 5年。 所有作品创作出后就得到法律的保护。 没有明确的版权声明的作品也受到法律的保护，美国版权法中这一点最易引起误解。 除非你从一家电子商务网站收到允许复制受版权保护的图片，否则你在自己的网站上使用这个图片就违反了美国的版权法。 无论在什么搜索引擎上输入“ c o p y r i g h t” ，都会找到数百种讨论版权问题的网站。 其中的 5 - 2所示为它的主页。 图 5 安全策略和综合安全要保护自己的电子商务资产，所有组织都要有一个明确的安全策略。 安全策略是用书面第 5章 电子商务的安全 1 1 3下载明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等。 安全策略 一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责安全的人员必须定期修改安全策略。 制定安全策略时，首先要确定保护的内容（如保护信用卡号不被窃听）；再确定谁有权访问系统的哪些部分，不能访问哪些部分；然后确定有哪些资源可用来保护这些资产。 安全小组了解了上述信息后，制定出书面的安全策略。 最后要提供资源保证来开发或购买实现企业安全策略所需的软硬件和物理防护措施。 例如，如果安全策略要求不允许未经授权访问顾客信息（包括信用卡号和信用历史） ，这时就必须开发一个软件来为电子商务客户提供端到端的安全保证，或采购一个可实现这个安全策略的软件或协议。 虽然很难实现或根本不可能实现绝对的安全，但完全可构造一些障碍来阻止绝大多数的入侵者。 如果一个电子窃贼进行未经授权活动的成本超过了进行这个非法活动所获得的价值，这就大大降低了非法活动发生的概率。 综合安全意味着将所有安全措施协同起来以防止未经授权的资产暴露、破坏或修改。 安全策略必须包含着对安全问题的多方面考虑因素。 安全策略一般要包含以下内容： 认证：谁想访问电子商务网站。 访问控制：允许谁登录电子商务网站并访问它。 保密：谁有权利查看特定的信息。 数据完整性：允许谁修改数据，不允许谁修改数据。 审计：在何时由何人导致了何事。 本章逐步介绍上述问题，重点放在如何将这些安全策略应用到电子商务上。 下面讲述对数字化信息的安全威胁，首先来看一下对知识产权的安全威胁。 知识产权的安全因特网广泛应用后，对知识产权的安全威胁比以前严重多了。 未经所有者允许而擅自使用网络上的材料是非常容易的。 侵犯版权所导致的财务损失比侵犯计算机的保密、完整和即需所带来的损失更难测量，但无论如何侵犯版权所造成的损失是非常大的。 因特网成为了版权侵犯者的诱人目标，这主要有两个原因：首先，网络的信息非常容易复制，无论它是否受到版权保护；其次，很多人不了解保护知识产权方面的版权规定。 因特网上每天都会发生许多无意或有意侵犯版权的案件。 例如，迪尔伯特（ D i l b e r t）卡通迷常会建立一些电子商店或俱乐部，在这些网站里使用了斯科特·亚当斯（ 制的卡通，尽管这是善意的仰慕表示，但毫无疑问这是一种严重的版权侵犯行为。 现在许多人都认为在 W W 多数人不会恶意地去复制受版权保护的作品，并将它在 W W 管在因特网出现前版权法已经生效了，但因特网使出版商的版权保护工作变得更为复杂了。 要查找文字材料的未经授权复制非常容易，但查找被盗用、剪辑和非法使用在页面上的照片就比较困难了。 哈佛商学院的 克曼因特网和社会研究中心）最近开设了一门“网络时空的知识产权”的新课。 e b s i t 合法使用 版权是指在符合特定要求下有限度地使用受版权保护的材料。 图 5 - 3所示为 e b s i t 1 4 电 子 商 务 下载图 5 抢注域名而公堂相见的数量也在不断上升。 抢注域名 是指用别人公司的商标来注册一个域名，以期商标所有者付巨资赎回 域名。 可访问 务所 的网站 （可查 看本 书在线 版上的，里面有对域名抢注方面的最新报道。 对电子商务的安全威胁要了解电子商务的安全需求，需要考查从客户机到电子商务服务器的整个过程。 在考查“电子商务链”上每个逻辑链条时，为保证安全的电子商务所必须保护的资产包括客户机、在通信信道上传输的消息、 W W 括服务器端所有的硬件）。 电影中商业间谍主要是窃听各种通信设备，如电话线和卫星通信线路。 虽然电信通道是需要保护的主要的资产之一，但并不是计算机和电子商务安全所考虑的惟一因素。 例如，如果通信连接是安全的，而客户机上有一个病毒，这个病毒就会污染要安全传输到 W W 时商务交易的安全就像客户机一样不安全了。 本章的其余内容分成三部分，即保护客户机、保护在因特网上的信息传输和保护电子商务服务器。 首先来看客户机上存在的安全威胁。 对客户机的安全威胁在可执行的 W W 面是静态的。 静态页面是以 W W M 作用只是显示内容并提供到其他页面的链接。 在活。