China-ub.com 下载 第5章电子商务的安全 5.1引子 1988年11月3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不 工作了,不管他们怎么尝试,计算机都不响应。追查这个灾难事件后发现是康奈尔大学23岁 的研究生小罗伯特·莫里斯( Robert Morris Jr干的,他放了一个因特网蠕虫,制造了因特 网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作。所谓“蠕虫” 是将自己的“繁殖”版传给其他计算机。这个程序之所以能够在因特网迅速传播,主要是由 于UNIX电子邮件程序( sendmail)上有一个缺陷。蠕虫侵入和感染了六千两百多台计算机 (占当时因特网上计算机的10%),导致大面积的停机事件。由于媒体对这次事件大肆渲染, 一些未被感染的网站干脆切断了与因特网连接。停机及其相关损失的成本无法准确计算。有 些估计认为损失的计算时间(称为拒绝服务)价值2400万美元,消除病毒和恢复计算机同因 特网连接的直接成本大约为4000万美元有些估计则认为成本接近1亿美元。研究蠕虫的专 家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌 细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机。因特网蠕虫使计算 机界猛醒过来。自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的 考虑因素。 学习目标 计算机和电子商务安全方面比较重要的术语。 ·安全程序为什么由保密、完整和即需三部分组成。 ·版权和知识产权的作用,它们在电子商务研究中的重要性。 ·安全威胁,消除和减少安全威胁的措施。 ·对客户机、WWW服务器和电子商务服务器的安全威胁。 ·后台产品(如数据库)如何提高安全性。 ·安全协议如何能堵住安全漏洞。 ·加密和认证在确认和保密中的作用。 5.2安全概述 在因特网早期,电子邮件是最常用的服务之一。在电子邮件出现后,人们一直担心电子 邮件的信息会被竞争对手获取,从而对企业不利;另外一个担心是员工与工作无关的邮件 (如谈及周末的聚会)被上司读到后会对员工不利。这些都是很严重也很现实的问题。 今天这些问题更严重了。随着因特网的成熟,人们使用它的方式也发生了变化。竞争者 未经授权而访问到公司的信息所带来的后果要比以前严重得多。电子商务出现后,长期以来 对信息安全的要求就更加迫切了
下载 第5章 电子商务的安全 5.1 引子 1 9 8 8年11月3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不 工作了,不管他们怎么尝试,计算机都不响应。追查这个灾难事件后发现是康奈尔大学 2 3岁 的研究生小罗伯特·莫里斯( Robert Morris Jr.)干的,他放了一个因特网蠕虫,制造了因特 网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作。所谓“蠕虫” 是将自己的“繁殖”版传给其他计算机。这个程序之所以能够在因特网迅速传播,主要是由 于U N I X电子邮件程序( s e n d m a i l)上有一个缺陷。蠕虫侵入和感染了六千两百多台计算机 (占当时因特网上计算机的 1 0 %),导致大面积的停机事件。由于媒体对这次事件大肆渲染, 一些未被感染的网站干脆切断了与因特网连接。停机及其相关损失的成本无法准确计算。有 些估计认为损失的计算时间(称为拒绝服务)价值 2 400万美元,消除病毒和恢复计算机同因 特网连接的直接成本大约为 4 000万美元;有些估计则认为成本接近 1亿美元。研究蠕虫的专 家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌 细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机。因特网蠕虫使计算 机界猛醒过来。自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的 考虑因素。 学习目标 • 计算机和电子商务安全方面比较重要的术语。 • 安全程序为什么由保密、完整和即需三部分组成。 • 版权和知识产权的作用,它们在电子商务研究中的重要性。 • 安全威胁,消除和减少安全威胁的措施。 • 对客户机、W W W服务器和电子商务服务器的安全威胁。 • 后台产品(如数据库)如何提高安全性。 • 安全协议如何能堵住安全漏洞。 • 加密和认证在确认和保密中的作用。 5.2 安全概述 在因特网早期,电子邮件是最常用的服务之一。在电子邮件出现后,人们一直担心电子 邮件的信息会被竞争对手获取,从而对企业不利;另外一个担心是员工与工作无关的邮件 (如谈及周末的聚会)被上司读到后会对员工不利。这些都是很严重也很现实的问题。 今天这些问题更严重了。随着因特网的成熟,人们使用它的方式也发生了变化。竞争者 未经授权而访问到公司的信息所带来的后果要比以前严重得多。电子商务出现后,长期以来 对信息安全的要求就更加迫切了
112电子商多 Chinaopub coM 下载 首次在因特网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会 被上百万人看到。这个担心和30多年来对在电话购物过程中申报信用卡号时的担心是一样的, 我怎么能相信在电话那边记录我信用卡号的人呢?现在人们对在电话中把自己的信用卡号告 诉陌生人已不太在意了,但很多消费者还是不放心用计算机来传输信用卡号。本章从电子商 务角度详细介绍计算机安全方面的问题。计算机安全涉及面很广,又非常复杂,而且其研究 还在不断深入,本章主要概述一些比较重要的安全问题及目前的解决办法。 计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两 大类的安全:物理安全和逻辑安全。物理安全是指可触及的保护设备,如警铃、保卫、防火 门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为逻辑安全。对 计算机资产带来危险的任何行动或对象都称为安全威胁。 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不 同,相应的安全措施也不同。如果保护资产免受安全威胁的成本超过所保护资产的价值,我们 就认为对这种资产的安全风险很低或不可能发生。如在经常发生龙卷风的俄克拉荷马市,对计 算机网络进行防龙卷风的保护是有意义的;而在很少发生龙卷凤的洛杉矶市就不需要对计算机 进行防龙卷风保护。图5-1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型 在此模型中,堪萨斯市或俄克拉荷马市处在第二象限,而南加州的龙卷风可在第三或第四象限, 概率高 控制 预防 影响小 (成本) 成本) 不用理会 III 概率低 图5-1风险管理模型 这种风险管理模型可同样应用在保护因特网或电子商务资产免受物理或逻辑的安全威胁 的领域。这类安全威胁的例子如欺诈、窃听和盗窃,这里的窃听者是指能听到并复制因特网 上传输内容的人或设备。实施好的安全计划必须识别出风险、确定对受到安全威胁的资产的 保护方式并算出保护资产的成本。本章的重点不是保护的成本或资产的价值,而是识别安全 威胁并保护资产免受这些安全威胁的方法。 521计算机安全的分类 安全专家通常把计算机安全分成三类,即保密、完整和即需。保密是指防止未授权的数
首次在因特网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会 被上百万人看到。这个担心和 3 0多年来对在电话购物过程中申报信用卡号时的担心是一样的, 我怎么能相信在电话那边记录我信用卡号的人呢?现在人们对在电话中把自己的信用卡号告 诉陌生人已不太在意了,但很多消费者还是不放心用计算机来传输信用卡号。本章从电子商 务角度详细介绍计算机安全方面的问题。计算机安全涉及面很广,又非常复杂,而且其研究 还在不断深入,本章主要概述一些比较重要的安全问题及目前的解决办法。 计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两 大类的安全:物理安全和逻辑安全。物理安全是指可触及的保护设备,如警铃、保卫、防火 门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为逻辑安全。对 计算机资产带来危险的任何行动或对象都称为安全威胁。 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不 同,相应的安全措施也不同。如果保护资产免受安全威胁的成本超过所保护资产的价值,我们 就认为对这种资产的安全风险很低或不可能发生。如在经常发生龙卷风的俄克拉荷马市,对计 算机网络进行防龙卷风的保护是有意义的;而在很少发生龙卷风的洛杉矶市就不需要对计算机 进行防龙卷风保护。图5 - 1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。 在此模型中,堪萨斯市或俄克拉荷马市处在第二象限,而南加州的龙卷风可在第三或第四象限。 图5-1 风险管理模型 这种风险管理模型可同样应用在保护因特网或电子商务资产免受物理或逻辑的安全威胁 的领域。这类安全威胁的例子如欺诈、窃听和盗窃,这里的窃听者是指能听到并复制因特网 上传输内容的人或设备。实施好的安全计划必须识别出风险、确定对受到安全威胁的资产的 保护方式并算出保护资产的成本。本章的重点不是保护的成本或资产的价值,而是识别安全 威胁并保护资产免受这些安全威胁的方法。 5.2.1 计算机安全的分类 安全专家通常把计算机安全分成三类,即保密、完整和即需。保密是指防止未授权的数 1 1 2 电 子 商 务 下载 概率高 影响小 (成本) 概率低 影响大 (成本) 保险或备 份计划 控制 预防 不用理会
第5章电子商务的安全 113 载 据暴露并确保数据源的可靠性:完整是防止未经授杈的数据修改:即需是防止延迟或拒绝服 务。计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用 偷来的信用卡号订购商品的报道。相对来说,完整安全威胁的见报就不那么频繁,因此大众 对这个领域比较陌生。假如一个电子邮件的内容被篡改成完全相反的意思,我们就说发生了 对完整性的破坏。对即需性破坏的案例很多,而且频繁发生。延迟一个消息或消除它会带来 灾难性的后果。例如,你在上午10点向E* Trade(一家在线的股票交易公司)发一个电子邮件 委托购买1000股IBM公司的股票,假如这个邮件被人延迟了,股票经纪商在下午2点半才收到 这条邮件,这时股票已涨了15%。这个消息的延迟就使你损失了交易额的15% 522版权和知识产权 虽然保护措施不同,版权和知识产权的保护实际上也属于安全问题。版权是对表现的保 护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品 以及建筑作品的保护。知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。同对 计算机的安全威胁一样,对版权的侵犯也会带来破坏:但同对计算机安全的破坏不一样,侵 犯版权的范围比较狭窄,对组织和个人的影响要小一些。 美国1976年的版权法规定的是固定期限的保护。对1978年前出版作品的保护期为出版期 后75年,对1978年1月1日后出版作品的保护期为作者去世后50年或作品发表后75年。所有作 品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护,美国版权法 中这一点最易引起误解。除非你从一家电子商务网站收到允许复制受版权保护的图片,否则 你在自己的网站上使用这个图片就违反了美国的版权法。无论在什么搜索引擎上输入 “ copyright”,都会找到数百种讨论版权问题的网站。其中的 Copyright Clearance Center网站里 有大量美国版权方面的信息,图5-2所示为它的主页 e Copyright Clearance Center Powerful resource CCC is a powerf ervIces sers of copyrighted works to exchange ights and royaltie title datal Simple and Cost Effective CCCs services provide the easiest-to-use, most ccsl-efbective method of complying with U.S. copyright law Unique Soluti。ns Creating CCC provides a broad range of servces that delver royalty opportunities to copynght owners Solntions 图5-2 Copyright Clearance Center的主页 5.23安全策略和综合安全 要保护自己的电子商务资产,所有组织都要有一个明确的安全策略。安全策略是用书面
据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟或拒绝服 务。计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用 偷来的信用卡号订购商品的报道。相对来说,完整安全威胁的见报就不那么频繁,因此大众 对这个领域比较陌生。假如一个电子邮件的内容被篡改成完全相反的意思,我们就说发生了 对完整性的破坏。对即需性破坏的案例很多,而且频繁发生。延迟一个消息或消除它会带来 灾难性的后果。例如,你在上午 1 0点向E * Tr a d e(一家在线的股票交易公司)发一个电子邮件 委托购买1 0 0 0股I B M公司的股票,假如这个邮件被人延迟了,股票经纪商在下午 2点半才收到 这条邮件,这时股票已涨了 1 5 %。这个消息的延迟就使你损失了交易额的 1 5 %。 5.2.2 版权和知识产权 虽然保护措施不同,版权和知识产权的保护实际上也属于安全问题。版权是对表现的保 护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品 以及建筑作品的保护。知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。同对 计算机的安全威胁一样,对版权的侵犯也会带来破坏;但同对计算机安全的破坏不一样,侵 犯版权的范围比较狭窄,对组织和个人的影响要小一些。 美国1 9 7 6年的版权法规定的是固定期限的保护。对 1 9 7 8年前出版作品的保护期为出版期 后7 5年,对1 9 7 8年1月1日后出版作品的保护期为作者去世后 5 0年或作品发表后 7 5年。所有作 品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护,美国版权法 中这一点最易引起误解。除非你从一家电子商务网站收到允许复制受版权保护的图片,否则 你在自己的网站上使用这个图片就违反了美国的版权法。无论在什么搜索引擎上输入 “c o p y r i g h t”,都会找到数百种讨论版权问题的网站。其中的 Copyright Clearance Center网站里 有大量美国版权方面的信息,图 5 - 2所示为它的主页。 图5-2 Copyright Clearance Center的主页 5.2.3 安全策略和综合安全 要保护自己的电子商务资产,所有组织都要有一个明确的安全策略。安全策略是用书面 第5章 电子商务的安全 1 1 3 下载
114电子商多 Chinapub.com 下载 明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受 等。安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这 个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略 制定安全策略时,首先要确定保护的内容(如保护信用卡号不被窃听):再确定谁有权 访问系统的哪些部分,不能访问哪些部分:然后确定有哪些资源可用来保护这些资产。安全 小组了解了上述信息后,制定出书面的安全策略。最后要提供资源保证来开发或购买实现企 业安全策略所需的软硬件和物理防护措施。例如,如果安全策略要求不允许未经授权访问顾 客信息(包括信用卡号和信用历史),这时就必须开发一个软件来为电子商务客户提供端到端 的安全保证,或采购一个可实现这个安全策略的软件或协议 虽然很难实现或根本不可能实现绝对的安全,但完全可构造一些障碍来阻止绝大多数的 入侵者。如果一个电子窃贼进行未经授权活动的成本超过了进行这个非法活动所获得的价值, 这就大大降低了非法活动发生的概率 综合安全意味着将所有安全措施协同起来以防止未经授权的资产暴露、破坏或修改。安 全策略必须包含着对安全问题的多方面考虑因素。安全策略一般要包含以下内容」 认证:谁想访问电子商务网站? 访问控制:允许谁登录电子商务网站并访问它? 保密:谁有权利查看特定的信息? 数据完整性:允许谁修改数据,不允许谁修改数据? ·审计:在何时由何人导致了何事? 本章逐步介绍上述问题,重点放在如何将这些安全策略应用到电子商务上。下面讲述对 数字化信息的安全威胁,首先来看一下对知识产权的安全威胁。 53知识产权的安全 因特网广泛应用后,对知识产权的安全威胁比以前严重多了。未经所有者允许而擅自使 用网络上的材料是非常容易的。侵犯版杈所导致的财务损失比侵犯计算机的保密、完整和即 需所带来的损失更难测量,但无论如何侵犯版权所造成的损失是非常大的。因特网成为了版 权侵犯者的诱人目标,这主要有两个原因:首先,网络的信息非常容易复制,无论它是否受 到版权保护:其次,很多人不了解保护知识产权方面的版权规定。因特网上每天都会发生许 多无意或有意侵犯版权的案件。例如,迪尔伯特( Dilbert)卡通迷常会建立一些电子商店或 俱乐部,在这些网站里使用了斯科特·亚当斯( Scott adams)绘制的卡通,尽管这是善意的 仰慕表示,但毫无疑问这是一种严重的版权侵犯行为。现在许多人都认为在WWW上发生的 版权侵犯行为主要是由于不了解哪些内容允许复制。大多数人不会恶意地去复制受版权保护 的作品,并将它在WWW上发布。 尽管在因特网出现前版权法已经生效了,但因特网使出版商的版权保护工作变得更为复 杂了。要查找文字材料的未经授权复制非常容易,但查找被盗用、剪辑和非法使用在页面上 的照片就比较困难了。哈佛商学院的 Berkman Center for Internet and Society(伯克曼因特网 和社会研究中心)最近开设了一门“网络时空的知识产权”的新课。 The Copyright Website网 站上有大量关于版权及合法使用的文章和新闻组的讨论。合法使用版权是指在符合特定要求 下有限度地使用受版权保护的材料。图5-3所示为 The Copyright Website网站的主页
明确描述所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受 等。安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这 个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略。 制定安全策略时,首先要确定保护的内容(如保护信用卡号不被窃听);再确定谁有权 访问系统的哪些部分,不能访问哪些部分;然后确定有哪些资源可用来保护这些资产。安全 小组了解了上述信息后,制定出书面的安全策略。最后要提供资源保证来开发或购买实现企 业安全策略所需的软硬件和物理防护措施。例如,如果安全策略要求不允许未经授权访问顾 客信息(包括信用卡号和信用历史),这时就必须开发一个软件来为电子商务客户提供端到端 的安全保证,或采购一个可实现这个安全策略的软件或协议。 虽然很难实现或根本不可能实现绝对的安全,但完全可构造一些障碍来阻止绝大多数的 入侵者。如果一个电子窃贼进行未经授权活动的成本超过了进行这个非法活动所获得的价值, 这就大大降低了非法活动发生的概率。 综合安全意味着将所有安全措施协同起来以防止未经授权的资产暴露、破坏或修改。安 全策略必须包含着对安全问题的多方面考虑因素。安全策略一般要包含以下内容: • 认证:谁想访问电子商务网站? • 访问控制:允许谁登录电子商务网站并访问它? • 保密:谁有权利查看特定的信息? • 数据完整性:允许谁修改数据,不允许谁修改数据? • 审计:在何时由何人导致了何事? 本章逐步介绍上述问题,重点放在如何将这些安全策略应用到电子商务上。下面讲述对 数字化信息的安全威胁,首先来看一下对知识产权的安全威胁。 5.3 知识产权的安全 因特网广泛应用后,对知识产权的安全威胁比以前严重多了。未经所有者允许而擅自使 用网络上的材料是非常容易的。侵犯版权所导致的财务损失比侵犯计算机的保密、完整和即 需所带来的损失更难测量,但无论如何侵犯版权所造成的损失是非常大的。因特网成为了版 权侵犯者的诱人目标,这主要有两个原因:首先,网络的信息非常容易复制,无论它是否受 到版权保护;其次,很多人不了解保护知识产权方面的版权规定。因特网上每天都会发生许 多无意或有意侵犯版权的案件。例如,迪尔伯特( D i l b e r t)卡通迷常会建立一些电子商店或 俱乐部,在这些网站里使用了斯科特·亚当斯( Scott Adams)绘制的卡通,尽管这是善意的 仰慕表示,但毫无疑问这是一种严重的版权侵犯行为。现在许多人都认为在 W W W上发生的 版权侵犯行为主要是由于不了解哪些内容允许复制。大多数人不会恶意地去复制受版权保护 的作品,并将它在W W W上发布。 尽管在因特网出现前版权法已经生效了,但因特网使出版商的版权保护工作变得更为复 杂了。要查找文字材料的未经授权复制非常容易,但查找被盗用、剪辑和非法使用在页面上 的照片就比较困难了。哈佛商学院的 Berkman Center for Internet and Society(伯克曼因特网 和社会研究中心)最近开设了一门“网络时空的知识产权”的新课。 The Copyright We b s i t e网 站上有大量关于版权及合法使用的文章和新闻组的讨论。合法使用版权是指在符合特定要求 下有限度地使用受版权保护的材料。图 5 - 3所示为The Copyright We b s i t e网站的主页。 1 1 4 电 子 商 务 下载
inapub.com 第章电子海务的安全115 载 THE COPYRIGHT WERSITE THE三 6 COPYRIGIT WEBSITE闔 Welcome to The Copyright Website! This site endeavors to provde real world practical and relevant copyright information of interest to infonauts, netsurfers outlaws, and law abiding citizens. Launched on May Day 95, this site seek encourage discourse and invite solut ons to the myriad of copynight tangles tha machinations of informat on delivery. As spice is to Dune, information is to the web the spice must fiow LETS GOI News Flash e Monthly is having a rounds issues. Dunng of september, Atlantic ac u d The alterne cuture co debate w consist of three rounds, posted weekly de responses from online readers n our newly relaunched discussion forum, Post Youcanfindtheeventathttpwwtheanticcomunbqundfonamlcopynightntohtm 图5-3 The Copyright Website主页 过去几年里出现了大量有关知识产权和网络域名的争论。因抢注域名而公堂相见的数量 也在不断上升。抢注域名是指用别人公司的商标来注册一个域名,以期商标所有者付巨资赎 回域名。可访问 OppendahI& Larson律师事务所的网站(可查看本书在线版上的 Cybersquatting and the law),里面有对域名抢注方面的最新报道 54对电子商务的安全威胁 要了解电子商务的安全需求,需要考查从客户机到电子商务服务器的整个过程。在考查 “电子商务链”上每个逻辑链条时,为保证安全的电子商务所必须保护的资产包括客户机、在 通信信道上传输的消息、WWW和电子商务服务器(包括服务器端所有的硬件)。电影中商业 间谍主要是窃听各种通信设备,如电话线和卫星通信线路。虽然电信通道是需要保护的主要 的资产之一,但并不是计算机和电子商务安全所考虑的惟一因素。例如,如果通信连接是安 全的,而客户机上有一个病毒,这个病毒就会污染要安全传输到WWW或电子商务服务器上 的信息,这时商务交易的安全就像客户机一样不安全了 本章的其余内容分成三部分,即保护客户机、保护在因特网上的信息传输和保护电子商 务服务器。首先来看客户机上存在的安全威胁 541对客户机的安全威胁 在可执行的WWW内容出现前,页面是静态的。静态页面是以WWW标准页面描述语言 HTML编制的,其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后,这
图5-3 The Copyright Website的主页 过去几年里出现了大量有关知识产权和网络域名的争论。因抢注域名而公堂相见的数量 也在不断上升。抢注域名是指用别人公司的商标来注册一个域名,以期商标所有者付巨资赎 回 域名。 可访问 Oppendahl & Larson 律师 事务所 的网站 (可查 看本 书在线 版上的 Cybersquatting and the law),里面有对域名抢注方面的最新报道。 5.4 对电子商务的安全威胁 要了解电子商务的安全需求,需要考查从客户机到电子商务服务器的整个过程。在考查 “电子商务链”上每个逻辑链条时,为保证安全的电子商务所必须保护的资产包括客户机、在 通信信道上传输的消息、 W W W和电子商务服务器(包括服务器端所有的硬件)。电影中商业 间谍主要是窃听各种通信设备,如电话线和卫星通信线路。虽然电信通道是需要保护的主要 的资产之一,但并不是计算机和电子商务安全所考虑的惟一因素。例如,如果通信连接是安 全的,而客户机上有一个病毒,这个病毒就会污染要安全传输到 W W W或电子商务服务器上 的信息,这时商务交易的安全就像客户机一样不安全了。 本章的其余内容分成三部分,即保护客户机、保护在因特网上的信息传输和保护电子商 务服务器。首先来看客户机上存在的安全威胁。 5.4.1 对客户机的安全威胁 在可执行的 W W W内容出现前,页面是静态的。静态页面是以 W W W标准页面描述语言 H T M L编制的,其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后,这 第5章 电子商务的安全 1 1 5 下载