《电子商务（五）》.pdfVIP

下载 第5章 电子商务的安全 5.1 引子 1 9 8 8年11月3 日，美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不 工作了，不管他们怎么尝试，计算机都不响应。追查这个灾难事件后发现是康奈尔大学 2 3 岁 的研究生小罗伯特·莫里斯（ Robert Morris Jr. ）干的，他放了一个因特网蠕虫，制造了因特 网有史以来最臭名昭著的攻击事件：美国数千台计算机速度极慢或干脆不工作。所谓“蠕虫” 是将自己的“繁殖”版传给其他计算机。这个程序之所以能够在因特网迅速传播，主要是由 于U N I X 电子邮件程序（ s e n d m a i l ）上有一个缺陷。蠕虫侵入和感染了六千两百多台计算机 （占当时因特网上计算机的1 0 %），导致大面积的停机事件。由于媒体对这次事件大肆渲染， 一些未被感染的网站干脆切断了与因特网连接。停机及其相关损失的成本无法准确计算。有 些估计认为损失的计算时间（称为拒绝服务）价值 2 400 万美元，消除病毒和恢复计算机同因 特网连接的直接成本大约为 4 000 万美元；有些估计则认为成本接近 1亿美元。研究蠕虫的专 家发现蠕虫没有破坏性代码，损失是由这种蠕虫在每台计算机内失控的复制引起的，这种癌 细胞式的生长最终会耗尽计算机所有的资源，导致被感染的计算机停机。因特网蠕虫使计算 机界猛醒过来。自从发生蠕虫攻击后，计算机安全成为计算机软硬件采购和使用时很重要的 考虑因素。 学习目标 • 计算机和电子商务安全方面比较重要的术语。 • 安全程序为什么由保密、完整和即需三部分组成。 • 版权和知识产权的作用，它们在电子商务研究中的重要性。 • 安全威胁，消除和减少安全威胁的措施。 • 对客户机、W W W服务器和电子商务服务器的安全威胁。 • 后台产品（如数据库）如何提高安全性。 • 安全协议如何能堵住安全漏洞。 • 加密和认证在确认和保密中的作用。 5.2 安全概述 在因特网早期，电子邮件是最常用的服务之一。在电子邮件出现后，人们一直担心电子 邮件的信息会被竞争对手获取，从而对企业不利；另外一个担心是员工与工作无关的邮件 （如谈及周末的聚会）被上司读到后会对员工不利。这些都是很严重也很现实的问题。 今天这些问题更严重了。随着因特网的成熟，人们使用它的方式也发生了变化。竞争者 未经授权而访问到公司的信息所带来的后果要比以前严重得多。电子商务出现后，长期以来 对信息安全的要求就更加迫切了。 1 1 2 电 子 商 务 下载 首次在因特网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会 被上百万人看到。这个担心和 3 0 多年来对在电话购物过程中申报信用卡号时的担心是一样的， 我怎么能相信在电话那边记录我信用卡号的人呢？现在人们对在电话中把自己的信用卡号告 诉陌生人已不太在意了，但很多消费者还是不放心用计算机来传输信用卡号。本章从电子商 务角度详细介绍计算机安全方面的问题。计算机安全涉及面很广，又非常复杂，而且其研究 还在不断深入，本章主要概述一些比较重要的安全问题及目前的解决办法。 计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两 大类的安全：物理安全和逻辑安全。物理安全是指可触及的保护设备，如警铃、保卫、防火 门、安全栅栏、保险箱、防爆建筑物等。使用非物理手段对资产进行保护称为逻辑安全 。对 计算机资产带来危险的任何行动或对象都称为安全威胁 。 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不 同，相应的安全措施也不同。如果保护资产免受安全威胁的成本超过所保护资产的价值，我们 就认为对这种资产的安全风险很低或不可能发生。如在经常发生龙卷风的俄克拉荷马市，对计 算机网络进行防龙卷风的保护是有意义的；而在很少发生龙卷风的洛杉矶市就不需要对计算机 进行防龙卷风保护。图 5 - 1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。 在此模型中，堪萨斯市或俄克拉荷马市处在第二象限，而南加州的龙卷风可在第三或第四象限。 概率高 控制