孙 滨
[摘要]市场已经证明,互联网技术在经历了爆炸式发展的初创时期后,更富有经营理念和经营脉络的各种传统型企业与互联网的有机结合将会带来新经济真正的曙光。电子商务的实施,其关键是要保证整个商务过程中系统的安全性,即保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性和即需性。
关键字:
电子商务(electronic business, e-business),活动内容(active content),ActiveX,缓存(buffer),延迟安全威胁(delay threat),即需(necessity)
引 言
随着因特网的迅猛发展,电子商务已经逐渐成为人们进行商务活动的一个崭新的模式。我们可以把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。
7月20日,中国互联网络信息中心(CNNIC)在京发布“第十四次中国互联网络发展状况统计报告”。报告显示,截止到2004年6月30日,我国上网用户总数为8700万,比去年同期增长27.9%,上网计算机达到3630万台。网络国际出口带宽增长飞速,总数达到53.9G,比去年同期增长190.3%。互联网的影响正逐步渗透到人们生活的各个角落。因此电子商务的发展前景十分诱人,而其安全问题也变得越显突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
要了解电子商务的安全需求,需要考查从客户端到电子商务服务器的整个过程。在考查“电子商务链”时,为保证安全的电子商务所必须保护的部分包括客户端、通信信道和电子商务服务器。
1.对客户端的安全威胁
在可执行的网页内容出现前,页面是静态的。静态页面是以标准页面描述语言HTML编制的,其作用只是显示内容并提供到其他页面的链接。在活动内容广泛应用后,这个状况就发生变化了。
1.1 活动内容
活动内容是指在页面上嵌入的对用户透明的程序,它可完成一些动作。它有多种形式,最知名的活动内容形式包括Java小应用程序、ActiveX控件、JavaScript和VBScript。那么活动内容是如何启动的呢?当你用浏览器查看一个带有活动内容的WEB页面时,小应用程序就会随你所看到的页面自动下载下来,并开始在你的计算机上运行。这时就存在一个问题:企图破坏客户端的人可将带有破坏性的活动页面放入表面看起来完全无害的WEB页面中。这种技术称作特洛伊木马,它可立即运行并进行破坏活动。特洛伊木马可窃取计算机上的保密信息,并将这些信息传给它的WEB服务器,从而构成保密性侵害。通过WEB页面潜入的恶意程序可以窃取存在cookie里的信用卡号、用户名和口令等信息,甚至破坏存储在客户端上的文件。当你浏览因特网时会积累下大量的cookie,而有些cookie可能包含一些敏感的个人信息,幸好现在有很多软件可帮你识别、管理、显示或删除cookie。
1.2 ActiveX控件
ActiveX是一个对象(称作控件),它含有由页面设计者放在页面来执行特定任务的程序。ActiveX代码编完后,程序设计人员将其封装在ActiveX里,编译控件并把它放到页面上。当浏览器下载了嵌有ActiveX控件的页面时,它就可在客户端上运行了。ActiveX控件的安全威胁是:一旦下载后,它就能像计算机上的其他程序一样执行,能访问包括操作系统代码在内的所有系统资源,这是非常危险的。一个有恶意的ActiveX可格式化硬盘、向邮件通讯簿里的所有人发送电子邮件或关闭计算机。由于ActiveX可全权访问你的计算机,因此ActiveX不能控制,但可被管理。如果浏览器安全特性设置正确,在你下载ActiveX时,浏览器就会提醒你。
1.3 图形文件、插件和电子邮件的附件
图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。有些图像文件的格式是专门设计的,能够包含确定图像显示方式的指令。这就意味着带这种图形的任何页面都有潜在的安全威胁,因为嵌在图形中的代码可能会破坏计算机。同样,浏览器插件是增强浏览器功能的程序,即完成浏览器不能处理的页面内容。他们可在看起来无害的视频或音频片断里嵌入指令,这些恶意指令可通过删除若干或全部文件来进行破坏。潜伏在电子邮件附件里的安全威胁已被新闻媒体大量报道,所以大众都非常熟悉。电子邮件的附件可以是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。当你收到附件时,大部分程序都可通过自动执行所关联的程序来显示附件。例如,接收者的Excel程序可打开所附加的Excel工作表并显示它,这个动作本身并不会带来破坏,但驻留在所下载的文档或工作表里的Word或Excel宏病毒会破坏你的计算机或将信息泄密,其中最出名的当属CIH病毒。
2.对通信信道的安全威胁
因特网是将顾客(客户端)和电子商务资源(电子商务服务器)连接起来的电子链条。可因特网一点儿也不安全,在因特网上传输的信息从起始节点到目标节点之间的路径是随机选择的,所以根本就无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。由于你无法控制信息的传输路径,不知道信息包曾到过哪里,所以很可能有中间节点窃取、篡改甚至删除了你的信息。我们从保密、完整和即需等三方面来讨论因特网信道的安全。这样的组织为考查对因特网的直接安全威胁提供了很好的框架。
2.1 对保密性的安全威胁
保密是在大众媒体上最常提及的一种安全威胁。开展电子商务的一个很大的安全威胁就是敏感信息或个人信息被窃。这种事会发生某人在网上填写表来提交信用卡信息的时候,窃取信用卡号是大家很关心的问题,但发给分公司的关于公司专利产品的信息或不公开的数据也可能被轻易地中途截取,而公司的保密信息可能比若干信用卡更有价值。公司的电子邮件通常使用加密技术来防止保密性遭到破坏。
在使用WEB的时候,你就在连续不断地暴露自己的信息。其中包括你的IP地址和所用的浏览器,这也是破坏保密性的例子。有的网站提供一种“匿名浏览”的服务,可使你所访问的网站看不到你的个人信息,其工作原理是将网站地址放在你要访问的U R L地址前,这就使其他网站只能看到该网站的信息而不是你的信息。
2.2 对完整性的安全威胁
对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息,而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。
2.3 对即需性的安全威胁
即需安全威胁也叫延迟安全威胁或拒绝安全威胁,其目的是破坏正常的计算机处理或完全拒绝处理。破坏即需性后,计算机的处理速度会非常低。例如,一台自动取款机的交易处理速度从两秒变为三十秒,这时用户就会放弃自动取款机交易。换句话说,降低处理速度会导致服务无法使用或没有吸引力。拒绝攻击会将一个交易或文件中的信息整个删除。例如,曾发生过一次拒绝攻击,受到攻击的P C机上的理财软件将钱都汇到别的银行账户,这就使合法用户无法提取这些钱。
3.对服务器的安全威胁
客户端、因特网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。其中一个入口是WEB服务器及其软件,其他入口包括任何有数据的后台程序,如数据库和数据库服务器。也许最危险的入口是服务器上的公用网关接口(common gateway interface, CGI)程序或其他工具程序。
3.1 对WEB服务器的安全威胁
大多数计算机上所运行的WEB服务器可在不同权限下运行。在大多数情况下,WEB服务器提供的是在低权限下能完成的普通服务和任务。如果WEB服务器在高权限下运行,破坏者就可利用WEB服务器的能力执行高权限的指令。另外,当WEB服务器要求你输入用户名和口令时,其安全性也会大打折扣。当你访问同一WEB服务器上受保护区域内的多个页面时,用户名和口令就可能被泄露。因为WEB是无状态的,记录用户名和口令的最方便的方式就是将用户的保密信息存在他计算机上的cookie里,这样服务器就可以请求计算机发出cookie的方式来请求得到确认。这时会出现麻烦,因为cookie信息可能是以不安全的方式传输,从而被窃取者复制。
3.2 对数据库的安全威胁
电子商务系统以数据库存储用户数据,并可从WEB服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息,如果被更改或泄露会对公司带来无法弥补的损失。现在大多数大型数据库都使用基于用户名和口令的安全措施,一旦用户获准访问数据库,就可查看数据库中相关内容。如果有人得到用户的认证信息,他就能伪装成合法的数据库用户来下载保密的信息。隐藏在数据库系统里的特洛伊木马程序可通过将数据权限降级来泄露信息。数据权限降级是指将敏感信息发到未保护的区域,使每个人都可使用。当数据权限降级后,所有用户都可访问这些信息,其中当然包括那些潜在的侵入者。
3.3 对公用网关接口的安全威胁
公用网关接口(CGI)可以实现从WEB服务器到另一个程序的信息传输。CGI和接收它所传输数据的程序为网页提供了活动内容。同WEB服务器一样,CGI脚本能以高权限来运行。因此,能自由访问系统资源的有恶意的CGI程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息。当程序设计人员发现CGI程序中的错误时,会重编这个程序以替代以前的版本。而未删除的CGI旧版本则为系统留下了安全漏洞,因为有心人能够追踪到这些废弃的CGI脚本,检查这些程序以了解其弱点,然后利用这些弱点来访问WEB服务器及其资源。同JavaScript不一样,CGI脚本的运行不受Java运行程序安全的限制。
3.4 对其他程序的安全威胁
对WEB服务器的攻击可能来自服务器上所运行的程序,通过客户端传输给WEB服务器或直接驻留在服务器上的Java或C++程序需要经常使用缓存。而缓存的问题在于向缓存发送数据的程序可能会出错,导致缓存溢出,缓存溢出会导致数据或指令替代了内存指定区域外的内容。有恶意的程序所引起的破坏叫做故意的拒绝攻击。从某种意义来说,因特网蠕虫就是这样的程序。另一种类似的攻击是将多余的数据发给一个服务器,这种攻击叫做邮件炸弹,即数以千计的人将同一消息发给一个电子邮件地址。邮件炸弹的目标电子邮件地址收到大量的邮件,超出了所允许的邮件区域限制,导致邮件系统堵塞或失效。邮件炸弹看起来和垃圾邮件很相似,但实际上完全相反。某人或某个组织将同一邮件发给多人称为发送垃圾邮件,垃圾邮件很大程度上只是令人讨厌,但不会带来安全威胁。
小 结
电子商务的安全问题是利害攸关的,安全遭到破坏会使他人信息泄露或导致信息滥用。电子商务安全策略必须明确陈述保密、完整、即需和知识产权的要求。对电子商务的安全威胁会发生在由客户端到电子商务服务器的电子链条上的任何地方,如果在电子商务客户端和服务器上没有充分的安全保护措施,电子商务就不能持久。因此,制定有效的安全策略和建立全方位的安全体系是保护电子商务交易的惟一方法。
参考文献
[1] 吕廷杰,《电子商务教程》,电子工业出版社,2000年。
[2] 赵立平,《电子商务概论》,复旦大学出版社,2000年。
[3] 陈梦建,《电子商务基础》,电子工业出版社,2001年。
[4] 甄阜铭,《电子商务基础教程》,东北财经大学出版社,2001年。
[5] Ravi Kalakota,Andrew B.Whinston 著,陈学美 译,《电子商务管理指南》,清华大学出版社,2000年。