梁世庆 孙波成
1 襄樊学院 湖北 441053
2 西南交通大学峨眉校区 四川 614202
随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展,成为一种全新的商务模式,被许多经济专家认为是新的经济增长点。作为一种全新的商务模式,它有很广阔的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。
e-Commerce 是指通过 Internet 进行物品和服务的交易。所有主要的零售品牌都可以在线购买,并且许多品牌根本没有实际销售场所。然而,e-Commerce 也应用到 B2B 的交易,例如,在生产商和供应商或者分销商之间。
在软件产业中,安全有两种不同的观点。在软件开发团体中,它描述了系统的安全特性。一般的安全特性是确保至少六个字符的密码,并且对敏感数据进行加密。
安全性有三个主要的概念:机密性,完整性和可用性。机密性仅仅允许认证的人可以访问保护的信息。例如,如果邮递员阅读了您的邮件,这就是对您的隐私的侵犯。完整性确保发送端和接收端的数据一致。如果有人在您的信(包含您的信用卡账单)中添加了额外的账单,他已经违背了邮件的完整性。可用性确保您有权访问资源。如果邮局破坏了您的邮件或者邮递员花了一年的时间才邮递了您的信件,他已经影响了邮件的可用性。
攻击者能够导致用户或者系统中的设备,使他认为信息是来自于实际上未发出的来源时,发生的就是欺骗攻击。几乎在任何薄弱或网络通信中未实现认证的位置均可发生欺骗攻击。常见的欺骗攻击有MAC欺骗、IP欺骗、传输欺骗、身份欺骗和无聊设备。
一些最简单最有利可图的攻击是针对欺骗购物者的。这些攻击包含监视购物者的行为,搜集购物者的信息。例如,有些站点在提供了验证问题答案的情况下给出了密码,不仅该站点是危险的,攻击者还可能用相同的登录 ID 和密码登录到其他站点上。
一个常见的场景是攻击者打电话给购物者,假装是购物者所访问站点的代表,并且提取信息。攻击者接下来在网站上调用客户服务,作为购物者登录并且提供个人信息。攻击者接下来将密码重新设置为特定的值。
在这种情况下,攻击者监控购物者计算机同服务器之间的数据。包括嗅探攻击、侦查攻击和直接进入攻击。这类攻击从获悉组织机构的IP地址,对那些地址范围进行端口扫描和弱点扫描,侵入到有弱点的系统读取信息。在e-Commerce中,他搜集关于购物者的数据或窃取个人信息,比如信用卡账号。
每个月都有数百万的计算机连接到 Internet 上面。大多数使用者对于安全攻击的知识都很匮乏。而且,软件和硬件生产厂商,为了确保产品的安装简便,会禁用产品的安全特性。在大多数情况下,启用安全特性需要非技术用户阅读为专家编写的用户手册。困惑的用户并不会尝试启用安全特性。这就为攻击者创造了许多可乘之机。
进入购物者系统最常用的方法是使用工具,比如SATAN,在计算机上执行端口检查,找到进入系统的入口点。基于开放的端口,攻击者可以使用各种技术来进入到使用者的系统。在进入以后,他们可以检查文件系统,查看个人信息,比如密码。
有些时候通过网络的这种攻击是不切实际的。如果攻击者在网络的中间,在 Internet 范围内,这种攻击是不可行的。客户端到服务器的请求被分割成小块的包,并且在服务器端重新组织。请求包通过不同的路由被发送。攻击者不能访问一个请求中所有的包,也就不能破译发送的消息。
另一种常用的攻击是猜测用户的密码。这种攻击是手动的或者自动的。手动的攻击是非常艰苦的,并且只有当攻击者知道关于购物者某些信息的时候才能成功。例如,购物者使用孩子的姓名作为密码。自动攻击有更高的成功可能性,因为随着尝试次数的增加,猜测用户 ID/密码的可能性变得更高。现有的工具使用字典中所有的单词来测试用户的 ID/密码组合,或者通过常用的 ID/密码组合进行攻击。攻击者可以自动的在多个站点上进行测试。
这类攻击都采用国际类型的组合,主要有:病毒、蠕虫和特洛伊木马;Rootkip攻击及远程控制软件攻击。
病毒、蠕虫和特洛伊木马之间是泾渭分明的。病毒一般被认为是一段恶意代码,可以修改系统中的另一软件,这一般需要某种形式的用户干涉(如打开电子邮件附件、插入收感染的磁盘等)。蠕虫是一种独立工具,一般以自动的方式进行传播,可感染有弱点的系统,这些有弱点的系统随后会感染其它系统。红色代码就是蠕虫的一个例子。特洛伊木马是一种应用程序,对于用户,看起来具有一种功能但实际上可以做出完全不同的事情,NetBus/Whack-aMole就是一个恰当的例子。
攻击者利用Rootkip可以在已失手的机子里隐藏自己的存在,它进行很多破坏操作,安装密码嗅探器,日志文件分析程序,以及系统文件清理工具等。
远程控制软件在许多场合都用于合法目的,不幸的是,它也可用于远程控制的攻击,部署这种攻击的一个普遍方法是向意欲攻击的远程受害者发送一个电子邮件消息,用远程控制软件作为附件。
尽管存在黑客和解密高手,e-Commerce 仍然可以保持安全活动。对于大公司来讲,e-Commerce 中包含的资源是庞大的。这些公司将通过每个合法的路由来保护他们的客户。
当把您的计算机连接到网络上时,就有了受攻击的可能性。个人防火墙通过限制通信类型来保护您的计算机。入侵者也可以检测硬件驱动器来搜索任何存储的密码。
防火墙就像是城堡边上的护城河。它确保请求只能通过特定的端口进入系统,并且在一些情况下,确保所有的访问只能来自某些物理机器。
常用的技术是使用两个防火墙来建立一个非武装区域(DMZ)。外部的防火墙仅仅允许进出的 HTTP 请求。这允许客户端浏览器可以同服务器进行通信。第二个防火墙位于 e-Commerce 服务器的后面。这个防火墙有了很大加强,只允许通过来自特定端口上的可靠服务器的请求。两个防火墙都使用入侵检测软件来检测任何非法的访问尝试。
另一个与 DMZ 联合使用的技术是蜜罐(honey pot)服务器。蜜罐是位于 DMZ 中的资源(例如,伪造的付款服务器),用来迷惑黑客使他认为已经进入了内部防火墙。这些服务器是被严密监控的,黑客的任何访问都会被探测。
您的系统安全程度取决于使用它的人。如果购物者选择了一个不合适的密码,或者没有对密码进行保密,攻击者就可以很容易的攻击用户。系统管理员的密码也是非常重要的。在这种情况下,可能采取物理安全手段,因为管理员客户端可能没有被公布在防火墙外。用户在给出信息时应该进行良好的判断,并且接受可能的网页仿冒方式以及一些社会工程攻击的培训。
表1 密码策略
确保密码策略对于购物者和内部用户是强制实行的。所示的是一个密码策略范例,它被定义为(Federal Information Processing Standard,FIPS)的一部分。
对于内部用户和购物者。您可以选择不同的密码策略。例如,您可以选择在管理员三次登录失败后锁定账户。这个密码策略就杜绝了猜测密码攻击。这就确保密码不会很容易被猜到。账户锁定功能确保不能使用自动猜测密码机制。
有效安全策略的基础是预防攻击并且检测潜在攻击。这有助于理解系统通信的特性,也可作为抵御攻击者的起点。
应该记录任何不成功的系统登录。如果一个用户登录,并且试图访问他不能查阅的资源。或者执行不能执行的操作,这表明该账户正在被另一个人使用,并应该被锁定。安全日志的分析可以检测可疑行为,并且允许管理员采取行动。
除了安全日志,还可以使用业务审核来监控活动,比如付款处理。您可以监视并且检查这些日志,来在业务流程级别检测不适当的交互模式。
Web 站点设计人员面临的一个问题是针对并发请求维持客户端的安全会话。因为 HTTP 是无状态的,除非一些类型的会话令牌在每个请求中来回传递,否则服务器并不能将同一个人的所有请求联系在一起。cookie 是解决这种问题的一种流行手段。特定用户或者会话的标识符被存储在一个 cookie中,并且在每次请求时读取。您可以在 cookie 中存储用户首选项信息,比如语言和货币。这简化了 Web 页面开发,因为您不必关注如何将这些信息返回到服务器。
Cookie 的主要用途是存储认证和会话信息、您的信息以及您的首选项。其次的用途是跟踪用户的活动,但这一用途还存在争议。
不同类型的 cookie:
临时 cookie :这些 cookie 仅仅在您的当前会话中是合法的,当您关闭浏览器的时候会被删除。这通常是比较好的类型。它们经常用来存储您的会话信息。
永久 cookie :这种 cookie 有一定的时期,由站点来指定,存储在购物者的计算机上。它们可以重新提取您以前的会话信息。
服务器 cookie:这些 cookie 通常是无害的,只有发布它们的服务器可以使用。
第三方 cookie:它们经常被站点用于跟踪目的。您的浏览器或者 P3P 策略可以过滤这些 cookie。
URL 重写:这是 cookie 一个很流行的备选方案。页面上的每个 HTTP 链接都经过编码,但对于站点实现来说,代价是很昂贵的。它妨碍了站点的性能,因为不能缓存页面来供不同的用户使用。这种方案如果在没有使用 SSL 的情况下也容易收到攻击。
标记为安全的 cookie (存储加密数据并且在 SSL 保护下传递给用户)是最常用的方法,它提供了最佳的安全网络体验。
本文概述了 e-Commerce 系统中的关键参与者,安全性攻击和防御。目前的技术,提供了安全的站点设计。它取决与开发者预先对安全威胁的估计以及对已发生的安全威胁的反应能力,同时购物者在线购物时也要提高警惕。
[1] Scean Convery 著,王迎春,谢琳等译.网络安全体系结构.北京:人民邮电出版社.2006.