电子商务与网络安全

《网络安全》第1章电子商务与网络安全·1·第1章电子商务与网络安全1.1什么是网络安全1.1.1电子商务的网络环境1．互联网互联网的出现与发展是上个世纪末人类生活中最具影响的重大事件之一。根据www.glreach.com2000年12月30日的全球在线统计，全球上网用户为4亿零300万，其中使用英语的用户数为1亿9210万，占全球上网用户总数的47.6%，非英语用户数为2亿1130万，占全球上网用户总数的52.4%，在非英语用户中，使用汉语的用户数为2900万，占全球上网用户总数的7.2%。估计到2003年，全球上网用户为7亿9000万，其中使用英语的用户数为2亿3000万，占全球上网用户总数的29.1%，非英语用户数为5亿6000万，占全球上网用户总数的70.9%，在非英语用户中，使用汉语的用户数为1亿6000万，占全球上网用户总数的20.3%。根据INTERNIC的统计，全球已注册域名35244448个，其中以.com注册的公司域名为21285794个。中国大陆以.cn注册的域名106272个，中国台湾以.tw注册的域名36546个，澳门以.mo注册的域名395个，香港未详。另据香港政府的资讯科技及广播局的统计资料，全港所有住戶中，49.7%家中有个人电脑，其中73.3%的个人电脑已接入上互联网，37.3%的机构单位已联接互联网。一九九九年，所有机构单位通过电子途徑售卖产品、服务或资料而获得的业务收益合计为46亿元港币。根据中国互联网络信息中心（CNNIC）2001年1月17日在北京发布的《中国互联网络发展状况统计报告》，截止到2000年12月31日止，我国上网计算机数有约892万台，其中专线上网计算机141万台，拨号上网计算机751万台。我国上网用户人数约2250万人，其中专线上网的用户人数约为364万，拨号上网的用户人数约为1543万，同时使用专线与拨号的用户人数为343万，除计算机外同时使用其他设备（移动终端、信息家电等）上网的用户人数为92万。CN下注册的域名总数为122099个，WWW站点数（包括.CN、.COM、.NET、.ORG下的网站）约265405个，我国国际线路的总容量为2799M。2．电子商务互联网的迅猛发展极大地改变了人类的生活方式，给世界的经济、政治、文化带来了深刻的影响。在这种背景之下，电子商务的异军突起掀起了网络上的浩荡风云。这首先是由于，互联网加速了经济全球化的进程，人们通过网络可以更快、更省地处理经济事务，节省大量的财力、物力、人力，所有的这些都大大减少了交易费用，节余了更多的社会财富。其《网络安全》第1章电子商务与网络安全·2·次，互联网极大地拓展了市场交易的时间和空间，创造了更多的市场交易机会，为经济的发展起到了推波助澜的作用。互联网可以帮助人们挖掘潜在的市场需求，甚至在创造着人类前所未有的新需求，例如创造和激发了巨大的信息消费市场。同时，互联网还创造了互联网基础建设、互联网应用、互联网中介、互联网商务等市场需求。这些新增长的需求必然带来更多的就业机会。再次，互联网促进竞争、促进创新，提高整个社会资源的配置效率。互联网使每一个厂商都面临着同样的全球化的市场，自由竞争将导致经济资源的优化配置，极大地推动经济的发展。这是由于互联网使得供需双方的信息能够充分流通，减少双方的信息不对称、不完全状况，从而为资源的最优配置创造了必要的条件，也十分自然地优化着社会资源的配置。根据贝克利大学世界经济圆桌会议的报告，1999年的全球网络购物和网络交易额为130亿美元，2000年估计为2000亿美元，2003年估计将超过3万亿美元。面对这样一个巨大的市场，世界各国无不磨拳擦掌，惟恐裂肉分羹之不及。美国作为网络技术和应用最先进的经济发达国家，正逐步加强自己在世界经济中的霸主地位。欧洲各国也不甘落后，1999年12月7日，欧盟15国在布鲁塞尔召开部长级会议，通过了《欧盟电子商务统一法》，明确规定凡在一个成员国签署的有关电子商务合同，其法律效力在欧盟其他成员国都将得到承认，以此推动电子商务在欧洲的发展。2001年2月15日，德国议会通过了使电子签名具有与手写签名同样的法律效力的议案，用电子签名签订的合同将具有同样的合法性，这使德国成为第一个电子签名合法化的欧洲国家。目前在欧元区信息技术部门内共雇佣了80万人，至2020年还将创造75万个就业机会。日本则于1999年推出纲领性文件《迈向21世纪的数字经济》，并投资几十亿美元发展本国的电子商务。新加坡政府把推动电子商务作为21世纪的经济发展策略，并立志将新加坡建设成为国际电子商务中心。随着我国加入WTO的日子的到来，在国际经济贸易的竞争更加激烈、机遇与挑战并存的时代，如果我国能够及时调整对策，变革传统的贸易方式，我们将在21世纪国际贸易竞争中有望占有我们应得的市场份额，由此将对我国的经济发展、社会稳定和人民的生活幸福产生深远的影响。3．网络安全互联网犹如为电子商务铺设了四通八达的道路。但是在这些道路上并不是很安全的，而是危机四伏，险象环生。当然，我们不能因为路上不太安全，就关张落板，不做买卖了，缩回到“民老死不相往来”的封闭时代。我们要做的是权衡利弊，评估风险，以适当的代价，建立起电子商务的安全系统，争取在电子商务活动中获得较高的收益。说到安全，我们满耳朵灌进来的是各种各样的令人头昏的字眼。诸如“网络安全”、“信息安全”、“计算机安全”、“数据安全”等等，等等。界定这些名词的内涵与外延，是语义学专家们的事情。我们也不想从那些难以咀嚼的定义出发，来圈定本书的内容。我们的想法是很直接、很朴素的。我们经过调查研究，从电子商务的实际需要出发，来组织本书的内容。电子商务在网络上遇到的安全问题是错综复杂的，我们经过梳理，勾画出本书的轮廓，方方面面有关安全的问题我们都要点到，做适当的介绍。这本书作为高等职《网络安全》第1章电子商务与网络安全·3·业学校的电子商务专业的教材，我们的目的不是去探讨高深的网络理论，而是要引导学生通过实践获得切合实际需要的知识和能力。针对危害安全的某些因素，我们采取了相应的安全措施。也许由于我们的安全措施存在某些遗漏或缺陷，一些不安全因素会得以扩张它的危害，我们必须想法弥补和加固我们的防护堤坝。然而，新的不安全因素是会在你一眨眼之间随时出现的，我们维护系统安全的战斗将永不停息。因此，本书并没有企图罗列若干万无一失的安全解决方案，以为铸造几个坚固的铁壳就可以钻在里面高枕无忧了，而是着眼于培养学生分析问题、解决问题的能力，去应对不断出现的新的挑战。满山的草木千姿百态，我们只能摘一片叶子夹在书中留作纪念。电子商务所面临的安全问题千奇百怪，解决之道也是层出不穷。要找一个非常准确的名词来概括不是一件容易的事儿，权且叫做“网络安全”吧。1.1.2网络安全隐患分析电子商务之所以非要在危机四伏、险象环生的网络环境中谋求生存，其根本原因出自以下的四大矛盾：商务活动要求广泛的互联而不能与世隔绝，然而这也给盗贼的潜入架桥开路：网络的体系结构和协议以及计算机的操作系统为互联就必须开放，然而这也给病毒妈咪和黑客们尽数亮开了家底：电子商务的操作必须简单、方便，然而这就给严格的安全检查出了难题：互联网的建立的初衷是友善的交流、合作、资源共享，它的结构和协议也不曾想到什么安全不安全，然而谁曾料想美好的乌托邦竟然成为刀光剑影的打斗场。网络安全的隐患主要来自操作系统、网络和数据库的安全的脆弱性和安全管理上的疏忽。1．操作系统的安全的脆弱性操作系统为了系统集成和系统扩张的需要，采用了支持动态联接的系统结构。系统的服务和I/O操作都可以用打补丁的方式进行动态联接。打补丁的方法为黑客们所熟知，也是病毒孳生的营养缸。操作系统的进程是可以创建的，而且这种进程可以在远程的网络节点上创建和激活，更加要命的是被创建的进程还继承了再创建进程的权力。这样，黑客们在远程把间谍补丁打在一个合法用户特别是超级用户的身上，就能够逃脱系统作业与进程的监视程序的眼睛。操作系统为维护方便而预留的免口令入口和各种隐蔽通道，实际上也是黑客们进出的方便之门。操作系统提供的具有与系统核心层同等权力的daemon软件和远程过程调用RPC服务、网络文件系统NFS服务，以及Debug、Wizard等工具，更是黑客们翻云覆雨的百宝囊。《网络安全》第1章电子商务与网络安全·4·2．计算机网络的安全的脆弱性互联网的体系结构和TCP/IP协议在创建之时并没有适当地考虑安全的需要，因而存在着许多安全漏洞和根本性的缺陷，给攻击者留下了可乘之机。计算机网络安全的脆弱性主要表现在：（1）很容易被窃听和欺骗数据包在互联网上传输的时候，往往要经过很多个节点的重发。而在局域网内，通常采用的以太网或令牌网技术都是广播类型的。这样，窃听者便可以轻而易举地得到你的数据包。如果你的数据包没有强有力的加密措施，就等于把信息拱手送给了窃听者。比较陈旧的DNS服务软件易受虚假的IP地址信息的欺骗。另外一种IP地址的欺骗方式是在阻塞了受害的某台主机后再用受害者的IP地址在网络上冒充行骗。（2）脆弱的TCP/IP服务基于TCP/IP协议的服务很多，最常用的有WWW、FTP、E-mail，此外还有TFTP、NFS、Finger等，它们都存在着各种各样的安全问题。WWW服务所使用的CGI程序、JavaApplet小程序和SSI都有可能成为黑客的得力工具。FTP的匿名服务有可能浪费甚至耗尽系统的资源。TFTP则无安全性可言，它常被用来窃取口令文件。E-mail的安全漏洞曾经导致蠕虫在互联网上的蔓延。E-mail的电子炸弹和附件里经常携带的病毒，严重地威胁着互联网的安全。至于XWindows服务、基于RPC的NFS服务、BSDUNIX的“r”族服务如rlogin、rsh、rexec等，如果你在配置防火墙时忘记了关闭它们在互联网上的使用，那么你的内部网络就等于裸露在黑客们的面前。（3）配置的错误和疏忽由于网络系统本身的复杂性，配置防火墙是一件相当复杂的事情。在没有更好的辅助工具出现之前，缺乏训练的网络管理员很有可能发生配置错误，给黑客造成可乘之机。在系统配置时过于宽容，或者由于对某些服务的安全性了解不够而没有限制或禁止这些不安全的服务，或者对于某些节点的访问要求给予太多的权力，都会给安全带来危害。3.数据库管理系统安全的脆弱性数据库管理系统主要通过用户的登录验证、用户的权限、数据的使用权限以及审计功能提供安全性能。但是黑客通过探访工具强行登录和越权使用数据库的数据，有可能带来巨大的损失。对数据进行加密可以提高安全性，但是加密往往与数据库管理系统的功能发生冲突或者影响了数据库的运行效率，不一定总是可行。使用“服务器—浏览器”结构的网络应用程序因为由应用程序直接对数据库进行操作，应用程序的某些缺陷有可能威胁到数据库的安全。使用“数据库—服务器—浏览器”的三层结构的应用程序通过标准的工具对数据库进行操作，其安全性有所加强。数据库的安全等级应当与操作系统的安全等级相适应，否则缺口是会首先从最薄弱的环节打开的。系统管理员对系统和数据库的绝对的控制权力也是安全的一个突出问题。作为一个系统管理员，他有权查阅和删改任何任何敏感数据，系统对他的权力没有任何约束，这就可能出事。应当实行系统管理员、安全员、审计员三权分立的互相制约的机制。而且这种机制必《网络安全》第1章电子商务与网络安全·5·须得到操作系统和数据库管理系统的支持才能生效。4．安全管理的不力调查表明，国内的多数计算机网络，都缺少经过正规教育和训练的专职的网络安全管理员，缺少网络安全管理的技术规范，没有定期的安全测试和检查，更没有安全监控。甚至有许多网络已经运行多年了，而系统管理员和用户的登录名字和口令还是缺省状态未予改动。对于病毒妈咪和黑客们来说，这些网络真是“笑人齿缺曰狗窦大开”。1.1.3危害网络安全的典型案例世界上第一个病毒程序是在1983年11月由FredCohen博士研究出来的。它潜伏在DEC公司的VAX11/750型计算机系统上，具有自我复制能力，在一定条件下当它发作时则具有一定的破坏性。从此，在神奇美