字數超了 ,妳覺得好就直接下上面的地址
下面是摘抄 前面壹點點部分的
第1章 電子商務與網絡安全
1.1什麽是網絡安全
電子商務的網絡環境
1.互聯網
互聯網的出現與發展是上個世紀末人類生活中最具影響的重大事件之壹.
根據 www.glreach.com 2000年12月30日的全球在線統計,全球上網用戶為4億零300萬,其中使用英語的用戶數為1億9210萬,占全球上網用戶總數的47.6%,非英語用戶數為2億1130萬,占全球上網用戶總數的52.4%,在非英語用戶中,使用漢語的用戶數為2900萬,占全球上網用戶總數的7.2%.估計到2003年,全球上網用戶為7億9000萬,其中使用英語的用戶數為2億3000萬,占全球上網用戶總數的29.1%,非英語用戶數為5億6000萬,占全球上網用戶總數的70.9%,在非英語用戶中,使用漢語的用戶數為1億6000萬,占全球上網用戶總數的20.3%.
根據INTERNIC的統計,全球已註冊域名35244448個,其中以 .com 註冊的公司域名為21285794個.中國大陸以 .cn 註冊的域名106272個,中國臺灣以 .tw 註冊的域名36546個,澳門以 .mo 註冊的域名395個,香港未詳.
另據香港政府的資訊科技及廣播局的統計資料,全港所有住戶中,49.7%家中有個人電腦 ,其中73.3%的個人電腦已接入上互聯網,37.3%的機構單位已聯接互聯網.壹九九九年,所有機構單位通過電子途徑售賣產品,服務或資料而獲得的業務收益合計為46億元港幣.
根據中國互聯網絡信息中心(CNNIC)2001年1月17日在北京發布的《中國互聯網絡發展狀況統計報告》,截止到2000年12月31日止,我國上網計算機數有約892萬臺,其中專線上網計算機141萬臺,撥號上網計算機751萬臺.我國上網用戶人數約2250萬人,其中專線上網的用戶人數約為364萬,撥號上網的用戶人數約為1543萬,同時使用專線與撥號的用戶人數為343萬,除計算機外同時使用其他設備(移動終端,信息家電等)上網的用戶人數為92萬.CN下註冊的域名總數為122099個,WWW站點數(包括.CN,.COM,.NET,.ORG下的網站)約265405個,我國國際線路的總容量為2799M.
2.電子商務
互聯網的迅猛發展極大地改變了人類的生活方式,給世界的經濟,政治,文化帶來了深刻的影響.在這種背景之下,電子商務的異軍突起掀起了網絡上的浩蕩風雲.這首先是由於,互聯網加速了經濟全球化的進程,人們通過網絡可以更快,更省地處理經濟事務,節省大量的財力,物力,人力,所有的這些都大大減少了交易費用,節余了更多的社會財富.其次,互聯網極大地拓展了市場交易的時間和空間,創造了更多的市場交易機會,為經濟的發展起到了推波助瀾的作用.互聯網可以幫助人們挖掘潛在的市場需求,甚至在創造著人類前所未有的新需求,例如創造和激發了巨大的信息消費市場.同時,互聯網還創造了互聯網基礎建設,互聯網應用,互聯網中介,互聯網商務等市場需求.這些新增長的需求必然帶來更多的就業機會.再次,互聯網促進競爭,促進創新,提高整個社會資源的配置效率.互聯網使每壹個廠商都面臨著同樣的全球化的市場,自由競爭將導致經濟資源的優化配置,極大地推動經濟的發展.這是由於互聯網使得供需雙方的信息能夠充分流通,減少雙方的信息不對稱,不完全狀況,從而為資源的最優配置創造了必要的條件,也十分自然地優化著社會資源的配置.
根據貝克利大學世界經濟圓桌會議的報告,1999年的全球網絡購物和網絡交易額為130億美元,2000年估計為2000億美元,2003年估計將超過3萬億美元.
面對這樣壹個巨大的市場,世界各國無不磨拳擦掌,惟恐裂肉分羹之不及.美國作為網絡技術和應用最先進的經濟發達國家,正逐步加強自己在世界經濟中的霸主地位.歐洲各國也不甘落後,1999年12月7日,歐盟15國在布魯塞爾召開部長級會議,通過了《歐盟電子商務統壹法》,明確規定凡在壹個成員國簽署的有關電子商務合同,其法律效力在歐盟其他成員國都將得到承認,以此推動電子商務在歐洲的發展.2001年2月15日,德國議會通過了使電子簽名具有與手寫簽名同樣的法律效力的議案,用電子簽名簽訂的合同將具有同樣的合法性,這使德國成為第壹個電子簽名合法化的歐洲國家.目前在歐元區信息技術部門內***雇傭了80萬人,至2020年還將創造75萬個就業機會.日本則於1999年推出綱領性文件《邁向21世紀的數字經濟》,並投資幾十億美元發展本國的電子商務.新加坡政府把推動電子商務作為21世紀的經濟發展策略,並立誌將新加坡建設成為國際電子商務中心.隨著我國加入WTO的日子的到來,在國際經濟貿易的競爭更加激烈,機遇與挑戰並存的時代,如果我國能夠及時調整對策,變革傳統的貿易方式,我們將在21世紀國際貿易競爭中有望占有我們應得的市場份額,由此將對我國的經濟發展,社會穩定和人民的生活幸福產生深遠的影響.
3.網絡安全
互聯網猶如為電子商務鋪設了四通八達的道路.但是在這些道路上並不是很安全的,而是危機四伏,險象環生.當然,我們不能因為路上不太安全,就關張落板,不做買賣了,縮回到"民老死不相往來"的封閉時代.我們要做的是權衡利弊,評估風險,以適當的代價,建立起電子商務的安全系統,爭取在電子商務活動中獲得較高的收益.
說到安全,我們滿耳朵灌進來的是各種各樣的令人頭昏的字眼.諸如"網絡安全","信息安全","計算機安全","數據安全"等等,等等.界定這些名詞的內涵與外延,是語義學專家們的事情.我們也不想從那些難以咀嚼的定義出發,來圈定本書的內容.
我們的想法是很直接,很樸素的.我們經過調查研究,從電子商務的實際需要出發,來組織本書的內容.電子商務在網絡上遇到的安全問題是錯綜復雜的,我們經過梳理,勾畫出本書的輪廓,方方面面有關安全的問題我們都要點到,做適當的介紹.這本書作為高等職業學校的電子商務專業的教材,我們的目的不是去探討高深的網絡理論,而是要引導學生通過實踐獲得切合實際需要的知識和能力.
針對危害安全的某些因素,我們采取了相應的安全措施.也許由於我們的安全措施存在某些遺漏或缺陷,壹些不安全因素會得以擴張它的危害,我們必須想法彌補和加固我們的防護堤壩.然而,新的不安全因素是會在妳壹眨眼之間隨時出現的,我們維護系統安全的戰鬥將永不停息.因此,本書並沒有企圖羅列若幹萬無壹失的安全解決方案,以為鑄造幾個堅固的鐵殼就可以鉆在裏面高枕無憂了,而是著眼於培養學生分析問題,解決問題的能力,去應對不斷出現的新的挑戰.
滿山的草木千姿百態,我們只能摘壹片葉子夾在書中留作紀念.電子商務所面臨的安全問題千奇百怪,解決之道也是層出不窮.要找壹個非常準確的名詞來概括不是壹件容易的事兒,權且叫做"網絡安全"吧.
網絡安全隱患分析
電子商務之所以非要在危機四伏,險象環生的網絡環境中謀求生存,其根本原因出自以下的四大矛盾:
商務活動要求廣泛的互聯而不能與世隔絕,然而這也給盜賊的潛入架橋開路:
網絡的體系結構和協議以及計算機的操作系統為互聯就必須開放,然而這也給病毒媽咪和黑客們盡數亮開了家底:
電子商務的操作必須簡單,方便,然而這就給嚴格的安全檢查出了難題:
互聯網的建立的初衷是友善的交流,合作,資源***享,它的結構和協議也不曾想到什麽安全不安全,然而誰曾料想美好的烏托邦竟然成為刀光劍影的打鬥場.
網絡安全的隱患主要來自操作系統,網絡和數據庫的安全的脆弱性和安全管理上的疏忽.
操作系統的安全的脆弱性
操作系統為了系統集成和系統擴張的需要,采用了支持動態聯接的系統結構.系統的服務和I/O操作都可以用打補丁的方式進行動態聯接.打補丁的方法為黑客們所熟知,也是病毒孳生的營養缸.
操作系統的進程是可以創建的,而且這種進程可以在遠程的網絡節點上創建和激活,更加要命的是被創建的進程還繼承了再創建進程的權力.這樣,黑客們在遠程把間諜補丁打在壹個合法用戶特別是超級用戶的身上,就能夠逃脫系統作業與進程的監視程序的眼睛.
操作系統為維護方便而預留的免口令入口和各種隱蔽通道,實際上也是黑客們進出的方便之門.
操作系統提供的具有與系統核心層同等權力的daemon軟件和遠程過程調用RPC服務,網絡文件系統NFS服務,以及Debug,Wizard等工具,更是黑客們翻雲覆雨的百寶囊.
計算機網絡的安全的脆弱性
互聯網的體系結構和TCP/IP協議在創建之時並沒有適當地考慮安全的需要,因而存在著許多安全漏洞和根本性的缺陷,給攻擊者留下了可乘之機.計算機網絡安全的脆弱性主要表現在:
(1)很容易被竊聽和欺騙
數據包在互聯網上傳輸的時候,往往要經過很多個節點的重發.而在局域網內,通常采用的以太網或令牌網技術都是廣播類型的.這樣,竊聽者便可以輕而易舉地得到妳的數據包.如果妳的數據包沒有強有力的加密措施,就等於把信息拱手送給了竊聽者.比較陳舊的DNS服務軟件易受虛假的IP地址信息的欺騙.另外壹種IP地址的欺騙方式是在阻塞了受害的某臺主機後再用受害者的IP地址在網絡上冒充行騙.
(2)脆弱的TCP/IP服務
基於TCP/IP協議的服務很多,最常用的有WWW,FTP,E-mail,此外還有TFTP,NFS,Finger等,它們都存在著各種各樣的安全問題.WWW服務所使用的CGI程序,Java Applet小程序和SSI都有可能成為黑客的得力工具.FTP的匿名服務有可能浪費甚至耗盡系統的資源.TFTP則無安全性可言,它常被用來竊取口令文件.E-mail的安全漏洞曾經導致蠕蟲在互聯網上的蔓延.E-mail的電子炸彈和附件裏經常攜帶的病毒,嚴重地威脅著互聯網的安全.至於X Windows服務,基於RPC的NFS服務,BSD UNIX的"r"族服務如rlogin,rsh,rexec等,如果妳在配置防火墻時忘記了關閉它們在互聯網上的使用,那麽妳的內部網絡就等於裸露在黑客們的面前.
(3)配置的錯誤和疏忽
由於網絡系統本身的復雜性,配置防火墻是壹件相當復雜的事情.在沒有更好的輔助工具出現之前,缺乏訓練的網絡管理員很有可能發生配置錯誤,給黑客造成可乘之機.在系統配置時過於寬容,或者由於對某些服務的安全性了解不夠而沒有限制或禁止這些不安全的服務,或者對於某些節點的訪問要求給予太多的權力,都會給安全帶來危害.
3. 數據庫管理系統安全的脆弱性
數據庫管理系統主要通過用戶的登錄驗證,用戶的權限,數據的使用權限以及審計功能提供安全性能.但是黑客通過探訪工具強行登錄和越權使用數據庫的數據,有可能帶來巨大的損失.對數據進行加密可以提高安全性,但是加密往往與數據庫管理系統的功能發生沖突或者影響了數據庫的運行效率,不壹定總是可行.使用"服務器—瀏覽器"結構的網絡應用程序因為由應用程序直接對數據庫進行操作,應用程序的某些缺陷有可能威脅到數據庫的安全.使用"數據庫—服務器—瀏覽器"的三層結構的應用程序通過標準的工具對數據庫進行操作,其安全性有所加強.數據庫的安全等級應當與操作系統的安全等級相適應,否則缺口是會首先從最薄弱的環節打開的.
系統管理員對系統和數據庫的絕對的控制權力也是安全的壹個突出問題.作為壹個系統管理員,他有權查閱和刪改任何任何敏感數據,系統對他的權力沒有任何約束,這就可能出事.應當實行系統管理員,安全員,審計員三權分立的互相制約的機制.而且這種機制必須得到操作系統和數據庫管理系統的支持才能生效.
4.安全管理的不力
調查表明,國內的多數計算機網絡,都缺少經過正規教育和訓練的專職的網絡安全管理員,缺少網絡安全管理的技術規範,沒有定期的安全測試和檢查,更沒有安全監控.甚至有許多網絡已經運行多年了,而系統管理員和用戶的登錄名字和口令還是缺省狀態未予改動.對於病毒媽咪和黑客們來說,這些網絡真是"笑人齒缺曰狗竇大開".
危害網絡安全的典型案例
世界上第壹個病毒程序是在1983年11月由Fred Cohen博士研究出來的.它潛伏在DEC公司的VAX 11/750型計算機系統上,具有自我復制能力,在壹定條件下當它發作時則具有壹定的破壞性.從此,在神奇美麗的計算機王國裏,開始了壹場揮之不去的惡夢.
1988年11月3日,由Cornell大學的23歲的研究生Robert Morris制造的"蠕蟲"病毒感染了當時的互聯網上將近1/10的6000多臺計算機,使網絡陷入癱瘓,造成的經濟損失估計在1500萬到1億美元.Robert Morris也因此被判刑3年監禁緩刑,罰款1萬美元和做400小時的社區服務.Robert Morris的父親老Morris是壹個對互聯網的創立做出傑出貢獻的工程師,並服務於美國國家安全局.Robert Morris以自己的"蠕蟲"蓋過了他父親的壹代英名.
最離奇的壹個案例是Randal Schwartz.他是壹個 在編程方面特別是Perl語言上功績彰著的優秀程序員.1993年他在Oregon為Intel公司工作,作為系統管理員維護計算機系統的安全.他為網絡安全而安裝了壹個Crack工具軟件,這個工具軟件可以用來破譯UNIX中的密碼和網絡口令.1993年10月28日,另壹個系統管理員發現了這個Crack軟件,並於4天後向警方作證而導致Schwartz被捕,罪名是違反了Oregon的計算機犯罪條例.
1995年,俄羅斯的列文(∧евин)在英國被捕.他被指控使用筆記本電腦從紐約的花旗銀行非法轉移至少370萬美元到他自己的帳戶.後來列文被引渡到了美國,被判處3年監禁和歸還花旗銀行24萬美元.花旗銀行除了蒙受了經濟損失之外,尤其嚴重的是商業信譽上的損失.當時就有6家競爭對手立即利用這個事件遊說花旗銀行的最大的20個客戶改換門庭.因此有許多金融和商業機構在遭受黑客襲擊時卻嚴格保密不敢露出風聲,惟恐因為自己的計算機網絡系統的安全缺陷而導致丟失自己的客戶.
1998年我國某工商銀行的網絡管理員郝金龍和他的弟弟內外勾結,在銀行的電腦終端機植入壹個控制軟件,同時用各種化名在該銀行開設了16個帳戶.他們利用這個軟件將虛擬的720000元人民幣電匯劃入銀行帳戶,之後從該銀行的8個分行提取真實的人民幣260000元.後來,郝金龍兄弟2人被江蘇省揚州市人民法院依法判處了死刑.
每年4月26日發作的CIH病毒感染了全球6000萬臺計算機.這種病毒是壹種惡性的
病毒,它發作時能用垃圾數據填充硬盤而毀壞所有文件和數據,尤其可惡的是它能改寫Flash 芯片的BIOS程序,使計算機完全癱瘓.受害者為之莫不咬牙切齒.CIH病毒是臺灣大同工學院的4年級的學生陳盈豪在1998年制作的.當年因為無人告訴,警方不能采取行動,使陳盈豪長期逍遙法外.畢業後在臺軍方服役,曾揚言要制作針對大陸的簡體漢字系統的病毒.1999年4月30日,有CIH病毒受害者曾先生起訴陳盈豪,陳乃被臺北警方逮捕.
2000年2月在3天的時間裏,來自世界各地的黑客攻擊了美國的數家頂級網站,包括Yahoo,Amazon,eBay,CNN等.黑客們用大量的垃圾信息阻塞了網站的服務器,使其無暇為用戶提供正常的服務而陷入癱瘓,稱為"拒絕服務"攻擊.壹時間,引起這些頂級網站的股票壹路下跌.
2000年5月4日,壹種叫做"我愛妳"(ILoveYou)的電腦病毒開始在全球迅速蔓延,短短的壹兩天內就侵襲了100多萬臺計算機.美國和歐洲 的計算機系統損失尤為慘重."愛蟲"病毒通過電子郵件傳播,與1999年席卷美國的"梅麗莎"病毒類似.它的攻擊對象是使用微軟視窗操作系統及Outlook電子郵件系統的計算機.這種病毒能刪除計算機上的部分文件,並 制造大量新的電子郵件,使用戶文件泄密,網絡負荷劇增.英國約有10%的企業遭到了它的攻擊,英國勞埃德銀行估計,這壹病毒將給英國造成數千萬英鎊的損失.美國參議院,國務院和國防部,美國在線-時代華納公司等諸多機構也受到"愛蟲"病毒的攻擊.在瑞士,"愛蟲"病毒襲擊了瑞士通訊社,法語廣播電臺等機關和企業,甚至蘇黎世州警察局也未能幸免.另外,在4日德國至少有5萬臺電腦被傳染上"愛蟲"病毒,丹麥議會,丹麥電信局和挪威壹家電視臺都宣布受到"愛蟲"病毒的侵害.追查"愛蟲"病毒媽咪撲簌迷離.有人說是菲律賓的壹些黑客,也有人說是壹名在澳大利亞學習的名叫邁克爾的德國學生.
還有壹個笑話.北京有壹家公司研制開發了壹個防火墻,於是向全世界的黑客發出挑戰,稱誰能攻破我的防火墻,我就付妳獎金若幹若幹.但是這家開發防火墻的公司,竟然忘記了要給自己公司的網站安置壹道防火墻.甘肅省有壹個叫"黑妹"的,把這家公司的主頁黑掉了.公司經理說:"哎呀呀,不算不算!我忘了." 因為管理上的疏忽,導致安全事故的發生,往往是要付出沈重代價的.
物理上的破壞也嚴重地威脅著網絡的安全.我們經常可以反復看到壹些如出壹轍的報道,稱某某地方的架空光纜又被無知的盜賊割斷了,不同的只是時間和地點的變換.以至於光纜的架空桿子上掛出了這樣的牌子:"光纜割斷不能賣錢……"就是沈入海底的光纜也不能幸免於難.2001年2月9日上午中美海底光纜被帆布漲網魚船在該海域非法作業時鉤斷,壹時間,使用這壹光纜的中國,日本,新加坡和韓國的數百萬互聯網用戶發生"大堵車",直至2月23日才得以修復.直接維修費用估計在500萬至600萬人民幣,間接經濟損失更是無法估算.帆布漲網捕魚是在90年代中期從韓國流傳過來的,這壹作業方式對海底光纜威脅最大.2000年,有關部門決定在5年內徹底淘汰這壹作業方式,但是帆布漲網漁船有增無減,僅浙江舟山地區就有1500艘.據了解,1999年中國海域內海底光纜被阻斷達18次之多.為了避免再發生類似的事故,中國海底電纜公司準備增加4條巡邏船,加強24小時雷達監控.同時,上海有關部門加強了打擊破壞光纜的力度,嚴禁漁船在海纜路由及兩側各兩海裏範圍內拋錨及進行捕撈作業.
解決網絡安全問題的途徑
加強國際合作,從根本上改善網絡體系結構和協議的安全性能
例如IPSEC工作組推出的IP協議新版本IP v6,Netscape公司在ISO/OSI七層體系結構的傳輸層加裝的安全套接層協議SSL,以及Phil Zimmermann在應用層開發的PGP加密軟件包等等,都可以看作是在這個方向上的努力.
加強國家的安全立法工作,為網絡安全提供法律依據
有關安全的法律體系包括:① 國家的根本大法即憲法有關國家安全,社會穩定和人民權利的根本性的法律規定;② 國家安全法,保密法等通用的涉及國家安全和信息活動的法律;③ 有關互聯網和電子商務,網絡安全的專用法律;④ 有關具體信息行為的法律界定.
我們國家的法律,不但要規範中國公民的行為,維護國家的統壹和政權的穩定,而且要在壹個經濟全球化的進程中,能夠維護國家的利益和本國公民的權益.日本等壹些發達國家之所以膽敢把壹些有問題的產品銷往中國,其原因之壹就是中國的法律的不完善.中國公民在國際交往中受到了損害,卻拿不出索賠的法律依據.
研究開發具有中國獨立版權的安全產品
我國現在所用的大多數安全產品都是進口的,這種狀況潛伏著巨大的危險.壹方面,發達國家的政府禁止向我國出口高等級的安全產品,我們只能拿到低等級的安全產品.另壹方面是各種安全產品都存在著後門和隱蔽通道,有的進程甚至可以遠程激活.在兩國友好的時候他們可能會跟我們開開玩笑,當國家利益發生沖突時誰又能料想怎樣呢
從單純的經濟的角度看,在壹個社會信息化的進程中,安全產品是壹個巨大的市場.對這樣壹個市場熟視無睹拱手讓人確實有欠明智.
研究中國獨立的加密體制
加密體制是安全的壹個核心問題.在加密體制上受制於人就更不可取了.中國人的思維方式是和西方人的思維方式有很大的不同的.在加密上我們會有壹些更加奇特的思想.我國目前的法律規定加密的算法只有特定的部門才能研究,這當然有利於阻止民間產生壹些政府安全部門所不了解的密碼.如何在更加廣泛的基礎上集中民族的智慧維護國家的利益,這是壹個有待探討 的問題.
5.培養網絡安全的各個層次的人才
目前我國的網絡安全人才,無論是高級的研究開發人才,還是大量需要的管理應用人才,都存在較大的缺口.在正規的教育體系中,只有四川大學,北京郵電大學,海澱走讀大學等少數學校開設有信息安全專業,而壹般電子商務專業,網絡工程專業,計算機應用專業等開設網絡安全課程的也為數不是很多.有的學校不是不想開設網絡安全的課程,而是苦於師資無法解決.
建立網絡安全的組織機構
國家通過壹定的組織機構對網絡進行分類,分級的管理.在種類上網絡分為:① 互聯網,② 國際專業計算機信息網絡,③ 通過專線接入互聯網的企業內部網絡.在級別上分為:① 互聯網絡,② 接入網絡,③ 用戶網絡.
在各個部門和企事業單位,在建立計算機網絡的同時,也應該建立相應的安全組織機構.這個機構應當賦予相當的權力,能夠處理涉及安全的各種問題和協調單位內部的各種關系.同時機構內部的各個成員的權力必須有互相制約的機制,避免內部成員的權力失控帶來的安全危害.在網絡管理中心,系統管理員,安全員,審計員的三權分立是壹種有效的安全機制.
建立網絡安全的規章制度
網絡的所有的用戶在網絡上的行為必須有章可循.必須做什麽,可以做什麽,禁止做什麽,都必須明確規定,並有相應的獎勵和懲罰制度.規章制度要簡明扼要,嚴密詳盡,具有較強的可操作性.要通過各種形式,經常性地反復宣傳和教育,使之深入人心,得到切實的執行.
網絡安全要貫穿於網絡生存的全過程
在規劃設計壹個網絡時,就應當列入網絡安全的需求.在建設壹個網絡時,網絡安全要同步地建設.在發展壹個網絡時,網絡安全必須同步地發展.在維護壹個網絡時,網絡安全必須同步地維護.任何壹種延誤,遲緩和失誤,都有可能給網絡安全帶來危害.
應當看到,網絡安全的工作並不是壹勞永逸的.同各種危害網絡安全的內外因素的鬥爭,是壹個長期的反復的過程,任何時候都不能有懈怠和僥幸的心理.
1.2 電子商務對網絡安全的需求