电子商务安全题目初探(2)
2015-01-29 01:04
导读:1.3 图形文件、插件和电子邮件的附件 图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。有些图像文件的格式是专门设计的,能够包含确定图
1.3 图形文件、插件和电子邮件的附件
图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。有些图像文件的格式是专门设计的,能够包含确定图像显示方式的指令。这就意味着带这种图形的任何页面都有潜伏的安全威胁,由于嵌在图形中的代码可能会破坏计算机。同样,浏览器插件是增强浏览器功能的程序,即完成浏览器不能处理的页面内容。他们可在看起来无害的视频或音频片断里嵌进指令,这些恶意指令可通过删除若干或全部文件来进行破坏。潜伏在电子邮件附件里的安全威胁已被新闻媒体大量报道,所以大众都非常熟悉。电子邮件的附件可以是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。当你收到附件时,大部分程序都可通过自动执行所关联的程序来显示附件。例如,接收者的Excel程序可打开所附加的Excel工作表并显示它,这个动作本身并不会带来破坏,但驻留在所下载的文档或工作表里的Word或Excel宏病毒会破坏你的计算机或将信息泄密,其中最出名确当属CIH病毒。
2.对通讯信道的安全威胁
因特网是将顾客(客户端)和电子商务资源(电子商务服务器)连接起来的电子链条。可因特网一点儿也不安全,在因特网上传输的信息从起始节点到目标节点之间的路径是随机选择的,所以根本就无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。由于你无法控制信息的传输路径,不知道信息包曾到过哪里,所以很可能有中间节点窃取、篡改甚至删除了你的信息。我们从保密、完整和即需等三方面来讨论因特网信道的安全。这样的组织为考查对因特网的直接安全威胁提供了很好的框架。
(转载自http://www.NSEAC.com中国科教评价网) 2.1 对保密性的安全威胁
保密是在大众媒体上最常提及的一种安全威胁。开展电子商务的一个很大的安全威胁就是敏感信息或个人信息被窃。这种事会发生某人在网上填写表来提交信用卡信息的时候,窃取信用卡号是大家很关心的题目,但发给分公司的关于公司专利产品的信息或不公然的数据也可能被轻易地中途截取,而公司的保密信息可能比若干信用卡更有价值。公司的电子邮件通常使用加密技术来防止保密性遭到破坏。
在使用WEB的时候,你就在连续不断地暴露自己的信息。其中包括你的IP地址和所用的浏览器,这也是破坏保密性的例子。有的网站提供一种“匿名浏览”的服务,可使你所访问的网站看不到你的个人信息,其工作原理是将网站地址放在你要访问的U R L地址前,这就使其他网站只能看到该网站的信息而不是你的信息。 2.2 对完整性的安全威胁
对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,由于能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息,而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。
2.3 对即需性的安全威胁
即需安全威胁也叫延迟安全威胁或拒尽安全威胁,其目的是破坏正常的计算机处理或完全拒尽处理。破坏即需性后,计算机的处理速度会非常低。例如,一台自动取款机的交易处理速度从两秒变为三十秒,这时用户就会放弃自动取款机交易。换句话说,降低处理速度会导致服务无法使用或没有吸引力。拒尽攻击会将一个交易或文件中的信息整个删除。例如,曾发生过一次拒尽攻击,受到攻击的P C机上的理财软件将钱都汇到别的银行账户,这就使正当用户无法提取这些钱。
