第5章电子南务的安全121 载 潜伏在电子邮件附件里的安全威胁已被新闻媒体大肆报道,所以大众都非常熟悉。电 子邮件的附件提供了一种在文本系统(即电子邮件)上传输非文本信息的一种方便方法。 附件可是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。当你收到附件 时,大部分程序(包括最常用的浏览器电子邮件程序)都可通过自动执行所关联的程序来 显示附件。例如,接收者的 Excel程序可打开所附加的 Excel工作表并显示它,Word程序可 打开并显示word文档。这个动作本身并不会带来破坏,但驻留在所下载的文档或工作表里 的word或 Excel宏病毒会破坏你的计算机或将信息泄密。宏病毒是嵌入在文件中的称作 宏”的小程序。最近报纸上不断有这类电子邮件附件类型的病毒报道,如 Happy99worm、 Triplicate和 hernobyl(即CIH)。 Symantec等许多公司一直在追踪病毒并提供抗病毒软 信息隐蔽是指隐藏在另一片信息中的信息(如命令),其目的可能是善意的,也可能是恶 意的。一般情况下,计算机文件中都有冗余的或能为其他信息所替代的无关信息。后者一般 驻留在背景中,无法看到。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式,粗 心的观察者看不到后者中含有重要的信息。加密文件是使其不能被阅读,信息隐藏是使信息 不被人看到。信息隐蔽相当于把一个涉及贸易秘密的加密缩微胶片贴到肖像画中人眼的瞳孔 上,即隐蔽又加密。粗心的观察者只看到了人的肖像,仔细检査才会发现缩微胶片。有多家 软件开发商提供实现信息隐蔽的软件。 542对通信信道的安全威胁 因特网是将顾客(客户机)和电子商务资源(电子商务服务器)连接起来的电子链条。 现在你已了解了对客户机的安全威胁,所要考虑的下一个环节就是将客户机连到服务器上的 传输信道,即因特网 因特网一点儿也不安全。虽然因特网起源于军事网络,但美国国防部高级研究项目中心 ( DARPA)建造网络的主要目的不是为安全传输,而是为提供冗余传输,即为防止一个或多 个通信线路被切断。换句话说,它最初的设计目的是提供多条路径来传输关键的军事信息 军方计划以加密形式来传送敏感信息,保证在网络上传输的任何信息都是在保密状态。但在 网络上所传输信息的保密性是通过将信息转化为不可识别字符串(称作密文)的软件来实现 因特网发展到今天,其不安全状态与最初相比并没有多大改观。在因特网上传输的信息 从起始节点到目标节点之间的路径是随机选择的。此信息在到达最终目标之前会通过许多中 间节点。在同一起始节点和目标节点之间发送信息时,每次所用的路径都是不同的。根本就 无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。例如,从英国曼彻斯特发 出一条信息给埃及开罗的一个商人,此信息可能会通过在黎巴嫩的贝鲁特的竞争者的计算机。 由于你无法控制信息的传输路径,不知道信息包曾到过哪里,所以很可能有中间节点窃取 篡改甚至删除了你的信息。换句话说,在因特网上传输的电子邮件信息都会受到对安全、完 整和即需的侵犯。本节详细讨论这些问题,第6章将描述解决本章所提的安全问题的解决方 我们从保密、完整和即需等三方面来讨论因特网信道的安全。这样的组织为考查对因特 网的直接安全威胁提供了很好的框架。潜伏在电子邮件附件里的安全威胁已被新闻媒体大肆报道，所以大众都非常熟悉。电 子邮件的附件提供了一种在文本系统（即电子邮件）上传输非文本信息的一种方便方法。 附件可是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。当你收到附件 时，大部分程序（包括最常用的浏览器电子邮件程序）都可通过自动执行所关联的程序来 显示附件。例如，接收者的 E x c e l程序可打开所附加的 E x c e l工作表并显示它， Wo r d程序可 打开并显示 Wo r d文档。这个动作本身并不会带来破坏，但驻留在所下载的文档或工作表里 的Wo r d或E x c e l宏病毒会破坏你的计算机或将信息泄密。 宏病毒 是嵌入在文件中的称作 “宏”的小程序。最近报纸上不断有这类电子邮件附件类型的病毒报道，如 Happy99 Wo r m、 Tr i p l i c a t e和C h e r n o b y l（即 C I H）。S y m a n t e c等许多公司一直在追踪病毒并提供抗病毒软 件。 信息隐蔽是指隐藏在另一片信息中的信息（如命令），其目的可能是善意的，也可能是恶 意的。一般情况下，计算机文件中都有冗余的或能为其他信息所替代的无关信息。后者一般 驻留在背景中，无法看到。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式，粗 心的观察者看不到后者中含有重要的信息。加密文件是使其不能被阅读，信息隐藏是使信息 不被人看到。信息隐蔽相当于把一个涉及贸易秘密的加密缩微胶片贴到肖像画中人眼的瞳孔 上，即隐蔽又加密。粗心的观察者只看到了人的肖像，仔细检查才会发现缩微胶片。有多家 软件开发商提供实现信息隐蔽的软件。 5.4.2 对通信信道的安全威胁 因特网是将顾客（客户机）和电子商务资源（电子商务服务器）连接起来的电子链条。 现在你已了解了对客户机的安全威胁，所要考虑的下一个环节就是将客户机连到服务器上的 传输信道，即因特网。 因特网一点儿也不安全。虽然因特网起源于军事网络，但美国国防部高级研究项目中心 （D A R PA）建造网络的主要目的不是为安全传输，而是为提供冗余传输，即为防止一个或多 个通信线路被切断。换句话说，它最初的设计目的是提供多条路径来传输关键的军事信息。 军方计划以加密形式来传送敏感信息，保证在网络上传输的任何信息都是在保密状态。但在 网络上所传输信息的保密性是通过将信息转化为不可识别字符串（称作密文）的软件来实现 的。 因特网发展到今天，其不安全状态与最初相比并没有多大改观。在因特网上传输的信息， 从起始节点到目标节点之间的路径是随机选择的。此信息在到达最终目标之前会通过许多中 间节点。在同一起始节点和目标节点之间发送信息时，每次所用的路径都是不同的。根本就 无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。例如，从英国曼彻斯特发 出一条信息给埃及开罗的一个商人，此信息可能会通过在黎巴嫩的贝鲁特的竞争者的计算机。 由于你无法控制信息的传输路径，不知道信息包曾到过哪里，所以很可能有中间节点窃取、 篡改甚至删除了你的信息。换句话说，在因特网上传输的电子邮件信息都会受到对安全、完 整和即需的侵犯。本节详细讨论这些问题，第 6章将描述解决本章所提的安全问题的解决方 法。 我们从保密、完整和即需等三方面来讨论因特网信道的安全。这样的组织为考查对因特 网的直接安全威胁提供了很好的框架。 第5章 电子商务的安全 1 2 1 下载