Security Threats to Electronic Commerce

Slides:



Advertisements
Similar presentations
高考短文改错专题 张柱平. 高考短文改错专题 一. 对短文改错的要求 高考短文改错的目的在于测试考生判断发现, 纠正语篇中 语言使用错误的能力, 以及考察考生在语篇中综合运用英 语知识的能力. 二. 高考短文改错的命题特点 高考短文改错题的形式有说明文. 短文故事. 书信等, 具有很 强的实用性.
Advertisements

TOEFL Speaking ----Q1&Q2 坚果托福 秀文. 评分标准评分标准 Volume Grammar Fluency Logic / Organization Lexical ability Pronunciation.
1 Java 语言程序设计 计算机系 鲍金玲. 2 引子 甲骨文 甲骨文是全球最大的信息管理软件及服务供应商,成立于 1977 年,公司总部 设在美国加利福尼亚州的红木城( Redwood Shores ),全球员工达 名, 包括 名开发人员、 7500 多名技术支持人员和.
第七章 整體安全與存取控制設計. 本章大綱  第一節 電腦犯罪與網路駭客  第二節 整體安全預防控制  第三節 運用資訊科技反制  第四節 安全失控之復原控制.
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
信息系统安全技术 --网络安全风险分析 何长龙 高级工程师.
第五章 資訊科技基礎建設與新興科技.
病毒及防范.
資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲
計算機概論 第1章 電腦科技與現代生活 1-1 電腦發展簡介 1-2 電腦科技與生活 1-3 智慧財產權 1-4 資訊安全與資料保護
李建华 教授、博士生导师 上海交通大学信息安全工程学院 2007年1月8日
BOTNET Detection and Prevention
Windows Vista 的防治惡意軟體技術
資訊安全管理概論 黃燕忠 (Jack Hwang) 中國文化大學副教授兼推資管系主任 捨得資訊股份有限公司 (藍色小舖) 總顧問
附錄1 —— 《個人資料(私隱)條例》的釋義、原則及主要條文
Information Security Fundamentals and Practices 資訊安全概論與實務
大專院校校園e 化 PKI、智慧卡應用與整合.
BRIEF GUIDELINE FOR AUTHOR PREPARING PAPER FOR PUBLICATION
计算机网络安全概述.
商業智慧與資料倉儲 課程簡介 靜宜大學資管系 楊子青.
Subversion (SVN) Presented by 李明璋 R /2/21
2012 Federal Tax Return Due Date : 4/15/2013
九思易自动化软件 ControlEase Automation Software
Module 5 Shopping 第2课时.
CJLR PDM&SRM 单点登录指南 场景一:在CJLR公司网络中(CJLR办公室/由VPN拨入),使用CJLR公司电脑登录:
考试与考生 --不对等与对等 邹申 上海外国语大学
Windows Vista 操作系统最新安全特性
(C) Active Network CO., Ltd
資料檔案的安全性管理 羅英嘉 2007年4月.
網路安全 B 賴威志 B 項 薇.
Windows Vista Internet Explorer 7.0 Overview
DNS y2k/security 相關問題 剖析及對策
Basis基本操作、使用者 管理與權限設定
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
簡易 Visual Studio 2010 C++ 使用手冊
移动系统的安全: 攻击和防御 杜文亮 教授 Dept. of Elec. Eng. & Comp. Sci.
Chapter7 全球資訊網與瀏覽器介紹 網路應用入門(一) Chapter7 全球資訊網與瀏覽器介紹
九思易自动化软件 ControlEase Automation Software
The expression and applications of topology on spatial data
Ch01網際網路、HTML 、 Script 、 ASP.NET簡介
iSlide® PowerPoint standard template.
預官考試輔導 計算機概論提要 91年12月4日.
SpringerLink 新平台介绍.
新世代計算機概論第三版 第11章 網際網路.
第4章(1) 空间数据库 —数据库理论基础 北京建筑工程学院 王文宇.
簡易 Visual Studio 2005 C++ 使用手冊
PubMed整合显示图书馆电子资源 医科院图书馆电子资源培训讲座.
Microsoft SQL Server 2008 報表服務_設計
高中英文第一冊 第六單元 重補修用.
如何增加对欧贸易出口 中国制造展销中心(英国)有限公司 首席执行官 理查德·赛斯
IBM SWG Overall Introduction
資料結構 Data Structures Fall 2006, 95學年第一學期 Instructor : 陳宗正.
資料庫 靜宜大學資管系 楊子青.
沙勇忠 Sha Yongzhong 兰州大学图书馆 Library of Lanzhou University
Guide to a successful PowerPoint design – simple is best
高正宗 System Consultant Manager
第十五章 WWW網頁的製作 計算機概論編輯小組.
中国科学技术大学计算机系 陈香兰 2013Fall 第七讲 存储器管理 中国科学技术大学计算机系 陈香兰 2013Fall.
虚 拟 仪 器 virtual instrument
從 ER 到 Logical Schema ──兼談Schema Integration
SpringerLink 新平台介绍.
Create and Use the Authorization Objects in ABAP
MGT 213 System Management Server的昨天,今天和明天
Introduction to Computer Security and Cryptography
信息安全防护技术—— 防火墙和入侵检测 万明
Computer Security and Cryptography
Website: 第1章 密码学概论 Website: 年10月27日.
《现代密码学》导入内容 方贤进
Section 1 Basic concepts of web page
Presentation transcript:

Security Threats to Electronic Commerce Chapter 10 p362 Security Threats to Electronic Commerce 电子商务的安全威胁

Objectives Computer and electronic commerce security terms Why secrecy, integrity, and necessity are three parts of any security program Threats and counter measures to eliminate or reduce threats Specific threats to client machines, Web servers, and commerce servers Enhance security in back office products, such as database servers How security protocols plug security holes The roles of copyright and intellectual property and their importance in any study of electronic commerce 计算机和电子商务安全方面比较重要的术语; 安全程序为什么由保密、完整和即需三部分组成; 安全威胁,消除和减少安全威胁的措施; 对客户机、WWW服务器和电子商务服务器的安全威胁; 后台产品(如数据库),如何提高安全性; 安全协议如何能堵住安全漏洞; 加密和认证在确认和保密中的作用。

Important Words 1 活动内容 (Active Content) 主动搭线窃听 (Active Wiretapping) 控件 (ActiveX) 小应用程序 (Applet) 后门 (Backdoor) 缓存 (Buffer) 计算机安全 (Computer Security) 版权 (Copyright) 安全措施 (Countermeasure) 破坏他人网站 (Cyber Vandalism) 域名抢注 (Cybersquatting) 延迟安全威胁 (Delay Threat) 拒绝服务威胁 (Denial of Service Threat, DOS) 拒绝安全威胁 (Denial Threat) 域名所有权变更 (Domain Name Ownership Change)  

Important Words 2 窃听者 (Eavesdropper) 完整 (Integrity) 知识产权 (Intellectual Property) Java运行程序安全区 (Java Sandbox) 逻辑安全 (Logical Security) 宏病毒 (Macro Virus) 邮件炸弹 (Mail Bomb) 电子伪装 (Masquerading) 域名变异 (Name Changing) 域名窃取 (Name Stealing) 即需 (Necessity) 即需安全威胁 (Necessity Threat)· 补丁程序 (Patch) 物理安全 (Physical Security)  

Important Words 3 隐私 (Privacy) 保留区 (Save Area) 保密 (Secrecy) 安全策略 (Security Policy) 签名的Java小应用程序 (Signed Java Applet) 探测程序 (Sniffer Program) 电子欺骗 (Spoofing) 信息隐蔽 (Steganography) 安全威胁 (Threat) 特洛伊木马 (Trojan Horse) 可信的Java小应用程序 (Trusted Applet) 不可信的Java小应用程序 (Untrusted Applet)' 病毒 (Virus) 蠕虫 (Worm) 幽灵 (Zombie)  

Computer security(计算机安全) Physical security (物理安全) §10.1 Security Overview p362 Computer security(计算机安全) Physical security (物理安全) Logical security (逻辑安全) Secrecy (保密) Integrity (完整) Necessity (即需) Countermeasures (安全措施) Security Policy (安全策略) Integrated Security (综合安全) (1)对计算机资产带来危险的任何行动或对象都称为安全威胁。 (2)计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。 (3)迄今主要有两大类的安全:物理安全和逻辑安全。 物理安全是指可触及的保护设备,如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。 使用非物理手段对资产进行保护称为逻辑安全。 引言 1988年11月3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了,不管他们怎么尝试,计算机都不响应。 追查这个灾难事件后发现是康奈尔大学23岁的研究生小罗伯特·莫里斯(Robert Morris Jr.)干的,他放了一个互联网蠕虫,制造了互联网有史以来最臭名昭著的攻击事件:美国数千台计算机速度极慢或干脆不工作。所谓 "蠕虫"是将自己的"繁殖"版传给其他计算机。这个程序之所以能够在互联网迅速传播,主要是由于UNIX电子邮件程序(sendmail上有一个缺陷。蠕虫侵入和感染了六千两百多台计算机(占当时互联网上计算机的10%),导致大面积的停机事件。由于媒体对这次事件大肆喧染,一些未被感染的网站干脆切断了互联网连接。停机及其相关损失的成本无法准确计算。有些估计认为损失的计算时间(称为拒绝服务)价值2400万美元,消除病毒和恢复计算机同互联网连接的直接成本大约为400万美元;有些估计则认为成本接近1亿美元。 研究蠕虫的专家发现蠕虫没有破坏性代码,损失是由这种蠕虫在每台计算机内失控的复制引起的,这种癌细胞式的生长最终会耗尽计算机所有的资源,导致被感染的计算机停机。互联网蠕虫使计算机界猛醒过来。自从发生蠕虫攻击后,计算机安全成为计算机软硬件采购和使用时很重要的考虑因素。

Security Overview Many fears to overcome Intercepted e-mail messages Unauthorized access to digital intelligence Credit card information falling into the wrong hands Two types of computer security Physical - protection of tangible objects Logical - protection of non-physical objects Countermeasures(安全措施) 为了保护计算机的安全不受侵害必须制定相应的安全策略及安全措施 10·1 安全概述 . 在互联网早期,电子邮件是最常用的服务之一。在电子邮件出现后,人们一直担心电子邮件的信息会被竞争对手获取,从而对企业不利;另外一个担心是员工与工作无关的邮件(如谈及周末的聚会被上司读到后会对员工不利。这些都是很严重也很现实的问题。 今天这些问题更严重了。随着互联网的成熟,人们使用它的方式也发生了变化。竞争者未经授‘权而访问到公司的信息所带来的后果要比以前严重得多。电子商务出现后,长期以来对信息安全的要求就更加迫切了。 首次在互联网上购物的顾客所关心的典型问题是他们的信用卡号在网络上传输时可能会被上百万人看到。这个担心和30多年来对在电话购物过程中申报信用卡号时的担心是一样的,我怎么能相信在电话那边记录我信用卡号的人呢?现在人们对在电话中把自己的信用卡号告诉陌生人已不太在意了,但很多消费者还是不放心用计算机来传输信用卡号。本章从电子商务角度详细介绍计算机安全方面的问题。计算机安全涉及面很广,又非常复杂,而且其研究还在不断深入,本章主要讲述一些比较重要的安全问题及目前的解决办法。 计算机安全就是保护企业资产不受未经授权的访问、使用、篡改或破坏。迄今主要有两大类的安全:物理安全和逻辑安全。 物理安全是指可触及的保护设备,如警铃、保卫、防火门、安全栅栏、保险箱、防爆建筑物等。 使用非物理手段对资产进行保护称为逻辑安全。 对计算机资产带来危险的任何行动或对象都称为安全威胁。

Countermeasures p364 Countermeasures are procedures, either physical or logical, that recognize, reduce, or eliminate a threat 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不同,相应的安全措施也有多种。如果保护资产免受安全威胁的成本超过所保护资产的价值,我们就认为对这种资产的安全风险很低或不可能发生。如在经常发生龙卷风的俄克拉荷马市,对计算机网络进行防龙卷风的保护是有意义的;而在很少发生龙卷风的洛杉矾市就不需要对计算机进行防龙卷风保护。 图5-1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。在此模型中,堪萨斯市或俄克拉荷马市处在第二象限,而南加州的龙卷风可在第三或第四象限。 10-1

Countermeasures Figure 10-1 p364 图10-1风险管理模型 概率高 控制 预防 影响大 (成本) 影响小 (成本) 安全措施是指识别、降低或消除安全威胁的物理或逻辑步骤的总称。根据资产的重要性不同,相应的安全措施也有多种。 如果保护资产免受安全威胁的成本超过所保护资产的价值,我们就认为对这种资产的安全风险很低或不可能发生。 如在经常发生龙卷风的俄克拉荷马市,对计算机网络进行防龙卷风的保护是有意义的; 而在很少发生龙卷风的洛杉矾市就不需要对计算机进行防龙卷风保护。 图5-1所示为根据安全威胁的影响和发生概率而采取行动的风险管理模型。 在此模型中,堪萨斯市或俄克拉荷马市处在第二象限,而南加州的龙卷风可在第三或第四象限。 保险或 备份计划 不用理会 概率低

§10.1.1 Computer Security Classification Secrecy(保密) Protecting against unauthorized data disclosure and ensuring the authenticity of the data’s source Integrity (完整) Preventing unauthorized data modification Necessity (即需) Preventing data delays or denials (removal) 计算机安全可分成三类,即保密、完整和即需。 保密是指防止未授权的数据暴露并确保数据源的可靠性; 完整是防止未经授权的数据修改; 即需是防止延迟或拒绝服务。 为了保护计算机的安全不受侵害必须制定相应的安全策略及安全措施

§10.1.2 Security Policy and Integrated Security Security policy is a written statement describing what assets are to be protected and why, who is responsible, which behaviors are acceptable or not 安全策略和综合安全 要保护自己的电子商务资产,所有组织都要有一个明确的安全策略。 安全策略是明确描述对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。

Physical security (物理安全) Network security (网络安全) Security Policy p365 Physical security (物理安全) Network security (网络安全) Access authorizations (访问授权) Virus protection (病毒保护) Disaster recovery (灾难恢复) 安全策略一般要陈述物理安全、网络安全、访问授权、病毒保护、灾难恢复等内容,这个策略会随时间而变化,公司负责安全的人员必须定期修改安全策略。图5-2CopyhghtClearance Center的主页

Specific Elements of a Security Policy (1) Authentication: 认证 Who is trying to access the site? (2) Access Control : 访问控制 Who is allowed to logon and access the site? (3) Secrecy : 保密 Who is permitted to view selected information (4) Data integrity 数据完整性: Who is allowed to change data? (5) Audit 审计: What and who causes selected events to occur, and when? 安全策略一般包含以下内容: (1)认证: 谁想访问电子商务网站? (2)访问控制: 允许谁登录电子商务网站并访问它? (3)保密: 谁有权利查看特定的信息? (4)数据完整性: 允许谁修改数据,不允许谁修改数据? (5)审计: 在何时由何人导致了何事?

Electronic Commerce Threats p277 1. Intellectual Property Threats 2. Client Threats 3. Communication Channel Threats 4. Server Threats 电子商务的安全威胁: 对知识产权的安全威胁 对客户机安全威胁 对通讯信道的安全威胁 对服务器的安全威胁 电子商务的安全是指由客户机到电子商务服务器的安全

§10.2 Copyright and Intellectual Property Protecting expression Literary and musical works Pantomimes and choreographic works Pictorial, graphic, and sculptural works Motion pictures and other audiovisual works Sound recordings Architectural works 虽然保护措施不同,版权和知识产权的保护实际上也属于安全问题。 版权是对表现的保护,一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护; 知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。 同对计算机的安全威胁一样,对版权的侵犯也会带来破坏;但同对计算机安全的破坏不一样,侵犯版权的范围比较狭窄,对组织和个人的影响要小一些。

Intellectual Property The ownership of ideas and control over the tangible or virtual representation of those ideas 知识产权是思想的所有权和对思想的实际或虚拟表现的控制权。 所有作品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护。

Protects previously stated items for a fixed period of time U.S. Copyright Act of 1976 Protects previously stated items for a fixed period of time Copyright Clearance Center Clearinghouse for U.S. copyright information 美国1976年的版权法规定的是固定期限的保护。 (美国1976年版权法规定的是固定期限的保护。) 对1978年前出版作品的保护期为出版期后75年, 对1978年1月1日后出版作品的保护期为作者去世后50年或作品发表后75年。 所有作品创作出后就得到法律的保护。 没有明确的版权声明的作品也受到法律的保护,美国版权法中这一点最易引起误解。除非你从一家电子商务网站收到允许复制受版权保护的图片,否则你在自己的网站上使用这个图片就违反了美国的版权法。无论在什么搜索引擎上输入 "copyright",都会找到数百种讨论版权问题的网站。其中的Copyright Clearance Center网站里有大量美国版权方面的信息,图5-2所示为它的主页。

Intellectual Property Threats The Internet presents a tempting target for intellectual property threats Very easy to reproduce an exact copy of anything found on the Internet People are unaware of copyright restrictions, and unwittingly infringe on them Fair use allows limited use of copyright material when certain conditions are met 对知识产权的安全威胁 互联网成为了版权侵犯者的诱人目标,这主要有两个原因: ..首先,网络的信息非常容易复制,无论它是否受到版权保护; ..其次,很多人不了解保护知识产权方面的版权规定。 互联网上每天都会发生许多无意或有意侵犯版权的案件。例如,迪尔伯特(Dilbert)的卡通迷常会建立一些电子商店或俱乐部,在这些网站里使用了斯科特·亚当斯(Scott Adams)绘制的卡通,尽管这是善意的仰慕表示,但毫无疑问这是一种严重的版权侵犯。现在许多人都认为在WWW上发生的版权侵犯主要是由于不了解哪些内容允许复制。大多数人不会恶意地去复制受版权保护的作品,并将它在WWW上发布。 互联网广泛应用后,对知识产权的安全威胁比以前严重多了。未经所有者允许而擅自使用网络上的材料是非常容易的。侵犯版权所导致的财务损失比侵犯计算机的保密、完整和即需所带来的损失更难测量,但无论如何侵犯版权所造成的损失是非常大的。 尽管在互联网出现前版权法己经生效了,但互联网使出版商的版权保护工作变得更为复杂了。要查找文字材料的未经授权复制非常容易,但查找被盗用、剪辑和非法使用在页面上的照片献比较困难了。 哈佛商学院的伯克曼(Berkman)互联网和社会研究中心最近开设了一“门网络时空的知识产权”的新课。 The Copyright Website网站上有大量关于版权及合法使用的文章和新闻组的讨论。合法使用版权是指在符合特定要求下有限度地使用受版权保护的材料。 为保护知识产权,数字水印是一种新技术,它是隐蔽地嵌人在数字图像或声音文件里的数字码或数字流。可对其内容加密或简单地隐藏在图像或声音文件的字节里。

Java applets, Active X controls, JavaScript, and VBScript §10.3 Client Threats p369 §10.3.1 Active Content (活动内容) Java applets, Active X controls, JavaScript, and VBScript Programs that interpret or execute instructions embedded in downloaded objects Malicious active content can be embedded into seemingly innocuous Web pages Cookies remember user names, passwords, and other commonly referenced information 客户机受到的安全威胁 2.活动内容的概念 (1)活动内容是指在页面上嵌入的对用户透明的程序。活动页面可显示动态图像、下载和播放音乐或实现基于WWW的电子表格程序。 活动内容有多种形式,最知名的活动内容形式包括Java小应用程序、ActiveX控件、Java Script和VBScript。还有些不知名的为WWW提供活动内容的方式,其中包括图形和WWW浏览器插件。 无论是在网上购物或是发电子邮件,都会涉及到活动内容。 (2)Java是一种高级程序设计语言,它是真正面向对象的语言,Java支持代码重用,同在操作系统上运行,而且与平台无关,可以在任何一台计算机上使用,它之所以被广泛应用,是取决于它 “一次开发多处使用”的特点,也就是说,它对所有的计算机都只维护一种原代码。 (3)脚本语言JavaScript和VBscript是可以执行的命令。 (4) JavaScript与Java程序或Java小应用程序不同JavaScript程序不能自行启动。有恶意的JavaScript程序要运行,必须由人亲手启动。 (5)ActiveX控件的构建源于许多程序设计语言,它的特点是只能在装Windows (95、98或2000)的计算机上运行,并且只能在支持ActiveX控件的浏览器上运行。Active X控件可以全权访问计算机所有系统资源, 一旦启动后不能终止,但可以被控制和管理。 (6)图形文件、浏览器插件和电子邮件附件都是潜在的安全威胁,因为嵌人在图形中的代码都是可以储存和可以执行的命令,所以都有可能破坏计算机。 (7)特洛伊木马是典型的利用活动内容破坏计算机安全的例子。它是隐藏在程序或页面里而掩饰其真实目的的程序,它可以窃听计算机上的保密信息,并将这些信息传给它的服务器,从而构成保密性侵害。 (8) Cookie可以储存诸如用户名、密码/口令等许多信息,可以让你在下一次访问时不需要重新输入用户名和日令,这虽然给用户带来了很大的方便,但是有恶意的攻击者会利用它,对计算机的保密性、完整性和即需性进行破坏。 (9) 信息隐蔽是指隐藏在另一片信息中的信息 (如命令)。其目的可能是善意的,也可能是恶意的。信息隐蔽提供将加密的文件隐藏在另一一个文件中的保护方式。 一般情况下,计算机文件中都有冗余的或能为其他信息所替代的无关信息。而这些无关信息一般驻留在背景中,无法看到。信息隐蔽提供将加密的文件隐藏在另一个文件中的保护方式,粗心的观察者看不到后者中食有的重要信息,加密文件是使其不能被阅读,信息隐藏是使信息不被人看到。

§10.3.2 Java, Java Applets, and JavaScript Java is a high-level programming language developed by Sun Microsystems Java code embedded into appliances can make them run more intelligently Largest use of Java is in Web pages (free applets can be downloaded) Platform independent - will run on any computer ..Java是Sun微系统公司开发的一种高级程序设计语言。 ..Java以前称做OKA,当初是为嵌入式系统开发的。许多Java支持者认为Java代码可嵌入在家用电器的芯片里,为家用电器带来智能。 ..但今天Java最普遍的应用是在WWW页面上,有数以千计的Java小应用程序,实现各种各样的客户机端应用。 ..这些小应用程序随页面下载下来,只要浏览器兼容Java,它就可在客户机上运行。 Netscape Navigator和Microsoft Internet Explorer都兼容Java。图10-7为Sun公司的Java小应用程序页面,上面有到许多Java小应用程序的链接。 Java是一种真正的面向对象的语言,这是一个很有用的特点,因为它支持代码重用。除WWW应用外,Java还可在操作系统上运行。Java得以广泛应用的另一个原因是与平台无关性,它可在任理计算机上运行。这种 "一次开发多处使用"的特点降低了开发成本,因为对所有计算机都只需维护一种原代码。 Java增强了业务应用功能。它可在客户机端处理交易并完成各种各样的操作,这就解放了非常繁忙的服务器,使其不必同时处理上千种应用。 嵌入的Java代码一旦下载就可在客户机上运行,这就意味着非常可能发生破坏安全的问题。 为解决这个问题而提出了称为Java“运行程序安全区”的安全模式。 简单来说,Java运行程序安全区是根据安全模式所定义的规则来限制Java小应用程序的活动。这些规则适应于所有不可信的Java小应用程序。不可信的Java小应用程序意指尚未被证明是安全的Java小应用程序。当Java小应用程序在Java运行程序安全区限制的范围内运行时,它们不会访问系统中安全规定范围之外的程序代码。例如,遵守运行程序安全区规则的Java小应用程序不能执行文件输入、输出或删除操作。这就防止了破坏保密性(泄密)和完整性(删除或修改)。(详细内容参见本书在线版的Java Sandbox)。 Java应用程序和Java小应用程序:Java应用程序不在浏览器上运行,而是在计算机上运行,它可以完成任何操作(包括灾难性的操作) 脚本语言和小应用程序 脚本语言JavaScript和VBScript可用来构造脚本(即可执行的命令)。 VBScript是微软公司Visual Basic程序设计语言的子集,可用做WWW浏览器和其他使用Microsoft ActiveX控件与Java等应用程序上的解释程序。 小应用程序Java Applets是可在另一个程序中执行的程序,但它不能在计算机上直接执行。 小应用程序通常是在WWW浏览器中运行。 Java应用程序和Java小应用程序区别: Java应用程序不在浏览器上运行,而是在计算机上运行,它可以完成任何操作(包括灾难性的操作)

Java sandbox (Java运行程序安全区) p374 Java Applets Java sandbox (Java运行程序安全区) Confines Java applet actions to a security model-defined set of rules Rules apply to all untrusted applets(不可信的Java小应用程序), applets that have not been proven secure Signed Java applets(签名的Java小应用程序) Contain embedded digital signatures which serve as a proof of identity Java Applets 的安全问题 Java运行程序安全区是根据安全模式所定义的规则来限制Java小应用程序的活动。这些规则适应于所有不可信的Java小应用程序。不可信的Java小应用程序意指尚未被证明是安全的Java小应用程序。当Java小应用程序在Java运行程序安全区限制的范围内运行时,它们不会访问系统中安全规定范围之外的程序代码。例如,遵守运行程序安全区规则的Java小应用程序不能执行文件输入、输出或删除操作。这就防止了破坏保密性(泄密)和完整性(删除或修改)。(详细内容参见本书在线版的Java Sandbox)。 从本地文件系统中下载的Java小应用程序是可信的,其运行不受Java运行程序安全区的限制。可信的Java小应用程序能够访问客户机上的所有系统资源,系统相信它们不会进行破坏。 ..签名的Java小应用程序带有可信第三方的数字签名,这是识别Java小应用程序来源的措施。如果Java小应用程序有签名,它就可在Java运行程序安全区之外使用所有系统资源。这是基于:如果你知道小应用程序是谁开发,并且相信这个小应用程序,那么当它破坏了你的计算机上的内容,你可寻求法律帮助赔偿。从理论上说,有破坏作用的Java小应用程序通常是匿名开发的,细节信息参见本书在线版的Security and signed applets链接。 Java应用程序和Java小应用程序:Java应用程序不在浏览器上运行,而是在计算机上运行,它可以完成任何操作(包括灾难性的操作) (3)脚本语言JavaScript和VBscript是可以执行的命令。 (4) JavaScript与Java程序或Java小应用程序不同JavaScript程序不能自行启动。有恶意的JavaScript程序要运行,必须由人亲手启动。 JavaScript是网景公司开发的一种脚本语言,它支持页面设计者创建活动内容。 JavaScript受到各种流行浏览器的支持,它和Java语言有同样的结构。当你下载一个嵌有JavaScript代码的页面,此代码就在你的客户机上运行。 同其他活动内容载体一样,JavaScript会侵犯保密性和完整性 JavaScript与Java程序或Java小应用程序不同,JavaScript程序不能自行启动。有恶意的JavaScript程序要运行,必须由人亲手启动。 JavaScript程序和Java小应用程序的区别在于: 它不在Java运行程序安全区的安全模式限制下运行。

Sun’s Java Applet Page Figure 10-7 细节信息参见本书在线版的Security and signed applets链接 10-7

ActiveX controls only run on Windows 95, 98, or 2000 p375 ActiveX is an object, called a control, that contains programs and properties that perform certain tasks ActiveX controls only run on Windows 95, 98, or 2000 Once downloaded, ActiveX controls execute like any other program, having full access to your computer’s resources ·ActiveX控件 ..ActiveX是一个对象(称做控件),它含有(程序员称之为封装)由页面设计者放在页面来执行特定任务的程序。 ActiveX的构件源于许多程序设计语言,如C++或VisualBasic。 ..但与Java或JavaScript代码不同的是,ActiveX控件只能在装Windows(95、98、NT或2000)的计算机上运行,并且只能在支持ActiveX控件的浏览器上运行。 ActiveX代码编完后,程序设计人员将其封装在ActiveX信封里(在代码转换成机读码前的一种特殊方式)、编译控件并把它放到页面上。当浏览器下载了嵌有ActiveX控件的页面时,它就可在客户机上运行了。 ..ActiveX控件的安全威胁是:一旦下载后,它就能像计算机上的其他程序一样执行,能访问包括操作系统代码在内的所有系统资源,这是非常危险的。一个有恶意的ActiveX控件可格式化硬盘、向邮件通讯簿里的所有人发送电子邮件或关闭计算机。由于ActiveX控件可全权访问你的计算机,它能破坏保密性、完整性或即需性。ActiveX控件启动后不能终止,但可被管理。在第6章的“客户机安全”一节中将讲述通过把ActiveX控件分成可信组和不可信组来保护计算机的方法。如果浏览器安全特性设置正确(见第11章内容),在你下载ActiveX控件时,浏览器就会提醒你。图10-8所示为Internet Explorer 检测到一个Active X控件时发出的警告。 Shockwave是用于动画和娱乐控制的浏览器插件程序,它就是ActiveX控件。控件的其他例子有WWW支持的日历控件及各种各样的WWW游戏。在本书在线版中Active X controls library链接下可查看ActiveX控件的清单。

ActiveX Warning Dialog box p375 ActiveX Warning Dialog box Figure 10-8 10-8

§10.3.4 Graphics, Plug-ins, and E-mail Attachments Code can be embedded into graphic images causing harm to your computer Plug-ins are used to play audiovisual clips, animated graphics Could contain ill-intentioned commands hidden within the object E-mail attachments can contain destructive macros within the document 图形文件、插件和电子邮件的附件 图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。 ..有些图像文件的格式是专门设计的,能够包含确定图像显示方式的指令。这就意味着带这种图形的任何页面都是潜在的安全威胁,因为嵌入在图形中的代码可能会破坏计算机。 ..同样,浏览器插件是增强浏览器功能的程序,即完成浏览器不能处理的页面内容。插件通常都是有益的,用于执行一些特殊的任务,如播放音乐片断、显示电影片断或动画图形。例如,Quick Time可下载并放映特殊格式的电影片断。 许多插件都是通过执行相应媒体里的指令来完成其职责。这就为某些企图破坏计算机的人打开了方便之门,他们可在看起来无害的视频或音频片断里嵌入一些指令,这些隐藏在插件程序所要解释对象里的恶意指令可通过删除若干或全部文件来进行破坏。图10-9所示为网景公司的插件页面,内有它提供的可免费下载的插件程序分类表。

Netscape’s Plug-ins Page Figure 10-9 Steganography信息隐蔽: 是指隐藏在另一片信息中的信息 (如命令)。其目的可能是善意的,也可能是恶意的。 信息隐蔽提供将加密的文件隐藏在另一一个文件中的保护方式。 加密与信息隐藏的区别: 加密文件是使其不能被阅读; 信息隐藏是使信息不被人看到。 Trojan Horse 特洛伊木马 是隐藏在程序或页面里而掩饰其真实目的的程序,它可以窃听计算机上的保密信息,并将这些信息传给它的服务器,从而构成保密性侵害。 是典型的利用活动内容破坏计算机安全的例子。 10-9

§10.4 Communication Channel Threats p380 1. Secrecy Threats 2. Integrity Threats 3. Necessity Threats 通讯信道受到的安全威胁 : 通讯的保密性 消息的完整性 渠道的即需性

Secrecy is the prevention of unauthorized information disclosure §10.4.1 Secrecy Threats p380 Secrecy is the prevention of unauthorized information disclosure Privacy is the protection of individual rights to nondisclosure Theft of sensitive or personal information is a significant danger Your IP address and browser you use are continually revealed while on the web Anonymizer A Web site that provides a measure of secrecy as long as it’s used as the portal to the Internet http://www.anonymizer.com 对保密性的威胁 ..对保密性的威胁来自未经授权的访问,在互联网上破坏保密信息并不困难,有些是因为用户的不经意的错误操作而造成的。 ..和保密紧密相关的是隐私问题。保密和隐私虽然很相似,但却是不同的问题。 保密是防止未经授权的信息泄露,而隐私是保护个人不被曝光的权利; 保密是要求繁杂的物理和逻辑安全的技术问题,隐私则需要法律的保护。

Anonymizer’s Home Page Figure 10-10 对保密性的安全威胁 保密是在大众媒体上最常提及的一种安全威胁。和保密紧密相关的问题是隐私。隐私也得到大众的关心,人们每天都会读到侵犯隐私的报道。保密和隐私虽然很相似,但却是不同的问题。保密是防止未经授权的信息泄露,而隐私是保护个人不被曝光的权利(帮助企业制定隐私保护策略的隐私保护委员会建立了隐私保护网站,图5-11所示为它的美国隐私库页面)。保密是要求繁杂的物理和逻辑安全的技术问题,隐私则需要法律的保护。阐述保密与隐私间区别的一个经典例子就是电子邮件。公司的电子邮件可通过加密技术来防止对保密性的破坏(参见第11章)。在加密时,信息编码成不可识别的形式,只有指定的接收者才能把它还原成原来的消息。保密措施是用来保护向外发送的消息。电子邮件的隐私问题则涉及是否允许公司主管阅读员工的消息,争端集中在于电子邮件的所有权属于谁,是公司还是发电子邮件的员工。本节讨论保密问题,即不让坏人阅读不想让他们阅读的信息。 图10-10隐私保护委员会的隐私库页面 前面己经提到过,开展电子商务的一个很大的安全威胁就是敏感信息或个人信息(包括信用卡号、名字、地址或个人喜好方面的信息等)被窃。这种事会发生某人在网上填写表来提交信用卡信息的时候,有恶意的人想从互联网上记录信息包(即破坏安全性)并不困难。在电子邮件传输时也会发生同样的问题。有种叫做探测程序的特殊软件能够侵入互联网并记录通过某台计算机(路由器)的信息。探测程序类似于在电话线上搭线并录下一段对话。探测程序既可阅读电子邮件信息,也可记录电子商务信息。 安全专家经常会发现电子商务软件上的漏洞,叫做后门。这些漏洞是软件开发人员有意或无意留下来的。知道 "后门"存在的人可以利用它窥视交易、删除数据或窃取数据。Cart32电子商务购物车软件的开发者McMurtrey&Whitaker合伙公司最近承认Cart32软件有一个 "后门",知道口令的人能够获取信用卡资料,公司迅速提供了一个补丁软件。虽然这个后门是一个软件编写错误,不是某个心怀不满的员工有意而为。但是不管怎样,如果信用卡资料泄露了,就会造成灾难性的后果。 窃取信用卡号是大家很关心的问题。但发给分公司的关于公司专利产品的信息或不公开的数据也可能被轻易地中途截取,而公司的保密信息可能比若干信用卡更有价值。因为信用卡往往有花费限制,而公司被窃取的信息可能价值数百万美元。 在互联网破坏保密信息并不困难。下面讲一个不经意泄露了机密信息而被窃听者或另一个网站服务器截取的例子。假定你登录一个名为www·anybiz·com网站,此网站上有一个表要你填写姓名、地址和电子邮件地址。当你填完这些表格后用鼠标点击 "Submit"按钮,这时信息就会发给WW服务器去处理。一种最常用的将数据传给WWW服务器的办法是收集你在编辑框中的回答信息,把它放在目标服务器URL地址的末端,然后把所采集的数据和要求将数据发给服务器的HTTP请求发送出去。迄今为止还没有发生任何破坏活动。假定你临时改变主意,决定不再等待anybiz·com服务的反应,跳到另一个网站(如www,somecompany·com),somecompany·com服务器可能在收集WWW的使用统计,并记录你刚访问的UML。这会帮助这家网站的管理员了解访问自己网站的方式。由于它记录了前面的ahybiz·com的URL,就因了解到你刚输入的保密信息而破坏了保密性。当然这种'情况不会经常发生,但关键的是它确实能够发生。 在使用WWW的时候,你在连续不断地暴露自己的信息。其中包括你的IP地址和所用的浏览器,这也是破坏保密性的例子。有很多网站提供一种 "匿名浏览"的服务,可使你所访问的网站看不到你的个人信息。其中之一是Anonymizer网站,它可提供保密措施,但要求你将它作为你的门户,即访问其他网站时的出发网站。Anonymizer的作用相当于防火墙(参见第6章),保护你的隐私信息不至泄露到你所访问的网站上。其工作原理是将Anonymizer地址放在你要访间的URL地址前,这就便其他网站只能看到Anonymizer网站的信息而不是你的信息。例如,你要访问Amazon·com网站,Anonymizer提供的URL是http://www·anonymizer.com:8080/http://www·amazon·com。图5-12所示为请求匿名访问Amazon·com主页的Anonymizer的主页。 你可免费试用Anonymizer的服务(其免费版故意加了一些延迟)。进入本书在线版中的Anonymizer链接,在文本框里输入一个URL(参见图10-10),用鼠标点击 "Go"按钮;然后用鼠标按下Anonymizer所显示的下一个页面底部的"Surf for FREE" 按钮。 10-10

Also known as active wiretapping Unauthorized party can alter data §10.4.2 Integrity Threats p383 Also known as active wiretapping Unauthorized party can alter data Change the amount of a deposit or withdrawal 对完整性的安全威胁也叫主动搭线窃听。 当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易(如在互联网上传输的储蓄交易)很易受到对完整性的攻击。当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃听者肯定能阅读此信息。 破坏他人网站: 指以电子方式破坏某个网站的网页。 电子伪装: 指某人装成他人或将某个网站伪装成另一个网站。 完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息,而对完整性的安全威胁是指某人改动了关键的传输。 破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就发生了破坏他人网站的行为。近来媒体有多起破坏网页的报道,某些商业网页的内容被他人用黄色内容或其他不堪入目的内容替代了。 电子伪装也是破坏网站的例子。电子伪装是指某人装成他人或将某个网站伪装成另一个网站。这些破坏利用了域名服务器(DNS)的一个安全漏洞,将一个真实网站的地址替换成自己网站的地址,愚弄这些网站的访问者。例如,黑客用DNS的安全漏洞将Widgets国际公司的IP地址用他的IP地址替换,这就把www·widgetsinternatienal·com网站的访问者引到一个虚假网站。这样黑客就可改变订单中的订购量,并改变送货地址。这种对完整性的侵犯更改订单后再把它发给一家公司的电子商务网站,这家电子商务网站并不知道已经发生了对完整性的破坏,它只简单验证顾客的信用卡后就开始履行订单。 对完整性的安全威胁还会改变重要的财经、医疗或军事信息。想象一下,某人采集一条向银行贷1000万美元的消息,然后将 "贷"改成 "借"的后果;同样,改变一份电子邮件发来的简历,这可能会改变求职者被公司录取的机会。改变信息对企业或个人都有非常严重的后果。

Also known as delay or denial threats §10.4.3 Necessity Threats p384 Also known as delay or denial threats Disrupt normal computer processing Deny processing entirely Slow processing to intolerably slow speeds Remove file entirely, or delete information from a transmission or file Divert money from one bank account to another 对即需性的安全威胁 即需安全威胁也叫延迟安全威胁或拒绝安全威胁,其目的是破坏正常的计算机处理或完全拒绝处理。 破坏即需性后,计算机的处理速度会非常低。例如,一台自动取款机的交易处理速度从两秒慢到三十秒,这时用户就会放弃自动取款机交易;同样,降低互联网服务的速度会把顾客赶到竞争者的网站,顾客就再也不会回到原网站上(有人说现实世界10秒等于互联网上1小时)。换句话说,降低处理速度会导致服务无法使用或没有吸引力。显然,一份报导三天前新闻的报纸根本没有阅读价值。 拒绝服务攻击会将一个交易或文件中的信息整个删除。曾发生一次拒绝攻击,受到攻击的冗机上的Quicken理财软件将钱都汇到别的银行账户,这就使合法所有者无法提取这些钱。2000年也发生过一次有名的拒绝攻击,受害者是eBay等知名的电子商务网站。攻击者从被控制的计算机上发出海量数据包,淹没了这些电子商务网站,使合法用户根本无法登录这些网站。在攻击前,罪犯先寻找到一些安全措施比较差的计算机,将发起攻击的软件上载到这些计算机上。本章前面描述过的罗伯特·莫里斯的Internet蠕虫攻击就是拒绝攻击的著名例子。

4. Other programming threats §10.5 Server Threats 1. Web server Threats 2. Database Threats 3. CGI Threats 4. Other programming threats 对服务器的威胁: 对WWW服务器的威胁 对数据库的威胁 对CGI的威胁 对其他程序的威胁 1·安全漏洞 是指破坏者可因之进入系统的安全方面的缺陷。 2·服务器可被利用的弱点 (l)其中一个入口是WWW服务器及其软件,WWW服务器软件是用来响应HTTP请求进行页面传输的。虽然WWW服务器软件本身并没有内在的高风险性,但其主要设计目标是支持WWW服务和方便使用,所以软件越复杂,包含错误代码的概率就越高,有安全漏洞的概率也就越高。 (2)电子商务系统以数据库存储用户数据,并可从WWW服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息,如果被更改或泄露,会对公司带来无法弥补的损失。 (3)公用网关接口(CGI)可实现从WWW服务器到另一个程序 (如数据库程序)的信息传输。CGI和接收它所传输数据的程序为网页提供了活动内容。因为CGI是程序,如果滥用就会带来安全威胁。同WWW服务器一样,CGI脚本能以高权限来运行。因此,能自由访问系统资源的有恶意的CGI程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息。 (4)对WWW服务器的攻击可能来自服务器上所运行的其他程序。例如通过客户机传输给WWW服务器或直接驻留在服务器上的Java或C++程序需要经常使用缓存。缓存是指定存放从文件或数据库中读取数据的单独的内存区域。在需要处理输人和输出操作时就需要缓存,因为计算机处理文件信息的速度比从输入设备上读取信息或将信息写到输出设备上的速度快得多,缓存就用作数据进出的临时存放区。缓存的问题在于向缓存发送数据的程序可能会出错,导致缓存溢出,溢出的数据进入到指定区域之外。但有时这种错误是有意的。不论哪种情况都会导致非常严重的安全后果。互联网蠕虫就是利用这个原理对计算机进行破坏活动的。 (5)还有一种溢出攻击就是将指令写在关键的内存位置上,使侵入的程序在完成了覆盖缓存内容后,WWW服务器通过载入记录攻击程序地址的内部寄存器来恢复执行。这种攻击会使WWW服务器遭受严重破坏,因为恢复运行的程序是攻击程序,它会获得很高的超级用户权限,这就便每个程序都可能被侵入的程序泄密或破坏。 (6)邮件炸弹也是一种常见的攻击方法,它的目标一般是邮件服务器,方法是数以千计的人将同一消息发给一个电子邮件地址,邮件炸弹的目标电子邮件地址收到大量的邮件,超出了所允许的邮件区域限制,导致邮件系统堵塞或失效。

Servers run at various privilege levels(不同权限) §10.5.1 Web Server Threats The more complex software becomes, the higher the probability that errors (bugs) exist in the code Servers run at various privilege levels(不同权限) Highest levels provide greatest access and flexibility Lowest levels provide a logical fence around a running program 软件越复杂,包含错误代码的概率就越高,有安全漏洞的概率也就越高。 Security weakness 安全漏洞: 是指破坏者可因之进入系统的安全方面的缺陷。 其中一个入口是WWW服务器及其软件, WWW服务器软件是用来响应HTTP请求进行页面传输的。虽然WWW服务器软件本身并没有内在的高风险性,但其主要设计目标是支持WWW服务和方便使用, ..所以软件越复杂,包含错误代码的概率就越高,有安全漏洞的概率也就越高。 大多数计算机上所运行的WWW服务器可在不同权限下运行。 ..高权限提供了更大的灵活性,允许包括WWW服务器在内的程序执行所有指令,并可以不受限制地访问系统的各个部分(包括高敏感的特权区域)。 ..相对来说,低权限在所运行程序的周围设置了一层逻辑栅栏,防止它运行全部指令,只允许它访问一些计算机中不很敏感的区域。

Server Threats Secrecy violations occur when the contents of a server’s folder names are revealed to a Web browser Administrators can turn off the folder name display feature to avoid secrecy violations Cookies should never be transmitted unprotected (文件夹显示的缺省设置) 如果WWW服务器不更改目录显示的缺省设置,它的保密性就会大打折扣。如果一个服务器的文件夹名能让浏览器看到,就会破坏保密性。例如,当你为查看FAQ子目录的缺省页面而输入http://www·somecompany·com/FAQ/时,就可能发生这种情况。通常服务器显示的缺省页面为index·htm或index·html,如果目录中没有这样的文件,咖WW服务器就会显示出此目录下所有文件夹名。这时你就可随便点击其中一个文件夹名,从而访问到实际是限制访问的某些文件夹。图5-13所示为显示出文件夹名的例子。 诸如微软等网站的管理员都细心地关闭了文件夹名的显示功能。如果你想浏览已限制浏览的文件夹的内容时,WWW服务器就会发出警告信息,如 “你不能浏览此目录”。 当WWW服务器要求你输入用户名和口令时,其安全性也会大打折扣。输入用户名以求得到进入WWW特定区域的允许,此行为本身并不会破坏保密性或隐私性。但当你访问同一WWW服务器上受保护区域内的多个页面时,用户名和口令就可能被泄露。 引起这种情况的原因之一是某些服务器要求你在访问安全区域中每个页面时都要输入用户名和口令。因为WWW是无状态的(它无法记忆在上一事务中发生过什么),记录用户名和口令的最方便的方式就是将用户的保密信息存在他计算机上的Cookie里,这样服务器就可以请求计算机发出Cookie的方式来请求得到确认。这时会出现麻烦,因为Cookie信息可能是以不安全的方式传输,从而被窃听者复制。 虽然Cookie本身并非不安全的,但WWW服务器不能要求不加保护地传输Cookie的信息。

Server Threats p386 One of the most sensitive files on a Web server holds the username and password pairs The Web server administrator is responsible for ensuring that this, and other sensitive files, are secure WWW服务器上最敏感的文件之一就是存放用户名和口令的文件。如果此文件没有得到保护,任何人就都能以他人身份进入敏感区域。侵入者得到用户名和口令信息的前提是没有对用户信息加密。大多数WWW服务器都会把用户认证信息放在安全区里,保证WWW服务器能够为敏感数据提供保护措施正是WWW服务器管理员的职责(第6章将讲述认证信息的保护措施)。 用户所选的口令也会构成安全威胁。有时用户所选的口令很容易猜出,因为口令可能是父母或孩子的名字、电话号码或身份证等很容易想到内容。所谓字典攻击程序就是按电子字典里的每个单词来验证口令。对付这种攻击的策略非常简单。但如果用户口令泄露了,就为非法进入服务器打开方便之门,而这种非法进人可能长时间不被发现。

Security is often enforced through the use of privileges §10.5.2 Database Threats p387 Disclosure of valuable and private information could irreparably damage a company Security is often enforced through the use of privileges Some databases are inherently insecure and rely on the Web server to enforce security measures 对数据库的安全威胁 有价值的信息或隐私信息如果被更改或泄露会给公司带来无法弥补的损失 数据库安全是通过权限实施的 数据权限降级是指将敏感信息发到未保护的区域 电子商务系统以数据库存储用户数据,并可从WWW服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息, ..如果被更改或泄露会给公司带来无法弥补的损失。 ..现在大多数大型数据库都使用基于用户名和口令的安全措施,一旦用户获准访问数据库,就可查看数据库中相关内容。 ..数据库安全是通过权限实施的。 而有些数据库没有以安全方式存储用户名与口令,或没有对数据库进行安全保护,仅依赖WWW服务器的安全措施。 如果有人得到用户的认证信息,他就能伪装成合法的数据库用户来了载保密的信息。隐藏在数据库系统里的特洛伊木马程序可通过将数据权限降级来泄露信息。是指将敏感信息发到未保护的区域,使每个人都可使用。当数据权限降级后,所有用户都可访问这些信息,其中当然包括那些潜在的侵入者。

Oracle Security Features Page Figure 10-12 p388 有很多讨论数据库安全问题的文章和网站,可查看本书在线版上的数据库安全方面的链接。本书在线版的Database threats resource center链接描述数据库的安全威胁,有大量讨论安全措施的白皮书。实现数据库安全系统需要一位高素质的数据库管理员进行仔细的管理。图10-12所示为描述Oracle数据库安全特性的网页(Oracle数据库支持了许多大型的电子商务网站,其中包括Amazon·com、Disney Store Online、eBay和E"Trade等)。 10-12

CGIs are programs that present a security threat if misused §10.5.3 CGI Threats p388 CGIs are programs that present a security threat if misused CGI programs can reside almost anywhere on a Web server and therefore are often difficult to track down CGI scripts do not run inside a sandbox, unlike JavaScript 对公用网关接口(CGI)的安全威胁 CGI程序就很难追踪和管理 同JavaScript不一样,CGI脚本的运行不受Java运行程序安全的限制。 前面己讲过公用网关接口(CGI),它可实现从WWW服务器到另一个程序(如数据库程序)的信息传输。CGI和接收它所传输数据的程序为网页提供了活动内容。例如,网页上有一个列表框,要你填入最喜欢的职业运动队的名字;当你提交了自己的选择后,CGI程序就处理此信息,寻找你所选运动队的最新比分,然后把比分放到一个网页上,将此新网页发给你的浏览器。 因为CGI是程序,如果滥用就会带来安全威胁。 同WWW服务器一样,CGI脚本能以高权限来运行。因此,能自由访问系统资源的有恶意的CGI程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息(包括用户名和口令)。 当程序设计人员发现CGI程序中的错误时,会重编这个程序以替代以前的版本。而未删除的旧CGI可能已被系统设计员遗忘了,但它们为系统留下了安全漏洞。因为CGI程序或脚本会驻留在WWW服务器的任何地方(即任何文件夹和目录下), .. CGI程序就很难追踪和管理。 但有心人能够追踪到这些废弃的CGI脚本,检查这些程序以了解其弱点,然后利用这些弱点来访问WWW服务器及其资源。同JavaScript不一样,CGI脚本的运行不受Java运行程序安全的限制。

Other programming threats include Programs executed by the server §10.5.4 Other Threats p389 Other programming threats include Programs executed by the server Buffer overruns can cause errors Runaway code segments The Internet Worm attack was a runaway code segment(互联网蠕虫) Buffer overflow (缓存溢出) attacks occur when control is released by an authorized program, but the intruder code instructs control to be turned over to it 对其他程序的安全威胁 另一个对WWW服务器的攻击可能来自服务器上所运行的程序。 通过客户机传输给WWW服务器或直接驻留在服务器上的,Java或C++程序需要经常使用缓存。 ..缓存是指定存放从文件或数据库中读取数据的单独的内存区域。在需要处理输入和输出操作时就需要缓存,因为计算机处理文件信息的速度比从输入设备上读取信息或将信息写到输出设备上的速度快得多,缓存就用做数据进出的临时存放区。例如,可把即将处理的数据库信息放在缓存中,等所有信息都进入计算机内存后,处理器操作和分析所需的数据就都准备好了。缓存的问题在于向缓存发送数据的程序可能会出错,导致缓存溢出,溢出的数据进入到指定区域之外。通常情况下,这是由程序中的错误引起的;但有时这种错误是有意的。不论哪种情况都会导致非常严重的安全后果。 有编程经验的人都会有缓存溢出导致数据或指令替代了内存指定区域外内容的经历,这种程序设计错误的后果是程序会遇到意外然后停机。有恶意的程序所引起的破坏叫做故意的拒绝攻击。从某种意义来说,互联网蠕虫就是这样的程序,它引起的溢出会消耗掉所有资源,直到主机停机。 另一种更狡猾的溢出攻击就是将指令写在关键的内存位置上,使侵入的程序在完成了覆盖缓存内容后,WWW服务器通过载入记录攻击程序地址的内部寄存器来恢复执行。这种攻击会使WWW服务器遭受严重破坏,因为恢复运行的程序是攻击程序,它会获得很高的超级用户权限,这就使每个程序都可能被侵入的程序泄密或破坏。 图10-13为从文件里读出数据的图示。这些数据进入缓存,再进入称作保留区的系统区内。保留区是系统存储关键性信息(如在CPU寄存器的内容和控制权移交前,本程序计算状态的信息)的区域。当控制权返还给原来的程序时,保留区的内容就会重新载入CPU寄存器,将控制权交给程序的下一条指令。但在攻击发生时,控制权返给攻击程序,而不是最初让出控制权的程序。本书在线版的Buffer overflow attacks链接下详细介绍了两种不同的WWW服务器的缓存缺陷。图5-15缓存溢出攻击 另一种类似的攻击是将多余的数据发给一个服务器,一般是邮件服务器。这种攻击叫做邮件炸弹,即数以千计的人将同一消息发给一个电子邮件地址。邮件炸弹的目标电子邮件地址收到大量的邮件,超出了所允许的邮件区域限制,导致邮件系统堵塞或失效。虽然很容易跟踪到扔邮件炸弹的人,但一般是没有意义的。邮件炸弹看起来和垃圾邮件很相似,但实际上完全相反。某人或某个组织将同一邮件发给多人称为发送垃圾邮件,垃圾邮件很大程度上只是令人讨厌,不会带来安全威胁。

Buffer Overflow Attack p390 Buffer Overflow Attack Figure 10-12 10-13

§10.6 Computer Emergency Response Team (CERT) Housed at Carnegie Mellon University Responds to security events and incidents within the U.S. government and private sector Posts CERT alerts to inform Internet users about recent security events 计算机应急小组(CERT) 10年前,为研究和消灭臭名昭著的互联网蠕虫集中起一组研究者。美国国家安全委员会下属的全国计算机安全中心发起了一系列研讨会,确定在未来出现影响到数千人安全问题时的反应方式。在安全专家会议结束后,DARDA成立了计算机应急小组协调中心,并以卡内基梅隆大学作为中心总部。计算机应急小组成员负责在安全专家之间建立一个有效的快速沟通机制,以便在未来出现安全问题时可快速发现病毒并清除。 在计算机应急小组成立的10年来,已处理14000多起政府或企业里发生的安全问题。今天,计算机应急小组仍在履行其使命,并提供了丰富信息以支持互联网用户和公司构造更安全的电子商务网站。例如,计算机应急小组出版的CERT alerts期刊,报道互联网上最近发生的安全事件;CERT alert attack advisory里有很多文章讨论域名服务器攻击的问题。本书第6章将阐述本章所提出的安全威胁的解决措施,其中包括计算机应急小组所定义的安全风险及识别与防止这些风险的方法。图10-14所示为CERT alerts的页面。