在本章中,我们将介绍电子商务安全的重要性。我们将分析所有可能对信息最感兴趣的人,以及他们为了得到它所有可能采用的手段,还将讨论涉及创建一套能够避免这类问题的策略的原则,此外,还有一些用于保护网站安全的技术,包括加密、身份验证和跟踪。
在本章中,我们将主要介绍以下内容:
■信息的重要程度
■安全威胁
■建立一套安全策略
■易用性、性能、成本和安全性
■身份验证原则
■在站点应用身份验证
■加密技术基础
■私有密钥加密
■公有密钥加密
■数字签名
■数字证书
■安全的Web服务器
■审计与日志记录
■防火墙
■备份数据
■自然环境的安全性
15.1 信息的重要程度
考虑到安全的时候,首先要评估的是所保护信息的重要性。应该既要考虑这些信息对你的重要性,又考虑它对潜在入侵者的重要性。
人们可能会认为,所有网站时时刻刻都要求有最高级别的安全保护,但是保护措施的实施需要成本。在决定要对安全保护提供多少人力和物力之前,必须判定信息价值。
保存在一个计算机业余爱好者、企业、银行和军事组织的计算机中的信息的价值是不同的。同样,一个入侵者要窃取这些信息可能要经过的途径也是不同的。机器中的内容对恶意访问者有多大的吸引力呢?
计算机业余爱好者很可能只有有限的时间来了解或提高他们系统的安全性。除了对本人的价值之外,保存在他们机器上的信息,对其他任何人的价值可能非常有限,因此被别人攻击的可能性也就非常小。同时,攻击者付出的努力也会是有限的。但是,所有网络计算机用户都应该采取明智的防范措施。即使计算机上没有什么能让别人感兴趣的东西,也可能被攻击者用作攻击别人的系统的跳板,或者作为复制病毒和蠕虫的载体。
很显然,军事用途的计算机对个人和外国政府来说都是政击的目标。由于攻击者可能拥有丰富的资源,所以在人员和其他资源方面进行充分投资是明智的,以便确保在该领域内采取所有实际防范措施。
对于一个商业网站的负责人来讲,需要考虑介于上述两种极端情况之间的黑客攻击,因此投入的资源和努力也就应该介于二者之间。