企業電子商務面臨的網絡安全威脅及對策

[摘要] 企業開展電子商務主要有設計企業電子商務網站或利用第三方電子商務服務平臺進行網絡營銷，計算機網絡技術和通信技術是支撐企業開展電子商務的技術平臺。本文從快速發展的電子商務應用中所面臨的網絡安全中的四大威脅分析當前開展電子商務所要防范的安全問題，并根據我國對電子商務信息產業帶動工業化進程的政策，對我國發展電子商務的信息安全進行分析，提出了維護網絡信息安全對策的措施。

[關鍵詞] 電子商務 網絡安全 國家戰略 自主信息技術

我國發展電子商務的環境例如：網絡基礎建設等運行環境、法律環境、市場環境、網上支付、信息安全、認證中心建設等條件等正在逐步完善，國家有關電子商務的政策、法規即將出臺，已為各類企業開展電子商務活動建立了基本的環境條件。

隨著計算機網絡的普及和我國實施信息化進程不斷深入，社會各關鍵領域的運行日益緊密地依賴于信息網絡，比如金融部門、航空部門、通信部門以及越來越多的企業參與的電子商務等，然而信息網絡又存在著與生俱來的技術漏洞和設計缺陷。于是，網絡黑客和各類組織出于各種違法的目的，利用信息網絡的漏洞和缺陷發起攻擊，從而使信息網絡面臨嚴峻的安全威脅。信息網絡的安全問題不但難以徹底解決，而且還有可能隨著信息網絡技術的不斷更新，出現日益嚴重化的趨勢。因為每一項新的操作系統和重要網絡軟件的推出，都將會引起新的網絡安全問題。今后，操作系統和軟件開發越來越朝著使計算機與互聯網及通信聯結一體、不斷增強其功能的方向發展，這就有可能使信息網絡的漏洞和缺陷產生更多、更嚴重的安全問題，那么企業電子商務發展中的信息安全正在受到企業和客戶越來越關注的焦點。

一、網絡安全威脅

信息網絡面臨的安全威脅可以分為以下三種基本類型：黑客入侵、病毒破壞和預置陷阱。

1.黑客入侵

黑客即Hacker音譯，專指對別人的計算機系統非法入侵者。20世紀70年代，這個詞是褒義詞，專指那些獨立思考、遵紀守法的計算機迷，他們智商高，對計算機的最大潛力進行智力上的探索，為計算機技術的發展做出了很大貢獻。而當今世界，隨著信息技術的廣泛普及，越來越多的人掌握了黑客技術，使黑客現象發生了質的改變。不少黑客專門搜集他人隱私，惡意篡改他人重要數據，進行網上詐騙、對他人網上資金帳戶盜竊，給社會及人們的生活帶來極大的破壞性。因此人們普遍認為黑客就是信息安全的最大威脅。

目前，黑客對網絡的入侵和偷襲方法已達幾種，而且大多都是致命的手段。黑客入侵動機有以下幾種：

(1)偷盜竊取。黑客實施網絡攻擊的另一個目的就是利用黑客技術為個人私利而大肆進行各種各樣的偷竊活動。網上盜竊的主要方式有：第一種是偷竊信息和數據。網上的秘密信息和數據都是海量存儲，從企業商業秘密、政府機構的資料到軍事秘密，種類全面。于是不少鋌而走險者，借助快捷的網絡去竊取這些信息和數據，通過出售以獲取經濟利益。據美國中央情報局公布的數據顯示，美國公司僅在1992年一年因經濟信息與商業秘密被竊取盜用的損失高達1000億美元以上。第二種是偷竊網上銀行的資金或使用網上電支付用戶的資金。隨著企業電子商務活動的發展，應用網上銀行支付或通過第三方支付平臺支付的人群越來越多，也為黑客及其他計算機犯罪利用計算機網絡盜竊個人或銀行資金提供了可乘之機。當用戶進行網上購物時，用戶只要輸入用戶密碼、銀行信用卡密碼，完成了網上購物和支付程序。黑客一旦覬覦用戶的密碼和信用卡密碼，則用戶在銀行賬戶上的資金便容易被竊取。

(2)蓄意破壞。在2000年3月，黑客使美國數家電子商務網站如：Amazon、eBay、CNN陷入癱瘓，黑客使用了分布式拒絕服務的攻擊手段，用大量垃圾信息阻塞網站服務器，使其不能正常服務。國內網站新浪、當當網上書店、EC123等也先后受到黑客攻擊，服務器上的各類數據庫也受到不同程度的破壞。

2. 病毒破壞

電子商務離不開計算機網絡，而病毒制造者通過傳播計算機病毒來蓄意破壞聯網計算機的程序、數據和信息，以達到某種非法目的。據不完全統計，目前全世界已發現的計算機病毒近6萬多種，且每月都會發現數百種新病毒和病毒變體。然而全球與互聯網聯網的主機節點正在越來越多，這樣一個強大的網絡群體造成了病毒極易滋生和傳播的環境，而病毒破壞成為企業開展電子商務的面臨的信息安全重大威脅。目前，破壞計算機的流行病毒可以歸納為以下幾類：

(1)蠕蟲病毒。1987年出現，這是一種能迅速大規模繁殖的病毒，其繁殖的速度可達300臺/月，在危害網絡的數據千計的計算機病毒中“蠕蟲病毒”造成的危害最大。

(2)病毒郵件。電子郵件是互聯網的一項基本而普遍的功能。企業實施電子商務頻繁使用的信息傳遞工具。然而，某些病毒制造者也看中了深受人們喜歡的電子郵件，并將其作為傳播病毒的重要手段。

(3)公開發放的病毒。在計算機網絡中有一種“共享軟件”，它是由計算機用戶免費使用、復制以及分享的軟件。如果計算機病毒以這種方式公開發布，就可進入各種領域，并進入各個計算機網絡，對計算機網絡造成極大的危害。

3.預置陷阱

預置陷阱是指在信息系統中人為地預設一些陷阱，以干擾和破壞計算機系統的正常運行。在對信息安全的各種威脅中，預置陷阱是危害最大、最難預防的一種威脅。一般分為硬件陷阱和軟件陷阱兩種。

(1)硬件陷阱。指“芯片級”陷阱。例如，使芯片經過一段有限的時間后自動失效，使芯片在接收到某種特定電磁信號后自毀，使芯片在運行過程中發出可識別其準確位置的電磁信號等。這種“芯片搗鬼”活動的危害不能忽視，一旦發現，損失非同尋常，計算機系統中一個關鍵芯片的小小故障，就足以導致整個網站服務器系統乃至整個連接信息網絡系統停止運行。這是進行信息網絡攻擊既省力、省錢又十分有效的手段。

(2)軟件陷阱。指“代碼級”陷阱，軟件陷阱的種類比較多，黑客主要通過軟件陷阱攻擊網絡。

“陷阱門”又稱“后門“，是計算機系統設計者預先在系統中構造的一種結構。網絡軟件所存在的缺陷和設計漏洞是黑客進行攻擊服務器系統的首選目標。在計算機應用程序或系統操作程序的開發過程中，通常要加入一些調試結構。在計算機軟件開發完成之后，如果為達到攻擊系統的目的，而特意留下少數結構，就形成了所謂越過對方防護系統的防護進入系統進行攻擊破壞。

二、維護網絡信息安全的對策

信息網絡已經被深入應用到世界上許多國家的商務貿易活動、經濟、政治、文化、軍事等各個方面，構成其社會的關鍵性基礎設施，信息安全已上升為這些國家的安全核心。面對日益嚴峻的信息安全威脅，各國政府無不高度重視信息安全，積極尋找有效的安全對策。當前，我國與世界其他國家一樣，為維護信息安全確保企業開展電子商務的安全環境，所采取的基本對策如下。

1.制定政策，建立安全管理機構，將網絡信息安全納入國家戰略

各國都認識到信息安全不單純是一個技術問題、產業問題、經濟問題，而是涉及各行業、各層面的綜合性社會問題，國家必須從戰略高度來制定相關國家政策給予指導，并成立專門的機構來負責信息安全問題。

2.研發自主信息安全技術，為信息安全提供堅固屏障

信息安全保障從根本上來說是一個信息技術發展水平與開發能力的問題，要有效地打擊網絡犯罪，最終還要依靠不斷發展和完善的信息安全技術。目前最廣泛的五種計算機網絡安全技術是：反病毒軟件；防火墻技術；物理設施安全保護；密碼控制；反入侵管理。在電子商務中采用的安全技術主要有防火墻技術、虛擬專業網絡技術、防殺病毒技術、數據加密技術、身份認證技術等。

當前國際上信息安全技術研究的重點有公開密鑰基礎設施和計算機犯罪取證技術。公開密鑰基礎設施，是一個由計算機硬件、軟件、數據庫、網絡、安全過程和合法規范共同組成的基礎設施。計算機犯罪取證研究主要集中在：入侵者入侵路徑跟蹤；入侵行為再現；證據的保存、恢復；操作系統指紋等方面。

3.制定法律法規，為信息安全提供良好的法律環境

計算機網絡犯罪具有隱蔽性，原有的傳統的法律難以有對這類犯罪有效打擊，為此需要制定與信息安全相關的法律和法規，加大執法力度，從而為網絡信息安全提供必要的法律保證。

4.加強信息安全的國際合作，共同打擊網絡犯罪

經濟發展全球化，跨國集團公司正在日益增加，那么犯罪分子攻擊計算機網絡進行違法犯罪也具有超越地域和全球化趨勢。他們利用網絡的迅速和瀏覽網絡內容的無國界，形成了網絡犯罪不分國界的特性，因此世界上許多國家的網絡警察之間建立了十分密切的聯系，并在一定的國際法規框架下相互協作。

參考文獻：

[1]王瑞金:電子商務．濟南．山東人民出版社，2007

[2]張曾科:陽憲惠．計算機網絡．北京。清華大學出版社，2006