論電子商務關鍵性安全問題及其對策

[摘要] 隨著個人計算機、計算機網絡、互聯網和電子商務的蓬勃發展，如果不對它們進行妥善的保護，它們將越來越容易受到具有破壞性的攻擊的危害。黑客、病毒，甚至人為故障都會給網絡帶來巨大的威脅。

[關鍵詞] 計算機網絡 互聯網 電子商務 安全 保護

一、安全的重要性以及存在的安全問題及其原因

計算機網絡之所以存在著脆弱性，主要是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等。此外，信息安全處在初期發展階段，缺少網絡環境下用于產品評價的安全性準則和評價工具。系統管理人員的安全意識和安全管理培訓等也相對缺乏。在系統安全受到威脅時，缺少應有的完整的安全管理方法、步驟和安全對策，如事故通報、風險評估、改正安全缺陷、評估損失、相應的補救恢復措施等。

根據攻擊能力的組織結構程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。一般來講，對外部威脅，安全性強調防御；對內部威脅，安全性強調威懾。

1.病毒。病毒是由一些不正直的程序員所編寫的計算機程序，它采用了獨特的設計，可以在受到某個事件觸發時，復制自身，并感染計算機。如果在病毒可以通過某個外界來源進入網絡時（大多數是通過某個受到感染的磁盤或者某個從互聯網上下載的文件），網絡才會感染病毒。當網絡上的一臺計算機被感染時，網絡上的其他計算機就非常有可能感染到這種病毒。2.特洛伊木馬程序。特洛伊木馬程序，是破壞性代碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟件程序，例如計算機游戲，但是它們實際上是偽裝的敵人。特洛伊可以刪除數據，將自身的副本發送給電子郵件地址簿中的收件人，以及開啟計算機進行其他攻擊。只有通過磁盤，從互聯網上下載文件，或者打開某個電子郵件附件，將特洛伊木馬程序復制到一個系統，才可能感染特洛伊。無論是特洛伊還是病毒并不能通過電子郵件本身傳播——它們只可能通過電子郵件附件傳播。3.惡意破壞程序。網站會提供一些軟件應用（例如ActiveX和Java Applet）的開發而變得更加活潑。這些應用可以實現動畫和其他一些特殊效果，從而使網站更具有吸引力和互動性。但是，由于這些應用非常便于下載和運行，從而提供了一種造成損害的新工具。惡意破壞程序是指會導致不同程度破壞的軟件應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件，也可能損壞大部分計算機系統。4.攻擊。目前已經出現了各種類型的網絡攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務（DoS）攻擊。(1)探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網絡數據，用于以后進一步攻擊網。(2)訪問攻擊用于發現身份認證服務、文件傳輸協議（FTP）功能等網絡領域的漏洞，以訪問電子郵件賬號、數據庫和其他保密信息。(3)DoS攻擊可以防止用戶對于部分或者全部計算機系統的訪問。它們的實現方法通常是：向某個連接到企業網絡或者互聯網的設備發送大量的雜亂的或者無法控制的數據，從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊（DDoS），在這種攻擊中攻擊者將會危及到多個設備或者主機的安全。5.數據阻截。通過任何類型的網絡進行數據傳輸都可能會被未經授權的一方截取。犯罪分子可能會竊聽通信信息，甚至更改被傳輸的數據分組。犯罪分子可以利用不同的方法來阻截數據。6.社會活動。社會活動是一種越來越流行的通過非技術手段獲取保密的網絡安全信息的手段。7.垃圾信件。垃圾信件被廣泛用于表示那些主動發出的電子郵件或者利用電子郵件廣為發送未經申請的廣告信息的行為。垃圾信件通常是無害的，但是它可能會浪費接收者的時間和存儲空間，帶來很多麻煩。

二、技術保障策略

1.加密。加密方法多種多樣，在網絡信息中一般是利用信息變換規則把明文的信息變成密文的信息。既可對傳輸信息加密，也可對存儲信息加密，把計算機數據變成一堆亂七八糟的數據，攻擊者即使得到經過加密的信息，也不過是一串毫無意義的字符。加密可以有效地對抗截收、非法訪問等威脅。2.數字簽名。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。數字簽名采用一種數據交換協議，使得收發數據的雙方能夠滿足兩個條件：接受方能夠鑒別發送方宣稱的身份；發送方以后不能否認他發送過數據這一事實。數據簽名一般采用不對稱加密技術，發送方對整個明文進行加密變換，得到一個值，將其作為簽名。接收者使用發送者的公開密鑰對簽名進行解密運算，如其結果為明文，則簽名有效，證明對方身份是真實的。3.鑒別。鑒別的目的是驗明用戶或信息的正身。對實體聲稱的身份進行惟一識別，以便驗證其訪問請求，或保證信息來源以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。按照鑒別對象的不同，鑒別技術可以分為消息鑒別和通信雙方相互鑒別；按照鑒別內容不同，鑒別技術可以分為用戶身份鑒別和消息內容鑒別。鑒別的方法很多：利用鑒別碼驗證消息的完整性；利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防止冒充、非法訪問；當今最佳的鑒別方法是數字簽名。4.訪問控制。訪問控制的目的是防止非法訪問。訪問控制是采取各種措施保證系統資源不被非法訪問和使用。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網絡簽證等技術來實現。5.防火墻。防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公共網絡的互聯環境中。大型網絡系統與Internet互聯的第一道屏障就是防火墻。防火墻通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理，其基本功能為：過濾進、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內容和活動；對網絡攻擊進行檢測和告警。

總之，隨著時間的推移，越來越多的新技術將用于進一步地提高業務和通信的效率。如果企業始終站在這種新型技術的前列，并能夠防御最新的安全威脅和攻擊，網絡所帶來的好處必然將遠遠超過它所帶來的風險。

參考文獻：

[1]Steve Burnett，Stephen Paine．密碼工程（美）．清華大學出版社，2001～10

[2]Christopher M. King．安全體系結構的設計、部署與操作（美）．清華大學出版社，2003～04