淺談電子商務(wù)安全

摘要:隨著互聯(lián)網(wǎng)的日漸成熟，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題，而電子商務(wù)的出現(xiàn)，使得長(zhǎng)期以來(lái)對(duì)信息安全的要求就更加迫切了，安全隱患也成為電子商務(wù)發(fā)展的嚴(yán)重阻礙。針對(duì)當(dāng)前電子商務(wù)的發(fā)展現(xiàn)狀進(jìn)行風(fēng)險(xiǎn)分析，從電子商務(wù)安全管理和安全技術(shù)兩方面提出切實(shí)有效地解決這些問(wèn)題的方法。安全問(wèn)題是我國(guó)今后發(fā)展電子商務(wù)的重點(diǎn)。

關(guān)鍵詞:電子商務(wù);安全威脅;安全管理;安全技術(shù)

中圖分類號(hào):文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1002-2589(2010)24-0079-02

引言

目前越來(lái)越多的公司、企業(yè)、商業(yè)機(jī)構(gòu)、銀行和個(gè)人進(jìn)入互聯(lián)網(wǎng)絡(luò)，利用其資源和服務(wù)進(jìn)行商業(yè)活動(dòng)，網(wǎng)絡(luò)安全問(wèn)題逐漸突出。每個(gè)廠商都有一些不能為外人或競(jìng)爭(zhēng)者知道的信息和數(shù)據(jù)，他們不希望外部用戶訪問(wèn)這些信息和數(shù)據(jù)。但是，計(jì)算機(jī)竊賊或破壞者卻千方百計(jì)地闖入互連網(wǎng)絡(luò)和主機(jī)，盜用數(shù)據(jù)，破壞資源，制造事端。在這種情況下，網(wǎng)絡(luò)安全技術(shù)的應(yīng)用使得用戶在獲取網(wǎng)絡(luò)的好處的同時(shí)，保證其專用信息及資源的安全。

在Internet大規(guī)模普及，特別是在電子商務(wù)活動(dòng)逐漸進(jìn)入實(shí)用階段之后，網(wǎng)絡(luò)信息安全更是引起人們的高度重視，網(wǎng)絡(luò)交易需要大量的信息，包括商品生產(chǎn)和供應(yīng)信息、商品需求和競(jìng)爭(zhēng)信息等。這些信息通過(guò)合同、定單、文件、財(cái)務(wù)核算、憑證、條例等形式在買(mǎi)賣(mài)雙方以及各方之間不斷進(jìn)行傳遞。為保證整個(gè)交易過(guò)程的順利完成，必須保證上述信息的完整性、準(zhǔn)確性和不可否認(rèn)性。由于網(wǎng)絡(luò)交易信息是在Internet上傳遞的，因此，相對(duì)于傳統(tǒng)交易來(lái)說(shuō)，網(wǎng)絡(luò)交易對(duì)信息安全提出了更高、更苛刻的要求。但是網(wǎng)上病毒時(shí)刻存在，黑客攻擊肆無(wú)忌憚，網(wǎng)絡(luò)信息被任意篡改，數(shù)據(jù)傳遞遭到破壞，安全隱患成為電子商務(wù)發(fā)展的嚴(yán)重阻礙。

一、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

如今隨著網(wǎng)絡(luò)發(fā)展及普及，企業(yè)從原來(lái)單機(jī)到局域網(wǎng)并擴(kuò)展到廣域網(wǎng)，把分布在全國(guó)各地的分公司通過(guò)網(wǎng)絡(luò)互連起來(lái)，從整體上提高了辦事效率。總體來(lái)說(shuō)，電子商務(wù)在發(fā)展中存在的安全問(wèn)題主要表現(xiàn)為:

1.網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的威脅主要有:地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅;電源故障造成設(shè)備斷電以致操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失;設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏;電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱;報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。

2.內(nèi)部局域網(wǎng)的安全威脅。據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%～80%是來(lái)自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu);安全管理員有意透露其用戶名及口令;內(nèi)部不懷好意員工編寫(xiě)破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息并傳播出去。種種因素都對(duì)網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

3.內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

(1)數(shù)據(jù)被竊聽(tīng):由于沒(méi)有采用加密的措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文的形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上，可以通過(guò)非法手段截取網(wǎng)絡(luò)上傳送的數(shù)據(jù)包，在多次竊取和分析后，再通過(guò)分析判斷，可以找到信息的規(guī)律和格式，進(jìn)而得到傳出信息的內(nèi)容，造成網(wǎng)上傳輸信息的泄密。

(2)偽造和篡改:網(wǎng)絡(luò)上服務(wù)器可以被任意一臺(tái)連網(wǎng)的計(jì)算機(jī)所攻擊，當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的數(shù)據(jù)包中的信息，在途中進(jìn)行修改，使數(shù)據(jù)包不能達(dá)到預(yù)期的目標(biāo)或改變數(shù)據(jù)包中原有的內(nèi)容。

(3)假冒問(wèn)題:由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者往往冒充合法用戶發(fā)送假冒信息或者主動(dòng)獲得信息，而遠(yuǎn)端用戶通常很難分辨。

4.管理的安全威脅。內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏。電子郵件為用戶提供電子郵件應(yīng)用，內(nèi)部網(wǎng)用戶可能通過(guò)撥號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收，這就可能被黑客跟蹤或收到一些特洛伊木馬病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒(méi)有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因素。管理是在網(wǎng)絡(luò)中使安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必需的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。所以除了從技術(shù)上下工夫外，還得依靠安全管理來(lái)實(shí)現(xiàn)。

二、實(shí)現(xiàn)電子商務(wù)安全的策略

1.完善地管理策略。安全管理就是通過(guò)一些管理手段來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它所包含的內(nèi)容有安全管理制度的制定、實(shí)施和監(jiān)督，安全策略的制定、實(shí)施、評(píng)估和修改，以及對(duì)人員的安全意識(shí)的培訓(xùn)、教育等。

2.安全技術(shù)方面的保證。縱觀各個(gè)公司提出的電子商務(wù)解決方案，沒(méi)有一個(gè)能夠全面的解決電子商務(wù)的安全問(wèn)題。盡管他們?cè)诰唧w架構(gòu)上不同，但是他們?cè)诎踩Ｐ椭惺褂玫暮诵募夹g(shù)是相同的，主要為防火墻、虛擬網(wǎng)、數(shù)字簽名和電子認(rèn)證等。

(1)防火墻技術(shù)。防火墻是設(shè)置在Internet路由器后端的，主要對(duì)提供給外界的服務(wù)進(jìn)行控制。一個(gè)最簡(jiǎn)單的屏蔽入侵的方法就是不允許外界訪問(wèn)，然而，對(duì)那些需要網(wǎng)絡(luò)服務(wù)(如E-mail.，Web服務(wù)和FTP)的商業(yè)合作者來(lái)說(shuō)，這并不是一個(gè)好辦法;反之，如果簡(jiǎn)單的使內(nèi)部設(shè)備與外界進(jìn)行無(wú)限制的連接，將會(huì)使企業(yè)內(nèi)部信息隨時(shí)面臨著被攻擊的危險(xiǎn)，因此防火墻正是它們之間的最好折中方法，它可以在這兩個(gè)極端的方法之間實(shí)現(xiàn)比較好的安全保障。利用防火墻并經(jīng)過(guò)嚴(yán)格配置，可以阻止各種不安全訪問(wèn)通過(guò)防火墻，從而降低安全風(fēng)險(xiǎn)。但是，網(wǎng)絡(luò)安全是個(gè)整體，必須配備相應(yīng)的安全產(chǎn)品，作為防火墻的必要補(bǔ)充。

(2)入侵檢測(cè)技術(shù)。由于防火墻只是被動(dòng)地防止攻擊，不能有效地預(yù)警攻擊，因此可采用入侵檢測(cè)系統(tǒng)(IDS)，它用于對(duì)異常訪問(wèn)的警告和記錄。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)，從而防止網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)可分為基于主機(jī)和基于網(wǎng)絡(luò)的兩種。基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵的應(yīng)用服務(wù)器，實(shí)時(shí)監(jiān)視可疑連接和非法訪問(wèn)的闖入，進(jìn)行系統(tǒng)日志，并提供對(duì)典型應(yīng)用服務(wù)器的監(jiān)視和控制，比如Web服務(wù)器的應(yīng)用;基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)則用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，如Web服務(wù)器所建立的以太網(wǎng)。

3.虛擬專用網(wǎng)技術(shù)。VPN是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺(tái)VPN加密機(jī)。根據(jù)具體策略，來(lái)保護(hù)內(nèi)部敏感信息和企業(yè)秘密的機(jī)密性、真實(shí)性及完整性。由于VPN設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資;而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。

4.防病毒措施

(1)預(yù)防病毒技術(shù)。預(yù)防病毒技術(shù)通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。

(2)檢測(cè)病毒技術(shù)。檢測(cè)病毒技術(shù)是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)(如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等)，來(lái)確定病毒的類型。

(3)殺毒技術(shù)。殺毒技術(shù)通過(guò)對(duì)計(jì)算機(jī)病毒代碼的分析，開(kāi)發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測(cè)。一旦發(fā)現(xiàn)與病毒代碼庫(kù)中相匹配的病毒代碼，反病毒程序會(huì)采取相應(yīng)處理措施(清除、更名或刪除)，防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。

為保證電子商務(wù)交易的安全性，保證信息的完整、機(jī)密、有效和不可否認(rèn)性，可采用以下措施和技術(shù):

5.構(gòu)建CA認(rèn)證體系。認(rèn)證機(jī)構(gòu)CA(Certification Authority)是獨(dú)立的、公正的、可信賴的第三方機(jī)構(gòu)，為參與電子商務(wù)活動(dòng)的各方提供認(rèn)證服務(wù)(證書(shū)申請(qǐng)、證書(shū)發(fā)放、證書(shū)更新、證書(shū)查詢、證書(shū)廢除等)，除CA認(rèn)證服務(wù)外，還要提供配套的RA(Registration Authority)審核服務(wù)，用于審核交易雙方的真實(shí)身份，從而強(qiáng)化CA認(rèn)證服務(wù)。

根據(jù)機(jī)構(gòu)本身的特點(diǎn)，可以考慮先構(gòu)建一個(gè)本系統(tǒng)內(nèi)部的CA系統(tǒng)，即所有的證書(shū)只能限定在本系統(tǒng)內(nèi)部使用有效。隨著不斷發(fā)展及需求增加，可以對(duì)CA系統(tǒng)進(jìn)行擴(kuò)充或與國(guó)家級(jí)CA系統(tǒng)互聯(lián)，實(shí)現(xiàn)不同企業(yè)間的交叉認(rèn)證。通過(guò)給內(nèi)部職工發(fā)放證書(shū)來(lái)對(duì)各地之間來(lái)往的公文進(jìn)行加密和雙方身份的認(rèn)證。公司駐外人員同樣可以用其內(nèi)部職工的證書(shū)訪問(wèn)公司網(wǎng)站和進(jìn)行安全公文傳輸。

6.數(shù)字簽名和數(shù)據(jù)加密。在網(wǎng)絡(luò)交易中，為了保證數(shù)據(jù)的完整性、機(jī)密性、有效性，必須對(duì)數(shù)據(jù)進(jìn)行加密，為了保證交易的不可否認(rèn)性，必須進(jìn)行數(shù)字簽名。

通過(guò)數(shù)字證書(shū)，把證書(shū)持有者的公開(kāi)密鑰(Public Key)與用戶的身份信息緊密安全地結(jié)合起來(lái)，以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。簽發(fā)數(shù)字證書(shū)的機(jī)構(gòu)即數(shù)字證書(shū)認(rèn)證中心(CA，Certification Authority)，數(shù)字證書(shū)認(rèn)證中心為用戶簽發(fā)數(shù)字證書(shū)，為用戶身份確認(rèn)提供各種相應(yīng)的服務(wù)。在數(shù)字證書(shū)中有證書(shū)擁有者的名稱(DN，Distinguish Name)，并且還有其公開(kāi)密鑰，對(duì)應(yīng)于該公開(kāi)密鑰的私有密鑰由證書(shū)的擁有者持有，這對(duì)密鑰的作用是用來(lái)進(jìn)行數(shù)字簽名和驗(yàn)證簽名，這樣就能夠保證通訊雙方的真實(shí)身份，同時(shí)采用數(shù)字簽名技術(shù)還可以很好地解決不可否認(rèn)性的問(wèn)題。

電子商務(wù)安全是電子商務(wù)成功與否的決定性因素，它決定著一個(gè)電子商務(wù)網(wǎng)站是否可以為客戶提供安全可靠的網(wǎng)上服務(wù)。任何成功的電子商務(wù)必須能提供足夠的安全性、可靠性和可用性，才能贏得客戶的信賴和歡迎。所以應(yīng)該進(jìn)一步完善網(wǎng)絡(luò)結(jié)構(gòu)，建立網(wǎng)絡(luò)綜合保障體系;深入加強(qiáng)網(wǎng)絡(luò)安全技術(shù)開(kāi)發(fā)工作，發(fā)展自己的電子商務(wù)技術(shù)體系;盡快完善電子商務(wù)的法律制度，建立良好的電子商務(wù)發(fā)展環(huán)境;使得電子商務(wù)真正以其超越傳統(tǒng)商務(wù)的獨(dú)特優(yōu)勢(shì)為信息時(shí)代的經(jīng)濟(jì)發(fā)展注入新鮮的活力!

參考文獻(xiàn):

[1]張潤(rùn)彤，王力波.電子商務(wù)基礎(chǔ)教程[M].北京:首都經(jīng)濟(jì)貿(mào)易大學(xué)出版社，2003:4.

[2][美]加里斯奈德(GaryP.Schneider)，[美]詹姆斯佩里(JamesT.Perry).電子商務(wù)[M].成棟，譯.北京:機(jī)械工業(yè)出版社，2002.

[3][美]格林斯坦(Greenstein，M.)，[美]法因曼(Feinman，T.M.).電子商務(wù)的安全與風(fēng)險(xiǎn)管理[M].謝淳，于軍，李霞，譯.北京:華夏出版社，2001:3.

[4]武心瑩，等.電子商務(wù)與企業(yè)戰(zhàn)略[M].北京:經(jīng)濟(jì)管理出版社，2001.

[5]姜靈敏，謝建國(guó).電子商務(wù)實(shí)用基礎(chǔ)[M].北京:人民郵電出版社，2001:7.

[6]林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].北京:機(jī)械工業(yè)出版社，2004:6.