時間:2023-08-06 09:01:12
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇電子商務安全對策,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
一、引言
隨著INTERNET技術不斷進步,網絡已經深入社會的各個領域,電子商務已經成為人們進行商務活動的一種模式,越來越多的人通過Internet進行商務活動。然而,隨著網絡規模不斷擴大,信息資源結構越加復雜,人們在充分享受互聯網帶來極大便利的同時,如何建立一個安全便捷的電子商務應用環境、對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。通過這一技術特征很容易知道,電子商務的安全問題從整體上看實際上包含兩大問題:計算機網絡安全問題和商務交易安全問題,由于交易過程中還是涉及到網絡,因此,最終的問題還是網絡安全問題。計算機網絡安全的內容包括:計算機網絡設備安全、計算機網絡信息安全等。商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等,達到商務活動的目的。
二、現代電子商務安全中存在的安全隱患
電子商務隨著計算機網絡技術的發展而誕生,其各方面的技術本身還不很完善。綜合分析,在商務活動中還存在很多安全隱患,其表現形式無非如下幾種類型。
1.網絡系統軟件自身及數據庫設計中的安全問題
一方面,網絡系統軟件自身安全與否直接關系網絡安全,網絡系統軟件的安全功能較少或不全,以及系統設計時的疏忽或考慮不周而留下的“破綻”,都等于給危害網絡安全的因素留下許多“后門”。另一方面,信息數據是存放在數據庫中的,供不同的用戶來共享。數據庫設計過程中本身也有它的安全性和危險性,如授權用戶超出了他們的訪問權限進行更改活動;非法用戶繞過安全內核,竊取、篡改信息資源等。
2.傳輸線路的安全與質量問題
從安全的角度來說,沒有絕對安全的通信線路。同時,無論采用何種傳輸線路,當線路的通信質量不好時,將直接影響連網效果,嚴重的時候甚至導致網絡中斷,這就會嚴重地危害通信數據的完整性。
3.網絡管理問題
三分技術,七分管理,說明了管理有網絡中的重要性,網絡安全問題實質上首先是個管理問題,然后才是技術問題。一方面,用戶要對各種安全設備進行合理操作,否則,再好的設備也不會安全。另一方面,網絡又由各種服務器、工作站、終端等群集組成,所以整個網絡天然地繼承了它們各自的安全隱患。隨著計算機網絡應用的深入,網絡覆蓋面越來越大,網絡上信息的安全性越來越重要,網絡安全管理也將成為網絡管理中的重要領域。
4.交易抵賴
這是一個純商務活動中的安全問題,現實世界這種現象也普遍存在,例如購買者做了定貨單不承認;商家賣出的商品因價格差而不承認原有的交易等。
5.其他威脅網絡安全的典型因素
計算機黑客、內部人員監守自盜、部分對整體的安全威脅、程序共享造成的沖突、計算機病毒等都是威脅網絡安全的重要因素。
通過上述分析,可以得知電子商務安全的任務是解決好如下一些問題:身份認證(持卡者、商家、銀行);有效性;機密性;完整性;抗抵賴性。
三、電子商務安全策略分析
1.網絡防范技術
(1)反病毒技術。反病毒技術包括病毒預防、病毒檢測、病毒消除三種。具體實現方法是對網絡服務器中的文件進行頻繁地掃描和監測,傳統的防病毒軟件對因特網上不斷出現的新型病毒,傳統的反病毒軟件顯得蒼白無力,為此,許多網絡安全專家和計算機公司紛紛推出新的病毒防范產品,這些產品能夠及時監視通過因特網傳入計算機的數據,正確判斷數據攜帶的病毒并將病毒殺除,有效地防止病毒從因特網感染到計算機上。
(2)防火墻技術。防火墻是上廣泛應用的一種安全措施,是指設在不同網絡或網絡安全設備之間的一系列部件的組合。它是不同網絡或網絡安全域之問信息的唯一出入口,能根據網絡的安全政策控制允許、拒絕、監測出人網絡的信息流,且本身具有較強的抗攻擊能力。從某種意義上來說,防火墻實際上代表了一個網絡的訪問原則,確定哪些類型的信息允許通過防火墻,哪些類型的信息不允許通過防火墻。防火墻的職責就是根據本單位的安全策略,對外部網絡與內部網絡交流的信息進行檢查,確定是否通行。
(3)加密技術。加密技術是一種主動的防御技術,其基本思想是通過對數據進行加密變換,將其轉換成非法入侵者無法識別的字符來保障網絡安全。目前主要存在兩種加密技術;一種是對稱加密,其實現算法是AES,另一種是非對稱加密,算法主要是RAR。加密技術是非常重要的安全技術,可以確保信息的保密性和完整性,而且是消息摘要、數字簽名等安全技術的技術基礎。
(4)入侵檢測技術。入侵檢測技術對系統資源的非授權使用做出及時地判斷、記錄和報警,檢測系統中違背系統安全性規則或者威脅到系統安全的活動。檢測時通過對系統中用戶行為或者系統行為的可疑程度進行評估,并根據評價結果來鑒別系統中行為的正常性,幫助管理員進行安全管理或對系統所受到的攻擊采取相應的對策。
(5)虛擬專用網(VPN)技術。虛擬專用網技術是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN是對公司內部網的擴展,通過它可以幫助遠程用戶,公司分支機構、商業伙伴及供應商同公司的內部網絡建立可信的安全連接,并保證數據的安全傳輸。VPN實現的兩個關系技術是隧道技術和加密技術。
2.SET協議:安全電子交易
針對電子商務目前存在的很多技術缺陷,VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的電子交易規范SET協議。SET能在電子交易環節上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。
SET規范為在Internet上進行安全的電子商務提供了一個開放的標準,SET綜合使用私用密鑰加密和公用密鑰加密的電子認證技術,其認證過程使用RSA和DES算法,因此,可以為電子商務提供很強的安全保護。
SET規范是目前電子商務中最重要的協議,SET得到了美國IT企業的支持,如GTE、IBM、Microsoft、Netscape、RSA、SAIC、Terisa 和VeriSign。
3.安全管理
前面電子商務安全隱患中已經提出過,網絡安全問題歸根結底還是屬于人的問題,即管理問題,一些資料顯示,網絡安全中人為因素是最重要的信息安全威脅。另據統計,已識別的信息安全缺陷中有很多是由人為因素引起的。但是,人們往往關注技術方面的研究,并取得了顯著的成果,而對人為因素的研究甚少。即使對信息安全中的人的因素進行研究那也只是作為一個影響因素進行簡單的分類,并沒有對其進行深層次的分析。事實上,無論技術發展如何完善,它也離不開人的操作還需要人來設計、制造、配置、組織、管理、維修、訓練和調整等,怎樣組建一批強有力的網絡管理隊伍顯得極為重要。
四、結束語
計算機網絡安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網絡安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網絡本身再安全,仍然無法達到電子商務所特有的安全要求。網絡技術不斷向前發展,網絡安全的研究任務任重道遠,怎樣創建一個干凈、良好的網絡環境,為電子商務的發展提供高效的平臺基礎將是今后相當長一段時間內研究的課題。
參考文獻:
[1]張 稼 葉毓峰:電子商務中安全問題分析[J].廣東科技,2007.04.總第166期46
[2]閆海英 黃 波:網絡安全現狀分析及應對策略探討[J].計算機科學,2008vol.35NO.4A321~322
[3]隆文超:電子商務安全技術研究[J].商場現代化,2008年1月(中旬刊)總第527期191~192
關鍵詞:電子商務;網絡;安全技術
近年來,計算機網絡與信息技術的迅速發展,帶動了電子商務行業的推廣。電子商務活動觸伸到生活的各個領域,例如虛擬企業、虛擬銀行、網上購物、網絡營銷、網絡支付以及網絡廣告等一些新的業務正在被人們所熟悉和認同。電子商務改變了傳統商務的運作模式,作為一種全新的商業應用模式,極大地提高了工作效率,同時降低了交易成本。但是,由于互聯網的開放性和天然的脆弱性,網絡安全問題成為制約著電子商務發展的瓶頸。所以,搭建一個安全可靠的商務平臺,成為電子商務發展的關鍵問題。
一、電子商務面臨的安全問題
電子商務活動中有大量的數據需要傳輸與存儲,數據傳輸依靠互聯網技術,而互聯網是一個天然脆弱和不安全的網絡,數據容易丟失和被截獲。而數據的存儲主要依靠數據庫技術,數據庫也是非法分子常常入侵和破壞的對象。所以網絡通信安全與數據庫安全,是電子商務長期面臨的的主要問題。
1.數據庫安全。企業在電子商務活動中產生的大量數據是他們進行不間斷經營的重要支撐,產品數據資料、客戶關系管理都涉及到龐大的數據群。采用流行的關系型數據庫進行數據存儲與管理,是電子商務企業必要的選擇。但是網絡黑客從未間斷過對企業數據庫的攻擊,一旦他們竊取到企業數據庫的訪問權、管理權,就可以獲得他們想要的數據,甚至篡改或刪除這些對企業來說至關重要的數據。
2.網絡通信安全。數據傳輸過程中容易丟失、損壞或被黑客篡改、竊取,所以首先要保證通信線路的安全可靠性,采用性能穩定的設備和較為強大的軟件來保證傳輸穩定性。其次為了防止黑客攻擊,例如木馬、病毒等程序,要再傳輸過程中使用數據加密及數字簽名等技術保障數據的安全性。
二、電子商務安全策略
1. 虛擬專用網(VPN)
由于TCP/IP協議的不安全性,對電子商務安全無有效的認證機制,真實性難有保證;缺乏保密機制,網上數據隱私性不能得到保護;不能提供對網上數據流的完整性保護等問題。因此,在電子商務中通常采用VPN技術,通過加密和驗證網絡流量來保護在公共網絡上傳輸私有信息,而不會被竊取或篡改。對于用戶來說,就象使用他們自己的私有網絡一樣。
2.加密(Encryption)技術
加密技術是電子商務采取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標準(DES,Data Encryption Standard)算法為典型代表,非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
3. 數字信封技術
數字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發送者首先利用隨機產生的對稱密碼加密信息,再利用接收方的公鑰加密對稱密碼,被公鑰加密后的對稱密碼稱之為數字信封。信息接收方要解密信息時,必須先用自己的私鑰解密數字信封,得到對稱密碼,再利用對稱密碼解密所得到的信息,這樣就保證了數據傳輸的真實性和完整性。
4.認證技術
CA認證中心。它為電子商務環境中各個實體頒發數字證書,以證明各實體身份的真實性,并負責在交易中檢驗和管理證書。它是電子商務及網上銀行操作中,具有權威性、可信賴性及公正性的第三方機構。如中國金融認證中心(CFCA)。
轉貼于
有關的認證技術包括數字簽名與數字證書。數字簽名是指用戶用自己的私鑰對原始數據的哈希摘要進行加密所得的數據。信息接收者使用信息發送者的公鑰對數字簽名進行解密,獲得哈希摘要。并將收到的原始數據產生的哈希摘要與獲得的哈希摘要相對照,便可確信原始信息是否被篡改,這樣就保證了數據傳輸的不可否認性。數字證書是各類實體(持卡人/個人、商戶/企業、網關/銀行等)在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題。證書是一個經證書認證中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。 5.防火墻技術
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,有效地監控了內部網和 Internet 之間的任何活動,保證了內部網絡的安全。
三、結束語
關鍵詞:電子商務;網絡;安全技術
近年來,計算機網絡與信息技術的迅速發展,帶動了電子商務行業的推廣。電子商務活動觸伸到生活的各個領域,例如虛擬企業、虛擬銀行、網上購物、網絡營銷、網絡支付以及網絡廣告等一些新的業務正在被人們所熟悉和認同。電子商務改變了傳統商務的運作模式,作為一種全新的商業應用模式,極大地提高了工作效率,同時降低了交易成本。但是,由于互聯網的開放性和天然的脆弱性,網絡安全問題成為制約著電子商務發展的瓶頸。所以,搭建一個安全可靠的商務平臺,成為電子商務發展的關鍵問題。
一、電子商務面臨的安全問題
電子商務活動中有大量的數據需要傳輸與存儲,數據傳輸依靠互聯網技術,而互聯網是一個天然脆弱和不安全的網絡,數據容易丟失和被截獲。而數據的存儲主要依靠數據庫技術,數據庫也是非法分子常常入侵和破壞的對象。所以網絡通信安全與數據庫安全,是電子商務長期面臨的的主要問題。
1.數據庫安全。企業在電子商務活動中產生的大量數據是他們進行不間斷經營的重要支撐,產品數據資料、客戶關系管理都涉及到龐大的數據群。采用流行的關系型數據庫進行數據存儲與管理,是電子商務企業必要的選擇。但是網絡黑客從未間斷過對企業數據庫的攻擊,一旦他們竊取到企業數據庫的訪問權、管理權,就可以獲得他們想要的數據,甚至篡改或刪除這些對企業來說至關重要的數據。
2.網絡通信安全。數據傳輸過程中容易丟失、損壞或被黑客篡改、竊取,所以首先要保證通信線路的安全可靠性,采用性能穩定的設備和較為強大的軟件來保證傳輸穩定性。其次為了防止黑客攻擊,例如木馬、病毒等程序,要再傳輸過程中使用數據加密及數字簽名等技術保障數據的安全性。
二、電子商務安全策略
1. 虛擬專用網(vpn)
由于tcp/ip協議的不安全性,對電子商務安全無有效的認證機制,真實性難有保證;缺乏保密機制,網上數據隱私性不能得到保護;不能提供對網上數據流的完整性保護等問題。因此,在電子商務中通常采用vpn技術,通過加密和驗證網絡流量來保護在公共網絡上傳輸私有信息,而不會被竊取或篡改。對于用戶來說,就象使用他們自己的私有網絡一樣。
2.加密(encryption)技術
加密技術是電子商務采取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標準(des,data encryption standard)算法為典型代表,非對稱加密通常以rsa(rivest shamir ad1eman)算法為代表。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
3. 數字信封技術
數字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發送者首先利用隨機產生的對稱密碼加密信息,再利用接收方的公鑰加密對稱密碼,被公鑰加密后的對稱密碼稱之為數字信封。信息接收方要解密信息時,必須先用自己的私鑰解密數字信封,得到對稱密碼,再利用對稱密碼解密所得到的信息,這樣就保證了數據傳輸的真實性和完整性。
4.認證技術
ca認證中心。它為電子商務環境中各個實體頒發數字證書,以證明各實體身份的真實性,并負責在交易中檢驗和管理證書。它是電子商務及網上銀行操作中,具有權威性、可信賴性及公正性的第三方機構。如中國金融認證中心(cfca)。
有關的認證技術包括數字簽名與數字證書。數字簽名是指用戶用自己的私鑰對原始數據的哈希摘要進行加密所得的數據。信息接收者使用信息發送者的公鑰對數字簽名進行解密,獲得哈希摘要。并將收到的原始數據產生的哈希摘要與獲得的哈希摘要相對照,便可確信原始信息是否被篡改,這樣就保證了數據傳輸的不可否認性。數字證書是各類實體(持卡人/個人、商戶/企業、網關/銀行等)在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題。證書是一個經證書認證中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。 5.防火墻技術
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器、一個限制器,也是一個分析器,有效地監控了內部網和 internet 之間的任何活動,保證了內部網絡的安全。
關鍵詞:電子商務;安全;對策
1.電子商務的概念
到目前為止,電子商務還沒有一個明確、概括性的定義,而是不同行業領域的人們按照自己的理解為電子商務加上的各種解釋。比如歐洲議會給出的定義:電子商務是通過電子方式進行的商務活動,它通過電子方式處理和傳遞數據;美國權威學者瑞維-卡拉科塔和安德魯-惠斯頓認為:電子商務是一種現代商業方法,這種方法通過改善產品和服務質量、提高服務傳遞速度,滿足政府組織、廠商和消費者的最低成本的需求;而在IT行業則普遍認同:電子商務是利用現有的計算機硬件設備、軟件設備和網絡基礎設施,通過一定的協議連接起來的電子網絡環境進行各種各樣商務活動的方式。
從以上定義可以得出,電子商務歸根結底是商務的電子化:從廣義方面講,電子商務是指通過電子手段建立一個新的經濟秩序,它不僅涉及電子技術和商業交易本身,而且涉及到諸如政治、金融、稅務、法律等社會其他方面;從狹義方面講,電子商務是指各種具有商業活動能力和需要的實體(政府機構、金融機構等)利用計算機網絡和先進的數字化傳媒技術進行的各項商貿活動。
2.電子商務的安全現狀
世界各國對電子商務安全問題的研究非常重視,美國政府很早就致力于研究密碼技術,韓國一些公司也建立聯盟,力圖制定電子商務的標準。我國于1995年起發展電子商務安全產業,其信息安全研究經歷了通信保密、計算機數據保護兩個發展階段,市場也從小到大逐步發展起來,雖已初具規模但仍不成熟。近年來,我國因特網用戶激增,至今已超過130萬,而不少企業更是擁有自己的獨立網站,網絡交易熱潮隨之而來。根據CNNIC的《中國互聯網絡熱點調查報告》中顯示:網上購物大軍達到2000萬人,在全體互聯網網民中,有過購物經歷的網民占近20%的比例。因為Internet自身的開放性,安全事故和黑客事件時有發生,據公安部的資料,利用計算機網絡進行的各類違法行為在中國以每年30% 的速度遞增,更有媒介報道,中國95%的與Internet相連的網絡管理中心遭到過境內外黑客的攻擊或侵入,由此可見,安全隱患已成為電子商務發展的嚴重阻礙。
3.電子商務的安全隱患
3.1信息竊取
在信息傳送的過程中,如果信息沒有采用加密措施或加密強度不夠,攻擊者就有可能通過互聯網等物理或邏輯的手段,對傳輸的信息進行非法的截取和監聽,或通過對信息流量和流向等參數的分析,推出有用信息,典型手段如:“虛擬盜竊”―從Internet上竊取消費者的銀行賬號。而表現在電子商務中的信息泄露則是商業機密的泄露,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。
3.2信息篡改
網絡上的服務器可以被任意一臺連網的計算機攻擊,所以當攻擊者熟悉了網絡信息格式后,就可以通過一些技術手段和方法對正在傳輸中的信息進行修改,從而破壞信息的完整性,使數據包不能達到預期的目標。
3.3假冒他人身份
由于電子商務的實現需要借助于虛擬的網絡平臺,而在這個交易平臺上,雙方是不需要見面的,所以這就帶來了交易雙方身份的不確定性。如果沒有進行身份識別而進行交易,那攻擊者就可以通過非法手段輕易竊取合法用戶的身份資料,仿冒其身份與他人交易,這樣既獲取了非法收入,又損害了合法用戶的交易信譽。
3.4交易抵賴
傳統的交易方式是通過手寫簽名和印章來完成交易,而電子商務則是通過網絡來完成,這就容易造成交易抵賴。交易抵賴包括多個方面,如發信者事后否認曾經發送過某條信息、收信者事后否認曾經收到過某方面的消息,或是購買者做了定貨單不承認,商家因價格差異而否認原有的交易等。
3.5電腦病毒
各種電腦病毒的問世,給電子商務的安全蒙上了厚重的陰影,不少病毒直接以互聯網為載體大肆傳播,造成了嚴重的經濟損失。據臺灣“中央社”報道,趨勢科技全球防毒研究暨支持中心公布的報告指出,今年第一季度臺灣總共有3443.6986萬次計算機遭受病毒感染的案例。這個數量已接近去年全臺灣總感染數量,與去年同期比較,增幅增加高達297%。
4.電子商務安全問題的解決方案
4.1防火墻技術
防火墻是一種將內部網和公眾網分開的方法,它監管網絡數據的進出,對未經授權的訪問和數據傳遞進行篩選與屏蔽,不許外部網絡用戶以非法手段進入內部網絡,從而保證了內部網絡數據和計算機的安全。防火墻技術主要有包過濾、服務、狀態監控等技術。在電子商務中,防火墻的主要功能是防止黑客利用不安全的服務對傳輸數據和信息進行攻擊,對網絡實施檢查并監管網絡的進行狀態。
4.2數字摘要技術
通過使用單向散列函數(HASH)將需要加密的明文“摘要”成一個固定長度(128bit)的密文。該密文有固定的長度,同明文是一一對應的,其優勢在于:對于任意一個x進行HASH運算后,都有唯一一個Y值與之對應;對于任何一個Y值,想通過逆運算得出X值都是行不通的。在傳輸信息的時候將之加入文件一同發給對方,對方接到文件后,可以用相同的方法進行運算,若得到結果與發送的摘要碼相同,則表明安全,反之,則說明被篡改過。這也是電子商務領域經常用到的一種安全認證技術。
4.3身份認證技術
一般來說,可以通過CA中心的認證來確保用戶的真實身份。CA中心是一個電子認證機構,為交易的當事人進行信任擔保,數字證書就是其通過的一項重要認證。數字證書是指用電子手段來證實一個用戶的身份和對網絡資源進行訪問的權限,它是一個數字標識,可實現身份的鑒別認證。由于電子商務中的交易一般不會面對面的進行,所以對交易雙方身份的認定就成為保障電子商務交易的前提,當前數字證書的廣泛運用正說明了這個問題。
4.4病毒防范技術
電子商務的發展,一方面提高了交易效率,另一方面也為計算機病毒的傳播創造了條件。計算機病毒具有不可估量的破壞力和威脅性,所以加強計算機病毒的防治工作勢在必行。為防范病毒,可采取一下措施:(1)安裝防病毒軟件,加強內部網的整體防毒措施;(2)加強數據備份和恢復措施,做到有備無患;(3)對敏感的設備和數據要建立必要的物理或邏輯隔離措施等,防患于未然。
4.5加強電子商務法律體系的建設
從法律層面入手維護電子商務安全問題尤為重要。當前我國在電子商務法律法規方面還有很多缺失,雖然早在2005年就正式頒布實施了《電子簽名法》,但成效有限,一些犯罪分子仍鉆了法律的空子,損害了公眾的合法利益。所以我國立法部門要立足于國情,并吸取和借鑒外國立法的先進經驗,加快我國的立法進程,早日使我國的電子商務安全管理走上法制化軌道。
5.總結
電子商務的發展無可限量,與此同時安全問題將始終與之相伴,為進一步促進我國電子商務的健康有序發展,必須有效運用技術和法律這兩個有力的工具,去解決在實際應用中出現的各種問題,為我國電子商務又好又快的發展保駕護航。
參考文獻:
[1 ] 陸川. 電子商務概論[M]. 北京:對外經濟貿易大學出版社,2007
[2 ] 趙全. 網絡安全與電子商務[M]. 北京:清華大學出版社,2005
[3 ] 蔡雯. 我國電子商務安全現狀及防范對策探討[J]. 商場現代化,2008(7):53
關鍵詞:電子商務;安全;對策
1.電子商務的概念
到目前為止,電子商務還沒有一個明確、概括性的定義,而是不同行業領域的人們按照自己的理解為電子商務加上的各種解釋。比如歐洲議會給出的定義:電子商務是通過電子方式進行的商務活動,它通過電子方式處理和傳遞數據;美國權威學者瑞維-卡拉科塔和安德魯-惠斯頓認為:電子商務是一種現代商業方法,這種方法通過改善產品和服務質量、提高服務傳遞速度,滿足政府組織、廠商和消費者的最低成本的需求;而在IT行業則普遍認同:電子商務是利用現有的計算機硬件設備、軟件設備和網絡基礎設施,通過一定的協議連接起來的電子網絡環境進行各種各樣商務活動的方式。
從以上定義可以得出,電子商務歸根結底是商務的電子化:從廣義方面講,電子商務是指通過電子手段建立一個新的經濟秩序,它不僅涉及電子技術和商業交易本身,而且涉及到諸如政治、金融、稅務、法律等社會其他方面;從狹義方面講,電子商務是指各種具有商業活動能力和需要的實體(政府機構、金融機構等)利用計算機網絡和先進的數字化傳媒技術進行的各項商貿活動。
2.電子商務的安全現狀
世界各國對電子商務安全問題的研究非常重視,美國政府很早就致力于研究密碼技術,韓國一些公司也建立聯盟,力圖制定電子商務的標準。我國于1995年起發展電子商務安全產業,其信息安全研究經歷了通信保密、計算機數據保護兩個發展階段,市場也從小到大逐步發展起來,雖已初具規模但仍不成熟。近年來,我國因特網用戶激增,至今已超過130萬,而不少企業更是擁有自己的獨立網站,網絡交易熱潮隨之而來。根據CNNIC的《中國互聯網絡熱點調查報告》中顯示:網上購物大軍達到2000萬人,在全體互聯網網民中,有過購物經歷的網民占近20%的比例。因為Internet自身的開放性,安全事故和黑客事件時有發生,據公安部的資料,利用計算機網絡進行的各類違法行為在中國以每年30% 的速度遞增,更有媒介報道,中國95%的與Internet相連的網絡管理中心遭到過境內外黑客的攻擊或侵入,由此可見,安全隱患已成為電子商務發展的嚴重阻礙。
3.電子商務的安全隱患
3.1信息竊取
在信息傳送的過程中,如果信息沒有采用加密措施或加密強度不夠,攻擊者就有可能通過互聯網等物理或邏輯的手段,對傳輸的信息進行非法的截取和監聽,或通過對信息流量和流向等參數的分析,推出有用信息,典型手段如:“虛擬盜竊”—從Internet上竊取消費者的銀行賬號。而表現在電子商務中的信息泄露則是商業機密的泄露,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。
3.2信息篡改
網絡上的服務器可以被任意一臺連網的計算機攻擊,所以當攻擊者熟悉了網絡信息格式后,就可以通過一些技術手段和方法對正在傳輸中的信息進行修改,從而破壞信息的完整性,使數據包不能達到預期的目標。
3.3假冒他人身份
由于電子商務的實現需要借助于虛擬的網絡平臺,而在這個交易平臺上,雙方是不需要見面的,所以這就帶來了交易雙方身份的不確定性。如果沒有進行身份識別而進行交易,那攻擊者就可以通過非法手段輕易竊取合法用戶的身份資料,仿冒其身份與他人交易,這樣既獲取了非法收入,又損害了合法用戶的交易信譽。
3.4交易抵賴
傳統的交易方式是通過手寫簽名和印章來完成交易,而電子商務則是通過網絡來完成,這就容易造成交易抵賴。交易抵賴包括多個方面,如發信者事后否認曾經發送過某條信息、收信者事后否認曾經收到過某方面的消息,或是購買者做了定貨單不承認,商家因價格差異而否認原有的交易等。
3.5電腦病毒
各種電腦病毒的問世,給電子商務的安全蒙上了厚重的陰影,不少病毒直接以互聯網為載體大肆傳播,造成了嚴重的經濟損失。據臺灣“中央社”報道,趨勢科技全球防毒研究暨支持中心公布的報告指出,今年第一季度臺灣總共有3443.6986萬次計算機遭受病毒感染的案例。這個數量已接近去年全臺灣總感染數量,與去年同期比較,增幅增加高達297%。
4.電子商務安全問題的解決方案
4.1防火墻技術
防火墻是一種將內部網和公眾網分開的方法,它監管網絡數據的進出,對未經授權的訪問和數據傳遞進行篩選與屏蔽,不許外部網絡用戶以非法手段進入內部網絡,從而保證了內部網絡數據和計算機的安全。防火墻技術主要有包過濾、服務、狀態監控等技術。在電子商務中,防火墻的主要功能是防止黑客利用不安全的服務對傳輸數據和信息進行攻擊,對網絡實施檢查并監管網絡的進行狀態。
4.2數字摘要技術
通過使用單向散列函數(HASH)將需要加密的明文“摘要”成一個固定長度(128bit)的密文。該密文有固定的長度,同明文是一一對應的,其優勢在于:對于任意一個x進行HASH運算后,都有唯一一個Y值與之對應;對于任何一個Y值,想通過逆運算得出X值都是行不通的。在傳輸信息的時候將之加入文件一同發給對方,對方接到文件后,可以用相同的方法進行運算,若得到結果與發送的摘要碼相同,則表明安全,反之,則說明被篡改過。這也是電子商務領域經常用到的一種安全認證技術。
4.3身份認證技術
一般來說,可以通過CA中心的認證來確保用戶的真實身份。CA中心是一個電子認證機構,為交易的當事人進行信任擔保,數字證書就是其通過的一項重要認證。數字證書是指用電子手段來證實一個用戶的身份和對網絡資源進行訪問的權限,它是一個數字標識,可實現身份的鑒別認證。由于電子商務中的交易一般不會面對面的進行,所以對交易雙方身份的認定就成為保障電子商務交易的前提,當前數字證書的廣泛運用正說明了這個問題。
4.4病毒防范技術
電子商務的發展,一方面提高了交易效率,另一方面也為計算機病毒的傳播創造了條件。計算機病毒具有不可估量的破壞力和威脅性,所以加強計算機病毒的防治工作勢在必行。為防范病毒,可采取一下措施:(1)安裝防病毒軟件,加強內部網的整體防毒措施;(2)加強數據備份和恢復措施,做到有備無患;(3)對敏感的設備和數據要建立必要的物理或邏輯隔離措施等,防患于未然。
4.5加強電子商務法律體系的建設
從法律層面入手維護電子商務安全問題尤為重要。當前我國在電子商務法律法規方面還有很多缺失,雖然早在2005年就正式頒布實施了《電子簽名法》,但成效有限,一些犯罪分子仍鉆了法律的空子,損害了公眾的合法利益。所以我國立法部門要立足于國情,并吸取和借鑒外國立法的先進經驗,加快我國的立法進程,早日使我國的電子商務安全管理走上法制化軌道。
5.總結
電子商務的發展無可限量,與此同時安全問題將始終與之相伴,為進一步促進我國電子商務的健康有序發展,必須有效運用技術和法律這兩個有力的工具,去解決在實際應用中出現的各種問題,為我國電子商務又好又快的發展保駕護航。
參考文獻:
[1 ] 陸川. 電子商務概論[M]. 北京:對外經濟貿易大學出版社,2007
[2 ] 趙全. 網絡安全與電子商務[M]. 北京:清華大學出版社,2005
[3 ] 蔡雯. 我國電子商務安全現狀及防范對策探討[J]. 商場現代化,2008(7):53
【摘要】網絡金融安全問題是特定歷史發展階段的問題,是應對金融全球化負面影響的產物。網上銀行的安全既是用戶最關心的問題,也是輿論長期關注的焦點。文章首先探討網絡金融概念特點,繼而分析我國網絡金融安全現狀,最后提出改善我國網絡金融安全幾點對策。
【關鍵詞】網絡金融;風險;電子貨幣;對策 網絡金融安全
是一項系統工程,涉及硬件、軟件、防火墻、網絡監控、身份認證、通信加密、災難恢復、安全掃描等多個安全要素。而網絡金融安全問題關乎我國的經濟安全甚至國家安全。因此,必須站在更高的層面審視網絡金融安全問題。
一、網絡金融概念特點
(一)概念
網絡金融,又稱電子金融(e-finance),是一種通過個人電腦、通信終端或其他智能設備,借助國際互聯網和通信技術無境域限制的聯結客戶與金融機構,以實現及時獲取經濟金融信息、享受網上金融服務、開展網上金融交易的金融活動。網絡金融包括在線銀行、網上保險、網上證券、網上期貨、網上支付、網上結算等金融業務。
網絡金融安全,是指金融網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務暢通快捷。網絡金融安全包括系統安全和信息安全兩個部分,系統安全主要指網絡設備的硬件、操作系統以及應用軟件的安全,信息安全主要指各種信息的存儲、傳輸和訪問的安全。
(二)特點
世界第一家網絡銀行——美國安全第一網絡銀行(SFNB)自1995年10月18日開業以來,國際金融界掀起了一股網絡銀行浪潮。這一金融創新正徹底顛覆了金融業和金融市場的業態,銀行由實體化向虛擬化發展,金融服務的時空界限不再明顯。與傳統金融相比,網絡金融具有以下一些特點:
無界性。網絡金融的無界性主要是指金融活動無時空局限,打破傳統的金融服務時間、境域、空間、方式等限制。網絡經營企業只要開通網絡金融業務,世界各地的上網用戶皆可能在任一時間、任一地點、以任一方式成為其客戶,并以商家愿意接受的任一電子貨幣支付,交易地域模糊性給計量造成困難。
3、低成本。虛擬形態的網絡銀行交易成本遠小于物理形態的金融機構經營成本,而且服務效率得到提高、服務質量沒有降低。這是網絡金融得以出現并迅速發展的最主要原因。
4、加密性。傳統金融下交易過程依賴于物理設置和現場辦公,而網絡金融下交易過程采取技術上加密算法或認證系統的變更或認證來實現。
5、信用性。電子貨幣和網絡金融的發展,使得一些電子商務公司等非金融機構涉足短期電子商業信貸、中介支付、投資理財顧問等金融或準金融業務,而金融交易信息傳輸保存的安全性、客戶個人信息、交易信息和財務信息的保護日益受到公眾的關注。無疑,人的信用價值以及游戲規則的固化是網絡金融快速發展基石。
二、網絡金融安全現狀
網絡金融安全伴隨著網上交易的整個過程。主要有兩個方面:一是來自金融機構內部,網絡系統自身的安全以及自身的管理水平和內控能力。如由于軟硬件配置不匹配、系統設計不合理、運行不穩定等形成的安全隱患;二是來自于金融機構外部,取決于選擇的開發商、供應商、咨詢或評估公司的水平,以及其他各種外來因素如黑客攻擊、自然災害侵襲等所造成的安全問題。
有關調查表明,目前國內80%的網站都存在安全隱患,其中有20%網站的安全問題還十分嚴重。安全問題已日益成為困擾網上金融交易的最大問題,影響我國網上金融業務的健康發展。網絡金融活動中的安全隱患,主要表現在:
網絡系統漏洞。互聯網本身固有的技術體制存在缺陷。基于遠程通信的便利,互聯網并未考慮安全性問題,因而基于信任主機之間的通信而設計的TCP/IP協議缺乏安全機制,建立在互聯網絡為基礎的金融網絡系統存在安全漏洞,防毒軟件功能不強,造成網絡運行不穩定,被病毒入侵、被黑客攻擊,輕者數據毀壞丟失,重者燒毀硬件。目前全球的黑
客攻擊事件,40%是針對金融系統的,我國則高達60%以上。
3、交易系統缺陷。按照我國有關規定,金融機構的網上業務要達到三級安全標準,但目前大多數金融機構的安全狀況都未達到這一要求,其自行開發、應用的網上交易系統大多未經過權威部門的檢測認證,存在安全控制技術落后、安全防范措施不到位、抗攻擊能力不強、響應滯后、訪問授權混亂、客戶地址及郵箱等資源保護不力等情況。出現系統虛假信息泛濫;賬戶密碼被黑客破譯,數據資料、交易指令被篡改,資金被盜取,股票、債券、基金等金融資產被盜賣;信息傳遞的私密性、真實性、完整性、不可否認性缺乏保障等等現象。
4、交易監管滯后。由于網絡金融交易的不透明、虛擬性、開放性,增大了交易者之間身份確認、交易真實性驗證、信用評價方面的信息不對稱,決定了網上支付和結算系統全球化,提高了信用風險程度。目前,我國網絡金融運作監管經驗不足、手段不全、技術落后、分業網上監管職責界定不清、內控制度不健全、網上業務定期內部審計流于形式,出現了網上業務運作中密碼控制不嚴、軟件控制功能薄弱、授權機制執行不力等問題。
5、協同機制缺乏。各銀行網絡系統各自為政,各行間信息隔絕,缺乏溝通協作。有的商業銀行將其銀行網絡系統拓撲結構、建設實施方案等作為絕密材料被保存,行業間數據資源共享是一道屏障,造成資源資金浪費,延誤了整個金融業的發展。 6、應急預案缺失。除上述種種因素外,金融機構未對停電、暴力犯罪等人為因素以及地震等自然災害等突發性不確定事件的發生制定切實可行的應急預案,在一定程度上影響著網絡金融的運行安全。
三、網絡金融安全對策
強化技術防范。網絡金融安全防范中,技術防范是關鍵。金融企業應制定全面周密的軟硬件裝備升級換代方案,即時引進和應用符合國家安全標準具有較高安全系數的金融電子化軟件平臺和金融電子設備核心技術,保證計算機應用軟件的不斷升級,維護網絡系統健康運行。要配備性能良好的內外網絡防火墻、病毒防御與殺毒軟件,定期升級,嚴格網絡登錄口(下轉第235頁)(上接第233頁)令管理等。要采用數字證書等較高級別的網絡加密技術,設置交易中的客戶身份認證和交易密碼。此外,要進一步加大投入,網絡信息安全產品,研發網絡安全系統、語音鑒別系統、電子轉賬系統、智能卡識別系統、管理信息系統等,提高金融裝備國產化水平,夯實金融安全基礎。
3、加緊人才培養。網絡金融機構要培養一批既掌握計算機枝術、網絡技術、通信技術,又掌握金融實務和管理知識的復合型高級技術人才和管理人才。從國家層面講,要積極培養政治過硬、技術全面、業務精湛、作風扎實的金融執法隊伍,提高金融執法人員素質,嚴厲懲治金融犯罪和違法、違規活動。從企業層面講,要通過不間斷的全員培訓培養教育,讓全體從業人員全面了解網絡技術安全缺陷,充分認識潛在的網絡安全隱患危害性,掌握必要的軟件系統安全技術、數據信息安全技術、病毒防治技術等。要通過改善硬件設施和辦公條件,提高從業人員素質,提高員工業務水平,盡可能減少操作失誤帶來的麻煩,保證網絡金融企業的經濟穩定運行和持續發展。
4、加強內部控制。網絡金融機構要參照相關的法規條例,制定各項安全管理制度,包括業務操作規程、計算機網絡、數據庫、病毒防治、密鑰等安全管理制度。要加強人員變動管理,及時注銷、移交和變更原有的密鑰等信息資料。要建立數據備份中心,實現數據可追溯性。
5、加強預警監控。掌控網絡金融風險重在預警評估與防范。網絡金融機構,要建立網絡金融風險預警機制,專人監控業務運行,加工處理數據,研究數據指標,制定網絡金融風險應急處理預案,發現指標逼近預警線,果斷采取風險防范措施以應對。
6、加強監管合作。面對網絡金融市場高度國際化,大部分金融交易依賴于電子網絡,網絡銀行資金日趨龐大和資金流動速度加快,但由于網絡技術發展存在先天性缺陷——技術漏洞,使得網絡安全成為制約網絡金融發展的最大障礙。我國金融管理機構有必要適時同外國金融監管當局開展廣泛的國際合作,溝通信息,打擊犯罪,規范業務合作的程序,交換網絡監管措施,創造網絡金融活動的準則。
[2]熊建宇.網絡金融的特點及安全體系構建[J].科技信息,2010(31).
[關鍵詞] 電子商務 安全 對策
基于Internet開展的電子商務己逐漸成為人們進行商務活動的新模式,電子商務的發展前景十分誘人。但安全問題是制約其發展的重要因素,是關系到電子商務系統能否成功運行的最為重要的問題。如何建立一個安全、便捷的電子商務應用環境,保證整個商務活動中信息的安全性,使基于Internet的電子交易方式與傳統交易方式一樣安全可靠,已經成為大家十分關心的問題。
一、電子商務的安全現狀和存在的問題
1.網絡統存在的安全隱患
Internet為人類交換信息,促進科學、技術、文化、教育、生產的發展,提高現代人的生活質量提供了極大的便利,但同時對國家、單位和個人的信息安全帶來極大的威脅。由于網絡的全球性、開放性、無縫連接性、共享性、動態性發展,使得任何人都可以自由地接入Internet,其中有善者,也有惡者。惡者會采用各種攻擊手段進行破壞活動。他們對網絡系統的主要威脅有:
(1)系統穿透:未經授權而不能接入系統的人通過一定手段對認證性進行攻擊,假冒合法人接入系統,實現對文件進行篡改和竊取機密信息。非法使用資源等。一般采取偽裝或利用系統的薄弱環節、收集情報等方式實現。
(2)違反授權原則:一個授權進入系統做某件事的合法用戶,它在系統中做未經授權的其他事情,威脅系統的安全。
(3)植入:一般在系統穿透或違反授權攻擊成功之后,入侵者為了為以后的攻擊提供方便,常常在系統中植入一種能力,如向系統中注入病毒、后門、特洛尹木馬等來破壞系統工作。
(4)通信監視:這是在通信過程中從信道進行搭線竊聽的方式。軟硬件皆可以實現,硬件通過無線電和電磁泄漏等來截獲信息,軟件則是利用信息在網絡上傳輸的特點對流過本機的信息流進行截獲和分析。
(5)通信竄擾:攻擊者對通信數據或通信過程進行干預,對完整性進行攻擊,篡改系統中數據的內容,修正消息次序、時間,注入偽造消息。
(6)中斷:對可用性行攻擊,破壞系統中的硬件、硬盤、線路、文件系統等,使系統不能正常工作,破壞信息和網絡資源。
(7)拒絕服務:指的是系統由于被破壞者攻擊而拒絕給合法的用產提供正常的服務。例如在WINNT的早先版本的115服務器中就有bug,破壞者可以利用它將大量垃圾信息發往某個特定的端口,使服務器因為處理這些請求而占用大量資源,從而不能處理合法用戶的正常請求。
(8)否認:一個實體進行某種通信或交易活動,稍后否認曾進行過這一活動。
2.電子商務系統的安全問題
由于因特網早期構建時并未考慮到以后的商業應用,因此使用了TCP/IP協議及源碼開放與共享策略,為后來的商業應用帶來了一系列的安全隱患。在電子商務過程中,買賣雙方是通過網絡來聯系,因而建立交易雙方的安全和信任關系相當困難。電子商務交易雙方都面臨安全威脅。
(1)賣方面臨的安全威脅主要有:
①中央系統安全性被破壞:入侵者假冒成合法用戶來改變用戶數據、解除用戶訂單或生成虛假訂單。
②競爭者檢索商品遞送狀況:惡意競爭者以他人的名義來訂購商品,從而了解有關商品的遞送狀況和貨物的庫存情況。
③客戶資料被競爭者獲悉。
④被他人假冒而損害公司的信譽:不誠實的人建立與銷售者服務器名字相同的另一個WWW服務器來假冒銷售者。
⑤買方提交訂單后不付款。
⑥虛假訂單。
(2)買方面臨的安全威脅主要有:
①虛假訂單:一個假冒者可能會以客戶的名字來訂購商品,而且有可能收到商品,而假冒的合法客戶卻被要求付款或返還商品。
②付款后不能收到商品:在要求客戶付款后,銷售商中的內部人員不將訂單和錢轉發給執行部門,因而使客戶不能收到商品。
③機密性喪失:客戶有可能將秘密的個人數據或自己的身份數據發送給冒充銷售商的機構,這些信息也可能會在傳遞過程中被竊取。
④拒絕服務:攻擊者可能向銷售商的服務器發送大量的虛假訂單來擠占它的資源,從而使合法用戶不能得到正常的服務。
二、防范電子商務安全問題的對策
電子商務的安全問題涉及到電子商務的各個環節和參加交易的各個方面,解決電子商務的安全問題是一個系統工程和社會問題,需全社會的參與。我們可以從以下幾個方面對電子商務安全問題進行防范:
1.構建電子商務信息安全技術框架體系
在電子商務的交易中,電子商務的安全性主要是網絡安全和交易信息的安全。而網絡安全是指網絡操作系統對抗網絡攻擊、病毒,使網絡系統連續穩定的運行,常用的保護措施有防火墻技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密和交易雙方身份的確認,可以用信息加密技術、數字證書和認證技術、SSL安全協議、SET等技術來保護。
2.積極推進電子商務立法
我國政府要加強對電子商務的研究,要加快立法進程,健全電子商務法律體系,建立規范電子商務的靈活法律框架,使電子商務實現公開、合理、合法化。這樣不僅可保障進行電子商務各方面的利益,而且還可保障電子商務的順利進行。
綜上所述,由于在電子商務的交易過程中,安全問題涉及到電子商務的各個環節和參加交易的各個方面,因此需要采取不同的對策來解決。另外,交易過程除涉及交易雙方外,還涉及到網上銀行、認證中心和法律等各方面的問題,因此電子商務安全問題的解決是一個系統工程。
參考文獻:
關鍵詞:信息竊取 信息篡改 加密技術 防火墻
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加,超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
