電子商務(wù)安全風(fēng)險(xiǎn)及對(duì)策淺析

電子商務(wù)平安風(fēng)險(xiǎn)及對(duì)策淺析學(xué)生：余靜嫻指導(dǎo)老師：陽(yáng)國(guó)華摘要：隨著近年來(lái)，網(wǎng)絡(luò)﹑通信和信息技術(shù)快速發(fā)展和日益融合,網(wǎng)絡(luò)在全球快速普及，促進(jìn)電子商務(wù)的蓬勃發(fā)展。本文認(rèn)為電子商務(wù)發(fā)展中存在支付交易、信息及數(shù)據(jù)泄露、篡改、偽造和詐騙等平安問(wèn)題，闡述了電子商務(wù)平安體系及平安技術(shù)和對(duì)策淺析。關(guān)鍵詞：電子商務(wù)；平安技術(shù)；運(yùn)用；平安體系；防火墻前言所謂電子商務(wù)是指商務(wù)活動(dòng)的電子化實(shí)現(xiàn)，即通過(guò)電子化手段來(lái)實(shí)現(xiàn)傳統(tǒng)的商務(wù)活動(dòng)。其優(yōu)點(diǎn)：電子商務(wù)可以降低商家的運(yùn)營(yíng)成本，提高其利潤(rùn)率；可以擴(kuò)大商品銷(xiāo)路，建立企業(yè)和企業(yè)之間的聯(lián)系渠道，為客戶(hù)供應(yīng)不間斷的產(chǎn)品信息查詢(xún)和訂單處理等服務(wù)。但是作為電子商務(wù)重要組成部分的支付問(wèn)題就顯得越來(lái)越突出，平安的電子支付是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵環(huán)節(jié)，而擔(dān)心全的電子支付不能真正實(shí)現(xiàn)電子商務(wù)。電子商務(wù)網(wǎng)絡(luò)及本身存在的平安隱患問(wèn)題目前，我國(guó)的電子商務(wù)存在普遍的竊取信息現(xiàn)象，不利于電子商務(wù)數(shù)據(jù)信息的平安管理。我們從兩個(gè)典型案例說(shuō)起：案例一：淘寶“錯(cuò)價(jià)門(mén)”。互聯(lián)網(wǎng)上從來(lái)不乏標(biāo)價(jià)1元的商品。近日，淘寶網(wǎng)上大量商品標(biāo)價(jià)1元，引發(fā)網(wǎng)民爭(zhēng)先恐后哄搶?zhuān)侵蠛芏嘤唵伪惶詫毦W(wǎng)取消。隨后，淘寶網(wǎng)發(fā)布公告稱(chēng)，此次事務(wù)為第三方軟件“團(tuán)購(gòu)寶”交易異樣所致。部分網(wǎng)民和商戶(hù)詢(xún)問(wèn)“團(tuán)購(gòu)寶”客服得到自動(dòng)回復(fù)稱(chēng)：“服務(wù)器可能被攻擊，已聯(lián)系技術(shù)緊急處理。案例一簡(jiǎn)析：目前，我國(guó)電子商務(wù)領(lǐng)域平安問(wèn)題日益凸顯，比如，支付寶或者網(wǎng)銀被盜現(xiàn)象頻頻發(fā)生，給用戶(hù)造成越來(lái)越多的損失，這些現(xiàn)象對(duì)網(wǎng)絡(luò)交易和電子商務(wù)提出了警示。然而，監(jiān)管不力導(dǎo)致消費(fèi)者權(quán)益難以愛(ài)護(hù)。公安機(jī)關(guān)和電信管理機(jī)關(guān)、電子商務(wù)管理機(jī)關(guān)應(yīng)當(dāng)高度重視電子商務(wù)暴露的平安問(wèn)題，嚴(yán)格執(zhí)法、主動(dòng)介入，徹查一些嚴(yán)峻影響互聯(lián)網(wǎng)電子商務(wù)平安的惡性事務(wù)，切實(shí)愛(ài)護(hù)消費(fèi)者權(quán)益，維護(hù)我國(guó)電子商務(wù)健康有序的發(fā)展。案例二：黑客攻擊電子商務(wù)網(wǎng)站。國(guó)外幾年前就曾經(jīng)發(fā)生過(guò)電子商務(wù)網(wǎng)站被黑客入侵的案例，國(guó)內(nèi)的電子商務(wù)網(wǎng)站近兩年也發(fā)生過(guò)類(lèi)似事務(wù)。浙江義烏一些大型批發(fā)網(wǎng)站曾經(jīng)遭到黑客近一個(gè)月的輪番攻擊，網(wǎng)站圖片幾乎都不能顯示，每天流失訂單金額達(dá)上百萬(wàn)元。阿里巴巴網(wǎng)站也曾確認(rèn)受到不明身份的網(wǎng)絡(luò)黑客攻擊，這些黑客實(shí)行多種手段攻擊了阿里巴巴在我國(guó)大陸和美國(guó)的服務(wù)器，企圖破壞阿里巴巴全球速賣(mài)通臺(tái)的正常運(yùn)營(yíng)。隨著國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)電子商務(wù)也將快速發(fā)展并給人們帶來(lái)更大便利，但是由此也將帶來(lái)更多的平安隱患。黑客針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的竊聽(tīng)能獲得用戶(hù)的通信內(nèi)容、侵?jǐn)_用戶(hù)的隱私權(quán)。案例二簡(jiǎn)析：黑客攻擊可以是多層次、多方面、多種形式的。攻擊電子商務(wù)平臺(tái)，黑客可以輕松賺取巨大的、實(shí)實(shí)在在的經(jīng)濟(jì)利益。比如：竊取某個(gè)電子商務(wù)企業(yè)的用戶(hù)資料，販賣(mài)用戶(hù)的個(gè)人信息；破解用戶(hù)個(gè)人賬號(hào)密碼，可以冒充他人購(gòu)物，并把商品貨物發(fā)給自己。黑客有可能受經(jīng)濟(jì)利益驅(qū)使，也有可能是同業(yè)者暗箱操作打擊競(jìng)爭(zhēng)對(duì)手。攻擊電子商務(wù)企業(yè)后臺(tái)系統(tǒng)的往往是專(zhuān)業(yè)的黑客團(tuán)隊(duì)，要想防范其入侵，難度頗大。尤其是對(duì)于一些中小型電子商務(wù)網(wǎng)站而言，比如數(shù)量浩大的團(tuán)購(gòu)網(wǎng)站，對(duì)抗黑客入侵更是有些力不從心。假如大量電子商務(wù)企業(yè)后臺(tái)系統(tǒng)的平安得不到保障，我國(guó)整個(gè)電子商務(wù)的發(fā)展也將面臨極大威逼。從上述兩個(gè)案例可以看出，網(wǎng)絡(luò)平安入侵者可以利用電子商務(wù)路由器或者網(wǎng)關(guān)截獲數(shù)據(jù)信息，并且他們經(jīng)過(guò)多次反復(fù)的竊取信息，便可以有效的找出電子商務(wù)貿(mào)易的一般規(guī)律或者貿(mào)易格式，從而造成電子商務(wù)網(wǎng)上交易的擔(dān)心全，甚至造成網(wǎng)絡(luò)相關(guān)數(shù)據(jù)信息的丟失和泄露，引發(fā)一系列的﹑不行估量的嚴(yán)峻后果。當(dāng)網(wǎng)絡(luò)入侵者截獲他們須要的有用信息，駕馭了電子商務(wù)規(guī)律，他們通過(guò)破譯方法或手段，將電子商務(wù)信息進(jìn)行隨意的篡改，將改過(guò)的信息交給交易方，這樣會(huì)影響電子商務(wù)交易秩序的混亂，導(dǎo)致部分企業(yè)破產(chǎn)崩潰。偽造身份冒充合法的交易者參加交易，對(duì)電子商務(wù)協(xié)議進(jìn)行攻擊。惡意破壞刪節(jié)通信信息中的數(shù)據(jù)，取消用戶(hù)訂單，生成虛假信息。協(xié)議參加方對(duì)交易進(jìn)行抵賴(lài)，否認(rèn)交易結(jié)果以及交易方在多次交易的表現(xiàn)不誠(chéng)懇，服務(wù)低劣等各種問(wèn)問(wèn)題?？傊娮由虅?wù)網(wǎng)路有待提高。二﹑電子商務(wù)平安體系組成（一）物理平安電子商務(wù)物理平安主要是指為了愛(ài)護(hù)電子商務(wù)系統(tǒng)平安牢靠的運(yùn)行，確保在交易，處理，傳輸過(guò)程中不受人為或自然災(zāi)難危害，而對(duì)計(jì)算機(jī)，網(wǎng)絡(luò)設(shè)備，設(shè)施，環(huán)鏡實(shí)行的平安的措施。主要包括：物理位置的選擇，防盜竊防破壞，防雷擊，靜電等。目的主要使存放計(jì)算機(jī)﹑網(wǎng)絡(luò)設(shè)備的機(jī)房，電子商務(wù)系統(tǒng)的的設(shè)備和存儲(chǔ)設(shè)備的介質(zhì)等免受物理環(huán)境﹑自然災(zāi)難及人為操作等各種威逼所產(chǎn)生的攻擊。物理平安是防護(hù)電子商務(wù)系統(tǒng)平安的最底層，缺乏物理平安，其他任何措施都是無(wú)意義的。（二）網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安為電子商務(wù)在網(wǎng)絡(luò)環(huán)境下的平安運(yùn)行供應(yīng)支持。一方面，確保網(wǎng)絡(luò)設(shè)備的平安運(yùn)行，供應(yīng)有效的網(wǎng)絡(luò)服務(wù)；另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性，完整性和可用性等。包括：網(wǎng)絡(luò)結(jié)構(gòu)，訪(fǎng)問(wèn)限制，入侵防范，惡意代碼防范等。重要信息系統(tǒng)的網(wǎng)絡(luò)平安要求對(duì)網(wǎng)絡(luò)邊界的訪(fǎng)問(wèn)限制做出更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號(hào)訪(fǎng)問(wèn)，不允許數(shù)據(jù)帶通用協(xié)議通用。網(wǎng)絡(luò)平安審計(jì)應(yīng)著眼于系統(tǒng)全局，做出集中審計(jì)分析，以便得到更多的綜合信息。主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶(hù)選擇兩種或兩種以上組合的鑒別信息至少應(yīng)有一種是不行偽造的，以加強(qiáng)對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。（三）主機(jī)平安主機(jī)系統(tǒng)平安是包括服務(wù)器，終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的平安。保障主機(jī)系統(tǒng)平安的措施包括：身份鑒別，平安標(biāo)記，訪(fǎng)問(wèn)限制，惡意代碼防范，剩余信息和資源限制等。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序﹑網(wǎng)絡(luò)﹑WEB﹑文件與通信等服務(wù)器。主機(jī)系統(tǒng)是構(gòu)成電子商務(wù)系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)平安是愛(ài)護(hù)電子商務(wù)系統(tǒng)平安的中堅(jiān)力氣。（四）應(yīng)用平安通過(guò)網(wǎng)絡(luò)，主機(jī)系統(tǒng)的平安防范，應(yīng)用平安成為電子商務(wù)系統(tǒng)整體防衛(wèi)的最終一道防線(xiàn)。在應(yīng)用層面運(yùn)行著電子商務(wù)系統(tǒng)基于網(wǎng)絡(luò)的運(yùn)用以及特定業(yè)務(wù)的應(yīng)用?；诰W(wǎng)絡(luò)的運(yùn)用是形成其他應(yīng)用的基礎(chǔ)，包括信息發(fā)送﹑Web閱讀器等可以說(shuō)是基本的應(yīng)用。應(yīng)用平安系統(tǒng)主要涉及的技術(shù)包括身份鑒別﹑平安標(biāo)記﹑訪(fǎng)問(wèn)限制﹑資源限制﹑保密性﹑抗抵性﹑軟件容錯(cuò)等。（五）數(shù)據(jù)平安及備份復(fù)原電子商務(wù)系統(tǒng)處理的各種數(shù)據(jù)在維持系統(tǒng)正常運(yùn)行著起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞，都會(huì)在肯定程度上造成影響，從而危害到系統(tǒng)的正常運(yùn)行三、電子商務(wù)平安技術(shù)為了保障電子商務(wù)系統(tǒng)的的基本平安，下面一系列平安技術(shù)用于保障電子商務(wù)活動(dòng)的平安，可信。（一）數(shù)據(jù)加密技術(shù)加密技術(shù)是解決網(wǎng)絡(luò)信息平安問(wèn)題的技術(shù)核心，通過(guò)數(shù)據(jù)加密技術(shù)，可以很大程度上提高數(shù)據(jù)傳輸?shù)钠桨残?，保證傳輸數(shù)據(jù)的完整性。數(shù)據(jù)加密技術(shù)主要分為對(duì)稱(chēng)密碼加密和公鑰密碼加密。數(shù)據(jù)加密按不同應(yīng)用分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。常用的數(shù)據(jù)加密算法有很多種。古典密碼算法有替代加密，置換加密，常用的對(duì)稱(chēng)加密算法包括DES和AES，常用的非對(duì)稱(chēng)加密算法包括RSA，ECC等。目前在數(shù)據(jù)通信中運(yùn)用最普遍的算法有AES算法，RSA算法和ECC等。公鑰密碼加密技術(shù)可用于對(duì)消息進(jìn)行數(shù)字簽名。（二）數(shù)據(jù)完整性技術(shù)數(shù)據(jù)的完整性就是防止非法篡改信息，如修改，復(fù)制，插入，刪除等。在交易過(guò)程中，要確保通信雙方接收到的數(shù)據(jù)和從數(shù)據(jù)源發(fā)出的數(shù)據(jù)完全一樣，數(shù)據(jù)在傳輸和存儲(chǔ)的過(guò)程中不能被篡改。保障數(shù)據(jù)完整性最常用的技術(shù)是通過(guò)散列函數(shù)和數(shù)字簽名技術(shù)實(shí)現(xiàn)數(shù)據(jù)完整性愛(ài)護(hù)。任何原始數(shù)據(jù)的變更都會(huì)在相同的計(jì)算條件下產(chǎn)生不同的MAC。這樣，在傳輸和存儲(chǔ)數(shù)據(jù)時(shí)，附帶上該消息的MAC通過(guò)驗(yàn)證該消息的MAC是否變更，來(lái)高效的，精確地推斷原始數(shù)據(jù)是否變更，從而保證數(shù)據(jù)的完整性。目前國(guó)際采納的算法有SHA-1,MD-5.認(rèn)證技術(shù)常見(jiàn)的認(rèn)證包括2類(lèi)：對(duì)實(shí)體身份的認(rèn)證和對(duì)數(shù)據(jù)來(lái)源的真實(shí)性的認(rèn)證。進(jìn)行驗(yàn)證的方法主要有2類(lèi)：基于口令的身份驗(yàn)證，基于公鑰密碼學(xué)技術(shù)的身份驗(yàn)證，而對(duì)數(shù)據(jù)來(lái)源的真實(shí)性的認(rèn)證主要采納基于公鑰密碼學(xué)技術(shù)的身份認(rèn)證。信息系統(tǒng)中應(yīng)確?？诹钚畔⒃谕ㄐ磐ǖ纻鬏斨泻驮诖鎯?chǔ)期間的平安，避開(kāi)被入侵者從磁盤(pán)數(shù)據(jù)文件中竊取或從通信通道截獲。最常用的方法就是加“鹽”的單向散列函數(shù)對(duì)口令進(jìn)行處理。基于公鑰密碼學(xué)技術(shù)的數(shù)字證書(shū)認(rèn)證體系又稱(chēng)為PKI,PKI系統(tǒng)中有一個(gè)或多個(gè)權(quán)威的CA機(jī)構(gòu)進(jìn)行數(shù)字證書(shū)簽發(fā)和管理。由于數(shù)據(jù)證書(shū)帶有CA機(jī)構(gòu)的簽名，其真實(shí)性易于驗(yàn)證。此外，簽名也可作為發(fā)送者發(fā)送信息和接收者接受信息的不行否認(rèn)證據(jù)，防止實(shí)體對(duì)信息的抵賴(lài)。CA認(rèn)證機(jī)構(gòu)既能實(shí)現(xiàn)單向驗(yàn)證，既能用于實(shí)體身份的信任，又能用于通信數(shù)據(jù)的信任。（四）防抵賴(lài)技術(shù)不行否認(rèn)性是電子商務(wù)，電子政務(wù)等系統(tǒng)中必須要解決的問(wèn)題之一，不行抵賴(lài)服務(wù)就是防止通信中的任何一方試圖對(duì)已發(fā)生的特定事務(wù)或行為的欺詐性抵賴(lài)，為此，不行抵賴(lài)服務(wù)供應(yīng)不行抵賴(lài)證據(jù)的產(chǎn)生，收集和維護(hù)機(jī)制，用于對(duì)日后可能產(chǎn)生的法律糾紛進(jìn)行仲裁?；镜牟恍械仲?lài)服務(wù)包括：1﹑發(fā)送方不行否認(rèn)（Non-RepudiationofOrigin,NRO）：為消息接收供應(yīng)發(fā)送信息的證據(jù)，防止發(fā)送信息方試圖否認(rèn)曾經(jīng)發(fā)送過(guò)消息。證據(jù)的供應(yīng)者就是信息發(fā)送者。2﹑接收方不行否認(rèn)（Non-RepudiationofReceipt,NRR）：為發(fā)送信息方供應(yīng)消息已接受的證據(jù)，防止接收方試圖否認(rèn)曾經(jīng)受到的信息。證據(jù)的供應(yīng)者是信息接受方。（五）訪(fǎng)問(wèn)限制技術(shù)訪(fǎng)問(wèn)限制是指用戶(hù)身份及其歸屬的的某組來(lái)限制用戶(hù)對(duì)信息項(xiàng)的訪(fǎng)問(wèn)，或限制對(duì)某些限制功能的運(yùn)用。訪(fǎng)問(wèn)限制通常用于系統(tǒng)管理員限制用戶(hù)對(duì)服務(wù)器的，書(shū)目，文件等網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)。訪(fǎng)問(wèn)限制的功能主要有：防止非法的主體進(jìn)入受愛(ài)護(hù)的系統(tǒng)的資源；允許合法用戶(hù)訪(fǎng)問(wèn)受愛(ài)護(hù)的系統(tǒng)資源；防止合法的用戶(hù)對(duì)受愛(ài)護(hù)的系統(tǒng)資源進(jìn)行非授權(quán)的訪(fǎng)問(wèn)。目前主要應(yīng)用的的訪(fǎng)問(wèn)限制類(lèi)型有自主訪(fǎng)問(wèn)限制和強(qiáng)制訪(fǎng)問(wèn)限制兩大類(lèi)。自主訪(fǎng)問(wèn)限制是指用戶(hù)有權(quán)對(duì)自身所創(chuàng)建的訪(fǎng)問(wèn)對(duì)象（文件，數(shù)據(jù)表等）進(jìn)行訪(fǎng)問(wèn)，并可將對(duì)這些對(duì)象的訪(fǎng)問(wèn)權(quán)限。強(qiáng)制訪(fǎng)問(wèn)限制是指由系統(tǒng)（通過(guò)特地設(shè)置的系統(tǒng)平安員）對(duì)用戶(hù)所創(chuàng)建的對(duì)象進(jìn)行系統(tǒng)的強(qiáng)制性限制，依據(jù)規(guī)定的規(guī)則確定哪些用戶(hù)可以對(duì)哪些對(duì)象進(jìn)行什么操作系統(tǒng)類(lèi)型的訪(fǎng)問(wèn)，即使是創(chuàng)建者用戶(hù)，在創(chuàng)建一個(gè)對(duì)象后，也可能無(wú)權(quán)訪(fǎng)問(wèn)該對(duì)象。（六）其他信息平安技術(shù)除了以上幾類(lèi)最基本的信息平安技術(shù)以外，常用的平安技術(shù)還包括：平安審計(jì)與取證技術(shù)；平安掃描技術(shù)；反病毒反木馬技術(shù)；入侵檢測(cè)技術(shù)；防火墻技術(shù)；容錯(cuò)和數(shù)據(jù)備份技術(shù)﹑容災(zāi)技術(shù)；信息隱藏技術(shù)；量子密碼技術(shù)；DNA平安技術(shù)；電磁泄露防范技術(shù)。四、對(duì)策淺析第一﹑防火墻技術(shù)，防火墻技術(shù)包括網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)和規(guī)則檢查防火墻，防火墻運(yùn)用得當(dāng)可以很大程度的提高網(wǎng)絡(luò)平安性，企業(yè)從而不但可以大大降低由于網(wǎng)絡(luò)攻擊而造成的損失，而且還可以提高自己的信譽(yù)。但防火墻技術(shù)作為一種被動(dòng)的防衛(wèi)技術(shù)，在其愛(ài)護(hù)網(wǎng)絡(luò)平安方面有其局限性防火墻不能防范不經(jīng)由防火墻的攻擊，不能防范人為因素的攻擊，不能防止由于口令泄露或用戶(hù)錯(cuò)誤操作而造成的威逼，同時(shí)防火墻也不能防止帶有病毒的軟件或文件的傳輸。其次﹑加密技術(shù)，加密技術(shù)作為一種主動(dòng)的防衛(wèi)手段，目的是防止信息的非授權(quán)泄密，貿(mào)易各方可以依據(jù)須要在信息交換的各階段運(yùn)用。加密技術(shù)在網(wǎng)絡(luò)應(yīng)用中一般采納兩種加密形式：對(duì)稱(chēng)密鑰和公開(kāi)密鑰，貿(mào)易各方可以結(jié)合詳細(xì)應(yīng)用環(huán)境和系統(tǒng)選擇運(yùn)用。第三﹑認(rèn)證和識(shí)別，要確保電子商務(wù)的交易平安，僅僅有加密技術(shù)是不夠的，全面的愛(ài)護(hù)還要認(rèn)證和識(shí)別的，確保參加加密對(duì)話(huà)的人的確是其本人。認(rèn)證系統(tǒng)使發(fā)送的消息具有被驗(yàn)證的實(shí)力，使接收者或第三者能夠識(shí)別和確認(rèn)消息的真?zhèn)?。第四﹑網(wǎng)絡(luò)病毒防治，由于網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)上病毒也越來(lái)越多，它給計(jì)算機(jī)系統(tǒng)造成了不行彌補(bǔ)的損失和巨大的破壞力，