影響電子商務(wù)信息安全的因素及其防范措施

影響電子商務(wù)信息安全的因素及其防范措施宇凡（廣西區(qū)委黨校廣西南寧郵編：530023）摘要：本文較系統(tǒng)地?cái)⑹隽擞绊戨娮由虅?wù)信息安全的諸多因素.針對(duì)這些因素，提出在實(shí)際應(yīng)用中應(yīng)采取的防范措施和技術(shù)手段，以減少信息不安全所造成的損失。關(guān)鍵詞：電子商務(wù)IntemetIntmnet網(wǎng)絡(luò)信息安全電子商務(wù)是以Intemet/Intranet（因特網(wǎng)/企業(yè)內(nèi)部網(wǎng)）網(wǎng)絡(luò)為架構(gòu)，以交易雙方為主體，以銀行支付和結(jié)算為手段，以客戶數(shù)據(jù)庫(kù)為依托的全新的商業(yè)模式。換句話來(lái)說(shuō)，電子商務(wù)是通過(guò)IxRemet和hl.tranet進(jìn)行的商務(wù)活動(dòng)。這些活動(dòng)不但包括與購(gòu)銷(xiāo)直接有關(guān)的網(wǎng)上廣告、網(wǎng)上洽談、訂貨、收款、付款、客戶服務(wù)、貨物遞交等活動(dòng)，還包括網(wǎng)上市場(chǎng)調(diào)查、財(cái)務(wù)核算、生產(chǎn)安排等利用計(jì)算機(jī)網(wǎng)絡(luò)開(kāi)展的商務(wù)活動(dòng)。由于計(jì)算機(jī)網(wǎng)絡(luò)本身存在著安全漏洞，因此，電子商務(wù)中的信息不可避免地存在著安全隱患。影響信息安全的因素主要有兩個(gè)方面：一是網(wǎng)絡(luò)本身的不安全因素，二是進(jìn)行網(wǎng)上交易時(shí)的不安全因素。l.網(wǎng)絡(luò)本身的不安全因素影響計(jì)算機(jī)網(wǎng)絡(luò)信息的不安全因素有自然因素，也有人為因素。前者包括有雷電、火災(zāi)、水災(zāi)、地震、強(qiáng)磁場(chǎng)、強(qiáng)電子脈沖等，這些都可以直接損壞計(jì)算機(jī)系統(tǒng)的硬件和破壞系統(tǒng)的軟件和數(shù)據(jù)。而后者主要包括以下幾種方式：2黑客的攻擊計(jì)算機(jī)黑客是指采用不正當(dāng)手段竊取計(jì)算機(jī)信息系統(tǒng)的1：3令和密碼，從而非法進(jìn)入他人計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的人，他們或翻閱別人的資料、侵犯他人隱私、或者收集軍事機(jī)密情報(bào)、竊取商業(yè)機(jī)密.利用計(jì)算機(jī)進(jìn)行高科技犯罪。黑客的存在主要是由于網(wǎng)絡(luò)的不健全造成的。黑客攻擊網(wǎng)絡(luò)的方式有很多種，常用的有：（l）利用電子郵件往對(duì)方的電子郵件中發(fā)送一個(gè)很大的文件，將對(duì)方的電子信箱“撐破”，這是最廣泛運(yùn)用的攻擊方式；利用測(cè)試網(wǎng)絡(luò)速度的“PING”程序不問(wèn)斷地向服務(wù)器發(fā)送數(shù)據(jù)包，導(dǎo)致服務(wù)器“阻塞”最終癱瘓；（3）黑客通過(guò)分析DNS（域名管理系統(tǒng)）而直接獲取Web服務(wù)器等主機(jī)的口地址，進(jìn)而偽造Web服務(wù)器等主機(jī)的IP地址，并根據(jù)這個(gè)偽造的口地址以進(jìn)行非授權(quán)操作，偷盜、篡改信息；（4）黑客通過(guò)軟件程序跟蹤檢測(cè)軟件，捕獲到用戶的登錄名和密碼，對(duì)用戶的信息內(nèi)容胡亂加以修改.毀壞數(shù)據(jù)，甚至輸入病毒，使整個(gè)數(shù)據(jù)庫(kù)陷于癱瘓。1.2計(jì)算機(jī)病毒計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒具有傳染性、隱蔽性、潛伏性、危害一117—萬(wàn)方數(shù)據(jù)性、攻擊的主動(dòng)性、針對(duì)性和不可預(yù)見(jiàn)性等特征，它是一些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性而編制出來(lái)的。早期的計(jì)算機(jī)病毒主要通過(guò)軟盤(pán)、光盤(pán)等介質(zhì)交換文件進(jìn)行傳播，但隨著網(wǎng)絡(luò)的興起，特別是隨著Intemet的迅速普及，計(jì)算機(jī)病毒的傳播方式也轉(zhuǎn)向通過(guò)Intemet傳播。在Intemet上廣泛使用電子郵件已經(jīng)成為病毒傳染的主要途徑。據(jù)英國(guó)反病毒公司信息實(shí)驗(yàn)室公司發(fā)布的消息顯示，過(guò)去三年計(jì)算機(jī)感染上病毒的電子郵件持續(xù)增長(zhǎng)，該公司2002年監(jiān)控的每212個(gè)電子郵件中就有一個(gè)是感染病毒的郵件，而在2001年里每380個(gè)電子郵件才有一個(gè)被病毒感染，漲幅達(dá)80%。另外，通過(guò)網(wǎng)絡(luò)下載軟件和使用盜版軟件也成為病毒程序傳播的一個(gè)重要途徑。1.3Intemet本身的缺陷由于當(dāng)初設(shè)計(jì)Intemet時(shí)只是為了共享網(wǎng)絡(luò)的資源并促進(jìn)大學(xué)、政府研究機(jī)構(gòu)、開(kāi)發(fā)機(jī)構(gòu)和軍事部門(mén)的科學(xué)研究工作，許可進(jìn)人網(wǎng)絡(luò)的單位都被認(rèn)定是可靠的和可以信賴(lài)的，并且已經(jīng)參與研究和共享數(shù)據(jù)，因此當(dāng)時(shí)制定的網(wǎng)絡(luò)協(xié)議，幾乎沒(méi)有注意到安全性問(wèn)題（因?yàn)镮ntemet上的TCP/IP協(xié)議只是保證網(wǎng)絡(luò)信息準(zhǔn)確完整地傳送到目的地）。直到1991年，Inlcmet主干網(wǎng)（NSF，美國(guó)國(guó)家基金會(huì)）取消了Intemet上不允許商業(yè)活動(dòng)的限制后，Intemet本身的網(wǎng)絡(luò)安全缺陷就凸現(xiàn)出來(lái)，因?yàn)槊總€(gè)廠商都有一些不為外人或競(jìng)爭(zhēng)者知道的信息和數(shù)據(jù)，比如特定的單證、交易金額、銷(xiāo)售計(jì)劃、客戶名單等，他們不希望外部用戶訪問(wèn)到這些信息或數(shù)據(jù)，但是Interact上沒(méi)有相應(yīng)的網(wǎng)絡(luò)安全機(jī)制保證這些信息或數(shù)據(jù)的安全。1.4內(nèi)部管理機(jī)制不嚴(yán)管理人員的防范意識(shí)不強(qiáng)，泄漏口令和機(jī)密軟件的代碼。例如當(dāng)年微軟被“黑”，主要的原因是一個(gè)防范意識(shí)不強(qiáng)的工程師在家里撥號(hào)上公司的內(nèi)部網(wǎng)，被人截獲數(shù)據(jù)所致。1.5系統(tǒng)漏洞任何系統(tǒng)都不是完美的，都有漏洞存在。例如2003年1月25日爆發(fā)的蠕蟲(chóng)病毒…就是利用2002年7月份公布的微軟SQLServer2000的一個(gè)系統(tǒng)漏洞，對(duì)網(wǎng)絡(luò)上的SQL數(shù)據(jù)庫(kù)進(jìn)行攻擊，使連接在網(wǎng)一118—絡(luò)上的被攻擊的系統(tǒng)如同癌細(xì)胞那樣不斷蛻變，生成新的攻擊不斷向網(wǎng)絡(luò)釋放、擴(kuò)散，從而逐步鯨吞、消耗網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)的訪問(wèn)速度下降，甚至癱瘓。2，網(wǎng)上交易的不安全因素由于電子商務(wù)是在網(wǎng)(latemet/Intranet)進(jìn)行商務(wù)活動(dòng)的，因此交易雙方在網(wǎng)上交易會(huì)涉及到交易的信息不完整、保密性差、交易雙方的身份難以鑒別、交易雙方是否守信用等問(wèn)題，這些問(wèn)題的存在容易給交易雙方帶來(lái)不安全感，同時(shí)也給不法之徒帶來(lái)可乘之機(jī)，或者進(jìn)行交易抵賴(lài)，或者盜用他人身份來(lái)謀取錢(qián)財(cái)，或者進(jìn)行網(wǎng)上詐騙等活動(dòng)。 3.防范措施針對(duì)電子商務(wù)中信息存在的諸多不安全因素，我們應(yīng)該有的放矢，從網(wǎng)絡(luò)安全方面以及網(wǎng)上交易方面分別采取防范措施：3.1網(wǎng)絡(luò)安全的防范措施3.1.1采用防火墻技術(shù)防火墻技術(shù)是目前比較廣泛使用的網(wǎng)絡(luò)安全防護(hù)技術(shù)，是內(nèi)部網(wǎng)(Intranet)最重要的安全技術(shù)之一。它就是在因特網(wǎng)(b把Tnet)內(nèi)部網(wǎng)(Intra.net)之間建立了?個(gè)安全網(wǎng)關(guān)，提供可控制的過(guò)濾網(wǎng)絡(luò)通信，其主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問(wèn)。它通過(guò)監(jiān)視、限制、更改跨越防火墻的數(shù)據(jù)流，一方面盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，另一方面對(duì)內(nèi)部屏蔽外部站點(diǎn)，防止不可預(yù)測(cè)的、潛在的破壞性侵入。這樣就決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。實(shí)現(xiàn)防火墻的主要技術(shù)有數(shù)據(jù)包過(guò)濾、應(yīng)用網(wǎng)關(guān)、代理服務(wù)和審計(jì)技術(shù)等。實(shí)際應(yīng)用時(shí)常采用兩級(jí)的安全機(jī)制，即第一級(jí)由包過(guò)濾路由器承擔(dān)，第二級(jí)由防火墻承擔(dān)。 3.1.2入侵檢測(cè)技術(shù)由于傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)，為了彌補(bǔ)這一缺陷，動(dòng)態(tài)安全防御技術(shù)應(yīng)運(yùn)而生。其中入侵檢測(cè)技萬(wàn)方數(shù)據(jù)術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一，它是通過(guò)對(duì)人侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)?，F(xiàn)在市場(chǎng)上流行的是網(wǎng)絡(luò)人侵檢測(cè)系統(tǒng)。具體實(shí)施時(shí)，常常將網(wǎng)絡(luò)人侵檢測(cè)系統(tǒng)與防火墻的功能相結(jié)合構(gòu)建安全網(wǎng)絡(luò)。3.1.3網(wǎng)絡(luò)反病毒技術(shù)在網(wǎng)絡(luò)環(huán)境下，雖然可以通過(guò)各種防衛(wèi)技術(shù)保護(hù)網(wǎng)絡(luò)安全，但病毒的人侵是不可避免的，因此，反病毒技術(shù)是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)，具體實(shí)現(xiàn)方法是對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)、在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。例如現(xiàn)在流行的各種殺病毒軟件，如瑞星2003版殺毒軟件、江民KV3(D0殺毒軟件、熊貓網(wǎng)絡(luò)版殺毒軟件等都具備預(yù)防、檢測(cè)和殺毒等功能。 3.1.4采用虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)VPN是指在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，它可以在兩個(gè)系統(tǒng)之間建立安全的隧道，它允許授權(quán)移動(dòng)用戶和已授權(quán)的用戶在任何時(shí)間、任何地點(diǎn)訪問(wèn)企業(yè)網(wǎng)絡(luò)。這種方式在保證網(wǎng)絡(luò)的安全性方面是非常有用的。3.1，5及時(shí)給系統(tǒng)安裝“補(bǔ)丁”程序“補(bǔ)丁”程序是軟件公司為了彌補(bǔ)自己開(kāi)發(fā)、銷(xiāo)售出的軟件存在的安全漏洞而后續(xù)開(kāi)發(fā)的針對(duì)性程序。及時(shí)給系統(tǒng)安裝原廠公布的“補(bǔ)丁”程序，也是網(wǎng)絡(luò)信息安全的防范措旋中重要的一個(gè)環(huán)節(jié)。3.1.6加強(qiáng)內(nèi)部管理實(shí)現(xiàn)網(wǎng)絡(luò)安全，不僅靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理、法律約束和安全教育。因?yàn)樵S多不安全因素恰恰反映在組織管理和人員使用方面。針對(duì)各單位的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，必須逐步建立健全一套自上而下的安全組織機(jī)構(gòu)與管理規(guī)章制度，并對(duì)員工進(jìn)行培訓(xùn)，以提高整個(gè)網(wǎng)絡(luò)使用者的安全管理意識(shí)和水平。做到：不泄漏口令和機(jī)密軟件的代碼；所有軟件必須經(jīng)過(guò)嚴(yán)格審查，經(jīng)過(guò)相應(yīng)的控制程序后才能使用；采用防病毒軟件，定時(shí)地對(duì)系統(tǒng)中的所有工具軟件、應(yīng)用軟件進(jìn)行檢測(cè)，防止各種病毒的人侵。3.2網(wǎng)上交易中信息安全的防范措施網(wǎng)絡(luò)安全只是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)，電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題則是交易的安全性。在網(wǎng)上交易時(shí)，用戶除了對(duì)網(wǎng)上兜售商品的網(wǎng)址進(jìn)行核查，以摸清商販們提供的地址和電話是否屬實(shí)外，也對(duì)交易雙方的身份鑒別、是否冒名頂替和是否誠(chéng)實(shí)守信等諸多問(wèn)題最為擔(dān)心，這也是制約電子商務(wù)發(fā)展的一個(gè)重要因素。目前主要采用以下幾種措施來(lái)解決網(wǎng)上交易中信息安全問(wèn)題：3.2.1數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)是保證電子商務(wù)安全工作的一種重要方法。它可以把某些重要信息從一個(gè)可理解的明文形式變換成一種難以理解的密文形式（加密），經(jīng)過(guò)線路傳送，到達(dá)目的端后用戶再將密文還原成明文（解密）。由于信息是以密文方式進(jìn)行傳送的，不知道解密方法的人是無(wú)法得到信息的真實(shí)內(nèi)容，從而保證了數(shù)據(jù)傳送過(guò)程中的安全性。計(jì)算機(jī)加密方法主要有對(duì)稱(chēng)密鑰密碼和非對(duì)稱(chēng)密鑰密碼兩種密碼體制。前者采用相同的加密密鑰和解密密鑰，且不公開(kāi)密鑰的方法對(duì)需要保護(hù)的信息進(jìn)行加解密，其典型算法是數(shù)據(jù)加密標(biāo)準(zhǔn)DESCDataEncryptionStandaId）算法。后者也稱(chēng)公開(kāi)密鑰加密，采用加密密鑰不同于解密密鑰（即不對(duì)稱(chēng)性），且公開(kāi)加密密鑰。但解密密鑰需要保密，其典型算法是RSA算法。1ISA算法的優(yōu)點(diǎn)主要在于原理簡(jiǎn)單（采用大整數(shù)素因子分解方法），易于使用，易實(shí)現(xiàn)密鑰管理，且解密花費(fèi)時(shí)間長(zhǎng)，攻擊者在有限時(shí)間內(nèi)很難破譯密文信息，是目前rr業(yè)常用的加密算法。例如由研究加密算法而著稱(chēng)的美國(guó)1ISA數(shù)據(jù)安全實(shí)驗(yàn)室開(kāi)發(fā)的64位密匙——Rc5—64密匙。在經(jīng)過(guò)全球33.1萬(wàn)名電腦高手工作了一年365天一天24小時(shí)整整4年時(shí)間后，終于于2002年9月中旬的時(shí)候被破解了。盡管這條被高科技加密術(shù)保護(hù)的密文只有短短一句話（“事情還是不知道為妙”），但業(yè)內(nèi)人士認(rèn)為，這一成果將會(huì)在計(jì)算機(jī)發(fā)展史上具有里程碑般的意義。 3.2.2數(shù)字簽名它是公開(kāi)密鑰加密技術(shù)的一種應(yīng)用，是指發(fā)送方將要傳送的明文（原始的信息）通過(guò)一種函數(shù)運(yùn)一】19? 萬(wàn)方數(shù)據(jù)算（Hash）轉(zhuǎn)換成報(bào)文摘要，這樣不同的明文對(duì)應(yīng)著不同的報(bào)文摘要，報(bào)文摘要再用發(fā)送方的私有密鑰加密后與明文一起傳送，合稱(chēng)為數(shù)字簽名，接受方將接受的明文產(chǎn)生新的報(bào)文摘要與發(fā)送方的發(fā)來(lái)報(bào)文摘要解密比較，比較結(jié)果一致則表示明文未被改動(dòng)，如果不一致表示明文已被篡改。其作用就是能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證，保證報(bào)文的完整性、權(quán)威性和發(fā)送方對(duì)所發(fā)報(bào)文的不可抵賴(lài)性。數(shù)字簽名根據(jù)不同的要求，可分為秘密密鑰的數(shù)字簽名、公開(kāi)密鑰的數(shù)字簽名、只需確認(rèn)的數(shù)字簽名、數(shù)字摘要的數(shù)字簽名、電子郵戳、數(shù)字憑證等多種方式。 3.2.3數(shù)字證書(shū)數(shù)字證書(shū)是作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù)，是一個(gè)經(jīng)證書(shū)授權(quán)中心（CertificationAu.thofity,cA）數(shù)字簽名的、包含證書(shū)申請(qǐng)者（公開(kāi)密鑰擁有者）個(gè)人信息及其公開(kāi)密鑰的文件?；诠_(kāi)密鑰密碼體制的公鑰基礎(chǔ)結(jié)構(gòu)（PublicKeyIn.frillstmcturc，PK〔）的數(shù)字證書(shū)是電子商務(wù)安全體系系統(tǒng)的核心，其用途是利用公共密鑰加密系統(tǒng)來(lái)保護(hù)與驗(yàn)證公眾的密鑰。數(shù)字證書(shū)由可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。3.2.4安全協(xié)議安全可靠的網(wǎng)絡(luò)協(xié)議是實(shí)現(xiàn)電子商務(wù)交易的關(guān)