電子商務(wù)安全的現(xiàn)狀與對策

電子商務(wù)安全的現(xiàn)狀與對策

電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢，也是國際金融貿(mào)易中日益重要的一種運營模式。它以計算機技術(shù)、通信技術(shù)與網(wǎng)絡(luò)技術(shù)為依托,利用電子數(shù)據(jù)交換、電子郵件、電子支付等方式實現(xiàn)了整個商務(wù)活動的電子化、數(shù)字化和網(wǎng)絡(luò)化。但隨著電子商務(wù)的迅速發(fā)展,其安全性問題也愈突出,如何構(gòu)建一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)能否健康順利發(fā)展的關(guān)鍵性課題。1盜竊、欺騙、病毒和非法入侵在電子商務(wù)中,安全性是必須考慮的核心問題。竊聽、欺騙、病毒和非法入侵都在威脅著電子商務(wù)的健康、順利發(fā)展。由此引發(fā)的一系列安全問題迫切需要有效的解決方案。1.1非法收集用戶數(shù)據(jù)電子商務(wù)中的信息泄露表現(xiàn)為貿(mào)易雙方的相關(guān)信息內(nèi)容被攻擊者竊取,如商業(yè)機密等。攻擊者獲取信息的方式主要有兩種,一是竊聽,信息在網(wǎng)絡(luò)傳送過程中,攻擊者可在傳輸信道上對數(shù)據(jù)進行非法截獲、監(jiān)聽,獲取通信中的敏感信息,造成網(wǎng)上傳輸信息泄露。二是通過攻擊數(shù)據(jù)庫服務(wù)器,即利用WEB程序或網(wǎng)絡(luò)數(shù)據(jù)庫的缺陷,通過多種技術(shù)手段,繞過網(wǎng)站系統(tǒng)、WEB程序或網(wǎng)絡(luò)數(shù)據(jù)庫的安全限制,直接從網(wǎng)站中獲取機密信息。1.2修改、刪除商業(yè)信息成功竊取信息后,攻擊者通過對信息格式和規(guī)律的解讀,可采用各種手段對非法獲取的信息進行修改、刪除,從而破壞原有商業(yè)信息的真實性、完整性。1.3所在單位個人信息攻擊者通過竊聽、攻擊數(shù)據(jù)庫可以獲取商務(wù)活動者的用戶信息,這些重要的個人信息就可能被非法盜用。攻擊者利用合法用戶的身份信息與他人開展貿(mào)易,獲取非法利益,從而破壞貿(mào)易的可靠性,影響貿(mào)易者的信譽。1.4交易可靠性的確認電子商務(wù)活動不同于傳統(tǒng)的面對面交易,交易雙方無法通過明顯的標(biāo)識來確認交易的可靠性。這種“無紙化”的交易方式會給某些不良用戶以可乘之機,他們對發(fā)出或收到的信息進行惡意否認,以逃避應(yīng)承擔(dān)的責(zé)任。1.5計算機服務(wù)平臺計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復(fù)制的一組計算機指令或者程序代碼。一般來說,病毒都具有隱蔽性,它們通常附在正常程序中或磁盤較隱蔽的地方,而某些病毒正是利用了這一特點,悄無聲息地竊取著電子商務(wù)活動中的信息。1.6某些外在威脅方面的威脅電子商務(wù)除了面臨竊聽、欺騙、病毒攻擊這些方面的威脅,一些偶然因素對其安全性也構(gòu)成威脅,如突發(fā)自然災(zāi)害造成的商務(wù)活動中斷、操作人員的不慎重所導(dǎo)致的信息泄露等。2b知識產(chǎn)權(quán)保護電子商務(wù)的貿(mào)易安全就是對貿(mào)易中涉及的各種信息的可用性、可靠性和完整性進行保護。與傳統(tǒng)的商務(wù)方式作對比,會發(fā)現(xiàn)許多源于安全方面的問題。2.1電子形式貿(mào)易信息的有效性作為貿(mào)易的一種新形式,電子商務(wù)實現(xiàn)了商務(wù)活動的電子化、數(shù)字化和網(wǎng)絡(luò)化,以電子形式取代了紙張,如何保證電子形式貿(mào)易信息的有效性是開展電子商務(wù)的前提。其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此,要對計算機軟硬件故障、計算機病毒、非法入侵、操作失誤等一系列潛在威脅加以控制和預(yù)防,以保證電子商務(wù)貿(mào)易信息的有效性。2.2維護商業(yè)領(lǐng)域,維護商業(yè)領(lǐng)域電子商務(wù)是建立在開放、復(fù)雜的網(wǎng)絡(luò)環(huán)境上的,重要的商業(yè)信息直接與個人、企業(yè)和國家的切身利益相關(guān),維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防黑客的惡意攻擊,防止信息泄露,保障信息傳輸通道和存取數(shù)據(jù)庫的安全。2.3交易方信息存在混亂電子商務(wù)便捷、快速的同時也帶來了貿(mào)易各方商業(yè)信息的完整、統(tǒng)一問題。商業(yè)信息在傳輸過程中出現(xiàn)丟失、重復(fù)、次序混亂,亦或是交易方的操作失誤、惡意欺騙,這些都會導(dǎo)致貿(mào)易各方信息的差異。從而給各方的交易和貿(mào)易策略帶來影響。因此,要預(yù)防對信息的隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù),并保證信息傳送次序的統(tǒng)一。2.4伙伴合同、契約的預(yù)防在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約的可靠性并預(yù)防抵賴行為的發(fā)生。但在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此,在電子貿(mào)易中,需為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識,以此作為雙方鑒定的依據(jù),提高貿(mào)易的可靠性,避免惡意抵賴。3電子商務(wù)的安全技術(shù)3.1數(shù)據(jù)加密與保密數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。貿(mào)易者在網(wǎng)絡(luò)上相互通信,主要的安全威脅來自于非法竊聽。攻擊者可以通過搭線、電磁波等多種方式竊聽傳輸?shù)男畔?。而對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行加密,在通道上傳輸密文,則可以有效地防范攻擊者對信息內(nèi)容的真實解讀。數(shù)據(jù)加密就是按照確定的密碼算法,將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數(shù)字運算量小,加密速度快,但相對地,密鑰管理安全性的代價較高,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中,使用不同的密鑰加以控制。加密密鑰是公開的,解密密鑰是保密的,它的保密度依賴于從公開的密文與明文的對照推算解密密鑰在計算上的不可能性。推算的不可能性越高,保密的等級也就越高,攻擊者獲取真實信息內(nèi)容的可能性也就越低。3.2身份識別技術(shù)身份認證是判明和確認貿(mào)易雙方真實身份的重要環(huán)節(jié),也是電子商務(wù)交易過程中最薄弱的環(huán)節(jié)。數(shù)字簽名與身份識別技術(shù),及CA認證是主要的身份認證技術(shù)。1)數(shù)字簽名又稱電子加密,可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。這對于網(wǎng)絡(luò)數(shù)據(jù)傳輸,特別是電子商務(wù)是極其重要的。一般采用非對稱加密技術(shù),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算,如其結(jié)果為明文,則簽名有效,證明對方的身份是真實的。且保證了發(fā)信人無法抵賴曾發(fā)過該信息,即不可抵賴性,同時也確保信息報文在經(jīng)簽名后的完整性。身份識別技術(shù)采用密碼技術(shù)(尤其是公鑰密碼技術(shù))設(shè)計出安全性高的協(xié)議,一般是指用戶向系統(tǒng)出示自己身份證明的過程,主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征。2)CA認證技術(shù)。CA,即電子商務(wù)認證中心,也稱為電子商務(wù)授權(quán)機構(gòu)。在電子交易中,無論是數(shù)字時間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠貿(mào)易雙方自己完成的,而需要有一個具有權(quán)威性和公正性的第三方來完成。CA就是承擔(dān)網(wǎng)上安全電子貿(mào)易認證服務(wù),能簽發(fā)數(shù)字證書,并能確認用戶身份的服務(wù)機構(gòu)。它為建立身份認證過程的權(quán)威性框架奠定了基礎(chǔ),為貿(mào)易的參與方提供了安全保障。CA中心對含有公鑰的證書進行數(shù)字簽名,使證書無法偽造。每個用戶可以獲得CA中心的公開密鑰,驗證任何一張數(shù)字證書的數(shù)字簽名,從而確定證書是否是CA中心簽發(fā)、數(shù)字證書是否合法。3.3pki安全認證PKI(PubicKeyInfrastructure)是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。它由公開密鑰密碼技術(shù)、數(shù)字證書、CA和關(guān)于公開密鑰的安全策略等基本成分共同組成的。從某種意義上講,PKI包含了安全認證系統(tǒng),即CA系統(tǒng)是PKI不可缺的組成部分。該技術(shù)采用證書管理公鑰,通過第三方的可信任機構(gòu)——認證中心CA,把用戶的公鑰和用戶的其他標(biāo)識信息(如名稱、E-mail、身份證號等)捆綁在一起,在網(wǎng)上驗證用戶的身份。目前,通用的辦法是采用基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書,通過把要傳輸?shù)臄?shù)字信息進行加密,保證信息傳輸?shù)谋Ｃ苄?、完整?簽名保證身份的真實性和抗抵賴。3.4使用虛擬專用網(wǎng)的安全技術(shù)防火墻的主要功能是加強網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)(被保護網(wǎng)絡(luò))。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。簡單防火墻技術(shù)可以在路由器上實現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。虛擬專用網(wǎng)(VPN)即是用于網(wǎng)絡(luò)交易的一種專用網(wǎng)絡(luò),它通過一個公用網(wǎng)絡(luò)建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN架構(gòu)中采用了多種安全機制,如隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)等,通過上述的各項網(wǎng)絡(luò)安全技術(shù),確保貿(mào)易信息在公眾網(wǎng)絡(luò)中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。3.5網(wǎng)絡(luò)信息安全系統(tǒng)入侵檢測系統(tǒng)(IDS)可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為。在發(fā)現(xiàn)入侵后,系統(tǒng)會及時作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。3.6監(jiān)視和記錄技術(shù)計算機病毒的防范是網(wǎng)絡(luò)安全性重要的一環(huán),主要包括病毒預(yù)防技術(shù)、病毒檢測和病毒清除技術(shù)三種:1)病毒預(yù)防技術(shù),就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染與破壞。它通過自身常駐系統(tǒng)內(nèi)存優(yōu)先獲得系統(tǒng)的控制權(quán),監(jiān)視和判斷系統(tǒng)中是否有病毒存在,進而阻止計算機病毒進入系統(tǒng)內(nèi)存和對系統(tǒng)進行破壞。這類技術(shù)包括加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。2)病毒檢測技術(shù),是通過一定的技術(shù)手段對計算機病毒的特征來進行判斷的技術(shù)。主要包含兩種方式,一是針對病毒的特征進行檢測,如計算機病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式等。另一種是根據(jù)自身已有的文件或數(shù)據(jù)的保存結(jié)果進行檢驗,若前后出現(xiàn)差異,也可判定病毒的存在。3)病毒清除技術(shù),它通過對計算機病毒的分析,開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。目前,清除病毒大都是在病毒出現(xiàn)之后,對其進行分析研究才研制出相應(yīng)解毒功能的軟件,帶有滯后性。3.7數(shù)據(jù)安全和個人隱私安全SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。其提供的服務(wù)主要有:認證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器;加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。但SSL協(xié)議是一個面向連接的協(xié)議,在涉及多方的電子交易中,SSL協(xié)議不能完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。SET協(xié)議則有效地解決了該問題。SET協(xié)議是由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構(gòu),共同制定的應(yīng)用于網(wǎng)絡(luò)上的以銀行卡為基礎(chǔ)進行在線交易的安全標(biāo)準(zhǔn),即“安全電子交易”(SecureElectronicTransaction)。它為電子商務(wù)活動提供了一個開放的標(biāo)準(zhǔn),為網(wǎng)上支付貿(mào)易提供高層的安全和反欺詐保證,保證了電子貿(mào)易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認性。SET是專門為電子商務(wù)而設(shè)計的協(xié)議