浅谈电子商务安全
随着互联网的日渐成熟,网络安全逐渐成为一个潜在的巨大问题,而电子商务的出现,使得长期以来对信息安全的要求就更加迫切了,安全隐患也成为电子商务发展的严重阻碍。针对当前电子商务的发展现状进行风险分析,从电子商务安全管理和安全技术两方面提出切实有效地解决这些问题的方法。安全问题是我国今后发展电子商务的重点。
标签:电子商务;安全威胁;安全管理;安全技术
引言
目前越来越多的公司、企业、商业机构、银行和个人进入互联网络,利用其资源和服务进行商业活动,网络安全问题逐渐突出。每个厂商都有一些不能为外人或竞争者知道的信息和数据,他们不希望外部用户访问这些信息和数据。但是,计算机窃贼或破坏者却千方百计地闯入互连网络和主机,盗用数据,破坏资源,制造事端。在这种情况下,网络安全技术的应用使得用户在获取网络的好处的同时,保证其专用信息及资源的安全。
在Internet大规模普及,特别是在电子商务活动逐渐进入实用阶段之后,网络信息安全更是引起人们的高度重视,网络交易需要大量的信息,包括商品生产和供应信息、商品需求和竞争信息等。这些信息通过合同、定单、文件、财务核算、凭证、条例等形式在买卖双方以及各方之间不断进行传递。为保证整个交易过程的顺利完成,必须保证上述信息的完整性、准确性和不可否认性。由于网络交易信息是在Internet上传递的,因此,相对于传统交易来说,网络交易对信息安全提出了更高、更苛刻的要求。但是网上病毒时刻存在,黑客攻击肆无忌惮,网络信息被任意篡改,数据传递遭到破坏,安全隐患成为电子商务发展的严重阻碍。
一、网络安全风险分析
如今随着网络发展及普及,企业从原来单机到局域网并扩展到广域网,把分布在全国各地的分公司通过网络互连起来,从整体上提高了办事效率。总体来说,电子商务在发展中存在的安全问题主要表现为:
1.网络物理安全是整个网络系统安全的前提。物理安全的威胁主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以致操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.内部局域网的安全威胁。据调查在已有的网络安全攻击事件中约70%~80%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编写破坏程序在内部网上传
播或者内部人员通过各种方式盗取他人涉密信息并传播出去。种种因素都对网络安全构成很大的威胁。
3.内部网络与系统外部网互联安全威胁
(1)数据被窃听:由于没有采用加密的措施,数据信息在网络上以明文的形式传送,入侵者在数据包经过的网关或路由器上,可以通过非法手段截取网络上传送的数据包,在多次窃取和分析后,再通过分析判断,可以找到信息的规律和格式,进而得到传出信息的内容,造成网上传输信息的泄密。
(2)伪造和篡改:网络上服务器可以被任意一台连网的计算机所攻击,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的数据包中的信息,在途中进行修改,使数据包不能达到预期的目标或改变数据包中原有的内容。
(3)假冒问题:由于掌握了数据的格式,并可以篡改通过的信息,攻击者往往冒充合法用户发送假冒信息或者主动获得信息,而远端用户通常很难分辨。
4.管理的安全威胁。内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏。电子邮件为用户提供电子邮件应用,内部网用户可能通过拨号或其它方式进行电子邮件发送和接收,这就可能被黑客跟踪或收到一些特洛伊木马病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。管理是在网络中使安全得到保证的重要组成部分,是防止来自内部网络入侵必需的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。所以除了从技术上下工夫外,还得依靠安全管理来实现。
二、实现电子商务安全的策略
1.完善地管理策略。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.安全技术方面的保证。纵观各个公司提出的电子商务解决方案,没有一个能够全面的解决电子商务的安全问题。尽管他们在具体架构上不同,但是他们在安全模型中使用的核心技术是相同的,主要为防火墙、虚拟网、数字签名和电子认证等。
(1)防火墙技术。防火墙是设置在Internet路由器后端的,主要对提供给外界的服务进行控制。一个最简单的屏蔽入侵的方法就是不允许外界访问,然而,对那些需要网络服务(如E-mail.,Web服务和FTP)的商业合作者来说,这并不是一个好办法;反之,如果简单的使内部设备与外界进行无的连接,将会使企业内部信息随时面临着被攻击的危险,因此防火墙正是它们之间的最好折中方法,它可以在这
两个极端的方法之间实现比较好的安全保障。利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全是个整体,必须配备相应的安全产品,作为防火墙的必要补充。
(2)入侵检测技术。由于防火墙只是被动地防止攻击,不能有效地预警攻击,因此可采用入侵检测系统(IDS),它用于对异常访问的警告和记录。入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),从而防止网络的攻击与犯罪行为。入侵检测系统可分为基于主机和基于网络的两种。基于主机的入侵检测系统用于保护关键的应用服务器,实时监视可疑连接和非法访问的闯入,进行系统日志,并提供对典型应用服务器的监视和控制,比如Web服务器的应用;基于网络的入侵检测系统则用于实时监控网络关键路径的信息,如Web服务器所建立的以太网。
3.虚拟专用网技术。VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性。由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。
4.防病毒措施
(1)预防病毒技术。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。
(2)检测病毒技术。检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。
(3)杀毒技术。杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。
为保证电子商务交易的安全性,保证信息的完整、机密、有效和不可否认性,可采用以下措施和技术:
5.构建CA认证体系。认证机构CA(Certification Authority)是的、公正的、可信赖的第三方机构,为参与电子商务活动的各方提供认证服务(证书申请、证书发放、证书更新、证书查询、证书废除等),除CA认证服务外,还要提供配套的RA(Registration Authority)审核服务,用于审核交易双方的真实身份,从而强化CA认证服务。
根据机构本身的特点,可以考虑先构建一个本系统内部的CA系统,即所有的证书只能限定在本系统内部使用有效。随着不断发展及需求增加,可以对CA系统进行扩充或与国家级CA系统互联,实现不同企业间的交叉认证。通过给内部职工发放证书来对各地之间来往的公文进行加密和双方身份的认证。公司驻外人员同样可以用其内部职工的证书访问公司网站和进行安全公文传输。
6.数字签名和数据加密。在网络交易中,为了保证数据的完整性、机密性、有效性,必须对数据进行加密,为了保证交易的不可否认性,必须进行数字签名。
通过数字证书,把证书持有者的公开密钥(Public Key)与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。签发数字证书的机构即数字证书认证中心(CA,Certification Authority),数字证书认证中心为用户签发数字证书,为用户身份确认提供各种相应的服务。在数字证书中有证书拥有者的名称(DN,Distinguish Name),并且还有其公开密钥,对应于该公开密钥的私有密钥由证书的拥有者持有,这对密钥的作用是用来进行数字签名和验证签名,这样就能够保证通讯双方的真实身份,同时采用数字签名技术还可以很好地解决不可否认性的问题。
电子商务安全是电子商务成功与否的决定性因素,它决定着一个电子商务网站是否可以为客户提供安全可靠的网上服务。任何成功的电子商务必须能提供足够的安全性、可靠性和可用性,才能赢得客户的信赖和欢迎。所以应该进一步完善网络结构,建立网络综合保障体系;深入加强网络安全技术开发工作,发展自己的电子商务技术体系;尽快完善电子商务的法律制度,建立良好的电子商务发展环境;使得电子商务真正以其超越传统商务的独特优势为信息时代的经济发展注入新鲜的活力!
参考文献:
[1]张润彤,王力波.电子商务基础教程[M].北京:首都经济贸易大学出版社,2003:4.
[2][美]加里斯奈德(GaryP.Schneider),[美]詹姆斯佩里(JamesT.Perry).电子商务[M].成栋,译.北京:机械工业出版社,2002.
[3][美]格林斯坦(Greenstein,M.),[美]法因曼(Feinman,T.M.).电子商务的安全与风险管理[M].谢淳,于军,李霞,译.北京:华夏出版社,2001:3.
[4]武心莹,等.电子商务与企业战略[M].北京:经济管理出版社,2001.
[5]姜灵敏,谢建国.电子商务实用基础[M].北京:人民邮电出版社,2001:7.
[6]林柏钢.网络与信息安全教程[M].北京:机械工业出版社,2004:6.
