摘 要:随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。本文介绍了电子商务网络信息安全问题概念和防范电子商务网络信息安全问题的方法,通过一些案例数据凸现出电子商务网络信息安全的存在,重点讨论电子商务网络信息安全目前所采用的技术以及如何运用这些技术来解决电子商务网络信息安全问题。通过一系列的案例分析,表明了企业在电子商务活动中的信息安全问题的严重性,所以企业要采取安全防范措施,利用可靠的防范技术来解决信息安全问题。
关键词:防火墙;数字签名技术;数据加密技术;信息安全;电子商务;
目 录
引 言 1
1.电子商务网络交易安全问题 2
1.1电子商务网络交易风险凸现 2
1.2网络交易风险源分析 3
1.3网络交易安全管理的基本思路 5
2.电子商务网络信息安全目前所采用的技术 6
2.1防火墙技术 6
2.2 数字签名技术 8
2.3数据加密技术 9
3.如何运用这些技术来解决问题 11
3.1采用防火墙技术解决问题 11
3.2利用数字签名来促进电子商务发展 13
4.电子商务网络安全技术的局限与未来发展趋势 15
4.1.防火墙技术发展趋势 16
4.2.入侵检测技术发展趋势 16
4.3.防病毒技术发展趋势 16
结 论 17
参考文献 18
引 言
美国著名未来学家阿尔温•托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时代发展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。电子商务作为一种全新的业务和服务方式,为全球客户提供了更丰富的商务信息、更简捷的交易过程和更低廉的交易成本。伴随着因特网用户的迅速增加,网络交易额也在急剧上升。虽然与全球几十万亿美元的商业交易额相比,1998年电子商务交易的金额不过区区418亿美元。而在此之前,两个数字之间的差异更为巨大,以至于人们可以对其中的安全问题忽略不计。然而,当2002年世界电子商务交易额达到6153亿美元时,人们不得不对其中的安全问题予以高度重视。本文将对网络交易的风险进行深入的分析,并从技术、管理和法律角度提出风险控制办法。
1.电子商务网络交易安全问题
1.1电子商务网络交易风险凸现
伴随着电子商务交易额的不断增加,电子商务对安全方面的管理要求越来越高,所受到重视的程度也越来越高。
计算机的安全问题早已引起人们的重视。大部分使用过计算机的人都遇到过计算机病毒的侵扰,它可能使辛苦一天的文档不翼而飞,或者使主机系统莫名其妙的崩溃、死机。对于网络安全问题,在20世纪60—70年代,“黑客”的称呼可以说是一种荣耀。它代表着拥有超人的智力和毅力。而到了20世纪后期,这个称呼却已变成了电子窃贼和大盗的代名词,他们的黑手频频伸向金融领域,而现在又瞄准了电子商务。
我们可以回顾一下网络黑客走过的历程。
1988年11月2日,年仅23岁的美国康奈尔大学(Cornell University)的学生罗伯特•莫瑞斯(Robert T•Morris,Jr.)在自己的计算机上,用远程命令将自己编写的蠕虫(Worm) 程序送进Internet网络,一夜之间攻击了Internet网上约6200台VAX系列小型机和Sun工作站,造成包括美国300多所大学、研究中心、国家航空航天局和几个军事基地的计算机停止运行,事故经济损失达9600万美元。这是世界上首例公开披露的网络黑客攻击案。
1994年4月到10月期间,任职于俄国圣彼得堡OA土星公司的24岁电脑专家弗拉基米尔•列•列文在本国操纵电脑,通过Internet多次侵入美国花旗银行在华尔街的中央电脑系统的现金管理系统。此系统允许在该行开户的企业客户在世界范围内作资金流动转移,每天通过它的资金达500亿美元。列文从花旗银行在阿根廷的两家银行和印度尼西亚的一家银行的几个企业客户的账户中将40笔款项转移到其同伙在加利福尼亚和以色列银行所开的账户中,窃走1000万美元。
29世纪后期,国内计算机犯罪分子将触角伸向电子商务领域。1997年1月21日到3月18日期,宁波证券公司深圳业务部的技术骨干曾定文多次通过证券交易网络私自透支本单位资金928万元炒股;而另一名技术人员吴敬文则利用两个股东帐号私自透支本单位资金2033万元炒股。1999年4月19日至21日,由于温保成等人在因特网BBS站点上非法张贴帖子,带头散布谣言,导致了交通银行郑州分行的重大挤兑事件。郑州市公安局刑事拘留了7名散布谣言、制造混乱的违法人员。 2000年3月4日,一个名叫秦海的“网上飞盗”在成都被警方逮捕。该犯2月10日和17日在银行窥视骗取两名储户的密码,然后利用电子商务从网上购得手机、快译通等物,共计价值2.7万元人民币。 2000年3月6日,刚刚开业的中国最大的全国网上连锁商城开业3天惨遭黑客暗算,网站全线瘫痪,页面被修改,数据库也受到了不同程度的攻击,交易数据破坏严重。 2002年7月,深圳某大公司天津分公司委托银行代为发放的工资没有进入正确的账户,而是流入另外的账户。犯罪嫌疑人杜某非法侵入该公司的局域网,修改部分财务数据程序,使本该流入正确账户的钱款流入到他在银行开设的假账户上,然后在一天内分批取出,共得赃款人民币28万余元。
大量的事实说明,保证电子商务的正常运作,必须高度重视安全问题。网络交易安全涉及社会的方方面面,不是仅仅是一堵防火墙或一个电子签字就能简单解决的问题。安全问题是网络交易成功与否的关键所在。它不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全,国家经济秩序的稳定问题。
1.2网络交易风险源分析
电子商务风险源分析主要是依据对网络交易整个运作过程的考察,确定交易流程中可能出现的各种风险,分析其危害性,旨在发现交易过程中潜在的安全隐患和安全漏洞,从而使网络交易安全管理有的放矢。
1. 在线交易主体的市场准入问题
在现行法律体制下,任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。虚拟主体的存在使电子商务交易安全性受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在,且确定哪些主体可以进入虚拟市场从事在线业务。这方面的工作需要依赖工商管理部门的网上商事主体公示制度和认证中心的认证制度加以解决。
2. 信息风险
从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息。以骗取对方的钱款或货物。虚假信息包含有与事实不符和夸大事实两个方面。虚假事实可能是所宣传的商品或服务本身的性能、质量、技术标准等,也可能是政府批文、权威机构的检验证明、荣誉证书、统计资料等,还可能是不能兑现的允诺。例如,有些网络公司急于扩大自身影响,引起公众注意,网络广告使用“中国第一”、“全国访问率最高”“固定用户数量最多”等词语。有的甚至在网络广告发布过程中,违反有关法律和规章中的强制性规定,将含有淫秽、迷信、恐怖、暴力、等不健康的内容直接在网上发布。
从技术上看,网络交易的信息风险主要来自冒名偷窃、篡改数据、信息丢失等方面的风险。
3. 信用风险
信用风险主要来自三个方面:
(1)来自买方的信用风险。对于个人消费者来说,可能存在在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方货物的行为;对于集团购买者来说,存在拖延货款的可能。卖方需要为此承担风险。
(2)来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。
(3)买卖双方都存在抵赖的情况。
4. 网上欺诈犯罪
骗子们利用人们的善良天性,在电子交易活动中频繁欺诈用户,利用电子商务欺诈已经成为一种新型的犯罪活动。1998年6月,湖南省石门县刘政、覃业名等6人以石门县兴源公司的名义,利用Internet发布虚假商情,骗得深圳市威远工贸公司编织袋15万条,价值20万元。在抗洪抢险期间,又采取订立虚假合同的方式,将所骗物资变卖到湖南津市、澧县、益阳等显示,获赃款9万余元,均被挥霍一空。
打击因特网欺诈行为对保证电子商务正常发展具有重要意义。不严厉打击这类犯罪活动,电子商务就不可能顺利发展。
5.电子合同问题
在传统商业模式下,除即时结清或数额小的交易毋须记录外,一般都要签订书面合同,以免在对方失信不履约时以作为证据,追究对方的责任。而在在线交易情形下,所有当事人的意思表示均以电子化的形式存储于计算机硬盘或其他电子介质中。这些记录方式不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。电子商务法需要解决由于电子合同与传统合同的差别而引起的诸多问题,突出表现在书面形式,签字有效性、合同收讫、合同成立地点、合同证据等方面。
6.电子支付问题
在电子商务简易形式下,支付往往采用汇款或交货付款方式,而典型的电子商务则是在网上完成支付的。网上支付通过信用卡制服和虚拟银行的电子资金划拨来完成。而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。因此,需要制定相应的法律,明确电子支付的当事人(包括付款人、收款人和银行)之间的法律关系,制定相关的电子支付制度,认可电子签字的合法性。同时还应出台针对电子支付数据的伪造、变造、更改、涂销问题的处理办法。
1.3网络交易安全管理的基本思路
保障电子商务交易安全,必须对电子商务交易系统有一个深刻的理解。这一点至关重要,它直接关系到所建立的交易安全保障体系的有效性和生命力。
电子商务系统是活动在Internet 平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。而系统的安全目标与安全策略,是由组织的性质与需求所决定的。因此在分析系统的安全风险,制定相应的安全保护措施时同样需要基于其“复合型”性质,即需要同时考虑其组织和技术体系以及管理过程的性质,而不是单纯地根据信息系统本身去制定安全措施。
电子商务交易安全过程也不是一般的工程化的过程,而是一个时时处处有人参与的、自我适应的、不断变化的、不断涌现新的整体特征的过程。所以,电子商务交易安全保障不是一般的管理手段的叠加和集成,而是综合集成,两者的本质区别在于后者强调人的关键作用。只有通过人网结合、人机结合,充分发挥各自优势的方法,才能经过综合集成,使系统表现出新的安全性质——整体大于部分之和。
与电子商务交易系统相适应,电子商务交易安全是也一个系统工程,不是几个防火墙、几个密码器就可以解决问题的。它需要根据商品交易的特点来制定整个过程的安全策略。在安全策略指导下,构建一个立体的、动态的安全框架,在这个框架下再选择、确定提供哪些安全服务,制定哪些相应的安全机制,开发哪些有关的产品或者加强有关的产品,来满足整体的需要,保证安全策略的实施。
一个完整的网络交易安全体系,至少应包括三类措施,并且三者缺一不可。一是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。但只有技术措施并不能保证百分之百的安全。二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查、以及安全教育等。在这方面,政府有关部门、企业的主要领导、信息服务商应当扮演重要的角色。三是社会的法律政策与法律保障。只有从上述三方面入手,才可能真正实现电子商务的安全运作。
2.电子商务网络信息安全目前所采用的技术
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
2.1防火墙技术
从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
新一代的防火墙产品一般运用了以下技术:
(1)透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
(2)灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
(3)多级过滤技术
为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。
(4)网络地址转换技术
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
(5)Internet网关技术
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
(6)用户鉴别与加密
为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
防火墙技术从其功能上来分,还可以分为FTP防火墙、 Telnet防火墙、Email 防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和代理访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。
2.2 数字签名技术
数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
温馨提示:答案为网友推荐,仅供参考