電子商務(wù)安全的現(xiàn)狀與對策

電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢，也是國際金融貿(mào)易中日益重要的一種運(yùn)營模式。它以計(jì)算機(jī)技術(shù)、通信技術(shù)與網(wǎng)絡(luò)技術(shù)為依托,利用電子數(shù)據(jù)交換、電子郵件、電子支付等方式實(shí)現(xiàn)了整個(gè)商務(wù)活動的電子化、數(shù)字化和網(wǎng)絡(luò)化。但隨著電子商務(wù)的迅速發(fā)展,其安全性問題也愈突出,如何構(gòu)建一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)能否健康順利發(fā)展的關(guān)鍵性課題。1盜竊、欺騙、病毒和非法入侵在電子商務(wù)中,安全性是必須考慮的核心問題。竊聽、欺騙、病毒和非法入侵都在威脅著電子商務(wù)的健康、順利發(fā)展。由此引發(fā)的一系列安全問題迫切需要有效的解決方案。1.1非法收集用戶數(shù)據(jù)電子商務(wù)中的信息泄露表現(xiàn)為貿(mào)易雙方的相關(guān)信息內(nèi)容被攻擊者竊取,如商業(yè)機(jī)密等。攻擊者獲取信息的方式主要有兩種,一是竊聽,信息在網(wǎng)絡(luò)傳送過程中,攻擊者可在傳輸信道上對數(shù)據(jù)進(jìn)行非法截獲、監(jiān)聽,獲取通信中的敏感信息,造成網(wǎng)上傳輸信息泄露。二是通過攻擊數(shù)據(jù)庫服務(wù)器,即利用WEB程序或網(wǎng)絡(luò)數(shù)據(jù)庫的缺陷,通過多種技術(shù)手段,繞過網(wǎng)站系統(tǒng)、WEB程序或網(wǎng)絡(luò)數(shù)據(jù)庫的安全限制,直接從網(wǎng)站中獲取機(jī)密信息。1.2修改、刪除商業(yè)信息成功竊取信息后,攻擊者通過對信息格式和規(guī)律的解讀,可采用各種手段對非法獲取的信息進(jìn)行修改、刪除,從而破壞原有商業(yè)信息的真實(shí)性、完整性。1.3所在單位個(gè)人信息攻擊者通過竊聽、攻擊數(shù)據(jù)庫可以獲取商務(wù)活動者的用戶信息,這些重要的個(gè)人信息就可能被非法盜用。攻擊者利用合法用戶的身份信息與他人開展貿(mào)易,獲取非法利益,從而破壞貿(mào)易的可靠性,影響貿(mào)易者的信譽(yù)。1.4交易可靠性的確認(rèn)電子商務(wù)活動不同于傳統(tǒng)的面對面交易,交易雙方無法通過明顯的標(biāo)識來確認(rèn)交易的可靠性。這種“無紙化”的交易方式會給某些不良用戶以可乘之機(jī),他們對發(fā)出或收到的信息進(jìn)行惡意否認(rèn),以逃避應(yīng)承擔(dān)的責(zé)任。1.5計(jì)算機(jī)服務(wù)平臺計(jì)算機(jī)病毒,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。一般來說,病毒都具有隱蔽性,它們通常附在正常程序中或磁盤較隱蔽的地方,而某些病毒正是利用了這一特點(diǎn),悄無聲息地竊取著電子商務(wù)活動中的信息。1.6某些外在威脅方面的威脅電子商務(wù)除了面臨竊聽、欺騙、病毒攻擊這些方面的威脅,一些偶然因素對其安全性也構(gòu)成威脅,如突發(fā)自然災(zāi)害造成的商務(wù)活動中斷、操作人員的不慎重所導(dǎo)致的信息泄露等。2b知識產(chǎn)權(quán)保護(hù)電子商務(wù)的貿(mào)易安全就是對貿(mào)易中涉及的各種信息的可用性、可靠性和完整性進(jìn)行保護(hù)。與傳統(tǒng)的商務(wù)方式作對比,會發(fā)現(xiàn)許多源于安全方面的問題。2.1電子形式貿(mào)易信息的有效性作為貿(mào)易的一種新形式,電子商務(wù)實(shí)現(xiàn)了商務(wù)活動的電子化、數(shù)字化和網(wǎng)絡(luò)化,以電子形式取代了紙張,如何保證電子形式貿(mào)易信息的有效性是開展電子商務(wù)的前提。其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對計(jì)算機(jī)軟硬件故障、計(jì)算機(jī)病毒、非法入侵、操作失誤等一系列潛在威脅加以控制和預(yù)防,以保證電子商務(wù)貿(mào)易信息的有效性。2.2維護(hù)商業(yè)領(lǐng)域,維護(hù)商業(yè)領(lǐng)域電子商務(wù)是建立在開放、復(fù)雜的網(wǎng)絡(luò)環(huán)境上的,重要的商業(yè)信息直接與個(gè)人、企業(yè)和國家的切身利益相關(guān),維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防黑客的惡意攻擊,防止信息泄露,保障信息傳輸通道和存取數(shù)據(jù)庫的安全。2.3交易方信息存在混亂電子商務(wù)便捷、快速的同時(shí)也帶來了貿(mào)易各方商業(yè)信息的完整、統(tǒng)一問題。商業(yè)信息在傳輸過程中出現(xiàn)丟失、重復(fù)、次序混亂,亦或是交易方的操作失誤、惡意欺騙,這些都會導(dǎo)致貿(mào)易各方信息的差異。從而給各方的交易和貿(mào)易策略帶來影響。因此,要預(yù)防對信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù),并保證信息傳送次序的統(tǒng)一。2.4伙伴合同、契約的預(yù)防在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約的可靠性并預(yù)防抵賴行為的發(fā)生。但在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,在電子貿(mào)易中,需為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識,以此作為雙方鑒定的依據(jù),提高貿(mào)易的可靠性,避免惡意抵賴。3電子商務(wù)的安全技術(shù)3.1數(shù)據(jù)加密與保密數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。貿(mào)易者在網(wǎng)絡(luò)上相互通信,主要的安全威脅來自于非法竊聽。攻擊者可以通過搭線、電磁波等多種方式竊聽傳輸?shù)男畔?。而對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行加密,在通道上傳輸密文,則可以有效地防范攻擊者對信息內(nèi)容的真實(shí)解讀。數(shù)據(jù)加密就是按照確定的密碼算法,將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小,加密速度快,但相對地,密鑰管理安全性的代價(jià)較高,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中,使用不同的密鑰加以控制。加密密鑰是公開的,解密密鑰是保密的,它的保密度依賴于從公開的密文與明文的對照推算解密密鑰在計(jì)算上的不可能性。推算的不可能性越高,保密的等級也就越高,攻擊者獲取真實(shí)信息內(nèi)容的可能性也就越低。3.2身份識別技術(shù)身份認(rèn)證是判明和確認(rèn)貿(mào)易雙方真實(shí)身份的重要環(huán)節(jié),也是電子商務(wù)交易過程中最薄弱的環(huán)節(jié)。數(shù)字簽名與身份識別技術(shù),及CA認(rèn)證是主要的身份認(rèn)證技術(shù)。1)數(shù)字簽名又稱電子加密,可以區(qū)分真實(shí)數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。這對于網(wǎng)絡(luò)數(shù)據(jù)傳輸,特別是電子商務(wù)是極其重要的。一般采用非對稱加密技術(shù),通過對整個(gè)明文進(jìn)行某種變換,得到一個(gè)值,作為核實(shí)簽名。接收者使用發(fā)送者的公開密鑰對簽名進(jìn)行解密運(yùn)算,如其結(jié)果為明文,則簽名有效,證明對方的身份是真實(shí)的。且保證了發(fā)信人無法抵賴曾發(fā)過該信息,即不可抵賴性,同時(shí)也確保信息報(bào)文在經(jīng)簽名后的完整性。身份識別技術(shù)采用密碼技術(shù)(尤其是公鑰密碼技術(shù))設(shè)計(jì)出安全性高的協(xié)議,一般是指用戶向系統(tǒng)出示自己身份證明的過程,主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征。2)CA認(rèn)證技術(shù)。CA,即電子商務(wù)認(rèn)證中心,也稱為電子商務(wù)授權(quán)機(jī)構(gòu)。在電子交易中,無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠貿(mào)易雙方自己完成的,而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。CA就是承擔(dān)網(wǎng)上安全電子貿(mào)易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。它為建立身份認(rèn)證過程的權(quán)威性框架奠定了基礎(chǔ),為貿(mào)易的參與方提供了安全保障。CA中心對含有公鑰的證書進(jìn)行數(shù)字簽名,使證書無法偽造。每個(gè)用戶可以獲得CA中心的公開密鑰,驗(yàn)證任何一張數(shù)字證書的數(shù)字簽名,從而確定證書是否是CA中心簽發(fā)、數(shù)字證書是否合法。3.3pki安全認(rèn)證PKI(PubicKeyInfrastructure)是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。它由公開密鑰密碼技術(shù)、數(shù)字證書、CA和關(guān)于公開密鑰的安全策略等基本成分共同組成的。從某種意義上講,PKI包含了安全認(rèn)證系統(tǒng),即CA系統(tǒng)是PKI不可缺的組成部分。該技術(shù)采用證書管理公鑰,通過第三方的可信任機(jī)構(gòu)——認(rèn)證中心CA,把用戶的公鑰和用戶的其他標(biāo)識信息(如名稱、E-mail、身份證號等)捆綁在一起,在網(wǎng)上驗(yàn)證用戶的身份。目前,通用的辦法是采用基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書,通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密,保證信息傳輸?shù)谋Ｃ苄浴⑼暾?簽名保證身份的真實(shí)性和抗抵賴。3.4使用虛擬專用網(wǎng)的安全技術(shù)防火墻的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)(被保護(hù)網(wǎng)絡(luò))。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。簡單防火墻技術(shù)可以在路由器上實(shí)現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。虛擬專用網(wǎng)(VPN)即是用于網(wǎng)絡(luò)交易的一種專用網(wǎng)絡(luò),它通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN架構(gòu)中采用了多種安全機(jī)制,如隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)等,通過上述的各項(xiàng)網(wǎng)絡(luò)安全技術(shù),確保貿(mào)易信息在公眾網(wǎng)絡(luò)中傳輸時(shí)不被竊取,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。3.5網(wǎng)絡(luò)信息安全系統(tǒng)入侵檢測系統(tǒng)(IDS)可以被定義為對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的系統(tǒng)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為。在發(fā)現(xiàn)入侵后,系統(tǒng)會及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。3.6監(jiān)視和記錄技術(shù)計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性重要的一環(huán),主要包括病毒預(yù)防技術(shù)、病毒檢測和病毒清除技術(shù)三種:1)病毒預(yù)防技術(shù),就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對系統(tǒng)的傳染與破壞。它通過自身常駐系統(tǒng)內(nèi)存優(yōu)先獲得系統(tǒng)的控制權(quán),監(jiān)視和判斷系統(tǒng)中是否有病毒存在,進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存和對系統(tǒng)進(jìn)行破壞。這類技術(shù)包括加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。2)病毒檢測技術(shù),是通過一定的技術(shù)手段對計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)。主要包含兩種方式,一是針對病毒的特征進(jìn)行檢測,如計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式等。另一種是根據(jù)自身已有的文件或數(shù)據(jù)的保存結(jié)果進(jìn)行檢驗(yàn),若前后出現(xiàn)差異,也可判定病毒的存在。3)病毒清除技術(shù),它通過對計(jì)算機(jī)病毒的分析,開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。目前,清除病毒大都是在病毒出現(xiàn)之后,對其進(jìn)行分析研究才研制出相應(yīng)解毒功能的軟件,帶有滯后性。3.7數(shù)據(jù)安全和個(gè)人隱私安全SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。其提供的服務(wù)主要有:認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。但SSL協(xié)議是一個(gè)面向連接的協(xié)議,在涉及多方的電子交易中,SSL協(xié)議不能完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。SET協(xié)議則有效地解決了該問題。SET協(xié)議是由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機(jī)構(gòu),共同制定的應(yīng)用于網(wǎng)絡(luò)上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn),即“安全電子交易”(SecureElectronicTransaction)。它為電子商務(wù)活動提供了一個(gè)開放的標(biāo)準(zhǔn),為網(wǎng)上支付貿(mào)易提供高層的安全和反欺詐保證,保證了電子貿(mào)易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議