从消费者视角谈电子商务的安全问题及对策-1

从消费者视角谈电子商务的安全问题及对策 一,电子商务的安全现状 在信息经济的发展过程中，各产业对网络的技术依赖达到空前的程度。军事、经济、 社会、文化各方面都越来越依赖于网络。这种高度依赖性使社会变得十分”脆弱”，一旦 计算机网络受到攻击，不能正常运作时，整个社会就会陷入深深的危机,甚至比电影中描述 的情节还要恐怖。因此，网络信息安全日益受到各国的高度重视。 随着经济信息化进程的 加快，计算机网络上黑客的破坏活动也随之猖撅起来。非法黑客及黑客行为已对经济秩序、 经济建设、国家信息安全构成严重威胁。目前，国际黑客对各国计算机系统中高度敏感保 密信息的攻击和窃取正在日益上升，威胁来自于多方面，包括建立模仿合法 WEB 网址的假 网址的欺骗行为，另外还包括模仿和更改截取的电子信息以及非法侵入专用企业数据库等。 在银行计算机犯罪案件中，具破坏性的犯罪类型是篡改数据，而各银行对计算机数据的保 护、操作密码保护和储户密码保护都缺乏有力的措施。证券市场也屡屡受黑客的攻击。发 展中国家的许多部门只着重信息的应用带来的巨大财富，没有意识到信息安全的漏洞，忽 视计算机系统的安全技术防范，给基础安全带来隐患。与此同时，信息安全保卫工作严重 滞后。此外，发达国家限制和封锁信息安全高密度产品的出口，也对许多发展中国家的信 息网络安全造成不利影响。 其实，并不是只有电子商务用户和 ISP 才需要解决电子商务安 全问题，各企业在向在线商务转换时就要考虑外部和内部的网络安全问题。对于正在寻找 将其内部网对外开放的好处的公司来说，必须保护其易损的内部信息。无论是对订单、敏 感的设计方案，还是对公司内部记录提供保护，安全性都是正在考虑利用 1nternet 进行联 系的公司应最优先考虑的问题。 二,电子商务的安全要素 首先，它是一个复杂的管理问题。管理公司内部的网络环境已很复杂，当把企业网与 Internet 相连时，性能、安全、可管理性等方面就面临挑战。 其次，它是一个技术安全问题。电子商务应由合法的系统进行确认和支持。文件上的 数字签字在法庭上与书面签字具有同等效力。电子商务是通过信息网络传输商务信息和进 行贸易的，与传统的有纸贸易相比减少了直接的票据传递和确认等商业活动，因此要求电 子商务比有纸贸易更安全）更可靠。这首先需要技术上的保证，如电子签名、电子识别等 技术手段的采用。任何泄密事件都会造成十分严重的后果。一些 IT 技术公司正致力于解决 这些问题，但坯存在一些障碍。再次，它是一个法律问题，电子商务安全问题的真正解决 需要通过法律的完善来加以保证。 电子商务的安全主要要素体现在以下几个方面： 1、有效性、真实性 有效性、真实性即是能对信息、实体的有效性、真实性进行鉴别。 电 子商务以电子形式取代了纸张，电子商务作为贸易的一种形式，其信息的有效性和真实性 将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应 用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防， 以保证贸易数据在确定的时刻、确定的地点是有效真实的。 2、机密性 机密性要求即是能保证信息不被泄露给非授权的人或实体。 在利用网络进行的 交易中，必须保证发送者和接收者之间交换的信息的保密性。商业泄密是电子商务全面推 广应用的重要保障。 3数据的完整性 完整性要求即是能保证数据的一致性，防止数据被非授权建立、修改和 彼坏。 电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、 统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。贸 易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是 电子商务应用的基础。 4、可靠性、不可抵赖性和可控性 可靠性要求即是能保证合法用户对信息和资源的使用不 会被不正当地拒绝；不可否认要求即是能建立有效的责任机制，防止实体否认其行为；可 控性要求即是能控制使用资源的人或实体的使用方式。 电子商务直接关系到贸易双方的商 业交易，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标 识。 保证交易数据的安全是电子商务系统的关键。目前电子商务主要存在的安全隐患有以下几 个方面： （1）对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息，仿冒合 法用户的身份与他人进行交易，从而获得非法利益。 （2）对信息的窃取。攻击者在网络的传输信道上，通过物理或逻辑的手段，对数据进 行非法的截获与监听，从而得到通信中敏感的信息。 （3）对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消 息次序、时间，注入伪造消息等，从而使信息失去真实性和完整性。 （4）拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻，例如使一个业务口 被滥用而使其他用户不能正常工作。 （5）对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认，以推 卸自己应承担的责任。 （6）非法入侵和病毒攻击。计算机网络会经常遭受非法的入侵攻击以及计算机病毒的 破坏。 电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此，电子 商务安全从整体上可分为计算机网络安全和商务交易安全两大部分。 三,电子商务安全问题 电子商务交易双方（销售者和消费者）都面临安全威胁。 从安全和信任的角度来看,传统的买卖双方是面对面的,因此很容易保证交易过程的安全性 和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制， 因而建立交易双方的安全和信任关系相当困难。电子商务交易双方（销售者和消费者）都 面临安全威胁。 1卖方（销售者）面临的安全威胁 卖方（销售者）面临的安全威胁主要有： （1）系统中心安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、 解除用户订单或生成虚假订单。 （2）竞争者的威胁：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况 和货物的库存情况。 （3）商业机密的安全：客户资料被竞争者获悉。 （4）假冒的威胁：不诚实的人建立与销售者服务器名字相同的另一个 www 服务器来假冒销 售者；虚假订单；获取他人的机密数据， （5）信用的威胁：买方提交订单后不付款。 2买方（消费者）面临的安全威胁 买方（消费者）面临的安全威胁主要有： （1）虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此 时客户却被要求付款或返还商品。 （2）付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给 执行部门，因而使客户不能收到商品。 （3）机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如 PIN，口令等）发 送给冒充销售商的机构，这些信息也可能会在传递过程中被窃听。 （4）拒绝服务：攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源，从而 使合法用户不能得到正常的服务。 3黑客攻击电子商务系统 卖方和买方从事网上交易时所面临的安全风险，常常成为黑客攻击的目标。从买卖习方的 情况分析，黑客们攻击电子商务系统的手段可以大致归纳为以下 4 种: （1）中断（攻击系统的可用性）：破坏系统中的硬件、硬盘、线路、文件系统等，使系统 不能正常工作； （2）窃听（攻击系统的机密性）：通过搭线与电磁泄漏等手段造成泄密，或对业务流量进 行分析，获取有用情报； （3）窜改（攻击系统的完整性）：窜改系统中数据内容，修正消息次序、时间（延时和重 放）; (4)伪造(攻击系统的真实性):将伪造的假消息注入系统假冒合法人介入系统、重放截获的 合法消息实现非法目的,否认消息的接入和发送等。 四,电子商务安全问题的对策和措施 (一),计算机网络安全措施 1,保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机 密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如 下： （1）全面规划网络平台的安全策略。 （2）制定网络安全的管理措施。 （3）使用防火墙。 （4）尽可能记录网络上的一切活动。 （5）注意对网络设备的物理保护。 （6）检验网络平台系统的脆弱性。 （7）建立可靠的识别和鉴别机制。 2,保护应用安全。保护应用安全，主要是针对特定应用（如 Web 服务器、网络支付专用软 件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。 3,保护系统安全。保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安 全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结 算的系统安全包含下述一些措施： （1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认 未知的安全漏洞。 （2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通， 对所有接入数据必须进行审计，对系统用户进行严格安全管理。 （3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 (二),商务交易安全措施 一),商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题 1,加密技术。加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交 换的阶段使用。加密技术分为两类，即对称加密和非对称加密。 （1）对称加密。对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加 密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理 困难。 （2）非对称加密。非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操 作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。 2,认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即 确认双方的身份信息在传送或存储过程中未被篡改过。 （1）数字签名。数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认 证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报 文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签 名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收 方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的 数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。 （2）数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及 公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符， 以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金 融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可 以公开这个证书。 二）电子商务的安全协议。除上文提到的各种安全技术之外，电子商务的运行还有一套完 整的安全协议。目前，比较成熟的协议有 SET、SSL 等。 参考文献: 2樊晋宁.电子商务的安全问题和相应措施J. /sw/shangwu5.htm /showthread.asp?threadid=79&goto=next /Article/2005-3-25/13815.shtml http:/