影响电子商务信息安全的因素及其防范措施.doc

影响电子商务信息安全的因素及其防范措施 宇凡 （广西区委党校广西南宁邮编：） 摘要：本文较系统地叙述了影响电子商务信息安全的诸多因素针对这些因素，提出在实 际应用中应采取的防范措施和技术手段，以减少信息不安全所造成的损失。 关键词：电子商务 网络信息安全 电子商务是以（因特网企业内 部网）网络为架构，以交易双方为主体，以银行支付 和结算为手段，以客户数据库为依托的全新的商业 模式。换句话来说，电子商务是通过和 进行的商务活动。这些活动不但包括与购销 直接有关的网上广告、网上洽谈、订货、收款、付款、 客户服务、货物递交等活动，还包括网上市场调查、 财务核算、生产安排等利用计算机网络开展的商务 活动。由于计算机网络本身存在着安全漏洞，因 此，电子商务中的信息不可避免地存在着安全隐 患。影响信息安全的因素主要有两个方面：一是网 络本身的不安全因素，二是进行网上交易时的不安 全因素。 网络本身的不安全因素 影响计算机网络信息的不安全因素有自然因 素，也有人为因素。前者包括有雷电、火灾、水灾、 地震、强磁场、强电子脉冲等，这些都可以直接损坏 计算机系统的硬件和破坏系统的软件和数据。而 后者主要包括以下几种方式：黑客的攻击 计算机黑客是指采用不正当手段窃取计算机 信息系统的：令和密码，从而非法进入他人计算机 网络系统的人，他们或翻阅别人的资料、侵犯他人 隐私、或者收集军事机密情报、窃取商业机密利用 计算机进行高科技犯罪。黑客的存在主要是由于 网络的不健全造成的。黑客攻击网络的方式有很 多种，常用的有：（）利用电子邮件往对方的电子邮 件中发送一个很大的文件，将对方的电子信箱“撑 破”，这是最广泛运用的攻击方式；利用测试网络速 度的“”程序不问断地向服务器发送数据包， 导致服务器“阻塞”最终瘫痪；（）黑客通过分析 （域名管理系统）而直接获取服务器等主 机的口地址，进而伪造服务器等主机的地 址，并根据这个伪造的口地址以进行非授权操作， 偷盗、篡改信息；（）黑客通过软件程序跟踪检测软 件，捕获到用户的登录名和密码，对用户的信息内 容胡乱加以修改毁坏数据，甚至输入病毒，使整个 数据库陷于瘫痪。 计算机病毒 计算机病毒是指编制者在计算机程序中插入 的破坏计算机功能或者毁坏数据、影响计算机使 用、并能自我复制的一组计算机指令或者程序代 码。计算机病毒具有传染性、隐蔽性、潜伏性、危害 一 万方数据 性、攻击的主动性、针对性和不可预见性等特征，它 是一些人利用计算机软、硬件所固有的脆弱性而编 制出来的。早期的计算机病毒主要通过软盘、光盘 等介质交换文件进行传播，但随着网络的兴起，特 别是随着的迅速普及，计算机病毒的传播 方式也转向通过传播。在上广泛 使用电子邮件已经成为病毒传染的主要途径。据 英国反病毒公司信息实验室公司发布的消息显示， 过去三年计算机感染上病毒的电子邮件持续增长， 该公司年监控的每个电子邮件中就有一 个是感染病毒的邮件，而在年里每个电 子邮件才有一个被病毒感染，涨幅达。另外， 通过网络下载软件和使用盗版软件也成为病毒程 序传播的一个重要途径。 本身的缺陷 由于当初设计时只是为了共享网络的 资源并促进大学、政府研究机构、开发机构和军事 部门的科学研究工作，许可进人网络的单位都被认 定是可靠的和可以信赖的，并且已经参与研究和共 享数据，因此当时制定的网络协议，几乎没有注意 到安全性问题（因为上的协议只是 保证网络信息准确完整地传送到目的地）。直到 年，主干网（，美国国家基金会）取 消了上不允许商业活动的限制后， 本身的网络安全缺陷就凸现出来，因为每个厂商都 有一些不为外人或竞争者知道的信息和数据，比如 特定的单证、交易金额、销售计划、客户名单等，他 们不希望外部用户访问到这些信息或数据，但是 上没有相应的网络安全机制保证这些信息 或数据的安全。 内部管理机制不严 管理人员的防范意识不强，泄漏口令和机密软 件的代码。例如当年微软被“黑”，主要的原因是一 个防范意识不强的工程师在家里拨号上公司的内 部网，被人截获数据所致。 系统漏洞 任何系统都不是完美的，都有漏洞存在。例如 年月日爆发的蠕虫病毒就是利用 年月份公布的微软 的一个系统漏 洞，对网络上的数据库进行攻击，使连接在网 一一 络上的被攻击的系统如同癌细胞那样不断蜕变，生 成新的攻击不断向网络释放、扩散，从而逐步鲸吞、 消耗网络资源，导致网络的访问速度下降，甚至瘫 痪。 ， 网上交易的不安全因素 由于电子商务是在网（）进行商 务活动的，因此交易双方在网上交易会涉及到交易 的信息不完整、保密性差、交易双方的身份难以鉴 别、交易双方是否守信用等问题，这些问题的存在 容易给交易双方带来不安全感，同时也给不法之徒 带来可乘之机，或者进行交易抵赖，或者盗用他人 身份来谋取钱财，或者进行网上诈骗等活动。 防范措施 针对电子商务中信息存在的诸多不安全因素， 我们应该有的放矢，从网络安全方面以及网上交易 方面分别采取防范措施： 网络安全的防范措施 采用防火墙技术 防火墙技术是目前比较广泛使用的网络安全 防护技术，是内部网（）最重要的安全技术之 一。它就是在因特网（把）内部网（ ）之间建立了个安全网关，提供可控制的过滤 网络通信，其主要功能就是控制对受保护网络的非 法访问。它通过监视、限制、更改跨越防火墙的数 据流，一方面尽可能地对外屏蔽网络内部的信息、 结构和运行状况，另一方面对内部屏蔽外部站点， 防止不可预测的、潜在的破坏性侵入。这样就决定 了哪些内部服务可以被外界访问，哪些外部服务可 以被内部人员访问。 实现防火墙的主要技术有数据包过滤、应用网 关、代理服务和审计技术等。实际应用时常采用两 级的安全机制，即第一级由包过滤路由器承担，第 二级由防火墙承担。 入侵检测技术 由于传统的操作系统加固技术和防火墙隔离 技术等都是静态安全防御技术，对网络环境下日新 月异的攻击手段缺乏主动的反应，为了弥补这一缺 陷，动态安全防御技术应运而生。其中入侵检测技万方数据 术是动态安全技术的最核心技术之一，它是通过对 人侵行为的过程与特征的研究，使安全系统对入侵 事件和入侵过程能做出实时响应。现在市场上流 行的是网络人侵检测系统。具体实施时，常常将网 络人侵检测系统与防火墙的功能相结合构建安全 网络。 网络反病毒技术 在网络环境下，虽然可以通过各种防卫技术保 护网络安全，但病毒的人侵是不可避免的，因此，反 病毒技术是网络安全性建设中重要的一环。网络 反病毒技术包括预防病毒、检测病毒和杀毒三种技 术，具体实现方法是对网络服务器中的文件进行频 繁地扫描和监测、在工作站上用防病毒芯片和对网 络目录及文件设置访问权限等。例如现在流行的 各种杀病毒软件，如瑞星版杀毒软件、江民 （杀毒软件、熊猫网络版杀毒软件等都具备 预防、检测和杀毒等功能。 采用虚拟专用网（）技术 是指在公用网络中建立专用的数据通信 网络的技术，它可以在两个系统之间建立安全的隧 道，它允许授权移动用户和已授权的用户在任何时 间、任何地点访问企业网络。这种方式在保证网络 的安全性方面是非常有用的。 ，及时给系统安装“补丁”程序 “补丁”程序是软件公司为了弥补自己开发、销 售出的软件存在的安全漏洞而后续开发的针对性 程序。及时给系统安装原厂公布的“补丁”程序，也 是网络信息安全的防范措旋中重要的一个环节。 加强内部管理 实现网络安全，不仅靠先进的技术，而且也得 靠严格的安全管理、法律约束和安全教育。因为许 多不安全因素恰恰反映在组织管理和人员使用方 面。针对各单位的内部网络系统，必须逐步建立健 全一套自上而下的安全组织机构与管理规章制度， 并对员工进行培训，以提高整个网络使用者的安全 管理意识和水平。做到：不泄漏口令和机密软件的 代码；所有软件必须经过严格审查，经过相应的控 制程序后才能使用；采用防病毒软件，定时地对系 统中的所有工具软件、应用软件进行检测，防止各 种病毒的人侵。 网上交易中信息安全的防范措施 网络安全只是实现电子商务的基础，电子商务 发展的核心和关键问题则是交易的安全性。在网 上交易时，用户除了对网上兜售商品的网址进行核 查，以摸清商贩们提供的地址和电话是否属实外， 也对交易双方的身份鉴别、是否冒名顶替和是否诚 实守信等诸多问题最为担心，这也是制约电子商务 发展的一个重要因素。目前主要采用以下几种措 施来解决网上交易中信息安全问题： 数据加密 数据加密技术是保证电子商务安全工作的一 种重要方法。它可以把某些重要信息从一个可理 解的明文形式变换成一种难以理解的密文形式（加 密），经过线路传送，到达目的端后用户再将密文还 原成明文（解密）。由于信息是以密文方式进行传 送的，不知道解密方法的人是无法得到信息的真实 内容，从而保证了数据传送过程中的安全性。 计算机加密方法主要有对称密钥密码和非对 称密钥密码两种密码体制。前者采用相同的加密 密钥和解密密钥，且不公开密钥的方法对需要保护 的信息进行加解密，其典型算法是数据加密标准 （ ）算法。后者也称公开 密钥加密，采用加密密钥不同于解密密钥（即不对 称性），且公开加密密钥。但解密密钥需要保密，其 典型算法是算法。算法的优点主要在于 原理简单（采用大整数素因子分解方法），易于使 用，易实现密钥管理，且解密花费时间长，攻击者在 有限时间内很难破译密文信息，是目前业常用 的加密算法。 例如由研究加密算法而著称的美国数据 安全实验室开发的位密匙密匙。 在经过全球万名电脑高手工作了一年天 一天小时整整年时间后，终于于年月 中旬的时候被破解了。尽管这条被高科技加密术 保护的密文只有短短一句话（“事情还是不知道为 妙”），但业内人士认为，这一成果将会在计算机发 展史上具有里程碑般的意义。 数字签名 它是公开密钥加密技术的一种应用，是指发送 方将要传送的明文（原始的信息）通过一种函数运 一】万方数据 算（）转换成报文摘要，这样不同的明文对应着 不同的报文摘要，报文摘要再用发送方的私有密钥 加密后与明文一起传送，合称为数字签名，接受方 将接受的明文产生新的报文摘要与发送方的发来 报文摘要解密比较，比较结果一致则表示明文未被 改动，如果不一致表示明文已被篡改。其作用就是 能够实现对原始报文的鉴别与验证，保证报文的完 整性、权威性和发送方对所发报文的不可抵赖性。 数字签名根据不同的要求，可分为秘密密钥的 数字签名、公开密钥的数字签名、只需确认的数字 签名、数字摘要的数字签名、电子邮戳、数字凭证等 多种方式。 数字证书 数字证书是作为网上交易双方真实身份证明 的依据，是一个经证书授权中心（ ，）数字签名的、包含证书申请者（公开密 钥拥有者）个人信息及其公开密钥的文件。基于公 开密钥密码体制的公钥基础结构（ ，）的数字证书是电子商务安全体系 系统的核心，其用途是利用公共密钥加密系统来保 护与验证公众的密钥。数字证书由可信任的、公正 的权威机构颁发。 安全协议 安全可靠的网络协议是实现电子商务交易的 关键技术之一。近年来，信息技术行业和金融行业 一起，研究颁布了几项安全交易标准，如安全电子 交易协议（）、安全交易技术协议（）、安全超 文本传输协议（一）、安全套接层协议（）， 其中在电子商务实践中应用广泛的是协议和 协议。前者特点是拥有数字证书，即协议中包 括了信用卡在电子商务交易中的交易协定、信息保 密、资料完整及数字认证和数字签名等，被公认为 全球网际网络的标准，从而使持卡人和商家相信这 种交易是安全的，其形态将成为未来电子商务的规 范。后者是为套接字开发的一种加密技 术，向基于，口的客户，服务器应用程序提供了 一 客户端和服务器的鉴别、电子数据完整性及信息机 密性等安全措施，为电子交易提供了秘密性、完整 性、认证性三种基本的安全服务，目前世界上一些 大公司如微软公司、等提供的客户机、服务器 以及相关的软件都支持该协议，它已经成为一个事 实上的工业标准。 结束语 随着的迅速发展，网络和信息的安全 问题将越来越受到人们的重视。然而系统的安全 性永远取决于相对最薄弱的环节，黑客的花样在不 断翻新，新的病毒叉会出现等等，所以说，安全是相 对的，安全是一个历史性的阶段过程。加上目前电 子商务的安全保障主要是采用加密技术构建数据 传输的安全机制，加密技术是数据传输安全的核 心，但是在网络数据传输过程中，攻击者仍可以试 图通过对密文的分析