论电子商务的安全问题及其安全对策

1、论电子商务的安全问题及其安全对策 电子商务是一把双刃剑 论电子商务的安全问题及其安全对策 摘要： 随着知识经济的发展和计算机和络技术的全球渗透，“电子商务”无疑是当21世纪最大的热门话题，它通过电子方式处理和传递文本、声音和图像等数据，并涉及许多方面的活动，如货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、电子货运单证、商业拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务以其高效、简捷、成本低的优势，活跃在经济生活的各个领域，它强大的实用价值及其络的无国界渗透功能，向全球贸易、经济、科技、政治、法律各界提出无法回避的挑战。更且，许多发达国家均把推进电子商务作为增强国家

2、竞争力、赢得全球资源配置优势的战略举措。电子商务作为计算机应用技术与现代经济贸易活动结合的产物，已经成为人类跨入知识经济新纪元的重要标志之一。 然而，电子商务的产值在全球生产总值中却只占极小的一部分，究其原因，关键在于其安全问题，随着络的普及和科技的发展，我们所说的安全问题也日益凸出和激化，可以说电子商务安全问题严重影响和制约着其发展。因此电子商务要想有深远的发展也必须下一番苦功。本文有鉴于此，着重论述电子商务的安全问题，及其解决对策，以望为过分依赖电子商务却忽视其安全性的企业与个人起到警醒作用，并助力于电子商务的安全问题的解决，推进其发展进程。 关键词：电子商务 安全问题 安全策略 互联 防

3、火墙 双刃剑 认证 管理 summary that the knowledge economy developing at top speed, it active in all areas of economic life because of its obvious advantages of efficiency, form and costs, and thanks to its great practical value and the network functions that permeate widely without borders, the global mercant

4、ile, economic, technological, political and legal community cannot avoid the challenges. moreover, a large number of developed nations has applied the electronic commerce to enhance national competitiveness and occupy the global resources. as the mixed blood of the computer application technology an

5、d the modern economic and trade activities, the e-commerce has became one of the most important signs of new era of human knowledge. however, the output value of e-commerce in the global gdp is only a very small part, why? the key lies in security issues which become more and more keen that seriousl

6、y affect and restrict the development of e-commerce, in view of this, the thesis focuses on e-commerce security issues and its solutions, hoping to warn and help them who are taking up with e-commerce. keyword：e-commerce、 security issues、 security strategy、 internet、 firewall、 double-edged sword、 ce

7、rtification、 management. 正文： 电子商务面临的安全问题作为数字经济或络经济的“发动机”，面向21世纪的电子商务是一个全新的、具有时代挑战性的领域，已成为当前各界研究、开发和应用的热点，也是计算机工程与应用领域最重要的发展方向之一，正在世界范围内迅速发展。 然而，电子商务的发展和实践并没有像人们所期望的那样一帆风顺，美国密执安大学的一个调查机构通过对23000名因特用户调查显示:超过60%的人由于担心电子商务的安全性问题 而不愿进行上购物，而据中国互联信息中心1999年7月的统计报告，愿意在“条件成熟”的情况下进行上购物的占调查人数的85%。 有人曾说：“电子商务犹如一

8、把双刃剑，在给我们带来好处的同时也考验着我们。”正是电子商务中利益的追求使得其倍受争议。因此，从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为影响到电子商务健康发展的关键性课题。 当今的电子商务，面临着技术、经济、管理、法律、教育等全方位的问题，这些问题在一定程度上已成为制约电子商务发展的瓶颈因素。由于电子商务是在开放的络环境下运作的一种新型的商务模式，资金流、信息流、商流和部分物流（如数字化的商品）在络中都表现为比特（bit）流，安全性是电子商务生命力的重要保障。因此，电子商务的安全是人们普遍关注和研究的热点之

9、一。 一、电子商务的安全问题 可以说电子商务安全威胁种类繁多、来自各种可能的潜在方面，有蓄意而为的，也有无意造成的，但无论怎样，电子商务安全策略主要应以实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性为基准，保证电子商务活动的安全。电子商务的安全问题可以概括为以下几个方面： (一)身份仿冒 通过任何类型的络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息，甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。例如ip伪装方法，即通过使用数据接收者的ip地址，伪装成数据传输中的经过授权的一方。 如果不进行身份识别，第三方就有可能假冒交易方的身份，以破坏

10、交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。即攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。 (二) 未经授权的访问 未经授权的访问，假冒合法人接入系统，实现对文件进行篡改、窃取机密信息、非法使用资源等。电子的信息在络传输的过程中，可能被他人非法地修改、删除或重放这样就使信息丢失了真实性和完整性。 (三)信息泄漏 在电子商务中表现出来的信息泄露主要有两种，一种是交易双方进行交易的内容被第三方所窃取：一种是交易一方提供给另一方的文件、资料等被第三方非法使用。 (四) 服务拒绝 攻击者使合法接入的信息、业务或其他资

11、源受阻。主要表现为散布虚假资讯，扰乱正常的资讯通道。 (五) 恶意程序侵入等络攻击 计算机络本身容易遭到一些恶意程序的破坏，而使电子商务信息遭到破坏。例如计算机病毒（virus），包括计算机蠕虫（worm），特洛伊木马，逻辑炸弹等。计算机病毒是络化社会的一大公害，对于利用计算机进行交易的电子商务参与者而言，计算机病毒不得不防，因为病毒的侵袭和爆发势必会造成巨大的经济损失。 目前已经出现了各种类型的络攻击，它们通常被分为三类：探测式攻击，访问攻击和拒绝服务（dos）攻击。 （1.）探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集络数据，用于以后进一步攻击络。通常，软件工具（例如探测器和扫描

12、器）被用于了解络资源情况，寻找目标络、主机和应用中的潜在漏洞。例如，有一种专门用于破解密码的软件。这种软件 是为络管理员而设计的，管理员可以利用它们来帮助那些忘记密码的员工，或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是，这种软件如果被错误的人使用，就将成为一种非常危险的武器。 （2.）访问攻击用于发现身份认证服务、文件传输协议（ftp）功能等络领域的漏洞，以访问电子邮件帐号、数据库和其他保密信息。 （3.） dos攻击可以防止用户对于部分或者全部计算机系统的访问。它们的实现方法通常是：向某个连接到企业络或者互联的设备发送大量的杂乱的或者无法控制的数据，从而让正常的访问无法

13、到达该主机。更恶毒的是分布式拒绝服务攻击（ddos），在这种攻击中攻击者将会危及到多个设备或者主机的安全。 (六) 交易抵赖和修改 上交易的各方在进行数据传输时，必须带有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能此次予以否认。进行身份识别后，如果出现抵赖的情况，就有了抗否认的依据。 （七）社会活动 社会活动是一种越来越流行的通过非技术手段获取保密的络安全信息的手段。例如，一个社会活动者可能会伪装成一个技术支持代表，打电话给员工，获取密码信息。社会活动的其他例子包括贿赂

14、某一员工，以获取对某个服务器的访问权限，或者搜索某个同事的办公室，以寻找可能写在某个隐蔽地点的密码等。 （八）垃圾信件 垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的，但是它可能会浪费接收者的时间和存储空间，带来很多麻烦。 二、电子商务的安全策略 电子商务安全技术还是主要依靠：密码技术、访问控制、防火墙技术、时间戳、以及ca认证等。 电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接，这对于电子商务信息系统的安全性提出了更高的要求，必须保证外部络(internet)用户不能对生产系统构成

15、威胁。为此，需要全方位地制定系统的安全策略。就整个系统而言，安全性可以分为四个层次:络节点的安全通讯的安全性应用程序的安全性用户的认证管理 一、络节点的安全 络节点的安全性依靠防火墙保证，防火墙是在连接internet和intranet时保证安全最为有效的方法，防火墙能够有效地监视络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的分析和判断。通过灵活有效地运用这些功能，从而可以制定出正确的安全策略，防火墙安全策略是十分重要的，我们应该认识到，防火墙不仅仅是路由器、堡垒主机或任何提供络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略

16、应包括:规定的络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到络攻击的地方都必须以同样安全级别加以保护。与此同时，操作系统的安全性也十分重要，防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部，则防火墙照样失效，所以，必须保证操作系统的安全，在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。 下面本文着重轮式电子商务中的防火墙技术： （1）防火墙技术的含义 防火墙技术是一种将内部和公众访问分开的方法，是络之间一种特殊的访问控制设施。最初是针对 internet 络不安全因素所采取的一种保护措施。其本质就是用

17、来阻挡外部不安全因素影响的内部络屏障，其目的就是防止外部络用户未经授权的访问。防火墙采取的技术，主要是包过滤、应用关、子屏蔽、代理服务等。 （2）电子商务中的防火墙技术 电子商务络交易安全的保障在很大一部分中都与防火墙有着密切的联系，然而，并不是公司运用看防火墙技术就能保证自己在交易中得到安全。通俗的讲，防火墙技术可以分为以下几类： 1.包过滤技术（packet filter）式防火墙 包过滤是在络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址，以及包所使用端口确定是否允许该类数据包通过。在互联中信息包的往来是都被分割成许许

18、多多一定长度的信息包，包中包括发送者的ip地址和接收者的ip地址。当这些包被送上互联时，路由器会读取接收者的ip并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的ip地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一ip为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多，比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。 2.代理服务式防火墙 代理服务是另一种类型的防火墙，它通常是一个软件模块，运行在一台

19、主机上。代理服务器与路由器的合作，路由器实现内部和外部络交互时的信息流导向，将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层，其特点是完全“阻隔”了络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理服务的实质是中介作用，它不允许内部和外部之间进行直接的通信。 用户希望访问内部某个应用服务器时，实际上是向运行在防火墙上的代理服务软件提出请求，建立连接;理服务器代表它向要访问的应用系统提出请求，建立连接;应用系统给予代理服务器响应;代理服务器给予外部用户以响应。外部用户与应用服务器之间的数据传输全部由代理服务器中转，外部用户无法直接与应用服务器交互

20、，避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务而言的，不同的应用服务可以设置不同的代理服务器。. 3.地址迁移式防火墙 随着企业以及单个人上的增多，企业或个人获得的公共ip地址会成为越来越紧缺的趋势。通常的解决方案是：为每个企业分配若干个全局ip地址，企业内部使用自定义的ip地址（称为本地ip地址或者虚拟ip地址）。当内外用户希望相互访问时，专门的路由器（nat路由器）负责全局/本地ip地址的映射。nat路由器位于不同地址域的边界处，通过保留部分全局ip地址的分配权来支持ip数据报的跨传输。这样的模式就是地址迁移式防火墙。 （3）、电子商务中防火墙技术存在的问题 设立防火墙的目的

21、是保护内部络不受外部络的攻击，以及防止内部络用户向外泄密。然而，正是因为防火墙是基于操作系统所以既不能防止有心人绕过防火墙的攻击，也不能防止内部人的攻击，也经不起人为因素的攻击。由于防火墙对络安全实施单点控制，因此可能受到黑客的攻击。同时，防火墙也不能保证数据的秘密性，不能对数据进行鉴别，也不能保证络不受病毒的攻击。更不能取代杀毒软件以及防止反弹端口木马攻击等问题。 举例来讲：包过滤路由器最大的优点的是对于用户来说是透明的，但是它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段，黑

22、客们对包过滤式防火墙发出一系列信息包，不过这些包中的ip地址已经被替换掉了，取而代之的是一串顺序的ip地址。一旦有一个包通过了防火墙，黑客便可以用这个ip地址来伪装他们发出的信息。通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录；此外，配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部络，但也不告诉你何人进入你的系统，或者何人从内部进入际路。它可以阻止外部对私有络的访问，却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止ip地址盗用。 （4）、电子商务中防火墙技术的改进方法 有鉴于传统中的防火墙技术存在的不完善以及不合

23、理之处，以及起核心是对络和不安全的络之间设置屏障，阻止对信息资源的非法访问，且采用一种被动防卫技术所以笔者认为应该该发出新的技术弥补其缺陷，使其能够更好的为电子商务服务。 1.透明的访问方式 以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过等库路径修改客户机的应用。然而，这些都有其局限性，利用透明的代理访问技术就可以大大减少登陆时的麻烦以及降低登录时出项的危险。 2.多级过滤 为保证系统的安全性和防护水平，防火墙应采用三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒ip地址;在应用级关一级，能利用ftp、smtp等各种关，控制和监测internet提供的所有通用服务;在电路关一