电子商务安全现状及对策研究
论文关键词:病毒 信息安全 加密技术 网络层技术
论文摘要:随着网络技术的广泛应用,网络信息日益普及我国电子商务安全的问题日益严重。首先,分析了电子商务安全的现状,其次,着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求,最后提出对策。
1、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2011年,计算机病毒和互联网安全报告疫情”的数据表明,计算机病毒感染率为70.51%,较去年有所下降,但仍然维持在比较高的水平;其中多次感染病毒的比率为42.71%.
1.1、网络病毒的增长
北京时间2月21日,360安全中心发布《2011-2012年度互联网安全报告》指出,2011年国内日均有853.1万台电脑受到木马病毒攻击,占开机联网的电脑比例为5.7%。在去年新生网络安全威胁中,BMW木马、黏虫木马、Duqu(超级工厂Ⅱ)等入围“十大木马”。
《报告》显示,2011年国内共新增木马病毒10.56亿个,相比2010年增加87.7%,360安全产品日均拦截及查杀木马病毒6468.5万个。在木马数量高涨的同时,木马攻击成功率则有所降低。在每天接触木马病毒的853.1万台电脑中,实际染毒比例仅为1%-3%,而且大多为关闭安全软件后使用游戏外挂、盗版视频播放器等诱惑资源的电脑。
360安全中心指出,随着免费安全软件普及和云安全技术成熟,木马攻击手段进一步趋向“顽固化”,深入感染电脑主板Bios的BMW木马就是其中的典型。作为2011年度“毒王”,BMW木马借助游戏外挂传播,使受害电脑无论重装系统、格式化硬盘还是换掉硬盘,都无法将其彻底清除,只能求助于专杀工具。迄今,国内已有超过8万台电脑感染BMW木马。
据悉,目前近半数木马带有强制广告行为,网民可据此判断电脑是否受到木马侵1.2、网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
1.3、网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。例:2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
2、电子商务的安全问题及存在原因
2.1、.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.2、对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那
些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
2.3、对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
2.4、拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
2.5、对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
2.6、信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
2.7、电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
3、电子商务对信息安全的需求
3.1、信息的保密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建立在一个开放的网络环境(Internet)上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。
3.2、信息的完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。
3.3、信息的真实性。只有信息流、资金流、物流的有效转换,才能保证电子商务的顺利实现,而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息内容的真实性;另一方面是指网上交易双方身份信息的真实性,即对人或实体的身份进行鉴别,为身份的真实性提供保证,使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时,鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。
3.4、信息的不可抵赖性。对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
3.5、信息的有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,这对于保证贸易数据在确定的时刻、确定的地点是有效的。
4、电子商务安全防治措施及安全举措
首先,电子商务的应用是以Internet的基础设施和标准为基础,涉及从通信协议到应用集成的广泛领域,套用国际标准化组织ISO的开放系统互联OSI七层协议模型,相应地将各安全措施映射到对应层次中,可以较好地描述电子商务安全技术体系。
其次,防范电子商务网络犯罪是一个系统工程,还需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设。
4.1 网络层技术
采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。
4.2 加密层技术
运用密码技术,强化通信安全。应围绕数字证书应用,为信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。
4.3 认证层技术
电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”。
4.4 协议层技术
电子商务的在线支付是通过Internet完成的,必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有SET、SSL、iKP等基于信用卡的交易协议,Net?鄄Bill,NetCheque等基于支票的交易协议,Digicash、Netcash等基于现金的交易协议,匿名原子交易协议,防止软件侵权和非法拷贝的基于PKC的安全电子软件分销协议等。随着电子商务的发展,电子交易手段的多样化,信息安全问题将会变得更加重要和突出。由于电子商务的实现是一项复杂的系统工程,其信息安全问题的解决有赖于各相关技术的发展,如:公钥基础设施(PKI)技术的研究与应用;电子商务采购协议、支付协议及物流配送协议的进一步完善;XML的研究和标准化等。同时,除技术问题外,电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值,而且对于推动电子商务的发展具有重要的现实意义。
4.5、意识建设
加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
4.6 法律建设
健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公
众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。
