电子商务安全性概述
【摘要】本文先分析了快速发展的电子商务活动中所面临的安全隐患,据此提出了解决电子商务安全性的五种技术。
【关键词】电子商务;网络安全;安全隐患;安全技术
随着信息技术的发展,电子商务成为当今商务活动的新模式。许多企业开始通过Internet进行商务活动,电子商务也具有了广阔的发展前景,但是与此同时,其安全问题也变得日益突出。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关注的话题。
从整体上讲,电子商务的活动大致包括以下三个方面:(一)电子商务信息必须通过计算机网络进行传输;(二)在网络上传输的信息需要进行加密;(三)进行商务活动的双方必须得到某种身份认证,保证交易的安全性。
因此,电子商务的安全性体现在网络安全、信息加密技术以及交易的安全。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。由于互联网在设计之初只考虑方便性、开放性,使得互联网非常脆弱,极易受到入侵或恶意破坏,使得网络信息系统遭到破坏,信息泄露。因此电子商务中的安全隐患可以分为如下几类:
(一)黑客入侵
导致信息被截获和获取,或者被篡改。黑客即Hacker音译,专指对别人的计算机系统非法入侵者。20世纪70年代,这个词是褒义词,专指那些独立思考、遵纪守法的计算机迷,他们智商高,对计算机的最大潜力进行智力上的探索,为计算机技术的发展做出了很大贡献。而当今世界,随着信息技术的广泛普及,越来越多的人掌握了黑客技术,使黑客现象发生了质的改变。不少黑客专门搜集他人隐私,恶意篡改他人的重要数据,进行网上诈骗、对他人网上帐户盗窃,给社会及人们的生活带来极大的破坏性。因此人们普遍认为黑客就是信息安全的最大威胁。
黑客入侵的动机有以下几种:(1)偷盗窃取。黑客实施网络攻击的一个目的就是利用黑客技术为个人私利而大肆进行各种各样的偷窃活动。随着企业电子商务活动的发展,应用网上银行支付或通过第三方支付平台支付的人群越来越多,也为黑客及其他计算机犯罪利用计算机网络盗窃个人或银行资金提供了可乘之机。当用户进行网上购物时,用户只要输入用户密码、银行信用卡密码,即完成了网上购物和支付程序。黑客一旦觊觎用户的密码和信用卡密码,则用户在银行账户上的资金便容易被窃取。(2)蓄意破坏。在2000年3月,黑客使美国数家电子商务网站如:Amazon、eBay、CNN陷入瘫痪,黑客使用了分布式拒绝服务的攻击手段,用大量垃圾信息阻塞网站服务器,使其不能正常服务。国内网站新浪、当当网上书店、EC123等也先后受到黑客攻击,服务器上的各类数据库也受到不同程度的破坏。
(二)病毒破坏
电子商务离不开计算机网络,而病毒制造者通过传播计算机病毒来蓄意破坏互联网计算机的程序、数据和信息,以达到某种非法目的。病毒破坏已经成为企业开展电子商务面临的信息安全重大威胁。目前,破坏计算机的流行病毒可以归纳为以下几类:
(1)蠕虫病毒。蠕虫病毒是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分控制权来进行传播。蠕虫病毒与其他病毒的最大不同在于它不需要人为干预,并且能够自主不断地复制和传播。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在很短的时间内蔓延整个网络,造成网络瘫痪。(2)病毒邮件。电子邮件是互联网的一项基本而普遍的功能,是企业实施电子商务频繁使用的信息传递工具。然而,某些病毒制造者也看中了深受人们喜欢的电子邮件,并将其作为传播病毒的重要手段。(3)公开发放的病毒。在计算机网络中有一种“共享软件”,它是由计算机用户免费使用、复制以及分享的软件。如果计算机病毒以这种方式公开发布,就可进入各种领域,并进入各个计算机网络,对计算机网络造成极大的危害。
(三)预置陷阱
预置陷阱是指在信息系统中人为地预设一些陷阱,以干扰和破坏计算机系统的正常运行。在对信息安全的各种威胁中,预置陷阱是危害最大、最难预防的一种威胁。一般分为硬件陷阱和软件陷阱两种。(1)硬件陷阱。指“芯片级”陷阱。例如,使芯片经过一段有限的时间后自动失效,使芯片在接收到某种特定电磁信号后自毁,使芯片在运行过程中发出可识别其准确位置的电磁信号等。这种“芯片捣鬼”活动的危害不能忽视,一旦发现,损失非同寻常,计算机系统中一个关键芯片的小小故障,就足以导致整个网站服务器系统乃至整个连接信息网络系统停止运行。这是进行信息网络攻击既省力、省钱又十分有效的手段。(2)软件陷阱。指“代码级”陷阱,软件陷阱的种类比较多,黑客主要通过软件陷阱攻击网络。
“陷阱门”又称“后门“,是计算机系统设计者预先在系统中构造的一种结构。网络软件所存在的缺陷和设计漏洞是黑客进行攻击服务器系统的首选目标。在计算机应用程序或系统操作程序的开发过程中,通常要加入一些调试结构。在计算机软件开发完成之后,如果为达到攻击系统的目的,而特意留下少数结构,就形成了所谓越过对方防护系统的防护进入系统进行攻击破坏。
(四)信息的假冒
当攻击者掌握了网络信息数据规律或了解了商务信息后,可以假冒合法用户或发送假冒信息来欺骗其他用户,主要有两种方式:(1)伪造电子邮件:虚开网站,给网上用户发送电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家服务器的资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到相应;(2)假冒他人身份:如冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序,套取或修改使用权限、保密字、密钥等信息。
(五)交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;商家卖出的商品因价格差而不承认原有的交易。在现实生活中经常发生的恶意抵赖同样会在网络上发生。
因此,在电子商务活动中,我们必须采取多种措施,保证电子商务的有效性、保密性、完整性、可鉴别性、不可伪造性和不可否认性。这些也是电子商务的安全要素。
在电子商务中主要有以下几种安全技术:
(一)防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间,并对经过它的网络流量进行检查的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策(允许、拒绝或监测)控制出入网络的信息流。在网络中应用防火墙是一种非常有效的网络安全手段。但是防火墙不可能保证网络的绝对安全,事实上仍然存在着一些防火墙不能防范的安全威胁,主要表现在下列六个方面。(1)防火墙不能防备病毒。(2)防火墙不能防范不经过防火墙的攻击。(3)防火墙限制有用的网络服务。(4)防火墙不能防备新的网络安全问题。(5)防火墙不能防备内部攻击。(6)防火墙不能解决进入防火墙的数据带来的所有安全问题。
(二)虚拟专用网技术
虚拟专用网是利用公网(如Internet或网络服务提供上的IP骨干网)或专网(局域网)构建的虚拟专用网络,是通过特殊设计的硬件和软件,直接通过共享的IP网络所建立的隧道完成的。通过虚拟专用网可以实现远程网络之间安全、点对点的连接。
(三)防杀病毒技术
老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护,只能识别出已知的病毒。新一代的防杀计算机病毒软件不仅能识别出已知的病毒,在病毒运行之前发出警报,还能屏蔽掉病毒程序的传染功能和破坏功能,使受感染的程序可以继续运行。同时还能利用病毒的行为特征,防范未知病毒的侵扰和破坏。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被病毒利用的资源加以保护,不给病毒可乘之机。
(四)数据加密技术
加密技术是保证电子商务信息安全的重要手段,许多密码算法现在已经成为网络安全和商务信息安全的基础。密码算法利用密钥来对敏感信息进行加密,然后把加密好的数据和密钥发送给接收者,接收者可以利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息并保证了网络数据的机密性。通过数字签名的密码技术可以同时保证网络数据的完整性和真实性。利用密码技术可以达到对电子商务安全的需求,保证电子商务交易的机密性、完整性、真实性和不可否认性。
(五)身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络安全的第一道关口,身份认证有着举足轻重的作用。
参考文献
[1]陈兵.网络安全与电子商务[M].北京大学出版社.
[2]韩最蛟,李伟.网络维护与安全技术[M].北京大学出版社.
[3]邓志华,朱庆,姚华主.网络安全实训教程[M].人民邮电出版社.
作者简介:张丽君(1973—),女,河北蔚县人,呼和浩特职业学院计算机信息学院讲师。