影响电子商务信息安全的因素及其防范措施

影响电子商务信息安全的因素及其防范措施宇凡（广西区委党校广西南宁邮编：530023）摘要：本文较系统地叙述了影响电子商务信息安全的诸多因素.针对这些因素，提出在实际应用中应采取的防范措施和技术手段，以减少信息不安全所造成的损失。关键词：电子商务IntemetIntmnet网络信息安全电子商务是以Intemet/Intranet（因特网/企业内部网）网络为架构，以交易双方为主体，以银行支付和结算为手段，以客户数据库为依托的全新的商业模式。换句话来说，电子商务是通过IxRemet和hl.tranet进行的商务活动。这些活动不但包括与购销直接有关的网上广告、网上洽谈、订货、收款、付款、客户服务、货物递交等活动，还包括网上市场调查、财务核算、生产安排等利用计算机网络开展的商务活动。由于计算机网络本身存在着安全漏洞，因此，电子商务中的信息不可避免地存在着安全隐患。影响信息安全的因素主要有两个方面：一是网络本身的不安全因素，二是进行网上交易时的不安全因素。l.网络本身的不安全因素影响计算机网络信息的不安全因素有自然因素，也有人为因素。前者包括有雷电、火灾、水灾、地震、强磁场、强电子脉冲等，这些都可以直接损坏计算机系统的硬件和破坏系统的软件和数据。而后者主要包括以下几种方式：2黑客的攻击计算机黑客是指采用不正当手段窃取计算机信息系统的1：3令和密码，从而非法进入他人计算机网络系统的人，他们或翻阅别人的资料、侵犯他人隐私、或者收集军事机密情报、窃取商业机密.利用计算机进行高科技犯罪。黑客的存在主要是由于网络的不健全造成的。黑客攻击网络的方式有很多种，常用的有：（l）利用电子邮件往对方的电子邮件中发送一个很大的文件，将对方的电子信箱“撑破”，这是最广泛运用的攻击方式；利用测试网络速度的“PING”程序不问断地向服务器发送数据包，导致服务器“阻塞”最终瘫痪；（3）黑客通过分析DNS（域名管理系统）而直接获取Web服务器等主机的口地址，进而伪造Web服务器等主机的IP地址，并根据这个伪造的口地址以进行非授权操作，偷盗、篡改信息；（4）黑客通过软件程序跟踪检测软件，捕获到用户的登录名和密码，对用户的信息内容胡乱加以修改.毁坏数据，甚至输入病毒，使整个数据库陷于瘫痪。1.2计算机病毒计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。计算机病毒具有传染性、隐蔽性、潜伏性、危害一117—万方数据性、攻击的主动性、针对性和不可预见性等特征，它是一些人利用计算机软、硬件所固有的脆弱性而编制出来的。早期的计算机病毒主要通过软盘、光盘等介质交换文件进行传播，但随着网络的兴起，特别是随着Intemet的迅速普及，计算机病毒的传播方式也转向通过Intemet传播。在Intemet上广泛使用电子邮件已经成为病毒传染的主要途径。据英国反病毒公司信息实验室公司发布的消息显示，过去三年计算机感染上病毒的电子邮件持续增长，该公司2002年监控的每212个电子邮件中就有一个是感染病毒的邮件，而在2001年里每380个电子邮件才有一个被病毒感染，涨幅达80%。另外，通过网络下载软件和使用盗版软件也成为病毒程序传播的一个重要途径。1.3Intemet本身的缺陷由于当初设计Intemet时只是为了共享网络的资源并促进大学、政府研究机构、开发机构和军事部门的科学研究工作，许可进人网络的单位都被认定是可靠的和可以信赖的，并且已经参与研究和共享数据，因此当时制定的网络协议，几乎没有注意到安全性问题（因为Intemet上的TCP/IP协议只是保证网络信息准确完整地传送到目的地）。直到1991年，Inlcmet主干网（NSF，美国国家基金会）取消了Intemet上不允许商业活动的限制后，Intemet本身的网络安全缺陷就凸现出来，因为每个厂商都有一些不为外人或竞争者知道的信息和数据，比如特定的单证、交易金额、销售计划、客户名单等，他们不希望外部用户访问到这些信息或数据，但是Interact上没有相应的网络安全机制保证这些信息或数据的安全。1.4内部管理机制不严管理人员的防范意识不强，泄漏口令和机密软件的代码。例如当年微软被“黑”，主要的原因是一个防范意识不强的工程师在家里拨号上公司的内部网，被人截获数据所致。1.5系统漏洞任何系统都不是完美的，都有漏洞存在。例如2003年1月25日爆发的蠕虫病毒…就是利用2002年7月份公布的微软SQLServer2000的一个系统漏洞，对网络上的SQL数据库进行攻击，使连接在网一118—络上的被攻击的系统如同癌细胞那样不断蜕变，生成新的攻击不断向网络释放、扩散，从而逐步鲸吞、消耗网络资源，导致网络的访问速度下降，甚至瘫痪。2，网上交易的不安全因素由于电子商务是在网(latemet/Intranet)进行商务活动的，因此交易双方在网上交易会涉及到交易的信息不完整、保密性差、交易双方的身份难以鉴别、交易双方是否守信用等问题，这些问题的存在容易给交易双方带来不安全感，同时也给不法之徒带来可乘之机，或者进行交易抵赖，或者盗用他人身份来谋取钱财，或者进行网上诈骗等活动。 3.防范措施针对电子商务中信息存在的诸多不安全因素，我们应该有的放矢，从网络安全方面以及网上交易方面分别采取防范措施：3.1网络安全的防范措施3.1.1采用防火墙技术防火墙技术是目前比较广泛使用的网络安全防护技术，是内部网(Intranet)最重要的安全技术之一。它就是在因特网(b把Tnet)内部网(Intra.net)之间建立了〜个安全网关，提供可控制的过滤网络通信，其主要功能就是控制对受保护网络的非法访问。它通过监视、限制、更改跨越防火墙的数据流，一方面尽可能地对外屏蔽网络内部的信息、结构和运行状况，另一方面对内部屏蔽外部站点，防止不可预测的、潜在的破坏性侵入。这样就决定了哪些内部服务可以被外界访问，哪些外部服务可以被内部人员访问。实现防火墙的主要技术有数据包过滤、应用网关、代理服务和审计技术等。实际应用时常采用两级的安全机制，即第一级由包过滤路由器承担，第二级由防火墙承担。 3.1.2入侵检测技术由于传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应，为了弥补这一缺陷，动态安全防御技术应运而生。其中入侵检测技万方数据术是动态安全技术的最核心技术之一，它是通过对人侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。现在市场上流行的是网络人侵检测系统。具体实施时，常常将网络人侵检测系统与防火墙的功能相结合构建安全网络。3.1.3网络反病毒技术在网络环境下，虽然可以通过各种防卫技术保护网络安全，但病毒的人侵是不可避免的，因此，反病毒技术是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀毒三种技术，具体实现方法是对网络服务器中的文件进行频繁地扫描和监测、在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。例如现在流行的各种杀病毒软件，如瑞星2003版杀毒软件、江民KV3(D0杀毒软件、熊猫网络版杀毒软件等都具备预防、检测和杀毒等功能。 3.1.4采用虚拟专用网(VPN)技术VPN是指在公用网络中建立专用的数据通信网络的技术，它可以在两个系统之间建立安全的隧道，它允许授权移动用户和已授权的用户在任何时间、任何地点访问企业网络。这种方式在保证网络的安全性方面是非常有用的。3.1，5及时给系统安装“补丁”程序“补丁”程序是软件公司为了弥补自己开发、销售出的软件存在的安全漏洞而后续开发的针对性程序。及时给系统安装原厂公布的“补丁”程序，也是网络信息安全的防范措旋中重要的一个环节。3.1.6加强内部管理实现网络安全，不仅靠先进的技术，而且也得靠严格的安全管理、法律约束和安全教育。因为许多不安全因素恰恰反映在组织管理和人员使用方面。针对各单位的内部网络系统，必须逐步建立健全一套自上而下的安全组织机构与管理规章制度，并对员工进行培训，以提高整个网络使用者的安全管理意识和水平。做到：不泄漏口令和机密软件的代码；所有软件必须经过严格审查，经过相应的控制程序后才能使用；采用防病毒软件，定时地对系统中的所有工具软件、应用软件进行检测，防止各种病毒的人侵。3.2网上交易中信息安全的防范措施网络安全只是实现电子商务的基础，电子商务发展的核心和关键问题则是交易的安全性。在网上交易时，用户除了对网上兜售商品的网址进行核查，以摸清商贩们提供的地址和电话是否属实外，也对交易双方的身份鉴别、是否冒名顶替和是否诚实守信等诸多问题最为担心，这也是制约电子商务发展的一个重要因素。目前主要采用以下几种措施来解决网上交易中信息安全问题：3.2.1数据加密数据加密技术是保证电子商务安全工作的一种重要方法。它可以把某些重要信息从一个可理解的明文形式变换成一种难以理解的密文形式（加密），经过线路传送，到达目的端后用户再将密文还原成明文（解密）。由于信息是以密文方式进行传送的，不知道解密方法的人是无法得到信息的真实内容，从而保证了数据传送过程中的安全性。计算机加密方法主要有对称密钥密码和非对称密钥密码两种密码体制。前者采用相同的加密密钥和解密密钥，且不公开密钥的方法对需要保护的信息进行加解密，其典型算法是数据加密标准DESCDataEncryptionStandaId）算法。后者也称公开密钥加密，采用加密密钥不同于解密密钥（即不对称性），且公开加密密钥。但解密密钥需要保密，其典型算法是RSA算法。1ISA算法的优点主要在于原理简单（采用大整数素因子分解方法），易于使用，易实现密钥管理，且解密花费时间长，攻击者在有限时间内很难破译密文信息，是目前rr业常用的加密算法。例如由研究加密算法而著称的美国1ISA数据安全实验室开发的64位密匙——Rc5—64密匙。在经过全球33.1万名电脑高手工作了一年365天一天24小时整整4年时间后，终于于2002年9月中旬的时候被破解了。尽管这条被高科技加密术保护的密文只有短短一句话（“事情还是不知道为妙”），但业内人士认为，这一成果将会在计算机发展史上具有里程碑般的意义。 3.2.2数字签名它是公开密钥加密技术的一种应用，是指发送方将要传送的明文（原始的信息）通过一种函数运一】19〜 万方数据算（Hash）转换成报文摘要，这样不同的明文对应着不同的报文摘要，报文摘要再用发送方的私有密钥加密后与明文一起传送，合称为数字签名，接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果一致则表示明文未被改动，如果不一致表示明文已被篡改。其作用就是能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送方对所发报文的不可抵赖性。数字签名根据不同的要求，可分为秘密密钥的数字签名、公开密钥的数字签名、只需确认的数字签名、数字摘要的数字签名、电子邮戳、数字凭证等多种方式。 3.2.3数字证书数字证书是作为网上交易双方真实身份证明的依据，是一个经证书授权中心（CertificationAu.thofity,cA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。基于公开密钥密码体制的公钥基础结构（PublicKeyIn.frillstmcturc，PK〔）的数字证书是电子商务安全体系系统的核心，其用途是利用公共密钥加密系统来保护与验证公众的密钥。数字证书由可信任的、公正的权威机构CA颁发。3.2.4安全协议安全可靠的网络协议是实现电子商务交易的关