1、 Internet为人类交换信息,促进科学、技术、文化、教育、生产的发展,提高现代人的生活质量提供了极大的便利,但同时对国家、单位和个人的信息安全带来极大的威胁。进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因素。 1.安全机制。每一只安全机制都有一定的英勇范围和英勇环境。防火墙是一种有效的安全工具,它可以隐藏内部网络结构,细致外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往也无能为力,嫩南发觉和防范。 2.
2、安全工具。安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理员和普通用户,不正当的设置就会产生不安全因素。 3.安全漏洞和系统后门。操作系统和应用软件中通常都会存在一些BUG,别有心计的人员或客户都可能利用这些漏洞想个人电脑发起进攻,导致某个程序或网络丧失功能。有甚者会盗窃机密数据,直接威胁个人网络和财产数据的安全。即便是安全工具也会存在这样的问题。几乎每天都有新的BUG被发现和公布,程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用,而且这种攻击通常不会产生日志,也无据可查。现有的软件和工具BUG的攻击几乎无法主
3、动防范。系统后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以经过防火墙而不被察觉。2001年9月18日的时候出现的Nimda病毒则是病毒演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒,它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。 4.病毒、蠕虫、木马和间谍软件。这些是目前网络最容易遇到的安全问题。病毒是可执行代码,它们可以破坏计算机系统,通常伪装成合法附件通过电子邮件发送,有的还通过即时信息网络发送。蠕虫与病毒类似,但比病毒更为普遍,蠕虫
4、经常利用受感染系统的文件传输功能自动进行传播,从而导致网络流量大幅增加。木马程序程序可以捕捉密码和其它个人信息,使未授权远程用户能够访问安装了特洛伊木马的系统。间谍软件则是恶意病毒代码,它们可以监控系统性能,并将用户数据发送给间谍软件开发者,并对受害者造成巨大的损失。比如: 1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。这个事件一方面说明了人类对网络的应用,另一方面说明了电脑防护的重要性,不然的话可能会对自己或企业造成巨大的经济损失。 5.拒绝服务攻击。尽管企业在不断的强化网络的安全性,但黑客的攻击
5、手段也在更新。拒绝服务就是在这种情况下诞生的。这类攻击会向服务器发出大量伪造请求,造成服务器超载,不能为合法用户提供服务。这类攻击也是目前比较常用的攻击手段。 6.误用和滥用。在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。(二)电子商务系统的安全问题 电子商务从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很
6、容易保证交易过 程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远 隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。 1.卖方面临的安全威胁主要有:(1)低信用度的卖方。低信用的买方可能存在恶意透支或者使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。 (2)买方提交订单后不付款。导致资金迟迟不到账,流动资金缓慢。 (3)虚假订单。严重的影响了卖方的工作效率,导致了庞大的工作量。 (4)买方提交订单后不付款。 (5)抵赖交易信息。主要表现在收信者否认曾
7、经接收过某些信息;购买者不承认确定了订货单。 (6)传输的文件被恶意篡改。攻击者可以通过篡改、删除和插入三方面来破坏信息的完整性。 2.买方面临的安全威胁主要有: (1)个人信息被泄露。网上交易需明确说明个人身份及其住址和电话,一些无良商人便可将此信息出售给别的商家,导致买家被广告、宣传等信息骚扰。 (2)虚假订单。电脑被黑客植入木马或被骗入虚假网站时泄露了自己的账号及密码,从而被黑客购买自己的虚拟货物买家从而被骗走钱财。 (3)付款后不能按时收到商品。在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门。从而导致买房不能及时的收到自己的货物。 (4)物品与样品不一致。卖方在网上所展
8、示的样品图片经常严重PS或光线处理,与实物相差太大,导致买房所买物品与所见实物大相庭径。 3.移动电子商务所面临的安全威胁主要有: (1)移动终端弱处理能力。移动通信终端的硬件资源的处理能力低、内存的容量小、数据传输速率受地理位置等的限制速度较慢,在开展交易业务和移动支付时存在较大的限制和隐患。(2)移动终端被攻击。由于移动终端自身的特点,容易受到病毒、木马感染,从而破坏、获取移动终端上的如数字证书、机密数据等数据资源,造成非授权访问或假冒交易等情况发生。(3)SIM卡被复制。基于陆地蜂窝通信系统的终端设备中的重要信息通常存储在标识移动终端的SIM 卡中,一旦手机产生丢失,外人可以利用SIM卡
9、中的这些重要信息来进行攻击和欺骗。如果在电子商务交易中使用移动设备来进行用户鉴权,那么SIM 丢失后非法窃取者还有可能伪装成真正用户参与到电子商务的活动中来。 4.通信链路层安全问题 通信链路层主要是指能够为移动电子商务业务提供业务承载的各种通信网络。无线通信网络可以实现不受时间地理环境的限制,但敏感信息和交易数据在开放的无线电波上传送时,任何人都可以接收,通常会出现以下安全问题。 (1)窃听:非法用户截获移动终端与基站、网络间交换的信息,分析并窃取信令、语音、手机等业务及用户与网络的身份。(2)篡改:非法用户可以修改、插入、删除合法用户的数据,对数据完整性造成威胁。(3)假冒:非法用户截获某
10、个合法用户或网络的足够多信息时,就可以假冒他们对网络和用户进行欺骗,以达到某种非法目的。(4)重放:通过不断的重复发送网络信息单元,对服务主机或通信网络进行干扰,使合法数据没有办法及时传递,从而使合法用户无法接受正常的网络服务,造成拒绝服务攻击。 5.网关协议层安全问题 网关协议层主要是指能够为移动电子商务提供业务服务网关以及通信协议的集合。目前,移动电子商务业务最为常用的业务网关与通信协议是SMS网关协议和WAP网关协议,它们为用户和应用之间进行必要的协议转换,提供终端向增值应用的接入。目前的短消息数据都是以明文形式保存在短消息中心的数据库中,一旦短消息中心受到攻击,重要数据将被窃取。另外,
11、短消息网关有可能受到网络攻击,商务数据又必须通过短消息网关统一传递,短消息网关存在一定的安全隐患,所以要求在传递数据时,数据本身是受保护的,而不仅仅依赖于防火墙等技术对短信网关的保护。 6.应用服务层安全问题 应用服务层向最终消费用户提供移动电子商务业务服务,其安全特性主要考虑移动电子商务业务的认证特性和不可否认特性。目前常见的应用服务层认证机制是基于用户名和静态口令的,其安全性较弱,用户账户和口令易被窃取而导致身份的伪造,同时网上交易行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据。 二、防范电子商务安全问题的对策 电子商务的安全问题涉及到电子商务的各个环节和参加交易的
12、各个方面,解决电子商务的安全问题是一个系统工程和社会问题,需全社会的参与。我们可以从以下几个方面对电子商务安全问题进行防范。 (一)网络安全技术 目前,实施网络安全的技术主要有反病毒技术、防火墙技术、入侵检测技术等。 1.反病毒技术计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀除病毒三种技术。预防病毒技术是通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进人计算机系统和对系统进行破坏。检测病毒控制是通过计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。杀除病毒技术是通过对计算机病毒的分析
13、,开发出具有删除病毒程序并恢复原文件的软件.在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,并且定期或不定期更新病毒库,使网络免受病毒侵袭 2.防火墙技术防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。防火墙技术主要有:包过滤型、代理服务型、复合型等三种。在没有防
14、火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。防火墙有助于提高主系统总体安全性。 防火墙的基本思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。 防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。
15、 防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。 3.系统漏洞 解决网络层安全问题,首先要清楚网络中存在哪些安全隐患和弱点。面对大型我那个罗的复杂性和变化,仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。有经验的管理员还可以利用黑客工具对网络进行模拟攻击,从而寻找网络的薄弱点 4.入侵检测技术 入侵检测技术实际上就是一种信息识别与检测技术,具体而言,就是在计算机网络系统中设置若干关键点来收集信息,并将信息输入到检测系统之中来分析判断这些信息,看看
16、网络中是否存在违反安全策略的行为或遭到袭击的迹象,从而帮助系统管理人员对付网络攻击的安全管理能力。 5.内网系统安全 对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的入侵则无能为力。在这种情况下我们可以采用对各个子网做一个具有一定功能的审计文件,为管理员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序监听子网内计算机间互联情况,为系统中各个服务器的审计文件提供备份。 企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全
17、的需求也会迅速的成长。 6.移动终端层安全 (1)增大SIM卡容量。可将SIM卡现有容量32K扩展到64K甚至更大,以存储更多的信息和应用服务,增强硬件的资源的处理能力。(2)增强SIM加密功能。可以将3DES加密算法嵌入到SIM卡中,实现移动终端中的数据资源的机密性,使端到端的移动电子商务安全成为可能。 (3)移动终端与动态口令生成器配合使用。移动终端的丢失或者SIM卡被复制都容易造成移动电子商务参与者身份被假冒,笔者建议将移动终端与动态口令生成器配合使用,使得身份认证不仅仅依赖传统的用户名和静态口令机制,还需要提供动态口令来进行身份鉴别,从物理上隔离了移动终端的丢失或者SIM卡被复制所带来
18、的身份假冒风险。 7.通信链路层安全 点到点的安全模型可以保证通信链路的安全,报文在链路层的结束、物理层开始之前得到加密,然后以密文的形式传输,但由于报文只在物理通信链路之间进行加密,所以点到点安全模型只对线路上的通信予以保护,而对主机(包括端节点、短消息中心、短消息网关)上的报文不予保护,在各节点上的报文以明文形式出现,极易受到攻击,所以需要在网关协议层进一步使用网关协议实现端到端的安全。 总之,网络安全是一个系统工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,与科学的网络管理结合在一起,才能生成一个高效、通用、安全的网络系统。 (二)电子商务
19、安全的推广以及人们的参与在金山毒霸的“网购保镖”里面,具有专门的“拦截网购木马”功能,可防止网购中毒。网友一旦通过即时通讯软件收到病毒文件,金山毒霸就会弹出下载保护的安全提示框,点击“立即清除”按钮就可以对病毒进行删除。 综上所述,由于在电子商务的交易过程中,安全问题涉及到电子商务的各个环节和参加交易的各个方面,因此需要采取不同的对策来解决。另外,交易过程除涉及交易双方外,还涉及到网上银行、认证中心和法律等各方面的问题,而且还需要大家一起推广并完善电子商务法律。因此电子商务安全问题的解决是一个系统工程。 【参考文献】_1王银莲:电子商务安全问题探讨J.今日科苑,2008(14)2夏克付:电子商务系统安全问题及对策探讨J.大众科技,2008(2)3成杨.移动电子商务安全问题研究D.沈阳:沈阳理工大学,20084谢亮,汪海航,谭成翔.安全短消息应用系统方案研究J.计算机安全,20075中国电信短消息网关协议(SMGP)规范S.中国电信集团公司,2008
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 