| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
1988年11月3日,美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了。不幸的是,这次灾难只是计算机系统受到攻击的漫长历史的开始,这类攻击已经延续到今天的电子商务时代,也影响到了电子商务的发展。在这里,我们从CNNIC发布的《第十三次中国互联网络发展状况调查报告》中摘取一些信息,以便使读者对我国的网络发展有一些感性的认识。
用户认为,目前网上交易存在的最大问题是:
◆产品质量、售后服务及厂商信用得不到保障(42.1%)
◆安全性得不到保障(28.1%)
◆送货不及时(7.5%)
可见,安全问题还是电子商务交易中的大问题,必须得到很好的解决。
一、电子商务的安全威胁
安全专家通常把计算机安全分成三类,即保密、完整和即需。保密是指防止未授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟和拒绝服务。计算机安全中最知名的领域是保密。新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,一旦遭到攻击,就会导致商业机密信息或个人隐私的泄漏,从而造成巨大的损失。
1、对知识产权的安全威胁。互联网广泛应用后,对知识产权的安全威胁比以前严重多了,甚至有很多人在做出侵权的行为后并不知道自己已经构成了威胁。这主要有两个原因:首先,网络信息非常容易复制,无论是否受到版权保护;其次,很多人不了解保护知识产权方面的版权规定。如前段时间,百度受到香港几家唱片公司的诉讼,原因是百度提供了其旗下若干歌手MP3的下载链接。域名抢注、域名变异和域名窃取是与知识产权保护有关的三个问题。
(1)域名抢注。是指用别人公司的商标来注册一个域名,以期商标所有者付巨资赎回域名。
(2)域名变异。是指某人注册著名域名的错误拼写的域名来骗走不知情的顾客。顾客一个小的错误拼写就会进入其他网站。
(3)域名窃取。是指非域名所有者变更了某个域名的所有权就属于域名窃取。通常这种情况的发生均是人为的。这种欺骗客户的手段大胆而拙劣。
2、对客户机的安全威胁。对客户机的威胁主要来自活动内容,是指在页面上嵌入的对用户透明的程序,它可完成一些动作。由于活动内容是可以在客户机上运行的程序,它就有可能破坏客户机。因此活动内容给客户机带来了严重的安全威胁。活动内容有多种形式,最知名的活动内容形式包括cookies、Java小应用程序、JavaScript、VBScript和ActiveX控件,另外还有图片、浏览器插件和电子邮件附件。
(1)cookie是web站点用来存储用户相关信息的一种工具。当访问者进入一个web站点时,该站点向访问者的计算机发送一个小型的文本文件(cookie),以便当下次再访问该站点时,以前存储的信息能够被快速载入。正是通过一个特点可以潜入的有恶意的程序可使通常存在cookie里的信用卡号、用户名和口令等信息泄密。有恶意的活动内容利用cookie可将客户机端的文件泄密,甚至破坏存储在客户机上的文件。
(2)Java小应用程序随页面下载下来,只要浏览器兼容Java,它就可在客户机上运行,这就意味着非常可能发生破坏安全的问题。
(3)ActiveX控件是一些软件组件和对象,可以将其插入到web网页或其他应用程序中。当浏览器下载了嵌有ActiveX控件的页面时,它就可在客户机上运行了。Shockwave是用于动画和娱乐控制的浏览器插件程序。ActiveX控件的安全威胁是:一旦下载后,它就能像计算机上的其他程序一样执行,能访问包括操作系统代码在内的所有系统资源,这就会对客户机的安全构成威胁。
3、对通信信道的安全威胁。互联网是客户机连到服务器上的传输信道,互联网最初建立的主要目的不是为了安全传输,而是提供冗余传输,既防止一个或多个通信线路被切断。在互联网上传输的信息,从起始节点到目标节点之间的路径是随机选择的,到达之前会通过很多中间节点,根本就无法保证信息传输时的安全。
(1)对完整性的安全威胁。也叫主动搭线窃听,当未经授权方改变了信息流时就构成了对完整性的威胁。破坏他人网站就是破坏完整性的例子
(2)对即需性的安全威胁。也叫拒绝服务安全威胁,其目的是破坏正常的计算机处理或完全拒绝处理。例如:将网站访问速度大大降低,就会影响访问该网站人群的数量,对于一些即时性交易,会产生毁灭性的打击。
(3)对保密性的安全威胁。看到了不应看到的信息。在通信信道截取保密信息加以破解。
4、对服务器的安全威胁。客户机、互联网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器就有很多弱点可以被利用,如数据库和数据库服务器。
(1)对WWW服务器的安全威胁。因为WWW服务器软件支持服务器的方便使用,非常复杂,所以也有很多的安全漏洞。如果WWW服务器提供在高权限下运行,破坏者就可利用高权限进行破坏和攻击。
(2)对数据库的安全威胁。在电子商务中数据库除了存储产品信息外,还可能保存有价值的信息或隐私信息,如果被破坏或泄漏,就会造成重大的损失。
(3)对WWW服务器的物理威胁。即作为关键的物理资源,受到物理的破坏。许多公司都通过CSP托管网站。
二、实现电子商务安全
1、电子商务安全的需求。电子商务面临的威胁,导致了对电子商务安全的需求,而电子商务的安全问题是一个复杂的系统问题,为真正实现系统的安全,保证交易的可靠性,要求电子商务做到机密性、完整性、认证性和不可抵赖性。
(1)机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,信息的机密性指的是信息在传输过程中不被他人窃取。
(2)完整性。信息的完整性是从信息传输和存储两个方面来看的。在存储时,要防止非法窜改和破坏网站上的信息。在传输时,要保证接收方收到的信息与发送方发的信息完全一致,才说明信息在传输中没有遭到破坏,保持了完整性。
(3)认证性。所谓的认证性指的是交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性,一般通过认证中心CA和数字证书来实现。
(4)不可抵赖性。信息的不可抵赖性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。
2、安全威胁的解决方法
(1)加密。就是基于数学算法的程序和保密的密钥对信息进行编码,生成难以理解的字符串。它保证了信息的完整性、用户身份的不可否认性、身份的验证和消息的保密性。从明文到密文的转换是通过密钥来完成的。密钥就是把明文转换为密文的方法。基于密钥的算法通常有两类:对称密钥算法和非对称密钥算法。
1对称密钥加密。对称密钥加密,是指使用同一把密钥对信息加密,而对信息解密,同样采用该密钥即可。它要求发送方、接收方在安全通信之前,商定一个密钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密,密钥就必须保密。对称密钥加密包括DES加密算法和IDEA算法。
2非对称密钥算法。也叫公开密钥体制,是指将一个加密系统的加密密钥和解密密钥分开,加密和解密分别由两个密钥来实现,并使得由加密密钥推导出解密密钥在计算机上是不可行的,则该系统称为非对称密钥算法。公开密钥加密算法的典型代表是RSA算法。它利用两个很大的质数相乘所产生的乘积来加密。非对称密钥算法既可以实现信息加密又可以实现数字签名。
(2)认证技术。1数字签名技术。它能够使接收者核实发送者对文件的签名。即发送者事后不能抵赖对文件的签名、接收者不能伪造对文件的签名等。2身份验证技术。身份识别是用户向系统出示自己的身份证明过程。身份认证是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别),是判明和确认通信双方真实身份的两个重要环节。最简单的方法是输入User ID和Password,但是最不安全的。身份认证是安全系统最重要且最困难的工作。3认证机构。认证机构(CA)由一个或多个用户信任的组织实体组成。通过认证机构来认证买卖双方的身份是保证网络交易安全的重要措施。
(3)防火墙技术。所谓防火墙,就是在内部网与外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,在此进行检查和连接。只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵。防火墙的功能包括:一是限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;二是限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。防火墙系统的实现技术主要分为包过滤和代理服务器两种,比较完善的防火墙系统通常结合使用这两种技术。
综上所述,认清电子商务存在的安全威胁,将这些威胁用适当的方法解决,使参与电子商务交易的双方毫无顾虑地在网上开展商务活动,直接影响着电子商务的发展,成为发展电子商务的关键。■ |
|
|
|
