影響電子商務信息安全的因素及其防范措施宇凡（廣西區委黨校廣西南寧郵編：530023）摘要：本文較系統地敘述了影響電子商務信息安全的諸多因素.針對這些因素，提出在實際應用中應采取的防范措施和技術手段，以減少信息不安全所造成的損失。關鍵詞：電子商務IntemetIntmnet網絡信息安全電子商務是以Intemet/Intranet（因特網/企業內部網）網絡為架構，以交易雙方為主體，以銀行支付和結算為手段，以客戶數據庫為依托的全新的商業模式。換句話來說，電子商務是通過IxRemet和hl.tranet進行的商務活動。這些活動不但包括與購銷直接有關的網上廣告、網上洽談、訂貨、收款、付款、客戶服務、貨物遞交等活動，還包括網上市場調查、財務核算、生產安排等利用計算機網絡開展的商務活動。由于計算機網絡本身存在著安全漏洞，因此，電子商務中的信息不可避免地存在著安全隱患。影響信息安全的因素主要有兩個方面：一是網絡本身的不安全因素，二是進行網上交易時的不安全因素。l.網絡本身的不安全因素影響計算機網絡信息的不安全因素有自然因素，也有人為因素。前者包括有雷電、火災、水災、地震、強磁場、強電子脈沖等，這些都可以直接損壞計算機系統的硬件和破壞系統的軟件和數據。而后者主要包括以下幾種方式：2黑客的攻擊計算機黑客是指采用不正當手段竊取計算機信息系統的1：3令和密碼，從而非法進入他人計算機網絡系統的人，他們或翻閱別人的資料、侵犯他人隱私、或者收集軍事機密情報、竊取商業機密.利用計算機進行高科技犯罪。黑客的存在主要是由于網絡的不健全造成的。黑客攻擊網絡的方式有很多種，常用的有：（l）利用電子郵件往對方的電子郵件中發送一個很大的文件，將對方的電子信箱“撐破”，這是最廣泛運用的攻擊方式；利用測試網絡速度的“PING”程序不問斷地向服務器發送數據包，導致服務器“阻塞”最終癱瘓；（3）黑客通過分析DNS（域名管理系統）而直接獲取Web服務器等主機的口地址，進而偽造Web服務器等主機的IP地址，并根據這個偽造的口地址以進行非授權操作，偷盜、篡改信息；（4）黑客通過軟件程序跟蹤檢測軟件，捕獲到用戶的登錄名和密碼，對用戶的信息內容胡亂加以修改.毀壞數據，甚至輸入病毒，使整個數據庫陷于癱瘓。1.2計算機病毒計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者毀壞數據、影響計算機使用、并能自我復制的一組計算機指令或者程序代碼。計算機病毒具有傳染性、隱蔽性、潛伏性、危害一117—萬方數據性、攻擊的主動性、針對性和不可預見性等特征，它是一些人利用計算機軟、硬件所固有的脆弱性而編制出來的。早期的計算機病毒主要通過軟盤、光盤等介質交換文件進行傳播，但隨著網絡的興起，特別是隨著Intemet的迅速普及，計算機病毒的傳播方式也轉向通過Intemet傳播。在Intemet上廣泛使用電子郵件已經成為病毒傳染的主要途徑。據英國反病毒公司信息實驗室公司發布的消息顯示，過去三年計算機感染上病毒的電子郵件持續增長，該公司2002年監控的每212個電子郵件中就有一個是感染病毒的郵件，而在2001年里每380個電子郵件才有一個被病毒感染，漲幅達80%。另外，通過網絡下載軟件和使用盜版軟件也成為病毒程序傳播的一個重要途徑。1.3Intemet本身的缺陷由于當初設計Intemet時只是為了共享網絡的資源并促進大學、政府研究機構、開發機構和軍事部門的科學研究工作，許可進人網絡的單位都被認定是可靠的和可以信賴的，并且已經參與研究和共享數據，因此當時制定的網絡協議，幾乎沒有注意到安全性問題（因為Intemet上的TCP/IP協議只是保證網絡信息準確完整地傳送到目的地）。直到1991年，Inlcmet主干網（NSF，美國國家基金會）取消了Intemet上不允許商業活動的限制后，Intemet本身的網絡安全缺陷就凸現出來，因為每個廠商都有一些不為外人或競爭者知道的信息和數據，比如特定的單證、交易金額、銷售計劃、客戶名單等，他們不希望外部用戶訪問到這些信息或數據，但是Interact上沒有相應的網絡安全機制保證這些信息或數據的安全。1.4內部管理機制不嚴管理人員的防范意識不強，泄漏口令和機密軟件的代碼。例如當年微軟被“黑”，主要的原因是一個防范意識不強的工程師在家里撥號上公司的內部網，被人截獲數據所致。1.5系統漏洞任何系統都不是完美的，都有漏洞存在。例如2003年1月25日爆發的蠕蟲病毒…就是利用2002年7月份公布的微軟SQLServer2000的一個系統漏洞，對網絡上的SQL數據庫進行攻擊，使連接在網一118—絡上的被攻擊的系統如同癌細胞那樣不斷蛻變，生成新的攻擊不斷向網絡釋放、擴散，從而逐步鯨吞、消耗網絡資源，導致網絡的訪問速度下降，甚至癱瘓。2，網上交易的不安全因素由于電子商務是在網(latemet/Intranet)進行商務活動的，因此交易雙方在網上交易會涉及到交易的信息不完整、保密性差、交易雙方的身份難以鑒別、交易雙方是否守信用等問題，這些問題的存在容易給交易雙方帶來不安全感，同時也給不法之徒帶來可乘之機，或者進行交易抵賴，或者盜用他人身份來謀取錢財，或者進行網上詐騙等活動。 3.防范措施針對電子商務中信息存在的諸多不安全因素，我們應該有的放矢，從網絡安全方面以及網上交易方面分別采取防范措施：3.1網絡安全的防范措施3.1.1采用防火墻技術防火墻技術是目前比較廣泛使用的網絡安全防護技術，是內部網(Intranet)最重要的安全技術之一。它就是在因特網(b把Tnet)內部網(Intra.net)之間建立了?個安全網關，提供可控制的過濾網絡通信，其主要功能就是控制對受保護網絡的非法訪問。它通過監視、限制、更改跨越防火墻的數據流，一方面盡可能地對外屏蔽網絡內部的信息、結構和運行狀況，另一方面對內部屏蔽外部站點，防止不可預測的、潛在的破壞性侵入。這樣就決定了哪些內部服務可以被外界訪問，哪些外部服務可以被內部人員訪問。實現防火墻的主要技術有數據包過濾、應用網關、代理服務和審計技術等。實際應用時常采用兩級的安全機制，即第一級由包過濾路由器承擔，第二級由防火墻承擔。 3.1.2入侵檢測技術由于傳統的操作系統加固技術和防火墻隔離技術等都是靜態安全防御技術，對網絡環境下日新月異的攻擊手段缺乏主動的反應，為了彌補這一缺陷，動態安全防御技術應運而生。其中入侵檢測技萬方數據術是動態安全技術的最核心技術之一，它是通過對人侵行為的過程與特征的研究，使安全系統對入侵事件和入侵過程能做出實時響應。現在市場上流行的是網絡人侵檢測系統。具體實施時，常常將網絡人侵檢測系統與防火墻的功能相結合構建安全網絡。3.1.3網絡反病毒技術在網絡環境下，雖然可以通過各種防衛技術保護網絡安全，但病毒的人侵是不可避免的，因此，反病毒技術是網絡安全性建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和殺毒三種技術，具體實現方法是對網絡服務器中的文件進行頻繁地掃描和監測、在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。例如現在流行的各種殺病毒軟件，如瑞星2003版殺毒軟件、江民KV3(D0殺毒軟件、熊貓網絡版殺毒軟件等都具備預防、檢測和殺毒等功能。 3.1.4采用虛擬專用網(VPN)技術VPN是指在公用網絡中建立專用的數據通信網絡的技術，它可以在兩個系統之間建立安全的隧道，它允許授權移動用戶和已授權的用戶在任何時間、任何地點訪問企業網絡。這種方式在保證網絡的安全性方面是非常有用的。3.1，5及時給系統安裝“補丁”程序“補丁”程序是軟件公司為了彌補自己開發、銷售出的軟件存在的安全漏洞而后續開發的針對性程序。及時給系統安裝原廠公布的“補丁”程序，也是網絡信息安全的防范措旋中重要的一個環節。3.1.6加強內部管理實現網絡安全，不僅靠先進的技術，而且也得靠嚴格的安全管理、法律約束和安全教育。因為許多不安全因素恰恰反映在組織管理和人員使用方面。針對各單位的內部網絡系統，必須逐步建立健全一套自上而下的安全組織機構與管理規章制度，并對員工進行培訓，以提高整個網絡使用者的安全管理意識和水平。做到：不泄漏口令和機密軟件的代碼；所有軟件必須經過嚴格審查，經過相應的控制程序后才能使用；采用防病毒軟件，定時地對系統中的所有工具軟件、應用軟件進行檢測，防止各種病毒的人侵。3.2網上交易中信息安全的防范措施網絡安全只是實現電子商務的基礎，電子商務發展的核心和關鍵問題則是交易的安全性。在網上交易時，用戶除了對網上兜售商品的網址進行核查，以摸清商販們提供的地址和電話是否屬實外，也對交易雙方的身份鑒別、是否冒名頂替和是否誠實守信等諸多問題最為擔心，這也是制約電子商務發展的一個重要因素。目前主要采用以下幾種措施來解決網上交易中信息安全問題：3.2.1數據加密數據加密技術是保證電子商務安全工作的一種重要方法。它可以把某些重要信息從一個可理解的明文形式變換成一種難以理解的密文形式（加密），經過線路傳送，到達目的端后用戶再將密文還原成明文（解密）。由于信息是以密文方式進行傳送的，不知道解密方法的人是無法得到信息的真實內容，從而保證了數據傳送過程中的安全性。計算機加密方法主要有對稱密鑰密碼和非對稱密鑰密碼兩種密碼體制。前者采用相同的加密密鑰和解密密鑰，且不公開密鑰的方法對需要保護的信息進行加解密，其典型算法是數據加密標準DESCDataEncryptionStandaId）算法。后者也稱公開密鑰加密，采用加密密鑰不同于解密密鑰（即不對稱性），且公開加密密鑰。但解密密鑰需要保密，其典型算法是RSA算法。1ISA算法的優點主要在于原理簡單（采用大整數素因子分解方法），易于使用，易實現密鑰管理，且解密花費時間長，攻擊者在有限時間內很難破譯密文信息，是目前rr業常用的加密算法。例如由研究加密算法而著稱的美國1ISA數據安全實驗室開發的64位密匙——Rc5—64密匙。在經過全球33.1萬名電腦高手工作了一年365天一天24小時整整4年時間后，終于于2002年9月中旬的時候被破解了。盡管這條被高科技加密術保護的密文只有短短一句話（“事情還是不知道為妙”），但業內人士認為，這一成果將會在計算機發展史上具有里程碑般的意義。 3.2.2數字簽名它是公開密鑰加密技術的一種應用，是指發送方將要傳送的明文（原始的信息）通過一種函數運一】19? 萬方數據算（Hash）轉換成報文摘要，這樣不同的明文對應著不同的報文摘要，報文摘要再用發送方的私有密鑰加密后與明文一起傳送，合稱為數字簽名，接受方將接受的明文產生新的報文摘要與發送方的發來報文摘要解密比較，比較結果一致則表示明文未被改動，如果不一致表示明文已被篡改。其作用就是能夠實現對原始報文的鑒別與驗證，保證報文的完整性、權威性和發送方對所發報文的不可抵賴性。數字簽名根據不同的要求，可分為秘密密鑰的數字簽名、公開密鑰的數字簽名、只需確認的數字簽名、數字摘要的數字簽名、電子郵戳、數字憑證等多種方式。 3.2.3數字證書數字證書是作為網上交易雙方真實身份證明的依據，是一個經證書授權中心（CertificationAu.thofity,cA）數字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。基于公開密鑰密碼體制的公鑰基礎結構（PublicKeyIn.frillstmcturc，PK〔）的數字證書是電子商務安全體系系統的核心，其用途是利用公共密鑰加密系統來保護與驗證公眾的密鑰。數字證書由可信任的、公正的權威機構CA頒發。3.2.4安全協議安全可靠的網絡協議是實現電子商務交易的關