關鍵詞:防火墻;數字簽名技術;數據加密技術;信息安全;電子商務;
目 錄
引 言 1
1.電子商務網絡交易安全問題 2
1.1電子商務網絡交易風險凸現 2
1.2網絡交易風險源分析 3
1.3網絡交易安全管理的基本思路 5
2.電子商務網絡信息安全目前所采用的技術 6
2.1防火墻技術 6
2.2 數字簽名技術 8
2.3數據加密技術 9
3.如何運用這些技術來解決問題 11
3.1采用防火墻技術解決問題 11
3.2利用數字簽名來促進電子商務發展 13
4.電子商務網絡安全技術的局限與未來發展趨勢 15
4.1.防火墻技術發展趨勢 16
4.2.入侵檢測技術發展趨勢 16
4.3.防病毒技術發展趨勢 16
結 論 17
參考文獻 18
引 言
美國著名未來學家阿爾溫?托夫勒說:“電腦網絡的建立和普及將徹底改變人類生存及生活的模式,控制與掌握網絡的人就是未來命運的主宰。誰掌握了信息,控制了網絡,誰就擁有整個世界。”的確,網絡的國際化、社會化、開放化、個人化誘發出無限的商機,電子商務的迅速崛起,使網絡成為國際競爭的新戰場。然而,由於網絡技術本身的缺陷,使得網絡社會的脆性大大增加,壹旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構築安全的電子商務信息環境,就成為了網絡時代發展到壹定階段而不可逾越的“瓶頸”性問題,愈來愈受到國際社會的高度關註。電子商務作為壹種全新的業務和服務方式,為全球客戶提供了更豐富的商務信息、更簡捷的交易過程和更低廉的交易成本。伴隨著因特網用戶的迅速增加,網絡交易額也在急劇上升。雖然與全球幾十萬億美元的商業交易額相比,1998年電子商務交易的金額不過區區418億美元。而在此之前,兩個數字之間的差異更為巨大,以至於人們可以對其中的安全問題忽略不計。然而,當2002年世界電子商務交易額達到6153億美元時,人們不得不對其中的安全問題予以高度重視。本文將對網絡交易的風險進行深入的分析,並從技術、管理和法律角度提出風險控制辦法。
1.電子商務網絡交易安全問題
1.1電子商務網絡交易風險凸現
伴隨著電子商務交易額的不斷增加,電子商務對安全方面的管理要求越來越高,所受到重視的程度也越來越高。
計算機的安全問題早已引起人們的重視。大部分使用過計算機的人都遇到過計算機病毒的侵擾,它可能使辛苦壹天的文檔不翼而飛,或者使主機系統莫名其妙的崩潰、死機。對於網絡安全問題,在20世紀60—70年代,“黑客”的稱呼可以說是壹種榮耀。它代表著擁有超人的智力和毅力。而到了20世紀後期,這個稱呼卻已變成了電子竊賊和大盜的代名詞,他們的黑手頻頻伸向金融領域,而現在又瞄準了電子商務。
我們可以回顧壹下網絡黑客走過的歷程。
1988年11月2日,年僅23歲的美國康奈爾大學(Cornell University)的學生羅伯特?莫瑞斯(Robert T?Morris,Jr.)在自己的計算機上,用遠程命令將自己編寫的蠕蟲(Worm) 程序送進Internet網絡,壹夜之間攻擊了Internet網上約6200臺VAX系列小型機和Sun工作站,造成包括美國300多所大學、研究中心、國家航空航天局和幾個軍事基地的計算機停止運行,事故經濟損失達9600萬美元。這是世界上首例公開披露的網絡黑客攻擊案。
1994年4月到10月期間,任職於俄國聖彼得堡OA土星公司的24歲電腦專家弗拉基米爾?列?列文在本國操縱電腦,通過Internet多次侵入美國花旗銀行在華爾街的中央電腦系統的現金管理系統。此系統允許在該行開戶的企業客戶在世界範圍內作資金流動轉移,每天通過它的資金達500億美元。列文從花旗銀行在阿根廷的兩家銀行和印度尼西亞的壹家銀行的幾個企業客戶的賬戶中將40筆款項轉移到其同夥在加利福尼亞和以色列銀行所開的賬戶中,竊走1000萬美元。
29世紀後期,國內計算機犯罪分子將觸角伸向電子商務領域。1997年1月21日到3月18日期,寧波證券公司深圳業務部的技術骨幹曾定文多次通過證券交易網絡私自透支本單位資金928萬元炒股;而另壹名技術人員吳敬文則利用兩個股東帳號私自透支本單位資金2033萬元炒股。1999年4月19日至21日,由於溫保成等人在因特網BBS站點上非法張貼帖子,帶頭散布謠言,導致了交通銀行鄭州分行的重大擠兌事件。鄭州市公安局刑事拘留了7名散布謠言、制造混亂的違法人員。 2000年3月4日,壹個名叫秦海的“網上飛盜”在成都被警方逮捕。該犯2月10日和17日在銀行窺視騙取兩名儲戶的密碼,然後利用電子商務從網上購得手機、快譯通等物,***計價值2.7萬元人民幣。 2000年3月6日,剛剛開業的中國最大的全國網上連鎖商城開業3天慘遭黑客暗算,網站全線癱瘓,頁面被修改,數據庫也受到了不同程度的攻擊,交易數據破壞嚴重。 2002年7月,深圳某大公司天津分公司委托銀行代為發放的工資沒有進入正確的賬戶,而是流入另外的賬戶。犯罪嫌疑人杜某非法侵入該公司的局域網,修改部分財務數據程序,使本該流入正確賬戶的錢款流入到他在銀行開設的假賬戶上,然後在壹天內分批取出,***得贓款人民幣28萬余元。
大量的事實說明,保證電子商務的正常運作,必須高度重視安全問題。網絡交易安全涉及社會的方方面面,不是僅僅是壹堵防火墻或壹個電子簽字就能簡單解決的問題。安全問題是網絡交易成功與否的關鍵所在。它不僅關系到個人的資金安全、商家的貨物安全,還關系到國家的經濟安全,國家經濟秩序的穩定問題。
1.2網絡交易風險源分析
電子商務風險源分析主要是依據對網絡交易整個運作過程的考察,確定交易流程中可能出現的各種風險,分析其危害性,旨在發現交易過程中潛在的安全隱患和安全漏洞,從而使網絡交易安全管理有的放矢。
1. 在線交易主體的市場準入問題
在現行法律體制下,任何長期固定從事營利性事業的主體都必須進行工商登記。在電子商務環境下,任何人不經登記就可以借助計算機網絡發出或接受網絡信息,並通過壹定程序與其他人達成交易。虛擬主體的存在使電子商務交易安全性受到嚴重威脅。電子商務交易安全首先要解決的問題就是確保網上交易主體的真實存在,且確定哪些主體可以進入虛擬市場從事在線業務。這方面的工作需要依賴工商管理部門的網上商事主體公示制度和認證中心的認證制度加以解決。
2. 信息風險
從買賣雙方自身的角度觀察,網絡交易中的信息風險來源於用戶以合法身份進入系統後,買賣雙方都可能在網絡上發布虛假的供求信息,或以過期的信息冒充現在的信息。以騙取對方的錢款或貨物。虛假信息包含有與事實不符和誇大事實兩個方面。虛假事實可能是所宣傳的商品或服務本身的性能、質量、技術標準等,也可能是政府批文、權威機構的檢驗證明、榮譽證書、統計資料等,還可能是不能兌現的允諾。例如,有些網絡公司急於擴大自身影響,引起公眾註意,網絡廣告使用“中國第壹”、“全國訪問率最高”“固定用戶數量最多”等詞語。有的甚至在網絡廣告發布過程中,違反有關法律和規章中的強制性規定,將含有淫穢、迷信、恐怖、暴力、等不健康的內容直接在網上發布。
從技術上看,網絡交易的信息風險主要來自冒名偷竊、篡改數據、信息丟失等方面的風險。
3. 信用風險
信用風險主要來自三個方面:
(1)來自買方的信用風險。對於個人消費者來說,可能存在在網絡上使用信用卡進行支付時惡意透支,或使用偽造的信用卡騙取賣方貨物的行為;對於集團購買者來說,存在拖延貨款的可能。賣方需要為此承擔風險。
(2)來自賣方的信用風險。賣方不能按質、按量、按時寄送消費者購買的貨物,或者不能完全履行與集團購買者簽訂的合同,造成買方的風險。
(3)買賣雙方都存在抵賴的情況。
4. 網上欺詐犯罪
騙子們利用人們的善良天性,在電子交易活動中頻繁欺詐用戶,利用電子商務欺詐已經成為壹種新型的犯罪活動。1998年6月,湖南省石門縣劉政、覃業名等6人以石門縣興源公司的名義,利用Internet發布虛假商情,騙得深圳市威遠工貿公司編織袋15萬條,價值20萬元。在抗洪搶險期間,又采取訂立虛假合同的方式,將所騙物資變賣到湖南津市、澧縣、益陽等顯示,獲贓款9萬余元,均被揮霍壹空。
打擊因特網欺詐行為對保證電子商務正常發展具有重要意義。不嚴厲打擊這類犯罪活動,電子商務就不可能順利發展。
5.電子合同問題
在傳統商業模式下,除即時結清或數額小的交易毋須記錄外,壹般都要簽訂書面合同,以免在對方失信不履約時以作為證據,追究對方的責任。而在在線交易情形下,所有當事人的意思表示均以電子化的形式存儲於計算機硬盤或其他電子介質中。這些記錄方式不僅容易被塗擦、刪改、復制、遺失,而且不能脫離其記錄工具(計算機)而作為證據獨立存在。電子商務法需要解決由於電子合同與傳統合同的差別而引起的諸多問題,突出表現在書面形式,簽字有效性、合同收訖、合同成立地點、合同證據等方面。
6.電子支付問題
在電子商務簡易形式下,支付往往采用匯款或交貨付款方式,而典型的電子商務則是在網上完成支付的。網上支付通過信用卡制服和虛擬銀行的電子資金劃撥來完成。而實現這壹過程涉及網絡銀行與網絡交易客戶之間的協議、網絡銀行與網站之間的合作協議以及安全保障問題。因此,需要制定相應的法律,明確電子支付的當事人(包括付款人、收款人和銀行)之間的法律關系,制定相關的電子支付制度,認可電子簽字的合法性。同時還應出臺針對電子支付數據的偽造、變造、更改、塗銷問題的處理辦法。
1.3網絡交易安全管理的基本思路
保障電子商務交易安全,必須對電子商務交易系統有壹個深刻的理解。這壹點至關重要,它直接關系到所建立的交易安全保障體系的有效性和生命力。
電子商務系統是活動在Internet 平臺上的壹個涉及信息、資金和物資交易的綜合交易系統,其安全對象不是壹般的系統,而是壹個開放的、人在其中頻繁活動的、與社會系統緊密耦合的復雜巨系統(complex giant system)。它是由商業組織本身(包括營銷系統、支付系統、配送系統等)與信息技術系統復合構成的。而系統的安全目標與安全策略,是由組織的性質與需求所決定的。因此在分析系統的安全風險,制定相應的安全保護措施時同樣需要基於其“復合型”性質,即需要同時考慮其組織和技術體系以及管理過程的性質,而不是單純地根據信息系統本身去制定安全措施。
電子商務交易安全過程也不是壹般的工程化的過程,而是壹個時時處處有人參與的、自我適應的、不斷變化的、不斷湧現新的整體特征的過程。所以,電子商務交易安全保障不是壹般的管理手段的疊加和集成,而是綜合集成,兩者的本質區別在於後者強調人的關鍵作用。只有通過人網結合、人機結合,充分發揮各自優勢的方法,才能經過綜合集成,使系統表現出新的安全性質——整體大於部分之和。
與電子商務交易系統相適應,電子商務交易安全是也壹個系統工程,不是幾個防火墻、幾個密碼器就可以解決問題的。它需要根據商品交易的特點來制定整個過程的安全策略。在安全策略指導下,構建壹個立體的、動態的安全框架,在這個框架下再選擇、確定提供哪些安全服務,制定哪些相應的安全機制,開發哪些有關的產品或者加強有關的產品,來滿足整體的需要,保證安全策略的實施。
壹個完整的網絡交易安全體系,至少應包括三類措施,並且三者缺壹不可。壹是技術方面的措施,如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等。但只有技術措施並不能保證百分之百的安全。二是管理方面的措施,包括交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查、以及安全教育等。在這方面,政府有關部門、企業的主要領導、信息服務商應當扮演重要的角色。三是社會的法律政策與法律保障。只有從上述三方面入手,才可能真正實現電子商務的安全運作。
2.電子商務網絡信息安全目前所采用的技術
電子商務的信息安全在很大程度上依賴於技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網絡隱患掃描技術、系統安全監測報警與審計技術等。
2.1防火墻技術
從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。
新壹代的防火墻產品壹般運用了以下技術:
(1)透明的訪問方式
以前的防火墻在訪問方式上要麽要求用戶做系統登錄,要麽需要通過SOCKS等庫路徑修改客戶機的應用。而現在的防火墻利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
(2)靈活的代理系統
代理系統是壹種將信息從防火墻的壹側傳送到另壹側的軟件模塊。采用兩種代理機制:壹種用於代理從內部網絡到外部網絡的連接;另壹種用於代理從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,後者采用非保密的用戶定制代理或保密的代理系統技術來解決。
(3)多級過濾技術
為保證系統的安全性和防護水平,防火墻采用了三級過濾措施,並輔以鑒別手段。在分組過濾壹級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關壹級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關壹級,實現內部主機與外部站點的透膽連接,並對服務的通行實行嚴格控制。
(4)網絡地址轉換技術
防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每壹個主機的通信,確保每個分組送往正確的地址。
(5)Internet網關技術
由於是直接串聯在網絡之中,防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,新壹代防火墻采用兩種獨立的域名服務器:壹種是內部DNS服務器,主要處理內部網絡和DNS信息;另壹種是外部DNS服務器,專門用於處理機構內部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。
(6)用戶鑒別與加密
為了降低防火墻產品在Ielnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。新壹代防火墻采用壹次性使用的口令系統來作為用戶的鑒別手段,並實現了對郵件的加密。
防火墻技術從其功能上來分,還可以分為FTP防火墻、 Telnet防火墻、Email 防火墻、病毒防火墻等等。通常幾種防火墻技術被壹起使用,以彌補各自的缺陷和增加系統的安全性能。
防火墻雖然能對外部網絡的功擊實施有效的防護,但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的,還需考慮其它技術和非技術的因素,如信息加密技術、制訂法規、提高網絡管理使用人員的安全意識等。就防火墻本身來看,包過濾技術和代理訪問模式等都有壹定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內核等。但實踐證明,防火墻仍然是網絡安全中最成熟的壹種技術。
2.2 數字簽名技術
數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文壹起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的壹種手段,其作用有兩點,壹是因為自己的簽名難以否認,從而確認文件已簽署這壹事實;二是因為簽名不易仿冒,從而確定了文件是真的這壹事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,壹是信息是由簽名者發送的,二是信息自簽發後到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易於修改而有人作偽;冒用別人名義發送信息;發出(收到)信件後又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中壹個是公開的,另壹個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌裏,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用於跟美國做生意的公司。它只是壹個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在壹起,所以更適合電子商務。