电子商务是指利用互联网为工具,使买卖双方不谋面进行的各种商业和贸易活动,实现消费者的网上购物及企业间的网上交易。随着现今社会互联网、个人终端技术的飞跃发展,电子商务越来越多地出现在人们的生活与工作中。这种全新的商务模式具有便捷、高效率、低成本的特点,然而,在这种极为方便的交易模式下,您可曾想过您发出的电子邮件是否被人看过,甚至篡改,您的网上银行账户和密码是否已经泄露给他人?这些都涉及到计算机安全的问题,这也是电子商务发展面临的一个非常严峻的问题。
一、安全威胁的主要方面
1.服务器的安全问题。电子商务服务器是电子商务的核心,安装了大量与电子商务有关的软件和商家信息,并且服务器上的数据库里有电子商务活动过程中的一些保密数据。因此服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果也会非常严重。
2.网络安全问题。
1)病毒与黑客入侵。由于部分电脑用户对于电脑安全知识没有很深的了解,给电脑病毒以及黑客程序提供了入侵机会。黑客利用计算机某些程序的设计缺陷,进行截获、窃取、破译用户的机密信息。其中最具威胁的是特洛伊木马,一旦计算机被植入此木马,则可完全控制该计算机。
2)操作系统的安全漏洞。目前大部分的计算机用户使用的操作系统都是微软公司开发的Windows系列,而Windows操作系统的各个版本中都存在很多的软件漏洞。利用这些漏洞,攻击者可以在个人计算机上运行恶意程序,通过植入木马、病毒等方式控制整个电脑,从而窃取用户电脑中的信息。
3)用户安全使用的缺陷。如安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择不慎、密码易于被破解、软件使用的错误、系统备份不完整、用户将自己的账号随意转借他人或与别人共享等都会带来安全威胁。
4)IP欺骗与ARP攻击。IP欺骗的最基本形式是搞清楚一个网络的配置,然后改变自己的IP地址,伪装成别人的IP地址。虽然IP欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛。
3.病毒问题。在诸多威胁中,病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以互联网作为自己的传播途径。电脑病毒问世10多年来,各种新型病毒及其变种迅速增加,不少新病毒直接以互联网作为自己的传播途径,还有众多病毒借助于互联网传播得更快。如何在电子商务领域有效防范病毒也是一个十分紧迫的问题。
4.交易身份的不确定。电子商务是一种遍布全球的广泛的商业贸易活动,在开放的网络环境下,基于浏览器/服务器应用方式,在买卖双方不谋面的情况下,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及其他各种商务活动、金融活动和相关的综合服务活动。正是基于这个特点,攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易,非法获利。
5.交易协议安全性问题。商务用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使网络更加不安全
二、安全隐患的防范措施
1.数字签名。数字签名是将数字摘要、公用密钥算法两种加密方法结合起来使用。通过数字签名能够实现对原始报文的鉴别。数字签名的作用有两点:一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件真实性的这一事实。
2.数字凭证。数字凭证是用电子手段来证实一个用户的身份和对网络资源访问的权限。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证,大部分认证中心提供前两类凭证。
3.数字时间戳。交易行为中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。
4.网络安全技术。为了最大可能地减少或不受损失,用户应坚持以预防为主的原则,正确而安全地使用计算机,主要注意以下问题:
1)对于移动存储设备,必须先检测,确信无病毒后再使用。
2)尽量不要把重要数据存放在系统引导分区中,对重要数据要做备份。
3)计算机密码以及各类网上账户密码尽可能设置成复杂而无规律的。
4)在使用网络银行,或者有网上交易时一定要确定所交易的网站是不是有可靠的证书。
5)小心网上的欺诈信息,类似中大奖之类的提示,大多都挂有木马程序。
6)不要下载、接收、执行任何来历不明的软件或文件。
7)经常升级系统。
8)防火墙技术。现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中最简单和最常用的是包过滤防火墙,它检查接收到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。
5.防病毒措施。
1)预防病毒技术。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏
2)检测病毒技术。检测病毒技术是通过对计算机病毒的特征来进行判断的技术,来确定病毒的类型。
3)杀毒技术。杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施,防止病毒进入网络进行传播扩散。
三、结束语
安全是电子商务生存和发展的关键。安全威胁既有来自恶意攻击、防范疏漏,也有来自管理失误、操作疏忽等方面。因此,计算机安全措施应是全方位的。除了从技术层次上增强安全保障机制外,计算机用户本身也应加强安全意识,同时相关法律的建立和完善也是必不可少的。电子商务作为全球商务发展的趋势,将给全球的经济、政治和法律带来深刻的影响,安全问题将会变得更加重要和突出。任何成功的电子商务必须能提供足够的安全性、可靠性和可用性,才能赢得客户的信赖和欢迎。深入加强网络安全技术开发工作,发展自己的电子商务技术,尽快完善电子商务制度,建立良好的电子商务发展环境是发展电子商务的当务之急。
参考文献:
1.谭浩强.电子商务基础教程.北京:清华大学出版社,2000
2.刘叶飞,赵德安.电子商务安全的探讨.中国安全科学学报,2006
3.李晓霞,张培军,姬志刚.探讨电子商务安全问题及安全体系的建立[J].商场现代化2006
责编/王蒙