引言数据安全措施可追溯到罗马帝国时代,当时恺撒大帝对信息进行编码,以防止敌人了解到战争计划。现代的电子安全方法也起源于美国的国防部,美国国防部一直是安全需求和进步的主要推动力量。在20世纪70年代后期,美国国防部就成立了专门的委员会来制定计算机安全制度和处理计算机上的信息分类。这个早期的安全工作很有价值,是目前各种商用安全产品和实用安全技术等电子商务安全的基础,促进了安全分析预评估等规范及方法的发展。
本章将对电子商务安全中所涉及的概念及技术进行介绍。
5.1电子商务安全概述
电子商务虽然为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本,但是在带来方便的同时,也把人们引入了安全陷阱。目前,安全问题已成为阻碍网上交易发展的首要问题。
2011年7月,CNNIC发布的《中国互联网络发展状况统计报告》显示:在2011年上半年,有44.7%的网民曾遭遇过病毒或木马攻击,24.9%的网民有过账号或密码被盗的经历,有8%的网民在网上遇到过消费欺诈。这些攻击导致了计算机运行的异常,如浏览器配置被修改,网络系统无法使用,数据、文件被损坏,操作系统崩溃,QQ密码、MSN密码、邮箱账号被盗等。网络安全事件给网民带来的最直接损失就是因处理事件而耗费的时间成本,大多数网民反映遇到网络安全事件要付出大量的时间成本,平均每人需要花费约10小时来处理安全事件。另外,网络安全事件也给一部分网民带来了经济损失,包括即时通讯、网络游戏等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失,网络系统、操作系统瘫痪造成的修复费用损失,以及数据和文件等丢失或损坏造成的损失。网上消费欺诈甚至造成了用户对互联网商务类应用的担忧和抵制情绪。
伴随着网络接入的逐步优化,网络诚信和安全成为制约网民进行商务类应用的关键因素。目前,我国网民对在网上开展商务活动的信任度较低,仅有29.2%的网民认为网上交易是安全的,只有不到四成的网民愿意在网上填写真实信息,消费者在网络交易中的安全感较低。在对网络浏览者不愿网购的原因进行调查后发现,对网络购物安全的担忧是重要原因,有12.2%的网民认为网络购物不安全。来自另一大型门户网站超2万人参与的在线调查表明,超过六成的被调查者认为网上购物的安全性低是阻碍他们进行网上购物的主要原因。可见,提高电子商务的安全性,是吸引更多的社会公众积极参与电子商务,是电子商务健康生存与高速发展的重要保障。
5.1.1电子商务面临的安全问题
1.电子商务面临的安全问题
(1)计算机安全问题
1994年8月1日,由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞,造成电源紧急控制系统损坏,NASDAQ电子交易系统日均成交量超过3亿股的股票市场暂停营业近34分钟。
计算机是电子商务的客户端与服务端,是电子商务操作的主要设备。计算机的安全包括两方面内容:计算机和操作计算机的人员。计算机的安全问题表现在物理损坏、信息丢失、预留后门、信息泄露;操作计算机人员的安全问题表现为操作错误、职责不清、权限不明。例如,不论是什么工种的工作人员都可以在计算机上的任何一级目录进行建立、删除、修改、复制等较高权限的操作。以上出现的种种问题都可能在电子交易活动之前、之中、之后使得信息变得不真或无用。
(2)网络信息传输安全问题
网络信息传输安全问题主要表现在信息截获、篡改、删除、插入方面。截获是指攻击者可能通过Internet、公共电话网、搭线或在电磁波辐射范围内安装接收装置等方式截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析获取有用信息,如消费者的账号、密码等。篡改即改变信息流的次序,更改信息的内容,如购买商品的出货地址。删除即删除某个信息或信息的某些部分。插入即在信息中插入一些信息,让接收方读不懂或接收错误的信息。
(3)Email安全问题
Email安全问题主要表现为伪造Email散布虚假资讯,扰乱正常的资讯通道。虚开网站和商店,给用户发Email,收订货单;伪造大量用户,发Email,耗尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的Email,窃取商家的商品信息。
(4)身份认证问题
身份认证问题主要表现在假冒他人身份进行信息欺诈与信息破坏。冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;接管合法用户、欺骗系统、占用合法用户的资源;冒充他人身份,如冒充领导发布命令、调阅文件。
(5)交易双方公证的问题
交易者不承认订货单;商家卖出的商品质量差但不承认原有的交易;发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容。
2.电子商务的安全需求
电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
(1)计算机网络安全
计算机网络安全的内容包括:计算机及网络设备安全、系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
(2)商务交易安全
商务交易安全则紧紧围绕传统商务在网络上应用时可能产生的各种安全问题,在计算机网络安全的基础上,保障电子商务过程的顺利进行。包括实现电子商务的真实有效性、完整性、保密性、可靠性、不可否认性等。
①真实有效性。真实有效性是指电子交易各方身份信息和交易信息要真实有效。如通过CA签发的数字证书,使电子交易的各方都拥有合法的身份,在交易的各个环节,交易的各方都可验证、鉴别对方数字证书的有效性,从而解决相互信任问题。
②完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来了维护贸易各方商业信息完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。完整性包括信息传输和信息存储两个方面,既要防止非法篡改、伪造和破坏网站上的信息,同时又要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一,最终保证接收到的信息就是所发送的信息。
③保密性。保密性要求信息在存取和传输过程中不被窃取。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家商业信息,有些还是商业秘密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守秘密的目的。电子商务是建立在一个较为开放的网络环境中,维护商业秘密是电子商务全面推广应用的重要保障。
④可靠性。可靠性是指防止计算机失效、程序错误、传输错误和自然灾害等引起的计算机信息失效或失误。可靠性可以保证存储在介质上的信息的正确性,并保证合法用户对信息和资源的使用不会遭到不正当的拒绝。
⑤不可否认性。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据等的可靠性并预防抵赖行为的发生。这也就是人们常说的白纸黑字。在无纸化的E电子商务模式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标志,这种标志信息用来保证信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,身份的不可否认性常采用数字签名来实现。71%的北美网民不愿在线分享信用卡账号市场调研公司ForresterResearch的最新调查显示,北美网民最不希望公开的在线数据就是信用卡账号。
ForresterResearch分析师法蒂玛·克哈提罗(FatemehKhatibloo)对37350位北美网民发起了一项大型调查,旨在找出在线网民最重要的隐私数据。结果显示,71%的网民担忧公司获取其信用卡账号,只有38%的人担忧公司获取他们的社交资料数据。在有关用户愿意分享的数据中,半数受访者表示愿意分享他们的互联网浏览历史、邮寄地址和电邮地址,另一半受访者不愿意分享上述数据。有44%的受访者没有完成过在线交易,原因是相关公司的服务条款和隐私政策。
年龄也是影响隐私选择的一个重大因素。调查显示,逾半数的18~34岁受访者愿意分享他们的个人数据以获得优惠交易。而在55岁以上人群中,只有不到25%的人愿意使用个人数据换得优惠交易。
资料来源:CNNIC发布的《互联网发展信息与动态》“网络钓鱼”对电子商务安全的危害及防范2005年4月,金山反病毒中心对外公布了《电子商务与网络安全分析报告》,根据该报告显示,目前对网络安全、电子商务除了计算机病毒造成的破坏之外,危害最大的是网络钓鱼式攻击。网络钓鱼式攻击骗取用户各种在线交易的账户、密码从而造成严重经济损失。这些钓鱼式攻击比较隐蔽,目前国内上网用户突破9000万人,宽带用户达4000万人以上,随着宽带网络进一步普及,用户将面临更多的线上交易安全风险。
“网络钓鱼”的主要手法有以下5种。
(1)发送电子邮件,以虚假信息引诱用户中圈套
诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
(2)建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃
犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意HTML代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用Cookies窃取用户信息。
(3)利用虚假的电子商务进行诈骗
此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年罪犯佘某建立“奇特器材网”网站,发布出售间谍器材、黑客工具等虚假信息,诱骗顾客将购货款汇入其用虚假身份在多个银行开立的账户,然后转移钱款的案件。
(4)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动
木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。
(5)利用用户弱口令等漏洞破解、猜测用户账号和密码
不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登录该银行网上银行网站,尝试破解弱口令,并屡屡得手。
那么应如何应对和防止“网络钓鱼”不法活动呢?下面给出了一些方法。
(1)针对电子邮件欺诈
如果收到有如下特点的邮件就要提高警惕,不要轻易打开和相信:①伪造发件人信息,如ABC@abcbank;②问候语或开场白往往模仿被假冒单位的口吻和语气,如“亲爱的用户”;③邮件内容多为传递紧迫的信息,如以账户状态将影响到正常使用或宣称正在通过网站更新账号信息等;④索取个人信息,要求用户提供密码、账号等信息。
(2)针对假冒网上银行、网上证券网站的情况
网上电子金融、电子商务用户在进行网上交易时要注意做到以下几点:①核对网址,看是否与真实网址一致;②设置和保管好密码;③做好交易记录,对网上银行、网上证券等平台办理的转账和支付等业务做好记录,定期查看历史交易明细和打印业务对账单,如发现异常交易或差错,立即与有关单位联系;④管好数字证书,避免在公用的计算机上使用网上交易系统;⑤对异常动态提高警惕。
(3)针对虚假电子商务信息的情况应具体甄别,不要上当
对于虚假购物、拍卖网站看上去虽然都比较“正规”,有公司名称、地址、联系电话、联系人、电子邮箱等,有的还留有互联网信息服务备案编号和信用资质等。对此,要注意仔细甄别避免与不掌握对方真实身份的卖家私下交易,要尽量选择能提供详细联系地址或工作单位等信息的卖家。而且一般虚假信息商家提供的交易方式都较为单一,消费者只能通过银行汇款的方式购买,且收款人一般为个人而非公司,订货方法一律采用先付款后发货的方式。此外,应在进行网络交易前,对交易网站和交易对方的资质进行全面了解。
(4)其他网络安全防范措施
①安装防火墙和防病毒软件,并经常升级;②注意经常给系统打补丁,堵塞软件漏洞;③禁止浏览器运行JavaScript和ActiveX代码;④不要浏览一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件,不要打开MSN或者QQ上传送过来的不明文件等;⑤提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露;⑥尽量避免在网吧等公共场所使用网上电子商务服务。
5.1.2电子商务安全体系
电子商务安全是一个系统工程,单纯的技术是无法达到理想的安全级别的。电子商务安全既是计算机和网络的安全,又是管理的安全。一个完整的电子商务安全体系应由安全基础设施层、加密技术层、安全认证层、安全协议层、交易协议层、应用系统层、电子商务政策法规和安全管理8个部分组成,如图51所示。