浅谈电子商务安全问题

.目录一、电子商务安全基础3(一)电子商务存在的安全隐患3(二)电子商务系统可能遭受的攻击5(三)电子商务安全的中心容6二、我国电子商务面临的问题7三、移动电子商务面临的安全威胁7(一) 无线ad hoc应用的威胁8(二)网络本身的威胁8(三) 物理安全8(四)网路漫游的威胁9(五)电子商务安全威胁现状9四、网络隐私权侵权现象9(一)网络所有者或管理者的监视与窃听。9(二) 商业组织的侵权行为10(三) 部分软硬件设备供应商的蓄意侵权行为10(四）网络提供商的侵权行为10(五）个人的侵权行为10五、网络隐私权问题产生的原因11(一) 互联网的开放性11(二)网络小甜饼cookie11(三）网络服务提供商(ISP)在网络隐私权保护中的责任12六、安全技术对网络隐私权保护12(一)电子商务中的信息安全技术12(二)电子商务信息安全协议13(三)P2P技术与网络信息安全13七、可以采取的相应对策14（一）业务14（二）认证业务14（三）接入控制业务14（四）数据完整性业务14（五）不可否认业务14八、电子商务的安全性需求分析15（一）性15（二）有效性15（三）完整性15（四）可靠性16（五）法律性16电子商务安全浅议摘要 随着电子商务技术的发展，网络交易安全成为了电子商务发展的核心和关键问题，对网络隐私数据(网络隐私权)安全的有效保护，成为电子商务顺利发展的重要市场环境条件。因特网的迅速发展给社会生活带来了前所未有的便利，这主要是得益于因特网络的开放性和匿名性特征。然而，正是这些特征也决定了因特网不可避免地存在着信息安全隐患。介绍网络安全方面存在的问题与其解决方法，即网络通信中的数据技术和签名与认证技术，以与有关网络安全威胁的理论和解决方案。关键词电子商务；电子商务安全隐患；信息安全；信息安全技术电子商务利用现有的计算机硬件设备、软件和网络基础设施，通过一定的协议连接起来的电子网络环境进行各种各样商务活动的总称。狭义上讲，电子商务可定义为：在技术、经济高度发达的现代社会里，掌握信息技术和商务规则的人，系统化运用企业联网、外联网与因特网等现代系统，进行高效率、低成本的商务活动。一、电子商务安全基础 (一)、电子商务存在的安全隐患1、计算机系统的安全隐患(1)、硬件系统计算机是现代电子科技发展的结晶，是一个极其精密的系统，它的每一个零件都是由成千上万个电子元件构成的。这一方面使计算机的功能变得十分强大，另一方面又使它极易受到损坏。现在人们把计算机系统的漏洞或错误称为“Bug(臭虫)”，你知道为什么吗？有这样一种解释：计算机发展的初期，庞大的计算机在运行一个任务时往往发生错误而停止工作。于是操作人员查遍了它的每一部分电路，最终才发现原来只是一只臭虫死在某块电路板上，导致了短路，所以后来人们开始用“Bug”比喻系统错误。由此也可以看出计算机的硬件系统是如何的脆弱。当然，现代的计算机硬件已经“健壮”了许多，但它毕竟属于精密仪器，震荡、静电、潮湿、过热等都会使其受到严重的损伤。而且，由于现代的计算机硬件体积很小，很容易被人偷窃。想一想，如果你用来存放更重要数据的硬盘被人偷走，并采取措施加以保护。具体的方法我们后面还讲详细讨论。(2)、软件系统软件是用户与计算机硬件联系的桥梁。我们正是通过它来管理CPU等硬件，让他们执行命令的。任何一个软件都有自身的弱点，而大多数安全问题都是围绕着系统的软件部分发生，即包括系统软件也包括应用软件。这里有两个有趣的例子：最近发现，Microsoft的Windows NT中的加密机制可以被有效地关闭。其工作方式是：由于法国不允许普通公众对具有高度信息的站点进行访问，因此如果Windows NT把用户的工作地点解释为法国，那么，NT强大的加密机制就被禁止了，所以NT也不安全。1996年1月，加州大学伯克利分校计算机系的两个学生公开了Netscape加密方案中的一个严重缺陷。文章的题目是“随机性和Netscape”浏览器，作者是Goldberg和David。在文章中，他们解释了Netscape 中的称为安全套接层（SSL）的加密协议实现方式中有一个在的缺陷。这个缺陷使得当安全通信在WWW上被截取时可能被破译。这是一个绝好的基本缺陷的例子。可见，软件系统的漏洞可谓多种多样、防不胜防。遗憾的是，到目前为止，人们还没有找到能够彻底查出或纠正软件所有漏洞的方法。所以，从安全的角度考虑，我们必须熟悉各种软件的特点，正确选择并配置、使用自己的平台。关于这方面的容我们会在后面详细探讨。2、电子商务的安全隐患电子商务系统的安全问题不仅包括了计算机系统的隐患，还包括了一些自身独有的问题。数据的安全。一个电子商务系统必然要存储大量的商务数据，这是其运转的核心。一旦发生数据丢失或损坏，后果不堪设想。尤其这些数据大部分是商业秘密，一旦泄露，将造成不可挽回的损失。交易的安全。这也是电子商务系统独有的。在我们日常生活中，进行一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖子以作为法律凭据。但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎样能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。(二)、电子商务系统可能遭受的攻击一般说来，电子商务系统可能遭受的攻击有以下几种。1、系统穿透：未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改，窃取信息、非法使用资源等。他们一般采取伪装(Masquerade)或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。这也是大多数黑客使用的方法。黑客们常常利用各种试探软件反复猜测某个的用户密码，一旦成功就可假冒该用户进入系统。更高级的黑客则会利用系统的缺陷巧妙地绕过检测机制，进入系统。1998年2月，五角大楼的关键主机遭到了“迄今为止最有组织、有系统的攻击”。这次破译是一个以色列年轻人领导，他向两个加州的年轻人演示了进入五角大楼安全分支的不同方法，于是那两个年轻人在数天之进入了全美数以百计的网络。2、违反授权原则：一个被授权进入系统做某件事的用户，在系统中做未经授权的其他事情。表面看来这是系统部的误用或滥用问题，但这种威胁与外部穿透有关联。3、植入：在系统穿透或违反授权攻击成功后，入侵者常要在系统中植入一种能力，为其以后攻击系统提供方便条件。如向系统中注入病毒、蛀虫、特洛伊木马、陷阱、逻辑炸弹等来破坏系统正常工作。特洛伊木马为攻击者服务，例如一种表面上合法的字处理软件能将所提编辑文档复制存入一个隐蔽的文件中，供攻击者检索。前一段时间流行的“美丽杀”病毒就是一种典型的植入攻击。黑客把病毒作为电子的附近发给受攻击者。一旦对方运行了该附件，其系统就会感染该病毒感染该病毒。更有甚者，如果附件不是病毒，而上远程控制程序，如有名的B002K，则被攻击方的系统将完全被黑客控制，黑客可以随心所欲地浏览对方的文件，甚至执行关机、重启等操作。4、通信监视：这是一种在通信过程中从信道进行撘线窃听的方式。通过撘线盒电磁泄漏等对性进行攻击，造成泄密，或对业务流量进行分析，获取有用情报。5、通信串扰：攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中数据的容，修正消息次序、时间（延迟和重放），注入伪造消息。6、中断：对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作，破坏信息和网络资源。高能量电磁脉冲发射设备可以摧毁附近建筑物中的电子器件，正在研究中的电子生物可以吞噬电子器件。7、拒绝服务：指合法接入信息、业务或其他资源受阻。8、否认：一个实体进行某种通信或交易活动，稍后否认曾进行过这一活动，不管这种行为是有意的还是无意的，一旦出现再要解决双方的争执就不太容易了。9、病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而且Internet的出现又促进了病毒制造者间的交流，使病毒层出不穷，杀伤力也大有提高。著名的CIH病毒出现不久，其源码就在网上传开。很快根据它改编的更隐蔽、更厉害的变种病毒大量出现，并造成了巨大的损失。(三)、电子商务安全的中心容电子商务安全的中心容一共六项，他们是性、完整性、认证性、不可否认性、不可拒绝性、访问控制性。电子商务安全的容对于理解整个电子商务安全是非常重要的，所有的安全威胁都是针对这六项容的，所有的安全技术都是为了保证这六项容。下面逐一说明六项电子商务安全的具体容。1商务数据的性商务数据的性（Confidentiality）或称性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或被披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其容。2.商务数据的完整性商务数据的完整性(Integrity)或称正确性是保护数据不被未授权者修改、建立、嵌入、重复传送或由于其他原因使原始数据被更改。3.商务对象的认证性商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性，分辨参与者所称身份的真伪，防止伪装攻击。认证性用数字签名和身份认证技术实现。4.商务服务的不可否认性商务服务的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息，这是一种法律有效性要求。二、我国电子商务面临的问题(一).目前依然缺乏电子合同法、网上知识产权保护、隐私保护法、网上信息管制等多个法律法规，国家发展电子商务还缺乏明确的发展战略和有力的技术经济政策。(二).电子商务的发展所需要的市场经济环境、运行环境尚不完善，社会信用体系尚未完全建立，网络带宽、反应速度尚不满足要求，电子支付手段尚不完备，物流配送体系尚不配套。(三).我国信息产业国产化产品技术水平与市场占有率低，重大电子商务应用工程、应用系统所用的软硬件产品主要依靠国外公司，系统集成、信息服务水平有待提高。企业采用电子商务等高新技术尚缺少在的动力、人力、财力与物力。(四).电子商务法律法规、电子商务标准、规严重滞后，急需加强。现有的行政法规不适应电子商务发展之处未得到与时修订。研究制定电子商务的相关法律法规较滞缓，对网络犯罪的定罪和处罚尚没有实施细则。(五).计算机应用水平低，上网企业与上网家庭数量还较少，信息技术在企业与家庭中应用不够普与。电子商务技术的发展，网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下，有些商家在网络应用者不知情或不情愿的情况下，采取各种技术手段取得和利用其信息，侵犯了上网者的隐私权。三、移动电子商务面临的安全威胁尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间，降低了成本和增加了收入)，但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备，由于无线设备的存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。(一).无线ad hoc应用的威胁除了互联网在线应用带来的威胁外，无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成ad hoc网路。Ad hoc网络和传统的移动网络有着许多不同，其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施，而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点，使得Ad Hoc网络的安全问题尤为突出。Ad hoc网路的一个重要特点是网络决策是分散的，网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。(二).网络本身的威