電子商務應用中的網絡安全問題研究
作者: 徐向陽 文章來源: 中國電子商務研究中心 本站發(fā)布時間:2010-07-28 00:00
1463
摘要: Internet技術的快速發(fā)展,使得電子商務應用日趨普遍,而互聯(lián)網上的安全問題不斷出現(xiàn),黑客事件屢見不鮮,已經成為影響電子商務等互聯(lián)網應用的重要因素。本文分析了目前常見的互聯(lián)網網絡安全事件,找出了影響電子商務發(fā)展的主要網絡安全問題,并結合法律與應急事件響應、安全管理架構等方面,提出一些安全對策。nn????隨著網絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協(xié)調中心(CNCERT/CC)2005處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環(huán)境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。nn 一、電子商務中的主要網絡安全事件分析nn 歸納起來,對電子商務應用影響較多、發(fā)生率較高的互聯(lián)網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(Phishing),逐步成為影響電子商務應用與發(fā)展的主要威脅。nn 1.網頁篡改nn 網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統(tǒng)本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業(yè)網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害。nn 2.網絡仿冒(Phishing)nn 網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業(yè)務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯(lián)網應用,特別是電子商務應用的主要威脅之一。nn 網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯(lián)網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發(fā)送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現(xiàn)在網絡仿冒犯罪的主要趨勢之一。nn 3.網絡蠕蟲nn 網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯(lián)網上計算機系統(tǒng)的漏洞進入系統(tǒng),自我復制,并繼續(xù)向互聯(lián)網上的其他系統(tǒng)進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現(xiàn)象發(fā)生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統(tǒng)失效。nn 4.拒絕服務攻擊(Dos) nn 拒絕服務攻擊是指在互聯(lián)網上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。nn 5.特羅伊木馬nn 特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序,通常用于潛伏在計算機系統(tǒng)中來與外界聯(lián)接,并接受外界的指令。被植入木馬的計算機系統(tǒng)內的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中。nn 二、解決電子商務中網絡安全問題的對策研究nn 隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現(xiàn),電子商務的安全問題日益突出,需要從國家相關法律建設的大環(huán)境到企業(yè)制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發(fā)展。nn 1.進一步完善法律與政策依據(jù)充分發(fā)揮應急響應組織的作用nn 我國目前對于互聯(lián)網的相關法律法規(guī)還較為欠缺,尤其是互聯(lián)網這樣一個開放和復雜的領域,相對于現(xiàn)實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發(fā)展的基于互聯(lián)網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據(jù)互聯(lián)網的體系結構和網絡安全事件的特點,需要建立健全協(xié)調一致,快速反應的各級網絡應急體系。要制定有關管理規(guī)定,為網絡安全事件的有效處理提供法律和政策依據(jù)。nn 互聯(lián)網應急響應組織是響應并處理公共互聯(lián)網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯(lián)網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機構的成員。應0
注:本文轉載自中國電子商務研究中心,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。如有侵權行為,請聯(lián)系我們,我們會及時刪除。
