時間:2023-09-20 18:13:31
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇電子商務安全事件范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統
一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(IsAudit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。新晨
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
[關鍵詞] 電子商務信息加密案例教學
目前電子商務安全問題已經成為制約電子商務快速發展的障礙。因此,了解和掌握安全技術,已經成為從事電子商務人員的必備知識。為此,目前很多高校電子商務專業都開設了《電子商務安全技術》課程。如何針對該課程的特點使學生掌握安全知識和技術,是教師在課程設計中最為重視的問題。筆者結合該課程的講授經驗,從教學內容、教學方法、實驗教學等方面進行了探索。
一、課程特點
《電子商務安全技術》課程是電子商務專業的專業課程。該課程的目標是要求學生在掌握基本概念和理論的基礎上,結合實際問題,在電子商務的實施中應用有關技術為具體商務過程的實現提供安全保障。該課程內容非常龐雜且綜合性強,包括信息加密技術、計算機網絡安全技術、電子支付技術等。
該課程的突出問題是學習內容多,課時少。僅計算機網絡安全技術一項內容,就是一門獨立的課程。然而該課程安排課時為44學時。因此,在有限的學時內,不可能詳細講解所有內容。為此,我們精心設計教學內容和實驗,采用小組討論、案例教學等教學方法,取得了不錯的效果。
二、教學內容設計
《電子商務安全技術》課程的教學內容包括以下8個部分:電子商務安全概述、信息加密技術、計算機網絡安全技術、公鑰基礎設施(PKI)、電子支付技術、電子商務安全交易協議、安全電子商務應用、其他電子商務安全技術。教學內容的設計原則如下:
1.重視信息加密技術。信息加密技術是其他技術的核心,是電子商務安全的基石。在教學過程中,應該把對稱加密和非對稱加密的原理、特點講透。對于對稱加密可首先以愷撒密碼、換位密碼算法為例來講解,這些算法簡單,學生理解起來較為容易。而對于非對稱加密算法,可以RSA算法為例來講解,讓學生能理解該算法的優點和不足。學會了加密技術,在理解數字簽名、公鑰基礎設施等這些應用加密算法的技術時就會容易得多。
2.重視計算機網絡安全技術。電子商務是基于Internet網絡的商務模式,因此,電子商務的安全是以計算機網絡的安全性為基礎的。因此,在教學過程中,必須教導學生重視計算機網絡安全技術,必須掌握基本的網絡安全攻防體系、防火墻、虛擬專用網、入侵檢測系統等網絡安全的主要技術和解決方案。
3.加強流行技術和新技術的講解。電子商務安全相關的新技術不斷涌現。例如,在電子支付技術中,除了信用卡電子支付、電子支票、電子現金支付方法,比較流行的還有支付寶等第三方支付方法;隨著移動電子商務的流行,無線電子商務安全技術逐漸被人們所重視;信息隱藏技術、數字水印技術和數字版權保護等新技術已成為了非常熱門的話題。在教學中,可簡單介紹這些新技術,學生根據自己的興趣進一步跟蹤和探索。
三、教學方法
教學方式主要采用多媒體教學。在多媒體課件的設計上,主要以設置問題、討論解答的方式來引出各個知識點,以便激發學生的求知欲。提出問題后,可以組織學生分組討論,或者師生共同討論來給出問題的答案,并總結知識點。
根據教學內容的不同,采用靈活多樣的教學方法,如小組討論、案例教學等。比如:在講解電子支付時,先在課前布置學生收集5個國內電子商務網站的電子支付方式,而后在課堂上進行小組討論,結合實際情況來加深學生對知識點的掌握。在講解網絡防火墻技術時,收集某連鎖店網絡和九運會防火墻配置案例,讓學生更加直觀地理解防火墻的實際應用情況。
四、實驗內容
實驗教學是為學生理解課程內容而設計的。通過實驗教學的實施,使學生掌握課程內容,以及電子商務安全技術的操作與配置方法。實驗設計的原則是:
1.強調基礎。結合學習內容的各主要知識點來設計實驗。通過實驗,讓學生理解各知識點,并會加以運用。
2.既有驗證性實驗,也有設計性實驗。通過驗證性實驗,掌握各個技術。通過設計性實驗,綜合應用各種技術,培養學生解決實際問題的能力。
根據上述原則,我們設計了7個實驗,如下表所示。
其中實驗1屬于調查分析類,該實驗的目的是通過調查分析當前大型電子商務網站,掌握常用的安全措施。具體要求是了解2個國內大型電子商務網站如eBay網、淘寶網的電子商務安全措施。
實驗2到實驗6是屬于操作性和驗證性的實驗。通過實際操作,理解課堂所學的理論知識,并進一步掌握各種電子商務安全技術的應用方法。實驗3中的防火墻、VPN、入侵檢測這三個內容,由于課時的關系,可以把防火墻作為重點,其他兩個作為課下作業。
實驗7是設計某小型電子商務系統的安全解決方案,這是一個設計性實驗。該實驗需要綜合運用各種安全技術,并寫出方案報告。
五、學習效果
在教學實踐過程中,學生實驗報告、案例分析報告都撰寫得不錯。同時本課程很受學生歡迎,取得了令人滿意的教學效果。
參考文獻:
[1]張愛菊:電子商務安全技術[M].北京:清華大學出版社,2006
一、私有密鑰加密法
(一)含義
私有密鑰加密,指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。此加密法的一個最大特點是,信息發送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。
(二)應用原理
具體到電子商務,很多環節要用到私有密鑰加密法。例如,在兩個商務實體或兩個銀行之間進行資金的支付結算時,涉及大量的資金流信息的傳輸與交換。這里以發送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應用私有密鑰加密法的過程:銀行甲借助專業私有密鑰加密算法生成私有密鑰A,并且復制一份密鑰A借助一個安全可靠通道(如采用數字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網絡通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉賬通知單的內容,結束通信。
(三)常用算法
世界上一些專業組織機構研發了許多種私有密鑰加密算法,比較著名的有DES(DataEncryptionStandard,數據加密標準)算法及其各種變形、國際數據加密算法IDEA等。DES算法由美國國家標準局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應用于銀行業中的電子資金轉賬、軍事定點通信等領域,比如電子支票的加密傳送。經過20多年的使用,已經發現DES很多不足之處,隨著計算機技術進步,對DES的破解方法也日趨有效,所以更安全的高級加密標準AES(AdvancedEncryptionStandard,先進加密標準)將會替代DES成為新一代加密標準。
(四)優缺點
私有密鑰加密法的主要優點是運算量小,加解密速度快,由于加解密應用同一把密鑰而應用簡單。在專用網絡中由于通信各方相對固定、所以應用效果較好。但是,私有密鑰加密技術也存在著以下一些問題:一是分發不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復雜,代價高昂。私有密鑰密碼體制用于公眾通信網時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進行用戶身份的認定。采用私有密鑰加密法實現信息傳輸,只是解決了數據的機密性問題,并不能認證信息發送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發送偽造信息。在電子商務中,有可能存在欺騙,別有用心者可能冒用別人的名義發送資金轉賬指令。因此,必須經常更換密鑰,以確保系統安全。四是采用私有密鑰加密法的系統比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數據進行加解密處理,提供數據的機密性,不能用于數字簽名。
二、公開密鑰加密法
(一)定義與應用原理
公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務應用的核心密碼技術。所謂公開密鑰加密,就是指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網絡上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。公開密鑰加密法的應用原理是:借助密鑰生成程序生產密鑰A與密鑰B,這兩把密鑰在數學上相關,對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網絡公開散發出去,誰都可以獲取一把并能應用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進行解密,而且非法用戶幾乎不可能從公鑰推導出私鑰。存在下面兩種應用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現保密性。二是商家利用自己的私人密鑰A對要發送的信息進行加密進成密文信息,發送給商業合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應用公開密鑰B解密,根據數學相關關系可以斷定密文的形成一定是運用了私人密鑰A進行加密的結果,而私人密鑰A只有商家擁有,由此可以斷定網上收到的密文一定是擁有私人密鑰A的商家發送的。
(二)應用過程
具體到電子商務,很多環節要用到公開密鑰加密法,例如在網絡銀行客戶與銀行進行資金的支付結算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網絡銀行的資金信息傳輸為例,來描述應用公開密鑰加密法在兩種情況下的使用過程。首先,網絡銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B,私人密鑰A由網絡銀行乙自己獨自保存,而公開密鑰B已經通過網絡某種應用形式(如數字證書)分發給網絡銀行的眾多客戶,當然客戶甲也擁有一把網絡銀行乙的公開密鑰B。
1.客戶甲傳送一“支付通知”給網絡銀行乙,要求
“支付通知”在傳送中是密文,并且只能由網絡銀行乙解密知曉,從而實現了定點保密通信。客戶甲利用獲得的公開密鑰B在本地對“支付通知”明文進行加密,形成“支付通知”密文,通過網絡將密文傳輸給網絡銀行乙。網絡銀行乙收到“支付通知”密文后,發現只能用自己的私人密鑰A進行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內容,的確是發給自己的。
2.網絡銀行乙在按照收到的“支付通知”指令完成支付轉賬服務后,必須回送客戶甲“支付確認”,客戶甲在收到“支付確認”后,斷定只能是網絡銀行乙發來的,而不是別人假冒的,將來可作支付憑證,從而實現對網絡銀行業務行為的認證,網絡銀行不能隨意否認或抵賴。網絡用戶乙在按照客戶甲的要求完成相關資金轉賬后,準備一個“支付確認”明文,在本地利用自己的私人密鑰A對“支付確認”明文進行加密,形成“支付確認”密文,通過網絡將密文傳輸給客戶甲。客戶甲收到“支付確認”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發現只能用獲得的網絡銀行乙的公開密鑰B進行解密,形成“支付確認”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網絡銀行乙所有,因此客戶甲斷定這個“支付確認”只能是網絡銀行乙發來的,不是別人假冒的,可作支付完成的憑證。
(三)算法
當前最著名、應用最廣泛的公開密鑰系統是RSA(取自三個創始人的名字的第一個字母)算法,RSA算法是第一個能同時用于加密和數字簽名的算法,也易于理解和操作。目前電子商務中大多數使用公開密鑰加密法進行加解密和數字簽名的產品和標準使用的都是RSA算法。RSA算法是基于大數的因子分解,而大數的因子分解是數學上的一個難題,其難度隨著模數n的位數加多而提高,網絡交易安全隨之提高。(四)優缺點優點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。能夠解決信息的否認與抵賴問題,身份認證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網絡成員,商業伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度慢。
[關鍵詞] 網絡安全 事件 安全對策
隨著網絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心(CNCERT/CC)2005處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。
一、電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(Phishing),逐步成為影響電子商務應用與發展的主要威脅。
1.網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.網絡仿冒(Phishing)
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
3.網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
4.拒絕服務攻擊(Dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
二、解決電子商務中網絡安全問題的對策研究
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
1.進一步完善法律與政策依據 充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,Forum of Incident Response and Security Teams)等國際機構的成員。應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
2.從網絡安全架構整體上保障電子商務的應用發展
網絡安全事件研究中看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。
三、結論
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
參考文獻:
[1]CNCERT/CC.2005年上半年網絡安全工作報告
[2]李 衛:計算機網絡安全與管理.北京:清華大學出版社,2000
[3]李海泉:計算機網絡安全與加密技術.北京:科學出版社,2001
關鍵詞: 網絡安全, 事件安全, 對策
1.引言
隨著網絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在網絡安全事件報告中,網頁篡改占46%,網絡仿冒占30%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等[1]。近來最讓國人印象深刻的,比如熊貓燒香病毒,其危害之大、傳播范圍之廣令人咂舌,毫不夸張的說,當時網民們真是人人自危。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。
2.電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特洛伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒,逐步成為影響電子商務應用與發展的主要威脅[2]。
2.1 網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.2 網絡仿冒
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三圍的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
2.3 網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
2.4 拒絕服務攻擊(Dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵袋過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
2.5 特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
很多人認為木馬也是病毒的一種,這是因為他們把危害計算機安全的“敗類”,都一股腦兒地冠以“病毒”之名。實際上,木馬并不感染軟件或者數據,而是通過偽裝,進行遠程控制等行為,這與病毒有著根本性的差異。所以,病毒是病毒,木馬是木馬,我們還是應該分開來的。木馬的可怕之處在于,一旦你的電腦中了木馬,它就變成了一臺傀儡機,控制端利用木馬,悄無聲息地在你的電腦上上傳下載文件,偷窺你的私人文件,甚至盜取各種密碼,造成非常嚴重的后果。
3.解決電子商務中網絡安全問題的對策研究
3.1 進一步完善法律與政策依據,充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
3.2 從網絡安全架構整體上保障電子商務的應用發展
安全管理是中心,它滲透到四個基本中去,而這四個基本點各占據電子商務安全的各個方面,即保護、監控、響應和恢復。安全管理指導四個基本點的工作,四個基本點體現和完成安全管理的任務,它們相輔相成,構成一個完整的體系,滿足電子商務安全的整體需求。
(1) 安全管理
安全管理就是通過一些管理手段來達到保護網絡安全的目的。它所包含的內容有安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,以及對人員的安全意識的培訓、教育等。
(2) 保護
保護就是采用一些網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護可以稱作靜態保護,它通常是指一些基本防護,不具有實時性,如在制定的安全策略中有一條,不允許外部網用戶訪問內部網的web服務器,因此我們就可以在防火墻的規則中加入一條,禁止所有從外部網用戶到內部網web服務器的連接請求,這樣一旦這條規則生效,它就會持續有效,除非我們改變了這條規則。這樣的保護可以預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱 為靜態保護。
(3)監控/審計
監控就是實時監控網絡上正在發生的事情,這是任何一個網絡管理員都想知道的。審計一直被認為是經典安全模型的一個重要組成部分。審計是通過記錄下通過網絡的所有數據包,然后分析這些數據包,幫助你查找已知的攻擊手段、可疑的破壞行為,來達到保護網絡的目的。
監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,因此網絡安全不是一層不變的,也許今天對你來說安傘的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。有些人可能會認為這樣就不需要基本的安全保護,這種想法是錯誤的,因為安全保護是基本,監控和審計是其有效的補充,只有這兩者有效結合,才能夠滿足動態安全的需要。
(4) 響應
響應就是當攻擊正在發生時,能夠及時做出響應,如向管理員報告,或者自動阻斷連接等,防止攻擊進一步的發生。響應是整個安全架構中的重要組成部分,為什么呢?因為即使你的網絡構筑的相當安全,攻擊或非法事件也是不可避免的要發生的,所以當攻擊或非法事件發生的時候,應該有一種機制對此做出反應,以便讓管理員及時了解到什么時候網絡遭到了攻擊,攻擊的行為是什么樣的,攻擊的結果如何,應該采取什么樣的措施來修補安全策略,彌補這次攻擊的損失,以及防止此類攻擊再次發生。
(5)恢復
當入侵發生后,對系統造成了一定的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制來及時恢復系統正常工作,因此恢復在電子商務安傘的整體架構中也是不可少的一個組成部分。恢復是最終措施,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。
4.結束語
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
參考文獻:
本文通過對不同電子商務強度的公司做網絡安全投資回報計算,進而在經濟性的基礎上,對采用各種主要措施來加強網絡安全技術防范進行評價,從而幫助企業在投資網絡安全上做有效選擇,此研究無論從理論上還是實踐上都具有重要的現實意義。
[關鍵詞] 投資 網絡安全 經濟性
筆者所在公司的計算機網絡經常會遇到各種各樣的安全問題,主要包括病毒感染、惡意攻擊和疏忽大意。公司內部建立了一個局域網,有400多臺電腦通過一個服務器與外網連接,同時,公司有自己的OA系統和正式對外信息的網站,這些都對網絡系統的安全性提出了較高要求。
幾年來,我在管理公司整個網絡系統安全的過程中,在為地稅系統做安全服務時,參照研究了國內外一些主要從事電子商務網站的經驗(主要是阿里巴巴網站和CISCO公司),并根據本企業實際情況和經常發生的安全問題,采取了一些較為適用的安全防范措施。在不斷的選用和比較中,我對投資網絡安全所帶來的經濟回報有了一定的認識。
事實上,許多企業都愿意采用一個相對通用的方案來評價在網絡安全活動和過程中的投資行為,一般是由一個專門的部門用多年時間來搜集數據,然后幫助企業形成一個結構良好的通用的投資回報分析報告。處理這些通用數據需要一些步驟,如下所示:
1.分析潛在經濟影響
2.明確電子商務強度
3.檢驗安全成本
4.計算一個通用的安全投資回報
一、分析潛在經濟影響
對于病毒和入侵,企業一般面臨三種類型的經濟性影響――直接性經濟影響、短期性經濟影響和長期性經濟影響。據國家公安部公共信息網絡安全監察局的調查結果顯示,2005年5月~2006年5月間,有54%的被調查單位發生過信息網絡安全事件,其中,感染計算機病毒、蠕蟲和木馬程序的安全事件為84%,遭到端口掃描或網絡攻擊的占36%,垃圾郵件占35%。未修補和防范軟件漏洞仍然是導致安全事件發生的最突出原因,占發生安全事件總數的73%。
對于一個以網絡為支撐的、單一業務的企業,惡意攻擊給其帶來的經濟性影響如表1所示。
表 1
來源: 《公安部公共信息網絡安全監察局》
在提交公司的調研報告上,我參照研究了《計算機經濟》上的數據,如表2所示。如果針對惡意攻擊,企業沒有采用足夠的安全防護,那些能夠預測到發生的平均經濟影響。可以看出,對電子商務技術依賴的越多,惡意攻擊所帶來的負面經濟影響就越大(表中節點數是指連接到網絡上的設備)。
表2
來源:《計算機經濟》
表中的結果是過去五年的歷史數據所做的平均值,主要包括清除被惡意代碼感染系統的成本,黑客攻擊和入侵的恢復成本,收入損失和員工生產率降低。我公司屬于低強度電子商務公司,有500個節點,從2005年、2006年兩年的各種安全技術、設備的使用對比中發現:惡意攻擊給我公司帶來的經濟影響要相對小于表2提供的數據,但如果算上短期經濟影響,基本符合了數值取向。阿里巴巴網站算是一家高強度電子商務公司,由于其具備網上實時交易的特性,所以它的安全等級要求極高,而根據該公司曾提及的蠕蟲病毒等網絡攻擊給其帶來的損失來看,要遠大于表2提供數據。
二、明確電子商務的強度
在明確一家企業電子商務強度的時候,需要考慮的、能支持該公司電子商務強度的因素如下:
1.信息系統員工崗位是否多樣化
2.是否有合適的電子商務軟件
3.是否有自己的網站、有多條互聯網接入
4.是否用信息技術支持電子通信
5.是否有基于網絡的B2B、B2C交易
6.是否通過網站進行電子數據交換
7.是否支持通過直接撥號與供應商、消費者進行電子數據交換
三、安全成本有哪些
花費在安全方面的IT預算很難確定標準。近來大部分的研究表明,多數企業在安全方面花費不足2%的IT預算。在企業內,系統的可用性、數據的完整性和保密性都極度重要,國內有些專家呼吁,企業應花費其IT預算總額的5%用于安全。
事實上,安全方面的預算支出常常是一個經驗值,通過一些基礎數據,逐步摸索出一個相對經濟的安全防范成本。安全防范的成本可以被劃分為許多子類,而且不同的企業差異也很大。
四、計算一個通用的安全投資回報
當要計算安全投資回報時,一定要考慮使用一些變量。首先應該考慮的是耗費在安全方面的資金量。其次,明確當前的威脅水平,或者至少是知道當前的威脅大概什么樣。最后,還有法律、法規和安全的要求,這需要不同類型的組織采取一些有效措施來保護信息免受攻擊。為達到合法、合規的目的,這些組織就需要花費成本,也許會超過平衡點,以此來幫助企業告知當前威脅水平(這點,我們企業經常會接到哈爾濱市網絡安全管理局定期的網絡病毒報告)。
在電子商務企業中,惡意攻擊對潛在的經濟影響是相當大的,這也增加企業對安全產品和相關人員的需求。
五、總結
如果能夠相對清晰地計算你的投資回報,這將有利于你在網絡安全方面做正確的決定,將擁有一個安全的基礎來進行信息共享,可以通過電子商務來增加你的收入,可以通過提高人員效率來增加企業利潤。
參考文獻:
[1]張寬海:《電子商務概論》,機械工業出版社,2003年
[2]丘曉理:《部屬安全的無線局域網絡》,摘自《計算機世界――技術與應用》,2006年第37期
【 關鍵詞 】 電子認證;數字證書;電子簽名;網絡安全
Status and Trends of the Policy Environment of Certificate Authentication Services Industry
Chen Yue-hua
(China Center for Information Industry Development Beijing 100048)
【 Abstract 】 In recent years, network security attracts much attention.The world's major developed countries, such as United States, Germany, the United Kingdom, have released policies to cope with the growing security threats. Certificate authentication service industry, by confirming the truth and reliability of the network subject and their behavior, is to provide the network security, to maintain the network order, to play an irreplaceable role in reducing online fraud and crime. This paper highlights the 2011 China key policy of certificate authentication service industry, and analyzes policy development trends.
【 Keywords 】 certificate authentication;electronic signature;digital certificate;network security
1 引言
隨著全球信息化的不斷發展和電子政務、電子商務等網絡應用的普及,信息安全問題日益突出。截止到2011年12月底,我國互聯網普及率已達到38.3%,身份盜用、交易詐騙、信息泄露等信息安全事件出現頻率不斷提升,嚴重影響了網絡經濟的發展和社會的穩定。據統計,我國有近1.28億互聯網用戶遭遇過上述安全事件,據估計損失超過150億元。導致互聯網信息安全事件頻發的一個重要主要原因是缺少全局、有效、易于推廣的網絡身份信任體系。
電子認證服務作為重要的信息安全保障手段,基于PKI技術確定網絡空間中個體的真實身份,建立網上行為與現實空間真實主體的嚴格對應關系,為實現網上行為的追蹤、管理、取證等提供解決方法和法律保障,在維護網絡秩序、減少網絡欺詐和犯罪、促進網絡經濟發展等方面發揮著不可替代的作用。
自2005年4月1日《中華人民共和國電子簽名法》頒布實施以來,電子認證服務業經歷了從無到有、逐步壯大的重要發展時期。行業政策環境日益優化,為電子認證服務業發展提供了良好的契機。
2 行業政策環境日益優化,行業發展面臨大好機遇
2.1 電子認證服務業首個發展規劃,為行業未來發展指明了方向
近年來,國家對電子認證服務的重視程度日益提高。2011年11月,工業和信息化部印發《電子認證服務業“十二五”發展規劃》,這是我國電子認證服務業的首個規劃。在全面回顧“十一五”發展現狀、分析“十二五”形勢的基礎上,規劃提出到“十二五”末期,“形成覆蓋全國的網絡身份認證服務體系,基本形成可靠電子簽名認證體系,并在數據電文可靠性認證服務模式探索方面取得積極進展,電子認證服務市場規模突破80億元”的發展目標,并明確提出健全政策法規、規范認證服務、發展可靠電子簽名和數據電文、拓展應用市場、開展試點示范、推行分類分級證書策略、加快數字證書交叉互認等重點任務,為行業發展指明了方向。
此外,信息安全產業、電子商務等“十二五”發展規劃都將電子認證服務作為信息安全保障的重要手段,予以培育和支持。工業和信息化部的《信息安全產業“十二五”發展規劃》,明確將電子認證服務作為重點發展的信息安全服務類別,以滿足信息化建設對安全可控信息安全服務的需求。商務部的《電子商務“十二五”發展指導意見》,明確提出支持鼓勵符合條件的第三方機構按照獨立、公正、客觀原則對電子商務交易平臺和經營主體開展認證服務,鼓勵電子簽名、電子發票在電子商務中的應用。各項與電子認證相關的“十二五”政策文件的出臺,電子認證是信息安全服務的重要構成,對于保障電子政務、電子商務等領域信息安全具有重要作用。
盡管電子認證服務已經獲得較廣泛的應用,但社會的認知度并不高,各項“十二五”政策文件明確將電子認證作為信息安全服務的重點之一,有利于增強社會各界對電子認證服務的認識,對于指導電子認證服務業發展、加快網絡信任體系建設、推動電子認證服務應用普及具有重要的意義。
事實上,隨著網絡技術的不斷開發應用,人們在工作生活中對網絡依賴性的不斷提高,針對網絡的犯罪活動必然不斷攀升,特別是隨著電子商務的興起和廣泛應用,網絡侵財犯罪也呈高發態勢。
與現實生活中的侵財犯罪相比,網絡侵財犯罪最明顯的特點就是成本低,收益大。這種成本包括兩方面:一個是技術成本,網絡技術說到底只是一種技術,而不是一門十分高深的學問,它的入職門檻并不高,一臺電腦、一條網線,只要你有足夠的耐心和技術,發現了“芝麻開門”的奇妙咒語,可以說整個世界的財富和秘密都將為你而打開,這也就是為什么很多人如此癡迷于網絡的原因。另一個是風險成本,目前,不只是中國,世界各國的網絡犯罪破案率都不是很高,這不僅僅是一個技術水平的問題,主要還有一個犯罪地域的問題。正如這次大連會議上透露出來的信息所說的那樣,“去年以來網絡安全事件的跨境化特點日益突出,中國遭受的各類網絡安全事件中有近半數來自境外”。其實,不要說是跨國犯罪,就是跨地區犯罪,以我們目前這種分塊管理的治安管控模式來看,想要破獲網絡犯罪,嚴懲犯罪嫌疑人也是不容易的。
因此,要扼制網絡犯罪多發的趨勢,一方面是提升技術水平,網絡技術無限,網絡對抗其根本還是技術的對抗,到底是魔高還是道高關鍵要看誰玩得更好,增加技術投入不可缺少。另一方面是提升區域合作的水平。今年我國公安機關的一大戰果是取得了打擊拐賣兒童犯罪的巨大突破,這種突破特別表現在警方跨地區、跨國境的合作上。打擊網絡犯罪也是一樣,通過機構調整,以及管理方式的轉變,在合作上取得突破,相信可以遏制目前這種犯罪高發態勢。
網絡犯罪首先當然是刑事案件,但同樣不可回避的還有民事問題。電子商務雙方——電子商務服務的提供者和接受電子商務服務者,兩者之間形成的是民事合同關系。一旦出現問題,離不開歸責分析。就目前我國電子商務情況看,服務接受方承擔的風險比較大。且不說在釣魚網站泛濫的現實中,消費者誤入釣魚網站受到損失,只能自認倒霉,以花錢買教訓來自我安慰,這種責任分配方式是否合理。只說曾經轟動一時的攜程假保單案,消費者最終只獲得了2200元的賠償,這種不合理的賠償,在事實上加了消費者的風險,而降低了電子商務服務提供者的風險。
從一般的歸責原則上來講,為促進電子商務的發展,無疑應該加大服務提供者的風險,減少接受者的風險。服務提供者,特別是像銀行、證券、保險等這樣的大型企業,是有足夠的網絡風險防范能力的,它們有高質量的團隊能夠為其提供安全保障。加大這些企業的法律風險,可以促使它們增加技術投入,不斷提高技術水平,從而完善電子商務的安全性,擴大電子商務的應用領域和服務水平。如果相反,加大服務接受者的風險,在客觀上可能導致電子商務使用門檻的不斷提升,一些沒有足夠網絡知識水平和技術能力的消費者因為害怕風險不得不選擇退出電子商務,重新使用傳統的服務手段,從而影響了電子商務的普及和應用。
隨著現代計算機網絡技術和信息技術的飛速發展,電子商務得到了越來越廣泛的應用,越來越多的企業和個人用戶依賴于電子商務的高效和快捷而進行著各種商務活動。電子商務順利開展的核心和關鍵問題是保證交易的安全性,這是網上交易的基礎。電子商務是以計算機和開放的網絡為基礎載體的,大量重要的身份信息、金融信息、交易信息都需要在網上進行電子的傳輸,電子商務安全支付問題成為大家共同關心的問題。伴隨著各種移動終端和無線網絡的不斷發展和完善,移動支付在不僅是一個重要的機遇,同時也帶來了一個重大的挑戰。
2電子商務及信息安全現狀
近年來,電子商務開始了蓬勃地發展,但電子商務安全隱患嚴重地影響了電子商務的進行。信息安全問題成為制約我國電子商務發展的重要因素還是,因此,必須從技術上為電子商務交易活動提供機密性、完整性、真實性和抗抵賴性等安全保障。我們將從電子商務和信息安全兩個方面分別進行討論。
2.1 電子商務發展現狀
依據國家互聯網中心(CNNIC)的最新報告,2013年網絡購物市場繼續快速向前發展,交易金額達到1.85萬億元,較2012年增長40.9%。2013年網絡零售市場交易總額占社會消費品零售總額的7.9%。
截至2013年12月,我國網絡購物用戶規模達到3.02億,較上年增加5987萬,增長率為24.7%,使用率從42.9%提升至48.9%。網購用戶規模的快速擴張為網購市場的發展奠定良好的用戶基礎,釋放著巨大的市場潛力。
2.2 信息安全現狀
近年來,雖然安全軟件逐漸普及、防范能力不斷加強,但新的病毒、詐騙手段和騷擾手段不斷涌現,安全軟件防范難度加大,安全事件發生概率仍然較高。整體上來講,我國信息安全環境仍不容樂觀,有74.1%的網民在過去半年內遇到過安全事件,總人數達4.38億。
電腦網上購物發生安全問題的網民數占整體電腦上網人數的4.0%,影響人口達2010.6萬人。電腦網上購物發生安全事故較多的是遇到欺詐信息,在網購安全事故發生人群中的發生比例達75.0%;其次為假冒網站/詐騙網站,比例為60.7%;其它方面,個人信息泄露比例達42.9%、賬號密碼被盜比例達23.8%、中病毒和木馬的情況為22.6%。
網購時發生這些安全事件,不僅給購物者造成損失,同時也影響電子商務的健康發展。
3電子支付安全
在電子商務的交易完成后,如何保證交易的任何一方無法否認已發生的交易。這些安全問題將在很大程度上限制電子商務的進一步發展,因此如何保證Internet 網上信息傳輸的安全,已成為發展電子商務的重要環節。電子支付涉及到大量資金流的轉移以及個人隱私或商業機密,而這種支付是發生在開放性程度非常高的互聯網上,必須從技術上為電子商務交易活動提供機密性、完整性、真實性和抗抵賴性等安全保降。因此,要對網上安全電子支付提出以下的要求:
(1)交易數據的保密性。保密性是網絡信息不被泄露給非授權的用戶、實體或過程,或供其利用的特性。即,防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。電子支付過程主要處理與金融數據有關的信息, 數據處理量大,且每筆數據都會影響到一定的經濟利益,因此,交易過程中產生的與支付有關的數據應該被嚴格保密, 除交易雙方以及被授權第三方外,必須保護支付交易的私密性,同時要防止信息被越權訪問。
(2)交易數據的完整性。完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。交易數據在網絡上傳輸過程中的完整性和有效性,即發送方發出的數據與接收方收到數據應該是相同的、未經更改的。
(3)交易數據的不可抵賴性。不可抵賴性也稱作不可否認性,在網絡信息系統的信息交互過程中,確信參與者的真實同一性。即,所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息,利用遞交接收證據可以防止收信方事后否認已經接收的信息。
電子商務交易過程是雙方或者是多方的,其中一方抵賴自己的交易都會給另一方帶來利益損失,因此必須保證交易雙方在交易后都無法否認和抵賴。
4電子商務支付安全中主流技術
電子支付中交易信息的安全在很大程度上依賴于網絡信息安全技術的完善,電子商務安全是信息安全的上層應用, 它包括的技術范圍比較廣, 主要分為數據加密技術和身份認證技術兩大類。
4.1數據加密技術
加密技術是保證電子商務中采用的主要安全措施, 交易雙方可根據需要在信息交換階段使用。在一個加密過程中有兩個基本元素: 算法和密鑰。加密過程就是根據一定的算法, 將可理解的數據(明文) 與一串數字( 密鑰) 相結合, 從而產生不可理解的密文的過程, 主要加密技術是對稱密文加密和非對稱加密
(1)對稱密文加密。對稱密鑰加密又稱為秘密密鑰加密, 即收發雙方采用相同的密鑰來進行加密和解密, 對稱密鑰加密的最大優點是加解密速度快, 適合于進行大量數據加密, 但也存在密鑰管理、困難以及無法進行身份鑒別的缺點。
(2)非對稱密鑰加密。非對稱密鑰加密也稱為公開密鑰加密, 每個用戶有一對密鑰:一個用于加密, 一個用于解密, 兩把密鑰實際上是兩個很大的質數, 加解密過程。其中, 加密密鑰(公鑰) 可以在網絡服務器、報刊等場合公開, 而解密密鑰(私鑰) 則屬用戶的私有密鑰, 由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的。與對稱密鑰加密相比, 采用非對稱密鑰加密方式密鑰管理較方便, 且保密性比較強, 但加解密實現速度比較慢, 不適用于通信負荷較重的應用。
數據加密技術是信息安全的基礎,加密的主要目的是防止信息的非授權泄露、保證交易信息的保密性、完整性和不可抵賴性的要求。
4.2主流身份認證方式
身份認證技術是指計算機及網絡系統確認操作者身份的過程所應用的技術手段。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應。
(1)用戶名口令。針對盜取密碼的惡意軟件越來越多
(2)動態口令。動態口令也稱動態密碼,是根據專門的算法每隔一定時間生成一個與時間相關的隨機密碼。用戶進行認證時候,除輸入賬號和靜態口令之外,必須要求輸入動態口令。通過“動態密碼”登錄的用戶沒有電子簽名,這樣也就沒有具有法律效力的認證材料。因此,“動態密碼”它只適用于金額小的交易,對于金額大、使用頻繁的用戶,其安全性存在一定的風險。
(3)數字證書。數字證書是由權威公正的第三方機構(即CA中心)簽發的證書。它的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性。為解決這些Internet 的安全問題,世界各國對其進行了多年的研究,初步形成了一套完 整的Internet 安全解決方案,即被廣泛采用的PKI 技術(Public Key Infrastructure-公鑰基礎設施)。公鑰基礎設施PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范。采用基于PKI 結構結合數字證書,通過把要傳輸的數字信息進行加密,保證信息傳輸的保密性、完整性,簽名保證身份的真實性和抗抵賴。
(4)生物特征識別。生物識別技術主要是指通過人類生物特征進行身份認證的一種技術。由于人的生物特征具有唯一性和穩定性的特點,并且可隨身攜帶、不易被盜、不易被偽造、不易丟失,所以生物特征識別成為目前最安全的身份認證技術。但是,生物特征識別通常需要昂貴的專用設備、受使用環境限制等缺點,在電子支付中較少采用。
每一種身份認證方式都有其優勢也存在一定的局限性。動態密碼以方便便捷且與平臺無關性,通過電腦、手機、IPAD都可以使用等優點在網銀、網游、電信領域成為電子支付重要的身份認證方式,主流產生形式有手機短信、硬件令牌、手機令牌等。基于數字證書的身份認證是電子支付中最安全解決方案。但是,需要專用的硬件和客戶支持,使用不如動態密碼方便快捷,一般用于大額電子交易。
5電子商務發展趨勢
依據CNNIC報告,2014年電子商務類應用整體行業發展態勢良好,手機支付是亮點。隨著線上與線下渠道的打通及多類移動應用的服務帶動,手機支付呈現爆發式增長,手機網上支付、手機網絡購物、手機網上銀行和手機網上預訂應用網民規模年增長速度均超過100%。手機網絡購物在移動端商務市場發展迅速,用戶規模達到1.44億,使用率從13.2%提升到28.9%。
截至2014年6月,我國手機網民規模達5.27億,較2013年底增加2699萬人,網民中使用手機上網的人群占比進一步提升,由2013年的81.0%提升至83.4%,手機網民規模首次超越傳統PC網民規模。
隨著移動電子商務的普及和發展,移動支付業務受到了越來越多的關注,而其安全性更是成為大眾關注的焦點。由于移動終端種類繁雜、使用環境也更為復雜、基于數字證書的身份認證和數字簽名技術兼容性和成熟度遠不及PC平臺,并且移動終端本身的安全性問題也給動態口令等身份認證方式帶來了新的安全問題和挑戰。
