電子商務應用中的網(wǎng)絡安全問題研究
作者: 徐向陽 文章來源: 中國電子商務研究中心 本站發(fā)布時間:2010-07-28 00:00
1406
摘要: Internet技術的快速發(fā)展,使得電子商務應用日趨普遍,而互聯(lián)網(wǎng)上的安全問題不斷出現(xiàn)��,黑客事件屢見不鮮���,已經(jīng)成為影響電子商務等互聯(lián)網(wǎng)應用的重要因素����。本文分析了目前常見的互聯(lián)網(wǎng)網(wǎng)絡安全事件�,找出了影響電子商務發(fā)展的主要網(wǎng)絡安全問題,并結(jié)合法律與應急事件響應���、安全管理架構(gòu)等方面�,提出一些安全對策�。nn????隨著網(wǎng)絡時代的到來,越來越多的人通過Internet進行商務活動�。電子商務的發(fā)展前景十分誘人,而其安全問題也變得越來越突出���。近年來����,網(wǎng)絡安全事件不斷攀升�����,電子商務金融成了攻擊目標��,以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡安全事件正在大幅攀升。在國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(CNCERT/CC)2005處理的網(wǎng)絡安全事件報告中���,網(wǎng)頁篡改占45.91%��,網(wǎng)絡仿冒占29%,其余為拒絕服務攻擊����、垃圾郵件、蠕蟲���、木馬等�����。如何建立一個安全��、便捷的電子商務應用環(huán)境����,對信息提供足夠的保護��,已經(jīng)成為電子商務的所有參與者十分關心的話題���。nn 一����、電子商務中的主要網(wǎng)絡安全事件分析nn 歸納起來,對電子商務應用影響較多����、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡蠕蟲����、拒絕服務攻擊、特羅伊木馬�����、計算機病毒���、網(wǎng)絡仿冒等��,網(wǎng)頁篡改���、網(wǎng)絡仿冒(Phishing),逐步成為影響電子商務應用與發(fā)展的主要威脅。nn 1.網(wǎng)頁篡改nn 網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁��。這是黑客攻擊的典型形式�����。一般來說�,主頁的篡改對計算機系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務等需要與用戶通過網(wǎng)站進行溝通的應用來說�����,就意味著電子商務將被迫終止對外的服務����。對企業(yè)網(wǎng)站而言����,網(wǎng)頁的篡改,尤其是含有攻擊����、丑化色彩的篡改,會對企業(yè)形象與信譽造成嚴重損害�。nn 2.網(wǎng)絡仿冒(Phishing)nn 網(wǎng)絡仿冒又稱網(wǎng)絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設計來誘騙收件人提供信用卡賬號�����、用戶名���、密碼���、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢���。近年來�,隨著電子商務�、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務在日常生活中的普及�,網(wǎng)絡仿冒事件在我國層出不窮,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒����。網(wǎng)絡仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應用,特別是電子商務應用的主要威脅之一����。nn 網(wǎng)絡仿冒者為了逃避相關組織和管理機構(gòu)的打擊�,充分利用互聯(lián)網(wǎng)的開放性��,往往會將仿冒網(wǎng)站建立在其他國家����,而又利用第三國的郵件服務器來發(fā)送欺詐郵件,這樣既便是仿冒網(wǎng)站被人舉報��,但是關閉仿冒網(wǎng)站就比較麻煩���,對網(wǎng)絡欺詐者的追查就更困難了���,這是現(xiàn)在網(wǎng)絡仿冒犯罪的主要趨勢之一。nn 3.網(wǎng)絡蠕蟲nn 網(wǎng)絡蠕蟲是指一種可以不斷復制自己并在網(wǎng)絡中傳播的程序�����。這種程序利用互聯(lián)網(wǎng)上計算機系統(tǒng)的漏洞進入系統(tǒng)�,自我復制���,并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進行傳播���。蠕蟲的不斷蛻變并在網(wǎng)絡上的傳播,可能導致網(wǎng)絡被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡癱瘓���,使得各種基于網(wǎng)絡的電子商務等應用系統(tǒng)失效�。nn 4.拒絕服務攻擊(Dos) nn 拒絕服務攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計算機針對某一個特定的計算機進行大規(guī)模的訪問��,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務��,使得電子商務這類應用無法正常工作�����。拒絕服務攻擊是黑客常用的一種行之有效的方法����。如果所調(diào)動的攻擊計算機足夠多,則更難進行處置�。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源��,并且這類攻擊通常是跨網(wǎng)進行的�,加大了打擊犯罪的難度。nn 5.特羅伊木馬nn 特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統(tǒng)中不為用戶所知的惡意程序�����,通常用于潛伏在計算機系統(tǒng)中來與外界聯(lián)接,并接受外界的指令����。被植入木馬的計算機系統(tǒng)內(nèi)的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制����,也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時都會同時把木馬植入到被侵入的系統(tǒng)中��。nn 二�、解決電子商務中網(wǎng)絡安全問題的對策研究nn 隨著網(wǎng)絡應用日益普及和更為復雜,網(wǎng)絡安全事件不斷出現(xiàn)��,電子商務的安全問題日益突出����,需要從國家相關法律建設的大環(huán)境到企業(yè)制定的電子商務網(wǎng)絡安全管理整體架構(gòu)的具體措施,才能有效保護電子商務的正常應用與發(fā)展����。nn 1.進一步完善法律與政策依據(jù)充分發(fā)揮應急響應組織的作用nn 我國目前對于互聯(lián)網(wǎng)的相關法律法規(guī)還較為欠缺���,尤其是互聯(lián)網(wǎng)這樣一個開放和復雜的領域����,相對于現(xiàn)實社會,其違法犯罪行為的界定�����、取證�、定位都較為困難。因此��,對于影響電子商務發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡安全事件的違法犯罪行為的立法�,需要一個漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡安全事件的特點���,需要建立健全協(xié)調(diào)一致���,快速反應的各級網(wǎng)絡應急體系。要制定有關管理規(guī)定���,為網(wǎng)絡安全事件的有效處理提供法律和政策依據(jù)�。nn 互聯(lián)網(wǎng)應急響應組織是響應并處理公共互聯(lián)網(wǎng)網(wǎng)絡與信息安全事件的組織��,在我國�����,CNCERT/CC是國家級的互聯(lián)網(wǎng)應急響應組織,目前已經(jīng)建立起了全國性的應急響應體系��;同時����,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機構(gòu)的成員����。應0
注:本文轉(zhuǎn)載自中國電子商務研究中心,轉(zhuǎn)載目的在于傳遞更多信息����,并不代表本網(wǎng)贊同其觀點和對其真實性負責。如有侵權行為�,請聯(lián)系我們,我們會及時刪除�����。
