企業(yè)電子商務(wù)面臨的網(wǎng)絡(luò)安全威脅及對策

[摘要] 企業(yè)開展電子商務(wù)主要有設(shè)計企業(yè)電子商務(wù)網(wǎng)站或利用第三方電子商務(wù)服務(wù)平臺進(jìn)行網(wǎng)絡(luò)營銷，計算機網(wǎng)絡(luò)技術(shù)和通信技術(shù)是支撐企業(yè)開展電子商務(wù)的技術(shù)平臺。本文從快速發(fā)展的電子商務(wù)應(yīng)用中所面臨的網(wǎng)絡(luò)安全中的四大威脅分析當(dāng)前開展電子商務(wù)所要防范的安全問題，并根據(jù)我國對電子商務(wù)信息產(chǎn)業(yè)帶動工業(yè)化進(jìn)程的政策，對我國發(fā)展電子商務(wù)的信息安全進(jìn)行分析，提出了維護網(wǎng)絡(luò)信息安全對策的措施。

[關(guān)鍵詞] 電子商務(wù) 網(wǎng)絡(luò)安全 國家戰(zhàn)略 自主信息技術(shù)

我國發(fā)展電子商務(wù)的環(huán)境例如：網(wǎng)絡(luò)基礎(chǔ)建設(shè)等運行環(huán)境、法律環(huán)境、市場環(huán)境、網(wǎng)上支付、信息安全、認(rèn)證中心建設(shè)等條件等正在逐步完善，國家有關(guān)電子商務(wù)的政策、法規(guī)即將出臺，已為各類企業(yè)開展電子商務(wù)活動建立了基本的環(huán)境條件。

隨著計算機網(wǎng)絡(luò)的普及和我國實施信息化進(jìn)程不斷深入，社會各關(guān)鍵領(lǐng)域的運行日益緊密地依賴于信息網(wǎng)絡(luò)，比如金融部門、航空部門、通信部門以及越來越多的企業(yè)參與的電子商務(wù)等，然而信息網(wǎng)絡(luò)又存在著與生俱來的技術(shù)漏洞和設(shè)計缺陷。于是，網(wǎng)絡(luò)黑客和各類組織出于各種違法的目的，利用信息網(wǎng)絡(luò)的漏洞和缺陷發(fā)起攻擊，從而使信息網(wǎng)絡(luò)面臨嚴(yán)峻的安全威脅。信息網(wǎng)絡(luò)的安全問題不但難以徹底解決，而且還有可能隨著信息網(wǎng)絡(luò)技術(shù)的不斷更新，出現(xiàn)日益嚴(yán)重化的趨勢。因為每一項新的操作系統(tǒng)和重要網(wǎng)絡(luò)軟件的推出，都將會引起新的網(wǎng)絡(luò)安全問題。今后，操作系統(tǒng)和軟件開發(fā)越來越朝著使計算機與互聯(lián)網(wǎng)及通信聯(lián)結(jié)一體、不斷增強其功能的方向發(fā)展，這就有可能使信息網(wǎng)絡(luò)的漏洞和缺陷產(chǎn)生更多、更嚴(yán)重的安全問題，那么企業(yè)電子商務(wù)發(fā)展中的信息安全正在受到企業(yè)和客戶越來越關(guān)注的焦點。

一、網(wǎng)絡(luò)安全威脅

信息網(wǎng)絡(luò)面臨的安全威脅可以分為以下三種基本類型：黑客入侵、病毒破壞和預(yù)置陷阱。

1.黑客入侵

黑客即Hacker音譯，專指對別人的計算機系統(tǒng)非法入侵者。20世紀(jì)70年代，這個詞是褒義詞，專指那些獨立思考、遵紀(jì)守法的計算機迷，他們智商高，對計算機的最大潛力進(jìn)行智力上的探索，為計算機技術(shù)的發(fā)展做出了很大貢獻(xiàn)。而當(dāng)今世界，隨著信息技術(shù)的廣泛普及，越來越多的人掌握了黑客技術(shù)，使黑客現(xiàn)象發(fā)生了質(zhì)的改變。不少黑客專門搜集他人隱私，惡意篡改他人重要數(shù)據(jù)，進(jìn)行網(wǎng)上詐騙、對他人網(wǎng)上資金帳戶盜竊，給社會及人們的生活帶來極大的破壞性。因此人們普遍認(rèn)為黑客就是信息安全的最大威脅。

目前，黑客對網(wǎng)絡(luò)的入侵和偷襲方法已達(dá)幾種，而且大多都是致命的手段。黑客入侵動機有以下幾種：

(1)偷盜竊取。黑客實施網(wǎng)絡(luò)攻擊的另一個目的就是利用黑客技術(shù)為個人私利而大肆進(jìn)行各種各樣的偷竊活動。網(wǎng)上盜竊的主要方式有：第一種是偷竊信息和數(shù)據(jù)。網(wǎng)上的秘密信息和數(shù)據(jù)都是海量存儲，從企業(yè)商業(yè)秘密、政府機構(gòu)的資料到軍事秘密，種類全面。于是不少鋌而走險者，借助快捷的網(wǎng)絡(luò)去竊取這些信息和數(shù)據(jù)，通過出售以獲取經(jīng)濟利益。據(jù)美國中央情報局公布的數(shù)據(jù)顯示，美國公司僅在1992年一年因經(jīng)濟信息與商業(yè)秘密被竊取盜用的損失高達(dá)1000億美元以上。第二種是偷竊網(wǎng)上銀行的資金或使用網(wǎng)上電支付用戶的資金。隨著企業(yè)電子商務(wù)活動的發(fā)展，應(yīng)用網(wǎng)上銀行支付或通過第三方支付平臺支付的人群越來越多，也為黑客及其他計算機犯罪利用計算機網(wǎng)絡(luò)盜竊個人或銀行資金提供了可乘之機。當(dāng)用戶進(jìn)行網(wǎng)上購物時，用戶只要輸入用戶密碼、銀行信用卡密碼，完成了網(wǎng)上購物和支付程序。黑客一旦覬覦用戶的密碼和信用卡密碼，則用戶在銀行賬戶上的資金便容易被竊取。

(2)蓄意破壞。在2000年3月，黑客使美國數(shù)家電子商務(wù)網(wǎng)站如：Amazon、eBay、CNN陷入癱瘓，黑客使用了分布式拒絕服務(wù)的攻擊手段，用大量垃圾信息阻塞網(wǎng)站服務(wù)器，使其不能正常服務(wù)。國內(nèi)網(wǎng)站新浪、當(dāng)當(dāng)網(wǎng)上書店、EC123等也先后受到黑客攻擊，服務(wù)器上的各類數(shù)據(jù)庫也受到不同程度的破壞。

2. 病毒破壞

電子商務(wù)離不開計算機網(wǎng)絡(luò)，而病毒制造者通過傳播計算機病毒來蓄意破壞聯(lián)網(wǎng)計算機的程序、數(shù)據(jù)和信息，以達(dá)到某種非法目的。據(jù)不完全統(tǒng)計，目前全世界已發(fā)現(xiàn)的計算機病毒近6萬多種，且每月都會發(fā)現(xiàn)數(shù)百種新病毒和病毒變體。然而全球與互聯(lián)網(wǎng)聯(lián)網(wǎng)的主機節(jié)點正在越來越多，這樣一個強大的網(wǎng)絡(luò)群體造成了病毒極易滋生和傳播的環(huán)境，而病毒破壞成為企業(yè)開展電子商務(wù)的面臨的信息安全重大威脅。目前，破壞計算機的流行病毒可以歸納為以下幾類：

(1)蠕蟲病毒。1987年出現(xiàn)，這是一種能迅速大規(guī)模繁殖的病毒，其繁殖的速度可達(dá)300臺/月，在危害網(wǎng)絡(luò)的數(shù)據(jù)千計的計算機病毒中“蠕蟲病毒”造成的危害最大。

(2)病毒郵件。電子郵件是互聯(lián)網(wǎng)的一項基本而普遍的功能。企業(yè)實施電子商務(wù)頻繁使用的信息傳遞工具。然而，某些病毒制造者也看中了深受人們喜歡的電子郵件，并將其作為傳播病毒的重要手段。

(3)公開發(fā)放的病毒。在計算機網(wǎng)絡(luò)中有一種“共享軟件”，它是由計算機用戶免費使用、復(fù)制以及分享的軟件。如果計算機病毒以這種方式公開發(fā)布，就可進(jìn)入各種領(lǐng)域，并進(jìn)入各個計算機網(wǎng)絡(luò)，對計算機網(wǎng)絡(luò)造成極大的危害。

3.預(yù)置陷阱

預(yù)置陷阱是指在信息系統(tǒng)中人為地預(yù)設(shè)一些陷阱，以干擾和破壞計算機系統(tǒng)的正常運行。在對信息安全的各種威脅中，預(yù)置陷阱是危害最大、最難預(yù)防的一種威脅。一般分為硬件陷阱和軟件陷阱兩種。

(1)硬件陷阱。指“芯片級”陷阱。例如，使芯片經(jīng)過一段有限的時間后自動失效，使芯片在接收到某種特定電磁信號后自毀，使芯片在運行過程中發(fā)出可識別其準(zhǔn)確位置的電磁信號等。這種“芯片搗鬼”活動的危害不能忽視，一旦發(fā)現(xiàn)，損失非同尋常，計算機系統(tǒng)中一個關(guān)鍵芯片的小小故障，就足以導(dǎo)致整個網(wǎng)站服務(wù)器系統(tǒng)乃至整個連接信息網(wǎng)絡(luò)系統(tǒng)停止運行。這是進(jìn)行信息網(wǎng)絡(luò)攻擊既省力、省錢又十分有效的手段。

(2)軟件陷阱。指“代碼級”陷阱，軟件陷阱的種類比較多，黑客主要通過軟件陷阱攻擊網(wǎng)絡(luò)。

“陷阱門”又稱“后門“，是計算機系統(tǒng)設(shè)計者預(yù)先在系統(tǒng)中構(gòu)造的一種結(jié)構(gòu)。網(wǎng)絡(luò)軟件所存在的缺陷和設(shè)計漏洞是黑客進(jìn)行攻擊服務(wù)器系統(tǒng)的首選目標(biāo)。在計算機應(yīng)用程序或系統(tǒng)操作程序的開發(fā)過程中，通常要加入一些調(diào)試結(jié)構(gòu)。在計算機軟件開發(fā)完成之后，如果為達(dá)到攻擊系統(tǒng)的目的，而特意留下少數(shù)結(jié)構(gòu)，就形成了所謂越過對方防護系統(tǒng)的防護進(jìn)入系統(tǒng)進(jìn)行攻擊破壞。

二、維護網(wǎng)絡(luò)信息安全的對策

信息網(wǎng)絡(luò)已經(jīng)被深入應(yīng)用到世界上許多國家的商務(wù)貿(mào)易活動、經(jīng)濟、政治、文化、軍事等各個方面，構(gòu)成其社會的關(guān)鍵性基礎(chǔ)設(shè)施，信息安全已上升為這些國家的安全核心。面對日益嚴(yán)峻的信息安全威脅，各國政府無不高度重視信息安全，積極尋找有效的安全對策。當(dāng)前，我國與世界其他國家一樣，為維護信息安全確保企業(yè)開展電子商務(wù)的安全環(huán)境，所采取的基本對策如下。

1.制定政策，建立安全管理機構(gòu)，將網(wǎng)絡(luò)信息安全納入國家戰(zhàn)略

各國都認(rèn)識到信息安全不單純是一個技術(shù)問題、產(chǎn)業(yè)問題、經(jīng)濟問題，而是涉及各行業(yè)、各層面的綜合性社會問題，國家必須從戰(zhàn)略高度來制定相關(guān)國家政策給予指導(dǎo)，并成立專門的機構(gòu)來負(fù)責(zé)信息安全問題。

2.研發(fā)自主信息安全技術(shù)，為信息安全提供堅固屏障

信息安全保障從根本上來說是一個信息技術(shù)發(fā)展水平與開發(fā)能力的問題，要有效地打擊網(wǎng)絡(luò)犯罪，最終還要依靠不斷發(fā)展和完善的信息安全技術(shù)。目前最廣泛的五種計算機網(wǎng)絡(luò)安全技術(shù)是：反病毒軟件；防火墻技術(shù)；物理設(shè)施安全保護；密碼控制；反入侵管理。在電子商務(wù)中采用的安全技術(shù)主要有防火墻技術(shù)、虛擬專業(yè)網(wǎng)絡(luò)技術(shù)、防殺病毒技術(shù)、數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)等。

當(dāng)前國際上信息安全技術(shù)研究的重點有公開密鑰基礎(chǔ)設(shè)施和計算機犯罪取證技術(shù)。公開密鑰基礎(chǔ)設(shè)施，是一個由計算機硬件、軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、安全過程和合法規(guī)范共同組成的基礎(chǔ)設(shè)施。計算機犯罪取證研究主要集中在：入侵者入侵路徑跟蹤；入侵行為再現(xiàn)；證據(jù)的保存、恢復(fù)；操作系統(tǒng)指紋等方面。

3.制定法律法規(guī)，為信息安全提供良好的法律環(huán)境

計算機網(wǎng)絡(luò)犯罪具有隱蔽性，原有的傳統(tǒng)的法律難以有對這類犯罪有效打擊，為此需要制定與信息安全相關(guān)的法律和法規(guī)，加大執(zhí)法力度，從而為網(wǎng)絡(luò)信息安全提供必要的法律保證。

4.加強信息安全的國際合作，共同打擊網(wǎng)絡(luò)犯罪

經(jīng)濟發(fā)展全球化，跨國集團公司正在日益增加，那么犯罪分子攻擊計算機網(wǎng)絡(luò)進(jìn)行違法犯罪也具有超越地域和全球化趨勢。他們利用網(wǎng)絡(luò)的迅速和瀏覽網(wǎng)絡(luò)內(nèi)容的無國界，形成了網(wǎng)絡(luò)犯罪不分國界的特性，因此世界上許多國家的網(wǎng)絡(luò)警察之間建立了十分密切的聯(lián)系，并在一定的國際法規(guī)框架下相互協(xié)作。

參考文獻(xiàn)：

[1]王瑞金:電子商務(wù)．濟南．山東人民出版社，2007

[2]張曾科:陽憲惠．計算機網(wǎng)絡(luò)．北京。清華大學(xué)出版社，2006