【作者】周瑛/潘志薇
【作者简介】周瑛,安徽大学管理学院 合肥 230039
潘志薇,安徽中医学院图书馆 合肥 230038
周瑛,女,1968年生,安徽大学管理学院,讲师。
潘志薇,女,1963年生,安徽中医学院图书馆,馆员。
【内容提要】本文详细地阐述了目前电子商务中存在的安全问题,包括网络本身的安全和网上交易中的安全,在此基础上,提出了这两方面安全问题的解决方案。
【关键词】电子商务/网络交易/网络安全
【正文】
近年来,随着因特网技术的发展和Java的兴起,在北美地区兴起了一种新的企业经营方式,即通过已有的电子网络环境进行快速有效的商业活动的方式,这就是电子商务。它能提供准确、快速的商务运作,是当今世界商务运作发展的主流方向。由于网络本身存在安全漏洞,因此,电子商务也不可避免地存在着安全问题。这些问题主要包括两种:一是网络本身的安全性问题,二是进行网上交易中的安全问题。
1 网络的安全性问题
网络的安全性问题主要来自于黑客的攻击,主要包括以下几种方法:
1.1 利用IP欺骗进行攻击
黑客伪造LAN主机的IP地址, 并根据这个伪造的地址进行不正当的存取。 他先使被信任的主机丧失工作能力, 同时采用目标主机发出的TCP序列号,猜测出它的数据序列号,然后伪装成被信任的主机, 同时建立起与目标主机基于地址经验的应用连接。如果成功,黑客可以进行非授权操作,偷盗、篡改信息。
1.2 捕获用户的姓名和口令
黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。
1.3 使用“拒绝服务”(Denial of Service)
黑客发送大量的“请求服务”指令,使得Web 服务器或路由器过载而停止服务,使网络处于瘫痪状态。
1.4 非法窃听
黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动。
2 网络交易中的安全问题
在电子商务中,网络银行(又称电子银行)为客户提供各种便利,但在这种银行系统中流通的并不是真实的货币,而是所谓的“电子货币”。它没有形体,没有编号,一旦进入银行系统流通,谁也抓不住它。而在进行网上支付(现阶段的电子货币通常以磁卡、智能卡等银行卡为媒体)时,它的安全问题主要是交易的安全性和交易双方是否守信用,这些问题包括:
2.1 网上诈骗
网上诈骗是世界上第二种最为常见的投资诈骗形式,它有以下几种方式:(1)亲合团体诈骗。利用团体内部成员对宗教、 种族及专业性团体进行诈骗。(2)不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。(3)电话推销行为诈骗。 利用“电话交易所”,强行兜售非法或欺骗性的投资产品。(4)高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者,许诺高额利润,对高技术产品的风险轻描淡写。(5)提供投资拍电影或其他娱乐产品行骗, 欺骗投资者,对投资者隐瞒风险。
2.2 冒名顶替
这是指盗用他人身份来谋取钱财。他们大多会使用一个假身份来向用户贩卖实际上并不存在的商品,借机获得用户的信用卡等信息,然后设法将用户的钱取光。
2.3 抵赖
在进行网上交易时,交易双方不见面,互不知道对方的年龄、性别、住址、公司状况,当交易的一方不守信用时,他可能对已经实施的操作进行抵赖,或污陷对方实施了其实没有实施的操作,这种抵赖往往都是恶意的。如“卖股票400股被改成4000股,请赔偿损失”, 其实,对方可能没改动任何数字。
3 网络安全性问题的解决方法
目前,有以下几种保证网络安全的方案。
3.1 采用包过滤路由器
使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。 因为Internet/Intranet的基础协议是TCP/IP协议。网络中的每台机器都有一个唯一的IP 地址,通过该地址可以访问网络中的任何一台机器。除此之外,通信双方必须有一致的协议(如FTP、HTTP、Gopher、Telnet 等)才能彼此理解所传送的数据包,这些协议是用机器的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70,WWW的端口为80,FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。
该技术的优点是不要求对主机和客户机的程序进行修改就能控制网络流量,它们在IP层和TCP层进行操作, 但它没有对许多安全需求作出说明,因此,安全功能是很有限的,所以,这种方法现在很少单纯使用。
3.2 采用防火墙体系
该技术运行于OSI的应用层,因此具有应用层的全部信息。 由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式:
(1)单堡垒主机、单路由器、一层网络的隔离形式。 这种配置的特点是堡垒主机配两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一个网络,外界对堡垒主机的非法侵入将更加困难。
(2)分级管理的双堡垒主机形式。所谓分级管理, 是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的或低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤机制和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全。目前,这种方案是较高级别的安全方案。
3.3 采用虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络, 它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多, 而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拔号VPN 使用隧道技术使远程访问服务器把用户数据打包到IP信息包中, 这些信息通过电信服务商的网络进行传递, 在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。这种方式在保证网络的安全性方面是非常有用的。
4 网上交易中安全问题的解决方法
由于网上存在的种种欺诈,所以用户在可能的情况下,最好对网上兜售商品的网址进行核查,以摸清商贩们提供的地址和电话是否属实,用这种方式可以防止各种欺诈。而对于冒名顶替和抵赖,目前主要有以下几种方式来解决。
4.1 数字认证
数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展,基础设施的改善,多媒体技术运用的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影像、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这种接收方能确认发送者的真实身份和确保交易信息不被篡改。
4.2 数据加密
数据加密技术是保证电子商务安全动作的一种重要方法。可把某些重要信息从一个可理解的明文形式变换成一种错乱的、不可理解的密文形式(加密),经过线路传送,到达目的端后用户再将密文还原成明文(解密)。由于信息是以密文方式进行传送的,不知道解密方法的人将无法得到信息的真实内容,从而保证了数据传送过程中的安全性。对网络中传送的数据要求包括:(1 )保密性——要求对敏感文件进行加密,即便文件被截获,截获者也无法得到文件的内容;(2 )完整性——要求保证数据的完整性,防止截获者在文件中加入其它信息;(3 )不可抵赖性——对数据和信息的来源进行保证,以确保发件人的身份和发件人所进行过的操作。
常用的加密方法有传统密钥密码方法和公开密钥密码方法两类。前者以数据加密标准(DES)算法为典型代表,后者以RSA算法为代表。传统密钥密码具有对称性,即加密密钥和解密密钥相同或相近,知道其中一种即可推导出另一种;而公开密钥密码方法的加密、解密密钥不同,加密密钥(公钥)可以公开,而解密密钥(私钥)需要保密。目前,IT业界普遍采用公开密钥加密系统(Public Key Encryption )和秘密密钥加密系统(Secret Key Encryption, 加密文件需要发送方的秘密密钥解密,发送方的秘密密钥也需到接收方的手中)相结合的方式来满足网络传输过程中数据的保密性。
4.3 安全电子交易SET
1997年5月,由Visa、MasterCard等联合推出的安全电子交易(SET)规范为在Internet上进行安全的电子商务提供了一个开放的标准, SET规范的出现为电子商务提供了很强的安全保护,它实现了信息的集成、全部金融数据的证实、敏感数据的加密等工作。它要达到的主要目标如下:(1)信息在Internet上安全传输, 保证网上传输的数据不被黑客窃取;(2)定单信息和个人账号信息的隔离, 在将包括持卡人账号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;(3)持卡人和商家相互认证,以确定通信双方的身份。 一般由第三方机构负责为在线双方提供信用担保;(4 )要求软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。SET 通过密钥加密系统和公钥加密系统对数据进行加密,以确保通信中的安全性。在处理事务的过程中,通信协议、请求信息的格式、数据类型的定义等都有明确的规定。对于每一步操作,持卡人、商家、网关都通过CA(认证中心)来验证通信主机的身份,以确保通信的对方不是冒名顶替和对方操作的不可抵赖性,目前,SET规范是电子商务中最重要的协议。
【参考文献】
1 岳剑梅.信息系统的安全管理研究.情报理论与实践,2000,23(4):257—260
2 刘晓敏.网络环境下信息安全的技术保护.情报科学,1999, 17(2):122—125
3 张晓琪,廖建勇.电子商务理论与实践.中国电力出版社,1999
4 贾晶,陈元等.信息系统的安全与保密.清华大学出版社,1999
5 汪致远等.决胜信息时代.新华出版社,2000
