作者: 勇全
我国发展电子商务的环境例如:网络基础建设等运行环境、法律环境、市场环境、网上支付、信息安全、认证中心建设等条件等正在逐步完善,国家有关电子商务的政策、法规即将出台,已为各类企业开展电子商务活动建立了基本的环境条件。
随着计算机网络的普及和我国实施信息化进程不断深入,社会各关键领域的运行日益紧密地依赖于信息网络,比如金融部门、航空部门、通信部门以及越来越多的企业参与的电子商务等,然而信息网络又存在着与生俱来的技术漏洞和设计缺陷。于是,网络黑客和各类组织出于各种违法的目的,利用信息网络的漏洞和缺陷发起攻击,从而使信息网络面临严峻的安全威胁。信息网络的安全问题不但难以彻底解决,而且还有可能随着信息网络技术的不断更新,出现日益严重化的趋势。因为每一项新的操作系统和重要网络软件的推出,都将会引起新的网络安全问题。今后,操作系统和软件开发越来越朝着使计算机与互联网及通信联结一体、不断增强其功能的方向发展,这就有可能使信息网络的漏洞和缺陷产生更多、更严重的安全问题,那么企业电子商务发展中的信息安全正在受到企业和客户越来越关注的焦点。
一、网络安全威胁
信息网络面临的安全威胁可以分为以下三种基本类型:黑客入侵、病毒破坏和预置陷阱。
1.黑客入侵
黑客即Hacker音译,专指对别人的计算机系统非法入侵者。20世纪70年代,这个词是褒义词,专指那些独立思考、遵纪守法的计算机迷,他们智商高,对计算机的最大潜力进行智力上的探索,为计算机技术的发展做出了很大贡献。而当今世界,随着信息技术的广泛普及,越来越多的人掌握了黑客技术,使黑客现象发生了质的改变。不少黑客专门搜集他人隐私,恶意篡改他人重要数据,进行网上诈骗、对他人网上资金帐户盗窃,给社会及人们的生活带来极大的破坏性。因此人们普遍认为黑客就是信息安全的最大威胁。
目前,黑客对网络的入侵和偷袭方法已达几种,而且大多都是致命的手段。黑客入侵动机有以下几种:
(1)偷盗窃取。黑客实施网络攻击的另一个目的就是利用黑客技术为个人私利而大肆进行各种各样的偷窃活动。网上盗窃的主要方式有:第一种是偷窃信息和数据。网上的秘密信息和数据都是海量存储,从企业商业秘密、政府机构的资料到军事秘密,种类全面。于是不少铤而走险者,借助快捷的网络去窃取这些信息和数据,通过出售以获取经济利益。据美国中央情报局公布的数据显示,美国公司仅在1992年一年因经济信息与商业秘密被窃取盗用的损失高达1000亿美元以上。第二种是偷窃网上银行的资金或使用网上电支付用户的资金。随着企业电子商务活动的发展,应用网上银行支付或通过第三方支付平台支付的人群越来越多,也为黑客及其他计算机犯罪利用计算机网络盗窃个人或银行资金提供了可乘之机。当用户进行网上购物时,用户只要输入用户密码、银行信用卡密码,完成了网上购物和支付程序。黑客一旦觊觎用户的密码和信用卡密码,则用户在银行账户上的资金便容易被窃取。
(2)蓄意破坏。在2000年3月,黑客使美国数家电子商务网站如:Amazon、eBay、CNN陷入瘫痪,黑客使用了分布式拒绝服务的攻击手段,用大量垃圾信息阻塞网站服务器,使其不能正常服务。国内网站新浪、当当网上书店、EC123等也先后受到黑客攻击,服务器上的各类数据库也受到不同程度的破坏。
2.病毒破坏
电子商务离不开计算机网络,而病毒制造者通过传播计算机病毒来蓄意破坏联网计算机的程序、数据和信息,以达到某种非法目的。据不完全统计,目前全世界已发现的计算机病毒近6万多种,且每月都会发现数百种新病毒和病毒变体。然而全球与互联网联网的主机节点正在越来越多,这样一个强大的网络群体造成了病毒极易滋生和传播的环境,而病毒破坏成为企业开展电子商务的面临的信息安全重大威胁。目前,破坏计算机的流行病毒可以归纳为以下几类:
(1)蠕虫病毒。1987年出现,这是一种能迅速大规模繁殖的病毒,其繁殖的速度可达300台/月,在危害网络的数据千计的计算机病毒中“蠕虫病毒”造成的危害最大。
(2)病毒邮件。电子邮件是互联网的一项基本而普遍的功能。企业实施电子商务频繁使用的信息传递工具。然而,某些病毒制造者也看中了深受人们喜欢的电子邮件,并将其作为传播病毒的重要手段。
(3)公开发放的病毒。在计算机网络中有一种“共享软件”,它是由计算机用户免费使用、复制以及分享的软件。如果计算机病毒以这种方式公开发布,就可进入各种领域,并进入各个计算机网络,对计算机网络造成极大的危害。
3.预置陷阱
预置陷阱是指在信息系统中人为地预设一些陷阱,以干扰和破坏计算机系统的正常运行。在对信息安全的各种威胁中,预置陷阱是危害最大、最难预防的一种威胁。一般分为硬件陷阱和软件陷阱两种。
(1)硬件陷阱。指“芯片级”陷阱。例如,使芯片经过一段有限的时间后自动失效,使芯片在接收到某种特定电磁信号后自毁,使芯片在运行过程中发出可识别其准确位置的电磁信号等。这种“芯片捣鬼”活动的危害不能忽视,一旦发现,损失非同寻常,计算机系统中一个关键芯片的小小故障,就足以导致整个网站服务器系统乃至整个连接信息网络系统停止运行。这是进行信息网络攻击既省力、省钱又十分有效的手段。
(2)软件陷阱。指“代码级”陷阱,软件陷阱的种类比较多,黑客主要通过软件陷阱攻击网络。
“陷阱门”又称“后门“,是计算机系统设计者预先在系统中构造的一种结构。网络软件所存在的缺陷和设计漏洞是黑客进行攻击服务器系统的首选目标。在计算机应用程序或系统操作程序的开发过程中,通常要加入一些调试结构。在计算机软件开发完成之后,如果为达到攻击系统的目的,而特意留下少数结构,就形成了所谓越过对方防护系统的防护进入系统进行攻击破坏。
二、维护网络信息安全的对策
信息网络已经被深入应用到世界上许多国家的商务贸易活动、经济、政治、文化、军事等各个方面,构成其社会的关键性基础设施,信息安全已上升为这些国家的安全核心。面对日益严峻的信息安全威胁,各国政府无不高度重视信息安全,积极寻找有效的安全对策。当前,我国与世界其他国家一样,为维护信息安全确保企业开展电子商务的安全环境,所采取的基本对策如下。
1.制定政策,建立安全管理机构,将网络信息安全纳入国家战略
各国都认识到信息安全不单纯是一个技术问题、产业问题、经济问题,而是涉及各行业、各层面的综合性社会问题,国家必须从战略高度来制定相关国家政策给予指导,并成立专门的机构来负责信息安全问题。
2.研发自主信息安全技术,为信息安全提供坚固屏障
信息安全保障从根本上来说是一个信息技术发展水平与开发能力的问题,要有效地打击网络犯罪,最终还要依靠不断发展和完善的信息安全技术。目前最广泛的五种计算机网络安全技术是:反病毒软件;防火墙技术;物理设施安全保护;密码控制;反入侵管理。在电子商务中采用的安全技术主要有防火墙技术、虚拟专业网络技术、防杀病毒技术、数据加密技术、身份认证技术等。
当前国际上信息安全技术研究的重点有公开密钥基础设施和计算机犯罪取证技术。公开密钥基础设施,是一个由计算机硬件、软件、数据库、网络、安全过程和合法规范共同组成的基础设施。计算机犯罪取证研究主要集中在:入侵者入侵路径跟踪;入侵行为再现;证据的保存、恢复;操作系统指纹等方面。
3.制定法律法规,为信息安全提供良好的法律环境
计算机网络犯罪具有隐蔽性,原有的传统的法律难以有对这类犯罪有效打击,为此需要制定与信息安全相关的法律和法规,加大执法力度,从而为网络信息安全提供必要的法律保证。
4.加强信息安全的国际合作,共同打击网络犯罪
经济发展全球化,跨国集团公司正在日益增加,那么犯罪分子攻击计算机网络进行违法犯罪也具有超越地域和全球化趋势。他们利用网络的迅速和浏览网络内容的无国界,形成了网络犯罪不分国界的特性,因此世界上许多国家的网络警察之间建立了十分密切的联系,并在一定的国际法规框架下相互协作。