企業(yè)電子商務面臨的網(wǎng)絡安全-威脅及對策

企業(yè)電子商務面臨的網(wǎng)絡安全威脅及對策企業(yè)開展電子商務主要有設計企業(yè)電子商務網(wǎng)站或利用第三方電子商務服務平臺進行網(wǎng)絡營銷，計算機網(wǎng)絡技術和通信技術是支撐企業(yè)開展電子商務的技術平臺。本文從快速發(fā)展的電子商務應用中所面臨的網(wǎng)絡安全中的四大威脅分析當前開展電子商務所要防范的安全問題，并根據(jù)我國對電子商務信息產(chǎn)業(yè)帶動工業(yè)化進程的政策，對我國發(fā)展電子商務的信息安全進行分析，提出了維護網(wǎng)絡信息安全對策的措施。我國發(fā)展電子商務的環(huán)境例如：網(wǎng)絡基礎建設等運行環(huán)境、法律環(huán)境、市場環(huán)境、網(wǎng)上支付、信息安全、認證中心建設等條件等正在逐步完善，國家有關電子商務的政策、法規(guī)即將出臺，已為各類企業(yè)開展電子商務活動建立了基本的環(huán)境條件。隨著計算機網(wǎng)絡的普及和我國實施信息化進程不斷深入，社會各關鍵領域的運行日益緊密地依賴于信息網(wǎng)絡，比如金融部門、航空部門、通信部門以及越來越多的企業(yè)參與的電子商務等，然而信息網(wǎng)絡又存在著與生俱來的技術漏洞和設計缺陷。于是，網(wǎng)絡黑客和各類組織出于各種違法的目的，利用信息網(wǎng)絡的漏洞和缺陷發(fā)起攻擊，從而使信息網(wǎng)絡面臨嚴峻的安全威脅。信息網(wǎng)絡的安全問題不但難以徹底解決，而且還有可能隨著信息網(wǎng)絡技術的不斷更新，出現(xiàn)日益嚴重化的趨勢。因為每一項新的操作系統(tǒng)和重要網(wǎng)絡軟件的推出，都將會引起新的網(wǎng)絡安全問題。今后，操作系統(tǒng)和軟件開發(fā)越來越朝著使計算機與互聯(lián)網(wǎng)及通信聯(lián)結一體、不斷增強其功能的方向發(fā)展，這就有可能使信息網(wǎng)絡的漏洞和缺陷產(chǎn)生更多、更嚴重的安全問題，那么企業(yè)電子商務發(fā)展中的信息安全正在受到企業(yè)和客戶越來越關注的焦點。一、網(wǎng)絡安全威脅信息網(wǎng)絡面臨的安全威脅可以分為以下三種基本類型：黑客入侵、病毒破壞和預置陷阱。1.黑客入侵黑客即Hacker音譯，專指對別人的計算機系統(tǒng)非法入侵者。20世紀70年代，這個詞是褒義詞，專指那些獨立思考、遵紀守法的計算機迷，他們智商高，對計算機的最大潛力進行智力上的探索，為計算機技術的發(fā)展做出了很大貢獻。而當今世界，隨著信息技術的廣泛普及，越來越多的人掌握了黑客技術，使黑客現(xiàn)象發(fā)生了質(zhì)的改變。不少黑客專門搜集他人隱私，惡意篡改他人重要數(shù)據(jù)，進行網(wǎng)上詐騙、對他人網(wǎng)上資金帳戶盜竊，給社會及人們的生活帶來極大的破壞性。因此人們普遍認為黑客就是信息安全的最大威脅。目前，黑客對網(wǎng)絡的入侵和偷襲方法已達幾種，而且大多都是致命的手段。黑客入侵動機有以下幾種：(1)偷盜竊取。黑客實施網(wǎng)絡攻擊的另一個目的就是利用黑客技術為個人私利而大肆進行各種各樣的偷竊活動。網(wǎng)上盜竊的主要方式有：第一種是偷竊信息和數(shù)據(jù)。網(wǎng)上的秘密信息和數(shù)據(jù)都是海量存儲，從企業(yè)商業(yè)秘密、政府機構的資料到軍事秘密，種類全面。于是不少鋌而走險者，借助快捷的網(wǎng)絡去竊取這些信息和數(shù)據(jù)，通過出售以獲取經(jīng)濟利益。據(jù)美國中央情報局公布的數(shù)據(jù)顯示，美國公司僅在1992年一年因經(jīng)濟信息與商業(yè)秘密被竊取盜用的損失高達1000億美元以上。第二種是偷竊網(wǎng)上銀行的資金或使用網(wǎng)上電支付用戶的資金。隨著企業(yè)電子商務活動的發(fā)展，應用網(wǎng)上銀行支付或通過第三方支付平臺支付的人群越來越多，也為黑客及其他計算機犯罪利用計算機網(wǎng)絡盜竊個人或銀行資金提供了可乘之機。當用戶進行網(wǎng)上購物時，用戶只要輸入用戶密碼、銀行信用卡密碼，完成了網(wǎng)上購物和支付程序。黑客一旦覬覦用戶的密碼和信用卡密碼，則用戶在銀行賬戶上的資金便容易被竊取。(2)蓄意破壞。在2000年3月，黑客使美國數(shù)家電子商務網(wǎng)站如：Amazon、eBay、CNN陷入癱瘓，黑客使用了分布式拒絕服務的攻擊手段，用大量垃圾信息阻塞網(wǎng)站服務器，使其不能正常服務。國內(nèi)網(wǎng)站新浪、當當網(wǎng)上書店、EC123等也先后受到黑客攻擊，服務器上的各類數(shù)據(jù)庫也受到不同程度的破壞。2.病毒破壞電子商務離不開計算機網(wǎng)絡,而病毒制造者通過傳播計算機病毒來蓄意破壞聯(lián)網(wǎng)計算機的程序、數(shù)據(jù)和信息，以達到某種非法目的。據(jù)不完全統(tǒng)計，目前全世界已發(fā)現(xiàn)的計算機病毒近6萬多種，且每月都會發(fā)現(xiàn)數(shù)百種新病毒和病毒變體。然而全球與互聯(lián)網(wǎng)聯(lián)網(wǎng)的主機節(jié)點正在越來越多，這樣一個強大的網(wǎng)絡群體造成了病毒極易滋生和傳播的環(huán)境，而病毒破壞成為企業(yè)開展電子商務的面臨的信息安全重大威脅。目前，破壞計算機的流行病毒可以歸納為以下幾類：(1)蠕蟲病毒。1987年出現(xiàn),這是一種能迅速大規(guī)模繁殖的病毒，其繁殖的速度可達300臺/月，在危害網(wǎng)絡的數(shù)據(jù)千計的計算機病毒中“蠕蟲病毒”造成的危害最大。(2)病毒郵件。電子郵件是互聯(lián)網(wǎng)的一項基本而普遍的功能。企業(yè)實施電子商務頻繁使用的信息傳遞工具。然而，某些病毒制造者也看中了深受人們喜歡的電子郵件，并將其作為傳播病毒的重要手段。(3)公開發(fā)放的病毒。在計算機網(wǎng)絡中有一種“共享軟件”，它是由計算機用戶免費使用、復制以及分享的軟件。如果計算機病毒以這種方式公開發(fā)布，就可進入各種領域，并進入各個計算機網(wǎng)絡，對計算機網(wǎng)絡造成極大的危害。3.預置陷阱預置陷阱是指在信息系統(tǒng)中人為地預設一些陷阱，以干擾和破壞計算機系統(tǒng)的正常運行。在對信息安全的各種威脅中，預置陷阱是危害最大、最難預防的一種威脅。一般分為硬件陷阱和軟件陷阱兩種。(1)硬件陷阱。指“芯片級”陷阱。例如，使芯片經(jīng)過一段有限的時間后自動失效，使芯片在接收到某種特定電磁信號后自毀，使芯片在運行過程中發(fā)出可識別其準確位置的電磁信號等。這種“芯片搗鬼”活動的危害不能忽視，一旦發(fā)現(xiàn)，損失非同尋常，計算機系統(tǒng)中一個關鍵芯片的小小故障，就足以導致整個網(wǎng)站服務器系統(tǒng)乃至整個連接信息網(wǎng)絡系統(tǒng)停止運行。這是進行信息網(wǎng)絡攻擊既省力、省錢又十分有效的手段。(2)軟件陷阱。指“代碼級”陷阱,軟件陷阱的種類比較多，黑客主要通過軟件陷阱攻擊網(wǎng)絡。“陷阱門”又稱“后門“，是計算機系統(tǒng)設計者預先在系統(tǒng)中構造的一種結構。網(wǎng)絡軟件所存在的缺陷和設計漏洞是黑客進行攻擊服務器系統(tǒng)的首選目標。在計算機應用程序或系統(tǒng)操作程序的開發(fā)過程中，通常要加入一些調(diào)試結構。在計算機軟件開發(fā)完成之后，如果為達到攻擊系統(tǒng)的目的，而特意留下少數(shù)結構，就形成了所謂越過對方防護系統(tǒng)的防護進入系統(tǒng)進行攻擊破壞。二、維護網(wǎng)絡信息安全的對策信息網(wǎng)絡已經(jīng)被深入應用到世界上許多國家的商務貿(mào)易活動、經(jīng)濟、政治、文化、軍事等各個方面，構成其社會的關鍵性基礎設施，信息安全已上升為這些國家的安全核心。面對日益嚴峻的信息安全威脅，各國政府無不高度重視信息安全，積極尋找有效的安全對策。當前，我國與世界其他國家一樣，為維護信息安全確保企業(yè)開展電子商務的安全環(huán)境，所采取的基本對策如下。1.制定政策,建立安全管理機構,將網(wǎng)絡信息安全納入國家戰(zhàn)略各國都認識到信息安全不單純是一個技術問題、產(chǎn)業(yè)問題、經(jīng)濟問題，而是涉及各行業(yè)、各層面的綜合性社會問題，國家必須從戰(zhàn)略高度來制定相關國家政策給予指導，并成立專門的機構來負責信息安全問題。2.研發(fā)自主信息安全技術，為信息安全提供堅固屏障信息安全保障從根本上來說是一個信息技術發(fā)展水平與開發(fā)能力的問題，要有效地打擊網(wǎng)絡犯罪，最終還要依靠不斷發(fā)展和完善的信息安全技術。目前最廣泛的五種計算機網(wǎng)絡安全技術是：反病毒軟件；防火墻技術；物理設施安全保護；密碼控制；反入侵管理。在電子商務中采用的安全技術主要有防火墻技術、虛擬專業(yè)網(wǎng)絡技術、防殺病毒技術、數(shù)據(jù)加密技術、身份認證技術等。當前國際上信息安全技術研究的重點有公開密鑰基礎設施和計算機犯罪取證技術。公開密鑰基礎設施，是一個由計算機硬件、軟件、數(shù)據(jù)庫、網(wǎng)絡、安全過程和合法規(guī)范共同組成的基礎設施。計算機犯罪取證研究主要集中在：入侵者入侵路徑跟蹤；入侵行為再現(xiàn)；證據(jù)的保存、恢復；操作系統(tǒng)指紋等方面。3.制定法律法規(guī)，為信息安全提供良好的法律環(huán)境計算機網(wǎng)絡犯罪具有隱蔽性，原有的傳統(tǒng)的法律難以有對這類犯罪有效打擊，為此需要制定與信息安全相關的法律和法規(guī)，加大執(zhí)法力度，從而為網(wǎng)