网络安全威胁处置制度

1.1.2　电子商务面临的安全威胁

与现实商务不同，参与电子商务的各方不需要面对面来进行商务活动，信息流和资金流都可以通过Internet来传输。而Internet是一个向全球用户开放的巨大网络，其技术上的缺陷和用户使用中的不良习惯，使得电子商务中的信息流和资金流在通过Internet传输时，面临着各种安全威胁。认识电子商务的安全威胁与对它的全方位防范是富有挑战性的工作。我们分别从信息安全角度、网络安全角度和交易者角度来探讨电子商务面临的安全威胁。

从信息安全角度考察，电子商务面临的安全威胁主要有以下几方面：

（1）信息的截获和窃取

在电子商务中，信息流和资金流以数据的形式在计算机网络中传输，很多传输还是远距离的。在这一过程当中，如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输入的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业的商业机密等。

（2）信息的篡改

当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而使信息失去了完整性和真实性。这种破坏手段主要有三个方面：

篡改——改变信息流的次序，更改信息的内容，如购买商品的出货地址。

删除——删除某个消息或消息的某些部分。

插入——在消息中插入一些信息，让收方读不懂或接收错误的信息。

（3）信息假冒

当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式：

一种方式是伪造电子邮件，虚开网站和商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。

另外一种方式是假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。

（4）交易抵赖

交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。

（5）非法访问

即一个网络的用户未经授权访问了另一个网络。目前许多企业的内部网（Intranet）通常与Internet互联在一起，但如果没有经过企业的许可，外面的用户是不能够进入企业网进行访问的。但是，在安全措施不得力的情况下，有的未经授权的非法用户会想办法窜入企业内部网，这就是所谓的“黑客”侵扰。有的“黑客”甚至会登录企业内部的核心服务器，给企业的信息系统安全造成极大的危害。

（6）计算机病毒

计算机技术发展到今天，新的计算机病毒层出不穷。Internet的出现，更是刺激了计算机病毒的传播。而且，计算机病毒的危害性也越来越严重。电子商务是一种依赖于计算机和计算机网络的新的商务模式，危害计算机和计算机网络的计算机病毒自然对电子商务造成了很大的危害。

除了在交易过程中会面临上述一些特殊的安全性问题外，毫无疑问，还会涉及一般计算机网络系统普遍面临的一些安全问题。威胁计算机网络安全的因素很多，有些因素可能是有意的，有些因素可能是无意的；有些因素可能是人为的，有些因素可能是非人为的。归结起来，从网络安全角度考察，电子商务面临的主要安全威胁有以下几种：

（1）物理实体引发的安全问题

① 设备的功能失常。任何一种设备都不是十全十美、万无一失的，或多或少都存在着这样或那样的缺陷。有时出现一些比较简单的故障，而有些则是灾难性的。有些简单故障，特别是周期性故障，往往比那些大的故障更难于查找与修复。有些故障是当它们已经破坏了系统数据或其他设备时才被发现，而这时往往为时已晚，后果也是非常严重的。

② 电源故障。由于各种意外的原因，网络设备的供电电源可能会突然中断或者产生较大的波动，这可能会突然中断计算机系统的工作。如果这时正在进行某些数据操作，这些数据很可能会出错或丢失。另外，突然断电对系统硬件设备也会产生不良后果。

③ 由于电磁泄漏引起的信息失密。计算机和其他一些网络设备大多数是电子设备，当它工作时会产生电磁泄漏。一台计算机就像一部电台，带有信息的电磁波向外辐射，尤其是视频显示装置辐射的信息量最强，用先进的电子设备在一公里之外的地方就能接收下来。另外，电子通信线路同样也有辐射。这样，非法之徒就可以利用先进的接收设备窃取网络机密信息。

④ 搭线窃听。这是非法者常用的一种手段，将导线搭到无人值守的网络传输线路上进行监听，通过解调和正确的协议分析可以完全掌握通信的全部内容。

（2）自然灾害的威胁

计算机网络设备大多是一种易碎品，不能受重压或强烈的震动，更不能受强力冲击。所以，各种自然灾害、风暴、泥石流、建筑物破坏等，对计算机网络系统构成了严重的威胁。另外，计算机设备对环境的要求也很高，如温度、湿度、各种污染物的浓度，等等，所以要特别注意像火灾、水灾、空气污染等对计算机网络系统所构成的威胁。

（3）黑客的恶意攻击

所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的出现可以说是当今信息社会，网络用户有目共睹、不容忽视的一个独特现象。黑客们在世界各地四处出击，寻找机会袭击网络几乎到了无孔不入的地步。黑客攻击目前成为计算机网络所面临的最大威胁。如今，无论是个人、企业，还是政府机构，只要进入计算机网络，都会感受到黑客带来的网络安全威胁，大至国家机密，小到个人隐私，还有商业秘密，都随时可能被黑客发现并公布。

黑客的攻击手段和方法多种多样，一般可以粗略地分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

（4）软件的漏洞和“后门”

随着计算机系统的越来越复杂，一个软件特别是大的系统或应用软件，要想进行全面彻底的测试已经变得越来越不可能了。虽然在设计与开发一个大型软件的过程中可以进行某些测试，但总是会多多少少留下某些缺陷和漏洞，这些缺陷可能长时间也发现不了，而只有当被利用或某种条件得到满足时，才会显现出来。目前最常用的一些大型的软件系统，例如Windows 2000、Windows XP和一些UNIX系统软件，以及MS Internet Explore等大型应用软件，都不断被用户发现有这样或那样的安全漏洞。另外，软件的“后门”都是软件公司的设计和编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

（5）网络协议的安全漏洞

网络服务一般都是通过各种各样的协议完成的，因此网络协议的安全性是网络安全的一个重要方面。如果网络通信协议存在安全上的缺陷，那么敌手就有可能不必攻破密码体制即可获得所需要的信息或服务。值得注意的是，网络协议的安全性是很难得到绝对保证的。目前协议安全性的保证通常有两种方法：一种是用形式化方法来证明协议是安全的；另一种是设计者用经验来分析协议的安全性。形式化证明的方法是人们所希望的，但一般的协议安全性也是不可判定的，所以对复杂的通信协议的安全性，现在主要采用找漏洞分析的方法。无疑，这种方法有很大的局限性。实践证明，目前Internet提供的一些常用服务所使用的协议，例如，Telnet、FTP和HTTP协议，在安全方面都存在一定的缺陷。当今许多黑客攻击都是利用了这些协议的安全漏洞才得逞的。实际上，网络协议的漏洞是当今Internet面临的一个严重安全问题。

（6）计算机病毒和蠕虫的攻击

信息技术的飞速发展虽然极大地推动了计算机网络的普及，但同时大大地促进了计算机病毒的发展，给人们日常生活和工作带来了许多不便，甚至造成巨大的损失。2006年3月15日，由Juniper网络公司发起的一项最新研究表明，在接受调研的中国企业中有63%在2005年受到了病毒或蠕虫攻击，而41%的公司受到了间谍软件和恶意软件的攻击。

从交易者角度考察，买方和卖方分别面临的安全威胁有：

（1）卖方（销售者）面临的安全威胁

① 系统中心安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。

② 竞争者的威胁：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。

③ 商业机密的安全：客户资料被竞争者获悉。

④ 假冒的威胁：建立与销售者服务器名字相同的另一个Web服务器来假冒销售者；或者通过发出虚假订单，获取他人的机密数据。比如，某人想要了解另一人在销售商处的信誉时，他以此人的名字向销售商订购昂贵的商品，然后观察销售商的行动，假如销售商认可该订单，则说明被观察者的信誉高，否则，则说明被观察者的信誉不高。

⑤ 信用的威胁：买方提交订单后不付款。

（2）买方（消费者）面临的安全威胁

① 虚假订单：假冒者以客户的名字订购商品，并且可能因此收到商品，但却要求客户付款或返还商品。

② 付款后收不到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。

③ 机密性丧失：客户可能将秘密的个人数据或自己的身份数据（如PIN，口令等）发送给冒充销售商的机构，另外，这些信息也可能会在传递过程中被窃听。

④ 拒绝服务：攻击者可能向销售商的服务器发送大量的虚假订单来挤占它的资源，从而使合法用户不能得到正常的服务。

电子商务在Internet实现了“物流、信息流、资金流”三者的统一，流动的是金钱和财富（信息）。金钱和财富刺激着有人去冒险，不管安全技术发展到何等完善的地步，对安全的威胁永远存在。因此，对电子商务的安全威胁应时刻警惕。