威胁及对策

电子商务发展的核心和关键问题是交易的安全性。为了保护网上交易过程中交易双方的合法权益，人们针对电子商务系统所面临的主要威胁，对其安全性提出了具体的要求。

1．电子商务面临的安全问题

一般认为，计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务三方面的攻击。

1）黑客攻击

黑客可分为两类。一类是骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会破坏系统，或者仅仅做一些恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。另一类黑客是窃客，他们的行为带有强烈的目的性。早期的这类黑客主要是窃取国家情报、科研情报；而现在的这类黑客的目标大部分瞄准了银行的资金和电子商务的整个交易过程。

黑客攻击是指黑客非法进入网络，非法使用网络资源。例如，通过网络监听获取网上用户的账号和密码；非法获取网上传输的数据；通过隐蔽通道进行非法活动；突破防火墙等。目前黑客的行为正在不断地走向系统化和组织化。例如，企业、集团、金融界高薪聘请黑客进行商业间谍幕后战。所以，从事网络交易的计算机用户，非常有必要了解有关黑客入侵的常用手段，以预防黑客的侵袭。

（1）口令攻击。口令攻击是网上攻击最常用的方法，也是大多数黑客开始网络攻击的第一步。黑客首先通过进入系统的常用服务，或对网络通信进行监视，使用扫描工具获取目标主机的有用信息。这些信息包括目标主机操作系统的类型和版本、主机域名、邮件地址、开放的端口、启动的保护手段等。其次，反复试验和推测用户及其亲属的名字、生日、电话号码或其他易记的线索等，获取进入计算机网络系统的口令，以求侵入系统，从事袭击活动。也有的黑客利用一些驻留内存的程序暗中捕获用户的口令。这类程序类似于“特洛伊木马”（Trojan Horse）的病毒程序，它通常让用户填写调查表格，并答应给予奖励，而实际目的是暗中捕获用户的口令。当这些方法不能奏效时，黑客便借助各种软件工具，利用破解程序分析这些信息，进行口令破解，进而实施攻击。

（2）服务攻击。黑客所采用的服务攻击手段主要有以下四种。

①使目标主机建立大量的连接。因为目标主机要为每次网络连接提供网络资源，所以当连接速率足够高、连接数量足够多时就会使目标主机的网络资源耗尽，从而导致主机瘫痪、重新启动、死机或黑（蓝）屏。

②向远程主机发送大量的数据包。因为目标主机要为每次到来的数据分配缓冲区，所以当数据量足够大时会使目标主机的网络资源耗尽，导数主机死机或黑（蓝）屏；

③利用即时消息功能，以极快的速度用无数消息“轰炸”某个特定用户，使目标主机缓冲区溢出，便于黑客伺机提升权限，获取信息或执行任意程序。

④利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。

（3）IP欺骗。IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，伪造他人的源地址，让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。IP欺骗主要包括简单的地址伪造和序列号预测两种。

简单的地址伪造是指黑客将自己的数据包的源地址改为其他主机的地址，然后发向目标主机，使目标主机无法正确找到数据包的来源。序列号预测的攻击方法是，黑客首先在网上监测目标主机与其他主机的通信，分析目标主机发出的TCP数据包，对目标主机发出的TCP数据包的序列号进行预测。如果序列号是按照一定的规律产生的，那么，黑客就可以通过伪造TCP序列号、修改数据包的源地址等方法，使数据包伪装成来自被信任或正在通信的计算机，而被目标主机接收。在黑客实施IP欺骗的过程中，目标主机无法反映出来。由攻击者模仿的TCP数据包能到达目标地址，而由目标地址发出的TCP数据包永远无法到达对方的主机。

2）计算机病毒

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

计算机病毒是通过连接来扩散的，计算机病毒程序把自己附着在其他程序上，待这些程序运行时，病毒进入系统中，进而大面积扩散。一台计算机感染上病毒后，轻则使系统运行效率下降，部分文件丢失，重则造成系统死机、计算机硬件被烧毁。当前，计算机活性病毒达数千种。传统的计算机病毒依靠软盘传播，而网络条件下，计算机病毒大部分通过网络或电子邮件传播，侵入网络的计算机病毒破坏网络资源，使网络不能正常工作，甚至造成网络瘫痪。

3）拒绝服务

用数百条消息填塞用户的电子邮件信箱也是一种在线袭扰的方法，典型的如“电子邮件炸弹（E-mail Bomb）”，当用户受到它的攻击后，就会在很短的时间内收到大量无用的电子邮件，这样使得用户系统的正常业务不能开展，系统功能丧失，严重时会使系统关机，甚至使整个网络瘫痪。

另外一种方法是在邮件中直接夹带或在附件中夹带破坏性执行程序。用户不小心点击了这类邮件或附件，就会自动启动有害程序，带来不可预测的严重后果。

2．电子商务安全对策

（1）加强教育和宣传，提高公众电子商务的安全意识、信息安全意识。具体可采取以下措施：一是通过大众媒体，普及电子商务的安全意识，提高用户的认识；二是积极组织研讨会和培训课程，培养电子商务网络营销安全管理人才。

（2）采用多种网络技术，确保网络信息安全。目前，常用的电子商务安全技术主要包括防火墙、物理隔离和VPN（Virtual Private Network，虚拟专用网）。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术，使用防火墙可以抵御来自外界的攻击，因此电子商务内、外网与互联网之间要设置防火墙，同时网管人员要经常到有关网站上下载最新的补丁程序，经常扫描整个内部网络，以便做到有备无患。

（3）运用密码技术，强化通信安全。围绕数字证书应用，为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。目前要加强身份认证、数据完整性、数据加密、数字签名等工作，以防止攻击者窃取电子商务信息交换中的各种信息。必须通过身份证来确认其合法性，应采用基于PKI（Public Key Infrastructure，公钥基础设施）技术，借助第三方（CA）颁发的数字证书、数字签名来确认彼此的身份。

（4）健全法律，严格执法。目前我国在电子商务法律法规方面还有很多缺失，不能有效地保护公众的合法权益，导致犯罪分子有了可乘之机。我国立法部门应加快立法进程，吸取和借鉴国外网络信息安全立法的先进经验，尽快制定和颁布相关法律，使电子商务安全管理走上法制化轨道，并发挥职能部门的监管作用，通过建立电子商务安全法规体系，规范和维持网络的正常运行。