1.1 电子商务安全概况
近年来,网络技术和电子商务迅猛发展,人们在互联网上进行的商务活动的范围和数量与日俱增,如,日常生活用品、书籍的购买;家具、汽车、房产交易;股票、期货、资金运作等等。在这一过程中,电子商务赖以运行的互联网的安全问题。成为人们持续关注的话题,电子商务安全的重要性已不言而喻。网络安全问题是电子商务推进中的关键因素,营造信誉良好、安全可靠的网络交易环境才能让众多的企业和消费者支持电子商务,否则消费者不信任网上交易,企业没有把握在网上营销,电子商务便只能是“水中花、镜中月”。尽管政府以及一些企业已意识到这一问题,但因为一直缺乏一个网络安全保护的完整概念,所以很多人在安全认知上仅限于对网络“防火墙”的了解,而网络防火墙只是网络安全保护的一个方面,绝不是全部,这也正是很多个人或企业的实施了防火墙的网络仍有漏洞存在的原因。
网络安全事件在国内外时有发生。2000年2月7日、8日、9日这三天,美国许多著名的网站先后遭到互联网历史上最严重的计算机黑客攻击,在美国社会引起了强烈震动。
在当时,黑客3天的袭击造成的直接和间接经济损失达10亿美元。2月7日,除了免费电子邮件和三个站点未受影响外,雅虎的大部分网络服务及站点陷于瘫痪。雅虎是当时全球第二大搜索引擎网站,每天被浏览页次达465亿次,其股市价值达930亿美元;8日上午,先是当天股票交易公司网站瘫痪,再接着是网上电子拍卖网站电子港湾(ebay)和网上书店及商品销售网站亚马逊(Amazon)告急。ebay的注册用户达1000万,是每月浏览达15亿次的网上拍卖网站,8日下午6时,该网站的商品买卖一度停止数小时。当晚,美国有线电视新闻网(CNN)宣布,其网站因负荷超载,从下午7时至8时45分信息传送被阻断;2月9日,一些电子交易类网站再度遭殃,在股市开市前遭到持续1小时的攻击,科技新闻网站ZDNet约有70%的内容中断2小时,上网者无法接触到包括网站新闻和产品浏览等内容的信息。
引人注目的是,这也是互联网历史上第一次有黑客大规模、有目的地袭击商业网站。美国联邦计算机案件处理中心主任大卫·加诺说:“全美至少有数百台计算机受到袭击。所幸的是,黑客并未进入这些网络内部,窃取业务和客户资料。如此众多的大型网站,特别是新兴的电子商务网站,在3天的短时间内连续遭到黑客攻击,这在互联网历史上还是第一次。”
2006年12月初,我国互联网上大规模爆发了“熊猫烧香”计算机病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”,在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。
作为高科技犯罪的典型代表之一,银行网络安全事故近两年来在国内频频发生。2010年年末,互联网上连续出现的假银行网站事件曾经轰动一时。一个行标、栏目、新闻、图片样样齐全的假冒中国银行网站,竟然成功划走了呼和浩特一名市民银行卡里的2.5万元。且随后不久,假工行、假农行、假银联网站也相继跟风出现。而早在2003年下半年,我国香港地区也曾出现不法分子伪冒东亚、花旗、汇丰、宝源投资及中银国际网站骗取用户钱财。
有一些黑客,专门盗窃大量的游戏装备、账号,虽然这些游戏装备、账号并不能马上兑换成人民币,但通过网上交易,这些盗来的游戏装备、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖,一番讨价还价后,虚拟货币得以兑现,网友们通过网上银行将现金转账,就能获得那些盗来的网络虚拟货币。
在我们身边也时常发生一些网络安全问题:如:不断有人户抱怨QQ密码被更改,邮箱邮件被别人收走,网站栏目信息被入侵者修改等。
2014年4月8日,安全协议OpenSSL(Open Secure Sockets Layer)被曝出现严重安全漏洞,这个漏洞被黑客命名为“heartbleed”,意思是“心脏流血”———表示最致命的内伤。黑客利用该漏洞,坐在自己家里的电脑前,就可以实时获取约30%以HTTPS(Hypertext Trans-fer Protocol over Secure Socket Layer)开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。这个事件更加引起了全球对网络安全问题的极大关注。
由以上案例可见,电子商务安全是一个不容忽视、涉及范围极广的社会问题,这些问题将长期存在,并时刻干扰电子商务的正常健康运行。
1.1.1 电子商务安全概念与特点
1.电子商务安全的定义
电子商务的一个重要技术特征是利用计算机网络来传输和处理商业信息,因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。
商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起;没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
电子商务安全以网络安全为基础,但是,电子商务安全与网络安全又是有区别的。首先,网络不可能绝对安全,在这种情况下,还需要在其之上运行安全的电子商务;其次,即使网络绝对安全,也不能保障电子商务的安全。所以,电子商务安全除了基础要求之外,还有特殊要求。
从安全等级来说,由下至上有密码安全、局域网安全、互联网安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。这几个安全概念之间的关系如图1-1所示。同时,电子商务安全又有它自身的特殊性,即以电子交易安全和电子支付安全为核心,有更复杂的机密性概念,更严格的身份认证功能,对不可拒绝性有新的要求,有法律依据性和货币直接流通性特点,还有网络特有的其他服务功能(如数字时间戳服务)等。
2.电子商务安全特点
电子商务安全具有如下四大特点:
图1-1 电子商务安全基本关系示意图
(1)电子商务安全是一个系统概念
电子商务安全问题不仅仅是个技术性的问题,更重要的是管理问题,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。
(2)电子商务安全是相对的
就像家里的房子安上防盗门后,一般说来就相对安全了,但是小偷非要用专门的工具去破坏或打开,那防盗门也就不安全了,但我们不会因为防盗门能被小偷破坏或打开而怀疑它的安全性,防止小偷破坏或打开防盗门还需要相应的管理机制。同样,不能追求一个永远也攻不破的安全系统,安全与管理始终是联系在一起的。也就是说,安全是相对的,而不是绝对的,要想以后的网站永远不受攻击、不遇到安全问题是不可能的。
(3)电子商务安全是有代价的
要维护电子商务安全,就必须有一定的资金投入,包括购买安全设备、安装安全软件等。作为一个电子商务应用者,应该综合考虑安全技术的成本,作为安全技术提供者,在研发技术时也要考虑到成本代价问题。
(4)电子商务安全是发展的、动态的
今天安全,明天不一定安全,因为网络的攻防是此消彼长、道高一尺魔高一丈的事情,尤其是网络安全技术,它的敏感性、竞争性以及对抗性很强,需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的电子商务安全,也没有一蹴而就的电子商务安全。
1.1.2 电子商务面临的安全威胁
要了解电子商务面临的安全威胁,需要考查从客户机到电子商务服务器的整个过程。在考查“电子商务链”上每个逻辑链条时,可以看出,必须保护的资产包括客户机、在通信信道上传输的消息、Web和电子商务服务器(包括服务器端所有的硬件)等。
1.对客户机的安全威胁
在实时的、动态的、可交互的Web内容出现前,网页是静态的。静态页面是用Web标准页面描述语言HTML编制的,其作用只是向客户机提供显示内容并链接到其他页面。为了增加页面的生动性以及客户机与服务器之间的交互能力,同时也为了分担服务器端的负载,动态网页技术得以广泛应用,相应地网页的安全状态也随之发生了变化。客户机面临的安全威胁主要是以动态页面形式从网上传来的活动内容带来的安全威胁,还有一些非法网站,伪装成合法网站,诱骗用户提供敏感信息,使得用户信息被盗取等。此外,一些其他的相关技术也成为威胁客户机安全的不确定性因素,如被Java、JavaScript、Active X等控件恶意利用,也会招致病毒、蠕虫等感染。
(1)动态网页内容
动态网页内容是指在页面上嵌入一段对用户透明的程序,它可实现一些动态的效果,例如显示动态图像、下载和播放音乐或实现基于Web的电子表格程序、客户机中的表单数据提交等交互操作。动态网页内容扩展了HTML的功能,使页面更为生动活泼。同时,动态网页内容还将原来要在服务器上完成的某些辅助性处理任务转给在多数情况下处于闲置状态的客户机来完成,均衡了服务器的负载。
动态网页有多种形式,最著名的动态网页形式包括JavaScript和VBScript、Java Applet和ActiveX控件等。这些程序经常被企图破坏客户机的人伪装成无害的内容,一旦触发运行,就会对客户机带来安全威胁。这种隐藏在程序或页面里而掩盖其真实目的的程序统称为“特洛伊木马”。它可窃听计算机上的保密信息,并将这些信息传给它的远程Web服务器,从而构成保密性侵害。而且,特洛伊木马还可改变或删除客户机上的信息,构成完整性和不可拒绝性侵害。
(2)相关技术或机制
能够威胁客户机安全的因素,除了动态网页内容,还包括其他一些相关技术或机制。这些技术或机制和动态网页内容相呼应,使得其对客户机的安全威胁势态扩大,使得后果更加严重。
1)Cookie。因为互联网是无状态的连接,它不能记忆从一个页面到另一个页面间的响应,所以网站设计时利用cookie进行服务器与客户机之间的连续连接(也称公开会话),目的是解决需要记忆关于顾客订单信息、用户名与口令、购物车与结算处理软件的公开会话等问题。Cookie的使用给有些恶意的动态内容提供了可乘之机,一些页面嵌入的恶意代码也使存放在Cookie里的信用卡号、用户名和口令等敏感信息容易暴露。
2)邮件通信簿。使用邮件客户端收发邮件的用户通常在电子邮件通信簿上存放联系人的信息,一些计算机病毒可以成功地检测到这些内容,并通过互联网把自己发给这些联系人,其传播难以得到有效的扼制。
3)信息隐蔽。一般情况下,计算机文件中都有冗余的或能为其他信息所替代的无关信息。黑客会利用信息隐蔽技术隐藏他们在网络上的活动,甚至能不被杀毒软件检测出来。信息隐蔽是指隐藏在另一段信息中的信息,它提供将加密的文件隐藏在另一个文件中的保护方式,粗心的观察者看不到其中含有的重要信息。
2.对通信信道的安全威胁
互联网是将客户机和电子商务服务器连接起来的电子通道。在已了解对客户机的安全威胁后,所要考虑的第二个环节就是将客户机连到服务器上的传输信道,即互联网。
虽然互联网起源于军事网络,但美国国防部高级研究项目中心建造这个网络的主要目的不是为了安全传输,而是为防止一个或多个通信线路被切断之后仍有通信信道可供使用,即提供冗余传输。互联网发展到今天,其不安全状态与最初相比并没有多大改观。在互联网上传输的信息,从起始节点经由若干中间节点到目标节点之间的路径是随机选择的。在同一起始节点和目标节点之间发送信息时,每次所用的路径也都是不同的,所以根本无法控制信息的传输路径,也不知道信息包曾到过哪里,因而无法保证信息传输时所通过的每台计算机都是安全的和无恶意的。如果在信息包传递途中被任意一个中间节点窃取、篡改甚至删除了用户的信息,那么客户所遭受的损失将是无法弥补的。
(1)搭线窃听
电子商务的一个很大的安全威胁就是敏感信息或个人真实信息被窃。在互联网上,有种叫做“嗅探器”的特殊软件能够记录下通过某个网关或路由器的信息。它类似于在电话线上搭线并录下一段对话。嗅探器可以截获并阅读电子邮件信息,也可记录敏感信息或个人真实信息,或者用来攻击相邻的网络,并且能够做到不留痕迹。
(2)IP欺骗
所谓IP欺骗,就是伪装成合法主机的IP地址与目标主机建立连接关系。通过这种欺骗方法可以把某个服务器的访问者引到一个虚假网站,或者假冒合法用户主机名进入目标服务器。
当用户主机与目标服务器之间建立了TCP(Transmission Control Protocol,传输控制协议)连接后,通过双方信息包的不断交互取得用户主机或服务器的信息。入侵者猜测出信息包的序列号,就能够向用户主机或服务器发出伪造的、看上去是来自合法主机的数据包,构成对完整性的威胁。
此外,用户主机与服务器之间建立网络连接时经常需要某种形式的认证,发生在应用层上的认证是不透明的,如进行FTP或Telnet连接时需要用户输入密码和账号。IP地址欺骗可以针对非应用层的、通常是自发的、无需用户参与的认证,从而达到非法入侵的目的。
(3)IP源端路由选择
IP数据包在互联网上传输到达最终目的主机之前通常要经过许多路由器。路由器动态决定了IP数据包的传输路线。允许源端路由选择就是允许IP数据包向经过的路由器声明到达目标主机所希望经过的路由。
入侵者利用IP数据包源端路由选择避开那些包含过滤路由器、防火墙以及其他安全检查机制的路由,就可以访问在正常情况下所不能访问的主机。另外,如果目标主机的访问控制机制是认证源主机的IP地址,入侵者使用IP源端路由选择就可以有效地通过目标主机的认证。
(4)目标扫描
入侵者在确定扫描目标系统后,利用一些扫描程序和安全分析工具,如IIS(Internet Information Server)漏洞扫描器、SATAN(Security Administrator Tool ForAnalyzing Networks)网络分析工具等,寻求该系统的安全漏洞或弱点,并试图找到安全性最弱的主机作为入侵的对象。如果目标主机的管理员系统配置不当,或者未能及时发现并更新针对产品或系统安全漏洞的补丁程序,安全薄弱的主机就极易被攻破,继而造成对与本机建立了访问链接和信任关系的其他网络计算机被攻破的连锁反应,最终威胁到整个系统。
3.对服务器的安全威胁
客户机、互联网和服务器的电子商务链上第三个环节是服务器。企业借助各种服务器软件设置自己的Web服务器、FTP服务器、E-Mail服务器等。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。其中的攻击入口是Web服务器及其软件、数据库和数据库服务器以及通用网关接口CGI(Common Gateway Interface)程序或其他工具程序。
(1)Web服务器
Web服务器软件是用来响应HTTP请求并传送HTML格式的页面的,其主要设计目标是支持Web服务和方便使用。通常该类软件比较复杂,包含错误代码的概率也较高,因此含有许多已知的和未知的安全漏洞。而这些漏洞经常被攻击者利用,加之系统管理员的一些不当管理行为,极易造成系统的瘫痪或信息的泄露等严重后果。
(2)数据库服务器
电子商务系统用数据库存储用户数据,并可从Web服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息,如果被更改或泄露会对公司带来无法弥补的损失。
现在多数大型数据库都使用基于用户名和口令的权限安全措施,一旦用户获准访问数据库,就可查看数据库中相关内容。而有些数据库没有以安全方式存储用户名与口令,或没有对数据库进行安全保护,仅仅依赖Web服务器的安全措施。如果有人得到用户的认证信息,他就能伪装成合法的数据库用户来下载保密的信息。
此外,隐藏在数据库系统里的恶意程序可将数据权限降级,把敏感信息发到未保护的区域。这样,所有用户都可访问这些信息,其中当然包括那些潜在的入侵者。
(3)CGI
通用网关接口CGI可实现从Web服务器到另一个程序(如数据库程序)的信息传输。CGI和接收它所传输数据的程序为网页提供了动态内容。同Web服务器—样,CGI脚本是能以高权限运行的程序,并且运行起来不受Java运行程序安全的限制,如果滥用就会带来安全威胁。因此,恶意的CGI程序能自由访问系统资源,使系统失效、调用删除文件的系统程序或查看顾客的保密信息。
(4)ASP
活动服务器页面ASP(Active Server Pages)是微软推出的工具软件,可以在服务器端运行脚本语言VbScript和JavaScript编写的程序。ASP简单实用、灵活而强大,可实现与客户端交互信息和数据库访问等操作。但ASP也存在安全漏洞,通过ASP可以入侵Web服务器,窃取服务器上的文件,捕获Web数据库等系统的用户口令,删除服务器上的文件,直到造成系统损坏。
(5)邮件炸弹
邮件炸弹是将大量的消息发给同一个电子邮件地址,目标电子邮件地址收到的大量邮件超出了所允许的邮件区域限制,导致邮件系统堵塞或失效。邮件炸弹通常会导致邮件服务器拒绝服务。
(6)溢出攻击
通过客户机传输给Web服务器或直接驻留在服务器上的Java或C++程序需要经常使用缓存。缓存中存放了从文件或数据库中读取的数据,是数据进出的临时存放区域。但是向缓存发送数据的程序如果出错,就会导致数据或指令替代了内存指定区域外的内容,即缓存溢出。缓存溢出的后果就是,程序运行遇到意外然后死机,从而破坏服务器的“不可拒绝性”。互联网“蠕虫”病毒就是这样的程序,它引起的溢出会消耗所有系统资源,直到主机停止运行。
另一种溢出攻击就是将指令写在关键的内存位置上,使侵入的程序在完成了覆盖缓存内容后进入系统保留区。保留区内存储着关键性信息,如CPU寄存器的内容和控制权移交前程序的计算状态。当控制权返还给原程序时,保留区的内容就会重新载入CPU寄存器,将控制权交给程序的下一条指令。但在攻击发生时,控制权将返还给攻击程序,而不是让出控制权的原程序。Web服务器通过载入记录攻击程序地址的内部寄存器来恢复运行。恢复运行的攻击程序将会获得很高的超级用户权限,这就使每个程序都可能被侵入的程序泄密或破坏。
(7)口令破译
用户所选的口令不当或者攻击者使用一些工具软件,也会构成安全威胁。有的用户所选的口令非常简单或者规律性很强,极易被猜出。再者是有人通过使用字典攻击程序,按电子字典里的每个单词来验证口令,那些较短并缺少变化的口令就能被攻破。另外,攻击者使用网络监听工具软件也可以监视网络上传输的数据包,从而使口令等关键信息被截获。用户口令的泄露往往会使非法者以合法的身份进入服务器敏感区域,并且可能长时间不会被发现。
1.1.3 电子商务安全要素
由于电子商务系统面临以上所述的威胁,这导致了对电子商务安全的迫切需求。电子商务安全要素是电子商务系统的中心内容,电子商务安全的要素有:保密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性,如图1-2所示。
图1-2 电子商务的安全要素
1.保密性
商务数据的保密性(Confidentiality)是指信息在网络上传输或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
在商务活动的过程中,交易信息直接代表着个人、企业或国家的商业机密,如信用卡账号及密码、定货单、内部报价单等等。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而电子商务是建立在一个较为开放的网络环境上的,必须采用必要的技术手段来保证发送方和接收方之间交换信息的保密性,要预防非法的信息存取和信息在传输过程中被非法窃取,确保只有合法用户才能看到数据,防止发生泄密事件。
保密性可用信息加密技术实现,使信息截获者不能解读加密信息的内容。另外,保密性还要求保护通信流特性,如通信源与目的、流量、频率等,以防止被分析,从而丧失有价值的商业情报。
2.完整性
商务数据的完整性(Integrity)是指保护数据的一致性,防止数据被未授权者修改、建立、嵌入、删除、重复发送或由于其他原因使原始数据被更改。
加密的信息在传输过程中,虽能保证其保密性,但并不能保证不被修改。电子商务系统应充分保证数据传输,存储及电子商务完整性检查的正确性和可靠性。首先,为保证数据传输的完整性,网络传输所使用的协议必须具有查错纠错功能,并且应具有消息投递的确认与通知信息,以保证传送准确无误,防止数据的丢失和篡改;其次,为保证数据存储的完整性,电子商务系统信息存储必须保证正确无误。作为存储介质的磁盘,可采用容错磁盘和磁盘的热修补技术;第三,对电子商务报文进行完整性检查,抛弃不完整的电子商务文件。对接收的电子商务报文数据要进行扫描,按电子商务所规定的语法规则进行上下文检查,不符合语法规则的非法字符将从数据流中移走。
贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。
3.认证性
商务对象的认证性(Authentication)或称真实性是指网络两端的使用者在通信之前相互确认对方的身份,保证交易方确实存在,而并非有人假冒。
认证性所解决的问题是,确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题。传统的纸介质贸易通过双方在合同、契约或单据等书面文件上手写签名或盖章来鉴别。在无纸化的电子商务方式下,要保证交易双方身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击,需为参与实体提供可靠的标识。其中,往往需要第三方的介入。认证性用数字签名和身份认证技术实现。
4.不可否认性
商务服务的不可否认性(Non-repudiation)或称不可抵赖性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有效性要求。通过这一特性,建立有效的责任机制,防止实体否认其行为。交易一旦达成就不能否认,否则会损害另一方的利益。信息的不可否认性是用来保护通信用户对付来自其他合法用户的威胁,比如发送方对其所发消息的否认,接收方对其所收消息的否认等等。这种威胁并非来自未知身份的攻击者。不可否认性能够提供充分的证据迅速辨别出谁是谁非,实现不可否认性采用的技术有数字签名等。
5.不可拒绝性
商务服务的不可拒绝性或称可靠性是指保证授权用户在正常访问信息和资源时不被拒绝,即为用户提供稳定可靠的服务。
电子商务交易过程中的数据延迟到达、或服务器拒绝服务都会把自己的顾客和贸易伙伴推向竞争对手那里,甚至在竞争性交易中错过商机。如果不对一些网络故障、应用程序错误、硬件故障、系统软件错误及计算机病毒甚至自然灾害所产生的潜在威胁加以控制和预防,这些都会导致贸易数据不能准确传送,无法为用户提供可靠的服务。
6.访问控制性
访问控制性(Access control)或称可控性规定了主体访问客体的操作权力限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。访问控制包括人员限制、数据标识、权限控制、控制类型和风险分析等。在这里主要指能控制使用资源的人或实体的使用方式,在网络上限制和控制通信信道对主机系统和应用的访问,保护计算机系统的资源不被未经授权的人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等,即防止未授权的数据暴露。访问控制性可用防火墙等技术及相关制度措施等实现。
电子商务除了以上六个主要的安全要素外,还有匿名服务(隐匿参与者身份、保护个人或组织隐私)等要素,以及一些特殊环境的特殊要素。