(中国电子商务研究中心讯)[摘要]随着电子商务的迅速发展,对电子商务安全体系的研究也从广度和深度上不断拓展。本文从效率和实用的角度出发,研究了基于敏感数据流的电子商务安全体系,从客户机、信息传送和电子商务企业内部三个视角提出了相应方案。通过跟踪敏感数据流来构建安全体系,既可以从全程保证所有敏感数据的安全,又可以减掉各种不必要的安全投入。同时,对高效的电子商务安全体系的构建,特别是对中小电子商务企业安全体系的构建,从理论建设上有现实的积极推动作用。
一、引言
电子商务是伴随着网络计算而被人们所认识,并随着互联网的发展而日益蓬勃成长起来。可以说,目前电子商务已经成为全球最具活力的经济增长拉动力量。虽然随着2008年金融危机的爆发,全球经济景气度迅速下降,但作为世界商务领域重要力量的电子商务却一枝独秀,愈加显示出其蓬勃的生命力。
然而,由于电子商务的数据中有许多非常重要的商业信息和财务信息,这使它自诞生之初就成了众多不法分子觊觎的目标。大多数的电子商务企业(以下简称企业)每天都要面临众多的电子病毒攻击,并蒙受不同程度的损失。据赛门铁克公司的《全球互联网安全威胁报告》,2007年下半年全球平均每天发现有6.19万台计算机受到攻击,比上半年增长17%。在运用电子商务模式进行贸易的过程中,安全问题已成为电子商务最核心的问题,它包括有效保障通信网络、信息系统的安全,确保信息的保密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性等。
二、电子商务面临的威胁
电子商务的基础环境是计算机和Internet网络。由于计算机具有脆弱性,Internet网络具有开放性和不可控制性,以及电子商务交易对象、交易凭证、交易结算方式均与传统的商务模式具有根本性的差别,这就使得电子商务的安全性问题成为开展网络电子商务所面临的巨大挑战。电子商务面临的威胁可以概括为三类:
1内部的威胁。包括内部涉密人员有意或无意的泄密以及蓄意破坏和更改信息系统、内部非授权人员窃密和更改信息。
2外部网络连接者的威胁。包括截获机密信息、通过电信号推出有用信息、外部网络连接者的非法攻击、合法用户的非授权操作、合法用户的抵赖行为和合法用户的无意泄密。
3其他威胁。包括各种灾害、网络故障、操作失误和计算机病毒等。
三、电子商务安全体系架构
电子商务的安全不仅是技术性问题,而且它具有社会的复杂性。因此,要系统有效地解决电子商务的安全问题,就必须从技术和管理两个方面来构架其安全体系。
(一)技术方面。技术方面是本文所要阐述的主要方面,因为它能够依靠企业自身的努力来达到令人满意的安全保障效果。目前,关于电子商务安全体系的研究比较多,有基于层次的体系,也有基于对象的体系,还有基于风险管理的体系,等等。在我国,虽然电子商务发展比较快,但整体发展水平还是比较低,大部分企业对电子商务的认识和实际的开展情况都不尽如人意,多数的企业网站仅有主页和E—mail地址,这其中安全是十分突出的问题。本文研究了基于敏感数据流的安全体系,通过跟踪敏感数据流来构建安全体系,既可以从全程保证所有敏感数据的安全,又可以减掉各种不必要的安全投入,提高资源使用效率。
1客户机的数据安全。从第一个电子商务的客户通过电子网络向企业的电子设备发送信息的那一刻起,敏感数据便产生了。客户机的安全不仅是电子商务安全的第一步,而且是电子商务安全密不可分的重要部分。客户机的安全应考虑以下几个方面:
(1)Cookies。Cookies能够存储客户机信息、客户的登录信息和一些历史商务信息,以方便客户再次登录时提交给电子商务服务器。避免这些敏感信息泄露的最彻底力、法就是关闭cookie功能。但这有时会使打开一些网页受到影响。大部分浏览器既可以提供cookie的管理功能,也可以利用第三方软件来管理cookie。
(2)活动内容。活动内容是嵌入网页可以自动或激发执行的代码,包括Cookies、Java小程序、Java脚本、VB脚本和ActiveX控件。他们是植入木马病毒的重要途径。
(3)插件。它多半是与多媒体播放有关的程序,但它会导致一些嵌入影音文件的恶意代码被执行。
