Internet电子商务和安全.pdfVIP

l nternet电子商务与安全 郭漫雪赵利军 信息产业部电信研究院新业务开发研究中to) 摘要：电子商务是当夸IT领域和经济领域的热门话题，当概念从务虚走向务实时， 存在的一些问题就会成为发展的障碍．奉论丈在阐述了Interact电子商务存在的制 e 约其发展的安全固素后，描述了针对Inl rne【电子商务发展的安全策略，并就电子 商务系统中的安全问题进行了详细说明． 自80年代末以来，信息安全事件不断骚扰全球成千上万的计算机系统和网络，对各国 和社会各方面造成了越来越重的威胁，带来了日益严重的安全风险。 近两年，电子商务成为了IT业的热点。广义地讲，电子商务指的是刮用简单、快捷、 低成本的电子通信方式，买卖双方不谋面地进行各种商贸活动。但是，现在人们所探讨的 术的日益成熟，电子商务真正的发展将是建立在Internet技术上的。所以也有人把电子商 ECOMMERCE)。 务简称为IEC(INTERNET Internet电子商务是指利用TcP／IP公众网络和技术进行的在线交易和商务作业；舌动， 最终实现信息流、资金流和物流的完全电子化，真正实现网上社会。 Internet的发展带来了信息化高速发展的新挈机，建立了一种信息共享和人际交流的 新模式．Internet不仅给信息领域带来新的机遇，也给经济领域开辟了新的天地，开创了 新的经济模式．IEc正是这种新经济模式的表现形式之一。IEc具有诱人的商业前号，然而 IEC背后存在的安全隐患不能不认真思考和解决．一旦出现安奎问题，不仅仅是泄露了信 息，损失了金钱，严重的可能会给国家带来重大损失。 一、fnternet电子商务面临的挑战 Internet网络面临着多种安全威胁，如黑客攻击，病毒八侵，拒绝服务等。带来这些 安全隐患的因素是多种多样的，如计算机系统本身的安全漏洞，系统网络设计漏洞，压用 软件的设计Bug，协议设计漏洞等． 众所周知，Internet网络的基石是TCP／IP协议，该协议在实现上力求简单高效，而没 有考虑安全因素，因而可以说TCP／IP协议本身在设计上就是不安全的。这主要表现在： l、网络数据很容易被窃听和欺骗 Int ernet网络是通过TCP／IP协议和各种网络设备，如路由器、交换机，将各种局域网 络和各种主机连接在一起，实现信息资源的共享．目前大多数类型的局域网(如眦太网， 令牌网)都是广播型网络，也就是说一台主机发布消息，同一局域网内任何一台主机都可 以收到这个消息．一般情况下，以太网卡在收到发往别人的消息时会自动丢弃消息，而不 向上层传递消息。但以太网卡的接收模式可以设置成混合型，这样网卡就会捕捉所有的数 据包，并把这些数据包向上传递，导致消息被窃听，另外，当两台处于不同局域网的主机 进行通信时，发送方发送的数据包经过多重路由过程才可到达接收方。如果黑客在数据包 的传输路径上设置一台监听主机，那么他就可以很容易的获取用户的数据包．如果数据包 没有进行加密，则数据包信息就会泄露出去。 通过网络窃听幸口数据包劫持，窃听者能够获得足够的信息来进行伪装，从而实施电子 囊囊，知fp弛麓默鞠和咪s_鬟骗． 2、T伢，IP■釉々麓稿性． 纛于咒P，IP协议的服务穰多，如常见的-w服务、FTP服务和电子邮件服务．这些蕞 务槭多戒少存在安金臆怠． ssL协议‘安奎套接字屡)使w■服务的安奎幢爨高了稚多，但它主要癖央的是投毒I电 在待★避蠢中的安全问题，解决的是教捂包被奋听和劫持的问置．最初w■氟务只提供尊 志辩糯r更雨，后拳引入了∞I程序．然而ccI程序彝存在安全蔫栅。很客I矗被熏客利用 擞一擘枣法韵事情．。 电予姆．}=纛争峥^．价提供了一种便生．方曩和抉冀均．麓务．现在，UNIX环境下蟪电子 ■惶纛务矗．．纛蔗．翱埘吐iI，它是·十戈采置鳞侥舜丸的童月软件，但它存轰许多蠹垒漏 洞．“弄井．‘屯予嶂悴鼾r蘑的Tord文件或箕拖走静寡可●|鲁◆有II毒．电干婶捧蚌殍穰霜户 的■纛无漆正常彼用． F仃■蠢怿身—种文件传递最务，可用来上，卞讽任何类型的姘．睡名F口是幸常使 用的—t_皤方式．许多站点都为用户提供了量名