摘要 隨著Internet的快速發(fā)展，電子商務(wù)應(yīng)用日趨普遍，而互聯(lián)網(wǎng)上的安全事件不斷出現(xiàn)，黑客事件屢見(jiàn)不鮮，已經(jīng)成為桎梏電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的重要因素。本文將從目前常見(jiàn)的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件類(lèi)型分析，介紹目前影響電子商務(wù)發(fā)展的主要網(wǎng)絡(luò)安全問(wèn)題，并結(jié)合法律與應(yīng)急事件響應(yīng)、安全管理架構(gòu)等方面，給出一些建議。

關(guān)鍵字 電子商務(wù) 網(wǎng)絡(luò)安全 事件類(lèi)型 安全建議

1前言 隨著Internet的快速發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)的發(fā)展前景十分誘人，而其安全問(wèn)題也變得越來(lái)越突出。近年來(lái)，網(wǎng)絡(luò)安全事件不斷攀升，電子商務(wù)金融成了攻擊目標(biāo)，以網(wǎng)頁(yè)篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡(jiǎn)稱(chēng)CNCERT/CC）作為接收國(guó)內(nèi)網(wǎng)絡(luò)安全事件報(bào)告的重要機(jī)構(gòu)，2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件，為2004年全年64686件還要多。在CNCERT/CC處理的網(wǎng)絡(luò)安全事件報(bào)告中，網(wǎng)頁(yè)篡改占45.91％，網(wǎng)絡(luò)仿冒占29%，其余為拒絕服務(wù)攻擊、垃圾郵件、蠕蟲(chóng)、木馬等，2004年以來(lái)，我國(guó)面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大，仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。數(shù)字顯示，電子商務(wù)等網(wǎng)站極易成為攻擊者的目標(biāo)，其安全防范有待加強(qiáng)。如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶(hù)都十分關(guān)心的話(huà)題。

2影響電子商務(wù)發(fā)展的主要網(wǎng)絡(luò)安全事件類(lèi)型 一般來(lái)說(shuō)，對(duì)電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)蠕蟲(chóng)、拒絕服務(wù)攻擊、特羅伊木馬、計(jì)算機(jī)病毒、網(wǎng)絡(luò)仿冒等，而近幾年來(lái)出現(xiàn)的網(wǎng)絡(luò)仿冒（Phishing），已逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅之一。 2.1網(wǎng)絡(luò)篡改 網(wǎng)絡(luò)篡改是指將正常的網(wǎng)站主頁(yè)更換為黑客所提供的網(wǎng)頁(yè)。這是黑客攻擊的典型形式。一般來(lái)說(shuō)，主頁(yè)的篡改對(duì)計(jì)算機(jī)系統(tǒng)本身不會(huì)產(chǎn)生直接的損失，但對(duì)電子商務(wù)等需要與用戶(hù)通過(guò)網(wǎng)站進(jìn)行溝通的應(yīng)用來(lái)說(shuō)，就意味著電子商務(wù)將被迫終止對(duì)外的服務(wù)。對(duì)企業(yè)網(wǎng)站而言，網(wǎng)頁(yè)的篡改，尤其是含有攻擊、丑化色彩的篡改，會(huì)對(duì)企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害。 2.2網(wǎng)絡(luò)蠕蟲(chóng) 網(wǎng)絡(luò)蠕蟲(chóng)是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng)，自我復(fù)制，并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進(jìn)行傳播。網(wǎng)絡(luò)蠕蟲(chóng)的危害通常有兩個(gè)方面：1、蠕蟲(chóng)在進(jìn)入被攻擊的系統(tǒng)后，一旦具有控制系統(tǒng)的能力，就可以使得該系統(tǒng)被他人遠(yuǎn)程操縱。其危害一方面是重要系統(tǒng)會(huì)出現(xiàn)失密現(xiàn)象，另一方面會(huì)被利用來(lái)對(duì)其他系統(tǒng)進(jìn)行攻擊。2、蠕蟲(chóng)的不斷蛻變并在網(wǎng)絡(luò)上的傳播，可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生，從而致使網(wǎng)絡(luò)癱瘓，使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。 2.3拒絕服務(wù)攻擊 拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺(tái)或大量的計(jì)算機(jī)針對(duì)某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪(fǎng)問(wèn)，使得被訪(fǎng)問(wèn)的計(jì)算機(jī)窮于應(yīng)付來(lái)勢(shì)兇猛的訪(fǎng)問(wèn)而無(wú)法提供正常的服務(wù)，使得電子商務(wù)這類(lèi)應(yīng)用無(wú)法正常工作。 一般來(lái)說(shuō)，這是黑客常用的一種行之有效的方法。如果所調(diào)動(dòng)的攻擊計(jì)算機(jī)足夠多，則更難進(jìn)行處置。尤其是被蠕蟲(chóng)侵襲過(guò)的計(jì)算機(jī)，很容易被利用而成為攻擊源，并且這類(lèi)攻擊通常是跨網(wǎng)進(jìn)行的，加大了打擊犯罪的難度。 2.4特羅伊木馬 特羅伊木馬（簡(jiǎn)稱(chēng)木馬）是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶(hù)所知的惡意程序，通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來(lái)與外界連接，并接受外界的指令。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會(huì)被外界所獲得，并且該系統(tǒng)也會(huì)被外界所控制，也可能會(huì)被利用作為攻擊其它系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時(shí)都會(huì)同時(shí)把木馬植入到被侵入的系統(tǒng)中。 2.4網(wǎng)絡(luò)仿冒（Phishing） Phishing又稱(chēng)網(wǎng)絡(luò)仿冒、網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚(yú)攻擊等，是黑客使用欺詐郵件和虛假網(wǎng)頁(yè)設(shè)計(jì)來(lái)誘騙收件人提供信用卡帳號(hào)、用戶(hù)名、密碼、社會(huì)福利號(hào)碼等，隨后利用騙得的帳號(hào)和密碼竊取受騙者金錢(qián)。近年來(lái)，隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及，網(wǎng)絡(luò)仿冒事件在我國(guó)層出不窮，諸如中國(guó)銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用，特別是電子商務(wù)應(yīng)用的主要威脅之一。 根據(jù)國(guó)際反仿冒郵件工作小組（Anti-Phishing Working Group，APWG）統(tǒng)計(jì)，2005年4月共有2854起仿冒郵件事件報(bào)告；從2004年7月至2005年4月，平均每月的仿冒郵件事件報(bào)告數(shù)量的遞增達(dá)率15%；僅在2005年4月，就共有79個(gè)各類(lèi)機(jī)構(gòu)被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網(wǎng)絡(luò)仿冒事件。從這些數(shù)字可以看到，Phishing事件不僅數(shù)量多、仿冒范圍大，而且仍然在不斷增長(zhǎng)。 網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊，充分利用互聯(lián)網(wǎng)的開(kāi)放性，往往會(huì)將仿冒網(wǎng)站建立在其他國(guó)家，而又利用第三國(guó)的郵件服務(wù)器來(lái)發(fā)送欺詐郵件，這樣既便是仿冒網(wǎng)站被人舉報(bào)，但是關(guān)閉仿冒網(wǎng)站就比較麻煩，對(duì)網(wǎng)絡(luò)欺詐者的追查就更困難了，這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢(shì)之一。 據(jù)統(tǒng)計(jì)，中國(guó)已經(jīng)成為第二大仿冒網(wǎng)站的屬地國(guó)，僅次于美國(guó)，而就目前CNCERT/CC的實(shí)際情況來(lái)看，已經(jīng)接到多個(gè)國(guó)家要求協(xié)助處理仿冒網(wǎng)站的合作請(qǐng)求。因此，需要充分重視網(wǎng)絡(luò)仿冒行為的跨國(guó)化。

3安全建議 隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜，網(wǎng)絡(luò)安全事件不斷出現(xiàn)，電子商務(wù)的安全問(wèn)題日益突出，需要從國(guó)家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施，才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展。 3.1不斷完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用 目前我國(guó)對(duì)于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺，尤其是互聯(lián)網(wǎng)這樣一個(gè)開(kāi)放和復(fù)雜的領(lǐng)域，相對(duì)于現(xiàn)實(shí)社會(huì)，其違法犯罪行為的界定、取證、定位都較為困難。因此，對(duì)于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類(lèi)網(wǎng)絡(luò)安全事件的違法犯罪行為的立法，需要一個(gè)漫長(zhǎng)的過(guò)程。 根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點(diǎn)，需要建立健全協(xié)調(diào)一致，快速反應(yīng)的各級(jí)網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定，為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。

4小結(jié) Internet的快速發(fā)展，使電子商務(wù)逐漸進(jìn)入人們的日常生活，而伴隨各類(lèi)網(wǎng)絡(luò)安全事件的日益增加與發(fā)展，電子商務(wù)的安全問(wèn)題也變得日益突出，建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，已經(jīng)成為商家和用戶(hù)密切關(guān)注的話(huà)題。 本文主要從目前深刻影響電子商務(wù)應(yīng)用與發(fā)展的幾種主要的網(wǎng)絡(luò)安全事件類(lèi)型出發(fā)，闡述了電子商務(wù)的網(wǎng)絡(luò)安全問(wèn)題，并從國(guó)家相關(guān)法制建設(shè)的大環(huán)境，應(yīng)急響應(yīng)組織的作用與意義，以及企業(yè)具體的電子商務(wù)網(wǎng)絡(luò)安全整體架構(gòu)等方面，給出一些建議與思考。