中国互联网络信息中心于2010年3月发布的《2009年中国网民网络信息安全软件使用行为调查报告》显示,在2009年有52%的网民曾遭遇过网络安全事件。网络信息安全对众多网民来说不再只是停留在新闻报道或他人述说中,而成为需要实际应对和处理的问题。在网民遭遇过的网络安全事件中,病毒、木马等恶意代码入侵计算机事件占绝大多数。调查结果显示,网络下载和浏览成为病毒和木马传播的主要渠道,77.5%的网民在网络下载或浏览时遭遇病毒或木马的攻击;移动存储介质,如U盘、移动硬盘、光盘等,成为病毒或木马传播的第二渠道,有26.9%的网民遭遇过类似的网络攻击。另有10.1%的网民并不知道是什么原因导致其计算机感染病毒或木马,这说明,一方面目前的病毒和木马攻击越来越隐蔽;另一方面,网民的安全基础知识还有待进一步普及。
1.潜在的安全威胁
要实现信息的机密性、完整性、可用性以及资源的合法使用这4个基本安全目标,必须采取相应的安全措施对抗下面4种基本安全威胁。
●信息泄露:指信息被泄露或透露给某个非授权的人或实体。这种威胁主要来自于窃听、搭线或其他更加复杂的信息探测攻击。
●完整性破坏:指数据的一致性通过非授权的增删、修改或破坏而受到损坏。
●拒绝服务:指对信息或其他资源的合法访问被无条件地阻止。例如,攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载,从而导致系统的资源耗尽,无法接受合法用户的访问请求。
●非法使用:指某一资源被某个非授权的人或以某一非授权的方式使用。例如,侵入某个计算机系统的攻击者会利用这一系统作为盗用系统服务的基点或者作为入侵其他系统的出发点。
在安全威胁中,主要的可实现威胁是十分重要的,因为任何一种威胁的实现都会使基本威胁成为可能。在无线局域网环境下,主要的可实现威胁有非授权访问、窃听、伪装、篡改信息、否认、重放、重路由、错误路由、删除消息、网络泛洪(Flooding)等。这些威胁中任何一种都可能直接导致基本威胁的实现。
(1)非授权访问
非授权访问是指入侵者能够访问未授权的资源或收集有关信息。对限制资源的非授权访问有两种方式,一种是入侵者突破安全防线访问资源;另一种是入侵者盗用合法用户授权,而以合法用户的身份进行非法访问。通过无授权访问,入侵者可以查看、删除或修改机密信息,造成信息泄露、完整性破坏和非法使用。
(2)窃听
窃听指入侵者能够通过通信信道来获得信息。大多数通过网络发送的数据都是“文本”形式,也就是在加密成密文之前的普通的可读文本。这就意味着,任何人使用网络“嗅探器”都可能读取这些文本信息。
一些保存用户名和密码列表的服务器应用程序允许这些登录信息以文本格式在网络中传输,这使得攻击者可以很容易获得这些信息。而这些信息可能包含敏感数据,如信用卡号码、社保号码、个人电子邮件内容和企业机密信息等。这个问题的解决方案就是使用信息安全技术,对网络传送的数据进行加密。
(3)伪装
伪装是指入侵者能够伪装成其他实体或授权用户,对机密信息进行访问。黑客大多是采用伪装、欺骗或假冒攻击的。例如,IP“欺诈”行为就是假冒网络中合法主机的身份,获取对内部网络中计算机的访问权限。
(4)篡改信息
当非授权用户访问系统资源时,会篡改信息,从而破坏信息的完整性。
(5)否认
否认是指接收信息或服务的一方事后否认曾经发送过请求或接收过信息或服务。这种安全威胁与其他安全威胁有着根本的不同,它主要来自于系统内其他合法用户,而不是来自于未知的攻击者。
(6)重放、重路由、错误路由、删除消息
重放攻击是攻击者将复制的有效消息事后重新发送或重用这些消息以访问某种资源。重路由攻击是指攻击者改变消息路由以便捕获有关信息。错误路由攻击能够将消息路由到错误的目的地。而删除消息攻击是攻击者在消息到达目的地前将消息删除掉,使得接收者无法收到消息。
(7)网络泛洪
当入侵者发送大量的假的或无关的消息时,会发生网络泛洪,从而使得系统忙于处理这些伪造的消息而耗尽其资源,进而无法对合法用户提供服务。
2.潜在的安全风险
由于受到以上所提到的安全威胁,从而导致以下潜在的安全风险:窃取信息、非授权使用资源、窃取服务、拒绝服务。
(1)窃取信息
当入侵者访问受限制时,可能发生窃取信息。导致窃取信息的安全威胁有非授权访问、伪装和窃听。
(2)非授权使用资源
导致非授权使用资源的安全威胁有非授权访问、伪装、篡改信息、重放、重路由或错误路由消息等。
(3)窃取服务(www.xing528.com)
窃取服务是指在没有授权或没有付费的情况下使用资源。导致窃取服务的安全威胁有非授权访问、伪装、篡改信息、否认、重放、重路由、错误路由或删除消息。
(4)拒绝服务
拒绝服务是指阻止资源按计划运行,其目标可能是单个用户也可能是整个网络。导致拒绝服务的安全威胁有非授权访问、伪装、破坏资源管理信息、重路由、错误路由或删除消息、网络泛洪。
表1-1给出了安全威胁与安全风险的关系。
表1-1 安全威胁与安全风险的关系
(续)
随着互联网应用的普及,越来越多的传统企业借助电子商务提升业绩和影响力。网络商务应用一直都在受到各种破坏安全环境因素的困扰。根据CNCERT的监测数据显示,仅2010年上半年,近六成网民访问网站遇到过病毒或木马攻击;超三成网民账号或密码曾经被盗;近九成的电子商务网站访问者担心假冒网站。网络安全和信任问题已经成为电子商务持续深层次发展的最大制约因素,互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
(1)电子商务所面临的信息安全威胁
●网络平台的安全威胁:由于电子商务通过网络传输进行,因此难以预测诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件、篡改删除信息内容等行为,也会给企业造成损失。
●操作系统的安全缺陷:操作系统是最重要的系统软件,是电子商务运行的基础。但是操作系统存在安全漏洞已经是人人皆知的事实,例如,正是因为Windows操作系统的安全漏洞引发了许多安全事件。
●商务软件本身存在的漏洞:任何一种商务软件的程序都具有复杂性和编程多样性,而对于程序而言,越复杂意味着漏洞出现的可能性越大。这样的漏洞加上操作系统本身存在的漏洞,再加上通信协议TCP/IP的先天安全缺陷,商务信息安全就像是一扇扇可打开的门,遭遇威胁的可能性随着计算机网络技术的不断普及而越来越大。
●黑客入侵:在诸多威胁中,病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。
因此,要构建安全的电子商务环境,需要有安全的计算机网络平台、安全的操作系统、安全的应用软件、安全的电子商务网站、安全的电子支付协议等。本书正是从这几个方面来研究电子商务安全的理论与方法。
(2)电子商务交易过程中的安全威胁
从电子商务交易过程来看,在传统的商务活动中,买卖双方是面对面完成交易活动的,因此比较容易保证交易过程的安全性和建立起信任关系。但是在电子商务过程中,买卖双方通过网络来联系,互不谋面,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(商家和消费者)都面临安全威胁。
1)商家面临的安全威胁主要如下。
●入侵电子商务系统:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。
●假冒攻击:攻击者提供虚假订单、对商家进行恶意评价、损坏商家的信誉等。
●信用的威胁:买方提交订单后不付款等。
2)消费者面临的安全威胁主要如下。
●网络“钓鱼”攻击(Phishing):攻击者通过精心设计与商家网站非常相似的“钓鱼”网站来假冒商家的网站,以骗取消费者在此网站上输入的个人敏感信息,如信用卡号、银行卡账户、身份证号等内容。2011年1月13日,亚洲最大信息安全厂商瑞星公司发布《瑞星2010年度安全报告》。报告指出,2010年全年,我国新增“钓鱼”网站175万个,比去年增加1186%;其中,“钓鱼”网站的受害网民高达4411万人次,损失超过200亿元。
●付款后不能收到所购买的商品:消费者在要求付款后却没有如期收到所购买的商品。
●消费者信息被泄露:存储在商家客户管理系统中的客户资料被泄露。
●拒绝服务攻击:由于攻击者可能向商家的服务器发送大量的虚假定单来挤占它的资源,从而使合法用户不能得到正常的服务。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
