电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。随着Internet的快速发展,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务成了攻击目标,以网页篡改、垃圾邮件和流氓软件为主的网络安全事件正在大幅攀升。国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)作为接收国内网络安全事件报告的重要机构,在其《2006年上半年网络安全工作报告》中显示,2006年上半年共收到网络安全事件报告6765件,平均每月1100 多件。更让人担心的是,网络攻击行为趋利化,网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利益,大量的知名电子商务假冒网站诞生,如2006 年5月27日,北京市某区政府服务器被入侵植入香港汇丰银行的假冒网站;2006年4月,中国某银行网站被植入假冒Paypal 网站;2006 年6 月19 日,大连市某区政府网站邮件服务器被入侵并植入电子港湾(eBay)的假冒网站。这些事件表明,网络黑客已经盯上了电子商务中能直接获取经济利益的网上交易平台。尤为严重的是,黑客利用篡改的政府机关网页来对假冒的网站进行欺骗,手段越来越隐蔽,趋利性越来越强,这些都就给电子商务安全的开展和迅速的普及加大了安全难度。
网络攻击者利用社交工程、邮件、恶意网页和漏洞等方式传播恶意代码,利用木马和间谍软件窃取用户的现实财产(如网上银行帐户密码、证券股票的交易密码等)和虚拟财产(如网络游戏身份和武器装备等),并采用有效的信息回收方式获得窃取到的信息;攻击者编写并出售零日攻击(0-Day Attack)恶意软件或者按照购买者的要求定制恶意软件,借此从中获利;攻击者将窃取的或者从其他攻击者手里收购的信息出卖,从中获得高额收入。以上环节逐步构成网络经济犯罪链,这一犯罪链已日趋成熟,给还未成熟的电子商务又增加了发展的障碍。
一、制约电子商务发展的主要网络安全事
件类型 一般来说,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特洛伊木马、计算机病毒、网络仿冒等,而近几年来出现的网络仿冒(Phishing),已逐步成为影响电子商务应用与发展的主要威胁之一。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。[page]
根据CNCERT/CC 监测,2006年上半年发现我国大陆地区被篡改网站总数达到5781 个,其中政府网站1592 个。2006 年上半年我国被篡改网站数量和政府网站被篡改数量按月统计情况如下图所示。
2.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:首先,蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击;其次,蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
3.僵尸网络(Botnet)
它是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时这些计算机所保存的信息也都可被黑客随意取用。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
僵尸程序(bot)更加注重隐蔽,为了达到长期控制感染主机的目的,出现了更多利用rootkit 原理隐藏进程的僵尸程序。2006 年上半年, CNCERT/CC 累计发现中国大陆地区有七百多万个IP 地址的主机被僵尸网络控制,其中节点数大于5000 的僵尸网络有199 个。根据监测,最大的Toxbot 僵尸网络累计感染180 多万个客户端(不区分动态IP),该僵尸网络至少已经持续活动9 个月,并不断进行扫描扩张、键盘记录等活动。中国大陆感染僵尸程序的主机较2005 年有增多趋势。
4.拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。[page]
5.特洛伊木马
特洛伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
各类安全事件中,由于木马事件隐蔽性非常强,被植入木马的计算机会被攻击者通过网络秘密控制,因此木马事件的危害极为严重,往往成为信息泄露的重要原因。
2006 年上半年,CNCERT/CC 对一些常见木马程序的活动状况进行了抽样监测,发现我国大陆地区23300 百多个IP 地址的主机被植入木马,最多的地区分别为广东省(16%)、上海(15%)和北京(15%),木马的控制主机主要位于美国(32%)、中国台北(19%)、中国香港(18%)等地。
6.网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
2006年CNCERT/CC 上半年共接到网络仿冒事件报告266 件。这些网络仿冒类事件全部是国际应急组织和安全小组报告并要求协助处理的,被仿冒的网站大都是国外的著名金融机构。从这些数字可以看到,Phishing事件不仅数量多、仿冒范围大,而且仍然在不断增长。下表列出了报告网络仿冒事件数量较多的组织机构。
网络仿冒事件报告者数量
eBay(美国网上交易站点)128
Verisign(美国网络安全公司)57
HSBC(汇丰银行)11
FIDUCIA(德国网络安全公司)7
MM Ops Center(美国网络安全公司)7
Brandimensions(加拿大网络安全公司)6
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。据统计,中国已经成为第二大仿冒网站的属地国,仅次于美国。[page]
二、建立整体的网络安全架构 切实保障电子商务的应用发展
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.不断完善法律与政策依据
自1994年发布《中华人民共和国计算机信息系统安全保护条例》以来,我国已建立了初步的具有中国特色的网络法律体系。但现有的网络法规存在着明显不足:
一是应该把网络安全立法问题提高到事关国家安全、社会稳定、产业发展的高度和信息化建设的全局来考虑,尽快制定一部网络安全方面的基本法。
二是在一些基本法中补充有关网络安全内容的规定。相对于现实社会,网络违法犯罪行为的界定、取证、定位都较为困难。因此需要在《刑法》中对黑客犯罪的犯罪构成、刑罚幅度作出相应的规定,在《行政法》中规定对网络违规行为的制裁和制裁程序。
三是建立配套的行政法规和部门规章,形成一个以网络法为核心、由基本法的相关内容作配套、由行政法规作补充的完整的法律体系。
从各类网络安全事件分析中我们看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。国内的eBay易趣“安付通”、淘宝网“支付宝”,主要由民间企业担当的第三方支付平台,在商业信誉及资金实力上都无法与正规的金融机构相比较,也就不能完全替代其发挥相应的作用,国家应该在这个方面有所作为。
2.安全管理
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
3.安全保护
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。[page]
4.安全监控/审计
安全监控主要是指实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的重要组成部分。审计是通过记录通过网络的所有数据包,然后分析这些数据包,帮助查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天是安全的策略,明天就会变得不安全,因此应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
5.事件响应与恢复
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。
当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
