(这条文章已经被阅读了 79 次) 时间:2001-02-08 00:25:18 来源:无线局域网 (pem) 原创-IT
http://www.happyfruit.com
电子商务咨询研究部
电子商务的基础因特网不是十分安全和可信的。在电子商务系统中无论是商品的销售者会使消费者都面临许多安全威胁,主要的威胁综合如下:
1. 对销售者的威胁
中央系统安全性被破坏:入侵者假冒成合法用户来改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。
竞争者检索商品递送状况:不诚实的竞争者一他人的名义来订购商品,从而了解有关商品的递送状况和货物的库存情况。
客户资料被竞争者获悉。
被他人假冒而损害公司的信誉:不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。
消费者提交订单后不款。
虚假订单。
获取他人的机密数据:当某人想要了解另一个人在小受伤出的新于是,他以另一人的名字向销售商订购昂贵的商品,然后观察销售商的行动。假如销售商认可该订单,则说明被观察者的信誉高,否侧,则说明被观察者的信誉不高。
2. 对消费者的威胁
虚假订单:一个假冒者可能会以客户的名字来订购商品,而且有可能受到商品,而此时客户却被要求付款或返还商品。
付款后不能收到商品:在要求客户付款后,销售商中的内部人员不将订单和钱转发给执行部门,因而使客户不能收到商品。
机密性丧失:客户有可能将秘密的个人数据或自己的身份数据(如PIN、口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听。
拒绝服务:攻击者可能向销售商的服务器发送大量的虚假订单来穷竭他的资源,从而使合法用户不能得到正常的服务。
正是由于以上威胁,一个销售者会对电子商务提出一下要求;
能鉴别消费者身份的真实性和得到消费者对商品或服务付款的能力。
知识产权保护。“数据商品”易于拷贝和分配,使商品的开发者的知识产权容易受到侵害,因此电子商务系统中应提供可靠的机制来保护知识产权。
有效的争议解决机制。当消费者收到商品或得到服务却说没有收到商品和服务时,销售者能出示有效证据,使用有效的解决机制来解决争议。防止销售者提供的服务被破坏。
同时,消费者会对电子商务系统提出以下要求:
能对销售者的身份进行鉴别,以保证消费者能确认他要进行鉴别,以保证消费者能确认他要进行交易的对方是他所希望的银行、销售商或政府部门,而不是一个欺骗者。
能保证消费者的机密信息和个人隐私不被泄露给非授权的人。
有效的争议解决机制。当消费者为商品付款后未收到商品,或收到错误的商品或收到不能保证的商品时,消费者能出示有效的证据,利用争议解决机制来解决争议。
抽象地看,所有这些要求可归纳成如下安全要求。
真实性要求:能对信息、实体的真实性进行鉴别。
机密性要求:保证信息不被泄露给非授权的人或实体。
完整性要求:保证数据的一致性,防止数据被非授权建立、修改和破坏。
可用性要求:保证合法用户对信息和资源的使用不会被不正当的拒绝。
不可否认要求:建立有效的责任机制,防止实体否认其行为。
可控性:能控制使用资源的人或实体的使用方式。
少有网站制定有保护用户稳私的政策。尽管目前很多网站都已制定用户隐私保护措施,但仍有一些网站“上有政策,下有对策”,在未经用户同意的情况下仍与第三方共享私人信息。虽然大多数的黑客袭击网站都单纯是为了夸耀自己的才能或为了达到某种政治目的,但是为获取非法经济利益的案例却越来越多。例如2月份,汉城的一名黑客就要求移动电话公司Arreo Communications付给他1亿韩元(相当于9万美元),作为他停止袭击其网站的条件。黑客盗用信用卡也变得越来越普遍,颇令人担忧。 香港检察局局长Grenville Cross说:“黑客曾经被看做是最富有好奇心的计算机科学的学生。”但是,现在他却认为黑客的目的是“获取敏感商业信息和网络帐户数据,然后再把它们卖个好价钱”。由于黑客袭击动摇了消费者对通过网络进行各种交易的信心,所以它对亚洲电子商务的发展也产生了重要影响。根据美国一研究机构Dataquest的预计,到2003年亚洲的电子商务将增长到2800亿美元。最近,香港的一位法官对三个十几岁的孩子——他们因为偷窃密码而被判有罪——说:“正是像你们这类的行为才使得互联网的每一个正直的用户在进行哪怕是最基本的交易时也要犹豫一下。” 实际上,网络为亚洲其他犯罪形式都提供了工具。中国的汽车走私者通过电子邮件和网站从香港订购汽车;日本的犯罪同伙利用网络,拐卖菲律宾妇女到日本的妓院从事卖淫活动;香港的犯罪同伙通过电子邮件发恐吓信……网络犯罪几乎无处不在,数字产品如音乐、唱片和影碟不断被盗版,并在网上出售。
各国执法部门的普遍疲软使犯罪分子可以通过互联网接触到更多的人、更多的地区。由警察局经营的“菲律宾传统犯罪中心”技术管理部的主管Alberto Astudillo说,他的同事正在调查几家提供“邮寄新娘”服务的网站,以免它们从事不合法的贩卖妇女的活动,如敲诈勒索或性奴隶等。他透露,被调查的网站包括AsianRose Travel(www.asianrose.com)和 Asian Flower(www.asianflower.com)。目前,警方还没有正式控告它们。这两家网站的经营者(总部都设在美国)在陈述中否认自己的网站从事非法活动。Astudillo说,在证实网站是否从事非法交易方面他做不了什么,因为这些网站都是国外经营的,他们正是利用法律的漏洞从事交易活动的。
安非他命(一种毒品)的交易者已经开始应用互联网来提高自身销售网络的效率。目前,他们的销售网络已经延伸到了台湾和香港。自11月份起,泰国和美国的官员就关闭了四家在泰国经营的公司。这些公司在美国向消费者出售未经法律许可的处方药。
犯罪分子正以更加复杂的方式利用互联网。例如,网络银行的发展就被认为是洗黑钱飞速增加的温床。澳大利亚的官员说,澳大利亚可疑金融交易在整个金融交易中所占的比重——包括洗黑钱——已经增加一倍。这种现象产生的部分原因就是:通过网络银行可以很容易就进行交易。
总部设在伦敦的HSBC集团(汇丰银行)六边联合电子银行系统在亚洲的消费者将达到2万人以上,这就为通过网络洗黑钱打开了方便之门,“这类银行越多,犯罪分子通过非法手段移走钱就越容易”。但是,香港的一位银行发言人Gareth Hewlett 却认为,银行支部的官员将继续保持与系统用户面对面的联系,以禁止洗黑钱活动的发生。亚洲尤其是香港、澳大利亚和日本的官员,对于“pump and dump”(这种形式在美国已经发展起来)的潜在增长一直十分警惕。股票推销商通过网络或电子邮件使鲜为人知的公司的股票价值膨胀起来,当股票价格上涨时,他们又卖光所有的股票。1月份,美国官员对Yun Soo Oh”Tokyo Joe”Park提起诉讼,理由是他违反法律规定,抛售他向客户推荐的公司的股票。但是,Park的律师否认他触犯了安全法,要求判处他无罪。Else说,这类事件也有可能在香港发生,因为香港股票市场具有很大的利益吸引力。早在1998年5月,由非政府组织“亚太地区安全合作委员会”组建的一个工作小组就警告说,“很明显,网络空间的犯罪已经威胁到国家和地区的安全与稳定”。同时,该小组还提供了当时亚洲很多网络犯罪的例证,敦促各国政府采取必要的行动。
目前缺少配套法律定义黑客袭击和通过网络所从事的传统犯罪。例如,网络赌博是不合法的,但是如果它发生在国家非管辖领域内,警方就很难起诉当事人。同时,在香港和马来西亚这样没有专门法律的国家和地区内,网络欺诈和偷窃的很多案子都无法根据普通法律提起诉讼。
香港,地区安全局已经成立了一个特别小组,6月份左右就将建议政府制定新的法律;韩国的检察部门已经在3月底成立了一个网络犯罪咨询委员会;今年,泰国和菲律宾将通过各种法律规范电子商务和银行安全;日本在2月份通过了一个反黑客的法律。但是,正如Online Labs的Laykin所指出的那样,即使不需要几年的时间至少也需要花上几个月,法律才有可能完备起来,法庭才有可能精通网络犯罪。好的法律还要求好的执法部门。香港的反计算机犯罪单位已经实现了专业化,具体负责商业犯罪、海关、移民和反贪污。日本和新加坡——这两个国家已派警察赴香港研究其反网络犯罪的措施——在反网络犯罪方面也不甘落后,他们正迎头赶上.执法部门却受到资源匮乏的制约。例如,菲律宾反跨国犯罪中心的“反网络犯罪五人小组 ”就缺乏足够的计算机或人力完成自己的使命。这个问题应该引起整个亚洲地区的关注,因为虽然在反网络犯罪的斗争中跨境合作实际上是不存在的,但是许多网络罪犯确实都是跨境作案的。
与网络犯罪做斗争,在很大程度上还将依靠:在互联网产业与拥有庞大数据库网络的公司内计算机安全产品的升级换代以及技术人员的努力。IDC估计,去年亚太地区计算机安全产品和服务市场的价值达到了4亿美元,在未来的3年时间内这个数字将每年增长30%。
主要的责任应该由公司和个人来承担。政府应该制定出有利于公司和个人承担责任的模式,以此在反网络犯罪的斗争中扮演领导角色。只要在政府、公司和个人之间形成了平衡,互联网给亚洲地区带来的不良影响就可以得到控制。
电子商务面临的威胁和安全要求-1 - westonline - 2001-02-08 10:56:24
与网络犯罪做斗争,虽然离不开拥有庞大数据库网络的公司内计算机安全产品的升级换代以及技术人员的高度努力,但更值得一提的是国际间安全部门的合作和谅解.尤其是相关国家地区之间签署一定的国际间协作协议.