電子商務(wù)非技術(shù)風(fēng)險的防控對策范文
本站小編為你精心準(zhǔn)備了電子商務(wù)非技術(shù)風(fēng)險的防控對策參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
一、電子商務(wù)的技術(shù)風(fēng)險
國內(nèi)外研究普遍認為技術(shù)風(fēng)險對電子商務(wù)的發(fā)展影響較大,但我們的研究表明在中國現(xiàn)實條件下,非技術(shù)風(fēng)險的存在更會引起消費者(最終消費者和制品需求者)對網(wǎng)上商品提供商的不信任,從而影響電子商務(wù)的發(fā)展。根據(jù)《第18次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》2006年7月最新調(diào)查[1],網(wǎng)民不進行網(wǎng)上交易的原因,有61·5%的人選擇交易安全性得不到保障,有70·1%的網(wǎng)民的電腦在最近半年內(nèi)受到過病毒或黑客的攻擊,并且對內(nèi)容的真實性、個人隱私的保護、安全性等感到非常滿意的網(wǎng)民僅為2·9%。
另據(jù)加拿大《格瑞貝斯環(huán)球財經(jīng)報道》[2]:中國企業(yè)在市場交易中因信用缺失、違反經(jīng)濟秩序等問題所造成的損失已占到中國GDP的20%,直接和間接經(jīng)濟損失每年高達5855億元,相當(dāng)于中國每年財政收入的37%,國民生產(chǎn)總值每年因此至少減少兩個百分點,中國每年由于產(chǎn)品質(zhì)量低劣或制假售假造成的各種損失達2000億元,同時企業(yè)相互拖欠現(xiàn)象也非常嚴(yán)重。從8848以網(wǎng)上購物B2C業(yè)務(wù)起家,引領(lǐng)中國電子商務(wù)后又遭受挫折,到雅寶、搜房、美商網(wǎng)、索易等或清盤或賣掉的經(jīng)歷,無一不說明在我國電子商務(wù)非技術(shù)風(fēng)險更應(yīng)該值得關(guān)注和研究。
同時我們不難看出,在中國現(xiàn)階段,困擾電子商務(wù)發(fā)展的問題不僅是技術(shù)的落后,而且還包括與之相關(guān)的體制障礙、社會誠信的缺乏和法制法規(guī)的效力不足以及社會普遍存在的貧富間的顯著差距、失業(yè)等非技術(shù)因素,這些都會使從事電子商務(wù)活動的風(fēng)險增加。
但目前對電子商務(wù)的研究大多傾向于電子商務(wù)應(yīng)用、電子商務(wù)技術(shù)、電子商務(wù)政策法規(guī)環(huán)境等方面的討論,對電子商務(wù)風(fēng)險特別是非技術(shù)風(fēng)險的研究卻相對較少,至于研究如何建立起防范體系就更為少見了。本文試圖從電子商務(wù)交易主體受攻擊的角度出發(fā),將電子商務(wù)非技術(shù)風(fēng)險分為消費者所面臨的風(fēng)險、銷售商所面臨的風(fēng)險、電子商務(wù)企業(yè)所面臨的風(fēng)險。并從交易主體受攻擊前、受攻擊時和受攻擊后三個時間段來構(gòu)建一個電子商務(wù)非技術(shù)風(fēng)險的技術(shù)防范體系。
二、非技術(shù)風(fēng)險的定義和分類
人們依據(jù)各自不同的視角對風(fēng)險進行了不同的分類。A.H.Mowbray(1969)依據(jù)風(fēng)險的可能結(jié)果是否帶來盈利將風(fēng)險分為純粹風(fēng)險(PureRisk)與投機風(fēng)險(SpeculativeRisk)兩類,保險專家A.H.Willet(1951)依據(jù)外部經(jīng)濟環(huán)境是否發(fā)生變化將風(fēng)險分為靜態(tài)風(fēng)險(StaticRisk)與動態(tài)風(fēng)險(DynamicRisk)兩類,國內(nèi)有些學(xué)者按導(dǎo)致風(fēng)險損失的原因?qū)L(fēng)險分為自然風(fēng)險(PhysicalRisk)、社會風(fēng)險(So2cialRisk)、經(jīng)濟風(fēng)險(EconomicRisk)、政治風(fēng)險(PoliticalRisk)和技術(shù)風(fēng)險(TechnologicalRisk)五類。以上對傳統(tǒng)風(fēng)險劃分的三種視角(當(dāng)然還有其他分類視角)對于電子商務(wù)風(fēng)險而言也是合適的。
本文依據(jù)風(fēng)險的來源,將電子商務(wù)風(fēng)險分為技術(shù)風(fēng)險(TechnologicalRisk)和非技術(shù)風(fēng)險(Non-TechnologicalRisk)兩類。所謂技術(shù)風(fēng)險是指電子商務(wù)活動中,涉及終端設(shè)備及其連接介質(zhì)的純技術(shù)因素造成的風(fēng)險;而非技術(shù)風(fēng)險則是指電子商務(wù)活動中各種人為因素造成的風(fēng)險。同時,由風(fēng)險的基本理論得知,風(fēng)險與三個因素直接有關(guān),那就是自然狀態(tài)的不確定性、人的主觀行為及兩者結(jié)合所蘊涵的潛在后果[3]。但目前對電子商務(wù)非技術(shù)風(fēng)險的研究和分類主要集中在政策法規(guī)、環(huán)境和信用等方面。我們認為,風(fēng)險的產(chǎn)生除了市場和社會約束、控制機制的失靈和不確定性之外,更離不開非技術(shù)的主體因素———人的行為。所以,本文的研究視角主要集中在電子商務(wù)交易主體(消費者、銷售商、電子商務(wù)企業(yè))中人的行為上,并從人在交易中由于本身的不合法攻擊行為將電子商務(wù)非技術(shù)風(fēng)險分為消費者面臨的風(fēng)險、銷售商面臨的風(fēng)險和電子商務(wù)企業(yè)面臨的風(fēng)險。
1.消費者面臨的風(fēng)險
(1)虛假或惡意網(wǎng)站的人為攻擊。虛假或惡意網(wǎng)站是指利用IE漏洞,嵌入惡意代碼,在用戶不知情的情況下,對用戶的電腦進行篡改或破壞的網(wǎng)站。惡意網(wǎng)站一般都是為竊取訪問者的身份證信息與口令、竊取信用卡信息、偷窺訪問者的硬盤或從訪問者硬盤中下載文件而設(shè)立的。攻擊者的手段是設(shè)立一個惡意或虛假的網(wǎng)站,要求使用者注冊并給出一個口令,口令是使用者自愿給出的,只有在這同一口令被使者同時應(yīng)用于許多不同事務(wù)時,如自動取款機(ATM)、與工作有關(guān)的口令、家庭安全警報口令等,才可能對使用者造成危害。因此,在各種與因特網(wǎng)相關(guān)的事務(wù)中,一定要堅持使用不同的口令。
(2)隱私問題的人為攻擊。電子商務(wù)時代,由于網(wǎng)絡(luò)可以聯(lián)接到世界各地乃至每一個家庭,各種信息將呈開放或者無序狀態(tài),并且直接涉及并威脅到每個家庭和個人的信息(隱私),在網(wǎng)上個人信息包括個人資料、消費習(xí)慣、閱讀習(xí)慣、交往信息、通信信息等,都很容易被商家和網(wǎng)絡(luò)經(jīng)營者有意收集和利用,而這些收集和利用不僅會侵犯用戶的一些隱私權(quán),還可能成為其他侵權(quán)或騷擾行為的鋪墊。據(jù)美國《商業(yè)周刊》進行的一項有關(guān)電子商務(wù)的隱私權(quán)方面的調(diào)查結(jié)果顯示,大多數(shù)個人因擔(dān)心個人隱私外泄而拒絕電子商務(wù),所以企業(yè)實施電子商務(wù)時,一定要采取具體有效措施防止對第三方合法權(quán)利造成損害。否則,因此而被卷入各種侵權(quán)訴訟時,不但企業(yè)運作的電子商務(wù)模式或者項目可能會被迫夭折,更有可能對企業(yè)的商譽、經(jīng)濟利益造成毀滅性的打擊[4]。目前我國還沒有針對個人隱私保護的法律,并且在其他的法律法規(guī)中相關(guān)規(guī)定也很單薄,隱私權(quán)保護尤其是網(wǎng)絡(luò)與電子商務(wù)中的隱私權(quán)保護,在我國法律界還是一個新的課題。
(3)網(wǎng)上存在的有害信息對消費者的不良影響。網(wǎng)上有害信息是指危害國家安全,煽動民族分裂,散布謠言,擾亂社會秩序,影響社會穩(wěn)定,宣揚邪教和封建迷信,傳播淫穢、色情、暴力、賭博等信息。目前,網(wǎng)上有害信息的涵蓋范圍已相當(dāng)廣泛,既包括政治法律領(lǐng)域也包括商務(wù)生活領(lǐng)域的不道德及不良文化信息、侵權(quán)信息、欺詐信息及與教唆犯罪有關(guān)的信息等。
2.銷售商面臨的風(fēng)險
(1)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊廣義上指任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。確切地說,拒絕服務(wù)攻擊是故意攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過各種手段耗盡被攻擊對象的資源,目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù),使目標(biāo)系統(tǒng)停止響應(yīng)甚至崩潰。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開放的進程或者允許的連接等。拒絕服務(wù)攻擊被用于破壞、關(guān)閉或削弱某一電腦或網(wǎng)絡(luò)的資源,這一攻擊的目的是通過使目標(biāo)網(wǎng)站的通信端口與記憶緩沖區(qū)滿溢,達到阻止合法信息與合法聯(lián)接服務(wù)要求的接收[5]。
(2)數(shù)據(jù)被竊。對于那些以數(shù)字化形式存貯的,并連接到公共通信線路上的數(shù)據(jù)文件來說,偷竊者可能通過某種手段很容易將之竊走,而且竊賊可以遠隔千里或遠隔重洋作案。另外如果竊賊害怕暴露,只要馬上斷開連接,就很難查到他的蹤影。
(3)域名被搶注。在電子商務(wù)發(fā)展的初期,人們對域名的重要性并沒有充分認識,許多企業(yè)、公司疏于對網(wǎng)絡(luò)世界的關(guān)注,對自己的公司名稱、商標(biāo)、商號、個人姓名等未進行及時的域名注冊,結(jié)果導(dǎo)致與他們相關(guān)的名稱被他人以相同或者近似的名稱搶先注冊,給企業(yè)或其他組織造成較大的損失。
(4)客戶假冒。即客戶與他們所自稱的身份不一致。如果假客戶把自己裝扮成合法客戶,他們就能以各種目的來訂購商品與服務(wù)了,目的之一就是訂購某種免費服務(wù)或商品,比如購買或下載軟件,以一個假用卡號付款。另一個目的就是讓貨物發(fā)出,而沒有任何接貨或付款的打算。這種虛假訂貨技術(shù)的惡意使用可以出自種種原因:一是黑客從這種鬧劇的成功中所得到的自我滿足;二是打擊那些有關(guān)政策或規(guī)定與黑客個人觀點不相符的公司;三是損害競爭對手或前雇主的公司利潤及客戶關(guān)系。
3.電子商務(wù)企業(yè)面臨的風(fēng)險
電子商務(wù)企業(yè)是指以商業(yè)貿(mào)易和計算機網(wǎng)絡(luò)技術(shù)的發(fā)展為基礎(chǔ),以企業(yè)電子化、信息化為核心,以新的交易方式為手段為消費者和銷售商提供服務(wù)和交易平臺的電子商務(wù)實體[6]。電子商務(wù)企業(yè)面臨的風(fēng)險主要有:
(1)企業(yè)內(nèi)部網(wǎng)的黑客攻擊。許多企業(yè)已經(jīng)開始構(gòu)建內(nèi)部網(wǎng)Intrane,t隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)可以將自己的Intranet同其他企業(yè)的Intranet或開放的Internet網(wǎng)相連,構(gòu)成強大的網(wǎng)絡(luò)通訊世界[4]。據(jù)統(tǒng)計,對網(wǎng)絡(luò)系統(tǒng)的攻擊有85%是來自企業(yè)內(nèi)部的黑客。這些黑客,可能是企業(yè)從前的雇員,也可能是在職員工。企業(yè)內(nèi)部網(wǎng)的風(fēng)險主要有兩種:金融詐騙、盜取文件或數(shù)據(jù)。金融詐騙是指更改企業(yè)計算機內(nèi)財務(wù)方面的記錄,以騙得企業(yè)的錢財或為減免稅等。這種風(fēng)險的作案手段很多,有采用黑客程序的,更多的則是賄賂有關(guān)操作人員。盜取文件或數(shù)據(jù)是一種很常見的黑客方式。由于Intranet將各個雇員的計算機同企業(yè)各種重要的數(shù)據(jù)庫、服務(wù)器等連接起來,所以雇員進行越權(quán)訪問和復(fù)制機密數(shù)據(jù)或文件的機會就會大大增加。
(2)外部網(wǎng)的人為破壞。包括黑客用戶的惡意攻擊、竊取信息,網(wǎng)絡(luò)傳送的病毒和電子郵件夾帶的病毒,來自于Internet瀏覽可能存在的惡意Java/ActiveX控件,等等。三、非技術(shù)風(fēng)險的識別和評估預(yù)先識別風(fēng)險并及時有效地進行處理對于減少風(fēng)險是十分重要的。所謂風(fēng)險識別就是分析風(fēng)險的來源及特征。[7]
電子商務(wù)非技術(shù)風(fēng)險識別的手段包括:向風(fēng)險管理顧問咨詢、財務(wù)報表分析、對設(shè)備及運營狀況進行檢查、與其他部門交流、相對歷史資料的回顧與分析等[8]。利用解釋結(jié)構(gòu)模型法[9]識別電子商務(wù)非技術(shù)風(fēng)險也是十分有效的。該法從電子商務(wù)系統(tǒng)進行分析,對雜亂堆積的風(fēng)險因素進行結(jié)構(gòu)性分析,對可能的風(fēng)險進行識別在風(fēng)險識別的基礎(chǔ)上需要對這些風(fēng)險進行評估和分析,全面、準(zhǔn)確地評估這些風(fēng)險對企業(yè)可能產(chǎn)生的影響非常關(guān)鍵,因為它們是開展風(fēng)險控制和風(fēng)險融資的基礎(chǔ)。目前常用的企業(yè)電子商務(wù)風(fēng)險評估方法主要有以下幾種:
1.合理預(yù)測
在預(yù)測中引入反饋,信息聯(lián)系使風(fēng)險的辨識更加準(zhǔn)確[10](其結(jié)構(gòu)如圖2所示),這種方法的主要問題是找出閉環(huán)的平衡點及其概率分布。
2.風(fēng)險樹
對風(fēng)險進行逐步分解、細化,形成樹狀結(jié)構(gòu),即風(fēng)險樹。對風(fēng)險樹還可以進行進一步的分析和處理,例如可以用來確定風(fēng)險的概率,這就需要找出所有可能性及其相互聯(lián)系,標(biāo)出各種風(fēng)險的概率,然后對其進行計算,形成風(fēng)險概率樹。對于那些不能用以上方法解決的問題,專家調(diào)查的方法就得到了廣泛的應(yīng)用,主要有以下兩種:①頭腦風(fēng)暴法。這是一種刺激創(chuàng)造性、產(chǎn)生新思想的技術(shù)。它由美國人奧斯本于1939年首創(chuàng)。這種方法用于風(fēng)險識別,根據(jù)風(fēng)險識別的特點做出相應(yīng)的修改[11]。②德爾菲法。這種方法是由美國著名的咨詢機構(gòu)蘭德公司于20世紀(jì)50年代初發(fā)明的,它具有三個特點:參加者相互之間匿名;對各種反映進行統(tǒng)計處理;帶有反饋地反復(fù)地進行意見測試[12]。在對預(yù)測結(jié)果處理時,專家的傾向性和一致性是主要考慮的兩個方面。傾向性是指專家意見的主要傾向是什么或大多數(shù)意見是什么,統(tǒng)計上稱此為集中趨勢;一致性是指專家在此傾向性意見分散到什么程度,統(tǒng)計上稱為離散趨勢。專家的傾向性意見常被作為主要參考依據(jù),而一致性程度則表示這一傾向性意見參考價值的大小或其權(quán)威程度的大小。
3.綜合風(fēng)險分析
綜合風(fēng)險分析的基本步驟如下:①組織頭腦風(fēng)暴專家小組,這個小組可以通過網(wǎng)絡(luò)進行意見交換,而專家的思想都是根據(jù)自己的專業(yè)背景及經(jīng)驗對事件的分析而得出的風(fēng)險因素。②對頭腦風(fēng)暴專家小組提出的思想進行組合及分類,歸結(jié)為一組具有特殊形式的明確問題,然后通過德爾菲專家小組,對以上問題進行評估,并對這些信息進行反饋,利用德爾菲方法使意見收斂,得出確切的風(fēng)險因素及其可能的概率分布。應(yīng)該注意的問題是,德爾菲專家小組的成員比頭腦風(fēng)暴專家小組成員應(yīng)具有更深的專業(yè)知識和實踐背景。③不斷反復(fù)利用德爾菲方法來預(yù)測企業(yè)未來狀態(tài),以形成眾多遠景,向決策人員提供某種未來商機最可能發(fā)生的、最好的和最壞的前景,并詳細地給出這三種情況下可能發(fā)生的概率和風(fēng)險,供決策時參考。綜合分析方法可以完成風(fēng)險分析的主要工作,防止風(fēng)險分析只圍繞分析者目前的價值觀和信息水平進行。
4.模型評估
通過建立數(shù)學(xué)模型,運用概率論和數(shù)理統(tǒng)計的方法對風(fēng)險進行定量評估,比如對某特定風(fēng)險事件發(fā)生的概率進行估算,對該風(fēng)險事件發(fā)生后可能造成的損失值進行估算。模型評估的結(jié)果雖較定性方法要精確一些,但對所需樣本數(shù)量及其質(zhì)量均有一定要求,而未來事件本身又具不確定性,因此,該法和定性方法相結(jié)合運用效果會更好。
四、非技術(shù)風(fēng)險的技術(shù)防范策略
1.攻擊發(fā)生前的防范
(1)防火墻技術(shù)。防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。它可以實現(xiàn)保護脆弱的服務(wù)、控制對系統(tǒng)的訪問、集中的安全管理、增強的保密性、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)[13]。防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過PN,將企業(yè)在地域上分布在全世界各地的LAV或?qū)S米泳W(wǎng)有機地聯(lián)成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
(2)信息加密技術(shù)。數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù),主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性,這是一種主動安全防御策略,用很小的代價即可為信息提供相當(dāng)大的安全保護。經(jīng)過加密后,攻擊者無法理解一個適當(dāng)加密的數(shù)據(jù)包。一個采用適當(dāng)密鑰進行加密的數(shù)據(jù)包,用不適當(dāng)密鑰將不可能解密成為任何可理解的東西。這極大地限制了攻擊者注入虛假報文的能力。
(3)認證技術(shù)。電子商務(wù)的認證是保證電子商務(wù)安全的必要措施之一。所謂認證,就是通過認證中心對數(shù)字證書進行識別。網(wǎng)絡(luò)的虛擬性使得要保證每個參與者都能被無誤地識別,就必須使用身份認證技術(shù)。身份認證技術(shù)包括數(shù)字證書、數(shù)字簽名、數(shù)字時間戳、信息摘要等多種技術(shù)。這些技術(shù)的采用,就可以在電子商務(wù)中建立起信任關(guān)系[14]。隨著科學(xué)技術(shù)的發(fā)展,身份認證技術(shù)也會不斷完善。認證分為實體認證和信息認證,這里的實體是指個人、客戶程序或服務(wù)程序等參與通信的實體。實體認證是對這些參與通信實體的身份認證。對用戶身份的認證,密碼是最常用的,但由于許多用戶采用了很容易被破解的密碼,使得該方法經(jīng)常失效。信息認證是對信息體進行認證,以決定該信息的合法性。信息認證發(fā)生在信息接收者收到信息后,使用相關(guān)技術(shù)對信息進行認證,以確認信息的發(fā)送者是誰,信息在傳遞過程中是否被篡改等。
(4)安全協(xié)議。安全協(xié)議是指國際組織為保證Internet運行的安全,相繼制定的一些安全規(guī)范。目前國際上通行的安全協(xié)議主要有安全套接層協(xié)議(SSL),安全的超文本傳輸協(xié)議(S-HTTP)、安全電子交易規(guī)范(SET)等。
(5)漏洞掃描技術(shù)。漏洞掃描技術(shù)是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術(shù),通過與目標(biāo)主機TCP/IP端口建立連接并請求某些服務(wù)(如TELNET/FTP等),記錄目標(biāo)主機的應(yīng)答,搜集目標(biāo)主機相關(guān)信息(如匿名用戶是否可以登錄等),從而發(fā)現(xiàn)目標(biāo)主機某些內(nèi)在的安全弱點,漏洞掃描技術(shù)的重要性在于把極為繁瑣的安全檢測,通過程序來自動完成,不僅可以減少管理者的工作,而且縮短了檢測時間,使問題發(fā)現(xiàn)得更快。當(dāng)然,也可以認為掃描技術(shù)是一種網(wǎng)絡(luò)安全性評估技術(shù)。一般而言,掃描技術(shù)可以快速、深入地對網(wǎng)絡(luò)或目標(biāo)主機進行評估。漏洞掃描是對系統(tǒng)脆弱性的分析評估,能夠檢查、分析網(wǎng)絡(luò)范圍內(nèi)的設(shè)備、網(wǎng)絡(luò)服務(wù)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的安全性,從而為提高網(wǎng)絡(luò)安全的等級提供決策的支持。系統(tǒng)管理員利用漏洞掃描技術(shù)對局域網(wǎng)絡(luò)、Web站點、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進行掃描,可以了解在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù),在操作系統(tǒng)上存在的可能導(dǎo)致黑客攻擊的安全漏洞,還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序,防火墻系統(tǒng)是否存在安全漏洞和配置錯誤等等。網(wǎng)絡(luò)管理員可以利用安全掃描軟件這把雙刃劍,及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和利用之前予以修補,從而提高網(wǎng)絡(luò)的安全性。
2.攻擊過程中的防范
(1)入侵取證技術(shù)。它是指利用計算機軟硬件技術(shù),按照符合法律法規(guī)的方式,對計算機網(wǎng)絡(luò)入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數(shù)字證據(jù)的過程。其中一個關(guān)鍵環(huán)節(jié)類似于飛機上的黑匣子,它將記錄所有網(wǎng)絡(luò)上發(fā)生的入侵事件,有了入侵取證技術(shù),我們便可以根據(jù)記錄信息對入侵事實予以確認并解釋入侵過程,據(jù)此找到入侵者或入侵機器,從而對入侵事件起到證據(jù)保存、協(xié)助追查的作用,這也對黑客的攻擊行為起到極大的震懾作用。
(2)網(wǎng)絡(luò)陷阱技術(shù)。它通過提供虛假信息迫使攻擊者攻擊“陷阱機”,既浪費了攻擊者的時間,減弱了其后續(xù)攻擊力量,又可獲得攻擊者的攻擊手法和動機等相關(guān)信息,便于我們及時采取防范措施,從而保護真正的服務(wù)器的安全,提高網(wǎng)絡(luò)的安全防護性能。它包括:偽裝技術(shù)、誘騙技術(shù)、引入技術(shù)、信息控制技術(shù)、數(shù)據(jù)捕獲技術(shù)及數(shù)據(jù)統(tǒng)計和分析技術(shù)等。
(3)入侵檢測技術(shù)。入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)。它可以對計算機和網(wǎng)絡(luò)資源上的任何惡意使用行為進行識別和響應(yīng),不僅可以檢測來自外部的入侵行為,同時也可以監(jiān)督內(nèi)部用戶的未授權(quán)活動。[15]入侵檢測技術(shù)可以從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息(系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等),并對這些信息進行分析和判斷,及時發(fā)現(xiàn)入侵和異常的信號,為做出響應(yīng)贏得寶貴時間,必要時還可直接對攻擊行為做出響應(yīng),將攻擊行為帶來的破壞和影響降至最低。其主要技術(shù)有:數(shù)據(jù)收集技術(shù)、攻擊檢測技術(shù)、響應(yīng)技術(shù)。
(4)自動恢復(fù)技術(shù)。自動恢復(fù)技術(shù)針對服務(wù)器上的關(guān)鍵文件和信息進行實時地一致性檢查,一旦發(fā)現(xiàn)文件或信息的內(nèi)容、時間等被非法修改就及時報警,并在極短的時間內(nèi)進行恢復(fù),其主要技術(shù)包括:備份技術(shù)、冗余技術(shù)、恢復(fù)技術(shù)、遠程控制技術(shù)。
3.攻擊后的應(yīng)對
我們可以利用防火墻、入侵檢測系統(tǒng)等技術(shù)手段對所有錯誤操作的危險動作和蓄意攻擊行為保留詳盡的記錄,而且記錄在一臺專用的安全主機上,這樣可以在攻擊后通過這些記錄來分析黑客的攻擊方式,彌補系統(tǒng)漏洞,防止再次遭受攻擊,并可進行黑客追蹤和查找責(zé)任人。
同時,我們也看到,建立在電子商務(wù)交易主體受攻擊視角的電子商務(wù)非技術(shù)風(fēng)險所伴隨的網(wǎng)絡(luò)攻防作為伴隨網(wǎng)絡(luò)信息化發(fā)展的一對矛盾體,在當(dāng)前乃至今后都將繼續(xù)作為網(wǎng)絡(luò)信息化發(fā)展的主旋律而存在。而從紛亂復(fù)雜的網(wǎng)絡(luò)攻擊中我們也可以循跡摸索出各種網(wǎng)絡(luò)攻擊的特點,有的放矢地研制各種防護方法或工具。更重要的是,實踐證明,網(wǎng)絡(luò)安全和風(fēng)險防范實際上是三分技術(shù)、七分管理。加強管理是保證網(wǎng)絡(luò)安全的根本指導(dǎo)思想,而實現(xiàn)管理方式的一些技術(shù)方法將用以保障網(wǎng)絡(luò)安全。這除了要不斷總結(jié)攻擊方法,填補系統(tǒng)漏洞外,還需要加強網(wǎng)絡(luò)資源和操作人員的管理,不斷摸索出新的管理方式、方法。這是過去、現(xiàn)在乃至未來對抗網(wǎng)絡(luò)攻擊、提高網(wǎng)絡(luò)安全、減少電子商務(wù)非技術(shù)風(fēng)險的根本途徑。在研制新防護技術(shù)的同時,我們更需要查漏補缺,加強各種管理方式和正負反饋機制,從源頭上杜絕網(wǎng)絡(luò)安全隱患,提高電子商務(wù)非技術(shù)風(fēng)險的防范能力,同時借助現(xiàn)有的防護措施,提高網(wǎng)絡(luò)的安全性。
