電商數據網路安全問題

A. 電子商務存在的安全問題是什麼

電子商務中存在安全的問題：
(一)網路信息安全方面
1.伺服器的安全問題。電子商務伺服器是電子商務的核心，安裝了大量的與電子商務有關的軟體和商家信息，並且伺服器上的資料庫里有電子商務活動過程中的一些保密數據。因此伺服器特別容易受到安全的威脅，並且一旦出現安全問題，造成的後果也是非常嚴重。
2.網路信息的安全問題。非法用戶在網路的傳輸上使用不正當手法，非法攔截會話數據獲得合法用戶的有效信息，最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網路數據進行一些惡意篡改，如增加、減少和刪除等操作，從而使信息失去真實性和完整性，導致合法用戶無法正常交易，還有一些非法用戶利用截獲的網路數據包再次發送，惡意攻擊對方的網路硬體和軟體。
3.網路安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以互聯網作為自己的傳播途徑，電腦病毒問世10多年來，各種新型病毒及其變種迅速增加，不少新病毒直接以互聯網作為自己的傳播途徑，還有眾多病毒藉助於互聯網傳播得更快，如何在電子商務領域如何有效防範病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網路環境下，基於瀏覽器/伺服器應用方式，在買賣雙方不謀面的情況下進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基於這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易。
2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下，缺乏相應的安全機制，這種基於地址的協議本身就會泄露口令，根本沒有考慮安全問題;TCP/IP協議是完全公開的，其遠程訪問的功能使許多攻擊者無須到現場就能夠得手，連接的主機基於互相信任的原則等這些性質使網路更加不安全。

B. 目前電子商務網路面臨哪些安全威脅

電子商務普遍存在著以下幾個安全風險：
1）信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2）信息的篡改
網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入，並發往目的地，從而達到破壞信息完整性的目的。
3）拒絕服務
拒絕服務是指在一定時間內，網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的認為破壞。
4）系統資源失竊問題
在網路系統環境中，系統資源失竊是常見的安全威脅。
5）信息的假冒
信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後，可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易，偽造電子郵件等。
6）交易的抵賴
交易抵賴包括發信者事後否認曾經發送過某條信息；買家做了定單後不承認；賣家賣出的商品因價格差而不承認原先的交易等。

C. 電子商務中常見的網路安全問題有哪些

電子商務中的網路安全問題：

1. 防火牆技術：防火牆（Firewall）是近年來發展的最重要的安全技術，它的主要功能是加強網路之間的訪問控制，防止外部網路進入內部網路；

2. 加密技術：數據加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動安全防範策略。數據加密就是按照確定的密碼演算法將敏感的明文數據變換成難以識別的密文數據；

3. 數字簽名技術：數字簽名（Digital Signature）技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中，數字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術；

4. 數字時間戳技術：在電子商務交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內容。
   

D. 試分析電子商務網路系統中存在的安全問題

1）計算機網路設計安全問題
（1）網路物理結構的設計缺陷
（2）網路協議的缺陷與後門
2）網路操作系統安全問題
3）網路系統中資料庫的安全問題
（1）數據安全性
（2）系統安全性

E. 通過Internet進行電子商務存在的安全問題有哪些

電子商務是利用各種電子化手段進行的商務活動,其價值的實現主要依託於網路,尤其是互聯網,它已經成為互聯網應用的一個必然趨勢和金融商貿的主要模式之一.如何建立一個安全的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務必須直面的一個問題.
由於電子商務的重要技術特徵是利用網路來傳輸和處理商業信息,因此,電子商務安全主要包括兩個方面:網路安全和商務安全.而這些安全的實現又依託於一些具體的安全技術,遵循相關安全協議.
1 網路安全問題
網路安全主要是指計算機和網路本身可能存在的安全問題,也就是要保障電子商務平台的可用性和安全性.網路安全是電子商務的基礎,其問題一般表現為:
1.1 計算機本身潛在的安全隱患帶來的網路安全問題
計算機使用的是未經過相關的網路安全配置的操作系統,不論是什麼操作系統,在預設安裝的條件下都會存在一些安全問題,而僅僅將操作系統按預設安裝後,再配上很長的密碼就認為安全的想法是不可靠的.因為計算機本身存在的軟體漏洞和"後門"往往是網路攻擊的首選目標.
1.2 入侵者風險降低獲利升高帶來的刺激引發的網路安全問題
由於網路的全球性,開放性,共享性的發展,使得任何人都可以自由地接入互聯網,而這其中也包括了黑客,入侵者和病毒製造者.他們採用的攻擊方法越來越多,對電子商務的威脅也顯得越來越明顯.相對而言,襲擊者本身的風險卻非常小,甚至可以在襲擊後很快就消失得無影無蹤,使對方幾乎沒有實行報復打擊的可能,這使他們的活動更加猖獗.美國的"雅虎"和"亞馬遜"曾受到攻擊的事件就說明了這一點.
1.3 安全設備使用不當帶來的網路安全問題
雖然絕大多數網站採用了網路安全設備,有的甚至還耗費巨資,但由於安全設備本身因素或使用問題,這些設備並沒有起到應有的或期望的作用.很多安全廠商的產品對配置人員的技術背景要求很高,往往超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確地安裝,配置,一旦系統改動,需要改動相關安全設備的設置時,很容易產生許多安全問題.而通常意義上的網路管理者往往無法勝任這樣的工作.
因此在實施網路安全防範措施時應做到:首先要加強主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟體和軟體防火牆,加強內部網的整體防病毒措施;使用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用相應的數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行一定強度的數據加密;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊.同時充分利用已經公布的有關交易安全和計算機安全的法律法規為電子商務交易護航.再者,面對普通網路管理員的技術水平,在網路的建設和維護中可採用聯合開發維護的方式,通過前期的建設和維護不斷提高和完善自身團隊的技術水平,使其在成長中逐步勝任企業對網路安全的要求.
網路管理者在思想上高度重視安全問題也是相當有必要的.技術的產生一般相對於人們的需求有一定的滯後性,而建立和實施嚴密完善的網路安全制度和策略往往可以代替暫時無法實現的技術,畢竟這才是真正實現網路安全的基礎.
一個全方位的計算機網路安全體系結構通常包含網路的物理安全,訪問控制安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全.這一切的實現依賴於各種先進的主機安全技術,身份認證技術,訪問控制技術,密碼技術,防火牆技術,安全審計技術,安全管理技術,系統漏洞檢測技術,黑客跟蹤技術.隨著安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術的應用,從不同層面加強了計算機網路的整體安全性,漸漸在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意入侵的難度.
為了保證電子商務活動的順利進行,必須有安全完善的網路體系為其提供穩定可靠,強有力的支撐.
2 商務安全問題
商務安全指商務交易在網路媒介中體現出來的安全問題,也就是要實現電子商務信息的保密性,完整性,真實性和不可抵賴性.
在早期的電子交易中,曾採用過一些簡單的安全措施.例如將網上交易中最關鍵的數據如信用卡號碼及成交數額等用電話告知,以防泄密,網上交易後再用其他方式對交易做確認,以保證其真實性和不可抵賴性.這些方法不僅操作不便,而且有一定的局限性,也不能實現其真正的安全性.
2.1 商務安全中普遍存在的幾種安全隱患
2.1.1 竊取信息
信息在傳輸過程中未採用相應的加密措施或加密強度不夠,導致數據信息在網路上以明文或近乎明文的形式傳送.入侵者在數據包經過的設備或線路上採用截獲方法截獲正在傳送的信息,通過對竊取數據參數的分析比對,找到信息的格式和規律,進而得到傳輸信息的內容,導致消費者消費信息,賬號密碼和企業商業機密等信息的外泄.
2.1.2 篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術方法和手段對網路傳輸中的信息進行截獲修改再發至原先指定目的地,從而破壞信息的真實性.入侵者通過改變信息流的次序,更改信息的內容,刪除信息的某些部分,甚至在信息中插入一些附加內容,使接收方做出錯誤的判斷與決策.
2.1.3 信息假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以進一步冒充合法用戶獲取和發送信息,而遠端接受方或發送方通常不易分辨.常見的方式有偽造用戶和商戶的收定貨單據,套取或修改相關程序的使用許可權等.
2.1.4 信息破壞
由於攻擊者已侵入網路,已獲得對網路中信息的修改許可權,如其對網路中現有機要信息進行修改乃至於刪除,其後果是非常嚴重的.
2.2 商務安全的要求
2.2.1 信息的保密性
交易中的商務信息都需要遵循一定的保密規則.因為其信息往往代表著國家,企業和個人的商業機密.在以往傳統的紙面貿易中採用郵寄封裝或通過可靠的通信渠道傳送商業信息來達到保密的目的和要求.而電子商務是建立在一個較為開放的互聯網路環境上的,它所依託的網路本身也就是由於開放式互聯形成的市場,才贏得了電子商務,因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性.一般用密碼技術來實現.
2.2.2 信息的完整性
不可否認電子商務的出現以計算機代替了人們大多數復雜的勞動,也以信息系統的形式整合化簡了企業貿易中的各個環節,但網路的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整,統一出現了問題.由於數據輸入時的意外差錯(如計算機自動處理過程中死機,停電等),可能導致貿易各方信息的不一致.此外,數據傳輸過程中人為的或自然的信息丟失(如數據包丟失),信息重復或信息傳送的次序差異(如網路堵塞重發)也會導致貿易各方信息的不同.而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略.因此保持貿易各方信息的完整性是電子商務應用必備的基礎.完整性一般可通過提取信息消息摘要的方式來獲得.
2.2.3 信息的不可抵賴性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息,或與之相反,接受方收到信息後並不承認曾經收到過該條消息.因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對象發出的,而對方本身也沒有被假冒,是電子商務活動和諧順利進行的保證.信息的保證可以通過對發送的消息進行數字簽名來獲取.身份的確定一般都採用證書機構CA和證書的方法來實現.讓素昧平生,相隔千里的雙方成為合作夥伴畢竟不是一件容易的事情.
當然,在電子商務活動中還有許多要求,比如交易信息的時效界定問題,交易一旦達成後有無撤消和修改的可能等.相信在電子商務的發展中必將涌現各種技術和各項法律法規,規范人們的需求並幫助其實現,以保證電子商務交易的嚴肅性和公正性.
3 電子商務的安全技術
3.1 加密技術
加密技術是保證電子商務安全的重要手段,為保證電子商務安全使用加密技術對敏感的信息進行加密,保證電子商務的保密性,完整性,真實性和非否認服務.
3.1.1 加密技術的現狀
如同許多IT技術一樣,加密技術層出不窮,為人們提供了很多的選擇餘地,但與此同時也帶來了一個問題——兼容性,不同的企業可能會採用各自不同的標准.
另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制.目前,美國的企業一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口.雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多.美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾.目前,我國由上海市電子商務安全證書管理中心推出的128位SSL演算法,彌補了國內的這一空缺,也為我國電子商務安全帶來了廣闊的前景.
3.1.2 常用的加密技術
對稱密鑰密碼演算法:對稱密碼體制由傳統簡單換位代替密碼發展而成,加密模式上可分為序列密碼和分組密碼兩類.
不對稱型加密演算法:也稱公用密鑰演算法,其特點是有二個密鑰即公用密鑰和私有密鑰,兩者必須成對使用才能完成加密和解密的全過程.本技術特別適用於分布式系統中的數據加密,在網路中被廣泛應用.其中公用密鑰公開,為數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的接受方保管.
不可逆加密演算法:其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有輸入同樣的數據經過同一不可逆加密演算法的比對才能得到相同的加密數據.因為其沒有密鑰所以不存在密鑰保管和分發問題,但由於它的加密計算工作量較大,所以通常只在數據量有限的情況下,例如計算機系統中的口令信息的加密.
3.1.3 電子商務領域常用的加密技術
數字摘要:又稱安全Hash編碼法.該編碼法採用單向Hash 函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋,具有固定的長度,並且不同的明文摘要其密文結果是不一樣的,而同樣的明文其摘要保持一致.
數字簽名:數字簽名是將數字摘要,公用密鑰演算法兩種加密方法結合使用.它的主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要).發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名,然後這個數字簽名將作為報文的附件和報文一起發送給報文的接收方.報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密.如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性,有效地防止了簽名的否認和非正當簽名者的假冒.
數字時間戳:是對交易文件的時間信息所採取的安全措施.該網上安全服務項目,由專門的機構提供.時間戳是一個經加密後形成的憑證文檔,它包括:需加時間戳的文件的摘要,數字時間戳服務收到文件的日期和時間,數字時間戳服務的數字簽名.
數字證書:數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網路資源的訪問許可權,主要有個人憑證,企業(伺服器)憑證,軟體(開發者)憑證三種.
3.2 身份認證技術
在網路上通過一個具有權威性和公正性的第三方機構——認證中心,將申請用戶的標識信息(如姓名,身份證號等)與他的公鑰捆綁在一起,用於在網路上驗證確定其用戶身份.前面所提到的數字時間戳服務和數字證書的發放,也都是由這個認證中心來完成的.
3.3 支付網關技術
支付網關,通常位於公網和傳統的銀行網路之間(或者終端和收費系統之間),其主要功能為:將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部傳回來的響應消息,將數據轉換為公網傳送的數據格式,並對其進行加密.支付網關技術主要完成通信,協議轉換和數據加解密功能,並且可以保護銀行內部網路.此外,支付網關還具有密鑰保護和證書管理等其它功能(有些內部使用網關還支持存儲和列印數據等擴展功能).
4 與電子商務安全有關的協議技術
4.1 SSL協議(Secure Sockets Layer)
SSL協議也叫安全套接層協議,面向連接的協議,是現在使用的主要協議之一,但當初並非為電子商務而設計.該協議使用公開密鑰體制和X.509數字證書技術來保護信息傳輸的機密性和完整性.SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道,在該通道上可透明載入任何高層應用協議(如HTTP,FTP,TELNET等)以保證應用層數據傳輸的安全性.由於其獨立於應用層協議,在電子交易中常被用來安全傳送信用卡號碼,但由於它是個面向連接的協議,只適合於點對點之間的信息傳輸,即只能提供兩方的認證,而無法滿足現今主流的加入了認證方的三方協作式商務模式,因此在保證信息的不可抵賴性上存在著缺陷.
4.2 SET協議(Secure Electronic Transaction)
SET協議也叫安全電子交易,對基於信用卡進行電子化交易的應用提供了實現安全措施的規則,與SSL協議相比較,做了些改進.在商務安全問題中,往往持卡人希望在交易中對自己的交易信息保密,使之不會被人竊取,商家希望客戶的定單真實有效,並且在交易過程中,交易各方都希望驗明對方的身份,以防止被欺騙.針對這種情況,Visa和MasterCard兩大信用卡組織以及微軟等公司共同制定了SET協議,一個能保證通過開放網路(包括Internet)進行安全資金支付的技術標准.它採用公鑰密碼體制和X.509數字證書標准,主要應用於保障網上購物信息的安全性.由於SET 提供了消費者,商家和銀行之間的認證,彌補了SSL的不足,確保了交易數據的安全性,完整性,可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為目前公認的信用卡/借記卡網上交易的國際安全標准.
除此之外還有安全超文本傳輸協議(SHTTP),安全交易技術協議(STT)等.協議為電子商務提供了規范.
5 結語
安全是電子商務的核心和靈魂.電子商務對網路安全與商務安全的雙重要求,使網路安全與商務安全密不可分.沒有計算機網路安全作為基礎,商務交易安全猶如空中樓閣,無從談起;沒有商務安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求.而電子商務相應的實現技術和各種協議正是安全得以實現的保證.

F. 電子商務存在什麼安全問題

電子商務的安全問題主要有以下幾點： 1.交易信息內容被篡改 從貿易活動角度上看，交易信息是商務活動中進行貿易活動所形成的一種信息，包括了客戶訂單信息、訂單確認信息、客戶個人信息等。這些信息具有一定機密性，在信息傳遞過程中利用Internet或電話網對這些交易信息進行篡改或截獲與惡意破壞。 2.電子支付信息盜取 電子支付信息是在商務活動中進行一種支付方式。支付信息包括客戶銀行賬戶、密碼、個人銀行識別碼等信息。這些信息具有絕對機密性，防止非法者盜用信息，偽造假身份進入系統，利用這些信息進行非法活動，是電子商務活動中必須要解決的問題。 3.系統漏洞 非法者藉助電子商務系統存在的漏洞進行進入系統，對系統中的數據進行篡改，取消用戶訂單信息，生成虛假信息等方式。 二、引起電子商務信息不安全的主要因素 電子商務是建立在互聯網應用平台上一種商務活動，它在為電子商務提供網路技術保證的同時，也是引起電子商務信息不安全的主要因素，產生這些不安全的主要因素包括： 1.互聯網的開發性和共享性 由於電子商務是建立互聯網技術平台上的一種商務活動，它繼承了互聯網的開放性和共享性，打破地域之間的界限

G. 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(7)電商數據網路安全問題擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

H. 如何保證電子商務中的安全問題

1、保護網路安全。

制定網路安全的管理措施，使用防火牆，盡可能記錄網路上的一切活動，注意對網路設備的物理保護，檢驗網路平台系統的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統具有最小穿透風險性。

4、加密技術

加密技術為電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。(8)電商數據網路安全問題擴展閱讀

電子商務的所有活動都需要安全體系的有力支持，缺乏嚴格的制度對硬體、軟體、資料庫、密碼和用戶許可權進行科學管理，因而發生安全意外或為某些內部人員造成可乘之機。

電子商務網路系統的安全威脅主要為以下幾個方面：即軟體系統存在潛在安全隱患、安全產品使用不當、缺少嚴格的網路安全管理制度。

保證交易數據的安全性是電子商務的關鍵問題。由於網路本身所具有的開放性特點，電子商務面臨著各種各樣的威脅，這對電子商務的安全性提出了更高的要求。

I. 電子商務安全問題及技術防範措施

電子商務安全問題及技術防範措施 篇1

一、電子商務存在的安全性問題

(一)電子商務安全的主要問題

1.網路協議安全性問題：由於TCP/IP本身的開放性， 企業 和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行和假冒。

2.用戶信息安全性問題：目前最主要的電子商務形式是/S(Browser/Server)結構的電子商務網站，用戶使用瀏覽器登錄網路進行交易，由於用戶在登錄時使用的可能是公共 計算 機，那麼如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。

3.電子商務網站的安全性問題：有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患，伺服器操作系統本身也會有漏洞，不法攻擊者如果進入電子商務網站，大量用戶信息及交易信息將被竊取。

(二)電子商務安全問題的具體表現

1.信息竊取、篡改與破壞。電子的交易信息在網路上傳輸的過程中，可能會被他人非法、刪除或重放，從而使信息失去了真實性和完整性。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。

2.身份假冒。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。

3.誠信安全問題。電子商務的在線支付形式有電子支票、電子錢包、電子現金、信用卡支付等。但是採用這幾種支付方式，都要求消費者先付款，然後商家再發貨。因此，誠信安全也是影響電子商務快速 發展 的一個重要問題。

4.交易抵賴。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認，以推卸自己應承擔的責任。交易抵賴包括多個方面，如發信者事後否認曾經發送過某條信息或內容，收信者事後否認曾經收到過某條消息或內容，購買者做了定貨單不承認，商家賣出的商品因價格差而不承認原有的交易等。

5.病毒感染。各種新型病毒及其變種迅速增加，不少新病毒直接利用網路作為自己的傳播途徑。我國計算機病毒主要就是蠕蟲等病毒在網上的猖獗傳播。蠕蟲主要是利用系統的漏洞進行自動傳播復制，由於傳播過程中產生巨大的掃描或其他攻擊流量，從而使網路流量急劇上升，造成網路訪問速度變慢甚至癱瘓。

6.黑客。黑客指的是一些以獲得對其他人的計算機或者網路的訪問權為樂的計算機愛好者。而其他一些被稱為「破壞者(cracker)」的黑客則懷有惡意，他們會摧毀整個計算機系統，竊取或者損害保密數據，網頁，甚至最終導致業務的中斷。一些業余水平的黑客只會在網上尋找黑客工具，在不了解這些工具的工作方式和它們的後果的情況下使用這些工具。

7.特洛伊木馬程序。特洛伊木馬程序簡稱特洛伊，是破壞性碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟體程序，例如計算機游戲，但是它們實際上是「偽裝的敵人」。特洛伊可以刪除數據，將自身的復本發送給電子郵件地址簿中的收件人，以及開啟計算機進行其他攻擊。只有通過磁碟，從互聯網上下載文件，或者打開某個電子郵件附件，將特洛伊木馬程序復制到一個系統，才可能感染特洛伊。無論是特洛伊還是病毒並不能通過電子郵件本身傳播——它們只可能通過電子郵件附件傳播。

8.惡意破壞程序。網站提供一些軟體應用(例如ActiveX和JavaApplet)，由於這些應用非常便於下載和運行，從而提供了一種造成損害的新工具。惡意破壞程序是指會導致不同程度的破壞的軟體應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件，也可能損壞大部分計算機系統。

9.網路攻擊。目前已經出現的各種類型的網路攻擊通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務(DoS)攻擊。探測式攻擊實際上是信息採集活動，黑客們通過這種攻擊搜集網路數據，用於以後進一步攻擊網路。通常，軟體工具(例如探測器和掃描器)被用於了解網路資源情況，尋找目標網路、主機和應用中的潛在漏洞。例如一種專門用於破解的軟體，這種軟體是為網路管理員而設計的，管理員可以利用它們來幫助那些忘記密碼的員工，或者發現那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟體如果被錯誤的人使用，就將成為一種非常危險的武器。訪問攻擊用於發現身份認證服務、文件傳輸協議(FTP)功能等網路領域的漏洞，以訪問電子郵件帳號、資料庫和其他保密信息。DoS攻擊可以防止用戶對於部分或者全部計算機系統的訪問。它們的實現方法通常是：向某個連接到企業網路或者互聯網的設備發送大量的雜亂的或者無法控制的數據，從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊(DDoS)，在這種攻擊中攻擊者將會危及多個設備或者主機的安全。

二、電子商務安全技術措施

電子商務的安全性策略可分為兩大部分：一部分是計算機網路安全，第二部分是商務交易安全。電子商務中的安全性技術主要有以下幾種：

1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施。其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸，從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。

對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密，即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快，適合於對大量數據進行加密，能夠保證數據的機密性和完整性;缺點是當用戶數量大時，分配和管理密鑰就相當困難。目前常用的對稱加密演算法有：美國國家標准局提出DES演算法、由瑞士聯邦理工學院的IDEA演算法等。

非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密，它主要指每個人都有一對唯一對應的密鑰：公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開，私鑰由個人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理，缺點是演算法復雜，加密速度慢。一般用公鑰來進行加密，用私鑰來進行簽名;同時私鑰用來解密，公鑰用來驗證簽名。演算法的加密強度主要取決於選定的密鑰長度。目前常用的非對稱加密演算法有：麻省理工學院的RSA演算法、美國國家標准和技術協會的SHA演算法等。

復雜加密技術。由於上述兩種加密技術各有長短，目前比較普遍的做法是將兩種技術進行集成。 lwlmpageLWLM編輯。 向解密後得到明文。

2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及碼組成 電子 密碼進行簽名，來替書簽名或印章，對於這種電子式的簽名還可進行技術驗證，其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。

3.認證機構和數字證書。所謂CA認證機構，它是採用PKI(Public Key Infrastructure)公開密鑰基礎架構技術，利用數字證書、非對稱和對稱加密演算法、數字簽名、數字信封等加密技術，建立起安全程度極高的加解密和身份認證系統，確保電子交易有效、安全地進行，從而使信息除發送方和接收方外，不被其他方知悉(保密性);保證傳輸過程中不被篡改(完整性和一致性);發送方確信接收方不是假冒的;發送方不能否認自己的發送行為(不可抵賴性)。電子商務安全性的解決，大大地推動了電子商務的 發展 。在電子交易中，無論是數字時間戳服務還是數字證書的發放，都不是靠交易雙方自己能完成的，而需要有一個具有權威性和公正性的第三方來完成。CA認證機構作為權威的、可信賴的、公正的第三方機構，提供 網路 身份認證服務，專門負責發放並管理所有參與網上交易的實體所需的數字證書。

4.安全認證協議。目前電子商務中經常使用的有安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議兩種安全認證協議。

安全套接層(SSL)協議。SSL協議是Netscape公司在網路傳輸層之上提供的一種基於RSA和保密密鑰的用於瀏覽器和Web伺服器之間的安全連接技術。SSL協議是一個保證任何安裝了安全套接層的客戶和伺服器間事務安全的協議，該協議向基於TCP/IP的客戶/伺服器應用程序提供了客戶端和伺服器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供Internet和 企業 內聯網的安全通信服務。SSL協議在應用層收發數據前，協商加密演算法，連接密鑰並認證通信雙方，從而為應用層提供了安全的傳輸通道;在該通道上可透明載入任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成：伺服器認證和用戶認證。SSL採用了公開密鑰和專有密鑰兩種加密：在建立連接過程中採用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和伺服器間事務的安全性。

安全電子交易(SET)協議。SET協議是針對開放網路上安全、有效的銀行卡交易，由維薩(Visa)公司和萬事達(Mastercard)公司聯合研製的，為Internet上卡支付交易提供高層的安全和反欺詐保證。由於它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實上的 工業 標准，目前已獲得IETF標準的認可。這是一個為Internet上進行在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款規范。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對於需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標准。安全電子交易規范是一種為基於信用卡而進行的電子交易提供安全措施的規則，SET協議保證了電子交易的機密性、數據完整性、身份的合法性和防抵賴性，且SET協議採用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數據，而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應用於Internet上的安全電子付款協議，它能夠將普遍應用的信用卡的使用場所從目前的商店擴展到消費者家裡，擴展到消費者個人 計算 機中。

5.其他安全技術。電子商務安全中，常用的方法還有網路中採用防火牆技術、虛擬專用網技術、防病毒保護等。如果單純依靠某個單項電子商務安全技術是不夠的，還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務安全基石。

電子商務安全問題及技術防範措施 篇2

電子商務的迅速發展，為用戶提供了快速、高效、便捷的營銷環境，降低了企業管理運營的成本，使企業處於激烈的市場競爭中的優勢雲計算是很好的環境基礎，極大地促進了大數據環境下的網路電子商務營銷的發展，而互聯網的廣泛應用為電子商務市場的開拓提供了發展方向，但是這其中也會出現安全問題

1 關於雲計算的相關內容

雲計算的一種繼分布式計算、網格計算、對等計算之後的一種基於互聯網的新型計算模式雲計算對於計算機發展的影響是巨大的，這種新型的技術，涉及到了伺服器、網路、存儲、安全等從底層基礎架構到上層應用的各個層面，是企業或個人用戶通過與雲計算的服務進行合同的簽訂，使用雲服務的供應商提供的硬體或者軟體的資源按照合同的內容以最小的投資最終來完成計算任務的過程按照服務的類型，雲計算大體上可以分為基礎設施即服務、平台及服務以及軟體即服務這三大類

針對從事電子商務的企業而言，可將電子商務系統劃分為五個主要部分，即企業所面對的客戶、電子商務的應用平台、電子商務的平台、基礎資源管理平台、雲計算的數據管理者在基於雲計算環境下的電子商務活動中，雲計算的數據管理者便可以根據企業對電子商務的不同需求，在不同的平台上來配置資源，以此滿足不同客戶的個性化應用需求，最終，通過雲計算為電子商務的用戶提供所需的服務

2 基於雲計算的電子商務安全的問題表現

盡管雲計算的環境下極大的促進了電子商務的發展，但是在具體的應用和實施過程中，會出現諸如計算機本身的軟硬體問題、數據相關的數據存儲、數據傳輸、交易過程中的安全等問題2.1法律法規尚不完善在雲計算的大數據環境下，電子商務過程中用戶的安全、隱私、賬戶等問題也隨之產生由於我國現在的法律法規尚未完善，加之監管部門的監管制度尚未健全，因此，在我國的電子商務過程當中，仍然會有許多不法分子鑽法律的空子，做違背法律條款的事情，極大地損害了網路營銷過程中用戶的'安全2.2雲計算存儲的安全問題雲計算環境下的電子商務代替了傳統的電子商務模式，按照傳統的模式來看，企業通常是自己來建立本企業的資料庫，並且將此資料庫保存在本企業的也就是本地的伺服器當中但在雲計算的環境下，數據則保存在雲中，企業對於數據保存的位置不清晰，不確定被保存在何地的伺服器，認為數據的安全性是不受保障的另外，當企業獲得了雲軟體的服務許可權後，企業的信息都保存在了雲平台當中，因此，企業十分擔心雲計算的風險性3.3雲數據傳輸的安全問題 雲計算環境下的電子商務的企業數據都是保存在雲中，這樣方便於數據的共享，如果在雲的數據傳輸過程中，出現了非法的竊取信息資料，就會為企業帶來了極大的安全隱患和高風險因此，這種雲計算環境下的數據傳輸的安全風險性在某些程度是大於傳統的電子商務模式的所以要加大對雲計算的數據傳輸的安全性的把關?.-4雲計算數據審計的安全問題 在雲計算的大數據環境下，既要保證雲計算的服務商既要能提供相關的信息支持;又能不為其他企業的數據信息帶來風險企業通常採用第三方的認證機構來對雲計算的服務商進行數據審計，目的是為了確保數據的安全性和准確性因為所有的企業數據都被存儲在雲中，這些數據會存在不同的地區，而各地的政府在信息安全監管等方面又存在著許多的差異，因此，會引起法律的糾紛，所以，為雲中的數據信息的審計確保安全和准確變顯得尤為重要

3 基於雲計算的電子商務安全的對策

3.1加強雲管理的安全對策 根據上面介紹過的雲計算所提供的服務平台的特點來看，在進行雲計算環境下的電子商務過程中，必須要考慮到管理的安全問題可以對企業的用戶加強管理，對雲計算所涉及的如訪問認證、安全審計等方面同樣要力口強管理，並且要制定統一的、完整的安全審計的策略，並對策略加以分析，對各類日誌的安全進行審計、維護和操作

3.2重視雲服務的管理安全對策 對從事電子商務的網路營銷企業而言，在雲計算服務平台上進行雲服務選擇時，要重視安全的問題，避免出現數據進行存儲、傳輸和審計過程中出現安全隱患對這樣的問題，企業應當在將數據通過互聯網進行上傳到雲服務的過程中，要確保數據不被攔截、竊取和盜用，確保數據不會給其他的企業不會帶來風險在雲中的數據和信息是會被全球的用戶所訪問的，更加要注意病毒攻擊

3.3提高對雲服務供應商質量的選擇 雲服務的供應商既要提供安全的物理環境，又要解決基礎設施、應用程序以及數據的各種安全問題在百計算環境下的電於商務的安全要加以防護，對雲計算的系統安全提供防禦機制，有效的控制病毒和木馬等，對數據進行加密和訪問的控制等一系列的技術措施，來確保電子商務的企業能夠有安全的信息和保護隱私的服務，使用戶的數據信息存儲安全，確保企業用戶信息的安全性、完整}h}、真實性以及可用性

4 結語

隨著社會的進步和技術的不斷發展，雲計算與電子商務的完美融合是發展的必然趨勢，雲計算為電子商務的發展帶來了全新的模式，在帶來機遇的同時，也帶來了安全問題，但不能因為存在安全隱患就阻止雲計算環境下電子商務中的應用因此，全力的去分析解決和應對雲計算大數據環境下的電子商務所帶來的安全問題一定會是一場巨大的革命，也會為電子商務帶來新的春天

電子商務安全問題及技術防範措施 篇3

近年來，隨著科技技術的不斷進步，智能科技、計算機網路通信技術的發展，其已經廣泛運用到各個領域中。電子商務作為基於網路技術發展起來的一種全新交易模式，一經問世就取得了迅猛的發展，並且正以不可阻擋的勢頭向前邁進。但隨之暴露的問題也越來越多，其中網路安全問題最受關注。本文主要介紹了電子商務智能化工作中主要存在的網路安全問題，並針對這些問題提出切實可行的解決措施，供同行參考。

電子商務作為一種新型的貿易運營模式，具有成本低廉、超越距離限制、操作簡單方便等優勢，很多企業在發展傳統的線下運營模式的同時也緊跟時代潮流，大力發展以網路平台為支撐的電子商務平台，並取得了不錯的效果，但運營過程中存在很多安全隱患，需要對網路平台做進一步的安全技術完善。

1電子商務安全內容概述

1.1計算機網路安全

隨著計算機網路技術的不斷發展，電子商務平台在市場貿易中扮演著重要的角色，其簡單、快捷、不受時空、地域限制的交易模式深受商家和用戶的歡迎。而且，電子商務平台在近幾年的發展中日趨完善，無論是交易模式還是商家的服務水平都有了很大的提高。計算機技術更新換代的速度非常快，基於網路技術的電子商務平台也逐漸完善，已經形成了智能化的交易、管理模式，電子商務平台上的成交額也是呈逐年上升的趨勢。但大量存儲商家、客戶信息的網路交易平台存在很大的安全隱患，這些安全隱患很大一部分是計算機網路技術安全漏洞造成的。近年來，網路平台泄露客戶信息的事件頻發，給客戶的生命、財產安全造成了不同程度的威脅，因此，如何保障網路上存儲和傳輸的信息的安全性成為業內關注的焦點，也是業內急需解決的技術問題。

1.2電子商務交易安全

對於電子商務交易來說，其應該具備保密性、完整性、可鑒別性與不可偽造性等特點，其不僅要保證商家與客戶之間順利完成整個交易過程，更要保證在交易中和交易後的安全性。但電子商務是基於計算機網路技術發展起來的交易平台，其本身具備網路資源共享的特點，正是這個特點使得目前的電子商務平台還無法完全實現零風險交易，需要商家做進一步的安全平台完善，保障商家個人與客戶的信息安全。

2電子商務的安全問題

2.1木馬、病毒種類更新速度快且數量暴漲

就目前調查的情況來看，計算機網路技術還存在著很多安全問題，其中，木馬、病毒問題是自計算機問世以來就存在的安全隱患，並且木馬、病毒的數量還呈逐年上升的趨勢。每年有近十億的木馬、病毒網頁數量威脅著用戶的安全，且這些木馬、病毒都具有數量增加快、種類繁多、變化速度快等特點。雖然用戶大多會安裝相關的木馬查殺軟體，但數量巨大的木馬病毒還是一直危害著計算機網路的安全。電子商務的交易過程全靠計算機完成，商家與用戶需要輸入大量信息進入交易系統，而計算機本身具有存儲這些信息的功能，一旦系統遭受木馬病毒侵入，不僅會導致網路交易平台癱瘓不能使用，同時泄漏商家與用戶的個人信息，不法分子利用這些信息進行各種犯罪活動，給商家、客戶帶來諸多困擾，同時給社會的安定造成一定的影響。

2.2網路病毒的傳播方式發生了變化

近年來，計算機網路技術不斷發展，隨著網路安全問題受到了公眾越來越多的關注，商家對於電子商務交易平台的構建也逐漸規范化，防火牆、安全電子交易技術不斷發展，在一定程度上保證了電子商務平台交易的安全性。但網路病毒也因其傳播方式的變化呈現更加猖獗的趨勢，以前的木馬病毒大多都是依靠計算機設備進行傳播的。而現在，木馬病毒已經開始藉助移動設備進行傳播，主要包含手機、U盤以及移動硬碟等設備，具體傳播方式是在移動設備中種下潛伏病毒，通過自動調用功能激活這些病毒，進而侵染計算機設備。木馬傳播病毒方式的改變給商家和用戶的交易安全帶來了更大的挑戰。

2.3冒充合法用戶

一些不法分子自身具備高超的計算機運用技術，其可以通過多種不法手段竊取商家與用戶的個人信息，一種是直接侵入用戶的個人系統，冒充合法用戶登錄，篡改或盜用客戶的個人信息，從而進行一些犯罪活動。另一種則是通過截取信息的方式，在商家與客戶進行交易的過程中，利用不正當手段在網路傳輸的道路上截取信息，通過對截獲的信息進行篩選後進行一系列不正當活動。

3電子商務安全問題的應對策略

3.1安全電子交易技術

就目前來說，電子商務交易平台安全的保障主要依靠防火牆技術和信息加密技術。防火牆是指在內部網與外部網之間實施安全防範的系統。主要是對外界進入的信息進行過濾、篩選，對於審核不符合要求的信息進行攔截，對訪問內部系統的外界用戶進行限制，從而保障電子商務平台交易的安全。信息加密技術則屬於網路安全技術，利用計算機技術手段，對電子商務交易系統內部存儲的原始信息進行再組織，需要通過安全密鑰才能解鎖這些原始信息，實現對存儲信息的保護。

3.2加強對相關人員的管理

對於電子商務平台網路安全的實現，不僅需要加快發展防火牆技術與信息加密技術的腳步，更要對內部人員實行嚴密監管，監管的方式則主要靠商家。商家在選擇電子商務平台工作人員時，應該經過嚴格的篩選，並定期對進入系統工作的員工進行培訓，培訓包含道德業務水平、安全技術教育等，提高員工的安全意識，避免人為泄漏的事件再次發生，確保商家與用戶的信息安全。

3.3出台相關法律規范電子商務管理

當下，對於電子商務平台網路安全管理，國家已經出台了相關的政策，旨在利用法律對電子商務市場進行約束，構建一個和諧、安全的網路電子商務交易平台。但相關的法律法規並不健全，需要結合以後的市場發展需要做進一步的完善，掃除管理盲點，確保電子商務交易平台的安全。

4結語

綜上所述，電子商務在我國貿易市場中佔有舉足輕重的地位，但完全依靠網路存儲復雜的商務信息的商務系統存在極大的安全隱患。需要從完善安全技術、出台相應的管理措施等方面出發，構建安全的電子商務平台，避免商務信息泄露，確保電子商務智能化工作的安全。