A. 電子商務安全問題研究:淺析電子商務安全問題
電子商務安全問題研究
[提要] 本文概述電子商務所面臨的安全問題,分析電子商務在安全方面的基本要求,提出解決電子商務安全應採取的措施,以及保證電子商務安全應注意的一些問題。
關鍵詞:電子商務;安全技術;電子支付
電子商務正在成為一個全球性的經濟主題,圍繞電子商務安全的技術也正在逐步建立起來,所有準備或者已經開展電子商務的工商企業都應當了解其交易的技術手段,採取最先進和嚴密的技術措施,以便有效地維護自己的財產利益。電子商務的核心問題是安全問題,由於電子商務與生俱來的開放性和全球性的特點,使得電子商務存在著種種安全漏洞。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網路進行商務交易,這樣會導致商業機密信息或個人隱私的泄漏,從而導致巨大的利益損失。網上交易安全性若不能得到保證,就必將影響我國電子商務的順利發展。所以,研究網路環境的電子商務安全技術具有重要的現實意義。
一、電子商務面臨的安全問題
電子商務的安全性並不是一個孤立的概念,它是由計算機安全性,尤其是計算機網路的安全性發展而來的。因為電子商務就是利用計算機網路的信息交換來實現電子交易,所以凡是涉及計算機網路的安全問題,無疑對於電子商務都有著重要意義。當然,電子商務的安全也存在著自身的特點。計算機網路所面臨的安全性威脅主要給電子商務帶來了如下的安全問題:
(一)信息泄漏。在電子商中攜務中表現為商業機密的泄漏,主要包括兩個方面:
1、交易雙方進行交易的內容被第三方竊取;2、交易一方提供給另一方使用的文件被第三方非法使用。
(二)篡改。在電子商務中表現為商業信息的真實性和完整性問題。電子交易信息在網路上傳輸的過程中,可能被他人非法的修改、刪除或重放(指只能使用一次的信息被多次使用),這樣就使信息失去了真實性和完整性。
(三)身份識別。1、如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、敗壞被假冒一方的信譽或盜取被假冒一方的交易成果等。進行身份識別後,交易雙方就可防止「相互猜疑」的情況;2、「不可抵賴」性。交易雙方對自己的行為應負有一定的責任,信息發送者和接受者都不能對此否認。進行身份識別後,如果出現抵賴的情況,就有了反駁的依據。
(四)信息破壞。1、者粗網路傳輸的可靠性。網路的硬體或軟體可能會出現問題而導致交易信息傳遞的丟失與謬誤;2、惡意破壞。計算機網路本身容易遭到一些惡意程序的破壞,而使電子商務的信息遭到破壞,如計算機病毒等。
二、電子商務對安全的基本要求
由於網上交易的安全存在問題,為了確保交易的順利進行,必須在互聯網路通訊中進行加密,並維持一種令人可信的環境和機制。在設計和實施安全方法時,對用戶應該是公開和透明的。為了保障交易各方的合法權益,保證能夠在安全的前提下開展電子商務,以下基本要求必須得到滿足:
(一)授權合法性。安全管理人員能夠控制用戶的許可權,分配或終止用戶的訪問、操作、接入等權利,但被授權用戶的合法要求不能被拒絕。
(二)不可抵賴性。不可否認性就是建立有效的責任機制,防止實體否認其
行為。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方面的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業和國家提供可靠的標識,這樣發送方和接受方在發送和接受數據後就都不能抵賴。
(三)保密性。信息的發送和接收是在安全的通道進行,保證通信雙方的信息保密,交易的參與方在信息交換過程中沒有被竊聽的危險,非參與方不能獲取交易的信息。電子商務的信息傳輸必須保證其不被非授權實體截獲及讀取。如果可能,應確保交易的匿名性,確保交易者的身份和購買習慣等隱私受到保護。
(四)身份的真實性。參與交易的雙方在進行安全通信前,必須通過一定的機制互相確認對方的身份,保證信息是由確定對象發出。交易方的身份不能被假冒或偽造,可以有效鑒別和確定交易方的身份。
(五)信息的完整性。信息的接收方可以驗證收到的信息是否是完整一致的,是否被人篡改。由於數據輸入時的意外差錯或欺詐行為等,可能導致貿易各方信息的差異。所以,網上支付必須保證傳輸過程中信息不被竄改、假冒、重發和丟失,保證目的信息和源信息的一致性。電子商賣嫌伏務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
三、電子商務所涉及的安全技術
(一)虛擬專用網。虛擬專用網路(VPN)是利用公用互聯網路作為信息傳輸媒介,通過安全隧道、用戶認證和訪問控制等技術實現與專用網路相類似的安全性能,從而實現對重要信息的安全傳輸。虛擬專用網是用於Internet電子交易的一種專用網路,它可以在兩個系統之間建立安全的信道,非常適合於電子數據交換(EDI)。在虛擬專用網中交易雙方相互比較熟悉,而且彼此之間的數據通信量很大,只要交易雙方取得一致,在虛擬專用網中就可以使用比較復雜的專用加密和認證技術,這樣就可以大大提高電子商務的安全性。虛擬專用網是進行電子商務比較理想的一種形式。
以一般的生產廠家為例,生產廠家的直接合作夥伴是原料供應商和產品批發商。一方面生產廠家要想生產適銷對路的產品,就要利用虛擬專用網從產品批發商那裡得到產品信息,以便組織生產;另一方面為了盡量減少庫存,生產廠家又要根據需求來組織原料,這一過程是通過虛擬專用網與原料供應商聯系,以便原料供應商可以及時地把所需原料送到指定的地點。這樣的生產方式降低了成本,提高了效率,同時由於中間都採用了虛擬專用網技術,安全性比較好。
當然,虛擬專用網也存在著一些問題。如果虛擬專用網使用專用線路,則受到攻擊的機會比較小,安全強度比較高,但如果使用公共線路,還是很容易受到攻擊的。而且正是因為攻擊虛擬專用網更具有挑戰性,才更容易吸引網路黑客對其進行攻擊,也帶來了巨大的安全隱患。
(二)加密技術
1、加密技術的基本含義。加密技術是實現信息保密性的一種重要手段,目的是為了防止合法接收者之外的人獲取信息系統中的機密信息。所謂信息加密技術,就是採用數學方法對原始信息(通常稱為「明文」)進行再組織,使得加密後在網路上公開傳輸的內容對於非法接收者來說成為無意義的文字(加密後的信息通常稱為「密文」),而對於合法的接收者,因為其掌握正確的密鑰,可以通過解密過程得到原始數據(即「明文」)。由此可見,在加密和解密的過程中,都要涉及信息(明文/密文)、密鑰(加密密鑰/解密密鑰)和演算法(加密演算法/解密演算法)這三項內容,一條信息的加密傳遞過程如圖1。(圖1)
B. 如何保證電子商務中的安全問題
1、保護網路安全。
制定網路安全的管理措施,使用防火牆,盡可能記錄網路上的一切活動,注意對網路設備的物理保護,檢驗網路平台系統的脆弱性,建立可靠的識別和鑒別機制。
2、保護應用安全。
應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
3、保護系統安全。
在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。技術與管理相結合,使系統具有最小穿透風險性。
4、加密技術
加密技術為電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。(2)電子商務安全問題網站許可權擴展閱讀
電子商務的所有活動都需要安全體系的有力支持,缺乏嚴格的制度對硬體、軟體、資料庫、密碼和用戶許可權進行科學管理,因而發生安全意外或為某些內部人員造成可乘之機。
電子商務網路系統的安全威脅主要為以下幾個方面:即軟體系統存在潛在安全隱患、安全產品使用不當、缺少嚴格的網路安全管理制度。
保證交易數據的安全性是電子商務的關鍵問題。由於網路本身所具有的開放性特點,電子商務面臨著各種各樣的威脅,這對電子商務的安全性提出了更高的要求。
C. 電子商務網站面臨的主要安全問題有哪些
電子商務簡單的說就是利用Internet進行的交易活動,電子商務:"電子"+"商務",從電子商務的定義可以了解電子商務的安全也就相應的分為兩個方面的安全:一方面是"電子"方面的安全,就是電子商務的開展必須利用Internet來進行,而Internet本身也屬於計算機網路,所以電子商務的第一個方面的安全就是計算機網路的安全,它包括計算機網路硬體的安全與計算機網路軟體的安全,計算機網路存在著很多安全威脅,也就給電子商務帶來了安全威脅;另一方面是"商務"方面的安全,是把傳統的商務活動在Internet上開展時,由干Internet存著很多安全隱患給電子商務帶來了安全威脅,簡稱為"商務交易安全威脅"。這兩個方面的安全威脅也就給電子商務帶來了很多安全問題:
(一)計算機網路安全威脅
電子商務包含"三流":信息流、資金流、物流,"三流"中以信息流為核心為最重要,電子商務正是通過信息流為帶動資金流、物流的完成。電子商務跟傳統商務的最重要的區別就是以計算機網路來傳遞信息,促進信息流的完成。計算機網路的安全必將影響電子商務中的"信息流"的傳遞,勢必影響電子商務的開展。計算機網路存在以下安全威脅:
1、黑客攻擊
黑客攻擊是指黑客非法進入網路,非法使用網路資源。隨著互聯網的發展,黑客攻擊也是經常發生,防不勝防,黑客利用網上的任何漏洞和缺陷修改網頁、非法進入主機、竊取信息等進行相關危害活動。2003年,僅美國國防部的"五角大樓"就受到了了230萬次對其網路的嘗試性攻擊。從這里可以看出,目前黑客攻擊已成為了電子商務中計算機網路的重要安全威脅。
2、計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行,具有傳染性的一段程序。隨著互聯網的發展,病毒利用互聯網,使得病毒的傳播速度大大加快,它侵入網路,破壞資源,成為了電子商務中計算機網路的又一重要安全威脅。
3、拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是一個用戶採用某種手段故意佔用大量的網路資源,使系統沒有剩餘資源為其他用戶提供服務的攻擊。目前具有代表性的拒絕服務攻擊手段包括SYNflood、ICMPflood、UDPflood等。隨著互聯網的發展,拒絕服務攻擊成為了網路安全中的重要威脅。
(二)商務交易安全威脅
把傳統的商務活動在Internet上進行,由於Internet本身的特點,存在著很多安全威脅,給電子商務帶來了安全問題。Internet的產生源於計算機資源共享的需求,具有很好的開放性,但正是由子它的開放性,使它產生了更嚴重的安全問題。Internet存在以下安全隱患:
1、開放性
開放性和資源共享是Internet最大的特點,但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2、缺乏安全機制的傳輸協議
TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
3、軟體系統的漏洞
隨著軟體系統規模的不斷增大,系統中的安全漏洞或"後門"也不可避免的存在。如cookie程序、JAVA應用程序、IE瀏覽器等這些軟體與程序都有可能給我們開展電子商務帶來安全威脅。
4、信息電子化
電子化信息的固有弱點就是缺乏可信度,電子信息是否正確完整是很難由信息本身鑒別的,而且在Internet傳遞電子信息,存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1、信息泄露
在電子商務中表現為商業機密的泄露,以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏,主要包括兩個方面:(1)交易一方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件第三方非法使用。
2、篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患,電子的交易信息在網路上傳輸的過程中,可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用),這樣就使信息失去了真實性和完整性。
3、身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易,雙方互不見面、互不認識,計算機網路的安全威脅與Internet的安全隱患,也可能使得電子商務交易中出現身交易身份偽造的問題。
4、信息破壞
計算機網路本身容易遭到一些惡意程序的破壞,如計算機病毒、特洛伊木馬程序、邏輯炸彈等,導致電子商務中的信息在傳遞過程被破壞。
5、破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息,這些信息我們也必須保證它的時間的有效與本身信息的有效,必須能確認該信息確是由交易一方簽發的,計算機網路安全威脅與Internet的安全隱患,使得我們很難保證電子商務中的信息有效性。
6、泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息,計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露,破壞到個人隱私。
D. 電子商務信息安全存在的問題
一、電子商務信息安全問題
由於Inter本身的開放性,使電子商務系統面臨著各種各樣的安全威脅。目前,電子商務主要存在的安全隱患有以下幾個方面。
1.身份冒充問題
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益。主要表現有:冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法用戶等。
2.網路信息安全問題
主要表現在攻擊者在網路的傳輸信道上,通過物理或邏輯的手段,進行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網路物理線路傳輸時的各種特徵,截獲機密信息或有用信息,如消費者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內容;刪除,即刪除某個信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。
3.拒絕服務問題
攻擊者使合法接入的信息、業務或其他資源受阻。主要表現為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網站和商店,給用戶發電子郵件,收訂貨單;偽造大量用戶,發電子郵件,窮盡商家資源,使合法用戶不能正常訪問網路資源,使有嚴格時間要求的服務不能及時得到響應。
4.交易雙方抵賴問題
某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如:發布者事後否認曾經發送過某條信息或內容;收信者事後否認曾經收到過某條信息或內容;購買者做了訂貨單不承認;商家賣出的商品質量差但不承認原有的交易。在網路世界裡誰為交易雙方的糾紛進行公證、仲裁。
5.計算機系統安全問題
計算機系統是進行電子商務的基本設備,如果不注意安全問題,它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞,數據丟失,信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時,計算機系統存在工作人員管理的問題,如果職責不清,許可權不明同樣會影響計算機系統的安全。
二、電子商務安全機制
1.加密和隱藏機制
加密使信息改變,攻擊者無法讀懂信息的內容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發現,不僅實現了信息的保密,也保護了通信本身。
2.認證機制
網路安全的基本機制,網路設備之間應互相認證對方身份,以保證正確的操作權力賦予和數據的存取控制。網路也必須認證用戶的身份,以保證正確的用戶進行正確的操作並進行正確的審計。
3.審計機制
審計是防止內部犯罪和事故後調查取證的基礎,通過對一些重要的事件進行記錄,從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。
4.完整性保護機制
用於防止非法篡改,利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務,當信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認定信息的發送者,數字簽名就可以提供這種手段。
5.權力控制和存取控制機制
主機系統必備的安全手段,系統根據正確的認證,賦予某用戶適當的操作權力,使其不能進行越權的操作。該機制一般採用角色管理辦法,針對系統需要定義各種角色,如經理、會計等,然後對他們賦予不同的執行權利。
6.業務填充機制
在業務閑時發送無用的隨機數據,增加攻擊者通過通信流量獲得信息的困難。同時,也增加了密碼通信的破譯難度。發送的隨機數據應具有良好模擬性能,能夠以假亂真。
E. 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持
F. 電子商務的安全怎麼解決
伴隨著Internet的蓬勃發展,電子商務正以其高效、低成本的優勢,逐步成為新興的經營模式和理念,B2B、B2C等經營模式的不斷優化和成熟更是推動了世界范圍內電子商務的發展。人們已不再滿足於信息瀏覽和發布,而是渴望著能夠享受網路所帶來的更多的便利。為了滿足人們的需求,越來越多的網站投身到提供電子商務服務的行列中來,越來越多的企業開始將自己的業務通過Internet的形式直接提供給客戶,一個基於Internet的全球電子商務框架正在形成。
由於電子商務是一種網路應用,它的所有內容都是以數字的形式流轉於Internet之上,因此,在電子商務應用中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。Internet上橫行的黑客、肆虐的病毒使用戶感覺到目前的電子商務環境缺乏安全。根據中國互聯網路信息中心(CNNIC)2001年7月公布的《中國互聯網路發展狀況統計報告》顯示,有33.4%的用戶認為目前網上交易存在的最大問題是"安全性得不到保障",排在了第一位,由此可見用戶對電子商務安全性的憂慮程度。安全問題在很大程度上阻礙了全球電子商務的發展。因此,採取強有力的安全策略來保障電子商務的安全性將變得尤為重要。
用戶以及開展電子商務的企業對電子商務應用的安全憂慮主要有:
身份認證:由於非法用戶可以偽造、假冒電子商務網站和用戶的身份,因此登錄到電子商務應用系統的客戶無法知道他們所登錄的網站是否是可信的電子商務網站,電子商務網站也無法驗證登錄到網站上的客戶是否是經過認證的合法用戶,非法用戶可以借機進行破壞。"用戶名+口令"的傳統認證方式安全性較弱,用戶口令易被竊取而導致損失。
信息的機密性:傳輸在客戶端與WEB伺服器之間的敏感、機密信息和交易數據,如客戶的私隱信息、客戶的信用卡號和密碼等,有可能在傳輸過程中被非法用戶截取。
信息的完整性:敏感信息和交易數據在傳輸過程中有可能被惡意篡改。
信息的不可抵賴性:網上交易行為一旦被進行交易的一方所否認,另一方沒有已簽名的記錄來作為仲裁的依據。
針對這些安全隱患,宇盟科技提出了一套實用的、易於實施的電子商務安全認證解決方案,通過為交易的各方發放數字證書來對交易的各方進行身份標識,並且在交易的過程中通過使用數字證書對交易的雙方進行身份驗證和簽名驗證,最終滿足電子商務的安全需求,有效地防止各種電子商務安全隱患。
此外,宇盟科技的電子商務安全認證解決方案還能夠實現訪問控制功能,保證電子商務網站內部人員和客戶在電子商務應用中擁有不同的許可權,控制其所瀏覽的信息,防止電子商務網站內部人員竊取用戶敏感信息;能夠實現文件加密保存功能,保證存放在企業內部計算機上的文件他人無法打開。宇盟科技的電子商務安全認證解決方案支持交叉認證,並可以與MS Exchange、Lotus Notes等辦公自動化軟體無縫集成。
也許您曾經在安全隱患面前望而卻步,徘徊在電子商務的大門外,宇盟科技的電子商務安全認證解決方案將傾力為您打造一個安全、可信的電子商務環境,讓您在網上輕松購物的同時享受到高度的安全。
G. 電子商務安全問題及技術防範措施
一、電子商務存在的安全性問題
(一)電子商務安全的主要問題
1.網路協議安全性問題:由於TCP/IP本身的開放性, 企業 和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行和假冒。
2.用戶信息安全性問題:目前最主要的電子商務形式是/S(Browser/Server)結構的電子商務網站,用戶使用瀏覽器登錄網路進行交易,由於用戶在登錄時使用的可能是公共 計算 機,那麼如果這些計算機中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題:有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患,伺服器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取。
(二)電子商務安全問題的具體表現
1.信息竊取、篡改與破壞。電子的交易信息在網路上傳輸的過程中,可能會被他人非法、刪除或重放,從而使信息失去了真實性和完整性。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。
2.身份假冒。如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易,敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。
3.誠信安全問題。電子商務的在線支付形式有電子支票、電子錢包、電子現金、信用卡支付等。但是採用這幾種支付方式,都要求消費者先付款,然後商家再發貨。因此,誠信安全也是影響電子商務快速 發展 的一個重要問題。
4.交易抵賴。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。交易抵賴包括多個方面,如發信者事後否認曾經發送過某條信息或內容,收信者事後否認曾經收到過某條消息或內容,購買者做了定貨單不承認,商家賣出的商品因價格差而不承認原有的交易等。
5.病毒感染。各種新型病毒及其變種迅速增加,不少新病毒直接利用網路作為自己的傳播途徑。我國計算機病毒主要就是蠕蟲等病毒在網上的猖獗傳播。蠕蟲主要是利用系統的漏洞進行自動傳播復制,由於傳播過程中產生巨大的掃描或其他攻擊流量,從而使網路流量急劇上升,造成網路訪問速度變慢甚至癱瘓。
6.黑客。黑客指的是一些以獲得對其他人的計算機或者網路的訪問權為樂的計算機愛好者。而其他一些被稱為「破壞者(cracker)」的黑客則懷有惡意,他們會摧毀整個計算機系統,竊取或者損害保密數據,網頁,甚至最終導致業務的中斷。一些業余水平的黑客只會在網上尋找黑客工具,在不了解這些工具的工作方式和它們的後果的情況下使用這些工具。
7.特洛伊木馬程序。特洛伊木馬程序簡稱特洛伊,是破壞性碼的傳輸工具。特洛伊表面上看起來是無害的或者有用的軟體程序,例如計算機游戲,但是它們實際上是「偽裝的敵人」。特洛伊可以刪除數據,將自身的復本發送給電子郵件地址簿中的收件人,以及開啟計算機進行其他攻擊。只有通過磁碟,從互聯網上下載文件,或者打開某個電子郵件附件,將特洛伊木馬程序復制到一個系統,才可能感染特洛伊。無論是特洛伊還是病毒並不能通過電子郵件本身傳播——它們只可能通過電子郵件附件傳播。
8.惡意破壞程序。網站提供一些軟體應用(例如ActiveX和JavaApplet),由於這些應用非常便於下載和運行,從而提供了一種造成損害的新工具。惡意破壞程序是指會導致不同程度的破壞的軟體應用或者Java小程序。一個惡意破壞程序可能只會損壞一個文件,也可能損壞大部分計算機系統。
9.網路攻擊。目前已經出現的各種類型的網路攻擊通常被分為三類:探測式攻擊,訪問攻擊和拒絕服務(DoS)攻擊。探測式攻擊實際上是信息採集活動,黑客們通過這種攻擊搜集網路數據,用於以後進一步攻擊網路。通常,軟體工具(例如探測器和掃描器)被用於了解網路資源情況,尋找目標網路、主機和應用中的潛在漏洞。例如一種專門用於破解的軟體,這種軟體是為網路管理員而設計的,管理員可以利用它們來幫助那些忘記密碼的員工,或者發現那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但這種軟體如果被錯誤的人使用,就將成為一種非常危險的武器。訪問攻擊用於發現身份認證服務、文件傳輸協議(FTP)功能等網路領域的漏洞,以訪問電子郵件帳號、資料庫和其他保密信息。DoS攻擊可以防止用戶對於部分或者全部計算機系統的訪問。它們的實現方法通常是:向某個連接到企業網路或者互聯網的設備發送大量的雜亂的或者無法控制的數據,從而讓正常的訪問無法到達該主機。更惡毒的是分布式拒絕服務攻擊(DDoS),在這種攻擊中攻擊者將會危及多個設備或者主機的安全。
二、電子商務安全技術措施
電子商務的安全性策略可分為兩大部分:一部分是計算機網路安全,第二部分是商務交易安全。電子商務中的安全性技術主要有以下幾種:
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施。其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密,即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量數據進行加密,能夠保證數據的機密性和完整性;缺點是當用戶數量大時,分配和管理密鑰就相當困難。目前常用的對稱加密演算法有:美國國家標准局提出DES演算法、由瑞士聯邦理工學院的IDEA演算法等。
非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密,它主要指每個人都有一對唯一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開,私鑰由個人秘密保存,用其中一把密鑰來加密,就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理,缺點是演算法復雜,加密速度慢。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密,公鑰用來驗證簽名。演算法的加密強度主要取決於選定的密鑰長度。目前常用的非對稱加密演算法有:麻省理工學院的RSA演算法、美國國家標准和技術協會的SHA演算法等。
復雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行集成。 lwlmpageLWLM編輯。 向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及碼組成 電子 密碼進行簽名,來替書簽名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。所謂CA認證機構,它是採用PKI(Public Key Infrastructure)公開密鑰基礎架構技術,利用數字證書、非對稱和對稱加密演算法、數字簽名、數字信封等加密技術,建立起安全程度極高的加解密和身份認證系統,確保電子交易有效、安全地進行,從而使信息除發送方和接收方外,不被其他方知悉(保密性);保證傳輸過程中不被篡改(完整性和一致性);發送方確信接收方不是假冒的;發送方不能否認自己的發送行為(不可抵賴性)。電子商務安全性的解決,大大地推動了電子商務的 發展 。在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易雙方自己能完成的,而需要有一個具有權威性和公正性的第三方來完成。CA認證機構作為權威的、可信賴的、公正的第三方機構,提供 網路 身份認證服務,專門負責發放並管理所有參與網上交易的實體所需的數字證書。
4.安全認證協議。目前電子商務中經常使用的有安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議兩種安全認證協議。
安全套接層(SSL)協議。SSL協議是Netscape公司在網路傳輸層之上提供的一種基於RSA和保密密鑰的用於瀏覽器和Web伺服器之間的安全連接技術。SSL協議是一個保證任何安裝了安全套接層的客戶和伺服器間事務安全的協議,該協議向基於TCP/IP的客戶/伺服器應用程序提供了客戶端和伺服器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供Internet和 企業 內聯網的安全通信服務。SSL協議在應用層收發數據前,協商加密演算法,連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明載入任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:伺服器認證和用戶認證。SSL採用了公開密鑰和專有密鑰兩種加密:在建立連接過程中採用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和伺服器間事務的安全性。
安全電子交易(SET)協議。SET協議是針對開放網路上安全、有效的銀行卡交易,由維薩(Visa)公司和萬事達(Mastercard)公司聯合研製的,為Internet上卡支付交易提供高層的安全和反欺詐保證。由於它得到了IBM、HP、Microsoft等很多大公司的支持,已成為事實上的 工業 標准,目前已獲得IETF標準的認可。這是一個為Internet上進行在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款規范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證,這對於需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標准。安全電子交易規范是一種為基於信用卡而進行的電子交易提供安全措施的規則,SET協議保證了電子交易的機密性、數據完整性、身份的合法性和防抵賴性,且SET協議採用了雙重簽名來保證各參與方信息的相互隔離,使商家只能看到持卡人的訂購數據,而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應用於Internet上的安全電子付款協議,它能夠將普遍應用的信用卡的使用場所從目前的商店擴展到消費者家裡,擴展到消費者個人 計算 機中。
5.其他安全技術。電子商務安全中,常用的方法還有網路中採用防火牆技術、虛擬專用網技術、防病毒保護等。如果單純依靠某個單項電子商務安全技術是不夠的,還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務安全基石。
電子商務的迅速發展,為用戶提供了快速、高效、便捷的營銷環境,降低了企業管理運營的成本,使企業處於激烈的市場競爭中的優勢雲計算是很好的環境基礎,極大地促進了大數據環境下的網路電子商務營銷的發展,而互聯網的廣泛應用為電子商務市場的開拓提供了發展方向,但是這其中也會出現安全問題
1 關於雲計算的相關內容
雲計算的一種繼分布式計算、網格計算、對等計算之後的一種基於互聯網的新型計算模式雲計算對於計算機發展的影響是巨大的,這種新型的技術,涉及到了伺服器、網路、存儲、安全等從底層基礎架構到上層應用的各個層面,是企業或個人用戶通過與雲計算的服務進行合同的簽訂,使用雲服務的供應商提供的硬體或者軟體的資源按照合同的內容以最小的投資最終來完成計算任務的過程按照服務的類型,雲計算大體上可以分為基礎設施即服務、平台及服務以及軟體即服務這三大類
針對從事電子商務的企業而言,可將電子商務系統劃分為五個主要部分,即企業所面對的客戶、電子商務的應用平台、電子商務的平台、基礎資源管理平台、雲計算的數據管理者在基於雲計算環境下的電子商務活動中,雲計算的數據管理者便可以根據企業對電子商務的不同需求,在不同的平台上來配置資源,以此滿足不同客戶的個性化應用需求,最終,通過雲計算為電子商務的用戶提供所需的服務
2 基於雲計算的電子商務安全的問題表現
盡管雲計算的環境下極大的促進了電子商務的發展,但是在具體的應用和實施過程中,會出現諸如計算機本身的軟硬體問題、數據相關的數據存儲、數據傳輸、交易過程中的安全等問題2.1法律法規尚不完善在雲計算的大數據環境下,電子商務過程中用戶的安全、隱私、賬戶等問題也隨之產生由於我國現在的法律法規尚未完善,加之監管部門的監管制度尚未健全,因此,在我國的電子商務過程當中,仍然會有許多不法分子鑽法律的空子,做違背法律條款的事情,極大地損害了網路營銷過程中用戶的'安全2.2雲計算存儲的安全問題雲計算環境下的電子商務代替了傳統的電子商務模式,按照傳統的模式來看,企業通常是自己來建立本企業的資料庫,並且將此資料庫保存在本企業的也就是本地的伺服器當中但在雲計算的環境下,數據則保存在雲中,企業對於數據保存的位置不清晰,不確定被保存在何地的伺服器,認為數據的安全性是不受保障的另外,當企業獲得了雲軟體的服務許可權後,企業的信息都保存在了雲平台當中,因此,企業十分擔心雲計算的風險性3.3雲數據傳輸的安全問題 雲計算環境下的電子商務的企業數據都是保存在雲中,這樣方便於數據的共享,如果在雲的數據傳輸過程中,出現了非法的竊取信息資料,就會為企業帶來了極大的安全隱患和高風險因此,這種雲計算環境下的數據傳輸的安全風險性在某些程度是大於傳統的電子商務模式的所以要加大對雲計算的數據傳輸的安全性的把關?.-4雲計算數據審計的安全問題 在雲計算的大數據環境下,既要保證雲計算的服務商既要能提供相關的信息支持;又能不為其他企業的數據信息帶來風險企業通常採用第三方的認證機構來對雲計算的服務商進行數據審計,目的是為了確保數據的安全性和准確性因為所有的企業數據都被存儲在雲中,這些數據會存在不同的地區,而各地的政府在信息安全監管等方面又存在著許多的差異,因此,會引起法律的糾紛,所以,為雲中的數據信息的審計確保安全和准確變顯得尤為重要
3 基於雲計算的電子商務安全的對策
3.1加強雲管理的安全對策 根據上面介紹過的雲計算所提供的服務平台的特點來看,在進行雲計算環境下的電子商務過程中,必須要考慮到管理的安全問題可以對企業的用戶加強管理,對雲計算所涉及的如訪問認證、安全審計等方面同樣要力口強管理,並且要制定統一的、完整的安全審計的策略,並對策略加以分析,對各類日誌的安全進行審計、維護和操作
3.2重視雲服務的管理安全對策 對從事電子商務的網路營銷企業而言,在雲計算服務平台上進行雲服務選擇時,要重視安全的問題,避免出現數據進行存儲、傳輸和審計過程中出現安全隱患對這樣的問題,企業應當在將數據通過互聯網進行上傳到雲服務的過程中,要確保數據不被攔截、竊取和盜用,確保數據不會給其他的企業不會帶來風險在雲中的數據和信息是會被全球的用戶所訪問的,更加要注意病毒攻擊
3.3提高對雲服務供應商質量的選擇 雲服務的供應商既要提供安全的物理環境,又要解決基礎設施、應用程序以及數據的各種安全問題在百計算環境下的電於商務的安全要加以防護,對雲計算的系統安全提供防禦機制,有效的控制病毒和木馬等,對數據進行加密和訪問的控制等一系列的技術措施,來確保電子商務的企業能夠有安全的信息和保護隱私的服務,使用戶的數據信息存儲安全,確保企業用戶信息的安全性、完整}h}、真實性以及可用性
4 結語
隨著社會的進步和技術的不斷發展,雲計算與電子商務的完美融合是發展的必然趨勢,雲計算為電子商務的發展帶來了全新的模式,在帶來機遇的同時,也帶來了安全問題,但不能因為存在安全隱患就阻止雲計算環境下電子商務中的應用因此,全力的去分析解決和應對雲計算大數據環境下的電子商務所帶來的安全問題一定會是一場巨大的革命,也會為電子商務帶來新的春天
近年來,隨著科技技術的不斷進步,智能科技、計算機網路通信技術的發展,其已經廣泛運用到各個領域中。電子商務作為基於網路技術發展起來的一種全新交易模式,一經問世就取得了迅猛的發展,並且正以不可阻擋的勢頭向前邁進。但隨之暴露的問題也越來越多,其中網路安全問題最受關注。本文主要介紹了電子商務智能化工作中主要存在的網路安全問題,並針對這些問題提出切實可行的解決措施,供同行參考。
電子商務作為一種新型的貿易運營模式,具有成本低廉、超越距離限制、操作簡單方便等優勢,很多企業在發展傳統的線下運營模式的同時也緊跟時代潮流,大力發展以網路平台為支撐的電子商務平台,並取得了不錯的效果,但運營過程中存在很多安全隱患,需要對網路平台做進一步的安全技術完善。
1電子商務安全內容概述
1.1計算機網路安全
隨著計算機網路技術的不斷發展,電子商務平台在市場貿易中扮演著重要的角色,其簡單、快捷、不受時空、地域限制的交易模式深受商家和用戶的歡迎。而且,電子商務平台在近幾年的發展中日趨完善,無論是交易模式還是商家的服務水平都有了很大的提高。計算機技術更新換代的速度非常快,基於網路技術的電子商務平台也逐漸完善,已經形成了智能化的交易、管理模式,電子商務平台上的成交額也是呈逐年上升的趨勢。但大量存儲商家、客戶信息的網路交易平台存在很大的安全隱患,這些安全隱患很大一部分是計算機網路技術安全漏洞造成的。近年來,網路平台泄露客戶信息的事件頻發,給客戶的生命、財產安全造成了不同程度的威脅,因此,如何保障網路上存儲和傳輸的信息的安全性成為業內關注的焦點,也是業內急需解決的技術問題。
1.2電子商務交易安全
對於電子商務交易來說,其應該具備保密性、完整性、可鑒別性與不可偽造性等特點,其不僅要保證商家與客戶之間順利完成整個交易過程,更要保證在交易中和交易後的安全性。但電子商務是基於計算機網路技術發展起來的交易平台,其本身具備網路資源共享的特點,正是這個特點使得目前的電子商務平台還無法完全實現零風險交易,需要商家做進一步的安全平台完善,保障商家個人與客戶的信息安全。
2電子商務的安全問題
2.1木馬、病毒種類更新速度快且數量暴漲
就目前調查的情況來看,計算機網路技術還存在著很多安全問題,其中,木馬、病毒問題是自計算機問世以來就存在的安全隱患,並且木馬、病毒的數量還呈逐年上升的趨勢。每年有近十億的木馬、病毒網頁數量威脅著用戶的安全,且這些木馬、病毒都具有數量增加快、種類繁多、變化速度快等特點。雖然用戶大多會安裝相關的木馬查殺軟體,但數量巨大的木馬病毒還是一直危害著計算機網路的安全。電子商務的交易過程全靠計算機完成,商家與用戶需要輸入大量信息進入交易系統,而計算機本身具有存儲這些信息的功能,一旦系統遭受木馬病毒侵入,不僅會導致網路交易平台癱瘓不能使用,同時泄漏商家與用戶的個人信息,不法分子利用這些信息進行各種犯罪活動,給商家、客戶帶來諸多困擾,同時給社會的安定造成一定的影響。
2.2網路病毒的傳播方式發生了變化
近年來,計算機網路技術不斷發展,隨著網路安全問題受到了公眾越來越多的關注,商家對於電子商務交易平台的構建也逐漸規范化,防火牆、安全電子交易技術不斷發展,在一定程度上保證了電子商務平台交易的安全性。但網路病毒也因其傳播方式的變化呈現更加猖獗的趨勢,以前的木馬病毒大多都是依靠計算機設備進行傳播的。而現在,木馬病毒已經開始藉助移動設備進行傳播,主要包含手機、U盤以及移動硬碟等設備,具體傳播方式是在移動設備中種下潛伏病毒,通過自動調用功能激活這些病毒,進而侵染計算機設備。木馬傳播病毒方式的改變給商家和用戶的交易安全帶來了更大的挑戰。
2.3冒充合法用戶
一些不法分子自身具備高超的計算機運用技術,其可以通過多種不法手段竊取商家與用戶的個人信息,一種是直接侵入用戶的個人系統,冒充合法用戶登錄,篡改或盜用客戶的個人信息,從而進行一些犯罪活動。另一種則是通過截取信息的方式,在商家與客戶進行交易的過程中,利用不正當手段在網路傳輸的道路上截取信息,通過對截獲的信息進行篩選後進行一系列不正當活動。
3電子商務安全問題的應對策略
3.1安全電子交易技術
就目前來說,電子商務交易平台安全的保障主要依靠防火牆技術和信息加密技術。防火牆是指在內部網與外部網之間實施安全防範的系統。主要是對外界進入的信息進行過濾、篩選,對於審核不符合要求的信息進行攔截,對訪問內部系統的外界用戶進行限制,從而保障電子商務平台交易的安全。信息加密技術則屬於網路安全技術,利用計算機技術手段,對電子商務交易系統內部存儲的原始信息進行再組織,需要通過安全密鑰才能解鎖這些原始信息,實現對存儲信息的保護。
3.2加強對相關人員的管理
對於電子商務平台網路安全的實現,不僅需要加快發展防火牆技術與信息加密技術的腳步,更要對內部人員實行嚴密監管,監管的方式則主要靠商家。商家在選擇電子商務平台工作人員時,應該經過嚴格的篩選,並定期對進入系統工作的員工進行培訓,培訓包含道德業務水平、安全技術教育等,提高員工的安全意識,避免人為泄漏的事件再次發生,確保商家與用戶的信息安全。
3.3出台相關法律規范電子商務管理
當下,對於電子商務平台網路安全管理,國家已經出台了相關的政策,旨在利用法律對電子商務市場進行約束,構建一個和諧、安全的網路電子商務交易平台。但相關的法律法規並不健全,需要結合以後的市場發展需要做進一步的完善,掃除管理盲點,確保電子商務交易平台的安全。
4結語
綜上所述,電子商務在我國貿易市場中佔有舉足輕重的地位,但完全依靠網路存儲復雜的商務信息的商務系統存在極大的安全隱患。需要從完善安全技術、出台相應的管理措施等方面出發,構建安全的電子商務平台,避免商務信息泄露,確保電子商務智能化工作的安全。
H. 中職電子商務概論電子商務存在的安全問題有哪些
1我國電子商務中存在的安全問題
我國電子商務中存在的安全問題主要有與Internet相關的問題、企業內部網與計算機系統的安全問題以及信息數據傳輸過程中的安全性問題。
1.1與Internet相關的安全問題
1.1.1虛假或惡意網站
這類網站往往是通過建立虛假或含有惡意程序代碼的網站騙取用戶的信息,一般主要是用戶的銀行或其它方面的帳號和密碼,給用戶造成不確定的損失。
1.1.2數據失竊或修改
是指非法分子利用一定的技術工具,竊取或對獲取的信息進行篡改,從而達到其不可告人的目的。
1.1.3病毒
在電子商務安全的世界中,計算機病毒一直給我們造成了非常大的危害,如「沖擊波」、「紅色代碼」等病毒,了解它們對維護電子商務的系統安全有著非常重要的作用。
1.2與企業內部員工相關的安全問題
最近的調查表明,至少有75%的信息安全問題來自內部,它們主要由以下幾種員工造成的。
1.2.1缺乏安全意識的員工
員工在工作時,常常會忽略一些基本的網路安全准則。比如:他們可能會選擇一些比較容易記憶的密碼,從而可以方便地登錄自己的網路。但是,這些密碼會很容易被黑客們通過常識或者軟體猜出或者破解。
1.2.2有報復心理的員工
與因員工疏忽導致的損害相比,更可怕的是某些懷有報復心理的員工造成網路損害的可能性。這些員工通常包括被上司指責、被企業解僱或者被停職的員工,他們可能會報復性地通過病毒或者有意刪除重要文件,來損害企業的網路。
1.2.3好奇心偏重的員工
在企業里,不乏愛打聽消息的員工。在這些員工里,可能會存在一些商業間諜,通過打探保密信息,為競爭對手提供某些無法通過正當方式獲得的信息。
1.3商業交易數據傳輸中的安全性問題
在商業交易數據的傳輸中主要存在的問題有數據被截取、數據被偽造、信息被非法改動或瀏覽、信息被延誤等問題。
1.3.1數據被截取的問題
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。
1.3.2數據被偽造的問題
交易信息在傳送過程中被非法分子捕獲並被虛假信息替換,從而達到破壞信息傳遞或偽造信息的目的。
1.3.3信息被非法改動和瀏覽的問題
電子的交易信息在網路上傳輸的過程中,可能被他人非法瀏覽修改、刪除或重改,這樣就使信息失去了真實性和完整性,從而造成發送方或交易雙方的巨大損失。
1.3.4信息被延誤的問題
網路的傳輸故障或不法分子使用某種技術手段或工具造成的信息在傳輸過程中被延誤。比如說,在早上8點你向在線的股票交易公司發一個E-mail委託購買100手某公司的股票,如果這個信息被延遲了,股票公司在下午1點才收到這個信息,這時股票已經漲了10%,這個消息的延遲就使你損失了交易額的10%。
1.4保密文檔和數據面臨的問題
1.4.1病毒
電腦病毒問世幾十年來,各種病毒及其變種層出不窮,互聯網又為病毒的傳播提供了便利的通道。對企業的保密文檔和數據構成了極大的威脅。
1.4.2黑客
隨著網路的普及,各種黑客工具在互聯網中不斷傳播,從而使黑客更加大眾化,一個並非是計算機高手的人通過一些軟體就可能對企業的保密文檔或數據造成破壞。
2我國電子商務中安全問題的對策
電子商務的安全需要一個完整的綜合的保障體系。本人認為電子商務的安全的管理思想應當跳出單純從技術方面尋求解決辦法的圈子,考慮採用綜合防範的思路,從技術、管理和法律等方面去考慮,根據國外和我國自身的經驗,找出行之有效的綜合的解決措施。一個完整的電子商務體系應該包括技術、管理和法律三方面的措施。
2.1我國電子商務安全的技術方面對策
從技術層面考慮,我們國家電子商務安全問題的對策主要包括防火牆技術、加密技術、虛擬專用網及認證技術等。
2.1.1防火牆技術
2.1.1.1防火牆定義
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成
2.1.1.2包過濾技術
包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。
2.1.1.3應用網關技術
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
2.1.1.4代理伺服器技術
代理服務作用在應用層,用來提供應用層服務的控制,是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術,其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的"鏈接",由兩個終止代理伺服器上的"鏈接"來實現,外部計算機的網路鏈路只能到達代理伺服器,從而起到了隔離防火牆內外計算機系統的作用。通過代理服務,內部網用戶可以通過應用網關安全地使用Internet服務,而對於非法用戶的請求將予拒絕。
目前,除了以上三類防火牆技術以外,又出現了許多新技術。如:動態包過濾技術,網路地址翻譯技術,加密路由器技術等等。防火牆技術將不斷的向高安全性、高透明化發展。
2.1.2加密技術
加密技術是電子商務採取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。
2.1.3虛擬專用網技術(VPN)
虛擬專用網VPN是用於Internet交易的一種專用網路,它使用開放的公共信道,通過附加的協議處理,向用戶提供的虛擬私有網路,用於電子數據交換。它與信用卡交易和客戶發送定單交易不同。因為在VPN中,雙方的數據通信量大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。為防止黑客的破壞,現有的或正在開發的數據隧道系統進一步增加VPN的安全性,從而能夠保證數據的保密性和可用性。
2.1.4認證技術
信息認證是保證信息安全而採取的重要措施。認證是驗證用戶在系統上合法性和許可權的過程,是為了防止有人對系統進行主動的攻擊。與認證相關的技術有數字簽名、身份識別和信息的完整性校驗等。
2.2電子商務安全問題管理方面的對策
2.2.1人員管理對策
電子商務是一種高智力的勞動,從事電子商務的人員,一方面必須具有傳統商務的知識和經驗,另一方面,又必須具有相應的計算機網路知識和操作技能。由於電子商務人員在很大程度上支配著企業的命運,而計算機犯罪又具有智能性、隱蔽性的特點,因而加強對電子商務人員的管理顯得很重要。
2.2.2保密對策
電子商務涉及企業的生產、供應、市場、財務等方面的機密,需要很好地劃分信息安全級別,確定防範的重點,制定相應的保密政策。
2.2.3網路系統的日常維護對策
2.2.3.1計算機軟硬體的維護
要求網路管理員定期對計算機軟硬體進行檢查測試,找出潛在的安全因素,及時解決,防範於未然。
2.2.3.2跟蹤和審計對策
跟蹤對策要求企業建立網路交易系統的日誌,用來記錄系統的運行全過程。
2.2.3.3文件數據備份對策
要求定期及時的對文件數據進行備份。
2.3法律方面的對策
目前我國的電子商務信用機制還不完善,處於一個剛剛起步的階段,缺少一部完整的法規或條例加以規范,本人認為應從下列幾個方面來構建:
2.3.1信用法制建設
當前許多企業和個人之所以對網路交易抱觀望和擔擾態度,是因為信用本身沒有足夠的基礎和後盾作為保障,只有通過法律途徑,進一步加強信用法制建設,信用機制才能充分發揮作用,人們的擔憂才能消除。
2.3.2信用保證系統建設
在BtoB的電子商務環境中,交易雙方從信息發布、交易確認到生產交付、貨物驗收都可能在異地進行,沒有第三方的信用保證,幾乎不可想像能完成交易。它需要銀行、商檢和商務認證中心的聯合工作,才能建立起比較完善的信用體系。必須有第三方的參與才能建立起相應的信用體系,保證交易的正常進行,為交易雙方提供信用保證,監督交易的執行。
2.3.3電子認證的建立和完善
電子認證(Electronic Authentication)是採用電子技術檢驗用戶合法性的操作,可以確保網上傳遞信息的保密性、完整性和不可否認性,被認為是具有技術性的監管方式。加強和完善電子認證,有助於保證電子商務交易的安全性。我國在電子認證方面的立法上應加強行政主管部門的審批、監管等方面,強化安全認證上的管理。