電子商務環境中安全防範措施

Ⅰ 未來電子商務安全問題及預防措施

電子商務是互聯網應用的重要趨勢之一，也是國際金融貿易中越來越重要的經營模式之一，以後會逐漸地成為我們經濟生活中一個重要的部分，安全是保證電子商務健康有序發展的關鍵因素，也是目前大家十分關注的話題，下面將就電子商務發展中的幾個熱點問題，談談個人的看法。
一、怎麼看待安全與發展的關系
談到安全與發展兩者之間的關系時，許多人都會認為安全更重要，而實際上在信息化發展的過程中，發展自始至終都應是放在第一位的，因為沒有發展安全就無從談起，沒有發展就是最大的不安全。
從國內外的情況來看，電子商務發展的速度太快，致使其安全技術和安全管理跟不上，這是一個越來越突出的問題。電子商務的快速發展需要業界，特別是信息安全業快速地作出反應，否則安全方面的問題將會制約它的發展。現在不僅僅是發展中國家，就連美國這樣的發達國家，電子商務在很多領域還是沒有像其它傳統的商務那樣發達，一個重要的原因就是安全問題。這就需要信息安全業的同行作出不懈的努力，不要因為安全問題而制約了電子商務的發展。
二、如何看待電子商務的安全問題
在正確看待電子商務的安全問題時，有幾個觀念值得注意:
其一，安全是一個系統的概念。安全問題不僅僅是個技術性的問題，不僅僅只涉及到技術，更重要的還有管理，而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二，安全是相對的。房子的窗戶上只有一塊玻璃，一般說來這已經很安全，但是如果非要用石頭去砸，那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性，因為大家都有一個普遍的認識:玻璃是不能砸的，有了窗玻璃就可以保證房子的安全。同樣，不要追求一個永遠也攻不破的安全技術，安全與管理始終是聯系在一起的。也就是說安全是相對的，而不是絕對的，如果要想以後的網站永遠不受攻擊，不出安全問題是很難的，我們要正確認識這個問題。
其三，安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C，都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價，如果能考慮到安全速度就得慢一點，把安全性保障得更好一些，當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題，對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些，所以安全是有成本和代價的。作為一個經營者，應該綜合考慮這些因素;作為安全技術的提供者，在研發技術時也要考慮到這些因素。
其四，安全是發展的、動態的。今天安全明天就不一定很安全，因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情，尤其是安全技術，它的敏感性、競爭性以及對抗性都是很強的，這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全，也沒有一蹴而就的安全。
三、社會上對電子商務的需求有哪些
電子商務是用電子化的方式實現傳統商務的模式或者說對傳統商務的革命，它的發展需要以下幾個必備的條件。
其一，對電子商務的發展要有廣泛的認同。無論是現在的銀行、證券也好還是傳統的物物交換，社會認同是交易得以實現的基礎。對電子商務的發展也必須有廣泛的認同。
其二，電子商務的交易模式不能被假冒。也就是說必須要有足夠的安全保障。
其三，能真正節省開支。人類從最原始的物物交換到一般等價物、到信用體制等等都是在不斷地降低交易成本，如果我們引進電子商務不但不能減少成本，反而會使成本增加，就不會得到社會的認同。
其四，要求方便易用，這一點十分重要。目前我國電子商務發展的發展過程中最致命就是使用不方便。
其五，要能滿足社會大眾的商業心態。它可以是「實名制」也可以是「隱名」的(當然現在也正討論怎麼使存款「實名制」)，原來的金融體系或經濟體系的優勢就在於既可以是「實名」的也可以是「隱名」的，所以發展電子商務時也要考慮這個問題，否則用戶就沒有選擇，其發展就會受到阻礙。
社會對電子商務安全的需求簡單歸納起來主要有以下幾點:
1.信息要求真實和完整。因為無論中國人還是外國人，都會覺得「隔山買牛」是一件心裡沒底的事情，因此都希望電子商務上的信息是真實的、完整的。
2.所有交易不能夠抵賴，否則，生意就沒法做了。這不但需要用道德和法律進行約束，更需要相關技術進行保障。如果總是發生扯皮或糾紛，再好的電子商務也會因此而黃掉。
3.支付和交易必須是安全而可靠的。目前，如何保障支付和交易的安全可靠是一個全球性問題，電子商務要有大的發展，就必須管好這些瓶頸。
4.用戶或商家的身份在網路上能夠被准確地識別。如果不能准確識別交易雙方的身份，發生糾紛時就無法進行有效的仲裁。
5.能夠保護個人隱私。對個人隱私的保護現在越來越受到重視，以前我們可能不太看重這個問題。越是開放，越是信息化，個人隱私越重要。
四、對電子商務現狀的看法
現在，電子商務網站的經營很熱鬧，但其實也很艱難。根據我們了解的情況，我國的電子商務雖然收益不佳的現狀有望改觀，但技術和管理方面的問題還依然存在，安全隱患仍令人擔憂。
從技術上看:首先是數據傳輸的速度太慢;第二是沒有安全、可靠的結賬方式，這嚴重製約著電子商務的發展;第三是IT技術的發展速度太快，商務模式的形成和人們使用習慣的養成都需要一定的時間，雖然技術不斷發展，但社會對技術的認同是有階段的，這使得用戶和經營者都難以消化，難以跟上這種快速發展的步伐;第四是難以及時處理用戶的有關問題，開通一個網站，如果一段時間以後用戶的反饋多了，網路的速度就會慢下來，這也許是線路本身的問題，但也存在技術處理的問題，目前尚沒有解決的良策。第五是在安全保障上，難以防範現在的網路犯罪，特別是黑客的攻擊。
從管理上看，存在的主要問題有:1)國內電子商務網站的數目太少、瀏覽電子商務網站的用戶數量沒有期望的那麼多;2)電子商務網站的經營收益遠低於預期，使有網路泡沫之虞;3)缺乏能適應中國國情的市場技巧。現在的電子商務網站動作的市場方式基本上是照搬美國的，在造勢上不無奢華，但在收效上卻無殷實，不充分考慮中國人的商業行為和方式，恐怕是難以成功的。4)網站運營成本太高。由於運行成本居高不下，再好的商業模式也不堪重負。5)收費困難。除BtoB稍好一點外，BtoC電子商務一直沒有找到方便可行的收費方式。
從安全上看，電子商務的隱患，令人擔憂，主要表現在:
1.網路信息安全在全球還沒有形成一個完整的體系，我國也不例外。雖然有關電子商務安全的產品數量不少，但真正通過認證的卻相當少。近兩年，有將近20家有關電子商務安全的產品申請認證，但最後通過的非常少，這主要是因為不少安全措施是從網上「down」下來的，另外，不少電子商務安全技術的廠商對網路技術很熟悉，但是對安全技術普通了解得較少，因而他們很難開發出真正實用的、安全性足用的安全技術和產品。
2.安全技術的強度普遍不夠。國外有關電子商務的安全技術，雖然其結構或加密技術等都不錯，但這種演算法(無論是對稱的還是非對稱的)受到了外國密碼政策的限制，因此強度普遍不夠。這種技術用在B-to-C方面還勉強可行，但用在B-to-B上就顯然不夠。
3.電子商務網站的安全管理存在很大隱患，普遍難以經受黑客的攻擊。這個問題應當引起高度重視，國內電子商務網站被攻擊的事件較少並不表示是牢不可破，而是網站本身很小，沒有多少可攻的價值。
4.電子商務僅僅局限於商務信息領域而沒有深入真正的電子商務領域，這些因素的存在必將影響我國電子商務進一步的發展。
五、關於面向社會服務的CA中心
現在大家都在關注CA中心，從國外的發展看，認證應該是第三方的，政府幹預最好少一些，只需作些必要的引導。在我國，最大的問題是多人過早地把CA認證看作是一種產業，把它當作生意來做，而過少地考慮到應該擔負的責任。其實，面向社會服務的CA中心必須達到一定的要求。首先要看建設單位是否具備管理能力，以及責任和義務是否很明確，一旦證書出了問題，各方的責任是否清楚;其次是看技術能力和運行條件，CA要為社會服務，能否保證安全可信，運轉有效;這需要專門的技術能力和安全完整的網上認證技術體系。比如在炒股票時，如果認證的周期太長，別人已經成交了，你這里還堵著，那肯定不行。第三是看是否有足夠的財力支持。沒有數千萬乃至上億的投入，是無法面向社會提供可信賴的CA服務。第四是看整個CA系統和設施是否安全。總之，CA中心能否提供安全可靠的服務，不能僅憑自身的宣傳，而是要通過「國家信息安全認證」。到目前為止已經通過認證的只有一家，還有其它幾家也正在審查之中。主要的問題不在於能否發出證書，而在於能否保障證書的使用者的利益。
六、如何看待電子商務網站受到的攻擊
剛才我們提到過黑客的問題，黑客的威力到底有多大?
目前，我國網站所受到黑客的攻擊，還不能與美國的相提並論，因為我們的用戶數、規模和級別還是處在很初級的階段。如果遇到類似於DDOS的攻擊時應該引起注意，但不必很驚慌，因為在目前的情況下，一個電子商務網站停一兩天所受的損失不是很大，畢竟業務量和交易額都還不大。從以往遭遇過的攻擊中我們可以得到以下幾點啟示:
1.純技術難以防範原始攻擊方式。如果我們按照西方人的思維方式去思考，不斷的追求和更新安全技術，防火牆可以做得非常強，但如果黑客不去竊取信息或數據，而只是去阻塞網站，這種非常野蠻的攻擊方式用單純的技術是很難解決的，而要靠管理或其它的方法去防範。美國電子商務網站遭受那麼大規模的攻擊，雖然有技術方面的原因，但總的看來還是一個管理的問題，這里的管理包括網站的經營者要如何防止自己的網站被攻擊，上網的用戶如何保證自己的機器不會無辜地被別人利用，現在網上的安全補丁很多，但很少有人真正用它或不知道怎麼去用。所以，在信息化發展的初期，管理比技術顯得更為重要。
2.病毒比一般攻擊更可怕。現在的病毒(包括惡性代碼)破壞性越來越大。現在電子商務上的交易都是非時間敏感性的項目，所以時效性並不太突出，可怕的是病毒對數據的破壞。
3.從目前的情況看，危及電子商務的首先是病毒或惡意代碼;然後是內部人員濫用計算資源，對此國外強調的比較多，國內強調的比較少，隨著技術人員流動性增大，道德也有待提高;第三是黑客攻擊;第四是用戶數據的泄漏;第五是假冒的交易。
七、關於電子商務需要的安全技術與產品
目前，國內市場需要較大的網路安全產品還是防火牆，從國內外采購的數量來看，防火牆均居於首位的;其次是通信保密設備;第三是現在電子商務裡面應用最多的客戶機伺服器中的安全模式;第四是區域網或廣域網上的安全技術;第五是web安全技術;第六是災難恢復技術，從銀行和金融界的一些情況看，大家對這方面的重視還不夠，普遍的電子商務網站對災難恢復考慮得都不是很好，這也是迫切需要的。
八、制約我國電子商務發展的主要因素
制約我國電子商務的因素主要有:其一是商業信息化程度太低;其二是交易過程不規范;其三是信用制度不健全;其四是技術發展太快，沒有一定的穩定過程;其五是出現問題後客戶去找誰負責。由於有關電子商務的立法和管理剛剛開始，有人開玩笑說「電子商務目前是個『三無』行業:無法可依、無安全可言、無規可循」，當然這只有一定的道理，我國政府對電子商務的管理已經報上議事日程，各個部門都在抓緊制定推進電子商務的政策。
九、加快電子商務發展的建議
對電子商務發展的建議簡單地講是「兩高一低」，即:1)不斷提高服務的安全性，否則會制約電子商務的發展;成為發展的瓶頸;2)提高通訊的速度，否則電子商務就成了純粹的電子廣告而無法將商場搬到裡面，許多東西我們無法看到，也更談不上交易;3)降低成本，這不僅僅是降低硬體成本，特別是要降低通訊成本。因為電子商務發展的目的本來就是為了降低交易成本，交易成本反而高了就不正常。許多人都認為花那麼大的投入去搞電子商務還不如去面對面地談生意，打個電話許多貨就發過來了，用不著去識別身份什麼的。
電子商務安全管理的基本趨勢似乎可用:「誰經營、誰負責」六個字來概括，也可以說是誰管理誰負責。這就強調業界要自律，要對安全問題承擔責任。

Ⅱ 電子商務安全的措施

適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施，整個系統的安全取決於系統中最薄弱環節的安全水平，這就需要從系統設計上進行全面的考慮，折中選取。電子商務中的安全措施包括有下述幾類：
(1)保證交易雙方身份的真實性：
常用的處理技術是身份認證，依賴某個可信賴的機構(CA認證中心)發放證書，並以此識別對方。目的是保證身份的精確性，分辨參與者身份的真偽，防止偽裝攻擊。
(2)保證信息的保密性：
保護信息不被泄露或被披露給未經授權的人或組織，常用的處理技術是數據加密和解密，其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。(3)保證信息的完整性：
常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性：
常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐，如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等，而不是對付未知的攻擊者，其基礎是公開密鑰加密技術。目前，可用的數字簽名演算法較多，如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性：
通常要求引入認證中心(CA)進行管理，由CA發放密鑰，傳輸的單證及其簽名的備份發至CA保存，作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性：
規范內部管理，使用訪問控制許可權和日誌，以及敏感信息的加密存儲等。

Ⅲ 電子商務網站的安全防範技術

5分。。3000字 還是專業性很強的內容。
看來是沒有人出手了 呵呵
防火牆技術、入侵檢測技術、網路漏洞掃描、防病毒系統和安全認證系統 這5個方面 隨便挑1個出來都可以寫3000字了

Ⅳ 電子商務常用的安全措施

就整個系統而言，安全性可以分為四個層次
1．網路節點的安全
2．通訊的安全性
3．程序的安全性
4．用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。
一、網路節點的安全
1．防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。
2．防火牆安全策略
應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
3．安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1．數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：
（1）客戶瀏覽器端與電子商務WEB伺服器端的通訊；
（2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊；
（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（RSA）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則，要滿足機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1．身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。
2．CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。
五、安全管理
為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。
按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

Ⅳ 電子商務安全措施有哪些

就整個系統而言，安全性可以分為四個層次
．網路節點的安全
2．通訊的安全性
3．程序的安全性
4．用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現，網路節點的安全性依靠防火牆保證，我們應該首先保證網路節點的安全性。
一、網路節點的安全
1．防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。
2．防火牆安全策略
應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
3．安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1．數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於：
（1）客戶瀏覽器端與電子商務WEB伺服器端的通訊；
（2）電子商務WEB伺服器與電子商務資料庫伺服器的通訊；
（3）銀行內部網與業務網之間的數據通訊。其中（3）不在本系統的安全策略范圍內考慮。

2．安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構（CA中心）簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法（RSA）與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則，要滿足機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數；程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時；程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運 行，其他的部分只有縮小的許可；程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制（最少許可），程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1．身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。
2．CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心（CA中心）發行。CA中心一般是公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書（下載可以在訪問之前或訪問時進行）。
五、安全管理
為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。
按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO％的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。

Ⅵ .電子商務網站的安全防範技術

電子商務網站的安全措施

2.1 防火牆技術防火牆是指一個由硬體設備或軟體、或軟硬體組合而成的,在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層,並由它進行檢查和連接。只有被授權的通信才能通過防火牆,從而使內部網路與外部網路在一定意義下隔離,防止非法入侵、非法使用系統資源、執行安全管制措施。防火牆基本分為兩類:包過濾和基於代理的防火牆。包過濾防火牆對數據包進行分析、選擇,依據系統內事先設定的過濾邏輯來確定是否允許該數據包通過。代理防火牆能夠將網路通信鏈路分為兩段,使內部網與Internet不直接通信,而是使用代理伺服器作為數據轉發的中轉站,只有那些被認為可信賴的數據才允許通過。這兩種防火牆各有其優缺點:包過濾器只能結合源地址、目標地址和埠號才能起作用,如果攻擊者攻破了包過濾防火牆,整個網路就公開了。代理防火牆比包過濾器慢, 當網站訪問量較大時會影響上網速度;代理防火牆在設立和維護規則集時比較復雜,有時會導致錯誤配置和安全漏洞。由於這兩種防火牆各有優缺點,因而在實際應用中常將這兩種防火牆組合使用。目前市場上最新的防火牆產品集成了代理和包過濾技術,提供了管理數據段和實現高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行代理驗證服務,在需要高速度時,它們能靈活地採用包過濾規則作為保護方法。

2.2 入侵檢測系統防火牆是一種隔離控制技術,一旦入侵者進入了系統,他們便不受任何阻擋。它不能主動檢測和分析網路內外的危險行為,捕捉侵入罪證。而入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網路中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。入侵檢測系統所採用的技術有: (1)特徵檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又網路時空不會將正常的活動包含進來。 (2)異常檢測:假設入侵者活動異於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

2.3 網路漏洞掃描器沒有絕對安全的網站,任何安全漏洞都可能導致風險產生。網路漏洞掃描器是一個漏洞和風險評估工具,用於發現、發掘和報告安全隱患和可能被黑客利用的網路安全漏洞。網路漏洞掃描器分為內部掃描和外部掃描兩種工作方式: (1)外部掃描:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然後與漏洞掃描系統提供的漏洞庫進行匹配,滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視為漏洞存在。 (2)內部掃描:漏洞掃描器以root身份登錄目標主機, 記錄系統配置的各項主要參數,將之與安全配置標准庫進行比較和匹配,凡不滿足者即視為漏洞。

2.4 防病毒系統病毒在網路中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品, 實施「層層設防、集中控制、以防為主、防殺結合」的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有: (1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特徵。病毒掃描軟體可搜索這些特徵或其它能表示有某種病毒存在的代碼段。 (2)完整性檢查:通過識別文件和系統的改變來發現病毒。完整性檢查程序只有當病毒正在工作並做些什麼事情時才能起作用,而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。 (3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發生時,行為封鎖軟體就會檢測到並警告用戶。

2.5 啟用安全認證系統企業電子商務網站的安全除網站本身硬體和軟體的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網站伺服器中啟用安全認證系統。安全認證系統對重要的信息採用密碼技術進行加密,使它成為一種不可理解的密文。接收方收到密文後再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍採用SSL安全協議。SSL安全協議主要提供三方面的服務: (1)認證用戶和伺服器,使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。 (2)加密數據以隱藏被傳送的數據。 (3)維護數據的完整性,確保數據在傳輸過程中不被改變。

3 結束語

任何一種安全措施都有其局限性,企業電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,制定出整體的安全解決方案。為保證整體安全解決方案的效率,各安全產品之間應該實現一種聯動機制。當漏洞掃描器發覺安全問題時,就會通知系統管理員,及時採取補漏措施;當入侵檢測系統檢測到攻擊行為時,就會利用防火牆進行實時阻斷;當防病毒系統發現新病毒時,也會及時更新入侵檢測系統的病毒攻擊庫,以提高入侵檢測系統的檢測效率;由於安全產品和伺服器、安全產品與安全產品之間都需要進行必要的數據通信,為了保證這些通信的保密性和完整性,可以採用安全認證手段。只有當各種安全產品真正實現聯動時,網路安全才能得到保障。

Ⅶ 電子商務過程中的常用安全措施和技術有哪些

電子商務的一個重要技術特徵是利用IT技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分：計算機網路安全和商務交易安全。

計算機網路安全的內容包括：

計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案，以保證計算機網路自身的安全性為目標。

商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。

計算機網路安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網路安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易安全保障，即使計算機網路本身再安全，仍然無法達到電子商務所特有的安全要求。

計算機網路安全體系

一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術，在攻擊者和受保護的資源間建立多道嚴密的安全防線，極大地增加了惡意攻擊的難度，並增加了審核信息的數量，利用這些審核信息可以跟蹤入侵者。

在實施網路安全防範措施時：

首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；

其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析，找出可能存在的安全隱患，並及時加以修補；

從路由器到用戶各級建立完善的訪問控制措施，安裝防火牆，加強授權管理和認證；

利用RAID5等數據存儲技術加強數據備份和恢復措施；

對敏感的設備和數據要建立必要的物理或邏輯隔離措施；

對在公共網路上傳輸的敏感信息要進行強度的數據加密；

安裝防病毒軟體，加強內部網的整體防病毒措施；

建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

電子商務的安全交易主要的協議標准有：

安全超文本傳輸協議（S－HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。
安全套接層協議（SSL）：由Netscape公司提出的安全交易協議，提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器，以完成需要的安全交易操作。

安全交易技術協議（STT，Secure Transaction Technology）：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。

安全電子交易協議（SET，Secure Electronic Transaction）

1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告，並於1997年5月底發布了SET Specification Version 1.0，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。

SET 2.0預計今年發布，它增加了一些附加的交易要求。這個版本是向後兼容的，因此符合SET 1.0的軟體並不必要跟著升級，除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全，確定應用之互通性，並使全球市場接受。

所有這些安全交易標准中，SET標准以推廣利用信用卡支付網上交易，而廣受各界矚目，它將成為網上交易安全通信協議的工業標准，有望進一步推動Internet電子商務市場。

主要的安全技術有：

虛擬專用網（VPN）

這是用於Internet交易的一種專用網路，它可以在兩個系統之間建立安全的信道（或隧道），用於電子數據交換（EDI）。它與信用卡交易和客戶發送訂單交易不同，因為在VPN中，雙方的數據通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。

數字認證

數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性（如一個發票未被修改過），甚至數據媒體的有效性（如錄音、照片等）。隨著商家在電子商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數據進行數字認證。

目前，數字認證一般都通過單向Hash函數來實現，它可以驗證交易雙方數據的完整性，Java JDK1.1也能夠支持幾種單向Hash演算法。另外，S/MIME協議已經有了很大的進展，可以被集成到產品中，以便用戶能夠對通過E

Ⅷ 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(8)電子商務環境中安全防範措施擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

Ⅸ 電子商務安全方面的措施有哪些

適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施，整個系統的安全取決於系統中最薄弱環節的安全水平，這就需要從系統設計上進行全面的考慮，折中選取。

電子商務中的安全措施包括有下述幾類：

(1)保證交易雙方身份的真實性：常用的處理技術是身份認證，依賴某個可信賴的機構(CA認證中心)發放證書，並以此識別對方。目的是保證身份的精確性，分辨參與者身份的真偽，防止偽裝攻擊。

(2)保證信息的保密性：保護信息不被泄露或被披露給未經授權的人或組織，常用的處理技術是數據加密和解密，其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。

(3)保證信息的完整性：常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。

(4)保證信息的真實性：常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐，如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等，而不是對付未知的攻擊者，其基礎是公開密鑰加密技術。目前，可用的數字簽名演算法較多，如RSA數字簽名、ELGamal數字簽名等。

(5)保證信息的不可否認性：通常要求引入認證中心(CA)進行管理，由CA發放密鑰，傳輸的單證及其簽名的備份發至CA保存，作為可能爭議的仲裁依據。

(6)保證存儲信息的安全性：規范內部管理，使用訪問控制許可權和日誌，以及敏感信息的加密存儲等。當使用WWW伺服器支持電子商務活動時，應注意數據的備份和恢復，並採用防火牆技術保護內部網路的安全性。

Ⅹ 如何防範電子商務的安全問題

經過數十年的探索，電子商務安全防範策略從最初的商務信息保密性發展到商務信息的完整性、可用性、可控性和不可否認性，進而又發展為「攻、防、測、控、管、評」等多方面的基礎理論和實施技術。目前，電子商務安全領域已經形成了9大核心技術，它們是：密碼技術、身份驗證技術、訪問控制技術、防火牆技術、安全內核技術、網路反病毒技術、信息泄露防治技術、網路安全漏洞掃描技術、入侵檢測技術。
需要禮品袋包裝盒的找我