電子商務的安全事故

A. 電子商務安全威脅及防範措施分別是什麼

1、未進行操作系統相關安全配置

不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。

2、未進行CGI程序代碼審計

如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

3、拒絕服務（DoS，DenialofService）攻擊

隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

4、安全產品使用不當

雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

5、缺少嚴格的網路安全管理制度

網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

6、竊取信息

由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

7、篡改信息

當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。

8、假冒

由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

9、惡意破壞

由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。

安全對策

1、保護網路安全。

保護網路安全的主要措施如下：全面規劃網路平台的安全策略，制定網路安全的管理措施，使用防火牆，盡可能記錄網路上的一切活動，注意對網路設備的物理保護，檢驗網路平台系統的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

4、加密技術

加密技術為電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

5、認證技術。

用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。

6、電子商務的安全協議。

電子商務的運行還有一套完整的安全協議，有SET、SSL等。

(1)電子商務的安全事故擴展閱讀

從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵：

1、普遍性。電子商務作為一種新型的交易方式，將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。

2、方便性。在電子商務環境中，人們不再受地域的限制，客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等，同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中，有大量的人脈資源開發和溝通，從業時間靈活，完成公司要求，有錢有閑。

3、整體性。電子商務能夠規范事務處理的工作流程，將人工操作和電子信息處理集成為一個不可分割的整體，這樣不僅能提高人力和物力的利用率，也可以提高系統運行的嚴密性。

4、安全性。在電子商務中，安全性為一個至關重要的核心問題，它要求網路能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等，這與傳統的商務活動有著很大的不同。

5、協調性。商業活動本身為一種協調過程，它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中，它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作，電子商務的全過程往往是一氣呵成的。

B. 電子商務系統的安全控制要求包括哪些要素

大多數一提到電子商務模式首先想到的就是B2B B2C C2C G2C等等模式，實際上這樣理解電子商務模式都是不全面的，一般來說，凡是能夠通過互聯網等形式利用特定的工具開展的商務活動都叫做電子商務，那麼從此出發，有諸如，基於搜索引擎開展的搜索引擎商務模式典型的google ，網路等，利用廣告開展互聯網廣告模式，如網路聯盟，google 廣告聯盟，新浪等；網路經紀模式，典型的算阿里巴巴了；用戶貢獻模式，如起點文學網站、一些視頻分享網站等。網路社區模式，典型的天涯等等，隨著互聯網技術的發展，電子商務模式遠遠不止這些模式。要界定這些模式必須知道該種模式通過什麼來實現盈利，運作流程，涉及的（受益）對象。在開展電子商務活動時，安全是一個非常重要的要素，無論從商務的角度還是從技術的角度，總的一條原則，保證整個商務過程中系統的安全。至於具體的要素涉及的就比較多了，在闡述這方面的內容時，最好從技術的角度分析，因為電子商務之所以高度重視安全問題根結就在技術上面。

一、系統實體安全
1.環境安全
(1)受災防護
(2)區域防護
二、設備安全
(1)設備防盜
(2)設備防毀
(3)防止電磁信息泄漏
(4)防止線路截獲
(5)抗電磁干擾
(6)電源保護
三、.媒體安全
(1)媒體的安全
媒體的防盜
媒體的防毀
(2)媒體數據的安全
媒體數據的防盜
媒體數據的銷毀
媒體數據的防毀
四、 系統運行安全
包括1.風險分析
系統設計前的風險分析——潛在的安全隱患
系統試運行前的風險分析——設計的安全漏洞
系統運行期的風險分析——運行的安全漏洞
系統運行後的風險分析——系統的安全隱患

2.審計跟蹤
紀錄和跟蹤各種系統狀態的變化
實現對各種安全事故的定位
保存、維護和管理審計日誌
3.備份與恢復
提供場點內高速度、大容量自動的數據存儲、備份和恢復
提供場點外的數據存儲、備份和恢復
提供對系統設備的備份
4.應急
（1）應急計劃輔助軟體
緊急事件或安全事故發生時的影響分析
應急計劃的概要設計或詳細制定
應急計劃的測試與完善
（2）應急設施
提供實時應急設施
提供非實時應急設施
3、信息安全
1.操作系統安全
2.資料庫安全
3.網路安全
4.病毒防護安全
5.訪問控制安全
6.加密
7.鑒別

C. 求關於電子商務安全的案例，例如 信息泄露神馬的

–電子來商務網站電子港灣（eBay）和源亞馬遜（Amazon）遭黑客攻擊;–蠕蟲病毒攻擊;–日本網際網路雅虎個人資料外泄;–萬事達信用卡集團用戶資料外泄等; –熊貓燒香–「沖擊波」與「震盪波」–阿里巴巴B2B平台簽約客戶涉嫌詐騙事件

D. 列舉近兩年計算機網路安全問題給電子商務帶來的重大事故

1)源代碼被盜事件。
2)重大黑客攻擊事件。
3)惡意軟體肆虐事件。
4)信息泄密事件。
5)重大漏洞事件 。
6)操作系統安全事件。

E. 發生了電子商務安全事件,電子商務就不安全了嗎

電子商務是個系統性的經濟體，所謂的安全事件是某一個環節出了問題，並不代表整個系統性的經濟體出了問題，所以窺一發而見全身並不適用於對電子商務安全的判斷。

F. 電子商務交易安全的案例

案例一：
淘寶「錯價門」引發爭議
互聯網上從來不乏標價1元的商品。近日，淘寶網上大量商品標價1元，引發網民爭先恐後哄搶，但是之後許多訂單被淘寶網取消。隨後，淘寶網發布公告稱，此次事件為第三方軟體「團購寶」交易異常所致。部分網民和商戶詢問「團購寶」客服得到自動回復稱：「伺服器可能被攻擊，已聯系技術緊急處理。」這起「錯價門」事件發生至今已有兩周，導致「錯價門」的真實原因依然是個謎，但與此同時，這一事件暴露出來的我國電子商務安全問題不容小覷。在此次「錯價門」事件中，消費者與商家完成交易，成功付款下了訂單，買賣雙方之間形成了合同關系。作為第三方交易平台的淘寶網關閉交易，這種行為本身是否合法？蔣蘇華認為，按照我國現行法律法規，淘寶網的行為涉嫌侵犯了消費者的自由交易權，損害了消費者的合法權益，應賠禮道歉並賠償消費者的相應損失。
總結：目前，我國電子商務領域安全問題日益凸顯，比如，支付寶或者網銀被盜現象頻頻發生，給用戶造成越來越多的損失，這些現象對網路交易和電子商務提出了警示。然而，監管不力導致消費者權益難以保護。公安機關和電信管理機關、電子商務管理機關應當高度重視電子商務暴露的安全問題，嚴格執法、積極介入，徹查一些嚴重影響互聯網電子商務安全的惡性事件，切實保護消費者權益，維護我國電子商務健康有序的發展。

G. 從事電子商務的企業受過那些安全威脅，它是如何應對的

一、NGN安全問題的引出
隨著信息產業的發展，信息技術逐漸主導國民經濟和社會的發展。世界各國都在積極應對信息化的挑戰和機遇。信息化、網路化正在全球范圍內形成一場新的技術、產業和社會革命。要發展信息化，就必須重視信息網路安全，它絕不僅是IT行業問題，而是一個社會問題以及包括多學科系統安全工程問題，它直接關繫到國家安全。因此，知名安全專家沈昌祥院士呼籲要像重視兩彈一星那樣去重視信息安全問題。NGN作為下一代通信網路，是未來信息傳遞的主要載體。網路安全事關國家經濟、政治、文化、國防，因此在NGN研究中安全將是最重要的課題之一。
1.NGN安全相關經濟領域：隨著我國網上銀行的建設、電子商務的發展，無數財富將以比特的形式在網路上傳輸。

2.NGN安全相關文化領域：當前網上聊天已成為一種重要溝通手段，生存在網路中的虛擬社會已成為人們的第二生活方式，網路已成為繼報刊雜志、廣播和電影電視後的重要媒體。

3.NGN安全相關政府職能：當前我國正在大量建設電子政務網，也就是政府職能上網，在網上建立一個虛擬的政府，實現政府的部分職能性工作。

4.NGN安全相關國防：隨著軍事國防信息化的進展，信息對抗已成為戰爭的一部分。大量的信息都可能在網路上傳輸。除泄密可能外，網路安全問題還可能導致指揮系統的癱瘓。

5.NGN安全相關國家重要基礎設施：大多數國家重要基礎設施都依賴網路。網路癱瘓可能造成電網故障、機場封閉、鐵路停運等問題，進而引發更多更嚴重的問題。

二、NGN面臨的安全威脅
就目前通信網路現狀而言，NGN可能面臨如下安全威脅。

1.電磁安全：隨著偵聽技術的發展以及計算機處理能力的增強，電磁輻射可能引發安全問題。

2.設備安全：當前設備容量越來越大，技術越來越復雜，復雜的技術和設備更容易發生安全問題。

3.鏈路安全：通信光纜電纜敷設規范性有所下降。在長江、黃河、淮河等幾條大江大河上布放光纜時，基本都敷設並集中在鐵路橋（或公路橋）上，可能出現「橋毀纜斷」通信中斷的嚴重局面。

4.通信基礎設施過於集中：國內幾個主要運營商在省會城市的長途通信局（站）採用綜合樓方式，在發生地震火災等突發事件時，極易產生通信大規模中斷的局面。

5.信令網安全：傳統電話網路的信令網曾經是一個封閉的網路，相對安全。然而隨著軟交換等技術的引入，信令網逐漸走向開放，增加了安全隱患。

6.同步外安全：同步網路是當前SDH傳輸網路以及CDMA網路正常運行的重要保障。當前大量網路包括CDMA等主要依賴GPS系統。如GPS系統出現問題將對現有網路造成不可估量的損失。

7.網路遭受戰爭、自然災害：在網路遭受戰爭或自然災害時，網路節點可能會遭受毀滅性打擊，導致鏈路大量中斷。

8.網路被流量沖擊：當網路受到流量沖擊時，可能產生雪崩效應，網路性能急劇下降甚至停止服務。網路流量沖擊可能因突發事件引起，也可能是受到惡意攻擊。

9.終端安全：典型的多業務終端是一個計算機，與傳統的專用傻終端例如電話相比，智能終端故障率以及配置難度都大大提高。

10.網路業務安全：多業務網路很少基於物理埠或者線路區分用戶，因此業務被竊取時容易產生糾紛。

11.網路資源安全：多業務網路中，用戶惡意或無意（感染病毒）濫用資源（例如帶寬資源）會嚴重威脅網路正常運行。

12.通信內容安全：網路傳輸的內容可能被非法竊取或被非法使用。

13.有害信息擴散：傳統電信網不負責信息內容是否違法。隨著新業務的開展，對於有害信息通過網路擴散傳播的問題應引起NGN的高度重視。

三、NGN安全問題分析
1.網路多業務影響網路安全

網路提供的多業務以及隨之而來的終端智能化為網路帶來了更多安全隱患。

在傳統電信網路上，大多數網路捆綁單一業務：電話網提供電話業務以及部分補充業務；DDN網路提供點到點數據專線業務；幀中繼網路提供數據專線以及虛擬專用網業務；同步網提供網路同步服務；信令網為電話網提供信令服務；即使是號稱多媒體網路的ATM也基本用作數據專線以及虛擬專用網。大多數用戶終端智能性較低並且與網路信令隔離，因此一般不會影響網路安全。

隨著新業務的出現，新興運營商已不滿足於每個業務建一張網的思路：網路不但需要承載多種業務，還必須在用戶使用同一個接入線路的條件下提供多種業務。為此，網路為識別統一接入線路上的多種業務，不可避免地將部分智能性轉移到終端，IP網路成為承載多業務網路的重要選擇。IP網路是典型的「智能終端傻網路」：網路只負責轉發數據，不參與具體業務流程。IP網路的終端主要是計算機系統，因此用戶設備需要參與到業務流程中。惡意用戶可以使用計算機系統干擾業務流程，甚至發起黑客攻擊使網路癱瘓，這樣的模式嚴重影響了IP網路安全。由於當前分組語音的大量使用，IP網路需要與傳統電話網路互通，IP網路的安全隱患進而會影響傳統電話網路的安全。

2.多運營商競爭影響網路安全

多運營商競爭在開拓通信市場以及增加網路備份的同時也帶來新的安全隱患。我國通信網路歷經了一個從單運營商走向多運營商的過程。在原有郵電部領導中國電信建立通信網路時，網路承載單一業務，支撐網統一設計，業務普遍開展，纜線敷設統一規劃，服務質量全程全網統一設計，電信業務與網路安全性基本滿足當時需求。在當前多運營商競爭環境下，我國網路規模有了極大增長，適應了國民經濟對通信網路的需求，但是也引入了一些對安全不利的因素：由於快速建設的壓力以及缺少網路建設經驗，部分運營商網路建設缺乏技術體制的總體指導，而沒有技術體制指導的網路缺乏全程全網統一考慮，不利於網路安全；出於對投入成本與利潤產出率的考慮，部分運營商在降價吸引客戶以及快速大規模網路建設中忽略網路安全設施與投入；新興運營商運營在建設初期缺乏長期電信運營的經驗與理念，在網路安全方面缺乏重視。雖然六大運營商網路資源總量大於原中國電信，但是當前任何一個運營商都不能像原中國電信那樣擁有如此豐富的資源；六大運營商網路互連互通，但是安全策略、安全管理力度以及安全設施各不相同，容易出現安全隱患；由於惡性競爭的存在，運營商互連互通時還可能造成人為的安全事故。

3.網路規模和設備容量的擴大影響網路安全

網路規模和容量的不斷增加在帶來效益的同時也引起設備的復雜化以及管理的復雜化，隨之而來的便是為網路帶來更多安全隱患。

隨著國民經濟的增長，通信需求不斷擴大。我國電信網路已發展成全球最大固網和移動網路之一，運維如此一個巨大網路沒有先例也沒有參照對象，極有可能出現一些意想不到的安全問題。隨著網路規模的擴大以及設備容量的擴大，設備越來越復雜，不可控因素隨之增加。在一個規模空前的網路上因網管操作失誤、用戶惡意攻擊、故障的不恰當處理等原因引起大量用戶無法正常使用業務則會導致安全事故的發生。而且最新型、大容量的新設備大多是引進產品，至少使用的晶元大多數是國外產品，引進產品、晶元的安全性無法評估，因此也使通信網路安全隱患難以預測。

4.管理比技術更影響網路安全

先進的安全技術和設備會因管理不善而崩潰，完善的管理可以在一定程度上消除技術落後帶來的不利因素。因此就網路安全而言，管理比技術更重要。這里所說的管理並不局限於一般所說的TNM電信網管或者互聯網的簡單網管，還包括管理制度、應急體系、運維規章、人員培訓、密鑰分發、保密制度等方方面面。

在很多情況下通過管理可以輕易解決的問題如果使用純技術方案解決，可能需要付出十倍甚至百倍的努力和成本。例如電話網路號碼資源統一分配，再大規模的程式控制交換機也只需要近百個局向就可以解決電話選路；而在IP地址隨意分配的互聯網路上，骨幹路由器需要保留十萬個以上的路由表條目才能保證IP包的正常選路，由此帶來的協議和設備的復雜性為網路帶來了極大的安全隱患。而網路完善的管理機制便可以更有效地保障網路安全。

網路內部的安全審計與對網路外部內容的過濾一樣重要。內部人員的安全意識和安全管理的重要性一點也不亞於使用復雜昂貴的防火牆設備。此外任何安全技術最終都會落實到人，再安全的操作系統也會需要管理人員來實現；再復雜的安全設備也需要人來維護；[WL2]再精密的加密演算法和加密機制也不能防範密鑰泄漏或設置簡單密碼。

5.新技術新業務新運營模式影響網路安全

新技術、新業務帶來新的運營模式，在建立新的價值鏈的同時也帶來新的安全隱患。

隨著IP網路的普遍應用，信息機密性、完整性和不可否認性成為網路安全的重要內容；隨著分組語音業務的開展，電信運營商必須關注來自IP網路的來源追查；隨著軟終端的出現，運營商必須從基於埠認證與計費擴展到基於用戶標識認證和計費；隨著簡訊業務的爆炸性發展，移動運營商必須關注惡意發送以及簡訊詐騙；隨著電子郵件業務的開展，運營商必須關注垃圾郵件；隨著BBS的廣泛使用以及巨大的影響力，BBS的管理與監管已迫在眉睫。因此新技術新業務和新運營模式在為運營商帶來增長點的同時，也為網路帶來了安全上的不確定性。

6.IP技術的使用影響網路安全

IP技術的使用一方面為產業帶來新業務、新活力，另一方面為網路帶來新的安全隱患。當前IP技術應用廣泛，但IP並不是一個完美的網路層技術，也存在服務質量、安全、運營模式等問題，其中安全問題一直是最受關注的問題之一。IP網路的安全問題部分是因為計算機網路設計理念與電信網路設計理念有差異：計算機網路中不是問題的問題在電信網路中卻成為嚴重問題；另一方面是因為IP網路在電信中使用缺乏運維管理的經驗和手段。由於IP網路不能有效地對源地址進行檢驗，用戶終端可以偽造源地址對網路發起流量沖擊進而影響控制層面。

四、NGN安全威脅應對原則
面對上述以及未來可能出現的未知的安全威脅，首先應明確如下應對原則：

1.安全不是絕對的，安全威脅永遠存在。

安全不是一種穩定的狀態，永遠不能認為採用了怎樣的安全措施就能到達安全狀態。首先,付出資源、管理代價可以增加安全性，但是無論多少代價也不能達到永遠、絕對的安全。其次，安全是一個不穩定的狀態，隨著新技術的出現以及時間的推移，原本相對安全的措施和技術也會變得相對不安全。第三，安全技術和管理措施是有針對性、有范圍的，通常只對已知或所假想的安全威脅有效。安全技術和安全管理措施不確保對未知或未預想的安全威脅生效。

2.安全應作為基礎研究，需要長期努力。

NGN安全研究范圍廣泛，包括法律法規、技術標准、管理措施、網路規劃、網路設計、設備可靠性、業務特性、商業模式、纜線埋放、加密強度、加密演算法、有害信息定義等大量領域。因此安全研究不是一蹴而就，需要長期努力。安全投入本身不能產生直接效益，只能防止和減少因不安全因素而造成的損失。安全研究應當作為一項基礎研究，由國家、運營商和相關企業長期投入，共同努力。

3.安全需要付出代價，安全要求應當適度。

NGN安全是所有人都希望的，但不是所有人都能意識到為達到一定的安全標准所需要付出的代價。為安全付出的代價可能是人力、物力、財力，也可能是降低效率。因此安全要求應當適度，為機密性付出的代價大於因泄密可能受到的損失時該安全要求便意義不大。在日常通話中能保證機密性當然理想，但是如需要增加幾倍的通話費用來增加機密性（機密性通常只能增加，無法絕對確保），相信大多數用戶都無法接受。

4.安全隱患有大有小，應分輕重緩急。

當前NGN上存在大量已知和未知的安全隱患。對於眾多的安全隱患，應當視可能造成的危害以及需要付出的成本，分輕重緩急分別解決。一般來說可能大面積影響網路業務提供的安全隱患應當優先解決，例如影響同步網安全、網路路由協議正常運行的安全隱患等。對於不影響業務正常開展，或者只以較小可能影響少量用戶同時需要資金人員較多的安全隱患例如無線介面用戶數據未加密等可以稍稍延後解決。

5.安全不僅是技術問題，更重要的是管理。

絕大多數安全隱患可以通過技術手段解決，但是安全更重要的是管理。當前技術條件下任何安全技術都是需要人來參與。完善的管理機制能最大程度上防止管理人員有意或無意的增加安全隱患的行為。通常這樣的管理機制是以日誌和審計作後盾，以降低效率作代價。因此沒有完善管理機制的網路不可能是安全的網路。此外一些通過管理可以輕易解決的問題可能需要極其復雜的技術手段才能解決。

6.安全問題有范圍，不是包羅萬象的。

NGN安全有自身的范圍界定，並不是所有的問題都會影響NGN和信息安全。隨意擴展安全研究范圍，將大量與安全無關的課題歸結到NGN與信息安全研究中，可能會失去重點，不利於安全研究與安全隱患的解決。例如傳輸網路設計指標范圍內的誤碼與安全問題無關；同樣IP網路上設計范圍內的丟包率、電話網上掉線率范圍內的掉線等都與NGN安全無關，用戶丟失密碼造成的損失也與網路安全無關。

7.網路安全不僅僅是定性的，還應當定量評估。

當前計算機系統有安全登機評估標准，可以定量評估。長期以來，通信網路主要提供話音服務，對話音自身的信息安全以及內容是否合法並不關心。因此主要採用業務可用性以及設備可靠性來體現網路安全。但是當前通信網路支撐著國家重要安全設施的正常運行，因此網路安全有必要定量評估並劃分等級。不同的網路應用應當有最低安全等級要求。對所有通信都提供最高安全等級固然很好，但是為此付出幾倍甚至幾十倍的成本顯然不是公眾和運營商所期望的。

8.不同網路上關注的安全問題應當各有側重。

傳統電信網路主要提供專線型的數據傳輸以及點到點的話音業務。因此傳統電信網主要關注的是網路自身的安全以及網路服務的安全。而互聯網是為教育科研網路設計，服務可控性較差，並缺乏有效的商業模式，且其所具有的可大量傳遞數據信息並開展BBS以及點到多點、匿名發送等業務的特性也決定了互聯網應更關注服務可控性以及網路上的信息安全。

H. 你認為12306網站「13萬用戶數據泄露」事件暴露出了哪些電子商務安全問題

12306網站為什麼會留下這么大的漏洞讓黑客有機可趁？設想如果這次撞庫發生在Google、微軟身上，也許是不可能成功的。因為成熟的網站都會在登陸伺服器時設置二次驗證程序。國內很多網站為了節省成本，並沒有設置這一道程序，也沒有安裝任何相關數據安全軟體。據相關人士稱，12306網站從2012年2月開始，在某網站上被披露的漏洞接近50個，其中涉及用戶資料泄漏和敏感信息泄露的漏洞佔7%，而還有44%的漏洞可間接導致信息泄漏，例如命令執行漏洞和SQL注射漏洞。而這些被監測到的漏洞都持續了很長時間。我們很難想像在此次事件發生之前就已經有多過次的事發案例了，不明白為什麼這些漏洞一直沒有被補救。12306網站被撞庫，說明12306賬號安全體系仍需要進一步完善，盡可能及時發現並阻斷黑客撞庫攻擊。 建議安裝昂楷資料庫審計系統。對數據進行自動加密，並能跟蹤審計，進行阻斷。

I. 要實現電子商務的安全運作應當從什麼方面入手

企業電子商務安全管理對策
企業電子商務的安全管理需要一個完整的綜合保障體系。應當從技術、管理、法律等方面入手，採取行之有效的綜合解決的辦法和措施，才能真正實現電子商務的安全運作。其主要安全管理對策體現在以下幾個方面：
（一）人員管理
由於人員在很大程度上支配著市場經濟下的企業的命運，而計算機網路犯罪又具有智能型性、連續性、高技術性的特點，因而，加強對電子商務人員的管理變得十分重要。
貫徹電子商務安全運作基本原則：
1、雙人負責原則：重要業務不要安排一個人單獨管理，實行兩人或多人相互制約的機制；
2、任期有限原則：任何人不得長期擔任與交易安全有關的、職務；
3、最小許可權原則：明確規定只有網路管理員才可以進行物理訪問，只有網路人員才可進行軟體安裝工作。
（二）保密管理
電子商務涉及企業的市場、生產、財務、供應等多方面的機密，信息的安全級別又可分為絕密級、機密級和秘密級三級，因此，安全管理需要很好地劃分信息的安全防範重點，提出相應的保密措施。
保密工作的另一個重要的問題是對密鑰的管理。大量的交易必然使用大量的密鑰，密鑰管理必須貫穿於密鑰的產生、傳遞和銷毀的全過程。密鑰需要定期更換，否則可能使「黑客」通過積累密文增加破譯機會。
（三）網路系統的日常維護管理
1、硬體的日常管理和維護
企業通過自己的Intranet參與電子商務活動，Intranet的日常管理和維護變得至關重要，這就要求網路管理員必須建立系統設備檔案。一般可用一個小型的資料庫來完成這項功能，以便於一旦某地設備發生故障，進行網上查詢。
對於一些網路設備，應及時安裝網管軟體。對於不可管設備應通過手工操作來檢查狀態，做到定期檢查與隨機抽查相結合，以便及時准確地掌握網路的運行狀況，一旦有故障發生能及時處理。
2、軟體的日常管理和維護
對於操作系統，所要進行的維護工作主要包括：定期清理日誌文件、臨時文件；定期執行整理文件系統；監測伺服器上的活動狀態和用戶注冊數；處理運行中的死機情況等。
對於應用軟體的管理和維護主要是版本控制。為了保持各客戶機上的版本一致，應設置一台安裝伺服器，當遠程客戶機應用軟體需要更新時，就可以從網路上進行遠程安裝。
（四）數據備份和應急措施
為了保證網路數據安全，必須建立數據備份制度，定期或不定期地對網路數據加以備份。
應急措施是指在計算機災難事件（即緊急事件或安全事故）發生時，利用應急計劃輔助軟體和應急設施，排除災難和故障，保障計算機信息系統繼續運行或緊急恢復。在啟動電子商務業務時，就必須制定交易安全計劃和應急方案，一旦發生意外，立即實施，最大限度地減少損失，盡快恢復系統的正常工作。
災難恢復包括許多工作。一方面是硬體的恢復，使計算機系統重新運轉起來；另一方面是數據的恢復。一般來講，數據的恢復更為重要，難度也更大。目前運用的數據恢復技術主要是瞬時復制技術、遠程磁碟鏡像技術和資料庫恢復技術。
（五）跟蹤與審計管理
跟蹤制度要求企業建立網路交易系統日誌機制，用於記錄系統運行的全過程。系統日誌文件是自動生成的，內容包括操作日期、操作方式、登錄次數、運行時間、交易內容等。它對系統的運行監督、維護分析、故障恢復，對於防止案件的發生或為偵破案件提供監督數據，起到非常重要的作用。
審計制度包括經常對系統日誌的檢查、審核，及時發現對系統故意入侵行為的記錄和對系統安全功能違反的記錄，監控和捕捉各種安全事件，保存、維護和管理系統日誌。
（六）病毒防範
抗病毒是電子商務安全的一個新領域。病毒在網路環境下具有更強的傳染性，對網路交易的順利進行和交易數據的妥善保存造成極大的威脅。從事網上交易的企業和個人都應當建立病毒防範制度，排除病毒的騷擾。