电子商务的安全事故

A. 电子商务安全威胁及防范措施分别是什么

1、未进行操作系统相关安全配置

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。

2、未进行CGI程序代码审计

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3、拒绝服务（DoS，DenialofService）攻击

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4、安全产品使用不当

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5、缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

6、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

7、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

8、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

9、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

安全对策

1、保护网络安全。

保护网络安全的主要措施如下：全面规划网络平台的安全策略，制定网络安全的管理措施，使用防火墙，尽可能记录网络上的一切活动，注意对网络设备的物理保护，检验网络平台系统的脆弱性，建立可靠的识别和鉴别机制。

2、保护应用安全。

应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

3、保护系统安全。

在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

4、加密技术

加密技术为电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

5、认证技术。

用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。

6、电子商务的安全协议。

电子商务的运行还有一套完整的安全协议，有SET、SSL等。

(1)电子商务的安全事故扩展阅读

从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：

1、普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。

2、方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，从业时间灵活，完成公司要求，有钱有闲。

3、整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用率，也可以提高系统运行的严密性。

4、安全性。在电子商务中，安全性为一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

5、协调性。商业活动本身为一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中，它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作，电子商务的全过程往往是一气呵成的。

B. 电子商务系统的安全控制要求包括哪些要素

大多数一提到电子商务模式首先想到的就是B2B B2C C2C G2C等等模式，实际上这样理解电子商务模式都是不全面的，一般来说，凡是能够通过互联网等形式利用特定的工具开展的商务活动都叫做电子商务，那么从此出发，有诸如，基于搜索引擎开展的搜索引擎商务模式典型的google ，网络等，利用广告开展互联网广告模式，如网络联盟，google 广告联盟，新浪等；网络经纪模式，典型的算阿里巴巴了；用户贡献模式，如起点文学网站、一些视频分享网站等。网络社区模式，典型的天涯等等，随着互联网技术的发展，电子商务模式远远不止这些模式。要界定这些模式必须知道该种模式通过什么来实现盈利，运作流程，涉及的（受益）对象。在开展电子商务活动时，安全是一个非常重要的要素，无论从商务的角度还是从技术的角度，总的一条原则，保证整个商务过程中系统的安全。至于具体的要素涉及的就比较多了，在阐述这方面的内容时，最好从技术的角度分析，因为电子商务之所以高度重视安全问题根结就在技术上面。

一、系统实体安全
1.环境安全
(1)受灾防护
(2)区域防护
二、设备安全
(1)设备防盗
(2)设备防毁
(3)防止电磁信息泄漏
(4)防止线路截获
(5)抗电磁干扰
(6)电源保护
三、.媒体安全
(1)媒体的安全
媒体的防盗
媒体的防毁
(2)媒体数据的安全
媒体数据的防盗
媒体数据的销毁
媒体数据的防毁
四、 系统运行安全
包括1.风险分析
系统设计前的风险分析——潜在的安全隐患
系统试运行前的风险分析——设计的安全漏洞
系统运行期的风险分析——运行的安全漏洞
系统运行后的风险分析——系统的安全隐患

2.审计跟踪
纪录和跟踪各种系统状态的变化
实现对各种安全事故的定位
保存、维护和管理审计日志
3.备份与恢复
提供场点内高速度、大容量自动的数据存储、备份和恢复
提供场点外的数据存储、备份和恢复
提供对系统设备的备份
4.应急
（1）应急计划辅助软件
紧急事件或安全事故发生时的影响分析
应急计划的概要设计或详细制定
应急计划的测试与完善
（2）应急设施
提供实时应急设施
提供非实时应急设施
3、信息安全
1.操作系统安全
2.数据库安全
3.网络安全
4.病毒防护安全
5.访问控制安全
6.加密
7.鉴别

C. 求关于电子商务安全的案例，例如 信息泄露神马的

–电子来商务网站电子港湾（eBay）和源亚马逊（Amazon）遭黑客攻击;–蠕虫病毒攻击;–日本因特网雅虎个人资料外泄;–万事达信用卡集团用户资料外泄等; –熊猫烧香–“冲击波”与“震荡波”–阿里巴巴B2B平台签约客户涉嫌诈骗事件

D. 列举近两年计算机网络安全问题给电子商务带来的重大事故

1)源代码被盗事件。
2)重大黑客攻击事件。
3)恶意软件肆虐事件。
4)信息泄密事件。
5)重大漏洞事件 。
6)操作系统安全事件。

E. 发生了电子商务安全事件,电子商务就不安全了吗

电子商务是个系统性的经济体，所谓的安全事件是某一个环节出了问题，并不代表整个系统性的经济体出了问题，所以窥一发而见全身并不适用于对电子商务安全的判断。

F. 电子商务交易安全的案例

案例一：
淘宝“错价门”引发争议
互联网上从来不乏标价1元的商品。近日，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件发生至今已有两周，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中，消费者与商家完成交易，成功付款下了订单，买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易，这种行为本身是否合法？蒋苏华认为，按照我国现行法律法规，淘宝网的行为涉嫌侵犯了消费者的自由交易权，损害了消费者的合法权益，应赔礼道歉并赔偿消费者的相应损失。
总结：目前，我国电子商务领域安全问题日益凸显，比如，支付宝或者网银被盗现象频频发生，给用户造成越来越多的损失，这些现象对网络交易和电子商务提出了警示。然而，监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题，严格执法、积极介入，彻查一些严重影响互联网电子商务安全的恶性事件，切实保护消费者权益，维护我国电子商务健康有序的发展。

G. 从事电子商务的企业受过那些安全威胁，它是如何应对的

一、NGN安全问题的引出
随着信息产业的发展，信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化，就必须重视信息网络安全，它绝不仅是IT行业问题，而是一个社会问题以及包括多学科系统安全工程问题，它直接关系到国家安全。因此，知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络，是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防，因此在NGN研究中安全将是最重要的课题之一。
1.NGN安全相关经济领域：随着我国网上银行的建设、电子商务的发展，无数财富将以比特的形式在网络上传输。

2.NGN安全相关文化领域：当前网上聊天已成为一种重要沟通手段，生存在网络中的虚拟社会已成为人们的第二生活方式，网络已成为继报刊杂志、广播和电影电视后的重要媒体。

3.NGN安全相关政府职能：当前我国正在大量建设电子政务网，也就是政府职能上网，在网上建立一个虚拟的政府，实现政府的部分职能性工作。

4.NGN安全相关国防：随着军事国防信息化的进展，信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外，网络安全问题还可能导致指挥系统的瘫痪。

5.NGN安全相关国家重要基础设施：大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题，进而引发更多更严重的问题。

二、NGN面临的安全威胁
就目前通信网络现状而言，NGN可能面临如下安全威胁。

1.电磁安全：随着侦听技术的发展以及计算机处理能力的增强，电磁辐射可能引发安全问题。

2.设备安全：当前设备容量越来越大，技术越来越复杂，复杂的技术和设备更容易发生安全问题。

3.链路安全：通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时，基本都敷设并集中在铁路桥（或公路桥）上，可能出现“桥毁缆断”通信中断的严重局面。

4.通信基础设施过于集中：国内几个主要运营商在省会城市的长途通信局（站）采用综合楼方式，在发生地震火灾等突发事件时，极易产生通信大规模中断的局面。

5.信令网安全：传统电话网络的信令网曾经是一个封闭的网络，相对安全。然而随着软交换等技术的引入，信令网逐渐走向开放，增加了安全隐患。

6.同步外安全：同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。

7.网络遭受战争、自然灾害：在网络遭受战争或自然灾害时，网络节点可能会遭受毁灭性打击，导致链路大量中断。

8.网络被流量冲击：当网络受到流量冲击时，可能产生雪崩效应，网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起，也可能是受到恶意攻击。

9.终端安全：典型的多业务终端是一个计算机，与传统的专用傻终端例如电话相比，智能终端故障率以及配置难度都大大提高。

10.网络业务安全：多业务网络很少基于物理端口或者线路区分用户，因此业务被窃取时容易产生纠纷。

11.网络资源安全：多业务网络中，用户恶意或无意（感染病毒）滥用资源（例如带宽资源）会严重威胁网络正常运行。

12.通信内容安全：网络传输的内容可能被非法窃取或被非法使用。

13.有害信息扩散：传统电信网不负责信息内容是否违法。随着新业务的开展，对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。

三、NGN安全问题分析
1.网络多业务影响网络安全

网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。

在传统电信网络上，大多数网络捆绑单一业务：电话网提供电话业务以及部分补充业务；DDN网络提供点到点数据专线业务；帧中继网络提供数据专线以及虚拟专用网业务；同步网提供网络同步服务；信令网为电话网提供信令服务；即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离，因此一般不会影响网络安全。

随着新业务的出现，新兴运营商已不满足于每个业务建一张网的思路：网络不但需要承载多种业务，还必须在用户使用同一个接入线路的条件下提供多种业务。为此，网络为识别统一接入线路上的多种业务，不可避免地将部分智能性转移到终端，IP网络成为承载多业务网络的重要选择。IP网络是典型的“智能终端傻网络”：网络只负责转发数据，不参与具体业务流程。IP网络的终端主要是计算机系统，因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程，甚至发起黑客攻击使网络瘫痪，这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用，IP网络需要与传统电话网络互通，IP网络的安全隐患进而会影响传统电话网络的安全。

2.多运营商竞争影响网络安全

多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领导中国电信建立通信网络时，网络承载单一业务，支撑网统一设计，业务普遍开展，缆线敷设统一规划，服务质量全程全网统一设计，电信业务与网络安全性基本满足当时需求。在当前多运营商竞争环境下，我国网络规模有了极大增长，适应了国民经济对通信网络的需求，但是也引入了一些对安全不利的因素：由于快速建设的压力以及缺少网络建设经验，部分运营商网络建设缺乏技术体制的总体指导，而没有技术体制指导的网络缺乏全程全网统一考虑，不利于网络安全；出于对投入成本与利润产出率的考虑，部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入；新兴运营商运营在建设初期缺乏长期电信运营的经验与理念，在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信，但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源；六大运营商网络互连互通，但是安全策略、安全管理力度以及安全设施各不相同，容易出现安全隐患；由于恶性竞争的存在，运营商互连互通时还可能造成人为的安全事故。

3.网络规模和设备容量的扩大影响网络安全

网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化，随之而来的便是为网络带来更多安全隐患。

随着国民经济的增长，通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一，运维如此一个巨大网络没有先例也没有参照对象，极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大，设备越来越复杂，不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品，至少使用的芯片大多数是国外产品，引进产品、芯片的安全性无法评估，因此也使通信网络安全隐患难以预测。

4.管理比技术更影响网络安全

先进的安全技术和设备会因管理不善而崩溃，完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言，管理比技术更重要。这里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管，还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。

在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决，可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配，再大规模的程控交换机也只需要近百个局向就可以解决电话选路；而在IP地址随意分配的互联网络上，骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路，由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。

网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人，再安全的操作系统也会需要管理人员来实现；再复杂的安全设备也需要人来维护；[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。

5.新技术新业务新运营模式影响网络安全

新技术、新业务带来新的运营模式，在建立新的价值链的同时也带来新的安全隐患。

随着IP网络的普遍应用，信息机密性、完整性和不可否认性成为网络安全的重要内容；随着分组语音业务的开展，电信运营商必须关注来自IP网络的来源追查；随着软终端的出现，运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费；随着短信业务的爆炸性发展，移动运营商必须关注恶意发送以及短信诈骗；随着电子邮件业务的开展，运营商必须关注垃圾邮件；随着BBS的广泛使用以及巨大的影响力，BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时，也为网络带来了安全上的不确定性。

6.IP技术的使用影响网络安全

IP技术的使用一方面为产业带来新业务、新活力，另一方面为网络带来新的安全隐患。当前IP技术应用广泛，但IP并不是一个完美的网络层技术，也存在服务质量、安全、运营模式等问题，其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差异：计算机网络中不是问题的问题在电信网络中却成为严重问题；另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源地址进行检验，用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。

四、NGN安全威胁应对原则
面对上述以及未来可能出现的未知的安全威胁，首先应明确如下应对原则：

1.安全不是绝对的，安全威胁永远存在。

安全不是一种稳定的状态，永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性，但是无论多少代价也不能达到永远、绝对的安全。其次，安全是一个不稳定的状态，随着新技术的出现以及时间的推移，原本相对安全的措施和技术也会变得相对不安全。第三，安全技术和管理措施是有针对性、有范围的，通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。

2.安全应作为基础研究，需要长期努力。

NGN安全研究范围广泛，包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就，需要长期努力。安全投入本身不能产生直接效益，只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究，由国家、运营商和相关企业长期投入，共同努力。

3.安全需要付出代价，安全要求应当适度。

NGN安全是所有人都希望的，但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力，也可能是降低效率。因此安全要求应当适度，为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想，但是如需要增加几倍的通话费用来增加机密性（机密性通常只能增加，无法绝对确保），相信大多数用户都无法接受。

4.安全隐患有大有小，应分轻重缓急。

当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患，应当视可能造成的危害以及需要付出的成本，分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决，例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展，或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。

5.安全不仅是技术问题，更重要的是管理。

绝大多数安全隐患可以通过技术手段解决，但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾，以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。

6.安全问题有范围，不是包罗万象的。

NGN安全有自身的范围界定，并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围，将大量与安全无关的课题归结到NGN与信息安全研究中，可能会失去重点，不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关；同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关，用户丢失密码造成的损失也与网络安全无关。

7.网络安全不仅仅是定性的，还应当定量评估。

当前计算机系统有安全登机评估标准，可以定量评估。长期以来，通信网络主要提供话音服务，对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行，因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好，但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。

8.不同网络上关注的安全问题应当各有侧重。

传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计，服务可控性较差，并缺乏有效的商业模式，且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。

H. 你认为12306网站“13万用户数据泄露”事件暴露出了哪些电子商务安全问题

12306网站为什么会留下这么大的漏洞让黑客有机可趁？设想如果这次撞库发生在Google、微软身上，也许是不可能成功的。因为成熟的网站都会在登陆服务器时设置二次验证程序。国内很多网站为了节省成本，并没有设置这一道程序，也没有安装任何相关数据安全软件。据相关人士称，12306网站从2012年2月开始，在某网站上被披露的漏洞接近50个，其中涉及用户资料泄漏和敏感信息泄露的漏洞占7%，而还有44%的漏洞可间接导致信息泄漏，例如命令执行漏洞和SQL注射漏洞。而这些被监测到的漏洞都持续了很长时间。我们很难想象在此次事件发生之前就已经有多过次的事发案例了，不明白为什么这些漏洞一直没有被补救。12306网站被撞库，说明12306账号安全体系仍需要进一步完善，尽可能及时发现并阻断黑客撞库攻击。 建议安装昂楷数据库审计系统。对数据进行自动加密，并能跟踪审计，进行阻断。

I. 要实现电子商务的安全运作应当从什么方面入手

企业电子商务安全管理对策
企业电子商务的安全管理需要一个完整的综合保障体系。应当从技术、管理、法律等方面入手，采取行之有效的综合解决的办法和措施，才能真正实现电子商务的安全运作。其主要安全管理对策体现在以下几个方面：
（一）人员管理
由于人员在很大程度上支配着市场经济下的企业的命运，而计算机网络犯罪又具有智能型性、连续性、高技术性的特点，因而，加强对电子商务人员的管理变得十分重要。
贯彻电子商务安全运作基本原则：
1、双人负责原则：重要业务不要安排一个人单独管理，实行两人或多人相互制约的机制；
2、任期有限原则：任何人不得长期担任与交易安全有关的、职务；
3、最小权限原则：明确规定只有网络管理员才可以进行物理访问，只有网络人员才可进行软件安装工作。
（二）保密管理
电子商务涉及企业的市场、生产、财务、供应等多方面的机密，信息的安全级别又可分为绝密级、机密级和秘密级三级，因此，安全管理需要很好地划分信息的安全防范重点，提出相应的保密措施。
保密工作的另一个重要的问题是对密钥的管理。大量的交易必然使用大量的密钥，密钥管理必须贯穿于密钥的产生、传递和销毁的全过程。密钥需要定期更换，否则可能使“黑客”通过积累密文增加破译机会。
（三）网络系统的日常维护管理
1、硬件的日常管理和维护
企业通过自己的Intranet参与电子商务活动，Intranet的日常管理和维护变得至关重要，这就要求网络管理员必须建立系统设备档案。一般可用一个小型的数据库来完成这项功能，以便于一旦某地设备发生故障，进行网上查询。
对于一些网络设备，应及时安装网管软件。对于不可管设备应通过手工操作来检查状态，做到定期检查与随机抽查相结合，以便及时准确地掌握网络的运行状况，一旦有故障发生能及时处理。
2、软件的日常管理和维护
对于操作系统，所要进行的维护工作主要包括：定期清理日志文件、临时文件；定期执行整理文件系统；监测服务器上的活动状态和用户注册数；处理运行中的死机情况等。
对于应用软件的管理和维护主要是版本控制。为了保持各客户机上的版本一致，应设置一台安装服务器，当远程客户机应用软件需要更新时，就可以从网络上进行远程安装。
（四）数据备份和应急措施
为了保证网络数据安全，必须建立数据备份制度，定期或不定期地对网络数据加以备份。
应急措施是指在计算机灾难事件（即紧急事件或安全事故）发生时，利用应急计划辅助软件和应急设施，排除灾难和故障，保障计算机信息系统继续运行或紧急恢复。在启动电子商务业务时，就必须制定交易安全计划和应急方案，一旦发生意外，立即实施，最大限度地减少损失，尽快恢复系统的正常工作。
灾难恢复包括许多工作。一方面是硬件的恢复，使计算机系统重新运转起来；另一方面是数据的恢复。一般来讲，数据的恢复更为重要，难度也更大。目前运用的数据恢复技术主要是瞬时复制技术、远程磁盘镜像技术和数据库恢复技术。
（五）跟踪与审计管理
跟踪制度要求企业建立网络交易系统日志机制，用于记录系统运行的全过程。系统日志文件是自动生成的，内容包括操作日期、操作方式、登录次数、运行时间、交易内容等。它对系统的运行监督、维护分析、故障恢复，对于防止案件的发生或为侦破案件提供监督数据，起到非常重要的作用。
审计制度包括经常对系统日志的检查、审核，及时发现对系统故意入侵行为的记录和对系统安全功能违反的记录，监控和捕捉各种安全事件，保存、维护和管理系统日志。
（六）病毒防范
抗病毒是电子商务安全的一个新领域。病毒在网络环境下具有更强的传染性，对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度，排除病毒的骚扰。