第一篇：電子商務(wù)安全問題論文

摘要： 通過分析電子商務(wù)安全問題產(chǎn)生原因及電子商務(wù)對安全環(huán)境的要求，提出電子商務(wù)的安全防范策略，并對當(dāng)前解決電子商務(wù)安全的主要技術(shù)進(jìn)行了進(jìn)一步的闡述和分析，為建立健全電子商務(wù)安全系統(tǒng)提供技術(shù)性參考。

關(guān)鍵詞： 電子商務(wù) 安全技術(shù) 安全協(xié)議

電子商務(wù)的發(fā)展已將全球的商務(wù)企業(yè)都推進(jìn)到一場真的商業(yè)革命大潮中，潮起潮落，安全問題是關(guān)鍵。電子商務(wù)系統(tǒng)是活動在Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統(tǒng)，其安全對象是一個開放的、人在其中頻繁活動的、與社會系統(tǒng)緊密耦合的復(fù)雜系統(tǒng)，它是由商業(yè)組織本身(包括營銷系統(tǒng)、支付系統(tǒng)、配送系統(tǒng)等)與信息技術(shù)系統(tǒng)復(fù)合構(gòu)成的。系統(tǒng)的安全目標(biāo)與安全策略，是由組織的性質(zhì)與需求所決定的。

一、電子商務(wù)的安全問題

1.電子商務(wù)安全問題的產(chǎn)生。(1)在線交易主體虛擬化帶來的安全問題：在電子商務(wù)環(huán)境下，任何人不經(jīng)登記就可以借助計算機(jī)網(wǎng)絡(luò)發(fā)出或接受網(wǎng)絡(luò)信息，并通過一定程序與其他人達(dá)成交易。虛擬主體的存在使電子商務(wù)交易安全受到嚴(yán)重威脅。(2)虛假信息的發(fā)布帶來的安全問題：當(dāng)用戶以合法身份進(jìn)入系統(tǒng)后，買賣雙方都可能在網(wǎng)絡(luò)上發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對方的錢款或貨物。(3)過低的信用度帶來的安全問題：①低信用度的買方帶來的安全問題：低信用度的買方，可能存惡意透支或使用偽造的信用卡騙取賣方貨物或存在拖延貨款行為，賣方需要為此承擔(dān)風(fēng)險。②低信用度的買方帶來的安全問題：賣方不能按質(zhì)、按量、按時寄送消費者購買的貨物，或者不能完全履行與集團(tuán)購買者簽訂的合同，造成買方的風(fēng)險。③低信用度的買賣雙方都存在抵賴的情況。(4)網(wǎng)絡(luò)欺詐的存在帶來的安全問題：在電子交易活動中頻繁欺詐用戶這是網(wǎng)絡(luò)騙子們常用的騙術(shù)，利用電子商務(wù)進(jìn)行欺詐已經(jīng)成為一種新型犯罪活動，目前這種網(wǎng)上欺詐也已經(jīng)成為國際性的難題。(5)電子合同取代書面合同過程中帶來的安全問題：在在線交易情形下，交易雙方的所有信息都是以電子化的形式存儲于計算機(jī)硬盤或其他電子介質(zhì)中，這些記錄不僅容易被涂擦、刪改、復(fù)制、遺失，而且不能脫離其記錄工具(計算機(jī))而作為證據(jù)獨立存在。由此而引發(fā)諸多方面的安全問題(6)網(wǎng)上電子支付過程帶來的安全問題：完電子商務(wù)的網(wǎng)上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實現(xiàn)這一過程涉及網(wǎng)絡(luò)銀行與網(wǎng)絡(luò)交易客戶之間的協(xié)議、網(wǎng)絡(luò)銀行與網(wǎng)站之間的合作協(xié)議以及安全保障問題。(7)產(chǎn)品交付過程帶來的安全問題：有形貨物的在線交易中物流配送環(huán)節(jié)引發(fā)的一些特殊問題及無形的信息產(chǎn)品在交付中對于其權(quán)利的移轉(zhuǎn)、退貨、交付的完成等帶來的安全問題。(8)網(wǎng)絡(luò)消費者維權(quán)時引發(fā)的安全問題：在線市場的虛擬性和開放性以及網(wǎng)上購物的便捷性都使消費者保護(hù)成為突出的問題。比如質(zhì)量問題，退賠、修理困難問題等。(9)網(wǎng)絡(luò)惡意攻擊者的破壞活動帶來的安全問題：包括系統(tǒng)穿透、違反授權(quán)原則、植入、通信監(jiān)聽、通信干擾、中斷、拒絕服務(wù)、否認(rèn)等。

2.電子商務(wù)對安全環(huán)境的要求。(1)確保信息的安全要求包括有效性、機(jī)密性、完整性、可靠性/不可抵賴性/鑒別等；(2)確保授權(quán)合法性；(3)確保交易者身份的確定性；(4)確保內(nèi)部網(wǎng)的嚴(yán)密性。

二、電子商務(wù)的安全防范策略

經(jīng)過數(shù)十年的探索，電子商務(wù)安全防范策略從最初的商務(wù)信息保密性發(fā)展到商務(wù)信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎(chǔ)理論和實施技術(shù)。目前，電子商務(wù)安全領(lǐng)域已經(jīng)形成了9大核心技術(shù)，它們是：密碼技術(shù)、身份驗證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、安全內(nèi)核技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、信息泄露防治技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、入侵檢測技術(shù)。

1.電子商務(wù)的主要安全技術(shù)。(1)加密技術(shù)。加密技術(shù)解決了傳送信息的保密問題，可分對稱加密和非對稱加密。對稱加密是一種傳統(tǒng)的信息認(rèn)證方法,通過信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密采用的主要加密算法有DES數(shù)據(jù)加密標(biāo)準(zhǔn)、三重DES,IDEA,和AES（高級加密算法）等。其最大優(yōu)勢是加/解密速度快, 適合于對大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。非對稱加密又稱公開密鑰加密，它使用一把公開發(fā)布的公開密鑰和一把只能由生成密鑰對的貿(mào)易方掌握的私用密鑰來分別完成加密和解密操作。如貿(mào)易的甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開；得到該公開密鑰的貿(mào)易的方乙使用該密鑰對信息進(jìn)行加密后發(fā)送給甲方；甲方再用自己保存的另一把私用密鑰對加密信息進(jìn)行解密。公鑰密碼技術(shù)是密碼技術(shù)核心，主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。優(yōu)點是機(jī)制靈活，但加密和解密速度慢。(2)數(shù)字簽名。數(shù)字簽名解決了而防止他人對傳輸?shù)奈募M(jìn)行破壞，以及如何確定發(fā)信人的身份的問題。數(shù)字簽名與書面文件簽名有相同功效，它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽字的值也將發(fā)生變化，不同的文件將得到不同的數(shù)字簽字。數(shù)字簽名是采用雙重加密的方法，通過流程：A、被發(fā)送文件用 SHA編碼加密產(chǎn)生128 bit的數(shù)字摘要；B、發(fā)送方用自己的私用密鑰對摘要再加密，形成數(shù)字簽名；C、將原文和加密的摘要同時傳給對方；D、對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要；E、將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要互對比。最終實現(xiàn)了防偽、防抵賴。

(3)數(shù)字時間戳。數(shù)字時間戳服務(wù)提供了對電子文件發(fā)表時間的安全保護(hù)，由專門的機(jī)構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔，它包括需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數(shù)字簽字三個部分。時間戳形成的流程為:①用戶將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS；②DTS在加人了收到文件摘要的日期和時間信息后再對該文件加密(數(shù)字簽名)，然后送回用戶。數(shù)字時間戳是由認(rèn)證單位DTS來加的，以DTS收到文件的時間為依據(jù)。

(4)數(shù)字證書。數(shù)字證書是由CA認(rèn)證中心簽發(fā)的，用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限的憑證。CA認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。數(shù)字證書為電子簽名相關(guān)各方提供真實、可靠驗證的公眾服務(wù)，解決電子商務(wù)活動中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動的安全，從根本上保障電子商務(wù)交易活動順利進(jìn)行。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字證書，就可用它來進(jìn)行安全交易操作了。

(5)防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，它可以阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出，是最適合于相對獨立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的單一網(wǎng)絡(luò)。防火墻有兩個基本準(zhǔn)則:一是未被允許的就是禁止的；二是未被禁止的就是允許的?；谠摐?zhǔn)則, 防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流, 然后逐項屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境, 可為用戶提供更多的服務(wù)。

2.電子商務(wù)安全協(xié)議技術(shù)。電子商務(wù)安全協(xié)議主要有：安全套接層協(xié)議SSL和安全電子交易SET協(xié)議。此外，還有pCT(專用通信技術(shù))，它只是對SSL進(jìn)行少量的改進(jìn)。SSL協(xié)議是向基于TCp/Ip的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等的安全措施。它包括“SSL 記錄協(xié)議”和“ SSL 握手協(xié)議”。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MDS等加密技術(shù)來實現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書實現(xiàn)鑒別。SSL協(xié)議已成為事實上的工業(yè)標(biāo)準(zhǔn)而被廣泛應(yīng)用。通常還采用“SSL+表單簽名”的模式使得SSL在電子商務(wù)的應(yīng)用中確保信息的真實性、完整性和保密性的基礎(chǔ)上進(jìn)一步提高電子商務(wù)的安全保障。

SET協(xié)議是Mastercard公司和Visa公司聯(lián)合開發(fā)的一種應(yīng)用于因特網(wǎng)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付協(xié)議。它可以對交易各方進(jìn)行認(rèn)證,可防止商家欺詐,進(jìn)行安全交易，它給出了一套電子交易的過程規(guī)范而成為目前公認(rèn)的信用卡的網(wǎng)上交易的國際標(biāo)準(zhǔn)。

3.構(gòu)建電子商務(wù)安全控制的框架和制訂電子商務(wù)標(biāo)準(zhǔn)及法律法規(guī)。通過安全的控制和電子商務(wù)標(biāo)準(zhǔn)的推行，有利于解決電子商務(wù)的安全性和可靠性問題。

電子商務(wù)給企業(yè)、消費者和社會所帶來的收益是不可估量的。特別是電子商務(wù)以其高效、低成本的優(yōu)勢，必將成為新興的商業(yè)運作模式，推動著全球經(jīng)濟(jì)的快速發(fā)展。而商務(wù)信息的安全問題始終是電子商務(wù)的核心，是阻礙電子商務(wù)廣泛應(yīng)用的最大問題。電子商務(wù)的安全問題是能夠通過綜合運用各類電子商務(wù)安全技術(shù)，并不斷改進(jìn)和完善，加之建立健全電子商務(wù)的安全機(jī)制和相應(yīng)的法律法規(guī)，推行電子商務(wù)的國際化標(biāo)準(zhǔn)而得以解決。

參考文獻(xiàn)：

[1]（美）埃弗雷姆.特白思戴維.金,杰李等著王理平張曉峰譯:電子商務(wù) 管理新視角(第2版)［Ｍ］.電子工業(yè)出版社,2005年9月

[2]楊堅爭著:電子商務(wù)基礎(chǔ)與應(yīng)用(第五版)［Ｍ］.西安電子科技大學(xué)出版社,2007年7月

第二篇：06電子商務(wù)的安全問題

電子商務(wù)的安全問題

一、選擇題

1、在電子商務(wù)信息安全要求中，信息在傳輸過程中或存儲中不被他人竊取指的是（B）。A、信息的保密性

B、信息的完成性

C、信息的不可否認(rèn)性

D、交易者身份的真實性

2、加密和解密密鑰不同的密碼體制稱為（）。

A、DES密碼體制

B、公開秘鑰密碼體制 C、通用秘鑰密碼體制

D、凱撒密碼體制

3、加密后的內(nèi)容稱為（）。

A、密鑰

B、算法 C、密文

D、明文

4、用戶識別方法不包括（）。

A、根據(jù)用戶知道什么來判斷

B、根據(jù)用戶擁有什么來判斷 C、根據(jù)用戶地址來判斷

D、根據(jù)用戶是什么來判斷

5、一下身份認(rèn)證技術(shù)中，屬于生物特征識別技術(shù)的有（）。

A、數(shù)字簽名識別法

B、指紋識別法

C、語音識別法

D、頭蓋骨的輪廓識別法

6、觸發(fā)電子商務(wù)安全問題的原因有（）。

A、黑客的攻擊

B、管理的欠缺 C、網(wǎng)絡(luò)的缺陷

D、軟件的漏洞

7、不屬于病毒防范制度的內(nèi)容是（）。

A、為自己的電腦安裝防病毒軟件

B、不打開陌生地址的電子郵件 C、認(rèn)真執(zhí)行病毒定期清理制度

D、高度警惕網(wǎng)絡(luò)陷阱

8、下面屬于不安全口令的有（）。A、使用用戶名作為口令

B、使用自己或者親友的生日作為口令 C、使用學(xué)號或者身份證號碼等作為口令 D、使用常用的英文單詞作為口令

9、在使用數(shù)字證書來為郵件簽名之前，還應(yīng)該為電子郵件地址申請（）。A、密碼

B、密鑰 C、數(shù)字標(biāo)識

D、賬號

10、計算機(jī)病毒是指（）。

A、具有破壞作用的特制程序

B、帶細(xì)菌的磁盤 C、已經(jīng)損壞的磁盤D、優(yōu)良程序

11、對稱密碼技術(shù)中DES是（）。

A、Data Encryption Standard

B、Data End System C、Data Encryption System

D、Data End Standard

12、（）協(xié)議是用于開放網(wǎng)絡(luò)進(jìn)行信用卡電子支付的安全協(xié)議。

A、SSL

B、TCP/IP C、SET

D、HTTP

13、CA認(rèn)證中心主要承擔(dān)電子商務(wù)中的交易認(rèn)證、（）、身份審核等服務(wù)。A、伏路把關(guān)

B、數(shù)據(jù)加密 C、證書簽發(fā)

D、信息傳遞

14、屬于非對稱加密算法的有（）算法。

A、RSA

B、Rivest Code C、DES

D、AES

15、防火墻可以抵御的安全威脅有（）。A、不經(jīng)由防火墻的攻擊

B、受到病毒感染的軟件或文件的傳輸 C、來自內(nèi)部的攻擊 D、內(nèi)部信息的外泄

16、以下關(guān)于防火墻的說法錯誤的是（）。

A、包過濾型防火墻在網(wǎng)絡(luò)層工作，其處理對象是數(shù)據(jù)包。

B、應(yīng)用網(wǎng)關(guān)型防火墻在應(yīng)用層工作，而代理服務(wù)器型防火墻卻在最高層共工作，這是它們的不同點。

C、包過濾型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻和代理服務(wù)器型防火墻的防范方式與側(cè)重點不同。D、包過濾型防火墻通常安裝在路由器上，而應(yīng)用網(wǎng)關(guān)型防火墻和代理服務(wù)器型防火墻大多是基于主機(jī)的。

17、在保密制度里，信息的安全級別不包括（）。

A、絕密級

B、機(jī)密級 C、秘密級

D、保密級

18、數(shù)字指紋也叫（）。

A、數(shù)字簽名

B、消息摘要

C、消息驗證

D、數(shù)字摘要

19、目前最安全的身份認(rèn)證機(jī)制是（）。

A、一次口令機(jī)制

B、雙因素法

C、基于智能卡的用戶身份認(rèn)證

D、身份認(rèn)證的單因素法

20、身份認(rèn)證的主要目標(biāo)包括：確保交易者是交易者本人、避免與超過權(quán)限的交易者進(jìn)行交易和（）。

A、可信性

B、訪問控制

C、完整性

D、保密性

二、填空題

1、互聯(lián)網(wǎng)的安全隱患主要表現(xiàn)在、、、四個方面。

2、電子商務(wù)面臨的主要安全隱患有、、、、對交易行為進(jìn)行的抵賴和身份識別六個方面。

3、一個功能較為完整的防火墻基本組成包括、、和。

4、防火墻的類型有、、和。

5、加密算法的代表為算法。

6、不對稱加密算法的代表為算法。

7、有效的身份認(rèn)證的三個基礎(chǔ)因素是、和。

8、動態(tài)口令是應(yīng)用最廣的一種身份識別方式，一般是長度為的字符串，由數(shù)字、字母、、等組成。

9、生物特征分為和兩類。

10、訪問控制的要素有、、、和。

11、目前主要的訪問控制類型有3種：、、。

12、和是電子商務(wù)安全協(xié)議是在電子商務(wù)活動中比較常用的安全協(xié)議。

13、SSL協(xié)議提供的安全連接具有的3個基本特點分別是：、和。

14、現(xiàn)行Web瀏覽器普遍將和相結(jié)合，從而實現(xiàn)安全通信。

15、SSL記錄協(xié)議為SSL連接提供了和服務(wù)。

三、簡答題&論述題

1、簡述電子商務(wù)面臨的主要安全隱患問題。

答: 電子商務(wù)需要借助網(wǎng)絡(luò)，而網(wǎng)絡(luò)的開放性，會存在以下安全隱患：(1)對合法用戶身份的仿冒。(2)網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性。(3)網(wǎng)絡(luò)傳輸數(shù)據(jù)的完整性。(4)利用網(wǎng)絡(luò)數(shù)據(jù)惡意攻擊網(wǎng)絡(luò)硬件和軟間，從而導(dǎo)致商務(wù)佶息傳遞的丟失、破壞。(5)商業(yè)詐和故意抵賴。

2、防火墻的基本概念。

答:

防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障

3、簡述防火墻的功能。

4、簡述防火墻的局限性。

5、列舉身份認(rèn)證的方法。

6、短信密碼認(rèn)證方法具有哪些優(yōu)點？

7、訪問控制的定義。

8、簡述訪問控制的原理。

9、自主訪問控制的最大的特點是什么？

10、簡述SET協(xié)議采用的數(shù)據(jù)加密模型的特點。

四、案例題

案例一：360安全瀏覽器

360安全瀏覽器（360SE）是互聯(lián)網(wǎng)上好用和安全的新一代瀏覽器，和360安全衛(wèi)士、360殺毒等軟件產(chǎn)品一同成為360安全中心的系列產(chǎn)品。木馬已經(jīng)取代病毒成為當(dāng)前互聯(lián)網(wǎng)上最大的威脅，90%的木馬用掛馬網(wǎng)站通過普通瀏覽器入侵，每天有200萬用戶訪問掛馬網(wǎng)站中毒。360安全瀏覽器擁有全國最大的惡意網(wǎng)址庫，采用惡意網(wǎng)址攔截技術(shù)，可自動攔截掛馬、欺詐、網(wǎng)銀仿冒等惡意網(wǎng)址。獨創(chuàng)沙箱技術(shù)，在隔離模式即使訪問木馬也不會受感染。除了在安全方面的特性，360安全瀏覽器在速度、資源占用、防假死不崩潰等基礎(chǔ)特性上表現(xiàn)同樣優(yōu)異，在功能方面擁有翻譯、截圖、鼠標(biāo)手勢、廣告過濾等幾十種實用功能，在外觀上設(shè)計典雅精致，是很多網(wǎng)民使用瀏覽器的選擇之一。360安全瀏覽器在網(wǎng)絡(luò)安全方面具有以下特點：

1.智能攔截釣魚網(wǎng)站和惡意網(wǎng)站，開心上網(wǎng)安全無憂； 2.智能檢測網(wǎng)頁中惡意代碼，防止木馬自動下載；

3.集成全國最大的惡意網(wǎng)址庫，網(wǎng)站好壞大家共同監(jiān)督評價； 4.即時掃描下載文件，放心下載安全無憂；

5.內(nèi)建深受好評的360安全衛(wèi)士流行木馬查殺功能，即時掃描下載文件； 6.木馬特征庫每日更新，查殺能力媲美收費級安全軟件；

7.采用“沙箱”技術(shù)，真正做到百毒不侵（木馬與病毒會被攔截在沙箱中無法釋放威力）； 8.將網(wǎng)頁程序的執(zhí)行與真實計算機(jī)系統(tǒng)完全隔離，使得網(wǎng)頁上任何木馬病毒都無法感染計算機(jī)系統(tǒng)；

9.顛覆傳統(tǒng)安全軟件“滯后查殺”的現(xiàn)狀，所有已知未知木馬均無法穿透沙箱，確保安全。

請分析案例回答以下問題：

（1）分析360安全瀏覽器主要解決網(wǎng)絡(luò)安全隱患中的哪一類問題。（2）淺談電子商務(wù)中網(wǎng)絡(luò)客戶端方面應(yīng)該注意的安全問題。

案例二：泄密案例

受害者：HBGary Federal公司（2011年2月）

隨著為美國政府和500強(qiáng)企業(yè)提供信息安全技術(shù)服務(wù)的HBGary Federal公司CEO的黯然辭職，人們驟然醒悟，云時代保障企業(yè)信息資產(chǎn)安全的核心問題不是技術(shù)，而是人，不是部門職能，而是安全意識！企業(yè)門戶大開的原因不是沒有高價安全技術(shù)，而是缺乏一道“人力防火墻”。2011年2月6日，在美式橄欖球超級碗決賽之夜，HBGary Federal公司創(chuàng)始人Greg Hoglund嘗試登錄Google企業(yè)郵箱的時候，發(fā)現(xiàn)密碼被人修改了，這位以研究“rootkit”而著稱的安全業(yè)內(nèi)資深人士立刻意識到了事態(tài)的嚴(yán)重性：作為一家為美國政府和500強(qiáng)企業(yè)提供安全技術(shù)防護(hù)的企業(yè)，自身被黑客攻陷了！更為糟糕的是，HBGary Federal企業(yè)郵箱里有涉及包括美商會、美國司法部、美洲銀行和WikiLeak的大量異常敏感的甚至是見不得光的“商業(yè)機(jī)密”。

對HBgary Federal公司實施攻擊的黑客組織“匿名者”隨后將戰(zhàn)利品——6萬多封電子郵件在互聯(lián)網(wǎng)上公布，直接導(dǎo)致HBgary Federal公司CEO Aaron Barr引咎辭職，由于此次信息泄露涉及多家公司甚至政府部門的“社交網(wǎng)絡(luò)滲透”、“商業(yè)間諜”、“數(shù)據(jù)竊取”、“打擊WikiLeak”計劃，HBGary公司的員工還紛紛接到恐嚇電話，整個公司幾乎一夜間被黑客攻擊徹底擊垮。

失竊/受影響的資產(chǎn)：60000封機(jī)密電子郵件、公司主管的社交媒體賬戶和客戶信息。安全公司HBGary Federal宣布打算披露關(guān)于離經(jīng)叛道的Anonymous黑客組織的信息后不久，這家公司就遭到了Anonymous組織成員的攻擊。Anonymous成員通過一個不堪一擊的前端Web應(yīng)用程序，攻入了HBGary的內(nèi)容管理系統(tǒng)(CMS)數(shù)據(jù)庫，竊取了大量登錄信息。之后，他們得以利用這些登錄信息，闖入了這家公司的多位主管的電子郵件、Twitter和LinkedIn賬戶。他們還完全通過HBGary Federal的安全漏洞，得以進(jìn)入HBGary的電子郵件目錄，隨后公開拋售郵件信息。

汲取的經(jīng)驗教訓(xùn)：這次攻擊事件再一次證明，SQL注入攻擊仍是黑客潛入數(shù)據(jù)庫系統(tǒng)的首要手段;Anonymous成員最初正是采用了這種方法，得以闖入HBGary Federal的系統(tǒng)。但要是存儲在受影響的數(shù)據(jù)庫里面的登錄信息使用比MD5更強(qiáng)大的方法生成散列，這起攻擊的后果恐怕也不至于這么嚴(yán)重。不過更令人窘迫的是這個事實：公司主管們使用的密碼很簡單，登錄信息重復(fù)使用于許多賬戶。

請結(jié)合案例談?wù)剬υ撌录目捶?，并說說今后該如何做。

第三篇：電子商務(wù)的安全問題

電子商務(wù)的安全問題

摘要：

由于電子商務(wù)是建立在開放的、自由的Intemet平臺上的，其安全的脆弱性阻礙了電子商務(wù)的發(fā)展。因此，要發(fā)展電子商務(wù)就必須解決安全問題，就必須要能保證電子商務(wù)的機(jī)密性、完整性、有效性、真實性以及不可否認(rèn)性。電子商務(wù)安全交易中在線支付問題是最核

心、最關(guān)鍵的問題。本文從電子商務(wù)的安全問題入手，通過對多種安全技術(shù)的綜合介紹和詳細(xì)分析，有針對性地提出了相應(yīng)的安全策略。提供了解決企業(yè)電子商務(wù)網(wǎng)站安全問題的有效 辦法，以保障電子商務(wù)活動的安全進(jìn)行。

目 錄

一、引言...........................................................................................................................................1

二、電子商務(wù)中存在的安全問題...................................................................................................1

（一）、電子商務(wù)中網(wǎng)絡(luò)安全的問題.....................................................................................1 ??網(wǎng)絡(luò)信息泄漏..............................................................................................................1 ??文件信息篡改..............................................................................................................1 ??信息偽造......................................................................................................................1 ??信用威脅......................................................................................................................2 ??計算機(jī)病毒..................................................................................................................2

（二）、電子商務(wù)交易中安全問題.........................................................................................2 ??消費者、銷售商和銀行的利益更不易保護(hù).............................................................2 ??安全面臨的嚴(yán)重問題也是制約發(fā)展的關(guān)鍵因素.....................................................2 ??電子商務(wù)的支付結(jié)算問題.........................................................................................2 ??電子商務(wù)商家信譽的問題.........................................................................................2

三、電子商務(wù)網(wǎng)絡(luò)安全問題解決對策...........................................................................................3

（一）電子商務(wù)網(wǎng)上支付安全對策.......................................................................................3

（二）安全管理過程監(jiān)督.......................................................................................................3 ??加強(qiáng)全過程的安全管理..............................................................................................3 ?? 建立動態(tài)的閉環(huán)管理流程.........................................................................................4

（三）法律上的安全保障.......................................................................................................4 ??有關(guān)電子商務(wù)交易各方合法身份證的法律..............................................................4 ??有關(guān)保護(hù)交易者介人及交易數(shù)據(jù)的法律..................................................................4 ??有關(guān)電子商務(wù)中電子合同合法性及如何進(jìn)行認(rèn)證的法律......................................4 ??有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護(hù)的法律..................................................................................4 參考文獻(xiàn)...........................................................................................................................5

一、引言

隨著在Internet全球性的推廣，電子商務(wù)即被公認(rèn)為是未來IT業(yè)最有潛力的新的增長點。但是隨著Internet的高速發(fā)展，其開放性、國際性和自由性在增加電子商務(wù)應(yīng)用自由度的同時，我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，如黑客的侵襲、網(wǎng)絡(luò)的數(shù)據(jù)盜竊、病毒的傳播等。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護(hù)，已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。

二、電子商務(wù)中存在的安全問題

（一）、電子商務(wù)中網(wǎng)絡(luò)安全的問題 ? 網(wǎng)絡(luò)信息泄漏

在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏，主要表現(xiàn)在：

交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過截獲和竊取的方式造成信息泄漏。如果沒有采用加密措施或加密強(qiáng)度不夠，或是交易雙方進(jìn)行交易的內(nèi)容被攻擊者竊取，或者是交易一方提供給另一方使用的文件被攻擊者非法使用。? 文件信息篡改

在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題。當(dāng)攻擊者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改，如修改消息次序、時間，注入偽造消息等，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實性和完整性。對企業(yè)網(wǎng)站而言，網(wǎng)頁的篡改，尤其是含有攻擊、丑化色彩的篡改，會對企業(yè)形象與信譽造成嚴(yán)重?fù)p害。? 信息偽造

由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，如果不進(jìn)行身份識別，攻擊者就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等。主要有這樣幾種情況：第一、虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收訂貨單；第二、給偽造的用戶發(fā)惡意的電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)；第三、偽造用戶，發(fā)大量的電子郵件，竊取商家的

商品信息和用戶信用等信息。? 信用威脅

交易者否認(rèn)參加過交易，如買方提交訂單后不付款，或者輸入虛假銀行資料使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中，使客戶蒙受損失。? 計算機(jī)病毒

電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動輒造成數(shù)百億美元的經(jīng)濟(jì)損失。

（二）、電子商務(wù)交易中安全問題

? 消費者、銷售商和銀行的利益更不易保護(hù)

電子商務(wù)領(lǐng)域為欺詐提供了保護(hù)傘。它特殊的運行模式可以使欺詐行為人將其欺詐行為掩蓋得惟天衣無縫，而被侵害者卻無可奈何。他可以直接侵害消費者的公平交易權(quán)，因為消費者是根本看不到自己所要購買商品的實物，只能在網(wǎng)站上瀏覽銷售商為該商品所做的信息數(shù)據(jù)。電子商務(wù)對消費者的隱私權(quán)也提出了新的考驗。因特網(wǎng)技術(shù)使得對個人信息的收集、儲存、處理和銷售有著前所未有的能力和規(guī)模，在線消費者的信息隨時都有被收集和擴(kuò)散的危險，只要在網(wǎng)上用個人信箱發(fā)信,你的信箱就基本上是公開的了，個人資料也就很容易被竊取，使得消費者購非所需。

? 安全面臨的嚴(yán)重問題也是制約發(fā)展的關(guān)鍵因素

保障電子商務(wù)活動的安全，一直是電子商務(wù)研究的核心領(lǐng)域。作為一個安全的電子商務(wù)系統(tǒng)，首先必須具有一個安全、可靠的通信網(wǎng)絡(luò)，以保證交易信息安全、迅速地傳遞；其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全，防止黑客闖入網(wǎng)絡(luò)盜取信息。網(wǎng)絡(luò)產(chǎn)品本身就隱藏著不安全隱患，加之受技術(shù)、人為等因素的影響，不安全因素更顯突出。如：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、病毒與惡意攻擊、線路竊聽等。若安全問題解決不好將對整個電子商務(wù)市場帶來了巨大的損失。? 電子商務(wù)的支付結(jié)算問題

電子商務(wù)的核心內(nèi)容是信息的互相溝通和交流，交易雙方通過Internet進(jìn)行交流，洽談確認(rèn)，最后才能發(fā)生交易，進(jìn)行支付結(jié)算，一般都要求先匯款再送貨。但從整個電子商務(wù)網(wǎng)絡(luò)的發(fā)展來看，將來要在網(wǎng)絡(luò)上直接進(jìn)行交易，就需要通過銀行的信用卡等各種方式來完成交易，以及在國際貿(mào)易中通過與金融網(wǎng)絡(luò)的連接來支付和收費。? 電子商務(wù)商家信譽的問題

電子商務(wù)依其特有的經(jīng)營模式對商家的信譽提出了更高的要求。因為電子商務(wù)的基石就是誠信、信譽。他不象傳統(tǒng)的交易方式，消費者可到實地觀察、挑選自己的商品，其完全憑借的是商家的信譽度，有信譽就有顧客這是對電子商務(wù)的真實寫照。當(dāng)傳統(tǒng)的購物方式引發(fā)的各種糾分還在“3.15”消費者權(quán)益日頻頻曝光的環(huán)境下，消費者如何信任互不照面的網(wǎng)上交易？這個問題不解決電子商務(wù)就很難做大做強(qiáng)，這對我們也提出了新的挑戰(zhàn)。

三、電子商務(wù)網(wǎng)絡(luò)安全問題解決對策

（一）電子商務(wù)網(wǎng)上支付安全對策

由于引起電子商務(wù)安全問題的因素很多，所以解決安全問題也應(yīng)從不同方面來考慮，提供不同的應(yīng)對策略:

? 安全技術(shù)策略：為了確保通信的安全性，必須采取必要的措施加以防范。在通信連接方面,可以使用防火墻、代理服務(wù)器、虛擬專用網(wǎng)絡(luò)(VPN)等技術(shù)；在鑒別和認(rèn)證方面，可以采取加密和認(rèn)證技術(shù)。

做好自身電腦的日常安全維護(hù)，注意以下幾點： a.是經(jīng)常給電腦系統(tǒng)升級

b.是安裝殺毒軟件、防火墻，經(jīng)常升級和殺毒

c.在平時上網(wǎng)是盡量不上一些小型網(wǎng)站，選大型網(wǎng)站，知名度比較高的網(wǎng)站，避免網(wǎng)站掛有病毒、木馬造成中毒

d.盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶和密碼，五有條件的情況下，在初裝系統(tǒng)后確認(rèn)電腦安全的后，給自己的電腦做上備份，在使用資金賬戶前做一次系統(tǒng)恢復(fù)。

e.在登錄支付資金時，應(yīng)注意：一是確認(rèn)該網(wǎng)是否是官方網(wǎng)站，二是仔細(xì)核對該網(wǎng)的域名是否正確，注意小寫“1”與“L”、“0”與“O”等情況，三保證良好的上網(wǎng)習(xí)慣，收藏常用的網(wǎng)址，減少網(wǎng)上鏈接。

電子商務(wù)網(wǎng)上支付實際上就是落實到網(wǎng)上銀行轉(zhuǎn)賬結(jié)算的交易。為了防止了黑客木馬程序和網(wǎng)上釣魚的攻擊，使用數(shù)字證書才是保障網(wǎng)銀安全的較好辦法。但是，證書盡可能不采用所謂“文件證書”，即下載到瀏覽器硬盤上的證書，因為，此種證書易被黑客用木馬程序竊取。目前，各銀行的應(yīng)用實踐證明：只有將數(shù)字證書裝入UBKey中，才是確保安全的好辦法。

2、法律保障。由于電子商務(wù)各項活動首先是一種商品的交易，因此安全問題應(yīng)當(dāng)通過相關(guān)法律加以保護(hù)，必須保證電子合同和數(shù)字簽名的法律地位、簽約雙方對電子合同的認(rèn)可、電子合同的不可否認(rèn)或修改,確保電子合同能夠得以實施。

3、完善的管理策略。由于電子商務(wù)交易系統(tǒng)是一個人機(jī)高度綜合的系統(tǒng),除了網(wǎng)絡(luò)的安全之外,管理人員的管理也是非常重要的,而且是起決定性作用的因素。因此,對整個系統(tǒng)的管理權(quán)限的分配和監(jiān)督、管理人員的培訓(xùn)和考核、道德和業(yè)務(wù)水平的培養(yǎng)都必須制定出一套完整的規(guī)章制度,以利于培養(yǎng)管理人員敬業(yè)愛崗的精神.（二）安全管理過程監(jiān)督 ? 加強(qiáng)全過程的安全管理

1）網(wǎng)絡(luò)規(guī)劃階段，就要加強(qiáng)對信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財力。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實施、降低投資風(fēng)險。

2)工程建設(shè)階段，建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試，列入工程建設(shè)各個階段工作的重要內(nèi)容，要加強(qiáng)對開發(fā)(實施)人員、版本控制的管理，要加強(qiáng)對開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查。

3)在運行維護(hù)階段，要注意以下事項：(1)建立有效的安全管理組織架構(gòu)，明確職責(zé)，理順流程，實施高效管理。(2)按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進(jìn)入系

統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度，加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運行維護(hù)過程的安全管理。(4)要建立應(yīng)急預(yù)察體系，建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢，還要定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。?

建立動態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中，可能發(fā)現(xiàn)新的安全漏洞，因此需要建立動態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下，通過安全評估和檢測工具(如漏洞掃描，入侵檢測等)及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患，據(jù)此制定安全建設(shè)規(guī)劃和加固方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品(如防火墻、身份認(rèn)證等手段)，將系統(tǒng)調(diào)整到相對安全的狀態(tài)。并要注意以下兩點：

1)對于一個企業(yè)而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個策略制定詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃、方案，保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施，從而保護(hù)企業(yè)的投資和信息資源安全。

2)要制定完善的、符合企業(yè)實際的信息安全策略，就須先對企業(yè)信息網(wǎng)的安全狀況進(jìn)行評估，即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評估，讓企業(yè)對自身面臨的安全威脅和問題有全面的了解，從而制定針對性的安全策略，指導(dǎo)信息安全的建設(shè)和管理工作。

（三）法律上的安全保障

在法律上，最子商務(wù)不同于傳統(tǒng)商務(wù)在紙面上完成交易，有據(jù)可查的特點，電子交易如何認(rèn)證，電子欺詐如何避免和懲治不僅是技術(shù)問題，同時也要涉及到法律領(lǐng)域，電子商務(wù)就像在現(xiàn)實世界之外又建立了一個虛擬世界，在這個虛擬世界里，更需要完善的法律體系來維持秩序。目前多個國家和地區(qū)已經(jīng)開始行動制定電子商務(wù)法律法規(guī)。這就需要在企業(yè)和企業(yè)之間、政府和企業(yè)之間、企業(yè)和消費者之間、政府和政府之間明確各自需要遵守的法律義務(wù)和責(zé)任。其主要涉及的法律要素有： ? 有關(guān)電子商務(wù)交易各方合法身份證的法律

電子身份認(rèn)證中心是電子商務(wù)中的核心角色，它擔(dān)負(fù)著保證電子商務(wù)公正、安全進(jìn)行的任務(wù)。因而必須由國家法律來規(guī)定CA中心的設(shè)立程序和資格以及必須承擔(dān)的法律義務(wù)和責(zé)任，同時要由法律規(guī)定對CA中心進(jìn)行監(jiān)管的部門、監(jiān)管方法以及違規(guī)后的處罰措施。? 有關(guān)保護(hù)交易者介人及交易數(shù)據(jù)的法律

本著最小限度收集個人數(shù)據(jù)、最大限度保護(hù)個人隱私的原則來制定法律，以消除人們對泄露個人隱私以及重要個人信息的擔(dān)擾，從而吸引更多的人上網(wǎng)參與電子商務(wù)。? 有關(guān)電子商務(wù)中電子合同合法性及如何進(jìn)行認(rèn)證的法律

需要制定有關(guān)法律對電子合同的法律效力、數(shù)字簽名、電子商務(wù)憑證的合法性予以確認(rèn)；需要對電子商務(wù)作證、電子支付數(shù)據(jù)的偽造、變更、涂銷做出相應(yīng)的法律規(guī)定。? 有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護(hù)的法律

網(wǎng)絡(luò)對知識產(chǎn)權(quán)的保護(hù)提出了新的挑戰(zhàn)，因此在研究技術(shù)保護(hù)措施時，還必須建立適當(dāng)?shù)姆煽蚣?，以便偵測仿冒或欺詐行為，并在上述行為以生時提供有效的法律援助。

參考文獻(xiàn)

[1]鐘 誠.電子商務(wù)安全.重慶大學(xué)出版社.2004.6 [2]楊堅爭.電子商務(wù)基礎(chǔ)與運用 2008.5 [3]陳 進(jìn).電子商務(wù)金融與安全.清華出版社 2000 [4]馮登國.網(wǎng)絡(luò)安全原理與技術(shù).北京.科學(xué)出版社.2003 [5]邵曉薇 王維民 電子商務(wù)網(wǎng)站網(wǎng)上交易系統(tǒng) 人民郵電出版社 2000.6

第四篇：電子商務(wù)安全問題典型案例

案例一：

淘寶“錯價門”引發(fā)爭議

互聯(lián)網(wǎng)上從來不乏標(biāo)價1元的商品。近日，淘寶網(wǎng)上大量商品標(biāo)價1元，引發(fā)網(wǎng)民爭先恐后哄搶，但是之后許多訂單被淘寶網(wǎng)取消。隨后，淘寶網(wǎng)發(fā)布公告稱，此次事件為第三方軟件“團(tuán)購寶”交易異常所致。部分網(wǎng)民和商戶詢問“團(tuán)購寶”客服得到自動回復(fù)稱：“服務(wù)器可能被攻擊，已聯(lián)系技術(shù)緊急處理。”這起“錯價門”事件發(fā)生至今已有兩周，導(dǎo)致“錯價門”的真實原因依然是個謎，但與此同時，這一事件暴露出來的我國電子商務(wù)安全問題不容小覷。在此次“錯價門”事件中，消費者與商家完成交易，成功付款下了訂單，買賣雙方之間形成了合同關(guān)系。作為第三方交易平臺的淘寶網(wǎng)關(guān)閉交易，這種行為本身是否合法？蔣蘇華認(rèn)為，按照我國現(xiàn)行法律法規(guī)，淘寶網(wǎng)的行為涉嫌侵犯了消費者的自由交易權(quán)，損害了消費者的合法權(quán)益，應(yīng)賠禮道歉并賠償消費者的相應(yīng)損失。

總結(jié)：目前，我國電子商務(wù)領(lǐng)域安全問題日益凸顯，比如，支付寶或者網(wǎng)銀被盜現(xiàn)象頻頻發(fā)生，給用戶造成越來越多的損失，這些現(xiàn)象對網(wǎng)絡(luò)交易和電子商務(wù)提出了警示。然而，監(jiān)管不力導(dǎo)致消費者權(quán)益難以保護(hù)。公安機(jī)關(guān)和電信管理機(jī)關(guān)、電子商務(wù)管理機(jī)關(guān)應(yīng)當(dāng)高度重視電子商務(wù)暴露的安全問題，嚴(yán)格執(zhí)法、積極介入，徹查一些嚴(yán)重影響互聯(lián)網(wǎng)電子商務(wù)安全的惡性事件，切實保護(hù)消費者權(quán)益，維護(hù)我國電子商務(wù)健康有序的發(fā)展。

案例二：

黑客熱衷攻擊重點目標(biāo)

國外幾年前就曾經(jīng)發(fā)生過電子商務(wù)網(wǎng)站被黑客入侵的案例，國內(nèi)的電子商務(wù)網(wǎng)站近兩年也發(fā)生過類似事件。浙江義烏一些大型批發(fā)網(wǎng)站曾經(jīng)遭到黑客近一個月的輪番攻擊，網(wǎng)站圖片幾乎都不能顯示，每天流失訂單金額達(dá)上百萬元。阿里巴巴網(wǎng)站也曾確認(rèn)受到不明身份的網(wǎng)絡(luò)黑客攻擊，這些黑客采取多種手段攻擊了阿里巴巴在我國大陸和美國的服務(wù)器，企圖破壞阿里巴巴全球速賣通臺的正常運營。隨著國內(nèi)移動互聯(lián)網(wǎng)的發(fā)展，移動電子商務(wù)也將迅速發(fā)展并給人們帶來更大便利，但是由此也將帶來更多的安全隱患。黑客針對無線網(wǎng)絡(luò)的竊聽能獲取用戶的通信內(nèi)容、侵犯用戶的隱私權(quán)。

總結(jié)：黑客攻擊可以是多層次、多方面、多種形式的。攻擊電子商務(wù)平臺，黑客可以輕松賺取巨大的、實實在在的經(jīng)濟(jì)利益。比如：竊取某個電子商務(wù)企業(yè)的用戶資料，販賣用戶的個人信息；破解用戶個人賬號密碼，可以冒充他人購物，并把商品貨物發(fā)給自己。黑客有可能受經(jīng)濟(jì)利益驅(qū)使，也有可能是同業(yè)者暗箱操作打擊競爭對手。攻擊電子商務(wù)企業(yè)后臺系統(tǒng)的往往是專業(yè)的黑客團(tuán)隊，要想防范其入侵，難度頗大。尤其是對于一些中小型電子商務(wù)網(wǎng)站而言，比如數(shù)量龐大的團(tuán)購網(wǎng)站，對抗黑客入侵更是有些力不從心。如果大量電子商務(wù)企業(yè)后臺系統(tǒng)的安全得不到保障，我國整個電子商務(wù)的發(fā)展也將面臨極大威脅。

第五篇：電子商務(wù)網(wǎng)站論文 論電子商務(wù)的安全問題及應(yīng)對措施

《網(wǎng)站建設(shè)與管理》課程論文

淺談電子商務(wù)網(wǎng)站的安全問題及應(yīng)對措施

淺析電子商務(wù)網(wǎng)站的安全問題及應(yīng)對措施

[摘 要] 隨著Internet的飛速發(fā)展，電子商務(wù)已經(jīng)成了企業(yè)網(wǎng)絡(luò)營銷的主要手段，它的高效率為企業(yè)帶來了巨大的方便，越來越多的企業(yè)投入巨大的人力、物力進(jìn)行電子商務(wù)網(wǎng)站建設(shè)，運用電子商務(wù)網(wǎng)站與供應(yīng)商或客戶建立關(guān)系，以最快的速度相互溝通，從而提高企業(yè)在市場中的競爭力。而電子商務(wù)網(wǎng)站的安全是電子商務(wù)網(wǎng)站可靠運行并有效開展電子商務(wù)活動的基礎(chǔ)和保證，安全問題不容忽視。本文分析了電子商務(wù)網(wǎng)站主要存在的一些安全問題，并從技術(shù)和管理的角度闡述了相應(yīng)的應(yīng)對措施。

[關(guān)鍵字]電子商務(wù)；網(wǎng)站；安全技術(shù)；安全管理

隨著互聯(lián)網(wǎng)的不斷普及與發(fā)展，企業(yè)在互聯(lián)網(wǎng)上建立自己的網(wǎng)站，不僅可以向世界展示自己的企業(yè)風(fēng)采，使企業(yè)能夠在公眾知名度上有一定的提升，更能通過網(wǎng)站進(jìn)行企業(yè)的內(nèi)部管理和開展電子商務(wù)活動。因此，如何提高網(wǎng)站的安全，抵抗黑客非法入侵，避免企業(yè)信息泄漏給企業(yè)帶來的損失是目前電子商務(wù)網(wǎng)站建設(shè)與管理中的重要一環(huán)，值得重視。

二、電子商務(wù)網(wǎng)站的主要安全問題

（一）網(wǎng)站訪問的安全問題

網(wǎng)站要實現(xiàn)其電子商務(wù)的功能，前提是具有可訪問性。因此，網(wǎng)站的訪問安全是要最先考慮的問題?；ヂ?lián)網(wǎng)的開放性提供了企業(yè)一個良好的經(jīng)營平臺，但也給病毒提供了很好的傳播平臺?；ヂ?lián)網(wǎng)上病毒無處不在，計算機(jī)病毒是具有破壞功能的可以自我復(fù)制的程序，它利用自身的隱蔽性和傳播性，在互聯(lián)網(wǎng)上橫行肆意，悄無聲息的竊取電子商務(wù)活動中的信息，或者是破壞系統(tǒng)或數(shù)據(jù)，造成網(wǎng)站癱瘓。

目前，任何電子商務(wù)網(wǎng)站本身和絕大多是的應(yīng)用軟件都是有漏洞的，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)、具體使用或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者能在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞已成為攻擊網(wǎng)站的首選目標(biāo)，使得企業(yè)會造成巨大的損失。

（二）交易數(shù)據(jù)信息的安全問題

在我國，電子商務(wù)交易中遭遇信用卡被盜用、信息資料丟失等現(xiàn)象時有發(fā)生。據(jù)不完全統(tǒng)計，有70%以上的企業(yè)和個人表示，出于安全考慮，目前暫不會在網(wǎng)上進(jìn)行購物或交易?？梢哉f，交易信息的安全問題是目前電子商務(wù)發(fā)展道路上最大阻礙。在面對面的貿(mào)易過程中，交易都是通過信件或其他可靠的通信渠道來發(fā)送商業(yè)報文，進(jìn)而達(dá)到保守機(jī)密的目的。但是電子商務(wù)網(wǎng)站上，卻很難保證這一點，主要原因來自網(wǎng)站外部和網(wǎng)站內(nèi)部兩方面的威脅。

1．來自網(wǎng)站外部的威脅。網(wǎng)絡(luò)黑客、入侵者、計算機(jī)病毒在互聯(lián)中的泛濫是危害電子 1 《網(wǎng)站建設(shè)與管理》課程論文

淺談電子商務(wù)網(wǎng)站的安全問題及應(yīng)對措施

商務(wù)網(wǎng)站安全的重要因素。而電子商務(wù)網(wǎng)站都建立自己的數(shù)據(jù)庫來存儲和管理各種重要的業(yè)務(wù)數(shù)據(jù)信息，如客戶的銀行賬號、密碼、用戶名還有訂單號等；還有商家的協(xié)議、合同、銀行的指令和認(rèn)證等，這使得用戶交易信息的安全更加得不到保障。一旦攻擊者竊取了電子商務(wù)網(wǎng)站的數(shù)據(jù)庫，就可以獲得他們想要的信息，甚至篡改、刪除對網(wǎng)站至關(guān)重要的信息，破壞數(shù)據(jù)的準(zhǔn)確性和完整性。

2．來自于網(wǎng)站內(nèi)部用戶的安全威脅。近年來，相比網(wǎng)站外部的威脅而言，網(wǎng)站內(nèi)部的安全問題更為嚴(yán)峻。網(wǎng)站的員工疏忽或故意泄露信息，使得攻擊者可以毫不費力的篡改、竊取網(wǎng)站用戶的資料等內(nèi)部機(jī)密；網(wǎng)站員工私自安裝非法軟件、游戲以及訪問不安全的網(wǎng)站等導(dǎo)致網(wǎng)站被惡意入侵；網(wǎng)站員工對機(jī)密數(shù)據(jù)的非法操作。這些都能引發(fā)網(wǎng)站的嚴(yán)重安全危機(jī)。

（三）交易的安全問題

電子商務(wù)網(wǎng)站的交易過程，是借助于虛擬的網(wǎng)絡(luò)平臺來實現(xiàn)的。在這個平臺上，交易雙方不需要會面，因此交易雙方的身份具有不確定性，在交易過程中，有可能出現(xiàn)交易抵賴、非同步交易等情況，直接破壞了電子商務(wù)網(wǎng)站交易的安全。

三、解決電子商務(wù)網(wǎng)站安全問題的應(yīng)對措施

任何的安全應(yīng)對措施都不能保證網(wǎng)站百分百的安全，但是企業(yè)樹立自身的安全意識，充分利用各種安全技術(shù)，在攻擊者和受保護(hù)對象間建立起多道安全防線可以降低網(wǎng)站的安全風(fēng)險。因此解決電子商務(wù)網(wǎng)站的安全問題需從技術(shù)和管理兩個方面入手，具體的應(yīng)對措施有：

（一）安全技術(shù)方面

1．防火墻技術(shù)

防火墻是指一個由硬件設(shè)備或軟件、或軟硬件組合而成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造的保護(hù)屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護(hù)層，并由它進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過防火墻，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源、執(zhí)行安全管制措施。防火墻技術(shù)是目前電子商務(wù)網(wǎng)站安全防范技術(shù)中發(fā)展較為成熟的一種，對于已知的攻擊模式有很好的防御作用，它為網(wǎng)站建立起一道安全屏障，強(qiáng)化了網(wǎng)絡(luò)安全策略，加強(qiáng)了網(wǎng)絡(luò)存取和訪問的監(jiān)控審計，有效的防止了內(nèi)部信息外泄。

2．防病毒技術(shù)

計算機(jī)病毒是具有自我復(fù)制和傳播能力的可以引起計算機(jī)和網(wǎng)絡(luò)故障的程序。而計算機(jī)病毒的防范是建立網(wǎng)站安全的重要一環(huán)。常用的防病毒技術(shù)有:(1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結(jié)構(gòu)線索的唯一特征。病毒掃描軟件可搜索這些特征或其它能表示有某種病毒存在的代碼段。(2)完整性檢查:通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒。完整性檢查程序只有當(dāng)病毒正在工作并做些什么事情時才能起作用，而網(wǎng)站可能在完整性檢查程序開始檢測病毒之前已感染了病毒，潛伏的病毒也可以避開檢查。(3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術(shù)試圖在病毒馬上就要開始工作時阻止它。每當(dāng)某一反常的事情將要發(fā)生時，行為封鎖軟件就會檢測到并警告用戶。

3．漏洞掃描技術(shù)

《網(wǎng)站建設(shè)與管理》課程論文

淺談電子商務(wù)網(wǎng)站的安全問題及應(yīng)對措施

漏洞掃描技術(shù)最典型的網(wǎng)絡(luò)漏洞掃描器。它是一個漏洞和風(fēng)險評估工具，用于發(fā)現(xiàn)、發(fā)掘和報告安全隱患和可能被黑客利用的網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)漏洞掃描器分為內(nèi)部掃描和外部掃描兩種工作方式:(1)外部掃描:通過遠(yuǎn)程檢測目標(biāo)主機(jī)TCP/IP 不同端口的服務(wù)，記錄目標(biāo)給予的回答。通過這種方法，可以搜集到很多目標(biāo)主機(jī)的各種信息，例如:是否能用匿名登錄、是否有可寫的FTP 目錄、是否能用TELNET等。然后與漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，滿足匹配條件則視為漏洞。也可通過模擬黑客的進(jìn)攻手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描。如果模擬攻擊成功，則可視為漏洞存在。(2)內(nèi)部掃描:漏洞掃描器以root 身份登錄目標(biāo)主機(jī)，記錄系統(tǒng)配置的各項主要參數(shù)，將之與安全配置標(biāo)準(zhǔn)庫進(jìn)行比較和匹配，凡不滿足者即視為漏洞。

4．入侵檢測技術(shù)

防火墻只是一種隔離控制技術(shù)，一旦入侵者進(jìn)入了系統(tǒng)，他們便不受任何阻擋。它不能主動檢測和分析網(wǎng)絡(luò)內(nèi)外的危險行為，捕捉侵入罪證。而入侵檢測技術(shù)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全技術(shù)。它是網(wǎng)站的第二道安全門。為了保護(hù)電子商務(wù)網(wǎng)站的安全，以防火墻為主的靜態(tài)防護(hù)已經(jīng)不能滿足現(xiàn)在網(wǎng)站的需求，在防火墻之上加入入侵檢測系統(tǒng)，可以增強(qiáng)網(wǎng)站安全。

5．安全認(rèn)證技術(shù)

安全認(rèn)證技術(shù)，可以確認(rèn)交易方不是冒名，確認(rèn)得到的信息是來自聲稱方，保證信息的完整和真實性未被人篡改。它對重要的信息采用密碼技術(shù)進(jìn)行加密，使它成為一種不可理解的密文。接收方收到密文后再對它進(jìn)行解密，將密文還原成原來可理解的形式。目前，普遍采用的技術(shù)有：SSL安全協(xié)議、數(shù)字摘要、數(shù)字時間戳、數(shù)字證書等。

6．?dāng)?shù)據(jù)備份與恢復(fù)技術(shù)

任何的安全防御技術(shù)都不是百分百的安全，對于重要的數(shù)據(jù)要做到及時備份，這樣才能在發(fā)生系統(tǒng)硬件故障、軟件錯誤、人為失誤、計算機(jī)病毒或自然災(zāi)害等破壞數(shù)據(jù)完整時起到數(shù)據(jù)的保護(hù)和恢復(fù)作用，將損失降到最低。

（二）管理措施方面

網(wǎng)站安全問題不僅是技術(shù)性問題，還是管理方面的問題。電子商務(wù)網(wǎng)站的安全無論采用多么高級的安全技術(shù)，網(wǎng)站安全問題仍時常會發(fā)生，因此還需加強(qiáng)電子商務(wù)網(wǎng)站安全管理。它包括網(wǎng)站員工的管理、設(shè)備管理、應(yīng)急措施以及網(wǎng)站的日常維護(hù)和管理。保證員工不泄露密碼或是將網(wǎng)站的機(jī)密隨意發(fā)布，不訪問非法網(wǎng)站，不輕易下載和安裝程序，對員工進(jìn)行業(yè)務(wù)培訓(xùn)，提高操作水平；對于網(wǎng)站的設(shè)備能做到防火、防盜、防磁、防水以及故障排除，并能實時的進(jìn)行數(shù)據(jù)備份與恢復(fù)，保證電子商務(wù)網(wǎng)站的繼續(xù)運行或緊急恢復(fù)。

四、結(jié)束語

計算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的發(fā)展，使得電子商務(wù)不斷進(jìn)步，電子交易的手段更加多樣化，安全問題就更加突出和重要。電子商務(wù)網(wǎng)站的安全是一個復(fù)雜的工程，不僅安全技術(shù)需要提高，還要加強(qiáng)網(wǎng)站安全管理，所以必須綜合運用這些安全措施。隨著我國對電子商務(wù)重視程度的加深，電子商務(wù)網(wǎng)站必將會逐步走上健康、安全、有保障的發(fā)展道路。

《網(wǎng)站建設(shè)與管理》課程論文

淺談電子商務(wù)網(wǎng)站的安全問題及應(yīng)對措施

參考文獻(xiàn)：

[1] 陳兵，網(wǎng)絡(luò)安全與電子商務(wù)[M]，北京：北京大學(xué)出版社，2006。[2] 李大軍，電子商務(wù)[M]，北京：清華大學(xué)出版社，2002。

[3] 孫博，電子商務(wù)網(wǎng)站管理與維護(hù)[M]，北京：北京郵電大學(xué)出版社，2008。[4] 管有慶，王曉軍，電子商務(wù)安全技術(shù)[M]，北京：北京郵電大學(xué)出版社，2006。[5] 劉曉宇，電子商務(wù)網(wǎng)站的安全分析[J]，天津職業(yè)院校聯(lián)合學(xué)報，2008（2）：12-15。