❶ 電子商務中常見的網路安全問題有哪些
電子商務中的網路安全問題:
防火牆技術:防火牆(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網路之間的訪問控制,防止外部網路進入內部網路;
加密技術:數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防範策略。數據加密就是按照確定的密碼演算法將敏感的明文數據變換成難以識別的密文數據;
數字簽名技術:數字簽名(DigitalSignature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術;
數字時間戳技術:在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。
電子商務中存在以下安全威脅:
1.黑客攻擊
黑客攻擊是指黑客非法進入網路,非法使用網路資源。隨著互聯網的發展,黑客攻擊也是經常發生,防不勝防,黑客利用網上的任何漏洞和缺陷修改網頁、非法進入主機、竊取信息等進行相關危害活動。2003年,僅美國國防部的"五角大樓"就受到了了230萬次對其網路的嘗試性攻擊。從這里可以看出,目前黑客攻擊已成為了電子商務中計算機網路的重要安全威脅。
2.計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行,具有傳染性的一段程序。隨著互聯網的發展,病毒利用互聯網,使得病毒的傳播速度大大加快,它侵入網路,破壞資源,成為了電子商務中計算機網路的又一重要安全威脅。
3.拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是一個用戶採用某種手段故意佔用大量的網路資源,使系統沒有剩餘資源為其他用戶提供服務的攻擊。目前具有代表性的拒絕服務攻擊手段包括SYNflood、ICMPflood、UDPflood等。隨著互聯網的發展,拒絕服務攻擊成為了網路安全中的重要威脅。
❷ 電子商務中為了防止黑客攻擊伺服器所採用的關鍵技術是什麼
電子商務中為了防止黑客攻擊伺服器所採用的關鍵技術是防火牆,因為內目前許多企業的內部網(容Intranet)通常與Internet互連在一起,但如果沒有經過企業的許可,外面的用戶不能夠進人企業網進行訪問。但是,在安全措施不得力的情況下,有的未經授權的非法用戶會想辦法竄入企業內部網,這就是所謂的「黑客」侵擾。有的「黑客」甚至會登錄企業內部的核心伺服器,給企業的信息系統安全造成極大的危害。為了防止「黑客」的人侵,目前技術上一般採用設置防火牆的辦法,在企業內部網和Internet之間設置一道「有孔的牆」,只有那些經過授權的合法用戶才能進入企業內部網路。
❸ 關於電子商務中的身份認證,怎麼防範黑客之類的入侵者
電子商務源於英文ELECTRONIC
COMMERCE,指的是利用簡單、快捷、低成本的電子通訊方式,買賣雙方不謀面地進行各種商貿活動。隨著電子商務的普及,人們已經習慣於網上購物,網上
銀行和電子支付等新興事物,然而網路安全始終是制約電子商務發展的一個主要瓶頸。
一、電子商務的身份認證
在
電子商務活動中,由於所有的個人和交易信息要在一個開放的網路(如Internet)進行傳輸和交換,故我們需要身份認證技術去驗證客戶的身份。身份認證
一般基於客戶擁有什麼(如令牌,智能卡或者ID卡),客戶知道什麼(如靜態密碼),客戶有什麼特徵(如指紋,虹膜和腦電波等)。國內外常見身份認證技術包
括:用戶名/密碼方式 、IC卡認證、USB
Key認證和生物特徵認證等。隨著網路和黑客技術的發展,用戶名/密碼方式認證已經被證明是不安全的。由於靜態的密碼方案不能抵禦重放攻擊,字典攻擊且密
碼容易忘記,
所以其安全性是很低的,不能滿足電子商務中身份認證的要求。目前國內外的一些較成熟的身份認證技術,基本上是用硬體來實現的(如IC卡和USB
Key認證技術等)。
二、各種身份認證技術的比較
1.
靜態的用戶名和口令方案。在眾多的身份認證方案中,靜態的用戶名和口令方案至今仍是使用最廣泛的方案,特別是針對那些安全性要求不強的應用場合,如論
壇,BBS和電子信箱。目前公司和個人受到網路攻擊的主要原因是靜態密碼政策管理不善。大多數用戶使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡
單的密碼。有86%的用戶在所有網站上使用的都是同一個密碼或者有限的幾個密碼。最近一次全國性安全事件發生在2011年12月。當時CSDN的安全系統
遭到黑客攻擊,600萬用戶的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶登錄名和密碼後,再用這個密碼嘗試登錄注冊郵箱,如果成功則利用很
多網站常用的密碼取回功能得到了該用戶的其他關聯網站的賬號和密碼。總而言之,靜態密碼身份認證方案的優點是實施成本低,不需要購置特殊的設備,用戶體驗
性好,但其安全性較低。
2.
客戶證書USBKey(U盾)方案。從技術角度看,客戶證書USBKey是用於網上銀行電子簽名和數字認證的工具,它內置微型智能卡處理器,採用1024
位非對稱密鑰演算法對網上數據進行加密、解密和數字簽名,確保網上交易的保密性、真實性、完整性和不可否認性。目前國內幾大商業銀行,如工商銀行、農業銀行
和交通銀行等都採用了USBKey方案。網路黑客即使知道了客戶的登錄密碼和支付密碼,但如果沒有USBKey在手,黑客還是不能夠從你的帳戶轉出一分
錢。故這種身份認證方式可以很好地避免賬號、密碼被盜等可能出現的風險。USBKey方案的優點是安全性很強,但由於涉及到了硬體故其成本較高,且
USBKey使用前需要先安裝驅動。對於一些常常出差或者需要在不同機器上使用USBKey的客戶來說,由於計算機各種操作系統(如Windows和
Linux)和硬體(各種不同品牌機器)的差異性,可能在安裝時會遇到一些兼容性問題,這大大減低了用戶的體驗滿意度。
3.
簡訊認證方案。目前一些大型電子商務網站往往採取「靜態密碼+簡訊認證」方案。該類系統使用數字物理雜訊源產生完全隨機變化的動態(驗證)密碼,並通過無
線通信方式將該動態密碼發送到用戶的無線通信終端(尋呼機或行動電話等)
上。譬如支付寶網站在用戶支付小額金額時只需輸入支付密碼,但額度如果超過一定額度(如200元),則支付寶網站向用戶手機(注冊時登記的號碼)發一條驗
證簡訊,然後用戶在網站上輸入6位的手機驗證碼和支付密碼後才能完成付款。採用這種身份認證方式的優點是既保證了小額支付的快捷性,又保證了大額支付的安
全性。但由於該認證系統的實時性和穩定性在很大的程度上依賴於無線通信網的狀態,當網路出現擁塞時將導致驗證密碼傳輸會有較大的時延,甚至將使系統無法正
常完成身份認證過程,而且由於簡訊的發送會產生大量的簡訊費用,對中小型電子商務網站來說仍然是不小的開銷。
4.
動態口令認證方案。動態口令又稱為一次性口令OTP(One-Time-Password),其特點是用戶根據服務商提供的動態口令令牌的顯示數字來輸入
動態口令,而且每個登錄伺服器的口令只使用一次,竊聽者無法用竊聽到的登錄口令來做下一次登錄,同時利用單向散列函數(如
Sha-1演算法等)的不可逆性,防止竊聽者從竊聽到的登錄口令推出下一次登錄口令。中國銀行就是採用了動態口令認證方案。該方案的特點使用簡單,用戶無須
安裝任何驅動,操作時只需輸入當前顯示的6位動態口令即可。其不足之處是安全性沒有USBKey強,如在2011年上半年,全國各地出現了多起中國銀行動
態口令泄露安全事件。黑客們首先設計了多個釣魚網站,然後引誘中銀用戶輸入登錄密碼和動態口令。動態口令雖然為一次性口令,但其在60秒之內是可反復使用
的。故黑客得到了用戶的登錄密碼和動態口令之後,只要在1分鍾內登錄進真正的中銀系統後就可以完成轉賬等竊取用戶資金的操作了。
再參考http://wenku..com/view/6f54036925c52cc58bd6be2f.html 你就完全知道了
現在最多使用的是CA和數字證書兩種技術
❹ 電子商務網站被黑客攻擊的標志是什麼
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛馬檢測工具!
序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用
SQL的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯,安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是否有異常,以及查看是否有異常的賬號。
網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。
網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢,您否也因為不太了解網站技術的問題而耽誤了網站的運營,您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。
❺ 電子商務的安全風險有哪些
客戶來面臨的風險
客戶面臨的風險是指客源戶一方的私有信息被盜用或破壞的可能性。例如:客戶的賬號及密碼、信用卡信息、客戶計算機系統及數據等。
銷售商面臨的風險
在電子商務中,銷售商面臨的風險主要有三方面,即假客戶、被封鎖服務和數據被竊。
企業自身面臨的風險
(1)人為製造的災難包括計算機病毒和硬體設備的人為破壞。
(2)企業內部網的風險。據統計,對網路系統的攻擊有85%是來自企業內部的黑客。
(3)企業與其他企業進行商務活動時的風險。企業在與其他企業進行商務合作或競爭時,其他企業可能利用非法手段竊取該企業的文件或數據。其中的風險為:傳輸中數據的被盜、企業計算機上的數據及文件的被盜。
電子商務在網路上的運行還不夠規范
對於網上的稅收、合同以及保險等方面都存在著不規范的現象,在加之法律在網路上的不健全,這些都制約著電子商務在網路的發展。
❻ 電子商務安全是指什麼
簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域,包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在:
信息的機密性:密碼技術
信息的完整性:散列函數
數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異;
數據傳輸過程中的信息丟失、重復、差異;
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得,包括兩方面:
數據傳輸的完整性
完整性檢查、上下文檢查:內容的差異和語法規則
信息的有效性:電子文檔的法律確認
認證性:身份確認
信息的不可抵賴性:數字簽名
不可修改性:完整性
部分告知:交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等
電子商務安全技術主要有:
密碼技術
加密技術是保證電子商務安全的重要手段,是信息安全的核心。
密鑰管理技術
最棘手的問題:分發和存儲
數字簽名:公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等
❼ 電子商務所面臨著哪些安全問題
(一)計算機網路安全威脅
電子商務包含"三流":信息流、資金流、物流,"三流"中以信息流為核心為最重要,電子商務正是通過信息流為帶動資金流、物流的完成。電子商務跟傳統商務的最重要的區別就是以計算機網路來傳遞信息,促進信息流的完成。計算機網路的安全必將影響電子商務中的"信息流"的傳遞,勢必影響電子商務的開展。計算機網路存在以下安全威脅:
1、黑客攻擊
黑客攻擊是指黑客非法進入網路,非法使用網路資源。隨著互聯網的發展,黑客攻擊也是經常發生,防不勝防,黑客利用網上的任何漏洞和缺陷修改網頁、非法進入主機、竊取信息等進行相關危害活動。2003年,僅美國國防部的"五角大樓"就受到了了230萬次對其網路的嘗試性攻擊。從這里可以看出,目前黑客攻擊已成為了電子商務中計算機網路的重要安全威脅。
2、計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行,具有傳染性的一段程序。隨著互聯網的發展,病毒利用互聯網,使得病毒的傳播速度大大加快,它侵入網路,破壞資源,成為了電子商務中計算機網路的又一重要安全威脅。
3、拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是一個用戶採用某種手段故意佔用大量的網路資源,使系統沒有剩餘資源為其他用戶提供服務的攻擊。目前具有代表性的拒絕服務攻擊手段包括SYNflood、ICMPflood、UDPflood等。隨著互聯網的發展,拒絕服務攻擊成為了網路安全中的重要威脅。
(二)商務交易安全威脅
把傳統的商務活動在Internet上進行,由於Internet本身的特點,存在著很多安全威脅,給電子商務帶來了安全問題。Internet的產生源於計算機資源共享的需求,具有很好的開放性,但正是由子它的開放性,使它產生了更嚴重的安全問題。Internet存在以下安全隱患:
1、開放性
開放性和資源共享是Internet最大的特點,但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2、缺乏安全機制的傳輸協議
TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
3、軟體系統的漏洞
隨著軟體系統規模的不斷增大,系統中的安全漏洞或"後門"也不可避免的存在。如cookie程序、JAVA應用程序、IE瀏覽器等這些軟體與程序都有可能給我們開展電子商務帶來安全威脅。
4、信息電子化
電子化信息的固有弱點就是缺乏可信度,電子信息是否正確完整是很難由信息本身鑒別的,而且在Internet傳遞電子信息,存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1、信息泄露
在電子商務中表現為商業機密的泄露,以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏,主要包括兩個方面:(1)交易一方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件第三方非法使用。
2、篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患,電子的交易信息在網路上傳輸的過程中,可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用),這樣就使信息失去了真實性和完整性。
3、身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易,雙方互不見面、互不認識,計算機網路的安全威脅與Internet的安全隱患,也可能使得電子商務交易中出現身交易身份偽造的問題。
4、信息破壞
計算機網路本身容易遭到一些惡意程序的破壞,如計算機病毒、特洛伊木馬程序、邏輯炸彈等,導致電子商務中的信息在傳遞過程被破壞。
5、破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息,這些信息我們也必須保證它的時間的有效與本身信息的有效,必須能確認該信息確是由交易一方簽發的,計算機網路安全威脅與Internet的安全隱患,使得我們很難保證電子商務中的信息有效性。
6、泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息,計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露,破壞到個人隱私。
❽ 電子商務交易的安全威脅有哪些
1、國家、行業的限制性政策
2、計算機技術層面的軟硬體隱患
3、對手的惡意攻擊
4、黑客的不定期光臨
5、網路提供商的服務風險
❾ 電子商務中為了防止黑客攻擊伺服器所採用的關鍵技術是
首先要在伺服器抄公布於網路襲前對伺服器的文件及訪問設置許可權或加密
並安裝硬體防火牆(如果夠資金的話)。隨後當然就是伺服器的日常維護,必須要有專人24小時看護,出現異常現象第一時間進行處理,並定期對數據備份,!注意不要在本機上備份,要備份到其他伺服器或電腦或移動硬碟上
最好不要是和伺服器在同一個內網的電腦,現在的黑客是很聰明的,什麼「洞」都鑽的呵呵
當然可能的話請個安全顧問吧。找個黑客聯盟做安全顧問是最好的辦法