電子商務企業安全問題分析

㈠ 如何保證電子商務的安全問題的探討

電子商務安全技術的分析與研究

[摘 要] 本文首先介紹了電子商務安全的現狀，分析了存在的主要問題，然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術，並提出了一個合理的電子商務安全體系架構。

[關鍵詞] 電子商務電子支付 安全技術

一、引言
隨著網路技術和信息技術的飛速發展，電子商務得到了越來越廣泛的應用，越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機，也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的，大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞，在這樣的情況下，安全性問題成為首要問題。

二、目前電子商務存在的安全性問題
1.網路協議安全性問題：目前，TCP/IP協議是應用最廣泛的網路協議，但由於TCP/IP本身的開放性特點，企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。
2.用戶信息安全性問題：目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站，用戶使用瀏覽器登錄網路進行交易，由於用戶在登錄時使用的可能是公共計算機，如網吧、辦公室的計算機等情況，那麼如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題：有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患，伺服器操作系統本身也會有漏洞，不法攻擊者如果進入電子商務網站，大量用戶信息及交易信息將被竊取，給企業和用戶造成難以估量的損失。

三、電子商務安全性要求
1.服務的有效性要求：電子商務系統應能防止服務失敗情況的發生，預防由於網路故障和病毒發作等因素產生的系統停止服務等情況，保證交易數據能准確快速的傳送。
2.交易信息的保密性要求：電子商務系統應對用戶所傳送的信息進行有效的加密，防止因信息被截取破譯，同時要防止信息被越權訪問。
3.數據完整性要求：數字完整性是指在數據處理過程中，原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正，交易的文件是不可被修改的，否則必然會損害一方的商業利益。
4.身份認證的要求：電子商務系統應提供安全有效的身份認證機制，確保交易雙方的信息都是合法有效的，以免發生交易糾紛時提供法律依據。

㈡ 從事電子商務的企業受過那些安全威脅，它是如何應對的

一、NGN安全問題的引出
隨著信息產業的發展，信息技術逐漸主導國民經濟和社會的發展。世界各國都在積極應對信息化的挑戰和機遇。信息化、網路化正在全球范圍內形成一場新的技術、產業和社會革命。要發展信息化，就必須重視信息網路安全，它絕不僅是IT行業問題，而是一個社會問題以及包括多學科系統安全工程問題，它直接關繫到國家安全。因此，知名安全專家沈昌祥院士呼籲要像重視兩彈一星那樣去重視信息安全問題。NGN作為下一代通信網路，是未來信息傳遞的主要載體。網路安全事關國家經濟、政治、文化、國防，因此在NGN研究中安全將是最重要的課題之一。
1.NGN安全相關經濟領域：隨著我國網上銀行的建設、電子商務的發展，無數財富將以比特的形式在網路上傳輸。

2.NGN安全相關文化領域：當前網上聊天已成為一種重要溝通手段，生存在網路中的虛擬社會已成為人們的第二生活方式，網路已成為繼報刊雜志、廣播和電影電視後的重要媒體。

3.NGN安全相關政府職能：當前我國正在大量建設電子政務網，也就是政府職能上網，在網上建立一個虛擬的政府，實現政府的部分職能性工作。

4.NGN安全相關國防：隨著軍事國防信息化的進展，信息對抗已成為戰爭的一部分。大量的信息都可能在網路上傳輸。除泄密可能外，網路安全問題還可能導致指揮系統的癱瘓。

5.NGN安全相關國家重要基礎設施：大多數國家重要基礎設施都依賴網路。網路癱瘓可能造成電網故障、機場封閉、鐵路停運等問題，進而引發更多更嚴重的問題。

二、NGN面臨的安全威脅
就目前通信網路現狀而言，NGN可能面臨如下安全威脅。

1.電磁安全：隨著偵聽技術的發展以及計算機處理能力的增強，電磁輻射可能引發安全問題。

2.設備安全：當前設備容量越來越大，技術越來越復雜，復雜的技術和設備更容易發生安全問題。

3.鏈路安全：通信光纜電纜敷設規范性有所下降。在長江、黃河、淮河等幾條大江大河上布放光纜時，基本都敷設並集中在鐵路橋（或公路橋）上，可能出現「橋毀纜斷」通信中斷的嚴重局面。

4.通信基礎設施過於集中：國內幾個主要運營商在省會城市的長途通信局（站）採用綜合樓方式，在發生地震火災等突發事件時，極易產生通信大規模中斷的局面。

5.信令網安全：傳統電話網路的信令網曾經是一個封閉的網路，相對安全。然而隨著軟交換等技術的引入，信令網逐漸走向開放，增加了安全隱患。

6.同步外安全：同步網路是當前SDH傳輸網路以及CDMA網路正常運行的重要保障。當前大量網路包括CDMA等主要依賴GPS系統。如GPS系統出現問題將對現有網路造成不可估量的損失。

7.網路遭受戰爭、自然災害：在網路遭受戰爭或自然災害時，網路節點可能會遭受毀滅性打擊，導致鏈路大量中斷。

8.網路被流量沖擊：當網路受到流量沖擊時，可能產生雪崩效應，網路性能急劇下降甚至停止服務。網路流量沖擊可能因突發事件引起，也可能是受到惡意攻擊。

9.終端安全：典型的多業務終端是一個計算機，與傳統的專用傻終端例如電話相比，智能終端故障率以及配置難度都大大提高。

10.網路業務安全：多業務網路很少基於物理埠或者線路區分用戶，因此業務被竊取時容易產生糾紛。

11.網路資源安全：多業務網路中，用戶惡意或無意（感染病毒）濫用資源（例如帶寬資源）會嚴重威脅網路正常運行。

12.通信內容安全：網路傳輸的內容可能被非法竊取或被非法使用。

13.有害信息擴散：傳統電信網不負責信息內容是否違法。隨著新業務的開展，對於有害信息通過網路擴散傳播的問題應引起NGN的高度重視。

三、NGN安全問題分析
1.網路多業務影響網路安全

網路提供的多業務以及隨之而來的終端智能化為網路帶來了更多安全隱患。

在傳統電信網路上，大多數網路捆綁單一業務：電話網提供電話業務以及部分補充業務；DDN網路提供點到點數據專線業務；幀中繼網路提供數據專線以及虛擬專用網業務；同步網提供網路同步服務；信令網為電話網提供信令服務；即使是號稱多媒體網路的ATM也基本用作數據專線以及虛擬專用網。大多數用戶終端智能性較低並且與網路信令隔離，因此一般不會影響網路安全。

隨著新業務的出現，新興運營商已不滿足於每個業務建一張網的思路：網路不但需要承載多種業務，還必須在用戶使用同一個接入線路的條件下提供多種業務。為此，網路為識別統一接入線路上的多種業務，不可避免地將部分智能性轉移到終端，IP網路成為承載多業務網路的重要選擇。IP網路是典型的「智能終端傻網路」：網路只負責轉發數據，不參與具體業務流程。IP網路的終端主要是計算機系統，因此用戶設備需要參與到業務流程中。惡意用戶可以使用計算機系統干擾業務流程，甚至發起黑客攻擊使網路癱瘓，這樣的模式嚴重影響了IP網路安全。由於當前分組語音的大量使用，IP網路需要與傳統電話網路互通，IP網路的安全隱患進而會影響傳統電話網路的安全。

2.多運營商競爭影響網路安全

多運營商競爭在開拓通信市場以及增加網路備份的同時也帶來新的安全隱患。我國通信網路歷經了一個從單運營商走向多運營商的過程。在原有郵電部領導中國電信建立通信網路時，網路承載單一業務，支撐網統一設計，業務普遍開展，纜線敷設統一規劃，服務質量全程全網統一設計，電信業務與網路安全性基本滿足當時需求。在當前多運營商競爭環境下，我國網路規模有了極大增長，適應了國民經濟對通信網路的需求，但是也引入了一些對安全不利的因素：由於快速建設的壓力以及缺少網路建設經驗，部分運營商網路建設缺乏技術體制的總體指導，而沒有技術體制指導的網路缺乏全程全網統一考慮，不利於網路安全；出於對投入成本與利潤產出率的考慮，部分運營商在降價吸引客戶以及快速大規模網路建設中忽略網路安全設施與投入；新興運營商運營在建設初期缺乏長期電信運營的經驗與理念，在網路安全方面缺乏重視。雖然六大運營商網路資源總量大於原中國電信，但是當前任何一個運營商都不能像原中國電信那樣擁有如此豐富的資源；六大運營商網路互連互通，但是安全策略、安全管理力度以及安全設施各不相同，容易出現安全隱患；由於惡性競爭的存在，運營商互連互通時還可能造成人為的安全事故。

3.網路規模和設備容量的擴大影響網路安全

網路規模和容量的不斷增加在帶來效益的同時也引起設備的復雜化以及管理的復雜化，隨之而來的便是為網路帶來更多安全隱患。

隨著國民經濟的增長，通信需求不斷擴大。我國電信網路已發展成全球最大固網和移動網路之一，運維如此一個巨大網路沒有先例也沒有參照對象，極有可能出現一些意想不到的安全問題。隨著網路規模的擴大以及設備容量的擴大，設備越來越復雜，不可控因素隨之增加。在一個規模空前的網路上因網管操作失誤、用戶惡意攻擊、故障的不恰當處理等原因引起大量用戶無法正常使用業務則會導致安全事故的發生。而且最新型、大容量的新設備大多是引進產品，至少使用的晶元大多數是國外產品，引進產品、晶元的安全性無法評估，因此也使通信網路安全隱患難以預測。

4.管理比技術更影響網路安全

先進的安全技術和設備會因管理不善而崩潰，完善的管理可以在一定程度上消除技術落後帶來的不利因素。因此就網路安全而言，管理比技術更重要。這里所說的管理並不局限於一般所說的TNM電信網管或者互聯網的簡單網管，還包括管理制度、應急體系、運維規章、人員培訓、密鑰分發、保密制度等方方面面。

在很多情況下通過管理可以輕易解決的問題如果使用純技術方案解決，可能需要付出十倍甚至百倍的努力和成本。例如電話網路號碼資源統一分配，再大規模的程式控制交換機也只需要近百個局向就可以解決電話選路；而在IP地址隨意分配的互聯網路上，骨幹路由器需要保留十萬個以上的路由表條目才能保證IP包的正常選路，由此帶來的協議和設備的復雜性為網路帶來了極大的安全隱患。而網路完善的管理機制便可以更有效地保障網路安全。

網路內部的安全審計與對網路外部內容的過濾一樣重要。內部人員的安全意識和安全管理的重要性一點也不亞於使用復雜昂貴的防火牆設備。此外任何安全技術最終都會落實到人，再安全的操作系統也會需要管理人員來實現；再復雜的安全設備也需要人來維護；[WL2]再精密的加密演算法和加密機制也不能防範密鑰泄漏或設置簡單密碼。

5.新技術新業務新運營模式影響網路安全

新技術、新業務帶來新的運營模式，在建立新的價值鏈的同時也帶來新的安全隱患。

隨著IP網路的普遍應用，信息機密性、完整性和不可否認性成為網路安全的重要內容；隨著分組語音業務的開展，電信運營商必須關注來自IP網路的來源追查；隨著軟終端的出現，運營商必須從基於埠認證與計費擴展到基於用戶標識認證和計費；隨著簡訊業務的爆炸性發展，移動運營商必須關注惡意發送以及簡訊詐騙；隨著電子郵件業務的開展，運營商必須關注垃圾郵件；隨著BBS的廣泛使用以及巨大的影響力，BBS的管理與監管已迫在眉睫。因此新技術新業務和新運營模式在為運營商帶來增長點的同時，也為網路帶來了安全上的不確定性。

6.IP技術的使用影響網路安全

IP技術的使用一方面為產業帶來新業務、新活力，另一方面為網路帶來新的安全隱患。當前IP技術應用廣泛，但IP並不是一個完美的網路層技術，也存在服務質量、安全、運營模式等問題，其中安全問題一直是最受關注的問題之一。IP網路的安全問題部分是因為計算機網路設計理念與電信網路設計理念有差異：計算機網路中不是問題的問題在電信網路中卻成為嚴重問題；另一方面是因為IP網路在電信中使用缺乏運維管理的經驗和手段。由於IP網路不能有效地對源地址進行檢驗，用戶終端可以偽造源地址對網路發起流量沖擊進而影響控制層面。

四、NGN安全威脅應對原則
面對上述以及未來可能出現的未知的安全威脅，首先應明確如下應對原則：

1.安全不是絕對的，安全威脅永遠存在。

安全不是一種穩定的狀態，永遠不能認為採用了怎樣的安全措施就能到達安全狀態。首先,付出資源、管理代價可以增加安全性，但是無論多少代價也不能達到永遠、絕對的安全。其次，安全是一個不穩定的狀態，隨著新技術的出現以及時間的推移，原本相對安全的措施和技術也會變得相對不安全。第三，安全技術和管理措施是有針對性、有范圍的，通常只對已知或所假想的安全威脅有效。安全技術和安全管理措施不確保對未知或未預想的安全威脅生效。

2.安全應作為基礎研究，需要長期努力。

NGN安全研究范圍廣泛，包括法律法規、技術標准、管理措施、網路規劃、網路設計、設備可靠性、業務特性、商業模式、纜線埋放、加密強度、加密演算法、有害信息定義等大量領域。因此安全研究不是一蹴而就，需要長期努力。安全投入本身不能產生直接效益，只能防止和減少因不安全因素而造成的損失。安全研究應當作為一項基礎研究，由國家、運營商和相關企業長期投入，共同努力。

3.安全需要付出代價，安全要求應當適度。

NGN安全是所有人都希望的，但不是所有人都能意識到為達到一定的安全標准所需要付出的代價。為安全付出的代價可能是人力、物力、財力，也可能是降低效率。因此安全要求應當適度，為機密性付出的代價大於因泄密可能受到的損失時該安全要求便意義不大。在日常通話中能保證機密性當然理想，但是如需要增加幾倍的通話費用來增加機密性（機密性通常只能增加，無法絕對確保），相信大多數用戶都無法接受。

4.安全隱患有大有小，應分輕重緩急。

當前NGN上存在大量已知和未知的安全隱患。對於眾多的安全隱患，應當視可能造成的危害以及需要付出的成本，分輕重緩急分別解決。一般來說可能大面積影響網路業務提供的安全隱患應當優先解決，例如影響同步網安全、網路路由協議正常運行的安全隱患等。對於不影響業務正常開展，或者只以較小可能影響少量用戶同時需要資金人員較多的安全隱患例如無線介面用戶數據未加密等可以稍稍延後解決。

5.安全不僅是技術問題，更重要的是管理。

絕大多數安全隱患可以通過技術手段解決，但是安全更重要的是管理。當前技術條件下任何安全技術都是需要人來參與。完善的管理機制能最大程度上防止管理人員有意或無意的增加安全隱患的行為。通常這樣的管理機制是以日誌和審計作後盾，以降低效率作代價。因此沒有完善管理機制的網路不可能是安全的網路。此外一些通過管理可以輕易解決的問題可能需要極其復雜的技術手段才能解決。

6.安全問題有范圍，不是包羅萬象的。

NGN安全有自身的范圍界定，並不是所有的問題都會影響NGN和信息安全。隨意擴展安全研究范圍，將大量與安全無關的課題歸結到NGN與信息安全研究中，可能會失去重點，不利於安全研究與安全隱患的解決。例如傳輸網路設計指標范圍內的誤碼與安全問題無關；同樣IP網路上設計范圍內的丟包率、電話網上掉線率范圍內的掉線等都與NGN安全無關，用戶丟失密碼造成的損失也與網路安全無關。

7.網路安全不僅僅是定性的，還應當定量評估。

當前計算機系統有安全登機評估標准，可以定量評估。長期以來，通信網路主要提供話音服務，對話音自身的信息安全以及內容是否合法並不關心。因此主要採用業務可用性以及設備可靠性來體現網路安全。但是當前通信網路支撐著國家重要安全設施的正常運行，因此網路安全有必要定量評估並劃分等級。不同的網路應用應當有最低安全等級要求。對所有通信都提供最高安全等級固然很好，但是為此付出幾倍甚至幾十倍的成本顯然不是公眾和運營商所期望的。

8.不同網路上關注的安全問題應當各有側重。

傳統電信網路主要提供專線型的數據傳輸以及點到點的話音業務。因此傳統電信網主要關注的是網路自身的安全以及網路服務的安全。而互聯網是為教育科研網路設計，服務可控性較差，並缺乏有效的商業模式，且其所具有的可大量傳遞數據信息並開展BBS以及點到多點、匿名發送等業務的特性也決定了互聯網應更關注服務可控性以及網路上的信息安全。

㈢ 企業電子商務安全問題有哪些

什麼是電子商務安全?

【論文摘要】安全是電子商務健康發展的關鍵因素，電子商務系統安全的問題是電子商務活動中的重要保障。本文主要介紹電子商務系統中的安全問題、網路安全技術、密碼技術基礎知識與信息認證技術、電子商務安全體系與安全交易標准。

【關鍵詞】電子商務安全、網路安全技術、密碼技術

一、計算機網路面臨的安全性威脅主要給電子商務帶來了一下的安全問題：

1、信息泄露
（1）交易雙方的內容被第三方竊取
（2）交易一方提供給另一方使用的文件被第三方非法使用。

2、篡改
電子交易信息在網路上傳輸的過程中，可能被他人非法地修改、刪除或重放，失去了真實性和完整性。

3、身份識別

4、信息破壞
（1）網路傳輸的可靠性；
（2）惡意破壞。

二、 網路安全技術：
主要是從防火牆技術及路由技術等方面來闡述網路安全的一些特點。

1、防火牆技術
「防火牆」是一種形象的說法, 其實它是一種由計算機硬體和軟體的組合, 使互聯網與內部網之間建立起一個安全網關( scurity gateway),從而保護內部網免受非法用戶的侵入。 所謂防火牆就是一個把互聯網與內部網隔開的屏障。
防火牆有二類, 標准防火牆和雙家網關。標准防火牆系統包括一個UNIX工作站, 該工作站的兩端各接一個路由器進行緩沖。其中一個路由器的介面是外部世界, 即公用網; 另一個則聯接內部網。標准防火牆使用專門的軟體,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。雙家網關(al home gateway) 則是標准防火牆的擴充,又稱堡壘主機(bation host) 或應用層網關(applications layer gateway), 它是一個單個的系統, 但卻能同時完成標准防火牆的所有功能。其優點是能運行更復雜的應用, 同時防止在互聯網和內部系統之間建立的任何直接的邊疆, 可以確保數據包不能直接從外部網路到達內部網路,反之亦然。
隨著防火牆技術的進步, 雙家網關的基礎上又演化出兩種防火牆配置, 一種是隱蔽主機網關, 另一種是隱蔽智能網關( 隱蔽子網)。隱蔽主機網關是當前一種常見的防火牆配置。顧名思義,這種配置一方面將路由器進行隱蔽, 另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上, 通過路由器的配置, 使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最商的防火牆是隱蔽智能網關, 它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問者對專用網路的非法訪問。一般來說, 這種防火牆是最不容易被破壞的。

2、電子商務所涉及的安全技術
（一）、訪問控制技術
訪問控制是指對網路中的某些資源的訪問要進行控制，只有被授予特權的用戶才有資格並有可能去訪問有關的數據或程序。
（二）、密碼技術
保證電子商務安全的最重要的一點就是使用面膜技術對敏感的信息進行加密，如密鑰加密（如3DES、IDEA、RC4和RC5）和公鑰加密（如RSA、SEEK、PGP、EU）可用來保證電子商務的保密性、完整性、真實性和不可否認服務。
（三）、數字認證技術
數字認證也稱數字簽名，即用電子方式來證明信息發送者和接收者的身份、文件的完整性，甚至數據媒體的有效性（如錄音、照片等）。
（四）、密鑰管理技術
對稱加密時基於共同保守秘密來實現。採用對稱加密技術的貿易栓放必須要保證採用的是相同的密鑰，要保證彼此密鑰的交換時安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。
（五）、CA技術
所謂認知結構體系是指一些不直接從電子商務貿易中獲利的受法律承認的可信任的權威機構，負責發放和管理電子證書，使網上通信的各方互相確認身份。

三、密碼技術基礎知識與信息認證技術

採用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種：
（1）公共密鑰和私用密鑰（public key and private key）
這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密後發給該用戶，而一旦信息加密後只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。

㈣ 電子商務企業中最大的安全隱患是什麼應該如何解決

在互聯網上的電子商務交易過程中，最核心和關鍵的向題就是交易的安全性，由於Internet本身的開放性；使網上交易面臨著種種危險：使用者擔心在網路上傳輸信用卡及個人資料被截取；或是不幸遇到「黑店」，信用卡資料不被運用；另一方面，特約商店也擔心收到的是被盜用的信用卡號碼，或是交易不認帳等等。還有可能因網路不穩定（假設網路斷線了），或是應用軟體設計不良導致被黑客侵入所引發的損失，在消費者、特約商店、甚至與金融單位之間，究竟權責如何理清？再者，每一家電子商場或商店的支付系統所使用的安全控管都不盡相同，也造成使用者有無所適從之感。一般說來電子商務安全中普遍存在著以下幾種安全隱患：

◆ 竊取信息

由於未採用加密措施，數據機之間的信息以明文形式傳送，入侵者使用相同的數據機就可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

◆ 篡改信息

當人侵者掌握了信息的格式和規律之後，通過各種方式，在原網路的數據機之間增加兩個相同類型的數據機，將通過的數據在中間修改，然後發向另一端。這種方法並不新鮮，在一個路由器或者網關上都可以做這種工作

◆ 假冒

由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶及送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

◆ 惡意玻壞

由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入兩邊的網路內部，其後果是非常嚴重的。

因此，電子商務的安全交易主要保證以下四個方面：

(1)、信息保密性交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此次信息傳播中一般均有加密的要求。

(2)、交易者身份的確定性。

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。

(3)、不可否認性

由於商情的千變萬億，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能只認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

(4)、不可修改性

交易的文件是不可被修改的，加上例所舉的訂購黃金。收單方在收到訂單後，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那麼訂貨方可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

3、 電子商務中的安全措施

在早期的電子交易中，曾採用過一些簡易的安全措施。包括：

(1)、部分告知（Partial Order）：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然後再用電話告之，以訪泄密。

(2)、另行確認（Order Confirmation）：即當在網上傳輸交易信息之後，應再用電子郵件對交易作確認，才認為有效；

除了以上兩種，還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。

近年來，針電子交易安全的要求，IT業界與金融行業一起，推出不少有效的安全交易標准。主要有：

(l)、安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。

(2)、安全套接層協議（SSL：Secure Sockets Layer）:由Netscape公司提出的安全交易協議, 提供加密、認證服務和報文完整性。SSL被用於Netscape Communicator 和 Microsoft IE 瀏覽器，用以完成需要的安全交易操作。

(3)、安全交易技術協議（STT：Secure Transaction Technology) ：由Microsoft 公司提出，STT 將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft 在 Internet Explorer 中採用這一技術。

(4)、安全電子交易協議（SET: Secure Electronic Transaction）：1996年6月，由IBM 、MasterCard International 、Visa International 、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 共同制定的標准 SET正式公告，並於 1997年5月底發布了SET Specification Version 1.0 ，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。關於 SET 的具體情況，將會在下文中詳細介紹。

所有這些安全交易標准中、「安全電子交易」 SET（Secure Electronic Transaction）標准以推廣利用信用卡支付網上交易而廣受各界矚目，它將成為網上交易安全通訊協定的產業標准，有望進一步推動Internet 上電子商業市場

㈤ 電子商務中存在的安全問題有哪些

1. 商業模式缺乏創新
   

2. 企業信息化水平較低

3. 社會信用體系尚未形成

4. 電子商務高級人才匱乏

5. 電子商務政策法規不健全

6. 電子商務支撐體系還不完善‍

   
   

㈥ 電子商務安全威脅及防範措施分別是什麼

1、未進行操作系統相關安全配置

不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。

2、未進行CGI程序代碼審計

如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

3、拒絕服務（DoS，DenialofService）攻擊

隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

4、安全產品使用不當

雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

5、缺少嚴格的網路安全管理制度

網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

6、竊取信息

由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

7、篡改信息

當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。

8、假冒

由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

9、惡意破壞

由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。

安全對策

1、保護網路安全。

保護網路安全的主要措施如下：全面規劃網路平台的安全策略，制定網路安全的管理措施，使用防火牆，盡可能記錄網路上的一切活動，注意對網路設備的物理保護，檢驗網路平台系統的脆弱性，建立可靠的識別和鑒別機制。

2、保護應用安全。

應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

3、保護系統安全。

在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付網關軟體等，檢查和確認未知的安全漏洞。技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

4、加密技術

加密技術為電子商務採取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

5、認證技術。

用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。包括數字簽名、數字證書。

6、電子商務的安全協議。

電子商務的運行還有一套完整的安全協議，有SET、SSL等。

(6)電子商務企業安全問題分析擴展閱讀

從電子商務的含義及發展歷程可以看出電子商務具有如下基本特徵：

1、普遍性。電子商務作為一種新型的交易方式，將生產企業、流通企業以及消費者和政府帶入了一個網路經濟、數字化生存的新天地。

2、方便性。在電子商務環境中，人們不再受地域的限制，客戶能以非常簡捷的方式完成過去較為繁雜的商業活動。如通過網路銀行能夠全天候地存取賬戶資金、查詢信息等，同時使企業對客戶的服務質量得以大大提高。在電子商務商業活動中，有大量的人脈資源開發和溝通，從業時間靈活，完成公司要求，有錢有閑。

3、整體性。電子商務能夠規范事務處理的工作流程，將人工操作和電子信息處理集成為一個不可分割的整體，這樣不僅能提高人力和物力的利用率，也可以提高系統運行的嚴密性。

4、安全性。在電子商務中，安全性為一個至關重要的核心問題，它要求網路能提供一種端到端的安全解決方案，如加密機制、簽名機制、安全管理、存取控制、防火牆、防病毒保護等等，這與傳統的商務活動有著很大的不同。

5、協調性。商業活動本身為一種協調過程，它需要客戶與公司內部、生產商、批發商、零售商間的協調。在電子商務環境中，它更要求銀行、配送中心、通信部門、技術服務等多個部門的通力協作，電子商務的全過程往往是一氣呵成的。

㈦ B2B企業電子商務安全問題分析

1．網路安全
1.1 網路安全問題
一般來說， 計算機網路安全問題是計算機系統本身存在的
漏洞和其他人為因素構成了計算機網路的潛在威脅。
一方面， 計算機系統硬體和通信設施極易遭受自然環境的
影響 （如溫度、 濕度、 電磁場等）以及自然災害和人為 （包括故
意破壞和非故意破壞）的物理破壞。
另一方面計算機內的軟體資源和數據易受到非法的竊取、
復制、 篡改和毀壞等攻擊。
同時計算機系統的硬體、 軟體的自然損耗等同樣會影響系
統的正常工作， 造成計算機網路系統內信息的損壞、 丟失和安
全事故。1.2 網路安全體系
一個全方位的計算機網路安全體系結構包含網路的物理
安全、 訪問控制安全、 系統安全、 用戶安全、 信息加密、 安全傳
輸和管理安全等。充分利用各種先進的主機安全技術、 身份
認證技術、 訪問控制技術、 密碼技術、 防火牆技術、 安全審計技
術、 安全管理技術、 系統漏洞檢測技術、 黑客跟蹤技術， 在攻擊
者和受保護的資源間建立多道嚴密的安全防線， 極大地增加
了惡意攻擊的難度， 並增加了審核信息的數量， 利用這些審核
信息可以跟蹤入侵者。
對敏感的設備和數據要建立必要的物理或邏輯隔離措施；
對在公共網路上傳輸的敏感信息要進行強度的數據加密； 安裝
防病毒軟體， 加強內部網的整體防病毒措施； 建立詳細的安全
審計日誌， 以便檢測並跟蹤入侵攻擊等， 這都是常採取的措施。
2．企業商務安全
從安全和信任關系來看， 在傳統交易過程中， 買賣雙方是
面對面的， 因此很容易保證交易過程的安全性和建立起信任
關系。但在電子商務過程中， 建立交易雙方的安全和信任關
系相當困難。
2.1 企業面臨的安全威脅
企業面臨的安全威脅主要有個方面。
（1）中央系統安全性被破壞： 入侵者假冒成合法用戶來
改變用戶數據(如， 商品送達地方)、 解除用戶訂單或生成虛
假訂單等。
（2） 競爭者檢索商品遞送狀況： 惡意競爭者以他人名義來訂
購商品， 從而了解有關商品的 遞送狀況及貨物和庫存情況。
（3）客戶資料被競爭者獲悉。
（4） 被他人假冒而損害公司的信譽現象： 不誠實的人建立與
銷售者伺服器名字相同的另一個 WWW 伺服器來假冒銷售者。
（5）消費者提交訂單後不付款。
2.2 企業商務安全需求
作為一個成功的電子商務系統， 首先要消除客戶對交易過程
中安全問題的擔心才能夠吸引用戶通過 Web 購買產品和服務。
因此， 電子商務順利開展的核心和關鍵問題是保證交易的
安全性， 這是網上交易的基礎， 也是電子商務技術的難點。
企業和消費者對於網路的安全需求包括幾個方面。
（1）信息的保密性。
交易中的商務信息均有保密的要求。如信用卡的賬號和
用戶被人知悉， 就可能被盜用； 定貨和付款信息被競爭對手獲
悉， 就可能喪失商機。因此在電子商務中的信息一般都有加密
的要求。
（2）交易者身份的確定性。
網上交易的雙方很可能素昧平生， 相隔千里。因此， 要使
交易能夠成功， 首先要想辦法確認對方的身份。對商家而言，
要考慮客戶端是否是騙子， 而客戶也會擔心網上的商店是否是
黑店。因此， 能方便而可靠地確認對方身份是交易的前提。
（3）交易的不可否認性。
交易一旦達成， 是不能被否認的， 否則必然會損害一方的利
益。 因此電子交易過程中通信的各個環節都必須是不可否認的。
（4）交易內容的完整性。
交易的文件是不可以被修改的， 否則必然會損害交易的嚴
肅性和公平性。
（5）訪問控制。
不同訪問用戶在一個交易系統中的身份和職能是不同的，
任何合法用戶只能訪問系統中授權和指定的資源， 非法用戶將
拒絕訪問系統資源。

㈧ 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(8)電子商務企業安全問題分析擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

㈨ 電子商務存在的安全問題是什麼

電子商務中存在安全的問題：
(一)網路信息安全方面
1.伺服器的安全問題。電子商務伺服器是電子商務的核心，安裝了大量的與電子商務有關的軟體和商家信息，並且伺服器上的資料庫里有電子商務活動過程中的一些保密數據。因此伺服器特別容易受到安全的威脅，並且一旦出現安全問題，造成的後果也是非常嚴重。
2.網路信息的安全問題。非法用戶在網路的傳輸上使用不正當手法，非法攔截會話數據獲得合法用戶的有效信息，最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網路數據進行一些惡意篡改，如增加、減少和刪除等操作，從而使信息失去真實性和完整性，導致合法用戶無法正常交易，還有一些非法用戶利用截獲的網路數據包再次發送，惡意攻擊對方的網路硬體和軟體。
3.網路安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介，不少新病毒直接以互聯網作為自己的傳播途徑，電腦病毒問世10多年來，各種新型病毒及其變種迅速增加，不少新病毒直接以互聯網作為自己的傳播途徑，還有眾多病毒藉助於互聯網傳播得更快，如何在電子商務領域如何有效防範病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網路環境下，基於瀏覽器/伺服器應用方式，在買賣雙方不謀面的情況下進行各種商貿活動，實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基於這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息，仿冒合法用戶的身份與他人進行交易。
2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的，惡意攻擊者很容易對某個電子商務網站展開數據包攔截，甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下，缺乏相應的安全機制，這種基於地址的協議本身就會泄露口令，根本沒有考慮安全問題;TCP/IP協議是完全公開的，其遠程訪問的功能使許多攻擊者無須到現場就能夠得手，連接的主機基於互相信任的原則等這些性質使網路更加不安全。