『壹』 電子商務安全是指什麼
簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域,包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在:
信息的機密性:密碼技術
信息的完整性:散列函數
數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異;
數據傳輸過程中的信息丟失、重復、差異;
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得,包括兩方面:
數據傳輸的完整性
完整性檢查、上下文檢查:內容的差異和語法規則
信息的有效性:電子文檔的法律確認
認證性:身份確認
信息的不可抵賴性:數字簽名
不可修改性:完整性
部分告知:交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等
電子商務安全技術主要有:
密碼技術
加密技術是保證電子商務安全的重要手段,是信息安全的核心。
密鑰管理技術
最棘手的問題:分發和存儲
數字簽名:公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等
『貳』 電子商務安全包括哪些方面
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。...在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
『叄』 簡述電子商務安全性的要求
從安全和信任關系來看,在傳統交易過程中,買賣雙方是面對面的版,因此很容易保證交易權過 程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網路來聯系的,彼此遠 隔千山萬水,由於英特網既不安全,也不可信,因而建立交易雙方的安全和信任關系相當困 難。電子商務交易雙方(銷售者和消費者)都面臨不同的安全威脅。
『肆』 電子商務安全是什麼
電子商務主要的安全要素
(1)有效性
EC以電子形式取代了紙張,那麼如何保證這種電子形式的貿易信息的有效性則是開展E的前提。EC作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
(2)機密性
EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個較為開放的網路環境上的(尤其Internet是更為開放的網路),維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(3)完整性
EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。
『伍』 電子商務安全要素有哪些
電子商務安全要素有以下四點:
1、有效性、真實性
有效性、真實性是指能對信息、實體的有效性。真實性進行鑒別,電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關繫到個人、企業和國家的經濟利益和聲譽。如何保證這種電子貿易信息的有效性和真實性成了經營電子商務的前提。
2、機密性
機密性是指保證信息不會泄漏給非授權人或實體電子商務作為一種貿易手段,其信息是個人、企業或國家的商業機密。網路交易必須保證發送者和接受者之間交換信息的保密性,而電子商務建立在一個較為開放的網路環境上,商業保密就成為電子商務全面推廣應用的重點保護對象。
3、數據的完整性
數據的完整性要求防止數據非授權的輸入、修改、刪除或破壞,保證數據的一致性信息的完整性將影響到貿易各方的交易和經營策略,保持這種完整性是電子商務應用的基礎,數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。數據傳輸過程中的信息丟失、信息重發或信息傳送次序的差異也會導致貿易各方信息不相同。
4、可靠性、不可抵賴性
可靠性是要求保證合法用戶對信息和資源的使用不會遭到不正當的拒絕;不可抵賴性是要求建立有效的責任機制,防止實體否認其行為在互聯網上每個人都是匿名的,原發方字發送數據後不能抵賴;接收方在接收數據後也不能抵賴。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已經不可能。
『陸』 電子商務安全方面的措施有哪些
電子商復務系統的安全重點主要基制於以下兩個方面:
(1)系統安全性:指系統的穩定性和抗攻擊能力,以及在受到攻擊或系統出現軟、硬體故障後的系統恢復能力。
(2)數據安全性:是指保持數據的一致性、完整性,和使用許可權的可控制性等。數據安全性包含以下幾個方面:
①數據的機密性。任何人不能看到其無權看到的信息;其中,比普通加密方式更進一步的是,任何人都不能看到或修改其行政管理概念上的許可權無權獲得的數據(數據加密),這將更符合實際的要求。
②數據的完整性。對發出的數據只有完整到達,才能被完全確認,否則數據不能被認可。
③不可抵賴性。對任何人已經發出的信息,能夠根據信息本身確定數據只能由該人發出,並能確定發出時間等重要信息。
『柒』 電子商務安全的內容包括哪些方面
電子商務安全,包括的內容有:
備份技術
目的是在資料庫系統故障並且短時間內難以恢復時,用存回儲在備答份介質中的數據將資料庫還原到備份時的狀態。
認證技術
資料庫管理系統為防止各種假冒攻擊安全策略。
當用戶對資料庫進行訪問時,系統會根據用戶的級別與許可權來判定此操作是允許的或者禁止的,從而達到保護敏感數據不被泄露或者篡改的目的。
審計技術
保證資料庫管理系統的信息安全。有兩種審計方式:用戶審計和系統審計。
加密技術
加密和解密通常是通過對稱密碼機制的密鑰來實現。
『捌』 校園電子商務
首先不知道你說的校園電子商務是指B2C還是C2C的?不同的類型有不同的商業模式
一、資金方面:如果你是在創業初期,所有東西在還沒有成型的時候,就不要談融資!那麼創業資金怎麼來?1.自己的儲備資金2.家裡人的支持3.找朋友借(這里重點要說明:一定要是借的,而且承諾必須要還的!不能以股份,分紅等任何理由借口要對方把錢送給你,而你賠本了以後不用還!這就是融資與借錢的區別)
二、技術方面:直接找網店系統,我對你自己設計平台的能力存在質疑,並且你是學生,是否有時間,有精力維護,管理一個平台也是未知數!
三、團隊方面:
首先,必須志同道合!並且當做是事業來做,當大家聊起這個事業,不談盈利,只談賠錢的時候,也義不容辭的跟隨你的人才是有發展的創業團隊,並且不會輕易解散!(重點:不要以未來我們能賺多少錢等理由來拉攏你的團隊,因為以後你會後悔的!)
其次,人在精,不在多,對於電子商務,以下幾個位置必須有骨幹成員並且必須是精英:市場營銷,技術維護,售後公關!也就是說,你的先期團隊有3個人足矣!
最後要說的是:利潤分配要嚴格按照股份比例分配,並且要把丑話說在前面!創業初期盡量不要談利潤,不要談未來,時刻要有虧損和解散的准備!做事業不要鑽錢眼裡,前期如果你賺了100塊錢,要拿出30塊錢來犒勞你的團隊,再拿出30塊錢來回饋你的客戶,還要拿出30塊錢來做為公司發展儲備金,最後的10塊錢才是你自己的!最後的最後:任何產品的發展都要靠市場,都要靠營銷,如果你沒有市場,又不會營銷,那說再多,想的再好都是沒有用的!
——有問題再聯系吧
『玖』 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持