1. 電子商務存在的安全問題是什麼
電子商務中存在安全的問題:
(一)網路信息安全方面
1.伺服器的安全問題。電子商務伺服器是電子商務的核心,安裝了大量的與電子商務有關的軟體和商家信息,並且伺服器上的資料庫里有電子商務活動過程中的一些保密數據。因此伺服器特別容易受到安全的威脅,並且一旦出現安全問題,造成的後果也是非常嚴重。
2.網路信息的安全問題。非法用戶在網路的傳輸上使用不正當手法,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網路數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網路數據包再次發送,惡意攻擊對方的網路硬體和軟體。
3.網路安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯網作為自己的傳播途徑,電腦病毒問世10多年來,各種新型病毒及其變種迅速增加,不少新病毒直接以互聯網作為自己的傳播途徑,還有眾多病毒藉助於互聯網傳播得更快,如何在電子商務領域如何有效防範病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網路環境下,基於瀏覽器/伺服器應用方式,在買賣雙方不謀面的情況下進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基於這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
2. 電子商務存在哪些安全問題
計算機網路安全威脅
商務交易安全威脅
計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
信息破壞
破壞信息的有效性
泄露個人隱私
3. 電子商務的交易安全隱患有哪些
電子商務是現代信息技術和傳統商務活動相結合的產物。它已經逐漸成為人們進行商務活動的新模式,越來越多的人們通過Internet進行商務活動,而安全問題也變得越來越突出。電子商務的載體是互聯網,但互聯網的共享性、開放性和匿名性卻給電子商務安全問題帶來了極大的隱患,使得電子商務受到威脅、攻擊的可能性大大增加。
1.電子商務安全內涵
電子商務的安全主要是指用戶方和提供產品服務方的安全,即雙方信息都要保密,用戶賬號不能被第三方獲知,提供產品或服務方的訂貨和付款信息等商業秘密也不能為競爭對手所知,並且商務活動一旦達成,相關信息未經雙方協定,不可更改、不能否認。
2.電子商務的安全需求
電子商務主要依託運作的環境是當前的國際互聯網和未來的國際信息基礎設施。網路是從事電子商務機構安身立命的工作環境,其安全需求也表現在以下幾個方面:
(1)網站的安全維護。
(2)電子商務中安全支付。
(3)商業秘密的安全保護。
(4)電子商務中知識產權 的保護。
電子商務中存在的安全問題
1.電子商務面臨的網路系統安全問題
電子商務系統是依賴網路實現的商務系統,需要利用Internet基礎設施和標准,所以構成電子商務安全框架的底層是網路服務層,它提供信息傳送的載體和用戶接入的手段,是各種電子商務應用系統的基礎,為電子商務系統提供了基本、靈活的網路服務。電子商務網路系統安全問題包括以下幾個方面:(1)網路部件的不安全因素。(2)軟體不安全因素。(3)工作人員的不安全因素。(4)自然環境因素。
2.電子商務面臨的電子支付系統安全問題
眾所周知,基於Internet平台的電子商務支付系統由於涉及到客戶、商家、銀行 及認證部門等多方機構,以及它們之間可能的資金劃撥,所以客戶和商家在進行網上交易時必須充分考慮其系統的安全。目前網上支付中面臨的主要安全問題有以下幾方面:
(1)支付賬號和密碼等隱私支付信息在網路傳送過程中被竊取或盜用。
(2)支付金額被更改。
(3)不能有效驗證收款人的身份
此外還存在信息泄漏隱患
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。如信用卡的賬號和用戶名被人獲悉,就可能被盜用。
4. 電子商務企業中最大的安全隱患是什麼應該如何解決
在互聯網上的電子商務交易過程中,最核心和關鍵的向題就是交易的安全性,由於Internet本身的開放性;使網上交易面臨著種種危險:使用者擔心在網路上傳輸信用卡及個人資料被截取;或是不幸遇到「黑店」,信用卡資料不被運用;另一方面,特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認帳等等。還有可能因網路不穩定(假設網路斷線了),或是應用軟體設計不良導致被黑客侵入所引發的損失,在消費者、特約商店、甚至與金融單位之間,究竟權責如何理清?再者,每一家電子商場或商店的支付系統所使用的安全控管都不盡相同,也造成使用者有無所適從之感。一般說來電子商務安全中普遍存在著以下幾種安全隱患:
◆ 竊取信息
由於未採用加密措施,數據機之間的信息以明文形式傳送,入侵者使用相同的數據機就可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
◆ 篡改信息
當人侵者掌握了信息的格式和規律之後,通過各種方式,在原網路的數據機之間增加兩個相同類型的數據機,將通過的數據在中間修改,然後發向另一端。這種方法並不新鮮,在一個路由器或者網關上都可以做這種工作
◆ 假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶及送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
◆ 惡意玻壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入兩邊的網路內部,其後果是非常嚴重的。
因此,電子商務的安全交易主要保證以下四個方面:
(1)、信息保密性交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉,因此次信息傳播中一般均有加密的要求。
(2)、交易者身份的確定性。
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
(3)、不可否認性
由於商情的千變萬億,交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,如收單方能只認收到訂單的實際時間,甚至否認收到訂單的事實,則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
(4)、不可修改性
交易的文件是不可被修改的,加上例所舉的訂購黃金。收單方在收到訂單後,發現金價大幅上漲了,如其能改動文件內容,將訂購數1噸改為1克,則可大幅受益,那麼訂貨方可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正。
3、 電子商務中的安全措施
在早期的電子交易中,曾採用過一些簡易的安全措施。包括:
(1)、部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以訪泄密。
(2)、另行確認(Order Confirmation):即當在網上傳輸交易信息之後,應再用電子郵件對交易作確認,才認為有效;
除了以上兩種,還有其它一些方法,這些方法均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
近年來,針電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標准。主要有:
(l)、安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
(2)、安全套接層協議(SSL:Secure Sockets Layer):由Netscape公司提出的安全交易協議, 提供加密、認證服務和報文完整性。SSL被用於Netscape Communicator 和 Microsoft IE 瀏覽器,用以完成需要的安全交易操作。
(3)、安全交易技術協議(STT:Secure Transaction Technology) :由Microsoft 公司提出,STT 將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft 在 Internet Explorer 中採用這一技術。
(4)、安全電子交易協議(SET: Secure Electronic Transaction):1996年6月,由IBM 、MasterCard International 、Visa International 、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 共同制定的標准 SET正式公告,並於 1997年5月底發布了SET Specification Version 1.0 ,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。關於 SET 的具體情況,將會在下文中詳細介紹。
所有這些安全交易標准中、「安全電子交易」 SET(Secure Electronic Transaction)標准以推廣利用信用卡支付網上交易而廣受各界矚目,它將成為網上交易安全通訊協定的產業標准,有望進一步推動Internet 上電子商業市場
5. 電子商務活動中可能存在哪些安全隱患
目前電子商務中主要存在的安全隱患有以下幾個方面:
(1)對合專法用戶的身份冒充。攻擊屬者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
(2)對信息的竊取。攻擊者在網路的傳輸信道上,通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。
(3)對信息的篡改。攻擊者有可能對網路上的信息進行截獲後篡改其內容,如修改消息次序、時間,注入偽造消息等,從而使信息失去真實性和完整性。
(4)拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻,例如使一個業務口被濫用而使其他用戶不能正常工作。
(5)對發出的信息予以否認。某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(6)非法入侵和病毒攻擊。計算機網路會經常遭受非法的入侵攻擊以及計算機病毒的破壞。
6. 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持
7. 電子商務安全隱患有哪些
說白了就是信任問題,就是商品質量和貨款安全,還有就是物流。解決這3大塊基本就OK了
8. 常見電子商務的安全隱患有哪些
身份認證:由於非法用戶可以偽造、假冒電子商務網站和用戶的身份,因此登錄到電子商務應用系統的客戶無法知道他們所登錄的網站是否是可信的電子商務網站,電子商務網站也無法驗證登錄到網站上的客戶是否是經過認證的合法用戶,非法用戶可以借機進行破壞。"用戶名+口令"的傳統認證方式安全性較弱,用戶口令易被竊取而導致損失。
信息的完整性:敏感信息和交易數據在傳輸過程中有可能被惡意篡改。
信息的不可抵賴性:網上交易行為一旦被進行交易的一方所否認,另一方沒有已簽名的記錄來作為仲裁的依據。針對這些安全隱患,很多科技公司提出了一套實用的、易於實施的電子商務安全認證解決方案,通過為交易的各方發放數字證書來對交易的各方進行身份標識,並且在交易的過程中通過使用數字證書對交易的雙方進行身份驗證和簽名驗證,最終滿足電子商務的安全需求,有效地防止各種電子商務安全隱患。
9. 電子商務中存在的安全隱患有哪些
1.電子商務面臨的網路系統安全問題
電子商務系統是依賴網路實現的商務系統,需要利用Internet基礎設施和標准,所以構成電子商務安全框架的底層是網路服務層,它提供信息傳送的載體和用戶接入的手段,是各種電子商務應用系統的基礎,為電子商務系統提供了基本、靈活的網路服務。
電子商務網路系統安全問題包括以下幾個方面:
(1)網路部件的不安全因素。
(2)軟體不安全因素。
(3)工作人員的不安全因素。
(4)自然環境因素。
2.電子商務面臨的電子支付系統安全問題
眾所周知,基於Internet平台的電子商務支付系統由於涉及到客戶、商家、銀行及認證部門等多方機構,以及它們之間可能的資金劃撥,所以客戶和商家在進行網上交易時必須充分考慮其系統的安全。
目前網上支付中面臨的主要安全問題有以下幾方面:
(1)支付賬號和密碼等隱私支付信息在網路傳送過程中被竊取或盜用。
(2)支付金額被更改。
(3)不能有效驗證收款人的身份。
3.電子商務面臨的認證系統安全問題
1.信息泄漏
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第
三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。如信用卡的賬號和用戶名被人獲悉,就可能被盜用。
2.篡改
在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網路上傳輸的過程中,可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。假如兩公司簽訂了一份由一公司向另一公司供應原料的合同,若趕上原料價格上漲,供貨方公司篡改價格將使自己大幅受益,而采購公司將蒙受損失。
3.身份識別
在網路交易中如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別後,交易雙方就可防止相互猜疑的情況。
4.蓄意否認事實
由於商情的千變萬化,商務合同一旦簽訂就不能被否認,否則必然會損害一方的利益。因此,電子商務就提出了相應的安全控制要求。
(1)電子商務中面臨的法律安全問題。隨著國際信息化、網路化進化的不斷發展,在電子商務領域利用計算機網路進行犯罪的案件與日俱增,其犯罪的花樣和手段不斷翻新。
(2)電子合同中的法律問題。電子商務合同的訂立是在不同地點的計算機系統之間完成的。許多國家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據;否則,這種合同屬於無效合同。關於電子合同能否視為書面合同,並取得與書面文件同等的效力,是各國法律尚未解決的問題,與傳統書面文件相比,電子文件有一定的不穩定性,一些來自外界的對計算機網路的干擾,都可能造成信息的丟失、損壞、更改。
(3)銀行電子化服務的法律問題。銀行是電子支付和結算的最終執行者,起著聯結買賣雙方的紐帶作用,但對一些從事電子貨幣業務的銀行來說,犯罪分子偽造電子貨幣,給銀行帶來了直接經濟損失。
(4)電子資金轉賬的法律問題。電子資金轉賬的法律是個特殊問題,但是我國現行的《票據法》並不承認經過數字簽名認證的非紙質的電子票據支付和結算方式。並且支付不可撤消,付款人或第三人不能要求撤消已經完成的電子資金轉賬。
(5)電子商務中的知識產權保護問題。電子商務活動中交易的客體及交易的行為經常涉及傳統的知識產權領域。
(6)電子商務中的消費者權益保護問題。電子商務等新的交易方式給消費者權益保護帶來各種新的維權問題。隨著科技進步,新產品的大量出現,消費知識滯後的矛盾也更加突出。
10. 電子商務安全存在哪些問題怎麼解決
(一)計算機網路安全威脅
電子商務包含「三流」:信息流、資金流、物流,「三流」中以信息流為核心為最重要,電子商務正是通過信息流為帶動資金流、物流的完成。計算機網路的安全必將影響電子商務中的「信息流」的傳遞,勢必影響電子商務的開展。計算機網路存在以下安全威脅:
1.黑客攻擊
黑客攻擊是指黑客非法進入網路,非法使用網路資源。
2.計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行,具有傳染性的一段程序。
3.拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是一個用戶採用某種手段故意佔用大量的網路資源,使系統沒有剩餘資源為其他用戶提供服務的攻擊。
(二)商務交易安全威脅
Internet存在以下安全隱患:
1.開放性
開放性和資源共享是Internet最大的特點,但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2.缺乏安全機制的傳輸協議
TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;
3.軟體系統的漏洞
隨著軟體系統規模的不斷增大,系統中的安全漏洞或「後門」也不可避免的存在。
4.信息電子化
電子化信息的固有弱點就是缺乏可信度,電子信息是否正確完整是很難由信息本身鑒別的,而且在Internet傳遞電子信息,存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1.信息泄露
在電子商務中表現為商業機密的泄露,以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏,
2.篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患,電子的交易信息在網路上傳輸的過程中,可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用),這樣就使信息失去了真實性和完整性。
3.身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易,雙方互不見面、互不認識,計算機網路的安全威脅與Internet的安全隱患,也可能使得電子商務交易中出現身交易身份偽造的問題。
4.信息破壞
計算機網路本身容易遭到一些惡意程序的破壞,如計算機病毒、特洛伊木馬程序、邏輯炸彈等,導致電子商務中的信息在傳遞過程被破壞。
5.破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息,這些信息我們也必須保證它的時間的有效與本身信息的有效,必須能確認該信息確是由交易一方簽發的,計算機網路安全威脅與Internet的安全隱患,使得我們很難保證電子商務中的信息有效性。
6.泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息,計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露,破壞到個人隱私
解決方法:
一)利用電子商務安全技術 1.計算機網路安全技術
電子商務中利用的重要工具計算機網路,存在著很多的安全威脅,計算機網路的建立足我們開展電子商務的基礎,我們要保證電子商務的安全,首先就要保證計算機網路的安全。
(1)防火牆技術
(2)入侵檢測系統(IDS),入侵檢測的軟體與硬體的組合就是入侵檢測系統(Intrusion Detection System,簡稱IDS)。
(3)虛擬專用網(VPN)技術
(4)病毒防治技術
電子商務中的計算機網路不斷受到病毒攻擊的危害,為了把計算機病毒的危害減小到最低,我們可以從以下幾方面從入手:一是高度重視計算機病毒;二是安裝計算機病毒防治軟體,不斷更新病毒庫。
2.商務交易安全技術
為了營造一個安全的電子商務環境,我們一定要保證傳統的商務活動在互聯網上進行的安全,我們就應該建立一個電子商務的安全體系,
(1)基本加密技術
將明文數據進行某種變換,使其成為不可理解的形式,這個過程就是加密,這種不可理解的形式稱為密文。
(2)安全認證手段
利用基本加密技術還只能保證電子商務中信息的保密性
①利用數字信封技術保證電子商務中信息的保密性。
②利用以Hash函數為核心的數字摘要技術來保證電子商務中信息的完整性。
③建立CA認證體系給電子商務交易各方發放數字證書,
④利用數字時間戳來保證電子商務中信息的有效性。
⑤利用數字簽名技術來保證電子商務中的通信的不可抵賴、不可否認,信息的有效性。
(3)安全協議
必須把安全認證手段跟安全協議配合起來建立電子商務安全解決方案。目前電子商務中有兩種安全認證協議被廣泛使用,即安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議。
(二)制定電子商務安全管理制度
電子商務安全管理制度是用文字形式對各項安全要求所做的規定,這些制度應該包括人員管理制度、保密制度、跟蹤審計制度、系統維護制度、數據備份制度、病毒定期清理制度等。
(三)加強誠信教育,建立社會誠信體系
電子商務中的很多安全問題比如交易的抵賴、否認、個人隱私權的破壞,說到底還是人的誠信問題,為了促進電子商務更好的發展,打消消費者對於電子商務的安全顧慮,我們應該加強誠信教育,建立社會誠信體系。