❶ 电子商务安全的威胁有哪些
电子商务安全的威胁有以下几种:
1、信息的截获和窃取。如果没有采用加密内措施或加容密强度不够,攻击者可能通过互联网,公共电话网,搭线,电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式获取传输的机密信息,或通过对信息流量和注射,通信频度和长度等参数的分析推出有用信息,例如,消费者的银行账号,密码及企业的商业机密等。
2、信息的篡改。当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段和网络传输的信息进行中途修改并发往目的地,从而破坏信息完整性.这种破坏手段主要有3个方面:篡改-改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除-删除鞭个消息或消息的某些总分插入-在消息中插入一些信息,让接收方读不懂或接收错误的信息。
3、信息假冒。当攻击者掌握了网络数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。
4、交易抵赖。交易抵赖包括多个方面,例如发信者事后否认间经发送过某条信息或内容;收信者事后否认收到过消息或内容,购买者做了订货单不承认;商家卖出的商品因价格差而不承认原有的交易。
❷ 电子商务安全要素有哪些
电子商务安全要素有以下四点:
1、有效性、真实性
有效性、真实性是指能对信息、实体的有效性。真实性进行鉴别,电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了经营电子商务的前提。
2、机密性
机密性是指保证信息不会泄漏给非授权人或实体电子商务作为一种贸易手段,其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性,而电子商务建立在一个较为开放的网络环境上,商业保密就成为电子商务全面推广应用的重点保护对象。
3、数据的完整性
数据的完整性要求防止数据非授权的输入、修改、删除或破坏,保证数据的一致性信息的完整性将影响到贸易各方的交易和经营策略,保持这种完整性是电子商务应用的基础,数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。
4、可靠性、不可抵赖性
可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝;不可抵赖性是要求建立有效的责任机制,防止实体否认其行为在互联网上每个人都是匿名的,原发方字发送数据后不能抵赖;接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。
❸ 电子商务的安全需求的具体内容
电子商务的安全需求大体上包括:
稳定运营:系统不被崩溃,如果有电回脑宕机可以自动答切换,遇到线路出故障有备用线路
防止被攻击:主动防御、遇到攻击可以迅速修复,软件系统避免漏洞
数据安全:数据定期备份,包括会员数据/交易数据,防止被破坏/丢失/或被窃
金融安全:保证往来资金流的安全,交易账户及相关数据安全
❹ 电子商务安全要求有什么特殊性
包括安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和证券交易系统的安全,以及安全电子商务应用。
❺ 电子商务安全包括哪些方面
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。...在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
❻ 电子商务安全是指什么
简单说就是计算机网络安全和商务交易安全。
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域,包括物理安全、网络安全、传输安全、应用安全、用户安全。
电子商务安全要素体现在:
信息的机密性:密码技术
信息的完整性:散列函数
数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;
数据传输过程中的信息丢失、重复、差异;
黑客对信息的篡改和假冒
完整性一般可通过提取消息文摘获得,包括两方面:
数据传输的完整性
完整性检查、上下文检查:内容的差异和语法规则
信息的有效性:电子文档的法律确认
认证性:身份确认
信息的不可抵赖性:数字签名
不可修改性:完整性
部分告知:交易与支付的部分分离
另行确认
系统的可靠性
计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒、自然灾害等
电子商务安全技术主要有:
密码技术
加密技术是保证电子商务安全的重要手段,是信息安全的核心。
密钥管理技术
最棘手的问题:分发和存储
数字签名:公钥加密技术
网络安全技术
操作系统安全、防火墙技术、VPN、漏洞检测、审核技术等
❼ 简述电子商务安全的重要性
电子商务安全的重要性:电子商务安全研究的主要内容涉及到安全电子商内务的体系结构、现代容密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。最主要的还是一下这三大安全问题。
一、保护网络安全:
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
二、保护应用安全:保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
三、保护系统安全:保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。
❽ 电子商务安全的基本要求有哪些
一、建立和完善我国电子商务安全法律法规体系电子商务实践要求有透明、和谐的交易秩序和环境保障,为此,须建立和完善相应的法律体系。目前,我国已颁布相当数量的信息安全方面的法律规范,但立法层次不高,法律协调性 本论文由无忧论文网整理提供差,立法理念和立法技术相对滞后。我国电子商务法律体系的构建中,首先应当考虑原有法律对电子商务行为的适用,对于原有法律不能适应可以采取修改原有法律和单独立法的方式予以解决。对于一些全新领域可以进行单独立法,可以参照联合国《电子商务示范法》制定我国的电子商务基本法,从而形成我国电子商务完整、有机的法律体系。电子商务安全方面的法制建设则应涵盖:保护隐私权;保护消费者权益;保证信息的合法访问;数字签名与认证机构;计算机违法与犯罪的问题的控制等。
二、完善电子商务企业内部安全管理体制,增强相关人员的安全意识首先必须对企业内部所有人员进行信息安全意识教育,充分理解安全对企业的重要性。系统管理员要将系统安全放在首位,依靠可行的、详细的信息安防制度,消除安全隐患,防患于未然。其次,须针对信息存储的不安全因素采取适当的防范措施:硬件的电源故障可设置合适的不间断电源;操作系统和应用软件的不安全因素可采用经常升级和下载软件补丁程序的方法;软件漏洞可进行有针性的设置加以弥补;计算机病毒可使用防毒、杀毒软件,并经常升级。
三、构建电子商务信息安全技术框架体系:
(1)、防火墙技术是近年来发展的最重要的安全技术,用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络(被保护网络)。防火墙技术主要有包过滤、代理服务、状态监控等技术。防火墙技术的优点主要是:通过过滤不安全的服务,提高网络安全和减少子网中主机的风险;提供对系统的访问控制;阻击攻击者获取攻击网络系统的有用信息;记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;提供制定与执行网络安全策略的手段,对企业内部网实现集中的安全管理。
(2)、信息加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)、数字证书和认证技术是网络通信中标志通信 无忧论文网各方身份信息的一系列数据,通过运用对称和非对称密码体制建立起一套严密的身份认证系统。具有信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖等多项功能。另外,报文的发送方从报文文本中生成一个特定长度的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的完整性鉴别和不可抵赖性,实现电子文档的辨认和验证。
(4)、安全协议中,安全套接层协议(SSL)是一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了信息的安全传输。它提供的安全连接具有三个特点:连接是保密的,对于每个连接都有一个唯一的会话加密,采用对称密码体制来加密数据;连接是可靠的,消息的传输采用信息验证算法进行完整性检验;对端实体的鉴别采用非对称密码体制进行认证。安全电子交易(SET)是通过开放网络进行安全资金支付的技术标准,SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则:信息在Internet上安全传输,保证传输的数据不被黑客窃取;其定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并可运行在不同的硬件和操作系统平台上。
❾ 电子商务安全隐患有哪些
恩,都对吧,应该就是这些了。以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1、 客户端数据的完整性和有效性检查
1.1、特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符: &;`'\"|*?~<>^()[]{}$\n\r
这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。W3C组织强烈建议完全过滤这些特殊字符。但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现,从而导致出现带有普遍性的安全问题。1.1.1、CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中,ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“\”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。
1.1.2、Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序,从而使脚本运行出错或执行非法操作。例如,当脚本程序需要进行数据库操作时,恶意用户可以利用嵌入特殊字符来突破脚本程序原先的限制。
因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
1.1.3、PHP和Perl
虽然提供了加上”\”(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。(我们本地的测试证实了这情况。)请阅读下面关于数据库问题的分析。对于MySQL则没有问题,\'不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。1.2、数据库问题
不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。例如,Microsoft SQL Server和Sybase对 \'当作了两个不同字符,所以仅仅在程序中加上”\”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”—“作为注释符号,这个符号以后的SQL语句均被忽略,攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证),获得对合法用户帐号的控制权。MySQL则将\'作为一个可操作的正常字符,不存在利用\'改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。(注:另外,迄今为止,各种数据库都或多或少地被发现存在不同程度上的安全漏洞。如Microsoft SQL拒绝服务漏洞,MySQL GRANT权限可改变任意用户口令的漏洞,MySQL 远程绕过口令限制的漏洞,MiniSQL远程缓冲区溢出漏洞,Oracle Web Listener 非授权访问漏洞,Oracle dbsnmp符号连接漏洞,Sybase PowerDynamo目录遍历漏洞,等等。由于数据库数据资料是电子商务网站的最重要部份,关系到电子商务网站的生死存亡,因此修补各种安全漏洞,保证数据库免受各种攻击,是绝对必要的!)
2、 Cookie或用户身份的常用认证问题
对于一个网站会员而言,经常存在需要一次注册,多次认证的问题,一般采用手段为cookie或input type=hidden来传递认证参数。这里面有几点隐患:
I. 所携带内容必须完整包含帐号密码,或类似的完整安全信息,如果只携带帐号信息或用某种权限标志来认证,极容易造成非法入侵,我们检测了一些电子商务网站,很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个,用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息(不需要知道密码!),只要攻击者知道Uid(攻击者可以通过暴力猜测的方法来得到Uid,有时候站点本身也会泄露用户的Uid,例如在论坛等处)那么,攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。
II. 必须所有需要权限操作的页面都必须执行认证判断的操作。如果任何一页没有进行这种认证判断,都有可能给攻击者以恶意入侵的机会。
III. 很多网站为了方便,将用户名以及口令信息储存在Cookie中,有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机,就可能通过保存的Cookie文件得到用户名和口令。
3、 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有Denial of Service(DoS —— 拒绝服务)同样的效果。
解决方法:
1、客户端数据完整性和有效性检查的解决办法
根据目前国内电子商务网站普遍存在的安全问题,主要的原因是未对某些特殊字符——例如单引号(’)进行过滤,或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制,对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号(’)为例。目前可以肯定的是仅仅通过加上”\”或双引号处理是不健全的,必须杜绝单引号在处理程序的SQL语句中出现。I. 对于从客户端接收的数据变量应该用"’"(单引号)来引用;
II. 对用户输入的所有数据进行合法性检查(尽可能放在后台校验),包括数据长度和数据内容,将其中的特殊意义字符替换或不予往下执行。例如,将"’"替换成"’’" (两个单引号)号或用双字节中文单引号替换;而对于数字型变量,要检查输入的数据是否全为数字。
III. 对象数据库不使用系统默认的dbo用户。并尽量减少新增用户的权限;以ASP为例,具体的实现可以通过函数Replace函数来实现,如:<%
username=Replace(trim(Request.Form(“username”)),”’”,”’”)
password=Replace(trim(Request.Form(“password”)) ,”’”,”’”)
%>
以上例子将变量username与password中的字符”’”(单引号)替换成双字节中文单引号。如希望用户能使用单字节单引号”’”,可参考使用如下函数:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="’" then
tstr=tstr+"’"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>该函数将需要校验的数据中的单字节单引号后添加了"’",这样,送入SQL中的"’"就变成了"’’",当输出该字段数据时,该项内容中的"’’"输出为"’"。对于其他的CGI编程语言,可以参照上述方法的思路进行处理。2、 Cookie或用户身份的常用认证问题的解决办法
由于session (会话)机制主要由服务器控制,比利用cookie传递认证参数更为安全可靠,因此可使用session会话取代cookie认证。如果必须使用Cookie传递参数,必须将参数内容进行加密,并正确设置Cookie的有效时间。3、 大量数据查询导致拒绝服务的解决办法
为了安全起见,应该将可能导致出现这种拒绝服务攻击的Javascript移植到由服务器端执行,防止客户端向服务器提交过量的数据库操作。4、 若对本次安全公告有不明之处,请与我们联系获得进一步的帮助。
鉴于此漏洞的严重性,我们将向国内站点提供解决这个安全问题的免费技术支持