电子商务企业安全问题分析

㈠ 如何保证电子商务的安全问题的探讨

电子商务安全技术的分析与研究

[摘 要] 本文首先介绍了电子商务安全的现状，分析了存在的主要问题，然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术，并提出了一个合理的电子商务安全体系架构。

[关键词] 电子商务电子支付 安全技术

一、引言
随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机，也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。

二、目前电子商务存在的安全性问题
1.网络协议安全性问题：目前，TCP/IP协议是应用最广泛的网络协议，但由于TCP/IP本身的开放性特点，企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。
2.用户信息安全性问题：目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站，用户使用浏览器登录网络进行交易，由于用户在登录时使用的可能是公共计算机，如网吧、办公室的计算机等情况，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题：有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取，给企业和用户造成难以估量的损失。

三、电子商务安全性要求
1.服务的有效性要求：电子商务系统应能防止服务失败情况的发生，预防由于网络故障和病毒发作等因素产生的系统停止服务等情况，保证交易数据能准确快速的传送。
2.交易信息的保密性要求：电子商务系统应对用户所传送的信息进行有效的加密，防止因信息被截取破译，同时要防止信息被越权访问。
3.数据完整性要求：数字完整性是指在数据处理过程中，原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正，交易的文件是不可被修改的，否则必然会损害一方的商业利益。
4.身份认证的要求：电子商务系统应提供安全有效的身份认证机制，确保交易双方的信息都是合法有效的，以免发生交易纠纷时提供法律依据。

㈡ 从事电子商务的企业受过那些安全威胁，它是如何应对的

一、NGN安全问题的引出
随着信息产业的发展，信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化，就必须重视信息网络安全，它绝不仅是IT行业问题，而是一个社会问题以及包括多学科系统安全工程问题，它直接关系到国家安全。因此，知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络，是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防，因此在NGN研究中安全将是最重要的课题之一。
1.NGN安全相关经济领域：随着我国网上银行的建设、电子商务的发展，无数财富将以比特的形式在网络上传输。

2.NGN安全相关文化领域：当前网上聊天已成为一种重要沟通手段，生存在网络中的虚拟社会已成为人们的第二生活方式，网络已成为继报刊杂志、广播和电影电视后的重要媒体。

3.NGN安全相关政府职能：当前我国正在大量建设电子政务网，也就是政府职能上网，在网上建立一个虚拟的政府，实现政府的部分职能性工作。

4.NGN安全相关国防：随着军事国防信息化的进展，信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外，网络安全问题还可能导致指挥系统的瘫痪。

5.NGN安全相关国家重要基础设施：大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题，进而引发更多更严重的问题。

二、NGN面临的安全威胁
就目前通信网络现状而言，NGN可能面临如下安全威胁。

1.电磁安全：随着侦听技术的发展以及计算机处理能力的增强，电磁辐射可能引发安全问题。

2.设备安全：当前设备容量越来越大，技术越来越复杂，复杂的技术和设备更容易发生安全问题。

3.链路安全：通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时，基本都敷设并集中在铁路桥（或公路桥）上，可能出现“桥毁缆断”通信中断的严重局面。

4.通信基础设施过于集中：国内几个主要运营商在省会城市的长途通信局（站）采用综合楼方式，在发生地震火灾等突发事件时，极易产生通信大规模中断的局面。

5.信令网安全：传统电话网络的信令网曾经是一个封闭的网络，相对安全。然而随着软交换等技术的引入，信令网逐渐走向开放，增加了安全隐患。

6.同步外安全：同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。

7.网络遭受战争、自然灾害：在网络遭受战争或自然灾害时，网络节点可能会遭受毁灭性打击，导致链路大量中断。

8.网络被流量冲击：当网络受到流量冲击时，可能产生雪崩效应，网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起，也可能是受到恶意攻击。

9.终端安全：典型的多业务终端是一个计算机，与传统的专用傻终端例如电话相比，智能终端故障率以及配置难度都大大提高。

10.网络业务安全：多业务网络很少基于物理端口或者线路区分用户，因此业务被窃取时容易产生纠纷。

11.网络资源安全：多业务网络中，用户恶意或无意（感染病毒）滥用资源（例如带宽资源）会严重威胁网络正常运行。

12.通信内容安全：网络传输的内容可能被非法窃取或被非法使用。

13.有害信息扩散：传统电信网不负责信息内容是否违法。随着新业务的开展，对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。

三、NGN安全问题分析
1.网络多业务影响网络安全

网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。

在传统电信网络上，大多数网络捆绑单一业务：电话网提供电话业务以及部分补充业务；DDN网络提供点到点数据专线业务；帧中继网络提供数据专线以及虚拟专用网业务；同步网提供网络同步服务；信令网为电话网提供信令服务；即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离，因此一般不会影响网络安全。

随着新业务的出现，新兴运营商已不满足于每个业务建一张网的思路：网络不但需要承载多种业务，还必须在用户使用同一个接入线路的条件下提供多种业务。为此，网络为识别统一接入线路上的多种业务，不可避免地将部分智能性转移到终端，IP网络成为承载多业务网络的重要选择。IP网络是典型的“智能终端傻网络”：网络只负责转发数据，不参与具体业务流程。IP网络的终端主要是计算机系统，因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程，甚至发起黑客攻击使网络瘫痪，这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用，IP网络需要与传统电话网络互通，IP网络的安全隐患进而会影响传统电话网络的安全。

2.多运营商竞争影响网络安全

多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领导中国电信建立通信网络时，网络承载单一业务，支撑网统一设计，业务普遍开展，缆线敷设统一规划，服务质量全程全网统一设计，电信业务与网络安全性基本满足当时需求。在当前多运营商竞争环境下，我国网络规模有了极大增长，适应了国民经济对通信网络的需求，但是也引入了一些对安全不利的因素：由于快速建设的压力以及缺少网络建设经验，部分运营商网络建设缺乏技术体制的总体指导，而没有技术体制指导的网络缺乏全程全网统一考虑，不利于网络安全；出于对投入成本与利润产出率的考虑，部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入；新兴运营商运营在建设初期缺乏长期电信运营的经验与理念，在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信，但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源；六大运营商网络互连互通，但是安全策略、安全管理力度以及安全设施各不相同，容易出现安全隐患；由于恶性竞争的存在，运营商互连互通时还可能造成人为的安全事故。

3.网络规模和设备容量的扩大影响网络安全

网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化，随之而来的便是为网络带来更多安全隐患。

随着国民经济的增长，通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一，运维如此一个巨大网络没有先例也没有参照对象，极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大，设备越来越复杂，不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品，至少使用的芯片大多数是国外产品，引进产品、芯片的安全性无法评估，因此也使通信网络安全隐患难以预测。

4.管理比技术更影响网络安全

先进的安全技术和设备会因管理不善而崩溃，完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言，管理比技术更重要。这里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管，还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。

在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决，可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配，再大规模的程控交换机也只需要近百个局向就可以解决电话选路；而在IP地址随意分配的互联网络上，骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路，由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。

网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人，再安全的操作系统也会需要管理人员来实现；再复杂的安全设备也需要人来维护；[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。

5.新技术新业务新运营模式影响网络安全

新技术、新业务带来新的运营模式，在建立新的价值链的同时也带来新的安全隐患。

随着IP网络的普遍应用，信息机密性、完整性和不可否认性成为网络安全的重要内容；随着分组语音业务的开展，电信运营商必须关注来自IP网络的来源追查；随着软终端的出现，运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费；随着短信业务的爆炸性发展，移动运营商必须关注恶意发送以及短信诈骗；随着电子邮件业务的开展，运营商必须关注垃圾邮件；随着BBS的广泛使用以及巨大的影响力，BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时，也为网络带来了安全上的不确定性。

6.IP技术的使用影响网络安全

IP技术的使用一方面为产业带来新业务、新活力，另一方面为网络带来新的安全隐患。当前IP技术应用广泛，但IP并不是一个完美的网络层技术，也存在服务质量、安全、运营模式等问题，其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差异：计算机网络中不是问题的问题在电信网络中却成为严重问题；另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源地址进行检验，用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。

四、NGN安全威胁应对原则
面对上述以及未来可能出现的未知的安全威胁，首先应明确如下应对原则：

1.安全不是绝对的，安全威胁永远存在。

安全不是一种稳定的状态，永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性，但是无论多少代价也不能达到永远、绝对的安全。其次，安全是一个不稳定的状态，随着新技术的出现以及时间的推移，原本相对安全的措施和技术也会变得相对不安全。第三，安全技术和管理措施是有针对性、有范围的，通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。

2.安全应作为基础研究，需要长期努力。

NGN安全研究范围广泛，包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就，需要长期努力。安全投入本身不能产生直接效益，只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究，由国家、运营商和相关企业长期投入，共同努力。

3.安全需要付出代价，安全要求应当适度。

NGN安全是所有人都希望的，但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力，也可能是降低效率。因此安全要求应当适度，为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想，但是如需要增加几倍的通话费用来增加机密性（机密性通常只能增加，无法绝对确保），相信大多数用户都无法接受。

4.安全隐患有大有小，应分轻重缓急。

当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患，应当视可能造成的危害以及需要付出的成本，分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决，例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展，或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。

5.安全不仅是技术问题，更重要的是管理。

绝大多数安全隐患可以通过技术手段解决，但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾，以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。

6.安全问题有范围，不是包罗万象的。

NGN安全有自身的范围界定，并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围，将大量与安全无关的课题归结到NGN与信息安全研究中，可能会失去重点，不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关；同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关，用户丢失密码造成的损失也与网络安全无关。

7.网络安全不仅仅是定性的，还应当定量评估。

当前计算机系统有安全登机评估标准，可以定量评估。长期以来，通信网络主要提供话音服务，对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行，因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好，但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。

8.不同网络上关注的安全问题应当各有侧重。

传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计，服务可控性较差，并缺乏有效的商业模式，且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。

㈢ 企业电子商务安全问题有哪些

什么是电子商务安全?

【论文摘要】安全是电子商务健康发展的关键因素，电子商务系统安全的问题是电子商务活动中的重要保障。本文主要介绍电子商务系统中的安全问题、网络安全技术、密码技术基础知识与信息认证技术、电子商务安全体系与安全交易标准。

【关键词】电子商务安全、网络安全技术、密码技术

一、计算机网络面临的安全性威胁主要给电子商务带来了一下的安全问题：

1、信息泄露
（1）交易双方的内容被第三方窃取
（2）交易一方提供给另一方使用的文件被第三方非法使用。

2、篡改
电子交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放，失去了真实性和完整性。

3、身份识别

4、信息破坏
（1）网络传输的可靠性；
（2）恶意破坏。

二、 网络安全技术：
主要是从防火墙技术及路由技术等方面来阐述网络安全的一些特点。

1、防火墙技术
“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个把互联网与内部网隔开的屏障。
防火墙有二类, 标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(al home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边疆, 可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着防火墙技术的进步, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问者对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。

2、电子商务所涉及的安全技术
（一）、访问控制技术
访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。
（二）、密码技术
保证电子商务安全的最重要的一点就是使用面膜技术对敏感的信息进行加密，如密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP、EU）可用来保证电子商务的保密性、完整性、真实性和不可否认服务。
（三）、数字认证技术
数字认证也称数字签名，即用电子方式来证明信息发送者和接收者的身份、文件的完整性，甚至数据媒体的有效性（如录音、照片等）。
（四）、密钥管理技术
对称加密时基于共同保守秘密来实现。采用对称加密技术的贸易栓放必须要保证采用的是相同的密钥，要保证彼此密钥的交换时安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。
（五）、CA技术
所谓认知结构体系是指一些不直接从电子商务贸易中获利的受法律承认的可信任的权威机构，负责发放和管理电子证书，使网上通信的各方互相确认身份。

三、密码技术基础知识与信息认证技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：
（1）公共密钥和私用密钥（public key and private key）
这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

㈣ 电子商务企业中最大的安全隐患是什么应该如何解决

在互联网上的电子商务交易过程中，最核心和关键的向题就是交易的安全性，由于Internet本身的开放性；使网上交易面临着种种危险：使用者担心在网络上传输信用卡及个人资料被截取；或是不幸遇到“黑店”，信用卡资料不被运用；另一方面，特约商店也担心收到的是被盗用的信用卡号码，或是交易不认帐等等。还有可能因网络不稳定（假设网路断线了），或是应用软件设计不良导致被黑客侵入所引发的损失，在消费者、特约商店、甚至与金融单位之间，究竟权责如何理清？再者，每一家电子商场或商店的支付系统所使用的安全控管都不尽相同，也造成使用者有无所适从之感。一般说来电子商务安全中普遍存在着以下几种安全隐患：

◆ 窃取信息

由于未采用加密措施，调制解调器之间的信息以明文形式传送，入侵者使用相同的调制解调器就可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

◆ 篡改信息

当人侵者掌握了信息的格式和规律之后，通过各种方式，在原网络的调制解调器之间增加两个相同类型的调制解调器，将通过的数据在中间修改，然后发向另一端。这种方法并不新鲜，在一个路由器或者网关上都可以做这种工作

◆ 假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户及送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

◆ 恶意玻坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入两边的网络内部，其后果是非常严重的。

因此，电子商务的安全交易主要保证以下四个方面：

(1)、信息保密性交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉，因此次信息传播中一般均有加密的要求。

(2)、交易者身份的确定性。

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

(3)、不可否认性

由于商情的千变万亿，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能只认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。

(4)、不可修改性

交易的文件是不可被修改的，加上例所举的订购黄金。收单方在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货方可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

3、 电子商务中的安全措施

在早期的电子交易中，曾采用过一些简易的安全措施。包括：

(1)、部分告知（Partial Order）：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以访泄密。

(2)、另行确认（Order Confirmation）：即当在网上传输交易信息之后，应再用电子邮件对交易作确认，才认为有效；

除了以上两种，还有其它一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

近年来，针电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准。主要有：

(l)、安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2)、安全套接层协议（SSL：Secure Sockets Layer）:由Netscape公司提出的安全交易协议, 提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator 和 Microsoft IE 浏览器，用以完成需要的安全交易操作。

(3)、安全交易技术协议（STT：Secure Transaction Technology) ：由Microsoft 公司提出，STT 将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft 在 Internet Explorer 中采用这一技术。

(4)、安全电子交易协议（SET: Secure Electronic Transaction）：1996年6月，由IBM 、MasterCard International 、Visa International 、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 共同制定的标准 SET正式公告，并于 1997年5月底发布了SET Specification Version 1.0 ，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。关于 SET 的具体情况，将会在下文中详细介绍。

所有这些安全交易标准中、“安全电子交易” SET（Secure Electronic Transaction）标准以推广利用信用卡支付网上交易而广受各界瞩目，它将成为网上交易安全通讯协定的产业标准，有望进一步推动Internet 上电子商业市场

㈤ 电子商务中存在的安全问题有哪些

1. 商业模式缺乏创新
   

2. 企业信息化水平较低

3. 社会信用体系尚未形成

4. 电子商务高级人才匮乏

5. 电子商务政策法规不健全

6. 电子商务支撑体系还不完善‍

   
   

㈥ 电子商务安全威胁及防范措施分别是什么

1、未进行操作系统相关安全配置

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。

2、未进行CGI程序代码审计

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3、拒绝服务（DoS，DenialofService）攻击

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4、安全产品使用不当

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5、缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

6、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

7、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

8、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

9、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

安全对策

1、保护网络安全。

保护网络安全的主要措施如下：全面规划网络平台的安全策略，制定网络安全的管理措施，使用防火墙，尽可能记录网络上的一切活动，注意对网络设备的物理保护，检验网络平台系统的脆弱性，建立可靠的识别和鉴别机制。

2、保护应用安全。

应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

3、保护系统安全。

在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

4、加密技术

加密技术为电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

5、认证技术。

用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。

6、电子商务的安全协议。

电子商务的运行还有一套完整的安全协议，有SET、SSL等。

(6)电子商务企业安全问题分析扩展阅读

从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：

1、普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。

2、方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，从业时间灵活，完成公司要求，有钱有闲。

3、整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用率，也可以提高系统运行的严密性。

4、安全性。在电子商务中，安全性为一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

5、协调性。商业活动本身为一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中，它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作，电子商务的全过程往往是一气呵成的。

㈦ B2B企业电子商务安全问题分析

1．网络安全
1.1 网络安全问题
一般来说， 计算机网络安全问题是计算机系统本身存在的
漏洞和其他人为因素构成了计算机网络的潜在威胁。
一方面， 计算机系统硬件和通信设施极易遭受自然环境的
影响 （如温度、 湿度、 电磁场等）以及自然灾害和人为 （包括故
意破坏和非故意破坏）的物理破坏。
另一方面计算机内的软件资源和数据易受到非法的窃取、
复制、 篡改和毁坏等攻击。
同时计算机系统的硬件、 软件的自然损耗等同样会影响系
统的正常工作， 造成计算机网络系统内信息的损坏、 丢失和安
全事故。1.2 网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理
安全、 访问控制安全、 系统安全、 用户安全、 信息加密、 安全传
输和管理安全等。充分利用各种先进的主机安全技术、 身份
认证技术、 访问控制技术、 密码技术、 防火墙技术、 安全审计技
术、 安全管理技术、 系统漏洞检测技术、 黑客跟踪技术， 在攻击
者和受保护的资源间建立多道严密的安全防线， 极大地增加
了恶意攻击的难度， 并增加了审核信息的数量， 利用这些审核
信息可以跟踪入侵者。
对敏感的设备和数据要建立必要的物理或逻辑隔离措施；
对在公共网络上传输的敏感信息要进行强度的数据加密； 安装
防病毒软件， 加强内部网的整体防病毒措施； 建立详细的安全
审计日志， 以便检测并跟踪入侵攻击等， 这都是常采取的措施。
2．企业商务安全
从安全和信任关系来看， 在传统交易过程中， 买卖双方是
面对面的， 因此很容易保证交易过程的安全性和建立起信任
关系。但在电子商务过程中， 建立交易双方的安全和信任关
系相当困难。
2.1 企业面临的安全威胁
企业面临的安全威胁主要有个方面。
（1）中央系统安全性被破坏： 入侵者假冒成合法用户来
改变用户数据(如， 商品送达地方)、 解除用户订单或生成虚
假订单等。
（2） 竞争者检索商品递送状况： 恶意竞争者以他人名义来订
购商品， 从而了解有关商品的 递送状况及货物和库存情况。
（3）客户资料被竞争者获悉。
（4） 被他人假冒而损害公司的信誉现象： 不诚实的人建立与
销售者服务器名字相同的另一个 WWW 服务器来假冒销售者。
（5）消费者提交订单后不付款。
2.2 企业商务安全需求
作为一个成功的电子商务系统， 首先要消除客户对交易过程
中安全问题的担心才能够吸引用户通过 Web 购买产品和服务。
因此， 电子商务顺利开展的核心和关键问题是保证交易的
安全性， 这是网上交易的基础， 也是电子商务技术的难点。
企业和消费者对于网络的安全需求包括几个方面。
（1）信息的保密性。
交易中的商务信息均有保密的要求。如信用卡的账号和
用户被人知悉， 就可能被盗用； 定货和付款信息被竞争对手获
悉， 就可能丧失商机。因此在电子商务中的信息一般都有加密
的要求。
（2）交易者身份的确定性。
网上交易的双方很可能素昧平生， 相隔千里。因此， 要使
交易能够成功， 首先要想办法确认对方的身份。对商家而言，
要考虑客户端是否是骗子， 而客户也会担心网上的商店是否是
黑店。因此， 能方便而可靠地确认对方身份是交易的前提。
（3）交易的不可否认性。
交易一旦达成， 是不能被否认的， 否则必然会损害一方的利
益。 因此电子交易过程中通信的各个环节都必须是不可否认的。
（4）交易内容的完整性。
交易的文件是不可以被修改的， 否则必然会损害交易的严
肃性和公平性。
（5）访问控制。
不同访问用户在一个交易系统中的身份和职能是不同的，
任何合法用户只能访问系统中授权和指定的资源， 非法用户将
拒绝访问系统资源。

㈧ 简述电子商务的安全隐患与解决措施

1、数据传输安全隐患。

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机和网络上上存放、传输，从而形成信息传输风险。因此措施可以通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合密钥加密和公开密钥加密技术实现的。

2、数据完整性的安全隐患。

数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

3、身份验证的安全隐患。

网上通信双方互不见面，在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否，为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

4、交易抵赖的安全隐患。

网上交易的各方在进行数据传输时，当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，可以通过数字签名技术和数字证书技术来实现的。

(8)电子商务企业安全问题分析扩展阅读：

电子商务分类：

1、企业对企业的电子商务（B2B）；

2、企业对消费者的电子商务（B2C）；

3、企业对政府的电子商务（B2G）；

4、消费者对政府的电子商务（C2G）；

5、消费者对消费者的电子商务（C2C）；

6、企业、消费者、代理商三者相互转化的电子商务（ABC）；

7、以消费者为中心的全新商业模式（C2B2S）；

8、以供需方为目标的新型电子商务（P2D）。

㈨ 电子商务存在的安全问题是什么

电子商务中存在安全的问题：
(一)网络信息安全方面
1.服务器的安全问题。电子商务服务器是电子商务的核心，安装了大量的与电子商务有关的软件和商家信息，并且服务器上的数据库里有电子商务活动过程中的一些保密数据。因此服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果也是非常严重。
2.网络信息的安全问题。非法用户在网络的传输上使用不正当手法，非法拦截会话数据获得合法用户的有效信息，最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改，如增加、减少和删除等操作，从而使信息失去真实性和完整性，导致合法用户无法正常交易，还有一些非法用户利用截获的网络数据包再次发送，恶意攻击对方的网络硬件和软件。
3.网络安全中的病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介，不少新病毒直接以互联网作为自己的传播途径，电脑病毒问世10多年来，各种新型病毒及其变种迅速增加，不少新病毒直接以互联网作为自己的传播途径，还有众多病毒借助于互联网传播得更快，如何在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(二)电子商务交易方面
1.交易身份的不确定。电子商务是一种全球各地广泛的商业贸易活动在开放的网络环境下，基于浏览器/服务器应用方式，在买卖双方不谋面的情况下进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动。正是基于这个特点攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易。
2.交易协议安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。TCP/IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题;TCP/IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使网络更加不安全。