电子商务新安全策略

㈠ 电子商务安全策略的基本原则

一、网络节点的安全 1．防火墙 防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。 2．防火墙安全策略 应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。 3．安全操作系统 防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全 1．数据通讯 通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于： （1）客户浏览器端与电子商务WEB服务器端的通讯； （2）电子商务WEB服务器与电子商务数据库服务器的通讯； （3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。 2．安全链路 在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。
目前采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。
三、应用程序的安全性 即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种
形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。 这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理 1．身份认证 电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。 2．CA证书 要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
五、安全管理 为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。 对于所有接触系统的人员，按其职责设定其访问系统的最小权限。 按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。 建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁

㈡ 京东电子商务平台的安全策略

常用语，抄就是你平时袭经常用到的话术语句。
用语一个行业里，或者说是在客服系统平台，客服人员要和访客进行聊天，在接待很多访客的时候，一个人的打字速度和精力都是有限的，所以为了应付更多的访客，就会需要有一个常用语作为辅助，当访客问出的问题，常用语知识库里面会自动检索到，或者说里面有这么一个答案，那么你就可以直接点击回复，而不用自己去思考这个问题，再组织语言打出来回复，节省了很多时间。这就是常用语的用处。
所以，乐盈通客服系统的常用语功能，应该也是实现这样的一个应用于快速回复的场景，提高客服的工作效率和专业态度。

㈢ 电子商务安全的管理方法有哪些

电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.

㈣ 电子商务安全策略的内容

转：电子商务按交易主体一般分为四种：B2B、B2C、B2B2C、C2C。企业电子商务主要指前两种。按交易对象而言，B2B主要进行实物产品交易，而B2C除实物产品外还进行数字产品交易。影响电子商务赢利主要涉及三个方面：即成本收益、敏感性和风险。

成本收益
成本收益也叫盈亏平衡，就是说企业建设电子商务网站所带来的成本和收益，成本主要指：设备投资所需费用：这包括以各种方式接入因特网所必须的各种设备的费用和使用因特网时所需要的各种类型的终端、微机、工作站、服务器等的费用。通讯成本：指为传输信息所付的资费。维护费：这包括网络管理人员的工资和其他消费品的费用。

收益指电子商务的实施而得到的可大致进行定量分析的开销节约。主要包括降低库存成本所获收益，对于一般商业企业，库存成本大约为销售2%，如果把原料的库存和半成品的库存加上去，则可能更高达销售额的6%～30%。电子商务的解决方案可将此成本减少10%。电子商务处理单证的费用是原来书面形式的1/10。实行电子商务后，企业可以通过因特网搜集信息，进行集中采购，从而减少了管理成本，节约了差旅费。也堵塞了采购过程中的一些漏洞。有资料表明，全球EDI通常可为企业节省5%—10%的采购成本。有研究表明使用互联网做广告媒体进行网上促销活动，可增加10倍销量，而成本只有传统广告及邮寄广告的1/10。间接收益，这包括实行电子商务之后业务管理改善及更有效的为客户服务所获得的收益。

敏感性因素

影响电子商务盈利的敏感性因素主要有技术、资金和管理。

1.技术。先进的技术是保证电子商务顺利运行的前提，网络技术的迅猛发展是导致电子商务出现的直接原因。企业建设电子商务所需的技术分为前期的技术建设和运营后随技术发展状况而做的技术革新与追加。绝大多数电子商务企业并不进行技术的先期开发，而只是对成熟技术的引进利用。这就使电子商务技术具有普及性和趋同性的特点。技术的创新能够降低成本,率先采用新技术的企业能够在短期内提高收益,但其他企业会在很短时间内跟进。并且由于电子商务技术具有普及性及趋同性，因此技术对电子商务企业的盈利敏感度不大。

2.资金。投资于电子商务的资金包括先期开发资金和后期维护所需资金。电子商务企业先期投入的固定成本比较大，后期维护的费用比较小。电子商务硬件建成之后，固定成本对于其运营来讲是无关成本，只有后期的维护费用对企业的顺利运营有影响，由于这部分资金较小，电子商务企业一般都能及时支付，故资金对于电子商务企业的盈利影响也不大。

3.管理。企业实行电子商务后，后期的运作是包括产、供、销、资金支付等所有方面的系统工程。盈利与否、盈利大小都与管理有直接关系。同样的基础设施与技术，同样的起点，有的企业稳健发展，有的企业却连连亏损。这里，管理是决定电子商务企业兴衰成败的决定因素。

风险

任何投资项目都面临着各种各样的不确定性因素，电子商务也不例外。而且电子商务的收益具有不同于一般项目的特性：估算性。即电子商务的收益一般只能通过主观分析比较得到，例如减少多少书面作业量，提高多少信息准确度，改善多少与客户的关系等，不可能计算的很清楚。即电子商务的收益只能在电子商务项目建成之后从其运作过程中所能节省的成本中体现出来。

以上两个特性增加了电子商务企业收益的风险性。同时，由于网络经济的快速发展，新技术变革日新月异，使电子商务企业要获得生存发展必须在信息和技术两个方面跟上整个行业的发展，稍微落后即遭淘汰，这更增加了电子商务企业的风险性。

增强赢利的关键：成本、收益、风险的管理

由以上的分析可以看出，增强企业电子商务的盈利性，要从成本、收益、风险等方面的管理入手，降低成本和风险，提高收入。

降低成本

严格成本控制，降低运营成本。曾经有一段时间，“先壮大，后盈利”的思想被信奉为电子商务的经营哲学，为赢得顾客，网站花费巨额资金在电视台的黄金时间播放广告，赞助大型音乐会，提高知名度。这时成本控制的思想已被狂热的电子商务追求者们远远抛在脑后，以致成本过高，导致回收期过长，据IDG调查结果显示，美国很多新电子商务网络获得一个网上购物顾客成本为80美元，而大多数电子商务网站毛利只有5%左右，这就意味着一个顾客要买1600美元商品才能持平营销成本，更要用3～4年时间才能把投向该顾客的成本收回来。在来自投资人的盈利压力越来越大的情况下，紧缩开支，控制成本是电子商务网站走出死亡阴影的必由之路。

对企业的内外部资源进行优化组合，将摩擦成本降到最低。企业开展电子商务并不是一个孤立的环节，要达到降低成本的目的，前提条件是要保证上游企业和下游企业在信息化方面的跟进，从而形成一个良好的循环链，达到节省大量中间成本，提高工作效率的目的。(1)就企业内部而言，应加强企业资源计划(ERP)系统的实施，借助计算机集成系统(CIMS)和计算机辅助设计(CAD)连接研发、生产、供应、营销、服务等环节，实现对人力、财力、物力和技术等内部资源的优化组合。(2)就企业外部而言，应加强企业间的供应链管理，密切企业与供应商、销售商的联系，跟踪技术、客户、市场，确保对市场变化的及时了解和迅速反应。具体来讲，生产实物产品的电子商务企业可以采用商务运营部门与销售部门相脱离的双链运筹策略：销售部门专心做销售，而商务运营部门不仅要负责定单处理、产品储运等物流供货任务，同时将生产计划、物资采购等供货的前提环节也合并进来，使商务运营中心能够按照市场需求及供求情况去安排生产、采购配件、合理安排库存，最终实现及时供货，提升销售渠道和客户对企业的满意度。
改善企业组织结构，降低管理成本。传统的组织结构主要有U型和M型，现实的组织实践中绝大多数企业采用的就是这两类组织结构形式。这两种不同的组织结构中有一个共同的特点，即在决策层与作业层间存在中间管理层。但网络技术的普及和发展使企业组织机构的存在基础发生巨大的变化，电子商务技术的发展使信息处理效率大幅提高，企业网络内每一终端都可以同时获得全面的数据与信息，各种计算机辅助手段的应用使中层管理人员的作用日见势微，网络技术使企业高层管理人员通过网络系统，低成本的及时过滤各个基层机构形成的原始信息。因此企业应及时调整其组织结构，采用扁平化的组织结构方式来适应新兴电子商务经营方式，以减少中层管理人员，提高效率，降低企业内部管理成本。

提高收入增加收益

经营数字产品的电子商务企业应采用差别价格的定价方式充分挖掘电子商务的优势，提高收益。传统产品由于大规模生产具有趋同的特性，且无法获得不同消费者的偏好，只能对产品实行统一定价方式，或针对不同阶层、地区采用有限差别价格定价模式。网络技术的发展，数字产品可大规模量身定制的特性使完全差别价格定价模式的两个基本条件得以实现，即实现了产品差异化，同时也满足了能获得不同消费者的偏好。这就使电子商务企业可依据消费者的个人喜好对产品收取最高价格，获取统一定价模式下所不能获得的“消费者剩余”收益。

积极建立网上销售渠道，强化网络宣传，树立企业自身品牌形象，扩大销售量。经营数字产品的电子商务企业还可以采用捆绑式销售方法(捆绑式销售是指将两件或更多的产品按固定的比例包装在一起销售)提高销售量。

减少风险

大企业和小企业在发展电子商务中所面临的风险是不同的，所以企业是否发展电子商务要根据自身情况而定，决不能随波逐流，一哄而上。目前情况来看，大企业发展电子商务更具优势，这是因为：大型企业一般经过多年发展，具备了成熟的管理体系，主要的业务流程比较规范。大型企业具备完善的销售渠道。大型企业具备品牌优势比较容易吸引顾客。对这些企业来讲，导入电子商务只是将原来的资源统一整合配置到新的主业上的过程。海尔集团从2000年4月18日电子商务平台开始运行以来，到9月份止，其B2B就已实现了12亿元人民币的交易额，业绩不俗。从近两年电子商务的发展速度来推测，海尔在2001年电子商务的交易额还会有一大幅度增长。中小企业无上述优势，抵抗风险的能力也较差，建设电子商务的前期应进行严格的财务评价，以盈利为投资取舍的基准，应从自身现实出发，积极与大企业开展生产、经营、资本、技术等多方面的协作，加入到电子商务所形成的大规模供应链中去，融入到商务发展的潮流中去，从中汲取经验。内部购买力低，而无必要上电子商务的小型企业可以考虑从一家ASP供应商那里租赁网络平台，既满足自身需要，又可节省费用。

㈤ 电子商务安全措施有哪些

就整个系统而言，安全性可以分为四个层次
．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

㈥ 电子商务安全威胁及防范措施分别是什么

1、未进行操作系统相关安全配置

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。

2、未进行CGI程序代码审计

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

3、拒绝服务（DoS，DenialofService）攻击

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。

4、安全产品使用不当

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。

5、缺少严格的网络安全管理制度

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

6、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

7、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

8、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

9、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

安全对策

1、保护网络安全。

保护网络安全的主要措施如下：全面规划网络平台的安全策略，制定网络安全的管理措施，使用防火墙，尽可能记录网络上的一切活动，注意对网络设备的物理保护，检验网络平台系统的脆弱性，建立可靠的识别和鉴别机制。

2、保护应用安全。

应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

3、保护系统安全。

在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

4、加密技术

加密技术为电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

5、认证技术。

用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。

6、电子商务的安全协议。

电子商务的运行还有一套完整的安全协议，有SET、SSL等。

(6)电子商务新安全策略扩展阅读

从电子商务的含义及发展历程可以看出电子商务具有如下基本特征：

1、普遍性。电子商务作为一种新型的交易方式，将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。

2、方便性。在电子商务环境中，人们不再受地域的限制，客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等，同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中，有大量的人脉资源开发和沟通，从业时间灵活，完成公司要求，有钱有闲。

3、整体性。电子商务能够规范事务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体，这样不仅能提高人力和物力的利用率，也可以提高系统运行的严密性。

4、安全性。在电子商务中，安全性为一个至关重要的核心问题，它要求网络能提供一种端到端的安全解决方案，如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等，这与传统的商务活动有着很大的不同。

5、协调性。商业活动本身为一种协调过程，它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中，它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作，电子商务的全过程往往是一气呵成的。

㈦ 电子商务的安全策略包括哪些内容

推荐你去“同徽电子商务研究中心”网站上看看，这上面都是关于电子商务相关的新闻及知识，评论，以及发展趋势等。你多看看，相信对你有用。
我就是一直收藏着，用得着就翻出来看看。挺好。

㈧ 电子商务的安全策略包括哪些

一、网络节点的安全

1.防火墙

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。

2.防火墙安全策略

应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.安全操作系统

防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

二、通讯的安全

1.数据通讯

通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于：

(1)客户浏览器端与电子商务WEB服务器端的通讯;

(2)电子商务WEB服务器与电子商务数据库服务器的通讯;

(3)银行内部网与业务网之间的数据通讯。其中(3)不在本系统的安全策略范围内考虑。

2.安全链路

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

三、应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件，特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制(最少许可)，程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

四、用户的认证管理

1.身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2.CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

五、安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。

对于所有接触系统的人员，按其职责设定其访问系统的最小权限。

按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

㈨ 电子商务常用的安全措施

就整个系统而言，安全性可以分为四个层次
1．网络节点的安全
2．通讯的安全性
3．程序的安全性
4．用户的认证管理
其中2、3、4层是通过操作系统和Web服务器软件实现，网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。
一、网络节点的安全
1．防火墙
防火墙是在连接Internet和Intranet保证安全最为有效的，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。
2．防火墙安全策略
应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
3．安全操作系统
防火墙是基于操作系统的。如果信息通过操作系统的后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。
二、通讯的安全
1．数据通讯
通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全，一定程度上取决于加密的算法和加密的强度。 电子商务系统的数据通信主要存在于：
（1）客户浏览器端与电子商务WEB服务器端的通讯；
（2）电子商务WEB服务器与电子商务数据库服务器的通讯；
（3）银行内部网与业务网之间的数据通讯。其中（3）不在本系统的安全策略范围内考虑。

2．安全链路
在客户端浏览器和商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。采用的是浏览器缺省的4O位加密强度，也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
三、程序的安全性
即使正确地配置了访问控制规则，要满足机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运 行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一 些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。
四、用户的认证管理
1．身份认证
电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。
2．CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。
五、安全管理
为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。
对于所有接触系统的人员，按其职责设定其访问系统的最小权限。
按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。
建立安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。
对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证1OO％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。