電子商務(wù)有哪些方面的安全問題

電子商務(wù)有哪些方面的安全問題電子商務(wù)有哪些方面的安全問題電子商務(wù)有哪些方面的安全問題xxx公司電子商務(wù)有哪些方面的安全問題文件編號：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計，管理制度一、電子商務(wù)存在的安全問題編輯本段電子商務(wù)簡單的說就是利用Internet進(jìn)行的交易活動，電子商務(wù)："電子"+"商務(wù)"，從電子商務(wù)的定義可以了解電子商務(wù)的安全也就相應(yīng)的分為兩個方面的安全：一方面是"電子"方面的安全，就是電子商務(wù)的開展必須利用Internet來進(jìn)行，而Internet本身也屬于計算機(jī)網(wǎng)絡(luò)，所以電子商務(wù)的第一個方面的安全就是計算機(jī)網(wǎng)絡(luò)的安全，它包括計算機(jī)網(wǎng)絡(luò)硬件的安全與計算機(jī)網(wǎng)絡(luò)軟件的安全，計算機(jī)網(wǎng)絡(luò)存在著很多安全威脅，也就給電子商務(wù)帶來了安全威脅；另一方面是"商務(wù)"方面的安全，是把傳統(tǒng)的商務(wù)活動在Internet上開展時，由干Internet存著很多安全隱患給電子商務(wù)帶來了安全威脅，簡稱為"商務(wù)交易安全威脅"。這兩個方面的安全威脅也就給電子商務(wù)帶來了很多安全問題：（一）計算機(jī)網(wǎng)絡(luò)安全威脅電子商務(wù)包含"三流"：信息流、資金流、物流，"三流"中以信息流為核心為最重要，電子商務(wù)正是通過信息流為帶動資金流、物流的完成。電子商務(wù)跟傳統(tǒng)商務(wù)的最重要的區(qū)別就是以計算機(jī)網(wǎng)絡(luò)來傳遞信息，促進(jìn)信息流的完成。計算機(jī)網(wǎng)絡(luò)的安全必將影響電子商務(wù)中的"信息流"的傳遞，勢必影響電子商務(wù)的開展。計算機(jī)網(wǎng)絡(luò)存在以下安全威脅：1.黑客攻擊黑客攻擊是指黑客非法進(jìn)入網(wǎng)絡(luò)，非法使用網(wǎng)絡(luò)資源。隨著互聯(lián)網(wǎng)的發(fā)展，黑客攻擊也是經(jīng)常發(fā)生，防不勝防，黑客利用網(wǎng)上的任何漏洞和缺陷修改網(wǎng)頁、非法進(jìn)入主機(jī)、竊取信息等進(jìn)行相關(guān)危害活動。2003年，僅美國國防部的"五角大樓"就受到了了230萬次對其網(wǎng)絡(luò)的嘗試性攻擊。從這里可以看出，目前黑客攻擊已成為了電子商務(wù)中計算機(jī)網(wǎng)絡(luò)的重要安全威脅。2.計算機(jī)病毒的攻擊病毒是能夠破壞計算機(jī)系統(tǒng)正常進(jìn)行，具有傳染性的一段程序。隨著互聯(lián)網(wǎng)的發(fā)展，病毒利用互聯(lián)網(wǎng)，使得病毒的傳播速度大大加快，它侵入網(wǎng)絡(luò)，破壞資源，成為了電子商務(wù)中計算機(jī)網(wǎng)絡(luò)的又一重要安全威脅。3.拒絕服務(wù)攻擊拒絕服務(wù)攻擊（DoS）是一種破壞性的攻擊，它是一個用戶采用某種手段故意占用大量的網(wǎng)絡(luò)資源，使系統(tǒng)沒有剩余資源為其他用戶提供服務(wù)的攻擊。目前具有代表性的拒絕服務(wù)攻擊手段包括SYNflood、ICMPflood、UDPflood等。隨著互聯(lián)網(wǎng)的發(fā)展，拒絕服務(wù)攻擊成為了網(wǎng)絡(luò)安全中的重要威脅。（二）商務(wù)交易安全威脅把傳統(tǒng)的商務(wù)活動在Internet上進(jìn)行，由于Internet本身的特點，存在著很多安全威脅，給電子商務(wù)帶來了安全問題。Internet的產(chǎn)生源于計算機(jī)資源共享的需求，具有很好的開放性，但正是由子它的開放性，使它產(chǎn)生了更嚴(yán)重的安全問題。Internet存在以下安全隱患：1.開放性開放性和資源共享是Internet最大的特點，但它的問題卻不容忽視的。正是這種開放性給電子商務(wù)帶來了安全威脅。2.缺乏安全機(jī)制的傳輸協(xié)議TCP／IP協(xié)議是建立在可信的環(huán)境之下，缺乏相應(yīng)的安全機(jī)制，這種基于地址的協(xié)議本身就會泄露口令，根本沒有考慮安全問題；TCP／IP協(xié)議是完全公開的，其遠(yuǎn)程訪問的功能使許多攻擊者無須到現(xiàn)場就能夠得手，連接的主機(jī)基于互相信任的原則等這些性質(zhì)使網(wǎng)絡(luò)更加不安全。3.軟件系統(tǒng)的漏洞隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或"后門"也不可避免的存在。如cookie程序、JAVA應(yīng)用程序、IE瀏覽器等這些軟件與程序都有可能給我們開展電子商務(wù)帶來安全威脅。4.信息電子化電子化信息的固有弱點就是缺乏可信度，電子信息是否正確完整是很難由信息本身鑒別的，而且在Internet傳遞電子信息，存在著難以確認(rèn)信息的發(fā)出者以及信息是否被正確無誤地傳遞給接收方的問題。（三）計算機(jī)網(wǎng)絡(luò)安全威脅與商務(wù)交易安全威脅給電子商務(wù)帶來的安全問題1.信息泄露在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄露，以上計算機(jī)網(wǎng)絡(luò)安全威脅與Internet的安全隱患可能使得電子商務(wù)中的信息泄漏，主要包括兩個方面：（1）交易一方進(jìn)行交易的內(nèi)容被第三方竊取。（2）交易一方提供給另一方使用的文件第三方非法使用。2.篡改正是由于以上計算機(jī)網(wǎng)絡(luò)安全威脅與Internet的安全隱患，電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中，可能被他人非法地修改、刪除或重放（指只能使用一次的信息被多次使用），這樣就使信息失去了真實性和完整性。3.身份識別正是由于電子商務(wù)交易中交易兩方通過網(wǎng)絡(luò)來完成交易，雙方互不見面、互不認(rèn)識，計算機(jī)網(wǎng)絡(luò)的安全威脅與Internet的安全隱患，也可能使得電子商務(wù)交易中出現(xiàn)身交易身份偽造的問題。4.信息破壞計算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞，如計算機(jī)病毒、特洛伊木馬程序、邏輯炸彈等，導(dǎo)致電子商務(wù)中的信息在傳遞過程被破壞。5.破壞信息的有效性電子商務(wù)中的交易過程中是以電子化的信息代替紙面信息，這些信息我們也必須保證它的時間的有效與本身信息的有效，必須能確認(rèn)該信息確是由交易一方簽發(fā)的，計算機(jī)網(wǎng)絡(luò)安全威脅與Internet的安全隱患，使得我們很難保證電子商務(wù)中的信息有效性。6.泄露個人隱私隱私權(quán)是參與電子商務(wù)的個人非常關(guān)心的一個問題。參與到電子商務(wù)中的個人就必須提供個人信息，計算機(jī)網(wǎng)絡(luò)安全威脅與Internet的安全隱患有可能導(dǎo)致個人信息泄露，破壞到個人隱私。二、電子商務(wù)的安全要求編輯本段正是由于電子商務(wù)的開展過程中存在著很多安全問題，我們要使得電子商務(wù)正常有序的進(jìn)行，就必須保證電子商務(wù)的安全，解決以上的安全問題，營造一個安全的電子商務(wù)環(huán)境，那么這樣一個安全的電子商務(wù)環(huán)境又有哪些安全要求，成為我們解決電子商務(wù)存在的安全問題接下來要解決的問題：（一）信息的保密性交易中的商務(wù)信息一般都有保密的要求，信息內(nèi)容不能隨便被他人獲取，尤其是涉及到一些商業(yè)機(jī)密及有支付等敏感信息時，信息的保密性就顯得更為重要了。（二）信息的完整性信息的完整性包括電子商務(wù)中的信息不被篡改、不被遺漏。（三）通信的不可抵賴、不可否認(rèn)在電子商務(wù)活動中一條信息被發(fā)送或被接收后，應(yīng)該通過一定的方式，保證信息的各方有足夠的證據(jù)證明接收或發(fā)送的操作已經(jīng)發(fā)生。（四）交易各方身份的認(rèn)證要使網(wǎng)上交易成功，參與交易的人首先要能確認(rèn)對方的身份，確定對方的真實身份與對方所聲稱的是否一致。（五）信息的有效性電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。（六）個人隱私權(quán)的保護(hù)電子商務(wù)中是否可以保護(hù)個人隱私權(quán)，勢必影響到個人消者者參與電子商務(wù)的積極性。三、電子商務(wù)的安全對策編輯本段要營造一個滿足電子商務(wù)安全要求的電子商務(wù)環(huán)境，就相應(yīng)的要解決兩個方面安全威脅：一是計算機(jī)網(wǎng)絡(luò)的安全威脅，二是商務(wù)交易的安全威脅，所帶來的電子商務(wù)的安全問題。我們營造安全的電子商務(wù)環(huán)境的對策主要有：（一）利用電子商務(wù)安全技術(shù)1.計算機(jī)網(wǎng)絡(luò)安全技術(shù)電子商務(wù)中利用的重要工具計算機(jī)網(wǎng)絡(luò)，存在著很多的安全威脅，計算機(jī)網(wǎng)絡(luò)的建立足我們開展電子商務(wù)的基礎(chǔ)，我們要保證電子商務(wù)的安全，首先就要保證計算機(jī)網(wǎng)絡(luò)的安全。（1）防火墻技術(shù)防火墻是指隔離在本地網(wǎng)絡(luò)與外界之間的一道防御設(shè)施，是這一類防范措施的總稱。它能夠限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶：允許內(nèi)部網(wǎng)的一部分主機(jī)被外部網(wǎng)訪問，另一部分被保護(hù)起來；限定內(nèi)部網(wǎng)的用戶對互聯(lián)網(wǎng)上特殊站點的訪問；為監(jiān)視互聯(lián)網(wǎng)安全提供方便。對手我們營造安全的電子商務(wù)環(huán)境目前最安全的方法就是利用雙防火墻雙服務(wù)器方式。（2）入侵檢測系統(tǒng)（IDS）防火墻雖然很好，但是防火墻也有很多的不足，比如防火墻不能防范不經(jīng)由防火墻的攻擊、防火墻不能防范新的網(wǎng)絡(luò)安全問題。為了彌補(bǔ)防火墻的不足，我們可以利用入侵檢測系統(tǒng)，來保證計算機(jī)網(wǎng)絡(luò)的安全。入侵檢測（IntrusionDetection），顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的軟件與硬件的組合就是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）。（3）虛擬專用網(wǎng)（VPN）技術(shù)虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）是一門網(wǎng)絡(luò)新技術(shù)。顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，它利用不可靠的公用聯(lián)網(wǎng)絡(luò)作為信息傳輸媒介，通過附加的安全隧道，用戶認(rèn)證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全功能，從而實現(xiàn)對重要信息的安全傳輸。利用虛擬專用網(wǎng)技術(shù)，我們可以營造一個相對安全的網(wǎng)絡(luò)。（4）病毒防治技術(shù)電子商務(wù)中的計算機(jī)網(wǎng)絡(luò)不斷受到病毒攻擊的危害，為了把計算機(jī)病毒的危害減小到最低，我們可以從以下幾方面從入手：一是高度重視計算機(jī)病毒；二是安裝計算機(jī)病毒防治軟件，不斷更新病毒庫。2.商務(wù)交易安全技術(shù)為了營造一個安全的電子商務(wù)環(huán)境，我們一定要保證傳統(tǒng)的商務(wù)活動在互聯(lián)網(wǎng)上進(jìn)行的安全，我們就應(yīng)該建立一個電子商務(wù)的安全體系。（1）基本加密技術(shù)將明文數(shù)據(jù)進(jìn)行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。采用密碼技術(shù)對信息進(jìn)行加密，是最常用的安全手段。在電子商務(wù)中，獲得廣泛應(yīng)用的現(xiàn)代加密技術(shù)有以下兩種：對稱加密體制和非對稱加密體制。基本加密技術(shù)是電子商務(wù)安全體系的基礎(chǔ)，也是安全認(rèn)證手段和安全協(xié)議的基礎(chǔ)，利用它可以保證電子商務(wù)中信息的保密性。（2）安全認(rèn)證手段利用基本加密技術(shù)還只能保證電子商務(wù)中信息的保密性，為了營造安全的電子商務(wù)環(huán)境，我們還必須保證電子商務(wù)中的信息的完整性，通信的不可抵賴、不可否認(rèn)，交易各方身份的認(rèn)證，信息的有效性，這就得利用以基本加密技術(shù)為基礎(chǔ)開發(fā)的安全認(rèn)證手段：①利用數(shù)字信封技術(shù)保證電子商務(wù)中信息的保密性。②利用以Hash函數(shù)為核心的數(shù)字摘要技術(shù)來保證電子商務(wù)中信息的完整性。③建立CA認(rèn)證體系給電子商務(wù)交易各方發(fā)放數(shù)字證書，保證電子商務(wù)中交易各方身份的認(rèn)證。在電子商務(wù)中，為了使眾多的認(rèn)證機(jī)構(gòu)CA（CertificationAuthority）具有一個開放的標(biāo)準(zhǔn)，使以之間能夠互聯(lián)、互相認(rèn)證，實現(xiàn)安全的CA管理，這就需要建立公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，簡稱PKI）。④利用數(shù)字時間戳來保證電子商務(wù)中信息的有效性。⑤利用數(shù)字簽名技術(shù)來保證電子商務(wù)中的通信的不可抵賴、不可否認(rèn)，信息的有效性。（3）安全協(xié)議要保證電子商務(wù)環(huán)境的安全，必須把安全認(rèn)證手段跟安全協(xié)議配合起來建立電子商務(wù)安全解決方案。目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用，即安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議。（二）制定電子商務(wù)安全管