阿里巴巴電子商務(wù)中存在的安全隱患及其應(yīng)對策略

阿里巴巴電子商務(wù)中存在的安全隱患及其應(yīng)對策略一、公司介紹阿里巴巴(英語:ＡCorporaｔion),中國最大的網(wǎng)絡(luò)公司和世界第二大網(wǎng)絡(luò)公司，是由馬云在1999年一手創(chuàng)立企業(yè)對企業(yè)的網(wǎng)上貿(mào)易市場平臺。２003年5月,投資一億元人民幣建立個人網(wǎng)上貿(mào)易市場平臺——淘寶網(wǎng)。２004年10月,阿里巴巴投資成立支付寶公司,面向中國電子商務(wù)市場推出基于中介的安全交易服務(wù)。阿里巴巴在香港成立公司總部,在中國杭州成立中國總部，并在海外設(shè)立美國硅谷、倫敦等分支機構(gòu)、合資企業(yè)３家，在中國北京、上海、浙江、山東、江蘇、福建、廣東等地區(qū)設(shè)立分公司、辦事處十多家。阿里巴巴集團經(jīng)營多項業(yè)務(wù)，另外也從關(guān)聯(lián)公司的業(yè)務(wù)和服務(wù)中取得經(jīng)營商業(yè)生態(tài)系統(tǒng)上的支援。業(yè)務(wù)和關(guān)聯(lián)公司的業(yè)務(wù)包括:HYＰERLＩＮＫ"htｔp：／/baike.bａｉdu.cｏm/ｖiew/1５9０.htm"＼t"＿ｂlank"淘寶網(wǎng)、＼t＂＿ｂｌａnk"天貓、HYPＥRLINＫ"http:/／ｂaｉｋe.baidu.ｃom/view/３6２４８6９．hｔm"\t"_bｌａnk"聚劃算、HYPＥRLINK"ｈtｔp：//baiｋe.baidu.cｏｍ/viｅｗ/30９5３５7.htm"\ｔ＂_blank"全球速賣通、阿里巴巴國際交易市場、16８８、ＨYＰEＲLINK"ｈttｐ：／/ｂaike.baidu.coｍ/view/151358.htm＂\t"_blanｋ"阿里媽媽、ＨＹPEＲLINK"http：//baike．/view／28１7287.htm＂\t"_blaｎk＂阿里云、HYPERLＩNK"htｔp://baiｋe.ｂａｉｄu.cｏm/view／15171507.htm＂\t"_bｌａnk"螞蟻金服、HＹＰＥRLINK"http：//baike.ｂaidu．ｃom/vｉew/66705４1．ｈtm"＼ｔ＂＿blank"菜鳥網(wǎng)絡(luò)等。二、阿里巴巴公司存在的安全隱患1、電腦端支付寶的安全漏洞阿里巴巴支付寶AcｔiｖeX控件存在一處嚴重漏洞,黑客可以利用該漏洞來種植木馬,對支付寶用戶造成安全隱患。反病毒中心表示，監(jiān)測到阿里巴巴支付寶的一處嚴重安全漏洞,利用該漏洞的源代碼也被公布到網(wǎng)上。相關(guān)檢測人士稱,針對這個漏洞，黑客可以編寫惡意網(wǎng)頁,若用戶電腦中安裝過支付寶，在瀏覽黑客網(wǎng)頁時就可能被執(zhí)行任意代碼。換言之,若用戶電腦被黑客種植了木馬，用戶密碼、賬戶很可能會被竊取,從而面臨安全威脅。此外，他還表示,目前所有版本的阿里巴巴支付寶均包含此漏洞,尚無官方解決方案。有人建議表示，為避免受此漏洞影響,可先臨時卸載支付寶,等支付寶更新升級后再安裝。此外，用戶也可選擇刪除系統(tǒng)目錄下的pta.dlｌ文件，但這樣可能造成用戶無法正常使用支付寶功能。2、手機端支付寶的安全漏洞支付寶手機客戶端是支付寶針對手機推出的客戶端軟件，主要包括如下功能：1）轉(zhuǎn)帳功能。通過轉(zhuǎn)帳功能可以向其他的支付寶帳戶及銀行卡轉(zhuǎn)帳。２)對淘寶網(wǎng)和其它網(wǎng)站拍下的商品，用支付寶手機客戶端付款和確認收貨;3)賬務(wù)和交易明細的查詢；4）記帳本功能。對日常開支及交易進行記錄。5)手機話費充值，充值有優(yōu)惠;6）支持提現(xiàn)功能。7）校園一卡通以上業(yè)務(wù)介紹中有一項充值業(yè)務(wù)--－卡通。就是由銀行借記卡直接與支付寶賬戶通過銀行系統(tǒng)(網(wǎng)上銀行,電話銀行,柜臺等)捆綁,實現(xiàn)快速充值與支付的業(yè)務(wù)。這項業(yè)務(wù)存在了很大的安全隱患,官方介紹說與支付寶賬戶捆綁的手機來實現(xiàn)手機客戶端的一一對應(yīng)，但在當下十分流行的iphone中,支付寶沒有做到手機號與手機端對應(yīng)。在手機客戶端根本沒有任何插件（證書，U盾，手機動態(tài)口令等）的驗證可以實現(xiàn)充值或支付。說會有安全隱患是因為如果手機遺失,手機號碼第一時間掛失,但iphｏnｅ被別人撿到很有可能造成資金被竊取。雖然支付寶沒有默認密碼登錄,但還是有一定風(fēng)險。3、其他安全威脅阿里巴巴公司最為中國規(guī)模最大的網(wǎng)絡(luò)公司，在進行電子商務(wù)的過程中,也必然會存在互聯(lián)網(wǎng)的安全威脅和交易漏洞。１)病毒感染。我國計算機病毒感染率自２001年以來就一直處于較高的水平;2）黑客攻擊。其中主要包括網(wǎng)頁篡改和僵尸網(wǎng)絡(luò)兩種;3)網(wǎng)絡(luò)仿冒。網(wǎng)絡(luò)仿冒在國際上通稱為“Phiｓhing”，在我國也稱為網(wǎng)絡(luò)欺詐、網(wǎng)頁仿冒或者是網(wǎng)絡(luò)釣魚。它通常是通過仿冒正規(guī)的網(wǎng)站來欺瞞誘騙用戶提供各種個人信息,如銀行賬戶和口令等。甚至干脆通過在假網(wǎng)頁或者誘餌郵件中嵌入惡意代碼的手段給用戶計算機植入木馬來直接騙取個人信息。有關(guān)數(shù)據(jù)統(tǒng)計顯示,進入20０4年后，全球網(wǎng)頁仿冒攻擊平均每月增加５２%;4)其他方面還包括:安全協(xié)議問題。目前，安全協(xié)議還沒有國際性的標準和規(guī)范，在安全管理方面還存在著很大的安全隱患;系統(tǒng)中斷或癱瘓,網(wǎng)絡(luò)物理設(shè)備故障、軟件設(shè)計不合理、硬件故障、操作失誤、應(yīng)用程序錯誤以及計算機病毒都可能導(dǎo)致系統(tǒng)中斷或癱瘓,從而造成很大的安全隱患;服務(wù)器的安全問題,電子商務(wù)服務(wù)器是電子商務(wù)系統(tǒng)的核心,安裝了大量與電子商務(wù)有關(guān)的軟件和商家的信息,并且在服務(wù)器的數(shù)據(jù)庫中儲存著一些敏感數(shù)據(jù)。服務(wù)器一旦受到侵入,重要的機密信息將會被竊取，威脅到整個電子商務(wù)系統(tǒng)的安全。商務(wù)交易安全方面還存在信息在傳輸?shù)倪^程中被截獲;信息在傳輸?shù)倪^程中被篡改；信息在傳輸?shù)倪^程中被破壞；冒充合法用戶進行操作;對交易信息進行抵賴。電子商務(wù)安全在管理方面和法律方面還存在著很大的安全隱患。如操作人員操作失誤可能導(dǎo)致重大的安全事故;電子商務(wù)方面的法律還不夠健全，不法分子極有可能鉆法律空子,造成安全隱患。三、主要解決技術(shù)1、電腦端支付寶的安全漏洞解決辦法對于,反病毒公司認為支付寶存在嚴重的安全漏洞的說法，支付寶公司已尋求第三方認證中心對支付寶安全控件進行檢測，并發(fā)表聲明說不存在上述安全漏洞。雖然如此,支付寶表示,為了用戶安全，已經(jīng)進一步升級和加固了支付寶控件。例如，支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司發(fā)布公告,針對Fｉrefox（火狐瀏覽器）用戶,正式推出名為“支付寶安全控件（AｌiPａｙSｅcurityControl)”的Fｉreｆox附加組件，開始對非IＥ內(nèi)核瀏覽器進行支持，方便更多用戶網(wǎng)上購物時的資金結(jié)算。除此之外，支付寶還有支付寶中寶等安全控件，在這些安全控件不斷完善的情況下,支付寶的安全性能將會越來越高。2、手機端支付寶的安全漏洞解決辦法對于這個問題,支付寶客服部回復(fù)的說法是普通手機可以做到“號機對應(yīng)”,但對于iphone這類新型的手機存在這方面的問題卻不知情，但會反映給技術(shù)部盡快處理的。３、其他安全威脅應(yīng)對技術(shù)１)網(wǎng)絡(luò)安全檢測設(shè)備。從事電子商務(wù)活動的企業(yè)和個人，應(yīng)安裝網(wǎng)絡(luò)安全檢測設(shè)備，加強對攻擊行為的網(wǎng)絡(luò)監(jiān)控;2）訪問設(shè)備。通過類似智能卡這樣的訪問設(shè)備，可以杜絕非法人員接近安全系統(tǒng),為Wｅb安全又添加了一道保險；3）防火墻技術(shù)。防火墻是位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個信任程度不同的網(wǎng)絡(luò)之間的軟件和硬件的組合，是網(wǎng)絡(luò)安全的第一道防線。防火墻技術(shù)被認為是一種控制訪問機制，限制哪些內(nèi)部服務(wù)可以訪問外部、哪些外部服務(wù)可以訪問內(nèi)部。但是，防火墻技術(shù)無法控制內(nèi)部人員的攻擊。目前，實現(xiàn)防火墻技術(shù)的主要途徑有：數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)；4）瀏覽器\服務(wù)器軟件。SSL是安全套接層協(xié)議,它可以為瀏覽器和服務(wù)器之間的通信提供加密的環(huán)境；5）端口保護。任何黑客在攻擊服務(wù)器系統(tǒng)時，都會在系統(tǒng)端口處留下訪問痕跡，因此及時對服務(wù)器端口的運行狀態(tài)進行跟蹤記錄，就能了解到服務(wù)器的安全狀態(tài)。一旦發(fā)現(xiàn)有陌生端口被打開,或者某個端口運行了陌生的應(yīng)用程序時,網(wǎng)絡(luò)管理人員就必須立即切斷網(wǎng)絡(luò)連接,然后采取相應(yīng)的應(yīng)對措施,來保證服務(wù)器拒絕受到外來攻擊;６)訪問控制。訪問控制決定了誰可以訪問系統(tǒng),他能訪問系統(tǒng)里的哪些資源及能對這些資源進行何種操作；7）數(shù)據(jù)加密。數(shù)據(jù)加密是最基本的安全技術(shù)，采用加密算法在傳輸前對需要進行傳輸?shù)臄?shù)據(jù)進行加密,當數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時,還可以采用鏈路—鏈路加密、節(jié)點加密和端—端加密等網(wǎng)絡(luò)加密方式；8)數(shù)字證書。數(shù)字證書是由權(quán)威的第三方機構(gòu)——認證中心(ＣA)使用自己的私鑰簽名之后簽發(fā)給網(wǎng)絡(luò)實體的。通過它，可以對網(wǎng)絡(luò)中實體的身份進行認證,實現(xiàn)信息的認證性、完整性和不可否認性;9）保護傳輸線路安全。通過搭線的方式，攻擊者可以竊聽網(wǎng)絡(luò)上傳輸?shù)男畔?，而且目前有線網(wǎng)絡(luò)還是占據(jù)著很大的市場,一旦傳輸線路出現(xiàn)問題,將導(dǎo)致網(wǎng)絡(luò)不通,所以傳輸線路應(yīng)有露天保護措施或埋于地下，并要求遠離各種輻射源。電纜鋪設(shè)應(yīng)當使用金屬導(dǎo)管,以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。集中器和調(diào)制解調(diào)器應(yīng)放置在受監(jiān)視的地方,以防外連的企圖;對連接要定期檢查