电子商务安全事件范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇电子商务安全事件范例，将为您的写作提供有力的支持和灵感！

篇1

一、电子商务中存在安全的问题

（一）网络信息安全方面

1.服务器的安全问题。电子商务服务器是电子商务的核心，安装了大量的与电子商务有关的软件和商家信息，并且服务器上的数据库里有电子商务活动过程中的一些保密数据。因此服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果也是非常严重。

2.网络信息的安全问题。非法用户在网络的传输上使用不正当手法，非法拦截会话数据获得合法用户的有效信息，最终导致合法用户的一些核心业务数据泄密或者是非法用户对截获的网络数据进行一些恶意篡改，如增加、减少和删除等操作，从而使信息失去真实性和完整性，导致合法用户无法正常交易，还有一些非法用户利用截获的网络数据包再次发送，恶意攻击对方的网络硬件和软件。

3.网络安全中的病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介，不少新病毒直接以互联网作为自己的传播途径，电脑病毒问世10多年来，各种新型病毒及其变种迅速增加，不少新病毒直接以互联网作为自己的传播途径，还有众多病毒借助于互联网传播得更快，如何在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。

（二）电子商务交易方面

1.交易身份的不确定。电子商务是一种全球各地广泛的商业贸易活动在开放的网络环境下，基于浏览器/服务器应用方式，在买卖双方不谋面的情况下进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动。正是基于这个特点攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易。

2.交易协议安全性问题。企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。TCP/IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；TCP/IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使网络更加不安全。

二、加强电子商务网站的安全措施

我们从技术手段的角度，从系统安全和数据安全的不同层面来探索电子商务中出现的网络安全新问题。

（一）信息系统安全

对于一个企业来说，信息的安全尤为重要，这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。

1.网络系统。网络系统安全是网络的开放性、无边界性、自由性造成，安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来，使网络成为可控制、管理的内部系统，由于网络系统是应用系统的基础，网络安全便成为首要新问题。解决网络安全主要方式有如下几种方法：

一是网络冗余。它是解决网络系统单点故障的重要办法。对关键性的网络线路、设备，通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整，当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配，保证网络正常的运行。

二是系统隔离。分为物理隔离和逻辑隔离，主要从网络安全等级考虑划分合理的网络安全边界，使不同安全级别的网络或信息媒介不能相互访问，从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。

三是访问控制。对于网络不同信任域实现双向控制或有限访问原则，使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制，对于网络资源来说保持有限访问的原则，信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙，它一般安置在不同安全域出入口处，对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制，同时实现网络地址转换、实时信息审计警告等功能，高级防火墙还可实现基于用户的细粒度的访问控制。

四是身份鉴别。是对网络访问者权限的识别，一般通过三种方式验证主体身份，一是主体了解的秘密，如用户名、口令、密钥；二是主体携带的物品，如磁卡、IC卡、动态口令卡和令牌卡等；三是主体特征或能力，如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏，保证信息传输安全，对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现，即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿，它对网络高层主体是透明的。网络层加密采用IPSEC核心协议，具有加密、认证双重功能，是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网（VPN），使企业在较少投资下得到安全较大的回报，并保证用户的应用安全。

五是安全监测。采取信息侦听的方式寻找未授权的网络访问尝试和违规行为，包括网络系统的扫描、预警、阻断、记录、跟踪等，从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段，具有实时、自适应、主动识别和响应等特征，广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析，包括网络通信服务、路由器、防火墙、邮件、WEB服务器等，从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成具体报告，包括位置、具体描述和建议的改进方案，使网管能检测和管理安全风险信息。

2.操作系统

操作系统是管理计算机资源的核心系统，负责信息发送、管理设备存储空间和各种系统资源的调度，它作为应用系统的软件平台具有通用性和易用性，操作系统安全性直接关系到应用系统的安全，操作系统安全分为应用安全和安全漏洞扫描。

一是应用安全。面向应用选择可靠的操作系统，可以杜绝使用来历不明的软件。用户可安装操作系统保护和恢复软件，并作相应的备份。

二是系统扫描。它基于主机的安全评估系统，是对系统的安全风险级别进行划分，并提供完整的安全漏洞检查列表，通过不同版本的操作系统进行扫描分析，对扫描漏洞自动修补形成报告，保护应用程序、数据免受盗用、破坏。

3.应用系统

办公系统文件（邮件）的安全存储摘要：利用加密手段，配合相应的身份鉴别和密钥保护机制（IC卡、PCMCIA安全PC卡等），使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态，使得他人即使通过各种手段非法获取相关文件或存储介质（硬盘等），也无法获得相关文件的内容。

文件（邮件）的安全传送，对通过网络（远程或近程）传送给他人的文件进行安全处理（加密、签名、完整性鉴别等），使得被传送的文件只有指定的收件者通过相应的安全鉴别机制（IC卡、PCMCIA PC卡）才能解密并阅读，杜绝了文件在传送或到达对方的存储过程中被截获、篡改等，主要用于信息网中的报表传送、公文下发等。

业务系统的安全，主要面向业务管理和信息服务的安全需求。对通用信息服务系统（电子邮件系统、WEB信息服务系统、FTP服务系统等）采用基于应用开发安全软件，如安全邮件系统、WEB页面保护等；对业务信息可以配合管理系统采取对信息内容的审计稽查，防止外部非法信息侵入和内部敏感信息泄漏。

（二）数据安全

数据安全牵涉到数据库的安全和数据本身安全，针对两者应有相应的安全办法。

一是数据库安全。大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库，基于数据库的重要性，应在此基础上开发一些安全办法，增加相应控件，对数据库分级管理并提供可靠的故障恢复机制，实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。

二是数据安全。指存储在数据库数据本身的安全，相应的保护办法有安装反病毒软件，建立可靠的数据备份和恢复系统，某些重要数据甚至可以采取加密保护。

（三）网络交易平台的安全

网上交易安全位于系统安全风险之上，在数据安全风险之下。只有提供一定的安全保证，在线交易的网民才会具有安全感，电子商务网站才会具有发展的空间。

一是交易安全标准。目前在电子商务中主要的安全标准有两种摘要：应用层的SET（安全电子交易）和会话层SSL（安全套层）协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准，主要用于银行等金融机构；后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议，事实上已成为WWW网络的应用安全标准。

二是交易安全基础体系。交易安全基础是现代密码技术，依靠于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长，对称密钥具有加密效率高，但存在密钥分发困难、管理不便的弱点；非对称密钥加密速度慢，但便于密钥分发管理。通常把两者结合使用，以达到高效安全的目的。

三是交易安全的实现。交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证实，同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

随着电子商务的发展，网上交易越来越频繁，调用每项服务时需要用户证实身份，也需要这些服务器向客户证实他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。PKI的应用主要是在它的CA认证技术。CA（Certification Authorty）是一个确保信任度的权威实体，主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证实—证书，任何相信该CA的人，按照第三方信任原则，都应当相信持有证实的该用户。CA也要采取一系列相应的办法来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅和密码学有关系，而且和整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，并能很好地和其他厂家的CA产品兼容。在不久的将来，PKI技术会在电子商务和网络安全中得到更广泛的应用，从而真正保障用户和商家的身份安全。

三、信息安全的发展方向

从历史角度看，我国信息网络安全探究历经了通信保密、数据保护两个阶段，正在进入网络信息安全探究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域，它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展探究，各部分相互协同形成有机整体。

篇2

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

E-commerce Site Construction Safety Research and Practice

Guo Bin

(Hunan Xiangtan Education College,Xiangtan411100,China)

Abstract:With the network technology continues to progress and development,gave birth to the birth of electronic commerce,its high efficiency and low cost advantages to grow quickly.As a new e-commerce trading,enterprises and users use a more convenient and intuitive information exchange platform has gradually become a new impetus to economic growth.

How the advantages of internet to establish a secure operating environment,protection of trade for both information security,a depth of e-commerce process,a problem can not be ignored.

Keywords:Electronic commerce;Web development;Security policy;Site performance;Site deployment

近几年,电子商务的蓬勃发展已经成为经济增长的重要组成部分。作为一种新兴的交易方式,电子商务效率高、成本低的运作优势已经逐步得到公众的认可。然而,作为借助网络依托而产生的交易方式,网上的信息安全成为了制约电子商务发展的最大难题。因此,如何结合网络安全措施,确保企业网上信息的完整性和交易客户信息的私密性,是电子商务网络平台应该提供的最基本安全保障。建立起安全、便捷、友好的交易界面,增加产品信息的开放性,是电子商务走向繁荣的必经之路。

一、电子商务网站建设过程中的安全性研究与实现

电子商务网站的建设不仅要考虑到企业信息的开放性,也要考虑到交易过程的私密性。借助计算机网络提供的便捷服务,要建立在信息交互保密的基础上,在网站的设计、开发和投入使用过程中只有解决了根本上运营保障问题,才能够发挥电子商务强大的功能力量,成为企业与用户双向选择的焦点所在。

(一)敏感字段的加密过程

任何一个电子商务网站,从根本上来讲是一个信息交互的平台,只有实现了信息传输的安全保护,才能够完成电子商务网站的基本构建。在网络上的信息,要防止非法的肆意篡改,对于电子商务网站还包括了用户之间交易时私密信息被窃取的风险,这些都是网络数据传输中不可避免的问题,只有从信息安全技术手段上进行改进,对电子商务网站上的信息进行加密处理,才可能避免以上情况的发生,降低用户因信息丢失造成损失的风险。采用敏感字段加密技术,对浏览器的客户端采用数字安全证书认证的方式,对用户的身份、信息和访问级别进行识别,一方面保证了用户信息的私密性,另一方面也保护了网站上信息的安全。此外,由于敏感字段被加密,即便出现了信息被截取或盗取的情况,也由于难以破解加密的密文,而免于重要信息的泄露风险。

(二)数据存储与查询的效率性

消费者对电子商务网站的访问,大部分操作是以信息查询为主,提高网站信息的查询效率和检索信息的准确性,可以在极大程度上促进企业与消费者的交易成功率。每个消费者都有各自的消费主张和产品性能关注点,因此,电子商务网站就是要在数据存储过程中尽量避免冗余信息的录入,造成查询效率低下,降低电子商务的功效性。因此,要严格遵守数据库的设计规范,将网上的信息关键字与敏感字段系统的编辑起来,提高数据存储空间的使用效率。

(三)硬件密钥与身份确认

为了保护Web页面信息的安全,应采取网页内嵌ActiveX控件的形式,结合硬件密钥来共同工作,保护网页信息与用户发出信息的安全。在用户浏览网站产生数据流的同时,可以启动ActiveX的自动下载,也可以在客户界面弹出询问对话框,确认ActiveX的运行,提醒用户网页的保护状态。硬件密钥内包含了用户的私人信息,连接到Web页面上,经过认证后,就可以保证交易过程的顺畅进行。

(四)部署安装中的安全性实现

电子商务的技术支持基础来源于计算机技术与网络技术的结合,信息安全一直是一个此消彼长的过程,安全问题的不断暴露,也促使了计算机安全与网络技术的不断成熟。一旦在基础的支持技术出现了发展滞后的情况,就等于是在自身的网站建设上将问题暴露人前,给信息窃取提供了可乘之机。对服务器的监控和服务器操作系统的安全升级,是整个网站部署安装过程中的安全保障根本,同时限制用户对服务器的访问权限,杜绝账户划分不适当带来的用户权限过大,带来威胁网站服务器安全的情况发上。具体划分为FTP组,MAIL组,DNS组等,他们之间没有交叉,管理员帐户只有一个,并且密码每周需要更换,其他组用户密码也要定期更换,以防止密码丢失。此外,也要分离各功能服务器独立运转系统,预防某一功能故障而引发整个系统的崩溃。服务器与网络的连接必然会遭受到网络上病毒与漏洞的攻击,要采用强大的杀毒软件全面保护服务器系统内部的安全,隔离病毒感染、及时修复、监控系统漏洞。

二、结语

针对电子商务网络信息传输的特点,分析了电子商务网站建设过程中的安全问题,在网站的基础构建过程中,重视信息安全的保护,提高电子商务应用的安全性。结合计算机技术与网络技术的发展趋势与技术支持方式,从数据加密、传输加密、电子签名和数据库安全等环节入手,全面提高电子商务网站的防攻击抵抗能力,全面考虑网站开发和应用过程中可能遇到的各种安全问题,予以有效解决,打造一个安全、便捷的交易平台,建造一个人性化的交易环境,为经济发展提供新的动力来源。

参考文献:

[1]方美琪.电子商务概论[M].北京:清华人学出版社.2009:12-13

篇3

(一)含义

私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。此加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。

(二)应用原理

具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。

(三)常用算法

世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES（DataEncryptionStandard，数据加密标准）算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES（AdvancedEncryptionStandard，先进加密标准）将会替代DES成为新一代加密标准。

(四)优缺点

私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。

二、公开密钥加密法

(一)定义与应用原理

公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。

(二)应用过程

具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。

1.客户甲传送一“支付通知”给网络银行乙,要求

“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。

2.网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。

(三)算法

篇4

随着网络时代的到来，越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人，而其安全问题也变得越来越突出。近年来，网络安全事件不断攀升，电子商务金融成了攻击目标，以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心（CNCERT/CC）2005处理的网络安全事件报告中，网页篡改占45.91％，网络仿冒占29%，其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为电子商务的所有参与者十分关心的话题。

一、电子商务中的主要网络安全事件分析

归纳起来，对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等，网页篡改、网络仿冒（Phishing），逐步成为影响电子商务应用与发展的主要威胁。

1.网页篡改

网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说，主页的篡改对计算机系统本身不会产生直接的损失，但对电子商务等需要与用户通过网站进行沟通的应用来说，就意味着电子商务将被迫终止对外的服务。对企业网站而言，网页的篡改，尤其是含有攻击、丑化色彩的篡改，会对企业形象与信誉造成严重损害。

2.网络仿冒（Phishing）

网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等，随后利用骗得的账号和密码窃取受骗者金钱。近年来，随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒事件在我国层出不穷，诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用，特别是电子商务应用的主要威胁之一。

网络仿冒者为了逃避相关组织和管理机构的打击，充分利用互联网的开放性，往往会将仿冒网站建立在其他国家，而又利用第三国的邮件服务器来发送欺诈邮件，这样既便是仿冒网站被人举报，但是关闭仿冒网站就比较麻烦，对网络欺诈者的追查就更困难了，这是现在网络仿冒犯罪的主要趋势之一。

3.网络蠕虫

网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪，使得各种基于网络的电子商务等应用系统失效。

4.拒绝服务攻击(Dos)

拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务，使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多，则更难进行处置。尤其是被蠕虫侵袭过的计算机，很容易被利用而成为攻击源，并且这类攻击通常是跨网进行的，加大了打击犯罪的难度。

5.特罗伊木马

特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界联接，并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。

二、解决电子商务中网络安全问题的对策研究

随着网络应用日益普及和更为复杂，网络安全事件不断出现，电子商务的安全问题日益突出，需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施，才能有效保护电子商务的正常应用与发展。

1.进一步完善法律与政策依据充分发挥应急响应组织的作用

我国目前对于互联网的相关法律法规还较为欠缺，尤其是互联网这样一个开放和复杂的领域，相对于现实社会，其违法犯罪行为的界定、取证、定位都较为困难。因此，对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法，需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点，需要建立健全协调一致，快速反应的各级网络应急体系。要制定有关管理规定，为网络安全事件的有效处理提供法律和政策依据。

互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织，在我国，CNCERT/CC是国家级的互联网应急响应组织，目前已经建立起了全国性的应急响应体系；同时，CNCERT/CC还是国际应急响应与安全小组论坛（FIRST，ForumofIncidentResponseandSecurityTeams）等国际机构的成员。应急响应组织通过发挥其技术优势，利用其支撑单位，即国内主要网络安全厂商的行业力量，为相关机构提供网络安全的咨询与技术服务，共同提高网络安全水平，能有效减少各类的网络事件的出现；通过聚集相关科研力量，研究相关技术手段，以及如何建立新的电子交易的信任体系，为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。

2.从网络安全架构整体上保障电子商务的应用发展

网络安全事件研究中看到，电子商务的网络安全问题不是纯粹的计算机安全问题，从企业的角度出发，应该建立整体的电子商务网络安全架构，结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。

安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督，安全策略的制定、实施、评估和修改，相关人员的安全意识的培训、教育，日常安全管理的具体要求与落实等。

安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护，通常是一些基本的防护，不具有实时性，如在防火墙的规则中实施一条安全策略，禁止所有外部网用户到内部网Web服务器的连接请求，一旦这条规则生效，它就会持续有效，除非我们改变这条规则。这样的保护能预防已知的一些安全威胁，而且通常这些威胁不会变化，所以称为静态保护。

安全监控和审计是实时保护的一种策略，它主要满足一种动态安全的需求。因为网络安全技术在发展的同时，黑客技术也在不断的发展，网络安全不是一成不变的，也许今天对你来说安全的策略，明天就会变得不安全，因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情，以便及时发现新的攻击，制定新的安全策略。可以这样说，安全保护是基本，安全监控和审计是其有效的补充，两者的有效结合，才能较好地满足动态安全的需要。

事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时，能及时做出响应，这需要建立一套切实有效、操作性强的响应机制，及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分，因为网络构筑没有绝对的安全，安全事件的发生是不可能完全避免的，当安全事件发生的时候，应该有相应的机制快速反应，以便让管理员及时了解攻击情况，采取相应措施修改安全策略，尽量减少并弥补攻击的损失，防止类似攻击的再次发生。当安全事件发生后，对系统可能会造成不同程度的破坏，如网络不能正常工作、系统数据被破坏等，这时，必须有一套机制能尽快恢复系统的正常应用，因为攻击既然已经发生了，系统也遭到了破坏，这时只有让系统以最快的速度运行起来才是最重要的，否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。

三、结论

Internet的快速发展，使电子商务逐渐进入人们的日常生活，而伴随各类网络安全事件的日益增加与发展，电子商务的安全问题也变得日益突出，建立一个安全、便捷的电子商务应用环境，解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。

参考文献:

[1]CNCERT/CC.2005年上半年网络安全工作报告

[2]李卫:计算机网络安全与管理.北京：清华大学出版社，2000

篇5

（一）信息被窃取

电子商务的信息在网络传输的过程中如果出现加密强度不足或者没有使用加密措施的话，可能被别人通过互联网、电磁波辐射范围内安装截取装置或在数据包通过的网关和路由器上截获数据。窃取者能够窃取交易双方交易的内容或者交易一方提供给另一方使用的文件。

（二）信息被篡改

攻击者可以对截获的信息进行篡改，主要有三个方面：（1）改变信息的次序，更改信息的内容。（2）删除某个消息或者删除消息的部分内容。（3）在原有的信息中加入一些错误的信息，使接受者误读或读不懂。总之，攻击者篡改信息，使信息失去了真实性和完整性。其中，网页篡改是将原有的网站内容更换为黑客所提供的网页。这种篡改并不会对计算机系统造成损失，但是终止了原有的电子商务活动。对企业网站来说，篡改网页可能造成企业形象和声誉被破坏。

（三）假冒合法用户身份

攻击者利用非法手段窃取用户的身份信息，冒充用户身份与他人进行交易。如假冒用户消费，假冒主机欺骗其他用户等手段，从中获得非法利益。每年都有多起假冒合法用户身份，获取非法利益的事件发生。

（四）交易抵赖

交易抵赖就是不承认自己已经做过的交易。交易抵赖存在着多方面的情形，如发信者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条信息或内容，商家卖出的商品因存在价格差而不承认原有的交易。一些在现实生活中出现的恶意抵赖行为同样出现在互联网上。

（五）计算机病毒

计算机病毒（ComputerVirus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。计算机病毒问世多年来，新型病毒不断出现及其变种迅速增加。互联网又为病毒的传播提供了媒介，计算机病毒的传播，经常造成巨大的经济损失。客户在网络上进行交易，确保网络传输数据的安全是电子商务能否发展壮大的关键问题。如果解决不好网络安全问题，可能会让客户通过互联网交易造成极大的损失，将阻碍电子商务的健康发展。

二、解决电子商务网络安全问题的对策

（一）进一步建立、健全有关电子商务的法律法规。随着电子商务在我国的快速发展，因电子商务法律法规欠缺而造成的纠纷和矛盾越来越多。我国逐渐重视这方面的问题，不断建立和健全有关电子商务的法律和法规。2010年以后相继出台了《电子商务示范企业创建规范》、《第三方电子商务交易平台服务规范》、《关于促进电子商务健康快速发展有关工作的通知》、《关于进一步促进电子商务健康快速发展有关工作的通知》等一系列的法律法规，同时结合网络体系结构和网络安全事件的特点，建立各级网络应急体系，以确保对各类网络安全事件的快速反应。

（二）使用电子商务相关安全技术。电子商务的安全技术能够提升安全系数，降低遭受破坏和攻击的风险。主要技术有：

1.加密技术

加密技术是电子商务最常用的安全保密手段。交易双方在网络上传输文件、收发电子邮件等存在着一些不安全的因素，特别是在传输一些重要信息和机密文件时，由于信息泄露可能造成巨大的损失。而这种不安全性是网络协议（TCP/IP）等所固有的，要解决这些问题就必须采取加密技术。首先通过算法将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文。加密后的信息即使被黑客截取到，也无法读取真实内容，而是一些没有任何实际意义的乱码。密钥是用来对数据进行编码和解码的一种算法，只有拿到密匙才能获取真实的传输信息。在网络的信息传输中，可过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。

2.认证技术