一、電子商務的安全現(xiàn)狀和存在的問題

1.網(wǎng)絡統(tǒng)存在的安全隱患

Internet為人類交換信息，促進科學、技術、文化、教育、生產(chǎn)的發(fā)展，提高現(xiàn)代人的生活質量提供了極大的便利，但同時對國家、單位和個人的信息安全帶來極大的威脅。由于網(wǎng)絡的全球性、開放性、無縫連接性、共享性、動態(tài)性發(fā)展，使得任何人都可以自由地接入Internet，其中有善者，也有惡者。惡者會采用各種攻擊手段進行破壞活動。他們對網(wǎng)絡系統(tǒng)的主要威脅有：

(1)系統(tǒng)穿透：未經(jīng)授權而不能接入系統(tǒng)的人通過一定手段對認證性進行攻擊，假冒合法人接入系統(tǒng)，實現(xiàn)對文件進行篡改和竊取機密信息。非法使用資源等。一般采取偽裝或利用系統(tǒng)的薄弱環(huán)節(jié)、收集情報等方式實現(xiàn)。

(2)違反授權原則：一個授權進入系統(tǒng)做某件事的合法用戶，它在系統(tǒng)中做未經(jīng)授權的其他事情，威脅系統(tǒng)的安全。

(3)植入：一般在系統(tǒng)穿透或違反授權攻擊成功之后，入侵者為了為以后的攻擊提供方便，常常在系統(tǒng)中植入一種能力，如向系統(tǒng)中注入病毒、后門、特洛尹木馬等來破壞系統(tǒng)工作。

(4)通信監(jiān)視：這是在通信過程中從信道進行搭線竊聽的方式。軟硬件皆可以實現(xiàn)，硬件通過無線電和電磁泄漏等來截獲信息，軟件則是利用信息在網(wǎng)絡上傳輸?shù)奶攸c對流過本機的信息流進行截獲和分析。

(5)通信竄擾：攻擊者對通信數(shù)據(jù)或通信過程進行干預，對完整性進行攻擊，篡改系統(tǒng)中數(shù)據(jù)的內(nèi)容，修正消息次序、時間，注入偽造消息。

(6)中斷：對可用性行攻擊，破壞系統(tǒng)中的硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作，破壞信息和網(wǎng)絡資源。

(7)拒絕服務：指的是系統(tǒng)由于被破壞者攻擊而拒絕給合法的用產(chǎn)提供正常的服務。例如在WINNT的早先版本的115服務器中就有bug，破壞者可以利用它將大量垃圾信息發(fā)往某個特定的端口，使服務器因為處理這些請求而占用大量資源，從而不能處理合法用戶的正常請求。

(8)否認：一個實體進行某種通信或交易活動，稍后否認曾進行過這一活動。

2.電子商務系統(tǒng)的安全問題

由于因特網(wǎng)早期構建時并未考慮到以后的商業(yè)應用，因此使用了TCP/IP協(xié)議及源碼開放與共享策略，為后來的商業(yè)應用帶來了系列的安全隱患。在電子商務過程中，買賣雙方是通過網(wǎng)絡來聯(lián)系，因而建立交易雙方的安全和信任關系相當困難。電子商務交易雙方都面臨安全威脅。

(1)賣方面臨的安全威脅主要有：

①中央系統(tǒng)安全性被破壞：入侵者假冒成合法用戶來改變用戶數(shù)據(jù)、解除用戶訂單或生成虛假訂單。

②競爭者檢索商品遞送狀況：惡意競爭者以他人的名義來訂購商品，從而了解有關商品的遞送狀況和貨物的庫存情況。

③客戶資料被競爭者獲悉。

④被他人假冒而損害公司的信譽：不誠實的人建立與銷售者服務器名字相同的另一個WWW服務器來假冒銷售者。

⑤買方提交訂單后不付款。

⑥虛假訂單。

(2)買方面臨的安全威脅主要有：

①虛假訂單：一個假冒者可能會以客戶的名字來訂購商品，而且有可能收到商品，而假冒的合法客戶卻被要求付款或返還商品。

②付款后不能收到商品：在要求客戶付款后，銷售商中的內(nèi)部人員不將訂單和錢轉發(fā)給執(zhí)行部門，因而使客戶不能收到商品。

③機密性喪失：客戶有可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù)發(fā)送給冒充銷售商的機構，這些信息也可能會在傳遞過程中被竊取。

④拒絕服務：攻擊者可能向銷售商的服務器發(fā)送大量的虛假訂單來擠占它的資源，從而使合法用戶不能得到正常的服務。

二、防范電子商務安全問題的對策

電子商務的安全問題涉及到電子商務的各個環(huán)節(jié)和參加交易的各個方面，解決電子商務的安全問題是一個系統(tǒng)工程和社會問題，需全社會的參與。我們可以從以下幾個方面對電子商務安全問題進行防范：(責任編輯：admin)