电子商务发展中存在的安全问题.doc

：我所了解的电子商务发展中存在的安全问题。

可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工程，没有人敢用，安全问题非常重要。

怎么看待电子商务的安全问题？安全不是一个纯技术的概念，没有绝对的安全。安全是有成本和代价的，要采取安全措施不光会带来不方便的地方，可能会带来成本和代价。在安全是发展的、动态的。包括病毒、攻击措施，不可能一蹴而就。

1：程序安全

程序安全中的问题主要包括程序漏洞和恶意代码，众所周知，程序开发中的微小需错误都可能造成很大的安全问题，所以不安全编程引发的问题就会被一些恶意的攻击者所利用从而改变程序的执行流程，譬如：缓冲区溢出不完全输入验证以及“检查时刻到使用时刻”错误恶意代码是以破坏为目的的一类程序，例如病毒蠕虫特洛伊木马隐蔽通道分析因此人们对如何保证软件质量预防程序漏洞或恶意代码应当引起极大的关注。

2：操作系统安全

随着电子商务运行环境通过网络访问共享资源的未知用户的增加，如何提供验证机制是一个很重要的问题

3：数据库安全

当前越来越多的应用系统依靠数据库管理系统来管理和保护大量的共享数据，数据库管理系统也成为计算机信息系统的核心部件，因此他的安全问题也变得越来越重要。

4：网络安全

网络安全是信息系统安全的基础，它可以通过采用各种技术和管理措施来防御各种网络攻击，保证网络系统正常运行，并确保网络数据的可用性，完整性和保密性。随着INTERNET的发展，网络丰富的信息资源给用户带来了极大的方便，通过INTERNET进行的各种电子商务业务也日益增多，但是由于INTERNET的开放性，电子商务应用和企业网络中的商业机密均成为攻击者的目标，因此网络安全问题也成为各种网络服务和应用能否进一步发展的关键问题之一。

二：电子商务过程中遇到安全问题的解决方法。

1：关于程序安全。

编程人员可以使用对缓冲区溢出攻击具有抵抗力的标准库来防御缓冲区溢出攻击。采用数字签名阻止漏洞被攻击者利用，采用软件工程控制等等方法来保护程序的安全。

2：关于操作系统安全。

可以通过自主访问控制，强制访问控制给予角色访问控制等办法来控制访问权限

3：关于数据库安全。

可以采用数据库访问控制，完整性约束，推理控制和秘密通道数据库加密以及数据库用户管理来保护数据库的安全。

4：关于网络安全。

防火墙是一种用来保护本地系统的设备，以防止网络攻击破坏系统或网络，另外虚拟私有网络和入侵监测系统能够阻止部分网络攻击但是要想全面防范，则还需要在网络服务或应用程序开发阶段就要开始仔细考虑安全因素这样才能减少程序漏洞，不要随意相信用户输入的任何数据对所有输入数据进行检查，此外最小特权原则也是有效的安全策略，系统管理员可以只赋予服务器上的程序所需要的最低权限，仅允许其访问完成任务所必需的资源。

三：电子商务安全对策

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。这里我们具体要了解的是商务交易安全及安全措施。

商务交易安全：

当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间，但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样，涉及的安全问题各不相同，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患：

1窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

统可以进一步增加VPN的安全性，因而能够保证数据的保密性和可用性。

数字认证

数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性（如一个发票未被修改过），甚至数据媒体的有效性（如录音、照片等）。随着商家在电子商务中越来越多地使用加密技术，人们都希望有一个可信的第三方，以便对有关数据进行数字认证。

目前，数字认证