無論采用什麽操作系統,在默認安裝條件下都會存在壹些安全問題。只有針對操作系統的安全性進行相關的、嚴格的安全配置,才能達到壹定程度的安全性。不要以為用強密碼系統默認安裝操作系統就安全了。網絡軟件的漏洞和“後門”是網絡攻擊的首選目標。
2.沒有進行CGI程序代碼審計。
如果是壹般的CGI問題,防範起來稍微容易壹點。但是很多網站或者軟件商專門開發的CGI程序,都存在嚴重的CGI問題。對於電子商務網站來說,會出現惡意攻擊者利用他人賬號進行網購等嚴重後果。
3.拒絕服務攻擊。
隨著電子商務的興起,網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的攻擊效果比任何傳統的恐怖主義和戰爭手段都更強,破壞力更大,傷害更快,範圍更廣,而攻擊者本身的風險卻很小,甚至在攻擊開始前就消失得無影無蹤,使對方無法報復。
4.安全產品使用不當
雖然很多網站都采用了壹些網絡安全設備,但是這些產品由於自身問題或者使用問題,並沒有發揮出應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超過了普通網管人員的技術要求。即使廠商最初對用戶進行了正確的安裝和配置,壹旦系統發生改變,當相關安全產品的設置需要改變時,也很容易產生很多安全問題。
5.缺乏嚴格的網絡安全管理制度。
網絡安全最重要的是從思想上高度重視。壹個網站或局域網的內部安全需要有壹套完整的安全體系來保障。建立和實施嚴密的計算機網絡安全體系和策略是真正實現網絡安全的基礎。
6.竊取信息
由於沒有采取加密措施,數據信息在網絡上以明文形式傳輸,入侵者可以在數據包經過的網關或路由器上截獲傳輸的信息。通過多次竊取和分析,找到信息的規律和格式,進而得到傳輸信息的內容,導致網絡上傳輸的信息泄露。
7.篡改信息
入侵者在掌握了信息的格式和規律後,在中途對網絡上傳輸的信息數據進行修改,然後通過各種技術手段和方法發送到目的地。這種方法並不新鮮,這種工作可以在路由器或網關上完成。
8.偽造
由於掌握了數據格式,篡改了傳遞的信息,攻擊者可以冒充合法用戶發送虛假信息或者主動獲取信息,遠程用戶通常很難分辨。
9.惡意破壞
由於攻擊者可以訪問網絡,他可能修改網絡中的信息,掌握網絡上的機密信息,甚至潛入網絡,後果非常嚴重。
安全對策
1,保護網絡安全。
保護網絡安全的主要措施有:全面規劃網絡平臺的安全策略,制定網絡安全的管理措施,使用防火墻,盡可能記錄網絡上的所有活動,註意網絡設備的物理保護,測試網絡平臺系統的脆弱性,建立可靠的識別和認證機制。
2.保護應用程序安全。
應用層上的安全服務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付。
3.保護系統安全。
檢查並確認已安裝軟件中未知的安全漏洞,如瀏覽器軟件、電子錢包軟件、支付網關軟件等。技術和管理的結合使系統具有最小的滲透風險。如果經過多次認證才允許連接,那麽所有的訪問數據都必須經過審核,系統用戶必須嚴格管理。建立詳細的安全審計日誌,以檢測和跟蹤入侵攻擊。
4.加密技術
加密技術是電子商務的基本安全措施,交易雙方可以根據需要在信息交換階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
5.認證技術。
壹種以電子方式證明發送方和接收方身份及其文件完整性的技術,即確認雙方身份信息在傳輸或存儲過程中未被篡改。包括數字簽名和數字證書。
6、電子商務安全協議。
電子商務的運營也有壹套完整的安全協議,如SET、SSL等。
擴展數據
從電子商務的含義和發展中,我們可以看出電子商務具有以下基本特征:
1,普遍性。電子商務作為壹種新的交易模式,將生產企業、流通企業、消費者和政府帶入了壹個網絡經濟和數字化存在的新世界。
2.方便。在電子商務環境下,人們不再受地域的限制,客戶可以用非常簡單的方式完成過去復雜的商務活動。比如網上銀行,可以全天存取賬戶資金,查詢信息,同時可以大大提高企業對客戶的服務質量。在電子商務的商務活動中,有大量的聯系人需要開發和交流,工作時間靈活,完成公司的要求,有錢有閑。
3.正直。電子商務可以規範交易處理的工作流程,將人工操作和電子信息處理融為壹個不可分割的整體,不僅可以提高人力物力的利用率,還可以提高系統運行的嚴謹性。
4.安全。在電子商務中,安全是至關重要的核心問題,它要求網絡提供端到端的安全解決方案,如加密機制、簽名機制、安全管理、訪問控制、防火墻、防病毒保護等。,這與傳統的商業活動有很大的不同。
5.協調。商業活動本身就是壹個協調過程,需要客戶與公司、制造商、批發商和零售商之間的協調。在電子商務環境下,需要銀行、配送中心、通信部門、技術服務等部門的配合,電子商務的全過程往往壹氣呵成。
百度百科-電子商務
百度百科-信息安全