电子商务网站安全问题

电子商务网站安全问题（共12篇）

电子商务网站安全问题 篇1

随着信息技术和网络的蓬勃发展, 集信息技术、商务技术和管理技术于一体的电子商务也应运而生并迅猛发展起来, 成为最受瞩目的互联网业务之一。所谓的电子商务是指在以网络为基础的计算机系统支持下, 采用电子方式从事的交互式的各种商务活动过程。电子商务的出现改变了传统商务活动的运作方式, 作为信息化、网络化发展的一种新的商品交易模式, 通过人与电子通信方式的结合, 极大地提高商务活动效率, 减少冗余的中间环节, 降低了交易成本。但是, 由于因特网本身的开放性, 电子商务的安全问题日益突出, 如何搭建一个安全、便捷的电子商务应用环境, 成为电子商务发展的关键。

1 电子商务网站存在的安全问题

1.1 漏洞和计算机病毒

漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷, 从而可以使攻击者能在未授权的情况下访问或破坏系统。目前, 绝大多数的应用软件都存在漏洞, 使得漏洞成为网络攻击的首选目标从而威胁到网站的安全, 对网站会造成巨大的损失。计算机病毒是具有破坏功能的可以自我复制的程序。互联网的开放性给病毒提供了很好的传播平台, 互联网上病毒无处不在, 病毒利用自身的隐蔽性和传播性, 在互联网上横行肆意, 悄无声息的窃取电子商务活动中的信息, 或者是破坏系统或数据, 造成网站瘫痪。

1.2 安全意识淡薄

电子商务是刚刚兴起的新型商业模式, 对于广大消费者对电子商务这个新事物还比较陌生, 缺乏相应的知识, 不能十分熟练的掌握这一新的交易手段, 造成各种人为的安全威胁。而对于网站来说存在侥幸心理, 认为不会引起恶意攻击, 甚至还有一些网站缺乏对安全技术的了解, 认为只要安装了防火墙、杀毒软件等, 就能完全保障网站的安全, 所以总是在受到攻击后才会想到加强网站安全。

1.3 交易的安全问题

电子商务网站的交易过程, 是借助于虚拟的网络平台来实现的。在这个平台上, 交易双方不需要会面, 因此交易双方的身份具有不确定性, 在交易过程中, 有可能出现交易抵赖、非同步交易等情况, 直接破坏了电子商务交易的安全。

1.4 数据库的不安全性

电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息, 如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等。一旦攻击者窃取了电子商务网站的数据库, 就可以获得他们想要的信息, 甚至篡改、删除对网站至关重要的信息, 破坏数据的准确性和完整性, 因此电子商务网站的数据库成为攻击者攻击的重点。

1.5 网站内部用户的安全威胁

随着目前电子商务的迅猛发展, 电子商务网站也越来越多, 而来自于网站内部用户的安全威胁已成为网站最大的安全问题。例如:网站的员工疏忽或是故意泄露信息, 使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的安全危机。

2 电子商务的安全要素

2.1 交易信息的保密性

交易信息的保密性, 是指交易信息在传输过程中不被他人窃取。电子商务作为一种商业交易手段, 其交易信息直接与个人、企业或国家的商业机密相关, 因此, 维护商业机密是电子商务推广的重要保障。要预防信息被盗非法窃取, 必须保证用户的合法性。

2.2 交易信息的完整性

交易信息的完整性是指信息在存储和传输时, 不会因为意外或人为因素导致信息遭到破坏, 保证信息的完整和统一。电子商务交易是买和卖的双向活动, 在交易过程中交易文件不允许任意一方随意的改动, 否则会损坏另一方的利益。因此, 要预防对信息的随意生成、修改和删除, 保证其完整性。

2.3 交易信息的有效性

传统的“白纸黑字”形式被无纸的电子商务形式取代了, 如何保证各种电子商务信息的有效性, 防止交易双方的抵赖和否认, 是电子商务活动的关键。任何一方都不能以各种协议、合同是无纸化的电子形式, 而否认它的有效性。

2.4 电子商务系统的可靠性

电子商务系统的可靠性是指预防因计算机失效、程序错误、硬件故障、计算机病毒等引起的计算机信息丢失或出错。电子商务系统的可靠性是保证交易安全的根本基础。

3 解决电子商务网站安全问题的应对措施

任何的安全应对措施都不能保证网站百分百的安全, 但是企业树立自身的安全意识, 充分利用各种安全技术, 在攻击者和受保护对象间建立起多道安全防线可以降低网站遭到攻击、破坏的风险。因此解决电子商务网站的安全问题需从技术和管理两个层面入手, 具体的应对措施有:

3.1 安全技术方面

3.1.1 防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。从本质上说是一种保护装置, 用来保护网络数据、资源和用户信誉。入侵者攻击网站必须先冲破防火墙的安全防线才能接触到目标计算机。

防火墙技术是目前电子商务网站安全防范技术中发展较为成熟的一种, 对于已知的攻击模式有很好的防御作用, 它为网站建立起一道安全屏障, 强化了网络安全策略, 加强了网络存取和访问的监控审计, 有效的防止了内部信息外泄。

3.1.2 入侵检测技术

为了保护电子商务网站的安全, 以防火墙为主的静态防护已经不能满足现在网站的需求, 因此在防火墙之上加入入侵检测系统, 是一种增强网站安全的应对策略, 入侵检测系统是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它是网站的第二道安全门, 当发现入侵后, 该系统会做出反应, 防止攻击的进一步发生。

3.1.3 病毒防范技术

计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。应该从预防和清除两个方面入手, 预防就是通过应对策略阻止病毒进入网站, 避免感染, 防患于未然;清除就是经常用杀毒软件对网站所在的服务器进行查毒、杀毒, 使网站免遭破坏。

3.1.4 数据备份和恢复

任何的安全防御都不是百分百的安全, 对于重要的数据要做到及时备份, 这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用, 将损失降到最低。

3.2 管理方面

3.2.1 加强电子商务安全管理

加强电子商务安全管理就是通过管理手段来达到保护电子商务网站的安全机制和规则安全的目的。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布, 不访问非法网站, 不轻易下载和安装程序, 对员工进行业务培训, 提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除, 并能实时的进行数据备份与恢复, 保证电子商务网站的继续运行或紧急恢复。

3.2.2 健全电子商务法律法规

网络安全问题不仅仅是技术性问题, 还是一个社会性问题。电子商务网站的安全无论采用多么高级的安全技术和管理措施, 电子商务纠纷仍然会发生。在信息化社会发展的初期, 必须依靠法律和行政手段来最终保护电子商务的安全。建立健全和电子商务法律法规已经成为当前电子商务发展的重要环节, 它是电子商务安全应对措施的最后一道防线。

4 结语

计算机技术与网络技术的发展, 使得电子商务不断进步, 电子交易的手段更加多样化, 安全问题就更加突出和重要。电子商务网站的安全是一个复杂的工程, 不仅安全技术需要提高, 网站安全管理也必须加强, 还要完善电子商务法律法规, 所以必须综合运用这些安全措施。随着我国对电子商务重视程度的加深和法律法规的不断完善, 电子商务网站必将会逐步走上健康、安全、有保障的发展道路。

摘要：随着信息技术和网络的蓬勃发展, 电子商务也迅猛发展起来, 成为最受瞩目的互联网业务之一, 对于现在的电子商务, 最重要的是它的安全问题。本文主要对电子商务存在的安全问题和应对措施进行了探讨。

关键词：电子商务,安全问题,应对措施

参考文献

[1]奚宪铭.电子商务概论[M].科技科学出版社, 2007.

[2]陈兵.网络安全与电子商务[M].北京大学出版社, 2006.

[3]戴银华.网络安全综合评价技术研究[D].天津大学, 2008.

电子商务网站安全问题 篇2

题目： 电子商务团购网站存在的问题与解决对策

系（院）： 管理工程系 专 业： 电子商务 班 级： 商务111 姓 名： 指导教师： 完成时间：

摘 要

I 网络团购作为一种新的消费模式和商业模式，近几年年在我国得到迅速发展。现在中国的团购网站越来越多了，随便搜索也有上百家，尽管不是所有的团购网站都能走到最后，但是目前为止团购网站的还是有很大的发展空间。与此同时，面对现在出现的种种团购问题，也有不少的人开始对团购网站提出质疑。那如今面对批评如潮的团购网站应该要怎么做才能顺应众人的心意，继续生存下去呢？本文首先分析了团购网的发展现状，然后进一步简述了出现在团购网站出现的团购网站缺乏差异化、团购网站的诚信缺失、团购网站恶性竞争等问题，并提出相应的应对策略，为团购网站的发展趋势做了简要的分析和探索。希望团购网站在电子商务的时代中走得更远，健康发展。

关键词：网络团购

网购网站

现状

对策

II

目

录 前 言...............................................................................................................1 2 网络团购网站的新发展现状...........................................................................2 2.1团购网站产品的特点及优势..................................................................2 2.2团购网站的激烈竞争..............................................................................3 3 团购网站建设存在的问题..............................................................................3 3.1团购网站缺乏差异化..............................................................................3 3.2团购网站的诚信缺失..............................................................................4 3.3团购网站的恶性竞争..............................................................................5

4、优化团购网站建设的对策............................................................................5 4.1加速差异化布局......................................................................................6 4.2建立诚信机制..........................................................................................8 4.3整顿团购市场秩序..................................................................................9 5 结束语.............................................................................................................9 III 1 前 言

2010年，中国诞生了第一家团购网站，从此中国的团购网络行业开始风靡全国。没有人可以预料到，那时候在美国才刚刚兴起的的网络团购，在中国能得到如此迅速的发展。而且，中国团购网站发展的速度让很多人都难以适应。据不完全数据统计，目前，较为固定的团购消费者在500万左右；参加过团购的消费者则超过千万人；另外，每月登录团购网站的消费者则远超5000万的规模。(中国电子商务研究中心讯)领团网数据显示，2012年5月全国团购市场交易额累计达46.7亿元，环比上涨7%，同比则大涨70.3%。2013年春节过后团购市场交易额已连续三月超40亿元。5月团购市场更是再创历史新高，刷新了3月份创下的44.72亿元的前记录。[1]

目前，国内团购市场已经形成了十二大独立团购网站与三大团购平台为中心，众多中小垂直网站并存的团购格局。2012年5月全国独立团购网站排行TOP12成员与4月相同。其中，交易额过亿元的团购网站分别有美团、高朋网(含gaopeng.qq.com)、拉手网、大众点评、糯米网、窝窝团。后六强团购网站交易额均在四千万元以下。前后六强网站距离继续被拉大，交易额差值近1.6亿元。

领团网对国内主流团购网站流量监测数据显示，2012年5月美团、拉手网、窝窝团等一线团购网站流量整体呈现上涨趋势，且糯米网有超越拉手网之势；二线团购网站成员中，满座网、嘀嗒团网站流量走势平稳，聚齐网流量走势有小幅下滑，此前流量急剧下滑的千品网网站流量似已恢复平稳。

目前，前十二强团购网站占据了团购市场42%；以聚划算、京东团购、58团购为首的团购平台占据团购市场的41%；以聚美优品、品质团、团购王等中小团购网站及垂直类团购网站占据市场的17%。

在团购行业渐趋成熟和理性的现阶段，新团购网站一直保持着较低诞生率。2012年5月共有6家团购网站陆续向领团网收录申请，网站诞生数量与4月持平。与去年同期的40家相比，网站诞生率同比下降85%。截止到2013年5月，全国共诞生团购网站6214家。

现在，在团购网站和团购帖子的“省钱才是硬道理”的号召之下，小到图书、软件、玩具、家电、数码、手机、电脑、体育器材、健身器材、运动休闲服装、体育用品等小商品，大到家居、建材、房产等价格不很透明的商品，都有消费者因网络聚集成团 1 购买。不仅如此，网络团购也扩展到健康体检、保险、旅游、教育培训以及各类美容、健身、休闲等服务类领域。

然而，也正是由于团购网在中国的迅速走红，使得网站企业忽略了正常的市场效应，没有重视网站本身的缺点和弊端，使得团购网站火爆一时，但又迅速的走入低谷，团购网站面临着发展的困惑。因此，分析团购网站存在的问题，及团购网站的发展趋势，就显得尤为的重要。

分析团购网站的存在的问题，以及如何优化团购网站，让团购网走向世界，在电子商务的时代中走得更远，将会更加的坚定电子商务在我国的发展步伐。网络团购网站的新发展现状 2.1团购网站产品的特点及优势

“又好又要省钱”是大家一直以来追求的购物感受，特别是在物价飞涨的今天，人们对购物、消费更加是精打细算。因此在生活中常见身边的同事、同学或朋友就一起去向同一个商家进行采购，以让商家提供更低的价格，这也就是最初形式的“团购”。

团购，即为团体采购，也称集体采购。一般是由某个人或组织进行召集，将有意向购买同一产品的消费者组织起来，大量向厂家或总代进行购买行为，从而在保证质量的情况下，获得产品超低价格和服务保障。团购的商品一般具有较高的品牌知名度、占有较大的市场份额、服务体系完善，售后服务好、产品质量稳定，经得起时间检验、能提供完整的企业和产品信息等特点。

据调查，目前团购的主要产品包括装修建材、家居用品、汽车、房产、家电、培训、电脑、数码、生活用品等各个领域。团购最早在北京、上海、深圳等城市兴起，目前已经迅速在全国各大城市蔓延开来，成为众多消费者追求的一种现代、时尚的购物方式，因为它有效的防止了不成熟市场的暴利、个人消费的盲目、抵制了大众消费的泡沫，让消费者实实在在享受到“又好又省钱”。

团购能够带来上述好处的原因：一是参加团购能够有效降低消费者的交易成本，在保证质量和服务的前提下，获得合理的低价格。团购实质形同于批发，团购相当于以批发价格购得团购数量的产品。通过团购，可以将被动的分散购买变成主动的大宗购买，所以购买同样质量的产品，能够享受更低的价格和更优质的服务;二是能够彻底转变传统消费行为中，因市场不透明和信息不对称，而导致的消费者弱势地位。通过参加团购能够更好的了解产品的规格、性能、合理价格区间，可以参考团购组织者和其他购买者 对产品客观公正的评价，在购买和服务过程中占据主动地位，真正买到质量好、服务好、价格合理、称心如意的产品，达到省时、省心、省力、省钱的目的。

团购是参与的人数越多越能够获得更低廉的价格和更好的服务，传统形式的组织方式受到了如信息面窄、效率低等各方面因素的限制，导致无法组织人数较多的团购活动。由于互联网的大面积普及和其诸多特点，通过网络发起、组织团购活动自然成为了最主要的方式，通过网络能进行全面的信息展示、完成规范的团购流程、形式多样的互动等等，更加符合了现代化的生活方式。因此，专业性的团购网站也就应运而生，成为了消费者向商家团购的桥梁，给买家带来了实惠，给企业带来订单，网站也从中获得了相当可观的收益。

2.2团购网站的激烈竞争

现在团购网站的疯狂流行，社会各界人士都在关注和评判。有不少业内人士认为，电子商务服务于消费行业，这个模式在很多国家都被证明是成立的，市场非常大而且增长很快。

有市场、有未来，又有着低进入门槛，所以现在众多团购网站频频出现。但也有业内人士分析认为，团购网站门槛低缺乏壁垒、模式过多依赖线下运营，很难快速扩张，担心最终下场将会是昙花一现。绝大部分的团购网站会面临倒闭，甚至被淘汰的局面。

中国团购网站的竞争日趋激烈，也使得众多团购网站纷纷推出“价格战”这一中国人惯用的“杀手锏”，“一元钱蛋糕”、“5元钱游泳票”、“28元火锅套餐”这些明显看来是赔钱赚人气的举动在团购网站上品频频出现，还有更厉害的，有的团购网站为了吸引人气，推出“免费团购”的模式，最近，一家名为山寨手机网的网站，推出了一个“0元抢购,免费送手机”的活动，用户只需要登录简单几步注册网站，就可以参与这个活动，短短5天时间内，就已经有将近一万人参与了这次活动，为了博得更多人气，团购网站给客户承诺利益甚至是提供免费服务，这样子为了赚取人气无可厚非，但是“免费团购”并不能支撑一个团购网站的长久发展。团购网站建设存在的问题 3.1团购网站缺乏差异化

在团购网站刚刚进入中国市场的时候，有业内人士就曾预言：“国内5000多家团购网站99%将会死掉,仅四五家将成市场主宰。”果然，到2011年年末，这个预言正逐渐变成现实。然而，问题出在哪里？Groupon上市后股价大涨，拉手网却灰溜溜的上市失败，为什么这些团购网站会失败，并非是团购的模式有问题，而是中国的团购网站缺乏创新性以及差异性，市场只有这么大，完全同质化的商业模式，导致的结果只能是大家一起“抱团死”。

随着团购行业的不断发展，单纯的团购模式已经不能满足企业自身需求了。而同质化、资金困境、管理危机等问题的不断出现，也预示的团购行业“寒冬”的到来。

面对目前团购行业不断出现的裁员和大批中小型企业陆续倒闭，一些具有远见的团购商们开始认真思考现实为未来发展寻找出路。

团购汽车、房子已经不算新鲜，团购酒店、旅游也已司空见惯，近日，团购网站F团携手恒美瑞、顺丰速运推出了10克金条的黄金团购，F团售价329元/克，12月26日记者在北京菜百询问金价为390元/克，一时成为团购网站差异化竞争的经典案例。

3.2团购网站的诚信缺失 “今天，你团了吗？”急剧增长的团购网站在为广大消费者带来实惠和便利的同时，货不对板、折扣信息作假、售后服务跟不上等问题也给消费者增添了不少疑虑、担忧，甚至带来了经济损失。8月16日，媒体再曝团购游陷阱，团购网站的诚信问题又一次摆在了公众面前。如何提升团购网站的诚信，建立团购行业的诚信体系，让消费者毫无顾虑地参与团购，这些都对团购网站提出了挑战。

在“省钱才是硬道理”的号召之下，大批消费者加入了团购行列。然而在团购过程中，不少消费者权益得不到保障，网络团购遭遇诚信危机。

松下幸之助曾讲过：“诚信既是无形的力量，也是无形的财富。”要想在这个虚拟的网络平台上淘得真金，诚信才是团购网的金饭碗，建立团购网诚信评价体系势在必行。首先应建立信用等级评定。官方应该按照网站的实际运营状况，给团购网站定级别做认证，消除消费者的不信任感，促使团购网站注重信用度维护；其次，工商部门与团购网站应建立畅通的沟通机制，遇到消费者投诉能够第一时间与网站取得联系，解决问题；最后应规范信息发布，使团购网站发布的商品信息客观真实，而不是故弄玄虚、绕弯子。

“2011年国庆期间，中央电视台《今日观察》就对相关问题进行了曝光。据报道，科迪团购网推出超低价的手机话费促销，结果消费者付款后，话费竟然4个月都没到账；团购网站拉拉网推出了中秋特价月饼，而数百名消费者在交钱订购后，却发现这家企业人去楼空。另外，团购商品质量参差不齐、团购餐饮缺斤少两、不开发票的问题，也普遍存在。”[2]。伴随着团购网站在互联网上的市场发展进入缓慢期，相同模式的网站内容逐渐不能引起消费者的购买欲望。部分团购网站为了占有市场份额，在服务水平、产品质量等方面暴露出重大的缺失，引起了消费者的不断抱怨，这就是所谓的诚信缺失。市场没有管理者，行业初期粗放型的发展引起的一系列的问题相应的出现。“如果交易过程中拥有信息相对弱势者没有办法制止优势者的机会主义行为，诚信缺失就在所难免。”[3]

3.3团购网站的恶性竞争

曾经，一则《美团网华东区总监王阳带领300名员工集体离职》的消息在网上出现，称美团网多个城市一把手将离职，投奔某融资过亿美元的对手。随后，美团网在接受本报记者采访时表示，这纯属造谣，这是竞争对手对美团网进行的恶意诋毁。

“团购”对于中国网民来说，已经不再陌生。自团购鼻祖Groupon与腾讯合作成立的团购网站“高朋”正式上线后，国内团购市场形成了多方竞争的格局，拉手网、糯米网、美团网、窝窝团等各大网站彼此正形成拉锯战，为的是以最迅猛的速度占据国内团 购网站老大地位。然而由“团购”引发的闹剧屡见不鲜，有分析人士认为，“团购市场竞争已经进入白热化，恶性竞争多发亟待良性环境。”

4、优化团购网站建设的对策 4.1加速差异化布局

目前随着大众对于团购商品的热衷，越来越多的团购性网站应运而生，并且可谓是“多如牛毛”，许多团购网站不单单满足于网络的推广，而是把自己的营销手段做到了户外广告上，比如广告牌和公交车体，甚至是电视上。即便是普通人都看得出来众多知名团购网站在进行着一场血拼。而这一场没有硝烟的战役的获胜者最终会是谁呢，靠什么才能在空前繁荣的状况下屹立不倒呢。

针对以上这些问题，可以知道，现在的解决方案就是首先许多电子商务精英针对团购网站发表了自己的看法，主要意思就是在目前这个超级繁荣的团购大潮中，必将有大部分网站呈现出亏损甚至面临倒闭的状况，诚然，这就是优胜劣汰的残酷现实，而团购网站应该做好哪几点才能勇往直前，屹立不倒呢? 第一就是独特性上，俗话说，发展的第一要素就是创新，大家都不革新，按照旧的模式照搬，那么最终的结果将是一败涂地的，只有不断的创新，让客户体验到不一样的优点和特色，才能培养出忠实的客户并且开发新的客户。而创新要坚持的原则就是让客户在享受到团购优势的状况下能够体验一些不一样的或者说从未体验过的东西，具体的是什么就需要团购型网站去构思了。当初某些网站推出的推荐团购返利就是很好的创新，让很多的用户开发出更多的用户，可谓是一举两得。

第二就是针对性上，无论是普通网站，还是团购型网站，都要把重心放到客户体验上，让客户满意是团购网站的宗旨，因此首先所提供的商品必须是正规的，便宜的，并且可退货的。许多团购网站爆出了提高原价等诈骗行为来吸引消费者，而有些则是团购的产品属于低劣品等等，这些行为严重的侵害了消费者权益，也给团购型网站带来很严重的创伤。可以肯定的是，一旦某一客户在团购网站上受到欺骗，那么绝不会再来第二次了，毕竟目前的状况已经不再是当初的供不应求的状况了，多种选择性让团购型网站必须得以用户的体验为核心要素。

第三就是不要有任何污点，团购型网站最怕的就是负面新闻，随着网络化的快速发展，任何团购型网站爆出一些“糗事”的话，将会被很快的散播开来，哪怕是你的网站是被误会的，那么客户们也会“宁可信其有，不可信其无”的态度进行对待。所以千万 6 不要为了一时之快或者一时的利润从而做出损害客户利益的事情，也不要让对手找出你所存在的缺点，虽然是人无完人，但是作为团购型网站也要尽量达到。

第四就是团购网站的优化方面，在做团购网站之前，网站程序一样要优化好，asp程序显然不适合，而分支页面最好是静态页面，总之一定要利于优化，比如客户在想要团购他心目中的一款产品时，他会借助搜索引擎进行搜索，从而寻找出自己的产品，试想，如果你的团购网站刚好在首页，那么将会引进很多的流量和新客户。

第五是团购产品方面，一定要选择符合大众消费的产品，这样才会受到更多人的关注，比如化妆品，游戏币，服装，餐饮等等，如果你的团购网站尽是一些消费冷门的产品，久而久之，客户对于你的团购网站就没什么吸引力了。所以一定要满足主流消费的口味，选择时下热门的产品，并且价格一定要优惠，才能受到更多的关注

下面几个团购网站就是在实施网站差异化战略，真正实现营销多元化

（1）糯米网“快速退换货”打造完美售后

在2012年以来，糯米网的“鲶鱼效应”发生在实物团购的各个环节：自年初开始，糯米网自建的轻物流体系就先后对“闪电发货”、“安全配送”、“质检保证”、“假一赔一”等六大体系进行完善和升级，不断挑战国内团购“发货慢、假货多、售后拖沓”等行业顽疾。

进入2012年的九月份，糯米团继率先建立物流客服“绿色通道”之后，糯米网紧接着又开始将“更好的用户体验”进一步向“退换货”这一用户非常关心的售后环节延伸。据悉，糯米网已经协调自建的轻物流、质检中心以及客服等三大系统建立了“快速退换货”体系，以改善团购行业普遍存在的“退换货处理拖沓”等问题，确保实物类团购的用户体验不留任何死角。

（2）千品网争做最“纯”本地团购本地化比例98% 据数据显示，8月份千品网服务团购的成交额占总成交额之比达到98.1%，领先于含团购平台在内的其他团购站。团购业发展至今，本地服务团购所创造的成交额被认为“含金量”更高，并且随着电商行业的促销大战的挤压，留给团购网站在商品团购上的发挥空间十分有限，因此本地化比例在一定程度上说明一家团购网站在O2O方向的速度和决心。

（3）窝窝团组建廉政部门门客户服务继续领先

据报道，为更好地服务消费者和商家，窝窝团正式组建廉政部，将着力推进建立公司的自治和预防腐败体系。在目前相关外部监管法规和规范尚未建立的背景下，窝窝此 次做法在团购行业打响了反腐第一枪。窝窝商城董事长兼CEO徐茂栋认为，中国团购网站在大群体向强大群体过渡中，最重要的是要打造营销平台化，帮助它们真正实现多元化的营销。

在客服方面，继7月份夺得“团服务质量十佳网站”第一名之后，8月份窝窝团仍然位于前三，售后客服工作的扎实体现了对用户权益的重视。

据团800论坛团购投诉区的数据，8月份团购投诉解决率达到100%的网站分别有拉手网、美团网、嘀嗒团和58团购。在每月的月度报告及每2周一次的“团购服务质量十佳网站”榜单中，团购网站对用户投诉的解决率一直被认为是“对待用户最有诚意的表达”，并且也给予很高的分值权重，以鼓励团购网站提供更好的售后服务。

4.2建立有效的诚信机制

国家应出台相关法规或标准完善网络团购信用评价体系。应该建立更科学、更多元化的信用鉴别机制，鼓励第三方评价机构开展团购信用评价，以确保信用记录的真实性、可靠性、公平性。团购网站信用评价项目应包括网站规模、交易规模、经营流程规范性、团购商品和服务信息发布、团购物流质量、团购售后服务质量、违法违规信息、荣誉信息、投诉信息、交易方评价信息以及对团购商户审核管理能力等，以合理评价团购企业经营行为，引导团购网站经营主体完善内部信用管理制度。团购网站信用评价体系的建立对于规范网络团购市场、保护消费者的合法权益有重要的现实意义。

那么，该如何提升团购行业的诚信度？我认为可以从三方面入手：

首先，团购网站对消费者要讲诚信。提升团购行业的信誉，需要每一位团购网站的工作人员和企业负责人在谈单子、做决策时多站在消费者的立场上想问题。同时，一旦遇到问题不能逃避，要积极面对、及时解决，必要时采取无条件退款、先行赔付等方式来保障的消费者正当权益。

第二，团购网站要约束商家，共同保障消费者利益。必须坚持严格的商家审核机制，选择口碑和信誉度良好的商家进行合作。在约束网站自家商家的同时，如果能够在团购行业里建立起一个网站联盟，有相关政府部门参与其中并主持工作，共同抵制违约商家，共同维护团购行业的诚信建设，可以更加有效地消除违约商家的不诚信现象。

第三，网站内部也要讲诚信。团购网站不仅要求员工对消费者、对商家讲诚信，同事之间也要讲诚信。团购是一场长跑，开始阶段不能跑得太快，切忌盲目扩张。这就需 8 要团购网站更加精细化运营，使工作人员之间能够保持良好的沟通和彼此的信任，团队才会更具稳定性。

其实，团购网站中所谓的“千团大战”更像是一个伪命题，因为在中国主流的团购网站中，能被消费者记住的从来没有超过20家，而我认为最终留下的团购网站不会超过5家，他们必定是那些经过用户仔细甄别，讲诚信、可信赖的团购网站。

4.3整顿团购市场秩序

恶性竞争、欺诈消费者、霸王条款„„在团购行业因各种制度缺失带来的恶果一一显现后，有关部门开始“亡羊补牢”，一系列新规则近期陆续出台。在2012年3月中旬，国家工商总局发布《关于加强网络团购经营活动管理的意见》[4]，针对消费者在团购过程中遭遇的消费欺诈、以次充好等各种常见问题做出多项明文规定；在此之前，广电总局也发布了《关于进一步规范电影市场票务管理的指导意见》，“意见”针对团购网站的低票价“痛下杀手”，规定团购电影票最低折扣不得少于7折等等。团购行业的发展亟需规范与指导。整治团购市场，将团购行业引入良性发展轨道需要政府主管部门和团购企业双方共同努力。首先要由商务部、工信部、国家工商总局、国家质检总局等主管部门牵头共同制定系统的行业政策和应当回归到以服务为主，并且强调差异化经营，以避免恶性竞争，保证消费者权益，促进行业健康有序发展。结束语

在我看来，团购网站的发展应该更多注重大品牌的树立，只有好的品牌才能更好地支撑起网站的运营，吸引更多的消费者。而且对于团购网站来说，真正的核心竞争力来源于对线下服务商户的把控能力，对上下线也就是商家和消费者之间信息的对接能力，和自身平台的技术性驱动能力。因此，独立团购网站应该把更多精力投放到打造长期的竞争力上。

虽然国外团购网站的发展模式与方向可以为我们所借鉴，但是中国作为一个庞大且拥有自身独特魅力的市场，只要团购网站有着自己的完整的商业模式和持续的盈利模式，平缓的度过这个不成熟的发展阶段，必定可以持续的发展。其实，我们可以通过互联网领域的历史发展，就可以很容易的发现，网络团购的发展，也必将是螺旋式上升的轨迹，一定会有一个取精华，去糟糠的过程，同时，这也是一个发展的必经之路。人们应该为这个新经济模式付出几分耐心，宽容其试错型的发展。

参考文献

电子商务网站安全问题 篇3

[关键词]数据库 安全威胁 防范措施

电子商务自诞生以来以惊人的速度改变着人们的生活习惯和交易方式。现在全世界的人们正通过电子商务网站进行着各种交易。在各种电子商务网站中人们的各种重要的交易数据被存储在网站的后台数据库中。这些数据库就像一座座的金矿吸引着一双双贪婪的眼睛。如何保证数据库中数据的安全就成了摆在我们数据库设计者面前的一个严峻的挑战。

一、电子商务网站数据库安全威胁

作为网络信息系统的核心，数据库服务器上往往存放着大量重要和敏感的信息，因此网络数据库安全与否直接影响数据库中保存的数据的安全。网络数据库不仅数据信息量集中、处理数据量大，而且是面向多用户访问，数据更新频繁。由此，威胁网络数据库安全的因素主要来自以下几方面。

1.用户对数据库的不正确访问，引起数据库数据的错误；2.为了某种目的，故意破坏数据库，使其不能恢复；3.非法访问不该访问的数据库信息，但又不留痕迹；4.用户通过网络进行数据库访问时，有可能受到各种技术（如搭线窃听等）的攻击；5.非法用户绕过安全内核，窃取信息资源等现象；6.未经授权非法修改数据库数据，使其数据失去真实性等等。

二、防范措施

理想的网络数据库安全防护应考虑两个层面：一是操作系统与Web服务器以及应用服务器的安全；二是数据库核心层的安全，即数据库本身的安全。下面将以较为常用的SQL SERVER 2000数据库管理系统为例讨论电子商务网站数据库的安全防范措施。

1.操作系统与Web服务器以及应用服务器的安全。首先，对于网络数据库运行所依赖的计算机系统和网络来说，最主要的安全威胁来自病毒侵犯，对此，外围层中应避免病毒利用网络平台隐藏、扩散及破坏整个系统的运行，采用防、杀、管相结合的综合治理方法，可采用VPN技术构筑网络数据库系统的虚拟专用网，保证网络路由的接入安全及信息的传输安全，通过防火墙技术，实现网问隔离和网段问隔离，保证网络边界安全，确保系统免受病毒等非法入侵的危害。

其次，就是通过加密，防止数据在传输过程中被监听或篡改。SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等等，这是一个很大的安全威胁，能被人在网络中截获到他们需要的东西，包括数据库帐号和密码。所以，在条件容许情况下最好使用SSL来加密协议，当然这需要一个证书来支持。

2.核心层的安全。这部分也是恶意攻击的主要目标。对此，我们可以从以下几个方面着手构建数据库管理系统（DBMS)下的安全防范，保证数据库的独立性和完整性。

（1）使用安全的密码策略，我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者服务器端脚本中。复杂的密码是安全的第一步。

（2）安全帐号策略。由于网络数据库往往都是面向多用户多访问的，用户不同，访问要求和访问权限就不一样。对于网站数据库来说，访问用户多种多样，按权限大致可将用户划分为最终用户、数据库系统管理员、数据库管理员、超级用户。

由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，最好不要在数据库应用程序中使用sa帐号，只有当没有其它方法登录到SQL Server实例（例如，当其它系统管理员不可用或忘记了密码）时才使用sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。

（3）数据库备份与恢复。建立严格的数据备份与恢复管理机制是保障所有电子商务网站数据库系统安全的有效手段。数据备份不仅要保证备份数据的完整性而且要建立详细的备份数据档案。系统恢复时如果使用不完整或日期不正确的备份数据都会破坏系统数据库的完整性，导致严重的后果。

针对不同数据库的实际情况，SQL Server 2000提出了三种主要的备份策略：只备份数据库，备份数据库和事务日志，增量备份。

一般说来，对数据库进行备份，应综合使用三种备份策略，普通的电子商务网站数据库的备份策略如下：根据系统运行的实际情况，周期性地进行全面数据库的备份。比如在每天凌晨进行数据库的全面备份；在较短的时间间隔内进行数据库的增量备份，如每4小时备份一次；在每两次增量备份之间进行事务日志的备份，例如每30分钟备份一次。

（4）审计跟踪。数据库系统的审计跟踪功能也是一个非常重要的安全措施。它的主要任务是对用户（包括应用程序）使用系统资源（包括软件和数据）的情况进行记录和审查，一旦发现问题，审计人员通过审计跟踪，可望找出原因，追查责任，防止类似问题再度发生。用来监视用户对数据库的操作和及时发现问题。常用的审计方式主要有两种，即用户审计和系统审计。

参考文献

电子商务网站安全问题 篇4

一、“5·19断网事件”事件回顾

“5·19断网事件”是综合了多种因素后产生的结果, 其起因是一私人游戏服务器 (简称私服) 的所有者攻击竞争对手的游戏服务器未果, 转而攻击为对手的游戏服务器提供免费动态DNS解析服务的DNSPod网站 (www.dnspod.cn) , 其具体实施步骤可归纳如下:

1. 如下图所示, 攻击者通过控制互联网上大量的傀儡机 (被僵尸网络控制的计算机) 向DNSPod服务器发起DDoS攻击, 使DNSPod服务器无法为正常用户提供域名解析 (域名转换成IP地址) 服务, 直至瘫痪。

2. 暴风影音网站 (baofeng.com) 的域名解析使用的也是DNSPod服务器, 当DNSPod服务器被攻击瘫痪后, 根据域名解析的递归机制, 所有客户端对“*.baofeng.com”网站的解析请求将被转向DNSPod服务器的上一级DNS服务器 (即电信运营商的DNS服务器) 。

3. 暴风影音为了获得更高的广告点击率, 在后台暗藏了机关——安装了暴风影音客户端软件的计算机在启动时会自动链接到暴风影音网站 (*.baofeng.com) 。而当暴风影音软件在得不到DNS响应 (DNSPod服务器已瘫痪) 时, 会不断发送DNS解析请求报文 (每分钟100次以上) 到电信运营商的DNS服务器。由于使用暴风影音软件的用户数量巨大, 致使最终到达电信运营商的DNS服务器的流量高达10GB/s左右。

4. 虽然电信运营商的DNS服务器进行了分布式部署, 但大部分省份的DNS递归服务器仍无法承受如此巨大数量的域名解析请求报文, 导致服务器CPU和内存资源耗尽, 最终这些DNS服务器处于瘫痪状态。

5. 由于DNS服务器的作用是把域名翻译成IP地址, 故电信DNS服务器瘫痪后, 除直接使用IP地址外 (一般用户很少直接记忆IP地址) , 绝大多数互联网用户的DNS域名解析请求得不到响应, 从而产生断网现象。

二、“5·19断网事件”事件剖析

1. 从本质上来说“5·19断网事件”未发生断网, 网络本身是畅通无阻的, 大面积中断的是DNS服务, 故该事件的准确表述应为“5·19 DNS服务中断事件”。这一事件再次告戒我们:在互联网中越是由最基础服务的安全产生的威胁, 其影响力越大, 范围越广。作为互联网基础服务的DNS, 每天有海量的域名解析信息产生, 其个体的安全性已经直接影响着互联网的安全。

2. 该事件最初是由两位私服拥有者的互相攻击造成的, 但他们主观上没有破坏全国性网络的意图。而之所以造成如此大的影响, 其中暴风影音扮演着非常重要的中间人角色。正由于暴风影音软件的“流氓化”行为, 无意间绑架了大量的安装该软件的用户, 使他们成为了发动对电信DNS服务器攻击的傀儡机。从此事件中我们看到除了各大软件商必须自律之外, 相应职能部门也应该加强对流氓软件或功能的管理和监督。

3. DDoS攻击已成为目前互联网上黑客经常采用的攻击手段。DDoS原理很简单, 就是利用网络掌控并集结尽量多的傀儡机来攻击目标机以期达到比单机大得多杀伤力, 其危害极大且难以防御。目前为止网络业界并没有可以彻底消除DDoS攻击的措施, 提高硬件设施性能也只能做到降低攻击程度的级别。

三、对此类事件的安全防范方法

1. 相应职能部门加强对各种流氓软件的监督和管理, 消除软件后门存在的安全隐患。

2. DNS清洗服务。“5·19断网事件”中, 当电信运营商得知DNSPod服务器被攻陷后, 立即进行了清洗服务。根据域名解析体系中的缓存机制, 大量递归域名解析服务器中的解析记录一般至少要保存24小时, 也就是说即使是错误的信息也需要在24小时之后才能够被系统自动删除。DNS清洗服务可以解决DNS缓存带来的域名错误查询问题。

3. DNS服务器的冗余备份。冗余备份是DNS服务器安全管理中采用的一种较为普遍的方法。为了保障DNS服务的可靠性, 我们可以采用多机备份方案以提高系统的抗攻击能力。

4. 对软件漏洞的管理。软件漏洞主要包括操作系统的漏洞和DNS应用软件的漏洞。针对利用漏洞的攻击, 最有效的防范方法是升级到最新的版本, 并及时安装补丁程序。

5. 加强对DDoS攻击的防范。

四、结束语

“5·19断网事件”已经平息, 发起DDoS攻击的黑客已经被抓获, 暴风影音公司也及时推出了新版绿色软件, 但由此事件引发的针对DNS服务的安全问题还时时在警示着我们:未来互联网的安全不容乐观, 尤其像DNS这类基础服务的安全问题更应引起重视。只有一个健康安全的网络, 才能让电子商务活动蓬勃发展。

参考文献

[1]何小波.DDoS攻击防御新思考.商场现代化, 2009年3月下旬刊, 123-124页

电子商务网站安全问题 篇5

至于长首页还是短首页目前没有一个明确的范例,也没有一个统一的尺度.总体上来看跟自己网站的品类多少和网站结构设计有关.

一般来说搜索导向的电子商务平台可以采用稍微短一点的首页,搜索已经足够用了.然后首页保留3屏左右的区域做促销推荐,来加强高利润产品的销售.比如亚马逊就是最明显的例子.但是也有不少综合平台的首页在3屏以上甚至4屏,3C类电子商务平台多是如此,比如京东和新蛋.有可能是品类相对集中,比较好分类展示.

也有部分网站突破了长首页分类的模式,比如ASOS和onlineshoes,国外的网站采用的多一些.至于什么原因我还没有想明白.有可能是因为使用大图片来凸显主销品的品牌.用更多的文字链分类在来取代了原来的图片导航.这个取决于网站的运营特色和消费习惯,至于国内是否实用,需要实践来检验.

4:用户几步完成购物才算合理?

用户的购物流程越简单,越少越好.中国有句古话:“夜长梦多”,购物流程多了会引起用户流失.目前比较流行的是:“回首-列表页-详情页-购物车-注册页面-订单提交页-订单成功页”的七步购物,比较符合用户习惯,不能再长了.

但是众多B2C商家都在不断的研究如何缩短用户购物流程.比如亚马逊美国,在10月份推出了新功能“Amazon PayPhrase”,买家可以把姓名/地址/付款资料通用一个句子与密码存储起来.结账时,你只需要输入你自设的这个句子与密码即可,在线购物的网民将省去一系列繁琐的填写程序.好特好实现了在

5:如何鼓励用户提交真是注册信息?

相信大家都知道用户终身价值是任何一个电子商务网站都追求目标.而与用户保持紧密联系的最好方式之一就是用户的真实有效电子邮件.尽管我们在设计网站和购物流程的时候,都费劲心思的去设计用户注册的步骤,但我们拿到的还是很多的无效电子邮件地址.我在做我们自己数据营销的时候,发现邮件的反馈率也是很低的,更不要说从外部购买的数据库了.

提升利用户注册信息有效性的有效方式之一就是在用户提交注册注册信息之后,再提供一些小礼品给用户,鼓励其激活 .比如说,提醒用户“请到您的注册邮箱领取我们提供的奖品”,给用户一些小礼物,再诱导其激活手机和留下真实的是收货地址,这样的信息的有效性就会提升很多.

6:如何设计在线客服支持促进用户购买?

相信大家在进行网上之时,都会产品对产品、价格、品质等的咨询问题,这个时候就需要在线客服的支持,就像我们在商城购物需要导购员一样.目前在线客服做的最好是淘宝.因为他有无数的C店主,相当于有无数的在线客服.这一点在B2C上是不现实的.B2C上在线客服一般有如下的模式:

一登陆网站就弹出个大对话框:“亲好,请问您需要什么服务?”.这种程序自带的对话系统要坚决取缔!至少洪成浩进入去买东西就不希望一进门就被问要买什么.

站头或者右侧放置在线QQ或者在线MSN:这种方式比较人性化,但是如果销售规模大了,也无法支撑,适合规模较小的电子商务网站.

免费400电话:导购型B2C电子商务平台的首选.某些品类的B2C平台电话订单甚至占了总订单数的40%以上.可见有一群巧舌如簧的客服人员是很重要的.但是缺点是成本太高,不适合小商户使用.

在线支持文档:美国人最喜欢使用的方式.比如亚马逊和Google,他们会把说明文档做的很详细,让你有问题自己看,没事不要打我电话.优点是成本低,可扩展性好.缺点是对用户的智商要求比较高.

问答专区:普遍适用.真实的用户评论是提升销售额的利器.

高校网站建设安全问题分析与对策 篇6

关键词：高校；网站建设；安全问题；分析；对策

中图分类号：TP311

文献标识码：A

DOI：10.3969/j.issn.1003-6970.2015.09.026

0 引言

信息时代的到来，使得互联网进入飞速发展的状态中，我国国内绝大多数的高校都建立起了校园网站，通过网站建设将各高校教学情况、相关科研成果、管理模式、学生的精神面貌等进行良好的展示，这对社会公众进一步了解高校自身的发展情况起到一定的宣传作用。然而在高校网站建设期间，出现了很多安全方面的问题，在一定程度上使网站运行以及网站安全受到严重的影响，因此这些安全问题的存在，就成为现阶段各高校要面对和有效解决的问题。

1 高校网站建设实际情况以及安全问题分析

1.1 高校网站建设的实际情况

现阶段，部分高校的网站都是有自身学校的主网页同下属二级学校的子网页所构成，网站日常维护和管理都是由学校中的万罗中心来负责和完成的，而子网页的维护则是由二级学院自己管理，这种模式就导致了管理模式统一性的缺失，在一定程度上阻碍了网站质量的提升。

1.1.1

信息共享存在一定制约

由于与二级学院在网站规划和标准上的不同，因此在整个网站建设过程中，缺少必要的沟通和交流，使得其二者网站独自发展，各项资源都没有得到有效利用，在资源共享方面也还有一定欠缺。除此之外，学会还会购买一些信息系统，例如，学生学籍管理系统。然而各系统之间不具备统一管理的标准，使得各系统也是相对独立的，因此这种情况的存在阻碍了信息共享的发展，致使信息资源被浪费。

1.1.2 网站建设水平高低不同

由于不少高校的二级网站是由学生进行建设的，受到自身能力的有限，使得网站制作长期处在初级水平中，网站建设水平长时间的不到提升，并且这类二级网站也会存在一定的安全问题，在维护方面比较困难。

1.1.3 投入和产出不相等

大部分高校中的二级网站都是有二级学院白行投资建设，然后受托于管理中心，然而各二级学院会使用不同的技术进行网站建设和开发。例如，HLML、NET、PJP技术等，因此，使用不同技术所支出成本也有一定的差距，并且在投入大量的成本以后，制作出来的网站也不一定符合实际要求，使得高校整体学校受到严重影响。

1.2 网站建设中存在的问题分析

1.2.1 安全漏洞

由于高校网站在建设期间，侧重于对其实用性的提升，而忽略了对网站安全问题的考虑，在加之技术问题以及认为因素等影响，导致在网站中留下了漏洞，使得不法人员对网站数据库进行篡改和入侵，进而获取高校较为敏感的信息，对其网站运行造成严重的影响。

1.2.2 网站维护缺少连续和安全性

由于二级学院在网站维护方面没有指定专人进行维护，其中还有部分网站直接由学生进行使用，使得相应的管理信息可能存在泄露的可能，这也给网站带来了安全方面的隐患。还有部分二级学院可能在网站建设初期委派了专人进行相应的维护和管理，但是随着时间的增长，维护和管理也就被搁置了，使得网站在运行中出现了不少漏洞以及安全问题。再加上相应人员安全意识不足，网站账户密码设置简单，不用多费力气就能将其破解，使得网站安全受到影响。

1.2.3 程序上的漏洞

各高校都是有多个部门以及二级学院所组成，因此高校网站数量也相对较多，但是其中一大部分是由教师和学生共同制作完成的，在相应技术和知识方面还存在一定的欠缺，使得在程序编写过程中存在较多的漏洞。例如，部分网站使用的是开源CMS，而使用人员对其进行适当的修改，但是其中数据库路径以及有关名称都没进行调整，这样以来就会受到结构化查询语言的注入攻击。

1.2.4 操作系统以及软件方面的漏洞

目前，我们所施工的计算机操作系统主要包括了windows、Linux等，而这些系统本身就存在或多或少的漏洞，而在使用过程中也要定期安装补丁等。此外，网站运行过程中所使用伺服器软件中也可能会存在一定的漏洞，而软件版本过低也会有一定的漏洞。

1.2.5 网络安全设备的不完善

由于高校在经费支出上存在一定的限制，再加之对网络安全等方面重视不够，使得在网络安全设备上还有一定的不足。而绝大部分高校是通过使用防火墙来进行保护，而现在的网络攻击能够避开防火墙而进行直接攻击，使得网站安全受到严重影响。

2 解决网络安全问题的有效策略

2.1 提升网站建设安全管理的策略

2.1.1 建立起完善、健全的管理队伍

想要保证高校网站运行顺畅，就要指定相应的管理人员对其进行管理和维护，因此，管理人员不仅要具有极高的专业水平，还要具备一定的责任心，同时还要定期对管理人员进行培训，提升管理人员自身的业务水平，加强自身安全意识。

2.1.2 相关业务管理智能化

网站建设水平得以提升，是由信息技术作为重要支撑的，随着高校网站建设的多元化以及智能化的有效发展，也加快了其管理系统信息化改革的脚步，因此，网站建设要不断对已有资源进行有效利用和整合，经由系统分析以及重新建立以后，进而形成一个高效率的管理方式，使网站管理水平得到有效提升。

2.1.3 加强网站管理方面的投入

高校网站建设过程中，一定要充分利用社会资源，使其可以各网站建设提供必要的技术支撑，同时可以通过引资或着申请贷款的方式来筹资网站建设的资金，进而完善网站安全设备，使得网站建设能够更加安全、顺利的运行。

2.1.4 管理系统的集成化

高校网站由网络和信息两部分系统所组成，其中网络系统是按照用户的实际需求，利用集成方式，把互联网、伺服器、安全防火墙等进行有效组成，从而构成万展的网络系统，更好的为公众进行服务。信息系统则是使用计算机计算将相关设备和信息进行有效链接，进而构成一个健全、有效的管理系统，提升各部门之间沟通和信息共享的能力和水平。

2.2 提升网站安全的技术途径

2.2.1 程序编写

想要消除程序漏洞而导致的安全问题发生，就要在程度编写过程中进行严格控制，在代码编写时一定要输入相应的数据验证，并且还要对数据大小、种类以及字符串进行严格规范，同时还要对程序代码中的API函数、伺服器资源进行相应的限制，以免发生攻击服务器的现象发生。

2.2.2 对网站伺服器进行安全设置

在网站运行过程中，一定要对网站伺服器适时的进行升级，而网站系统中只需设置必须的网络服务即可。而在伺服器配置方面，则可以使用设置密码的方式来进行适当的加密，防止出现由于密码过于简单而被攻击和破解。除此以外，还可以在网站系统中安装杀毒效果较好的吸毒软件，定期查杀木马和病毒，对网站运行进行实时防范，保证网络运行安全。

2.2.3 安装防火墙，对系统进行实时监测

想要保证高校网站能够顺利运行，提高其运行过程中的安全性能，就要给网站配备相应的安全设施，例如，防火墙以及监测系统等。充分利用这部分软件来提升网站的安全性。简单来说，防火墙就是在互联网与网站之间的一个有效屏障，能够确保电脑不受黑客入侵。而监测系统则能够有效对其运行过程进行监督，一旦发现可疑情况就会做出预警反映，对伺服器中的关键区域进项有效监测。

2.2.4 构建起健全的备份体系

除了要对应用程度中的漏洞进行有效预防，还要对相应的传输数据进行有效检测，同时在对木马查杀的过程中，做好相应的备份工作，以免受到病毒和木马的影响而出现数据丢失问题。但是值得我们注意的就是，科技水平提升使得入检系统和防火墙技术水平得到提升，病毒和攻击也变的更加厉害，因此想要确保关键性文件在故障过程中不出现丢失，就要最好相应的备份工作。

3 结论

电子商务网站安全设计 篇7

1 电子商务网站安全需求分析

某电子商务网站分为前台在线购物子系统、后台数据管理子系统、网络支付和CA认证子系统。后台管理系统主要是系统管理员对网站的维护和数据库的操作, 包括交易管理、商品管理、用户管理、系统管理四个模块;前台在线购物系统主要是为了方便用户通过Internet访问网站, 为所到访的用户提供浏览网站商品信息, 同时为合法用户提供商品选择、商品购买、新品推荐等多种功能, 包括商品查询模块、信息反馈模块、用户交易模块、会员管理模块以及注册与登录模块等五个模块;网上支付系统是整个系统中资金流的核心, 其将卖家与消费者相关联, 反映了交易过程中资金流的变化;认证中心 (CA) 主要承担网上电子交易过程中的数字证书的管理、用户身份的确认、服务的认证和数字证书的签发。经过调查研究, 确定系统的安全需求如下:

1) 网页防篡改:电子商务网站暴露于Internet上供公众访问, 一旦网站被篡改将造成严重的后果, 如恶意信息的发布, 木马病毒的传播, 保密信息的泄漏等, 因此, 在网站安全设计中必须防止黑客或病毒等对网站进行非法篡改和破坏, 当发现网页、数据库、图片、电子文档和以前备份的不同时, 自动还原被改过的网页。

2) 交易数据加密:攻击者首先侦听网络数据, 然后对网络数据进行详细分析后, 才实施攻击, 因此, 对在Internet上传输的交易数据要进行大强度的数据加密, 杜绝攻击者分析交易数据的可能性, 保护网站免遭攻击。

3) 数据自动备份:服务器机房断网及网站被迫关闭现象时有发生, 因此, 网站必须具备对网站数据的自动同步备份功能, 能按设定的时间点对需要备份的文件进行统一的执行, 并能够将数据恢复到指定的时间点, 当发生硬盘损坏或者病毒感染时, 能够快速恢复源文件。

4) 交易数据的不可抵赖性:网站用户需要依据强制的密码复杂度 (充分使用ASCII字符全集) , 通过定期更换密码, 确保用户账户信息安全, 密码在网站中采取加密存储, 在交易的全过程, 详细记录每个交易的交易过程数据。

5) 交易数据完整性:敏感、机密、重要的数据在传递过程中, 防止被人篡改。

6) 安全审计自动响应:对网站安全进行全天监控, 一旦发现网站存在漏洞、挂马或被篡改的情况, 立刻通过警报, 并及时将木马清理, 避免网站被搜索引擎的屏蔽, 减少网站访问量流失。

7) 安全审计分析:针对网站密码系统、网站漏洞信息、网站挂马信息、垃圾邮件、常见漏洞、常见注入和常见跨站进行专业检测, 通过全面的分析报告, 为管理员提供快速修复网站密码安全隐患的建议。

8) 漏洞扫描:据统计, 83%的网站存在SQL注入、跨站脚本等40余类漏洞, 及时检测修复可有效防止挂马、数据泄露和破坏等严重问题, 遏制安全漏洞威胁共建网络安全。

9) 访问控制性:实时监控商品信息上传、在线图片上传等, 一旦发现网页木马应立即删除。此外, 根据设置的规则, 对不同模块的访问权限也不同, 因此, 网站对网站中每个模块具有设置操作 (插入、删除、修改、访问) 权限功能。

2电子商务网站安全体系设计

电子商务的安全要素主要包括信息完整性, 信息机密性, 身份认证性, 不可抵赖性以及数据传输的可靠性等, 现在网站开发中常用的语言有ASP、JSP、XML、PHP、HTML、DHTML等, 常用到的数据库有SQL SERVER、ORACLE、ACCESS、MY SQL等。为了更好的体现网站的安全性, 构建的电子商务网站安全体系包括系统应用层、安全协议层、安全认证层、加密技术层、和网络服务层五部分。

1) 系统应用层中分布着各种电子商务应用系统, 如:电子商务业务系统, 电子商务支付系统等, 这部分通过利用主机漏洞扫描技术、可信度等级高的操作系统以及数据备份、数据库访问审计等手段实现。

2) 交易协议层包括SET、SSL、Netbill、JEPI、Neteash、eybereash等, 使用较多的是SET协议和SSL协议, SET协议利用RSA公开密钥、Hash算法等保证确保商家和客户的合法性、确保商家和客户交易行为的不可否认性、客户交易信息的保密性和完整性;SSL协议采用了公开密钥和私有密钥两种加密方法, SSL安全协议主要提供三方面的服务:保护数据的完整性、加密数据以隐藏被传送的数据、用户和服务器的合法性认证, 将SET和SSL协议结合起来可以给电子商务网站了双重保险。

3) 安全认证层主要采用数字签名、数字信封、时间戳和数字摘要等来解决文件传输的完整性、不可否认性和认证性等问题, 加入安全认证层可以更大程度的增加系统的安全性。

4) 加密技术层利用加密算法, 把明文转换成密文, 实现数据的机密性, 加密算法分为对称加密和非对称加密, 常用的对称密钥加密算法主要有PCR算法、DEA算法、DES算法、I3DES算法等;非对称密钥加密算法主要有椭圆曲线密码算法和RSA算法;为了利用了对称算法的速度快且安全可靠的优点和非对称算法的密钥传送安全的有点, 该文采用对称加密与非对称加密的混合算法较好的解决了传输速率和安全的折中。

5) 网络服务层包括防火墙、访问控制、入侵检测、VPN等, 该层主要解决电子系统电子商务网站中的安全不可拒绝性和访问控制性的问题。放置在内部被保护的网络和Internet之间防火墙可以有效阻止入侵者进入内部被保护的网络;作为防火墙的补充部分的入侵检测实时保护网络安全和计算机系统的安全, 利用内置的攻击特征库, 使用模式匹配和智能分析的方法, 监听被保护网络, 检测攻击, 实时报警, 存储检测到的信息;VPN技术是利用不可靠的公共网络作为信息的传输媒介, 通过附加的安全隧道等技术实现与专用网络相类似的安全性能, 便于商业用户伙伴建立可信的安全连接, 提高信息传输的可靠性。

3 入侵检测模块设计

3.1 入侵检测模型设计

入侵检测系统通过实时监视和分析网络数据, 一旦发现异常数据包和可疑的入侵行为, 立即做出相应的响应并报警, 及时截取和终止非法的入侵, 将系统安全风险降到最低, 有效保护系统的数据和资源。设计的入侵检测系统模型分为数据预处理、检测模块和决策响应三部分, 如图2所示, 其中, 数据预处理主要是对网络数据进行标准化和归一化, 标准化处理是将非数值型数据转换成数值型, 归一化处理是将经过标准化处理后的数据处理为0~1内的数据;检测模块是使用数据挖掘技术挖掘出网络数据记录中的各种关联关系, 包括隐藏的潜在的关系;决策响应是使用正常规则集对经过数据挖掘得出来的分析关系进行分析对比, 判断各种入侵行为, 并给以具体的响应 (报警或更新) 和及时地完善和更新入侵规则库。

3.2 数据挖掘算法

数据挖掘算法采用模糊c均值法 (FCM) 聚类方法, 利用FCM方法实现入侵检测的过程为:划分分组~利用FCM算法进行聚类~调整分组中心判断分组类型;但由于传统FCM算法容易进入局部最优, 而粒子群算法容易取得全局最优的特点, 基于此, 该文利用粒子群算法对FCM进行优化。

X= (X1, X2, ..., Xn) 为聚类样本, Q= (q 1, q2, ..., qn) 为聚类中心集合, 基于粒子群优化模糊c均值聚类算法的步骤如下:

1) 初始化, 给定群体规模n, 聚类数目c, 加速因子1c及c2, , 最大粒子群算法迭代次数tmax、最大与最小惯性权重Wmax及Wmin。

2) 聚类中心Q (0) 是通过随机数生成器产生, 对n个群体对象进行编码, 组成第1代粒子, 当前粒子群中位置最好的粒子位置是Pgd, 每个粒子的当前位置是Pid。

4) 利用目标函数计算每个粒子新位置的适应值, 然后对比本次取得的目标函数值与前一次迭代产生的最优位置的目标函数值, 如果当前值好, 则Xid取代Pgd, 否则保持原有的Pgd的取值。

5) 在完成一次迭代后, 重新利用粒子适应值更新个体极值与全局极值, 通过计算得到新适应值, 利用适应值得到新的全局最优点, 用Pgd来表示。

6) 利用公式Wid=W´Vid+c1´rand () ´ (Pid-Xid) +c2´rand () ´ (Pgd-Xid) 在给出其最大范围内调整粒子速度, 围, 利用公式Xid=Vid+Xid在给出其限制范围内调整粒子的位置。

7) 若U (t+) 1-U (t) £e或者达到最大粒子群算法迭代次数tmax, 则算法结束, 并输出结果, 否则重复⑵~⑸, 同时进化代数计数器加1。

模型中, 模糊c均值聚类允许最小误差为ε=10-7, 粒子群群体为50, 最大迭代次数为1000, 平滑因子c1=c2=1.5, 惯性权重Wmax=0.9, Wmin=0.6。

4 结束语

在构建企业电子商务应用中, 安全性始终是放在第一位的, 安全性是电子商务网站成功的关键所在, 在现有的技术条件下进行电子商务网站设计的时候, 开发人员必须把新型安全技术与传统安全技术相结合, 文中将模糊聚类方法应用到电子商务中的入侵检测系统中, 确保了网站的安全, 在实践中对电子商务网站的安全建设有较大的帮助。

摘要：与普通网站相比, 电子商务网站更应重视安全性, 网站安全性是确保电子商务网站可靠运行并有效开展电子商务活动的基础。该文藉此对电子商务网站的安全需求进行分析, 接着进行电子商务网站的安全设计, 最后讨论了基于模糊聚类的入侵检测模型设计。

关键词：电子商务,网站安全,入侵检测

参考文献

[1]董毅.高职院校C2C电子商务网站的设计[J].微型机与应用, 2012 (16) .

[2]张晶.提高网站用户注册数据的安全有效性[J].电脑编程技巧与维护, 2012 (4) .

[3]彭芳.电子商务网站设计中信息安全防御的研究[J].煤炭技术, 2012 (5) .

企业电子商务网站安全探析 篇8

1 电子商务网站的安全现状

1.1 电子商务系统安全

电子商务系统包含了服务器硬件设施和软件系统。

硬件设施方面, 多数电子商务网站存放的空间是购买网络服务商提供的虚拟主机。虚拟主机的普遍问题是设备配置较低, 带宽不足。在服务器的管理上, 较多小型电子商务网站的数据库服务器和WEB服务器集中在一起, 安全性低, 很容易被黑客攻击, 导致重要数据被窃取或者篡改。在服务器的运行上, 也容易出现设备故障、运行不稳定的情况, 影响网站访问, 或者网站源码被不良服务商泄露。

在软件系统方面, 国内多数电子商务网站的服务器操作系统采用Windows系统, 较少使用开源的Unix系统, 而Windows系统更容易受到黑客攻击。此外, 电子商务网站自身建设的问题也决定了其安全性。建设网站所采用的是哪一种脚本语言, 程序设计是否完美, 等等问题都影响到网站安全性。如果网站程序在设计上不严谨、编写有缺陷的话, 就会因程序安全性不高, 容易受到黑客攻击。

1.2 数据安全

电子商务网站是企业信息发布和商品交易的平台, 其数据量非常大, 也非常重要。网站数据库包含了企业内部信息、商品数据和用户信息, 一旦泄露, 尤其是用户银行账户信息被黑客窃取的话, 将给企业和用户带来精神上和物质上的巨大损害。采用哪一种数据库, 和网站的安全性密切相关。目前有很多电子商务网站因规模较小, 多使用Access等小型数据库。这类数据库因安全性问题容易受到黑客攻击。

1.3 信息传输安全

企业电子商务网站信息和客户信息通过互联网来传输, 信息在传输过程中, 同样存在一个网络传输的安全性问题。如果数据在传输过程中没有经过加密, 就有可能被中途截留、篡改, 造成数据信息的不完整和错误。

2 电子商务网站建设的安全需求

现代计算机技术、网络技术、通信技术的飞速发展, 造就了电子商务的飞速发展。电子商务的飞速发展也迎来了越来越严重的安全隐患。如何在网络这个虚拟世界里保障商务活动的安全进行, 是电子商务网站建设要考虑的首要问题。

一个安全的电子商务网站, 首先要有良好的服务器, 保障电子商务系统的正常运行, 有足够的带宽提供给客户访问, 保证能让客户在任何时刻都能在网站上浏览到真实准确的信息。其次要做好系统设计, 完善系统结构, 建立安全适用的数据库, 保障企业和用户的信息安全, 确保隐私数据不被窃取。最后在信息传输过程中做好数据加密, 保证信息的完整性和安全性, 使商务活动和商品交易能安全进行。

3 电子商务网站安全措施

3.1 系统安全措施

(1) 网站服务器要选择信誉好的服务商, 购买高效能的服务器设备, 保证网站的正常稳定运行; (2) 在服务器安全设备上应用防火墙技术。在电子商务网站服务器上, 可采用集成了分组过滤和代理服务的最新防火墙产品, 灵活处理数据管理和吞吐速度, 防止非法入侵; (3) 服务器要及时升级安全补丁, 安装杀毒软件, 防止病毒攻击; (4) 有足够的带宽, 良好的数据库服务器, 避免出现网络拥堵现象, 造成网站不能访问; (5) 做好网站规划, 完善网站设计和查补漏洞, 对源码进行加密, 设置好用户名和口令的安全权限, 防范病毒攻击; (6) 在网站发布前进行全面测试, 确保网站运行稳定和使用安全; (7) 安排技术人员24小时值班, 对服务器做好入侵检测和漏洞扫描, 一旦发现网站异常能及时处理。

3.2 数据库安全措施

硬件上选择独立的数据库服务器, 并对数据库服务器的IP进行加密, 减少数据库被攻击的几率;操作系统及时升级, 打好安全补丁;数据库系统尽量不用Access等小型数据库, 选用大型的关系型数据库, 并做好安全补丁升级;在系统登录方面做好账户权限设置, 阻止非授权用户对数据库的访问, 提高账户安全性, 并对重要数据表内的数据做好加密处理;定期对数据库进行完整备份和数据检查, 一旦发现数据异常, 能将备份立即恢复。

3.3 信息传输安全措施

电子商务网站有大量的数据需要安全存储和传输, 对计算机信息的保密性和真实性来说, 最有效的工具就是加密技术。利用加密技术可以把重要的数据信息先加密再传输, 传输完成后再解密, 这样就提高了数据在传输过程中的安全性。常见的加密方法有私有密钥加密和公开密钥加密。私有密钥加密也叫对称加密, 数据的发送方和接收方使用的是同一把私有密钥, 对信息加密和解密的速度较快, 效率也高, 但对密钥的管理较困难, 因为发送方和接收方必须要有同一把密钥, 且不能泄露。公开密钥加密也叫不对称加密, 需要一对相关的密钥来进行加密和解密, 和私有密钥加密相比, 公开密钥加密的功能更强, 但公开密钥加密对算法有较高要求, 加密和解密的速度较慢, 不适合加密大量数据。在实际应用中, 往往根据两种方法的特点结合使用, 比如用公开密钥来加密私钥。此外, 常用的加密方法还有安全Hash编码法 (MD5) , 数字签名。还可以使用第三方的加密系统来完成交易的数据传输加密, 增强数据安全性, 在网络交易安全认证方面使用基于SSL和SET的电子商务系统。

4 结语

电子商务网站作为网络商务活动的平台, 必须重视网络交易的安全性。一个安全的电子商务系统, 需要在各方面同时做好安全措施, 因为每一种安全措施都仅是针对某一方面, 有其局限性。建设企业电子商务网站, 必须综合考虑商业需求、安全风险和网站管理, 制定出一套全面有效的安全措施, 保障企业电子商务网站的正常运行。

摘要：与普通网站相比, 电子商务网站特别重视网站安全性, 尤其是实时交易网站, 其安全性更加重要。本文阐述了目前电子商务网站建设的安全现状, 分析其存在的问题, 并探讨电子商务网站建设的安全措施。

关键词：电子商务,网站安全,数据传输

参考文献

[1]于鹏.电子商务系统的安全性[J].中国科技信息, 2006 (1) .

[2]张庆环.电子商务数据库安全问题研究[J].商情, 2008 (6) .

[3]刘晓宇.电子商务网站的安全分析[J].天津职业院校联合学报, 2008 (2) .

[4]冯缨.企业商务网站安全的三维模型研究[J].商场现代化, 2008 (9) .

电子商务网站的安全现状分析 篇9

1 交易信息的安全性

调查显示，52.26%的用户关注交易的安全可靠性，被调查对象中36.54%的人，认为安全性和个人信息得不到保护。在面对面的贸易过程中，交易都是通过信件或其他可靠的通信渠道来发送商业报文，进而达到保守机密的目的。电子商务通过互联网进行交易，而整个互联网是一个开放的网络，因此，会出现一些意外风险，如交易对象的不诚信、黑客的攻击等，随时都会威协到电子商务过程的安全性。交易信息直接代表着个人、企业或国家的商业机密不容泄露;信息到达对方前，信息的完整性将影响到贸易方的交易和经营策略;交易信息的真实性，包括信息内容和交易双方身份的真实性，也是电子商务成功开展的基础;确定进行交易的贸易方正是交易所期望的贸易方，在无纸化网络环境中，要有可靠的鉴别方式。

由于以上提到安全风险的存在，使得人们对网上交易心存疑虑。据统计，大约有5.2%的美国网上经销商曾被假冒信用卡，每年在美国由于信用卡欺诈而造成的网上经销商损失达数亿美元。在我国，电子商务交易中遭遇信用卡被盗用、网上黑店、信息资料丢失等现象时有发生。据不完全统计，我国有70%以上的企业和个人表示，出于安全考虑，目前暂不会在网上进行购物或交易。

综上所述，电子商务的安全问题主要有以下几点：1) 信息在传输过程中被泄漏;资料被窃取或破坏;2) 信息在传输的过程中被篡改;3) 不能确认对方的身份;4) 交易双方的抵赖。

所以，要预防非法的信息存取和信息在传输过程中被非法窃取，主要是从信息的保密性、完整性、真实性和不可抵赖性等这几个方面着手进行。经过几年的发展，电子商务过程的安全性问题也有针对性的解决方法。如在信息传输过程中一般通过密码技术对传输的信息进行加密，防止在传输中交易信息被篡改、窈听和截取。再通过提取信息摘要的方式来保持信息的完整性。当信息到达贸易方时，用认证机构和证书来实现鉴别验证某个特定的身份。为确保信息的发送方曾发送过某一信息，或者信息的接收方曾收到过信息，可在信息传输过程中为参与交易方提供可靠的标识等。

2 网上支付平台的安全性

实现网上支付功能是电子商务成功开展的一个十分重要的环节。发展电子商务如果没有相应的网上支付手段，就会大大降低电予商务交易的效率。在我国最早的网上银行是1998招商银行开办的，十几年过去了，到现在几乎所有的银行都将业务延伸到了网上。第三方支付市场也在快速地发展，支付宝就是其中具代表性的一个机构。

网上支付这种采用先进的电子签章的安全防护技术认证措施的支付方式，可以快捷、安全地在网上支付购物货款、支付各项公用事业费用的账单，甚至进行网上理财都显得极具优势。但是网上支付机构作为拥有资金吸存行为的网上支付机构，从买方把钱付给网上支付平台，到卖方确认以后，平台把钱再付给卖方，这中间需要经过一段时间，而在这段时间里，钱是沉淀在支付机构里的，自然存在着资金安全隐患方面的问题或者支付风险问题。

除了资金安全问题以外，网上支付平台还极易成为犯罪分子进行不法活动的工具。据悉，在央行发布的《反洗钱报告》中，网上银行在银行业务中占据的比重上升很快，而且由于交易大都通过电话、计算机网络进行，银行和客户很少见面，这给银行了解客户带来了很大的难度，也成为洗钱风险的易发、高发领域。

电子支付除为客户提供帐户储值进行支付外还提供信用担保服务，它已经不是简单的支付、清算工具，而是给交易方提供实现支付达成安全交易的一个服务平台。但它的发展程度与电子商务还存在一定距离，尚有很多不完善、不能完全满足电子商务需要的地方，运营上也存在一些问题。

要从根本上解决这种现状，首先要加强对网络上虚拟交易的监管，实施网络实名制，这样会使犯罪分子不敢明目张胆地进行非法活动，也有利于监管部门掌握具体的资金流向，使其得到有效的控制。另外作为支付平台本身应该做到合法经营，尽到自己的社会义务。

3 电子商务网站中使用的安全技术分析

为了建立一个安全便捷的电子商务应用环境，经过多年的发展，在安全电子交易协议或标准中都采纳了一些常用的安全电子交易手段和方法，典型的主要有以下几种:

3.1 密码技术

最常用的安全交易手段之一就是采用密码技术对信息加密。在电子商务中获得广泛应用的有对称加密技术和非对称加密技术。在对称加密方法中，对信息的加密和解密都使用相同的密钥，在目前广泛应用的对称加密方式中，由美国国家标准局提出的数据加密标准 (DES) 占了很重要的地位。非对称加密也称为公开密钥加密，其密钥分解成一对，即公开密钥和私有密钥。公开密钥加密后的数据只能由私有密钥才能解开，私有密钥加密的数据则由公开密钥解密，具有非对称性。

3.2 数字签名

在传统的商务交易中，书面文件上签名是确认文件的一种手段。签名的作用有两点，一是因为自身的签名难以否认，从而确认了文件己签署这一事实;二是因为签名不易仿冒，从而可以确定文件的真实性。在电子商务网站中，也采用了签名技术———数字签名，它与书面签名有类似之处，采用数字签名也能确认两点：信息是由签名者发送的;信息自签发后到收到为止未曾作过修改。

3.3 认证技术

在电子交易过程中，安全认证技术是一项十分重要的技术。它可以确认交易方不是冒名，确认得到的信息是来自声称方，保证信息的完整和真实性未被人篡改。涉及到由一个权威性和公正性的第三方，来完成数字证书的发放，也即认证中心 (CA) 。CA承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。认证中心主要任务是受理数字证书的申请、签发及对数字证书的管理。常常是和其他安全手段结合在一起使用的，从而构成了安全电子交易的安全保障体系。主要采用的技术有数字摘要、数字时间戳、数字证书等。

一个完整的安全可靠的电子商务网站系统实现是相当复杂的。只有在交易过程中充分重视安全问题，才可以使得交易能正常进行，电子商务才可以收到预期的效果。

摘要：随着Internet的飞速发展, 电子商务——这种新的社会组织形式越来越显著地影响着这个社会。电子商务已经成了各种企业的主要营销手段, 它的发展前景十分广阔。在电子商务交易中, 安全性是一个至关重要的核心问题。商务交易的特殊性要求网络能提供一种端至端的安全方案。

关键词：电子商务,安全,商务交易

参考文献

[1]杨大翔.电了商务概论[M].上海:复旦大学出版社, 2006.

[2]王华丽.我国电子商务发展策略分析[J].商业研究, 2004 (18) .

电子商务网站的安全防范技术 篇10

为了确保电子商务活动的健康发展和正常进行, 除了应加大对黑客和计算机犯罪的打击力度外, 加强电子商务网站自身的安全防护也是非常重要的。因此, 当一个企业架设电子商务网站时, 应选择有效的安全措施。

1 电子商务网站安全的要求影响

电子商务网站安全的因素是多方面的。从网站内部看, 网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞, 都会影响到网站的安全运行。从网站外部看, 网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要求:

1.1 网站硬件的安全要求网站的计算机

硬件、附属通信设备及网站传输线路稳定可靠, 只有经过授权的用户才能使用和访问。

1.2 网站软件的安全网站的软件不被非法篡改, 不受计算机病毒的侵害;

网站的数据信息不被非法复制、破坏和丢失。

1.3 网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;

能确定客户的真实身份。本文主要论述当电子商务网站面对来自网站外部的安全威胁时, 应采取哪些有效的安全措施保护网站的安全。

2 电子商务网站的安全措施

2.1 防火墙技术

防火墙是指一个由硬件设备或软件、或软硬件组合而成的, 在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层, 并由它进行检查和连接。只有被授权的通信才能通过防火墙, 从而使内部网络与外部网络在一定意义下隔离, 防止非法入侵、非法使用系统资源、执行安全管制措施。

防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择, 依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段, 使内部网与Internet不直接通信, 而是使用代理服务器作为数据转发的中转站, 只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用, 如果攻击者攻破了包过滤防火墙, 整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂, 有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点, 因而在实际应用中常将这两种防火墙组合使用。

目前市场上最新的防火墙产品集成了代理和包过滤技术, 提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时, 能实行代理验证服务, 在需要高速度时, 它们能灵活地采用包过滤规则作为保护方法。

2.2 入侵检测系统

防火墙是一种隔离控制技术, 一旦入侵者进入了系统, 他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为, 捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志, 以及网络中的数据包, 识别出任何不希望有的活动, 在入侵者对系统发生危害前, 检测到入侵攻击, 并利用报警与防护系统进行报警、阻断等响应。

入侵检测系统所采用的技术有: (1) 特征检测:这一检测假设入侵者活动可以用一种模式来表示, 系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来, 但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。 (2) 异常检测:假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”, 将当前主体的活动状况与“活动简档”相比较, 当违反其统计规律时, 认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法, 从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

2.3 网络漏洞扫描器

没有绝对安全的网站, 任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具, 用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。

网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: (1) 外部扫描:通过远程检测目标主机TCP/IP不同端口的服务, 记录目标给予的回答。通过这种方法, 可以搜集到很多目标主机的各种信息, 例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TEL-NET等。然后与漏洞扫描系统提供的漏洞库进行匹配, 满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法, 对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功, 则可视为漏洞存在。 (2) 内部扫描:漏洞扫描器以root身份登录目标主机, 记录系统配置的各项主要参数, 将之与安全配置标准库进行比较和匹配, 凡不满足者即视为漏洞。

2.4 防病毒系统

病毒在网络中存储、传播、感染的途径多、速度快、方式各异, 对网站的危害较大。因此, 应利用全方位防病毒产品, 实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略, 构建全面的防病毒体系。

常用的防病毒技术有: (1) 反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。 (2) 完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用, 而网站可能在完整性检查程序开始检测病毒之前已感染了病毒, 潜伏的病毒也可以避开检查。 (3) 行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时, 行为封锁软件就会检测到并警告用户。

2.5 启用安全认证系统

企业电子商务网站的安全除网站本身硬件和软件的安全外, 还应包括传输信息的安全。对一些重要的的传输信息, 应保证信息在传输过程中不被他人窃取、偷看或修改。因此, 应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密, 使它成为一种不可理解的密文。接收方收到密文后再对它进行解密, 将密文还原成原来可理解的形式。目前, 在电子商务中普遍采用SSL安全协议。

SSL安全协议主要提供三方面的服务: (1) 认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上。 (2) 加密数据以隐藏被传送的数据。 (3) 维护数据的完整性, 确保数据在传输过程中不被改变。

3 结束语

任何一种安全措施都有其局限性, 企业电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上, 制定出整体的安全解决方案。为保证整体安全解决方案的效率, 各安全产品之间应该实现一种联动机制。当漏洞扫描器发觉安全问题时, 就会通知系统管理员, 及时采取补漏措施;当入侵检测系统检测到攻击行为时, 就会利用防火墙进行实时阻断;当防病毒系统发现新病毒时, 也会及时更新入侵检测系统的病毒攻击库, 以提高入侵检测系统的检测效率;由于安全产品和服务器、安全产品与安全产品之间都需要进行必要的数据通信, 为了保证这些通信的保密性和完整性, 可以采用安全认证手段。只有当各种安全产品真正实现联动时, 网络安全才能得到保障。

参考文献

[1]徐超汉.计算机网络安全与数据完整性技术[M].北京:电子工业出版社, 1999:104-105.

[2]田俊华.网络信息系统安全策略[J].西安工程科技学院学报, 2003, 4 (17) .

电子商务网站安全问题 篇11

关键词：ASP；网站安全；安全漏洞；防范策略

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011)06-0000-01

ASP-based Web Site Design Security Issues

Zhao Zhijiang

(Baise University,Baise533000,China)

Abstract:Currently, the development of tools for web design are many, and ASP (ActiveServer Pages) as a typical server-side web design technology that will script, hypertext, and powerful database access functions together, set a simple, efficient, And easy scalability in one. Therefore, its free Internet-based source code very much, many enterprises and institutions to download them directly as their website, also there is a flawed source, hundreds of websites have been affected by the phenomenon, there are some programmers Lack of principle for the ASP site and the means of background knowledge of the invasion, the design of the site there are significant security risks.

Keywords:ASP;Site security;Security vulnerabilities;Preventive strategies

随着互联网的迅速发展，为了能更好地更充分地使用好互联网这个世界上最大的交流平台，许多单位竞相建设了自己的网站。在Web数据库访问的多种技术中，ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的技术，英文全称Active Server Pages，动态服务器网页。它是一个Web服务器端的运行环境。ASP本身包含了VBScript和Javascript引擎，使得脚本可以直接嵌入HTML中。ASP动态网站的安全问题是个值得网站设计者和管理者重视的问题。

一、ASP在网络安全上的优点

ASP脚本是使用VBScript，JavaScript或JScript脚本语言编写的，与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出HTTP请求，访问ASP文件时，Web服务器判断出该请求的ASP文件含有“＜％”和“％＞”后，调用ASP。DLL，进行语法分析、解释执行，然后将最终结果转换成为标准的HTML格式内容，返回给Web浏览器，由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点：

（一）不泄漏源代码。相比客户端执行的JavaScript程序，ASP在网络安全上的优点之一是用户不能看到ASP源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了ASP开发人员的版权，又维护了网站系统的安全。（二）支持虚拟目录。虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露，往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改，就可以搬迁到另一台服务器上正常运行，另外，管理员可以对虚拟目录设置不同的操作权限。从而方便管理，并且提高ASP程序的安全性。

二、ASP网站的主要安全隐患

（一）设计上的漏洞。有些网站在设计时存在利用网上的现成模板或代码公开的免费程序，有些ASP网站设计人员将有特权的用户名、密码、数据库路径等直接写在程序中，为攻击者攻击系统提供了破解密码、下载数据库甚至登录到后台获取网站的管理权限等途径。（二）系统软件和管理上的漏洞。Windows、Linux等操作系统以及网站采用的数据库系统如Access、SQL SERVER等存在有一定的安全漏洞；IIS、注册表、特殊系统命令和文件夹的属性、用户名及用户权限、用户口令及生存期等安全设置，若处理不当，对网站的安全性影响较大。（三）后台管理用户使用安全问题。网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响，如后台登录的用户名、密码过于简单有规律、密码使用期太长等易被破解；密码保存问题、后台管理计算机系统有木马和计算机病毒容易造成密码泄露等。

三、对ASP安全隐患的防范策略

目前，大多数网站上的ASP程序有很多安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

（一）源程序泄露的防范。当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。因此，程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对。inc文件内容进行加密，其次也可以使用。ASP文件代替。inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。（二）防止验证被绕过。现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。因此，对于这类问题的防范，需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。（三）用户名与口令破解的防范。用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此，涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

四、结语

安全问题是任何网络程序开发所需要关注的首要问题，基于ASP的网站，由于其自身的脆弱，更需要对安全性问题给予足够的重视。虽然针对网站的攻击越来越频繁，安全问题给网站管理员造成了很大的压力。但是我们也不必恐慌，只要我们了解了攻击原理，就一定可以找到对付他们的方案。

参考文献：

网页制作与电子商务网站安全 篇12

电子商务网站是一个非常丰富和方便的系统,很多是过去无法想像的,随着今天的社会的发展以及科学技术的发展,现在都可以想像得到。由此可以想像到未来的网页设计,那时候网页设计的要求是什么呢?怎样才能适应电子商务的发展呢?我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。

1 电子商务网站的安全现状

电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全,必须保证以下四个方面的安全:运行系统的安全;网络上系统信息的安全;网络上信息传播安全;网络上信息内容的安全。

以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。

1.1 客户端数据的完整性和有效性检查

(1)特殊字符的过滤

在W3C的WWW Security FAQ中关于CGI安全编程一节里列出了建议过滤的字符:&;“”“|*?-<>^()[]{}nr,这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。

(1)CGI和Script编程语言的问题

在几种国内常见的WEB编程语言中,ASP和Cold Fusion脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。

(2)Microsoft ASP脚本

普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。

(3)PHP和Perl

虽然提供了加上””(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。对于MySQL则没有问题,’不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。

另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。

(2)数据库问题

不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。

1.2 大量数据查询导致拒绝服务

许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有Denial of Service(DoS———拒绝服务)同样的效果。

2 措施与解决方案

通过查阅一些资料,下面介绍一些网页制作中安全防范的方法,以供大家参考。

2.1 防范脚本攻击

(1)JS脚本和HTML脚本攻击的防范其实很简单,只要用server.HTMLEncode(Str)就可以了。当然全以<%=uid%>过滤,为了方便的过滤,只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了,如下代码所示:

以下是过滤函数CHK()

(2)很多站点在用户注册,或者是用户资料修改的页面上也缺少脚本的过滤,或者是只在其中之一进行过滤,注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码:

2.2 防范sql injeciton攻击

从最一般的.SQL Injection漏洞攻击来看,主要在用户名和密码上的过滤问题,提交:用户名为:‘or’‘=’用户密码为:‘or’‘=’从程序出发,数据库在执行以下操作Sql=“SELECT*FROM lUsers WHERE Username=”or“=”and Password=“or”=“”时,SQL服务器将返回lUsers表格中的所有记录,而ASP脚本将会因此而误认为攻击者的输入符lUsers表格中的第一条记录,从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername=Replace(Request.Form(“Username”),“‘’”,“‘’‘”)

strPassword=Replace(Request.Form(“Password”),“’‘”,“’‘’‘”)

2.3 防止ASP木马

防止ASP木马被上传到服务器的方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式和压缩文件就完全可以,因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式,如下面代码所示:

判断文件类型是否合格

上述介绍的一些安全防范的方法在编写网页代码时被常用到,这些代码还是较为基本的一些代码,但能有效的防止一些黑客的攻击,当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识,确保在网络上进行数据传输的可靠性。

3 结论

总之,随着网页制作的技术不断的发展和提高,对电子商务的发展有着不可估量的推进作用,对于网站的安全防范已经成为目前发展电子商务最需考虑的一个问题之一,在开发网站中应注意在网络安全方面的考虑。目前如JSP、ASP、PHP、XML等一些网站新技术融入网页制作中,进一步提高了网页的性能。随着新的技术的推出,我相信网页制作的发展会把我们带入一崭新的信息世界。

参考文献

[1]临海,杨晨光.计算机网路安全[J].高等教育出版社.2004(5):55.

[2]韩茂盛.浅析电子商务时代网络安全技术[J].商场现代化(学术版),2005(2):103.

[3]刘爱国,李志梅.谈电子商务中的网络安全管理[J].商场现代化.2007(499):76-77.