阿里巴巴電子商務中存在的安全隱患及其應對策略

阿里巴巴電子商務中存在的安全隱患及其應對策略一、公司介紹阿里巴巴(英語:ＡCorporaｔion),中國最大的網絡公司和世界第二大網絡公司，是由馬云在1999年一手創(chuàng)立企業(yè)對企業(yè)的網上貿易市場平臺。２003年5月,投資一億元人民幣建立個人網上貿易市場平臺——淘寶網。２004年10月,阿里巴巴投資成立支付寶公司,面向中國電子商務市場推出基于中介的安全交易服務。阿里巴巴在香港成立公司總部,在中國杭州成立中國總部，并在海外設立美國硅谷、倫敦等分支機構、合資企業(yè)３家，在中國北京、上海、浙江、山東、江蘇、福建、廣東等地區(qū)設立分公司、辦事處十多家。阿里巴巴集團經營多項業(yè)務，另外也從關聯公司的業(yè)務和服務中取得經營商業(yè)生態(tài)系統(tǒng)上的支援。業(yè)務和關聯公司的業(yè)務包括:HYＰERLＩＮＫ"htｔp：／/baike.bａｉdu.cｏm/ｖiew/1５9０.htm"＼t"＿ｂlank"淘寶網、＼t＂＿ｂｌａnk"天貓、HYPＥRLINＫ"http:/／ｂaｉｋe.baidu.ｃom/view/３6２４８6９．hｔm"\t"_bｌａnk"聚劃算、HYPＥRLINK"ｈtｔp：//baiｋe.baidu.cｏｍ/viｅｗ/30９5３５7.htm"\ｔ＂_blank"全球速賣通、阿里巴巴國際交易市場、16８８、ＨYＰEＲLINK"ｈttｐ：／/ｂaike.baidu.coｍ/view/151358.htm＂\t"_blanｋ"阿里媽媽、ＨＹPEＲLINK"http：//baike．/view／28１7287.htm＂\t"_blaｎk＂阿里云、HYPERLＩNK"htｔp://baiｋe.ｂａｉｄu.cｏm/view／15171507.htm＂\t"_bｌａnk"螞蟻金服、HＹＰＥRLINK"http：//baike.ｂaidu．ｃom/vｉew/66705４1．ｈtm"＼ｔ＂＿blank"菜鳥網絡等。二、阿里巴巴公司存在的安全隱患1、電腦端支付寶的安全漏洞阿里巴巴支付寶AcｔiｖeX控件存在一處嚴重漏洞,黑客可以利用該漏洞來種植木馬,對支付寶用戶造成安全隱患。反病毒中心表示，監(jiān)測到阿里巴巴支付寶的一處嚴重安全漏洞,利用該漏洞的源代碼也被公布到網上。相關檢測人士稱,針對這個漏洞，黑客可以編寫惡意網頁,若用戶電腦中安裝過支付寶，在瀏覽黑客網頁時就可能被執(zhí)行任意代碼。換言之,若用戶電腦被黑客種植了木馬，用戶密碼、賬戶很可能會被竊取,從而面臨安全威脅。此外，他還表示,目前所有版本的阿里巴巴支付寶均包含此漏洞,尚無官方解決方案。有人建議表示，為避免受此漏洞影響,可先臨時卸載支付寶,等支付寶更新升級后再安裝。此外，用戶也可選擇刪除系統(tǒng)目錄下的pta.dlｌ文件，但這樣可能造成用戶無法正常使用支付寶功能。2、手機端支付寶的安全漏洞支付寶手機客戶端是支付寶針對手機推出的客戶端軟件，主要包括如下功能：1）轉帳功能。通過轉帳功能可以向其他的支付寶帳戶及銀行卡轉帳。２)對淘寶網和其它網站拍下的商品，用支付寶手機客戶端付款和確認收貨;3)賬務和交易明細的查詢；4）記帳本功能。對日常開支及交易進行記錄。5)手機話費充值，充值有優(yōu)惠;6）支持提現功能。7）校園一卡通以上業(yè)務介紹中有一項充值業(yè)務--－卡通。就是由銀行借記卡直接與支付寶賬戶通過銀行系統(tǒng)(網上銀行,電話銀行,柜臺等)捆綁,實現快速充值與支付的業(yè)務。這項業(yè)務存在了很大的安全隱患,官方介紹說與支付寶賬戶捆綁的手機來實現手機客戶端的一一對應，但在當下十分流行的iphone中,支付寶沒有做到手機號與手機端對應。在手機客戶端根本沒有任何插件（證書，U盾，手機動態(tài)口令等）的驗證可以實現充值或支付。說會有安全隱患是因為如果手機遺失,手機號碼第一時間掛失,但iphｏnｅ被別人撿到很有可能造成資金被竊取。雖然支付寶沒有默認密碼登錄,但還是有一定風險。3、其他安全威脅阿里巴巴公司最為中國規(guī)模最大的網絡公司，在進行電子商務的過程中,也必然會存在互聯網的安全威脅和交易漏洞。１)病毒感染。我國計算機病毒感染率自２001年以來就一直處于較高的水平;2）黑客攻擊。其中主要包括網頁篡改和僵尸網絡兩種;3)網絡仿冒。網絡仿冒在國際上通稱為“Phiｓhing”，在我國也稱為網絡欺詐、網頁仿冒或者是網絡釣魚。它通常是通過仿冒正規(guī)的網站來欺瞞誘騙用戶提供各種個人信息,如銀行賬戶和口令等。甚至干脆通過在假網頁或者誘餌郵件中嵌入惡意代碼的手段給用戶計算機植入木馬來直接騙取個人信息。有關數據統(tǒng)計顯示,進入20０4年后，全球網頁仿冒攻擊平均每月增加５２%;4)其他方面還包括:安全協(xié)議問題。目前，安全協(xié)議還沒有國際性的標準和規(guī)范，在安全管理方面還存在著很大的安全隱患;系統(tǒng)中斷或癱瘓,網絡物理設備故障、軟件設計不合理、硬件故障、操作失誤、應用程序錯誤以及計算機病毒都可能導致系統(tǒng)中斷或癱瘓,從而造成很大的安全隱患;服務器的安全問題,電子商務服務器是電子商務系統(tǒng)的核心,安裝了大量與電子商務有關的軟件和商家的信息,并且在服務器的數據庫中儲存著一些敏感數據。服務器一旦受到侵入,重要的機密信息將會被竊取，威脅到整個電子商務系統(tǒng)的安全。商務交易安全方面還存在信息在傳輸的過程中被截獲;信息在傳輸的過程中被篡改；信息在傳輸的過程中被破壞；冒充合法用戶進行操作;對交易信息進行抵賴。電子商務安全在管理方面和法律方面還存在著很大的安全隱患。如操作人員操作失誤可能導致重大的安全事故;電子商務方面的法律還不夠健全，不法分子極有可能鉆法律空子,造成安全隱患。三、主要解決技術1、電腦端支付寶的安全漏洞解決辦法對于,反病毒公司認為支付寶存在嚴重的安全漏洞的說法，支付寶公司已尋求第三方認證中心對支付寶安全控件進行檢測，并發(fā)表聲明說不存在上述安全漏洞。雖然如此,支付寶表示,為了用戶安全，已經進一步升級和加固了支付寶控件。例如，支付寶(中國)網絡技術有限公司發(fā)布公告,針對Fｉrefox（火狐瀏覽器）用戶,正式推出名為“支付寶安全控件（AｌiPａｙSｅcurityControl)”的Fｉreｆox附加組件，開始對非IＥ內核瀏覽器進行支持，方便更多用戶網上購物時的資金結算。除此之外，支付寶還有支付寶中寶等安全控件，在這些安全控件不斷完善的情況下,支付寶的安全性能將會越來越高。2、手機端支付寶的安全漏洞解決辦法對于這個問題,支付寶客服部回復的說法是普通手機可以做到“號機對應”,但對于iphone這類新型的手機存在這方面的問題卻不知情，但會反映給技術部盡快處理的。３、其他安全威脅應對技術１)網絡安全檢測設備。從事電子商務活動的企業(yè)和個人，應安裝網絡安全檢測設備，加強對攻擊行為的網絡監(jiān)控;2）訪問設備。通過類似智能卡這樣的訪問設備，可以杜絕非法人員接近安全系統(tǒng),為Wｅb安全又添加了一道保險；3）防火墻技術。防火墻是位于內部網絡和外部網絡兩個信任程度不同的網絡之間的軟件和硬件的組合，是網絡安全的第一道防線。防火墻技術被認為是一種控制訪問機制，限制哪些內部服務可以訪問外部、哪些外部服務可以訪問內部。但是，防火墻技術無法控制內部人員的攻擊。目前，實現防火墻技術的主要途徑有：數據包過濾、應用網關和代理服務；4）瀏覽器\服務器軟件。SSL是安全套接層協(xié)議,它可以為瀏覽器和服務器之間的通信提供加密的環(huán)境；5）端口保護。任何黑客在攻擊服務器系統(tǒng)時，都會在系統(tǒng)端口處留下訪問痕跡，因此及時對服務器端口的運行狀態(tài)進行跟蹤記錄，就能了解到服務器的安全狀態(tài)。一旦發(fā)現有陌生端口被打開,或者某個端口運行了陌生的應用程序時,網絡管理人員就必須立即切斷網絡連接,然后采取相應的應對措施,來保證服務器拒絕受到外來攻擊;６)訪問控制。訪問控制決定了誰可以訪問系統(tǒng),他能訪問系統(tǒng)里的哪些資源及能對這些資源進行何種操作；7）數據加密。數據加密是最基本的安全技術，采用加密算法在傳輸前對需要進行傳輸的數據進行加密,當數據在網絡中傳輸時,還可以采用鏈路—鏈路加密、節(jié)點加密和端—端加密等網絡加密方式；8)數字證書。數字證書是由權威的第三方機構——認證中心(ＣA)使用自己的私鑰簽名之后簽發(fā)給網絡實體的。通過它，可以對網絡中實體的身份進行認證,實現信息的認證性、完整性和不可否認性;9）保護傳輸線路安全。通過搭線的方式，攻擊者可以竊聽網絡上傳輸的信息，而且目前有線網絡還是占據著很大的市場,一旦傳輸線路出現問題,將導致網絡不通,所以傳輸線路應有露天保護措施或埋于地下，并要求遠離各種輻射源。電纜鋪設應當使用金屬導管,以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。集中器和調制解調器應放置在受監(jiān)視的地方,以防外連的企圖;對連接要定期檢查