電子商務面臨的潛在安全威脅有哪些

電子商務面臨的潛在安全威脅有以下這些：

• 信息泄露：信息泄露是指信息被泄露或透露給某個非授權的人或實體。這種威脅主要來自于竊聽、搭線或其他更加復雜的信息探測攻擊。

• 非法使用：非法使用是指某一資源被某個非授權的人或以某一非授權的方式使用。例如，侵入某個計算機系統的攻擊者會利用這一系統作為盜用系統服務的基點或者作為入侵其他系統的出發點。

• 未進行操作系統相關安全配置：不論采用什么操作系統，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后，再配上很強的密碼系統就算作安全了。網絡軟件的漏洞和“后門”　是進行網絡攻擊的首選目標。

• 網絡釣魚：電子郵件或其他網絡釣魚策略用于竊取登錄憑證，訪問加密平臺。與任何其他系統一樣，登錄憑據盜竊可以提供進入個人加密帳戶的途徑。網絡釣魚也可以被用作攻擊加密平臺提供商的特權管理賬戶的途徑。

• 交易所黑客：利用加密交易所平臺中安全漏洞的外部黑客，例如錯誤配置漏洞。

• 惡意的內部行為：大多數企業都被內部惡意人員的問題所困擾，在云計算環境下，這種威脅進一步增加。在此場景下，所有IT設備或數據被集中管理，內部人員擁有的權限能夠讓其獲取敏感數據甚至整個云計算服務平臺的完全控制權，并且難以被發現。對企業存在威脅的惡意內部人員可能是那些有進入企業網絡、系統、數據庫權限的在任或離任員工，第三方服務提供商或者其他業務伙伴，其任何的惡意行為都有可能導致企業系統和數據的機密性、完整性和可用性受損。

• 拒絕服務攻擊：隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

• 安全產品使用不當：雖然不少網站采用了一些網絡安全設備，但由于安全產品本身的問題或使用問題，這些產品并沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

• 偽裝：偽裝是指入侵者能夠偽裝成其他實體或授權用戶，對機密信息進行訪問。黑客大多是采用偽裝、欺騙或假冒攻擊的。例如，IP“欺詐”行為就是假冒網絡中合法主機的身份，來獲取對內部網絡中計算機的訪問權限。

可以通過以下措施來加強網絡安全，減少被攻擊的可能性：

• 加強設施管理：建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發生。注重在保護計算機系統、網絡服務器、打印機等硬件實體和通信線路免受自然災害、人為破壞和搭線攻擊。驗證用戶的身份和使用權限，防止用戶越權操作，確保計算機網絡系統實體安全。

• 強化訪問控制策略：訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制是保證網絡安全最重要的核心策略之一。

• 建立完善的備份及恢復機制：為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的實時熱備份。同時，建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能最大限度地得到恢復。

• 建立安全管理機構：安全管理機構的健全與否，直接關系到一個計算機系統的安全。其管理機構由安全、審計、系統分析、軟硬件、通信、保安等有關人員組成。

• 保護應用安全：主要針對特定應用(如web服務器、網絡支付專用軟件系統)所建立的安全防護措施，它獨立于網絡的任何其他安全防護措施，雖然有些防護措施可能是網絡安全業務的一種替代或者重疊，如web瀏覽器和web服務器再應用層上對網絡支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特性安全要求。

• 保護系統安全：指從整體電子商務系統或網絡支付系統的角度進行安全防護，它與網絡系統硬件平臺、操作系統、各種應用軟件等相關聯，涉及網絡支付結算的系統安全包含以下措施。