阿里巴巴电子商务中存在的安全隐患及其应对策略
一、公司介绍
阿里巴巴(英语: Corporation),中国最大的网络公司和世界第二大网络公司,是由马云在1999 年一手创立企业对企业的网上贸易市场平台。2003 年5 月,投资一亿元人民币建立个人网上贸易市场平台——淘宝网。2004 年10 月,阿里巴巴投资成立支付宝公司,面向中国电子商务市场推出基于中介的安全交易服务。阿里巴巴在香港成立公司总部,在中国杭州成立中国总部,并在海外设立美国硅谷、伦敦等分支机构、合资企业3家,在中国北京、上海、浙江、山东、江苏、福建、广东等地区设立分公司、办事处十多家。
阿里巴巴集团经营多项业务,另外也从关联公司的业务和服务中取得经营商业生态系统上的支援。业务和关联公司的业务包括:淘宝网、天猫、聚划算、全球速卖通、阿里巴巴国际交易市场、1688、阿里妈妈、阿里云、蚂蚁金服、菜鸟网络等。
二、阿里巴巴公司存在的安全隐患
1 、电脑端支付宝的安全漏洞
阿里巴巴支付宝ActiveX 控件存在一处严重漏洞,黑客可以利用该漏洞来种植木马,对支付宝用户造成安全隐患。
反病毒中心表示,监测到阿里巴巴支付宝的一处严重安全漏洞,利用该漏洞的源代码也被公布到网上。相关检测人士称,针对这个漏洞,黑客可以编写恶意网页,若用户电脑中安装过支付宝,在浏览黑客网页时就可能被执行任意代码。换言之,若用户电脑被黑客种植了木马,用户密码、账户很可能会被窃取,从而面临安全威胁。此外,他还表示,目前所有版本的阿里巴巴支付宝均包含此漏洞,尚无官方解决方案。有人建议表示,为避免受此漏洞影响,可先临时卸载支付宝,等支付宝更新升级后再安装。此外,用户也可选择删除系统目录下的文件,但这样可能造成用户无法正常使用支付宝功能。
2 、手机端支付宝的安全漏洞
支付宝手机客户端是支付宝针对手机推出的客户端软件,主要包括如下功能:
1)转帐功能。通过转帐功能可以向其他的支付宝帐户及银行卡转帐。
2)对淘宝网和其它网站拍下的商品,用支付宝手机客户端付款和确认收货;
3)账务和交易明细的查询;
4) 记帐本功能。对日常开支及交易进行记录。
5) 手机话费充值,充值有优惠;
6) 支持提现功能。
7) 校园一卡通
以上业务介绍中有一项充值业务---卡通。就是由银行借记卡直接与支付宝账户通过银行系统(网上银行,电话银行,柜台等)捆绑,实现快速充值与支付的业务。
这项业务存在了很大的安全隐患,官方介绍说与支付宝账户捆绑的手机来实现手机客户端的一一对应,但在当下十分流行的iphone 中,支付宝没有做到手机号与手机端对应。
在手机客户端根本没有任何插件(证书,U 盾,手机动态口令等)的验证可以实现充值或支付。
说会有安全隐患是因为如果手机遗失,手机号码第一时间挂失,但iphone 被别人捡到很有可能造成资金被窃取。虽然支付宝没有默认密码登录,但还是有一定风险。
3、其他安全威胁
阿里巴巴公司最为中国规模最大的网络公司,在进行电子商务的过程中,也必然会存在互联网的安全威胁和交易漏洞。
1)病毒感染。我国计算机病毒感染率自2001 年以来就一直处于较高的水平;
2)黑客攻击。其中主要包括网页篡改和僵尸网络两种;
3)网络仿冒。网络仿冒在国际上通称为“Phishing”,在我国也称为网络欺诈、网页仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行账户和口令等。甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户
计算机植入木马来直接骗取个人信息。有关数据统计显示,进入2004 年后,全球网页仿冒攻击平均每月增加52%;
4)其他方面还包括:安全协议问题。目前,安全协议还没有国际性的标准和规范,在安全管理方面还存在着很大的安全隐患;系统中断或瘫痪,网络物理设备故障、软件设计不合理、硬件故障、操作失误、应用程序错误以及计算机病毒都可能导致系统中断或瘫痪,从而造成很大的安全隐患;服务器的安全问题,电子商务服务器是电子商务系统的核心,安装了大量与电子商务有关的软件和商家的信息,并且在服务器的数据库中储存着一些敏感数据。服务器一旦受到侵入,重要的机密信息将会被窃取,威胁到整个电子商务系统的安全。商务交易安全方面还存在信息在传输的过程中被截获;信息在传输的过程中被篡改;信息在传输的过程中被破坏;冒充合法用户进行操作;对交易信息进行抵赖。电子商务安全在管理方面和法律方面还存在着很大的安全隐患。如操作人员操作失误可能导致重大的安全事故;电子商务方面的法律还不够健全,不法分子极有可能钻法律空子,造成安全隐患。
三、主要解决技术
1、电脑端支付宝的安全漏洞解决办法
对于,反病毒公司认为支付宝存在严重的安全漏洞的说法,支付宝公司已寻求第三方认证中心对支付宝安全控件进行检测,并发表声明说不存在上述安全漏洞。
虽然如此,支付宝表示,为了用户安全,已经进一步升级和加固
了支付宝控件。
例如,支付宝(中国)网络技术有限公司发布公告,针对Firefox (火狐浏览器)用户,正式推出名为“支付宝安全控件(AliPay Security Control)”的Firefox 附加组件,开始对非IE 内核浏览器进行支持,方便更多用户网上购物时的资金结算。除此之外,支付宝还有支付宝中宝等安全控件,在这些安全控件不断完善的情况下,支付宝的安全性能将会越来越高。
2、手机端支付宝的安全漏洞解决办法
对于这个问题,支付宝客服部回复的说法是普通手机可以做到“号机对应”,但对于iphone 这类新型的手机存在这方面的问题却不知情,但会反映给技术部尽快处理的。
3、其他安全威胁应对技术
1)网络安全检测设备。从事电子商务活动的企业和个人,应安装网络安全检测设备,加强对攻击行为的网络监控;
2)访问设备。通过类似智能卡这样的访问设备,可以杜绝非法人员接近安全系统,为Web安全又添加了一道保险;
3)防火墙技术。防火墙是位于内部网络和外部网络两个信任程度不同的网络之间的软件和硬件的组合,是网络安全的第一道防线。防火墙技术被认为是一种控制访问机制,限制哪些内部服务可以访问外部、哪些外部服务可以访问内部。但是,防火墙技术无法控制内部人员的攻击。目前,实现防火墙技术的主要途径有:数据包过滤、应用网关和代理服务;
4)浏览器\服务器软件。SSL 是安全套接层协议,它可以为浏览器和服务器之间的通信提供加密的环境;
5)端口保护。任何黑客在攻击服务器系统时,都会在系统端口处留下访问痕迹,因此及时对服务器端口的运行状态进行跟踪记录,就能了解到服务器的安全状态。一旦发现有陌生端口被打开,或者某个端
口运行了陌生的应用程序时,网络管理人员就必须立即切断网络连接,然后采取相应的应对措施,来保证服务器拒绝受到外来攻击;6)访问控制。访问控制决定了谁可以访问系统,他能访问系统里的哪些资源及能对这些资源进行何种操作;
7)数据加密。数据加密是最基本的安全技术,采用加密算法在传输前对需要进行传输的数据进行加密,当数据在网络中传输时,还可以采用链路—链路加密、节点加密和端—端加密等网络加密方式;8)数字证书。数字证书是由权威的第三方机构——认证中心(CA)使用自己的私钥签名之后签发给网络实体的。通过它,可以对网络中实体的身份进行认证,实现信息的认证性、完整性和不可否认性;9)保护传输线路安全。通过搭线的方式,攻击者可以窃听网络上传输的信息,而且目前有线网络还是占据着很大的市场,一旦传输线路出现问题,将导致网络不通,所以传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源。电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。集中器和调制解调器应放置在受监视的地方,以防外连的企图;对连接要定期检查,以检查是否有窃听、篡改或破坏行为;
10)路由选择机制。路由选择机制即流向控制,它可以使信息的发送者选择特殊的路由,以保证数据安全;
11)流量控制。流量控制通常都是采用填充报文的形式掩盖通信的频度和掩盖报文的长度,采用物理链路层加密方式掩盖报文地址,采用带反馈的加密方式掩盖报文的形式;
12)防入侵措施。通过安装报警系统来检测违反安全规程的行为,即安全码的不正确使用或使用无效的安全码。