2.1　电子商务安全问题

2.1.1　漏洞

2009年到2016年软件漏洞公布数量（单位：个）如图2-1所示。

图2-1　2009年到2016年软件漏洞公布数量

1.网络软件漏洞

网络软件漏洞是进行网络攻击的首选目标，对于一个软件，特别是较大的系统或应用软件，要想进行全面彻底的测试已变得不太可能，虽然在开发过程中进行了一些测试，但总是会多多少少留下一些缺陷和漏洞，而这些缺陷又可能会在较长时间内发现不了，只有当被利用或某种条件得到满足时，才会显现出来。目前常用的一些大型软件系统，例如Windows 7、Windows 10和一些UNIX系统软件，以及MS Internet Explorer和Netscape Communicator等大型应用软件，都不断被用户发现有这样或那样的安全漏洞。另外，对于网站或软件供应商专门开发的一些CGI程序，很多都存在着严重的漏洞。对于电子商务站点来说，可能会由此导致恶意攻击者冒用他人账号进行网上购物等严重后果。

2.网络协议的安全漏洞

网络服务一般都是通过各种各样的协议完成的，如果网络通信协议存在安全上的缺陷，那么攻击者就有可能不必攻破密码体制即可获得所需要的信息或服务。值得注意的是，网络协议的安全性是很难得到绝对保证的。目前协议安全性的保证通常有两种方法：一种是用形式化方法来证明一个协议是安全的；另一种是设计者用经验来分析协议的安全性。形式化证明的方法是人们所希望的，但一般的协议安全性也是不可判定的。所以，对复杂的通信协议的安全性，现在主要采用找漏洞分析的方法。无疑，这种方法有很大的局限性。实践证明，目前Internet提供的一些常用服务所使用的协议（如Telnet、FTP、TCP、IP、ARP和HTTP协议）在安全方面都存在一定的缺陷。当今，许多黑客攻击都是利用这些协议的安全漏洞才得逞的。实际上，网络协议的漏洞是当今Internet面临的一个严重的安全问题。