2.1　電子商務安全問題

2.1.1　漏洞

2009年到2016年軟件漏洞公布數量（單位：個）如圖2-1所示。

圖2-1　2009年到2016年軟件漏洞公布數量

1.網絡軟件漏洞

網絡軟件漏洞是進行網絡攻擊的首選目標，對于一個軟件，特別是較大的系統或應用軟件，要想進行全面徹底的測試已變得不太可能，雖然在開發過程中進行了一些測試，但總是會多多少少留下一些缺陷和漏洞，而這些缺陷又可能會在較長時間內發現不了，只有當被利用或某種條件得到滿足時，才會顯現出來。目前常用的一些大型軟件系統，例如Windows 7、Windows 10和一些UNIX系統軟件，以及MS Internet Explorer和Netscape Communicator等大型應用軟件，都不斷被用戶發現有這樣或那樣的安全漏洞。另外，對于網站或軟件供應商專門開發的一些CGI程序，很多都存在著嚴重的漏洞。對于電子商務站點來說，可能會由此導致惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。

2.網絡協議的安全漏洞

網絡服務一般都是通過各種各樣的協議完成的，如果網絡通信協議存在安全上的缺陷，那么攻擊者就有可能不必攻破密碼體制即可獲得所需要的信息或服務。值得注意的是，網絡協議的安全性是很難得到絕對保證的。目前協議安全性的保證通常有兩種方法：一種是用形式化方法來證明一個協議是安全的；另一種是設計者用經驗來分析協議的安全性。形式化證明的方法是人們所希望的，但一般的協議安全性也是不可判定的。所以，對復雜的通信協議的安全性，現在主要采用找漏洞分析的方法。無疑，這種方法有很大的局限性。實踐證明，目前Internet提供的一些常用服務所使用的協議（如Telnet、FTP、TCP、IP、ARP和HTTP協議）在安全方面都存在一定的缺陷。當今，許多黑客攻擊都是利用這些協議的安全漏洞才得逞的。實際上，網絡協議的漏洞是當今Internet面臨的一個嚴重的安全問題。