電子商務安全支付剖析

《電子商務安全支付剖析》由會員分享，可在線閱讀，更多相關《電子商務安全支付剖析（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、電子商務安全支付剖析 在我生活中，像物流，數(shù)學，等這些學科對我來說是沒用，理論性 太強而實踐性有太弱。但是我覺得電子安全支付在我生活中越來越重要。 摘要： 隨著電子商務技術發(fā)展，電子支付安全成為了電子商務發(fā)展核心和關鍵問 題。根據(jù)調(diào)查顯示，目前電子商務安全主要存在問題有計算機網(wǎng)絡安全、 商品品質(zhì)、商家誠信、貨款支付、商品遞送、買賣糾紛處理、網(wǎng)站售后服 務等。電子商務、電子支付直接與金錢掛鉤，一旦出現(xiàn)問題，會帶來較大 經(jīng)濟損失，并會在電子支付鏈中相互傳遞風險。安全性成為制約電子支付 發(fā)展主要原因。因此，構筑安全保障體制，化解非法交易對電子威脅，對 于電子支付產(chǎn)業(yè)發(fā)展尤為重要。 本論文將從電

2、子商務與電子支付各種安全問題進行研究，并提出相應解決 措施，希望能給大家?guī)硪恍椭? 關鍵詞：電子商務、電子支付、網(wǎng)絡安全、安全保障體制、解決措施 電子商務(ElectronicCommerce, EC)是計克機信息技術開發(fā)與運用產(chǎn)物， 是人類科技、經(jīng)濟、文化發(fā)展結晶，代表了未來經(jīng)濟發(fā)展方向。隨著電子 商務發(fā)展、網(wǎng)絡環(huán)境開放性提高、信息傳遞快捷性增強以及電子支付手 段廣泛應用.商品交易營銷宣傳與貿(mào)易范圍得到了大大豐富和提高。商務 效率和效益也明顯得到提高。但電子商務帶來效益同時.也伴隨著全新商 業(yè)風險與安全問題。 一、電子支付不安全因素分析 從我國當前電子支付實踐來看,由于開展網(wǎng)絡銀行

3、業(yè)務支付業(yè)務時間 短.結合具體國情在中國實施電子商務支付存在問題主要有如下幾點： 1、社會信用度欠缺。制約電子支付系統(tǒng)發(fā)展互聯(lián)網(wǎng)具有充分開放特點。 網(wǎng)上交易雙方互不見面，交易真實性不易考察和驗證，對社會信用有較高 要求。我國目前信用體系發(fā)展程度低，經(jīng)濟活動缺乏可靠信譽基礎,社會 誠信觀念有待加強。另外.企業(yè)和個人客戶資信資料零散不全.海關.稅 務等部門與銀行信息不能共享.銀行對客戶資信情況不能完全了解，也制 約了電子商務支付系統(tǒng)發(fā)展。 2、經(jīng)濟法律體系不健全.執(zhí)法環(huán)境權威性欠佳 目前國內(nèi)有關法律法規(guī)對網(wǎng)上交易權利和義務規(guī)定不清晰，缺乏網(wǎng)絡消費 和服務權益保護管理規(guī)則，沒有專門法律來規(guī)范網(wǎng)

4、絡銀行經(jīng)營和使用。特 別是在客戶信息披露和隱私權保護方面，還缺乏比較成熟經(jīng)驗。在出現(xiàn)爭 端時，責任認定、劃分仲裁結果執(zhí)行等法律問題在現(xiàn)有法律框架下難以解 決。另外.我國網(wǎng)絡銀行信息跟蹤、檢測信息報告交流制度相關法律規(guī)則 都未建立，在利用網(wǎng)絡簽訂經(jīng)濟合同、提供金融服務和保護銀行與客戶雙 方權利過程中存在諸多尚待改進之處。如網(wǎng)絡提供商侵權行為：（1）互聯(lián) 網(wǎng)服務提供商（ISP Internet Service Provider）侵權行為：①ISP具有主 觀故意（直接故意或間接故意），直接侵害用戶隱私權。例：IsP把其客戶 郵件轉(zhuǎn)移或關閉，造成客戶郵件丟失個人隱私、商業(yè)秘密泄露。②ISP對 他人在網(wǎng)

5、站上發(fā)表侵權信息應承擔責任。（2）互聯(lián)網(wǎng)內(nèi)容提供商（ICP Internet Content Provider）侵權行為。ICP是通過建立網(wǎng)站向廣大用戶 提供信息，如果ICP發(fā)現(xiàn)明顯公開宣揚他人隱私言論.采取放縱態(tài)度任其 擴散.ICP構成侵害用戶隱私權應當承擔過錨責任。（3）由于電子現(xiàn)金可 以實現(xiàn)跨國交易，稅收和洗錢將成為潛在問題。 3、銀行內(nèi)部決策機制不暢通，國際化程度低。 國內(nèi)網(wǎng)絡銀行決策大體分為兩種，一種是由傳統(tǒng)銀行業(yè)務人員負責制定發(fā) 展規(guī)劃。另一種是由技術人員決定網(wǎng)絡銀行發(fā)展方向。兩種決策模式都需 要業(yè)務、管理和技術有機結合，問題關鍵在于兩種模式中，不論是業(yè)務人 員還是技術人員，

6、基本都從事實務工作，對當前自己著手工作情況很了解, 但對業(yè)務發(fā)展缺乏高瞻遠矚。 4技術上存在許多問題 存在潛在高風險。 由于國內(nèi)銀行關鍵部件依賴于國外公司，網(wǎng)絡客戶端到服務端電腦又都儲 存著重要信息，因此信息資料被修改和破壞概率不可低估。國內(nèi)銀行重視 硬件采購和網(wǎng)絡構建，對技術人員業(yè)務培訓還不夠，基層銀行普遍存在技 術人員知識更新緩慢現(xiàn)象。國外網(wǎng)絡銀行對一些敏感數(shù)據(jù)通常采取嚴格保 護措施，而國內(nèi)銀行界目前缺乏機密信息加密存儲意識，部分銀行沒有建 立交易業(yè)務數(shù)據(jù)管理制度，無法對交易業(yè)務數(shù)據(jù)實施嚴格安全保密管理， 致使出現(xiàn)商業(yè)組織侵權行為和個人侵權行為以及部分軟硬件設備供應商 蓄意侵權行為。如

7、專門從事網(wǎng)上調(diào)查業(yè)務商業(yè)組織進行窺探業(yè)務，非法獲 取他人信息利用他人隱私，利用收集到用戶個人信息資料建立用戶信息 資料庫，并將用戶個人信息資料轉(zhuǎn)讓、出賣給其他公司以謀利或是用于其 他商業(yè)目。如某些軟件和硬件生產(chǎn)商在自己銷售產(chǎn)品中做下手腳，專門從 事收集消費者個人信息行為。 二、針對電子支付不安全對策研究 電子支付信息安全在很大程度上依賴于網(wǎng)絡信息安全技術完善，這些技術 包括很多，其中有密碼技術、鑒別技術、訪問控制技術.信息流控制技術、 數(shù)據(jù)保護技術、軟件保護技術、病毒檢測及清除技術、內(nèi)容分類識別和過 濾技術、系統(tǒng)安全監(jiān)測報警技術等。針對這些技術上問題，我提出如下解 決方法。 1、對電子支

8、付安全性全面認識 通過因特網(wǎng)上進行電子支付，最核心問題是安全問題。我們要解決安全問 題，主要通過數(shù)據(jù)傳輸真實性主要用數(shù)字證書來解決，機密性主要用數(shù)據(jù) 加密來解決，完整性主要用消息摘要來解決，不可否認性主要用數(shù)字簽名 和事件口志來解決。利用密碼技術，并通過上邊所述解決方法，人們也制 定了很多電子商務協(xié)議，用其來達到完成電子商務交易（包括電子支付） 目。 本人認為可以從以下兒方面來解決安全性問題：（1）架設防火墻，它是近 來發(fā)展最重要安全技術，它主要功能是加強網(wǎng)絡之間訪問控制防止外部 網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡。（2）數(shù)據(jù)加密技術。數(shù) 據(jù)加密被認為是最可靠安全保障形式，它可以從

9、根本上滿足信息完整性要 求，是一種主動安全防范策略。數(shù)據(jù)加密原理是利用一定加密算法，將明 文轉(zhuǎn)換成為無意義密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)保密 性。（3）數(shù)字簽名技術。數(shù)字簽名技術是將摘要用發(fā)送者私鑰加密，與原 文一起傳送給接收者。接收者只有用發(fā)送者公鑰才能解密被加密摘要。在 電子商務安全保密系統(tǒng)，數(shù)字簽名技術有著特別重要地位。在電子商務安 全服務中源鑒別、完整性服務、不可否認服務中都要用到數(shù)字簽名技術。 ⑷數(shù)字時間戳技術。在電子商務交易文件中時間是十分重要信息是證明 文件有效性主要內(nèi)容。在簽名時加上一個時間標記 即有數(shù)字時間戳數(shù)字 簽名方案：驗證簽名人或以確認簽名是來自該小組，卻

10、不知道是小組中哪 一個人簽署。指定批準人簽名真實性，其他任何人除了得到該指定人或簽 名者本人幫助，否則不能驗證簽名。(5)設置電子商務信息安全協(xié)議。現(xiàn) 有電子商務交易協(xié)議有多種，但是目前常用只有安全套接層協(xié)議 SSL (Secure Sockets Layer SSL)和安全電子交易公告 SET (Secure Elec -tronic Transactions)兩種。 2、建立可靠電子支付信用體系 電子商務作為一種商業(yè)活動，信用同樣是其存在和發(fā)展基礎。電子商務和 信用服務都是發(fā)展很快新興領域，市場前景廣闊。從二者關系看，一方面 電子商務需要信用體系，而信用體系也很可能最先在電子商務領域取

11、得廣 泛應用并體現(xiàn)其價值。因為電子商務對信用體系需求最強，沒有信用體系 支持電子商務風險極高；而在電子商務基礎上又很容易建立信用體系。電 子商務信息流、資金流、物流再加上電子簽章，四者相互呼應交叉形成一 個整體，在這個整體之上，只要稍加整合分析，進行技術處理就可以建立 信用體系，并且該信用體系對電子商務是可控。于是，整合電子商務與信 用體系，或者建立電子商務信用體系，就成為一種需求、一種目標、一項 任務。為了使誠信體系能在電子支付系統(tǒng)中使用，本人研究了 P2P技術， 為了使P2P技術能在更多電子商務中發(fā)揮作用，必須考慮到網(wǎng)絡節(jié)點之間 信任 3 問題。實際上，對等誠信由于具有靈活性、針對性并

12、且不需要復雜集中管 理，可能是未來各種網(wǎng)絡加強信任管理必然選擇。對等誠信一個關鍵是量 化節(jié)點信譽度?；蛘哒f需要建立一個基于P2P信譽度模型。信譽度模型通 過預測網(wǎng)絡狀態(tài)來提高分布式系統(tǒng)可靠性。我們可以把局部信譽度定義為 對等點i從對等點下載文件所有交易信譽度之和。每個對等點i可以存貯 它自身與對等點j滿意交易數(shù)以及不滿意交易數(shù)，則可定義為：Sij=sat(i j)-unsat (i j)o信用體系可以說是一種最為靈活且最有可能與電子商務 本身實現(xiàn)良性互動規(guī)范模式，它可以無處不在，同時，卻能做到大相無形。 正如我們前面分析，由于電子商務與信用體系在本質(zhì)上一致性，它們可以 很容易地做到無縫連接，這

13、種無縫連接所帶來效率和便捷正是電子商務所 必需。而在行政管理及法律制裁中，我們發(fā)現(xiàn)，要實現(xiàn)它們與電子商務無 縫連接還是十分困難。 3.加強法制人制上管理力度 (D我國電子支付安全管理除現(xiàn)有部門分工外，還需要建立建立合理電子 現(xiàn)金識別制度，發(fā)行統(tǒng)一電子現(xiàn)金是不可能所以必須建立合理電子現(xiàn)金 識別制度。 10 / 10 ⑵限制電子現(xiàn)金發(fā)行人。目前情況下可以只允許銀行發(fā)生電子現(xiàn)金。這 樣，許多現(xiàn)行一些貨幣政策和法規(guī)可以應用于電子現(xiàn)金 而無須太大改動。 當電子商務環(huán)境成熟時，再擴展到有實力和有信譽大公司和網(wǎng)絡服務提供 商。 (3)消費者個人信息存儲在銀行，如果銀行網(wǎng)絡遭到攻擊，私人信息可能

14、 會泄露，若補救不及時，很可能給消費者造成巨大損失。所以，應從法律 上和技術上共同防止黑客攻擊。 (4)在人才培養(yǎng)中要注重加強與國外經(jīng)驗技術交流，及時掌握國際上最先 進安全防范手段和技術措施，確保在較高層次上處于主動。加快立法進程, 健全法律體系。 ⑸結合我國實際，吸取和借鑒國外網(wǎng)絡信息安全立法先進經(jīng)驗，對現(xiàn)行 法律體系進行修改與補充，使法律體系更加科學和完善。目前，國際上出 現(xiàn)許多關于網(wǎng)絡支付安全技術規(guī)范，技術標準目就是要在統(tǒng)一網(wǎng)絡環(huán)境 中保證在電子支付中個人隱私信息絕對安全。我們應從這種趨勢中得到啟 示 在同國際接軌同時，拿出既符合國情又順應國際潮流技術規(guī)范。 三、生活中電子支付安全

15、問題分析與對策。 1、支付安全。由于網(wǎng)絡天生不安全性，特別是其網(wǎng)上支付領域有著各種 各樣交易風險。但無論是何種風險，其根本原因都是由于登錄密碼或支付 密碼泄露造成。 (1)、密碼管理問題 大部分公司和個人受到網(wǎng)絡攻擊主要原因是密碼政策管理不善。大多數(shù)用 戶使用密碼都是字典中可查到普通單詞姓名或者其他簡單密碼。有86%用 戶在所有網(wǎng)站上使用都是同一個密碼或者有限兒個密碼。許多攻擊者還會 宜接使用軟件強力破解一些安全性弱密碼。因此，因此建議用戶使用復雜 密碼，降低被病毒破譯密碼可能性，提高計算機系統(tǒng)安全性。所以，密碼 設置時最好不要設置為姓名、普通單詞、電話號碼、生口等簡單密碼，另 外，密碼

16、一般要結合字母、數(shù)字、大小寫共組密碼，且密碼位數(shù)應盡量大 于9位。 (2)、網(wǎng)絡病毒、木馬問題 現(xiàn)今流行很多木馬病毒都是專門用于竊取網(wǎng)上銀行密碼而編制。木馬會監(jiān) 視IE瀏覽器正在訪問網(wǎng)頁，如果發(fā)現(xiàn)用戶正在登錄個人銀行，會直接進 行鍵盤記錄輸入帳號、密碼，或者彈出偽造登錄對話框，誘騙用戶輸入登 錄密碼和支付密碼.然后通過郵件將竊取信息發(fā)送出去。 因此，需要做好自身電腦日常安全維護。要經(jīng)常給電腦系統(tǒng)升級，安裝殺 毒軟件、防火墻，定期給電腦殺毒，平時上網(wǎng)是盡量不上一些小型網(wǎng)站， 選大型網(wǎng)站，知名度比較高網(wǎng)站，避免網(wǎng)站掛有病毒、木馬造成中毒，另 外，盡量不要在公共電腦上使用自己有關資金帳戶和密碼

17、，最后，有條件 情況下，在初裝系統(tǒng)后確認電腦安全后，給自己電腦做上備份，在使用資 金帳戶前做一次系統(tǒng)恢復。 (3)、釣魚平臺 “網(wǎng)絡釣魚”攻擊者利用欺騙性電子郵件和偽造Web站點來進行詐騙活動, 如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信品牌。受騙者 往往會泄露自己財務數(shù)據(jù)，如信用卡號、賬戶號和口令等。 (4)因此，在登錄支付資金時，應注意確認該網(wǎng)是否是官方網(wǎng)站，并 仔細核對該網(wǎng)域名是否正確，注意小寫“1”與“L”、“0”與“0”等情 況，還要保證良好上網(wǎng)習慣，收藏常用網(wǎng)址，減少網(wǎng)上鏈接。 (5) (4)、硬件數(shù)字認證 (6)在電子商務體系構建過渡時期，道高一尺，魔高一丈

18、。各類病毒 層出不窮，木馬也在天天更新，今天這種技術安全，明天就不一定安全。 因此，數(shù)字證書引入是在線支付安全問題最終解決方案之一。網(wǎng)上支付不 安全，選擇網(wǎng)下加以彌補。 (7 )以工商銀行2003年推出并獲得國家專利客戶證書USBkey (U盾)為 例。從技術角度看.u盾是用于網(wǎng)上銀行電子簽名和數(shù)字認證工具，它內(nèi)置 微型智能卡處理器，采用1024位非對稱密鑰算法對數(shù)據(jù)進行加密、解密 和數(shù)字簽名.確保網(wǎng)上交易保密性、真實性、完整性和不可否認性。它順 利地解決了當前網(wǎng)銀密碼泄漏問題。有了硬件數(shù)字證書應用，即使你密碼 泄漏了。沒有證書，黑客還是不能夠使用你帳戶。 (8)2、認證安全 (9)電子

19、商務為了保證網(wǎng)絡上傳遞信息安全，通常采用加密方法。但 這是不夠，如何確定交易雙方身份，如何獲得通訊對方公鑰并且相信此公 鑰是由某個身份確定人擁有，解決方法就是找一個大家共同信任第三方， 即認證中心(CertificateAuthority, CA)頒發(fā)電子證書。用戶之間利用證 書來保證安全性和雙方身份合法性，只有確定身份后，交易糾紛，才得到 有效裁決。 (10) (11)總之，電子商務安全是個非常復雜問題，它保障機制必須是有機, 多層次，需要有企業(yè)管理方面，技術支持方面協(xié)調(diào)來實現(xiàn)。它是一個系統(tǒng) 有機整體，不僅需要計算機網(wǎng)絡安全保證，也需要商務交易安全上保障， 更需要管理上進步，才能確保電子商務安全。同時我國在電子商務技術性 較為落后，必須加強具有自主產(chǎn)權信息安全產(chǎn)品研究，注意加強信息安全 人才培養(yǎng)，多方共同努力建立科學電子商務安全機制，才能為我國電子商 務又快又好發(fā)展保駕護行。