電子商務安全與支付

1、電子商務安全與支付作者:日期:電子商務存在的安全威脅目前，電子商務發(fā)展面臨的主要問題之一是如何保障電子交易過程中的安全性。交易的安全是網(wǎng)上貿易的基礎和保障，也是電子商務技術的難點，圍繞電子商務安全的防護技術已經(jīng)成 為了目前電子商務研究的重點之一。在電子交易過程中，消費者和商家面臨的安全威脅通常有以下幾個方面：1信息的截獲在電子商務中，信息流和資金流以數(shù)據(jù)的形式在in ternet網(wǎng)絡中傳輸。在傳輸過程中，如果沒有采取加密措施或加密強度不夠，攻擊者可能通過In ternet網(wǎng)絡在電磁波范圍內安全截獲裝置或在數(shù)據(jù)報道通過的網(wǎng)關和路由器上截獲數(shù)據(jù)，獲取傳輸?shù)臋C密信息，或通過對信息流量、通信頻度和長度

2、等參數(shù)的分析，推測出有用的信息， 如消費者的銀行帳號、密碼以及企業(yè)商業(yè)機密等。2信息中斷這是針對可用信息進行的攻擊。在中斷過程中，信息資源變得易損失或不可用。網(wǎng)絡故障、操作錯誤、應用程序錯誤以及計算機病毒等惡意攻擊都能導致電子交易不能正常進行。因此，要對此產生的潛在威脅加以預防和控制，以保證交易數(shù)據(jù)在確定的時刻、確定的地點是有效的。3信息篡改。當攻擊者熟悉了網(wǎng)絡信息格式化后，通過各種技術和手段對網(wǎng)絡傳輸?shù)男畔⑦M行中途修改并發(fā)往目的地，從而破壞信息完整性。例如，改變信息流的次序，更改信息的內容，如購買商品的出貨地址；刪除某個消息或是消息的某些部分；在消息中插入一些讓接收方不懂或接收錯誤的信息等。

3、4信息的偽造當攻擊者掌握了網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密了商務信息以后，可以偽裝成合法用戶或發(fā)送偽造的信息來欺騙其他用戶，主要有以下兩種方式：種是偽造電子郵件。例如，虛開網(wǎng)站和電子商店，給用戶發(fā)電子郵件，收訂貨單；偽造大 量用戶，發(fā)電子郵件，窮盡商家服務器的資源，使合法用戶不能正常訪問網(wǎng)絡資源，使有嚴 格時間要求的服務不能及時得到響應等。另一種是假冒他人身份。例如，偽裝成他人身份，進行非授權信息資源的訪問或者騙取對方 的信任：冒充網(wǎng)絡控制程序，套取和修改使用權限、保密字、密鑰等信息；接管合法用戶， 欺騙系統(tǒng)，占用合法用戶資源。5交易抵賴交易抵賴包括多方面， 如發(fā)送方事后否認曾經(jīng)發(fā)送過某條消息內容；接收

4、方事后否認曾經(jīng)收到過某條消息或內容；購買者做了訂貨單不承認；商家賣出的商品因價格差而不承認原有的 交易。由于電子交易是基于in ternet基礎上的，因此，除了在交易過程中會面臨上述安全威脅外，還會涉及一般計算機網(wǎng)絡系統(tǒng)普遍面臨的一些安全問題。從網(wǎng)絡安全角度考察， 網(wǎng)絡系統(tǒng)面臨的主要安全威脅有以下幾種：1物理實體的安全問題。包括設備的功能失常、 電源故障、由于電磁泄漏引起的信息失密和搭線竊聽則是認為的，是非法者常用的一種手段，將導線搭到無人值守的網(wǎng)絡傳輸線路上進行監(jiān)聽，通過解調和正確的協(xié)議分析就可以完全掌握通信的全部內容。2自然災害的威脅計算機網(wǎng)絡設備大多是一些易碎品，不能受重壓或強烈的震動，

5、更不能受強力沖擊。所以， 各種自然災害、風暴、泥石流、建筑物破壞、火災、水災、空氣污染等對計算機網(wǎng)絡系統(tǒng)都構成了強大的威脅。"3黑客的惡意攻擊所謂黑客，現(xiàn)在一般泛指計算機信息系統(tǒng)的非法入侵者。黑客的攻擊手段和方法多種多樣， 一般可以粗略的分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破 譯以獲得重要機密信息。4軟件的漏洞和“后門”。在計算機網(wǎng)絡安全領域，軟件的漏洞是指軟件系統(tǒng)上的缺陷，這 種缺陷導致非法用戶未經(jīng)授權而獲得訪問系統(tǒng)的權限或提高其訪問權限。隨著計算機系統(tǒng)的復雜程度日益增高，開

6、發(fā)一個大型的電子商務應用軟件，要想進行全面徹底的測試已經(jīng)變得越來越不可能了。 一個實際的電子商務系統(tǒng)，總會多多少少留下某些缺陷和漏洞。而“后門”是軟件設計者為了進行非法授權訪問而在程序中故意設置的萬能訪問口令，這些口令無論是被攻破，還是只掌握在設計者手中，都對使用者的系統(tǒng)安全構成嚴重的威脅。綜上所述，軟件的漏洞和“后門”則是完全可以避免的；漏洞是難以預知的，而“后門”貝U 是人為故意設置的。5網(wǎng)絡協(xié)議的安全漏洞。眾所周知，電子商務系統(tǒng)是基于in ternet網(wǎng)絡平臺上的信息系統(tǒng)，通過in ternet基礎設施向電子商務應用提供各種網(wǎng)絡服務。而網(wǎng)絡服務則又是通過各種協(xié)議來實現(xiàn)的。目前，in te

7、rnet采用的TCP/IP協(xié)議簇，如TCP/FTP和HTTP協(xié)議等，在安全方 面都存在著一定的缺陷。當今許多黑客攻擊就是利用了這些協(xié)議的安全漏洞才得逞的。事實上，網(wǎng)絡協(xié)議的安全漏洞是當前in ternet面臨的一個重要安全問題。5計算機病毒攻擊由于in ternet的開發(fā)性，計算機病毒在網(wǎng)絡上的傳播比以前快了許多，而且in ternet的發(fā)展和普及又促進了病毒制造者之間的交流，使新病毒及其變種層出不窮，殺傷力也大為提高， 這些都給個人和企業(yè)都帶來了許多不便和經(jīng)濟損失。據(jù)2007年上半年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報道統(tǒng)計， 2007年上半年，全國感染病毒的計算機超過759萬臺，與2006年同期

8、相比增長了 12.2%。二電子商務系統(tǒng)的安全體系結構電子商務的安全體系結構是保證電子商務中數(shù)據(jù)安全的一個完整的邏輯結構，同時也為交易過程的安全提供了基本保障。電子商務安全系統(tǒng)結構由網(wǎng)絡服務層、加密技術層、安全認證層、安全協(xié)議層和商務應用系統(tǒng)層五個層次組成。既然電子商務系統(tǒng)是建立在計算機系統(tǒng)之上的商務系統(tǒng)，從邏輯上可以將整個體系結構分為底層的計算機網(wǎng)絡安全和上層的電子交易安全兩個方面。網(wǎng)絡服務提供計算機網(wǎng)絡安全；而加密技術層、安全認證層、安全協(xié)議層和商務系統(tǒng)層提供電子交易安全。因此，計算機網(wǎng)絡安全和電子交易安全是密不可分的。一個是保障底層的物理系統(tǒng)，它是電子交易安全的基礎，為人們進行網(wǎng)上商務活動

9、提供了虛擬場所的安全；另一個是保障上層業(yè)務邏輯的安全，即保證網(wǎng)上交易活動的順利進行。這兩方面的安全措施相輔相成，缺一不可， 共同為安全戴南鎮(zhèn)商務活動開展保駕護航。三 計算機網(wǎng)絡系統(tǒng)的安全性電子商務系統(tǒng)是通過網(wǎng)絡實現(xiàn)的，需要利用in ternet的基礎設施和標準，因此構成電子商務安全系統(tǒng)結構的底層是網(wǎng)絡服務層。網(wǎng)絡服務層是各種電子商務應用系統(tǒng)的基礎，它提供信息傳輸功能、用戶接入方式和安全通信服務，并保證網(wǎng)絡運行安全。網(wǎng)絡服務層是電子商務應用系統(tǒng)的網(wǎng)絡服務平臺。另外，網(wǎng)絡服務層也提供計算機網(wǎng)絡系統(tǒng)的安全。首先，它保障了計算機完了中的物理實體的安全。那么，計算機網(wǎng)絡系統(tǒng)中究竟有那些實體呢？簡單地說，

10、采用某種方式把若干平臺計算機連接起來就形成了計算機網(wǎng)絡。In ternet就是連接全球計算機的一個巨大的網(wǎng)絡。因此計算機網(wǎng)絡系統(tǒng)中的實體也就是各種各樣的計算機和連接它們的通信設備。網(wǎng)絡中的計算機有些是提供in ternet應用服務的，稱之為服務器，例如web服務器、FTP服務器和郵件服務器等，還有一些計算機是通過某些軟件，例如瀏覽器，來訪問這些服務的。統(tǒng)稱為客戶機通信連接設備主要有路由器、交換機和集線器等。要保障計算機網(wǎng)絡系統(tǒng)中實體的安全，時間上就是要保障這些計算機和它們之間的通信連接設備的安全。除了實體安全之外， 數(shù)據(jù)安全也非常重要。我們知道，電子交易同傳統(tǒng)的商務交易不同，在 電子交易過程中

11、物流與信息流和資金流發(fā)生了分離。這樣，安全的電子商務交易系統(tǒng)必須要保障分離出來的信息流和資金流的安全。計算機網(wǎng)絡設備是電子商務活動中信息流和資金流存儲和移動的載體，各種信息流和資金流在計算機網(wǎng)絡環(huán)境中的具體表現(xiàn)就是數(shù)據(jù)。因此， 實現(xiàn)了網(wǎng)絡系統(tǒng)中的數(shù)據(jù)安全，信息流和資金流也就有了安全保障。在計算機網(wǎng)絡系統(tǒng)中， 數(shù)據(jù)的安全一方面是存儲安全， 另一方面也包括數(shù)據(jù)在網(wǎng)絡傳輸過程中的安全，即通信安全。其次，要實現(xiàn)網(wǎng)絡系統(tǒng)層次的安全， 需要針對計算機網(wǎng)絡本身可能存在的安全問題，實施相應的網(wǎng)絡安全技術。計算機網(wǎng)絡安全采用的主要安全技術有防火墻技術、加密技術、漏洞掃描技術、虛擬專用網(wǎng)技術、入侵檢測技術、反病毒

12、技術和安全審計技術等，用以保證網(wǎng)絡安全。四、電子交易的安全性電子交易是針對傳統(tǒng)商務在 in ternet上運行時產生的各種安全問題而設計的一套安全技術， 目的是在計算機網(wǎng)絡系統(tǒng)安全的基礎上確保電子交易過程的順利進行，即實現(xiàn)電子交易的保密性、完整性、有效性、認證性、不可抵賴性和訪問控制性這六種類型的安全要素。1保密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業(yè)或者國家的商業(yè)機密。與傳統(tǒng)的紙張貿易不同，電子商務是建立在較為開放的in ternet網(wǎng)絡環(huán)境上的，維護商業(yè)機密是電子商務得以全面推廣應用的重要條件。因此，要對敏感重要的商業(yè)信息進行加密，即使別人截獲竊取了數(shù)據(jù)，也無法識別信息的

13、真實內容，這樣就可以使商業(yè)機密信息難以泄露。2完整性商務數(shù)據(jù)的完整性是指保護數(shù)據(jù)不被未授權者修改、建立、嵌入、刪除、重復傳送或由于其他原因使原始數(shù)據(jù)被篡改。在存儲時，要防止非法者對數(shù)據(jù)進行篡改及破壞。在傳輸過程中，接收對方應通過某種安全鑒別機制驗證所收到的信息是否被篡改。通過驗證，如果收到的信息與發(fā)送的信息完全一致，則說明在傳輸過程中信息沒有遭到破壞，即信息具有完整性。加密的信息在傳輸過程中，雖能保證其保密性，但并不能保證不被修改。3有效性。電子商務以電子形式取代了紙張，保證這種無紙貿易的有效性，是開展電子商務的前提。 因此，要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、系統(tǒng)軟件錯誤以及計算機病毒所產

14、生的潛在 威脅加以控制和預防，保證交易數(shù)據(jù)在確定的時刻、確定的地點是有效的。4認證性。認證性是指在網(wǎng)絡兩端的使用者在溝通之前互相確認對方的身份。在傳統(tǒng)的交易中，交易雙方往往是面對面進行活動的，這樣很容易確認彼此的身份。而在網(wǎng)上交易時，情況就不大一 樣了，因為網(wǎng)上交易的雙方可能素昧平生，相隔千里，并且在整個交易過程中都可能不見一面。因此，電子商務活動要在虛擬的網(wǎng)絡環(huán)境中開展，必須有相關的認證機制來約束網(wǎng)上交易各方的行動，使網(wǎng)上交易不因為環(huán)境的虛擬而變得不可捉摸。通過對身份的認證，使得參與網(wǎng)上交易的各方都有真實的身份，從而使得網(wǎng)上的一切交易變得有憑有據(jù)，虛擬的網(wǎng)絡活動也變得實在起來，成為現(xiàn)實生活的延伸。5不可抵賴性電子交易的不可抵賴性是指信息的發(fā)送方不能否認已發(fā)送出的信息，接收方也不能否認已收到的信息，這是一種法律有效性要求。不可抵賴性主要用于保護交易過程中某方用戶對付來 自其他合法用戶的威脅，如發(fā)送方對他所發(fā)送信息的否認，接收用戶對他已收信息的否認等， 而不是對付來自未知的攻擊者。在傳統(tǒng)的商務貿易中，貿易雙方通過交易合同、契約、 單據(jù)的可靠性并預防抵賴行為的發(fā)生，即“白紙黑字”。在無紙的電子商務方式下，