電子商務(wù)安全支付剖析

實(shí)用文檔實(shí)用文檔電子商務(wù)安全支付剖析在我的生活中，像物流，數(shù)學(xué)，等這些學(xué)科對(duì)我來(lái)說(shuō)是沒(méi)用的，理論性太強(qiáng)而實(shí)踐性有太弱。但是我覺(jué)得電子安全支付在我的生活中越來(lái)越重要。摘要：隨看電子商務(wù)技術(shù)的發(fā)展,電子支付安全成為了電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題。根據(jù)調(diào)查顯示，目前電子商務(wù)安全主要存在的問(wèn)題有計(jì)算機(jī)網(wǎng)絡(luò)安全、商品的品質(zhì)、商家的誠(chéng)信、貨款的支付、商品的遞送、買賣糾紛處理、網(wǎng)站售后服務(wù)等。電子商務(wù)、電子支付直接與金錢掛鉤,一旦出現(xiàn)問(wèn)題,會(huì)帶來(lái)較大的經(jīng)濟(jì)損失，并會(huì)在電子支付鏈中相互傳遞風(fēng)險(xiǎn)。安全性成為制約電子支付發(fā)展的主要原因。因此,構(gòu)筑安全保障體制”化解非法交易對(duì)電子的威脅,對(duì)于電子支付產(chǎn)業(yè)的發(fā)展尤為重要。本論文將從電子商務(wù)與電子支付的各種安全問(wèn)題進(jìn)行研究,并提出相應(yīng)的解決措施,希望能給大家?guī)?lái)一些幫助。關(guān)鍵詞：電子商務(wù)、電子支付、網(wǎng)絡(luò)安全、安全保障體制、解決措施電子商務(wù)(ElectronicCommerce,EC)是計(jì)算機(jī)信息技術(shù)開(kāi)發(fā)與運(yùn)用的產(chǎn)物，是人類科技、經(jīng)濟(jì)、文化發(fā)展的結(jié)晶，代表了未來(lái)經(jīng)濟(jì)發(fā)展的方向。隨看電子商務(wù)的發(fā)展、網(wǎng)絡(luò)壞境的開(kāi)放性的提高、信息傳遞的快捷性的增強(qiáng)以及電子支付手段的廣泛應(yīng)用?商品交易的營(yíng)銷宣傳與貿(mào)易范圍得到了大大的豐富和提高。商務(wù)效率和效益也明顯得到提高。但電子商務(wù)帶來(lái)效益的同時(shí)?也伴隨看全新的商業(yè)風(fēng)險(xiǎn)與安全問(wèn)題。_、電子支付不安全因素分析從我國(guó)當(dāng)前的電子支付實(shí)踐來(lái)看.由于開(kāi)展網(wǎng)絡(luò)銀行業(yè)務(wù)的支付業(yè)務(wù)時(shí)間短.結(jié)合具體國(guó)情在中國(guó)實(shí)施電子商務(wù)支付存在的問(wèn)題主要有如下幾點(diǎn)：1、 社會(huì)信用度欠缺。制約電子支付系統(tǒng)的發(fā)展互聯(lián)網(wǎng)具有充分開(kāi)放的特點(diǎn)。網(wǎng)上交易雙方互不見(jiàn)面，交易的真實(shí)性不易考察和驗(yàn)證，對(duì)社會(huì)信用有較高要求。我國(guó)目前的信用體系發(fā)展程度低，經(jīng)濟(jì)活動(dòng)缺乏可靠的信嘗基礎(chǔ).社會(huì)誠(chéng)信觀念有待加強(qiáng)。另外.企業(yè)和個(gè)人客戶資信資料零散不全.海關(guān).稅務(wù)等部門與銀行信息不能共享?銀行對(duì)客戶的資信情況不能完全了解，也制約了電子商務(wù)支付系統(tǒng)的發(fā)展。2、 經(jīng)濟(jì)法律體系不健全.執(zhí)法壞境權(quán)威性欠佳目前國(guó)內(nèi)有關(guān)法律法規(guī)對(duì)網(wǎng)上交易的權(quán)利和義務(wù)規(guī)定不清晰，缺乏網(wǎng)絡(luò)消費(fèi)和服務(wù)權(quán)益保護(hù)管理規(guī)則，沒(méi)有專門的法律來(lái)規(guī)范網(wǎng)絡(luò)銀行的經(jīng)營(yíng)和使用。特別是在客戶信息披露和隱私權(quán)保護(hù)方面,還缺乏比較成熟的經(jīng)驗(yàn)。在出現(xiàn)爭(zhēng)端時(shí),責(zé)任的認(rèn)定、劃分仲裁結(jié)果的執(zhí)行等法律問(wèn)題在現(xiàn)有法律框架下難以解決。另外.我國(guó)網(wǎng)絡(luò)銀行的信息跟蹤、檢測(cè)信息報(bào)告交流制度的相關(guān)法律規(guī)則都未建立，在利用網(wǎng)絡(luò)簽訂經(jīng)濟(jì)合同、提供金融服務(wù)和保護(hù)銀行與客戶雙方權(quán)利的過(guò)程中存在諸多尚待改進(jìn)之處。如網(wǎng)絡(luò)提供商的侵權(quán)行為：⑴互聯(lián)網(wǎng)服務(wù)提供商(ISPInternetServiceProvider)的侵權(quán)行為：?ISP具有主觀故意(直接故意或間接故意)，直接侵害用戶的隱私權(quán)。例：IsP把其客戶的郵件轉(zhuǎn)移或關(guān)閉，造成客戶郵件丟失個(gè)人隱私、商業(yè)秘密泄露。@ISP對(duì)他人在網(wǎng)站上發(fā)表侵權(quán)信息應(yīng)承擔(dān)責(zé)任。（2）互聯(lián)網(wǎng)內(nèi)容提供商（ICPInternetContentProvider）的侵權(quán)行為。ICP是通過(guò)建立網(wǎng)站向廣大用戶提供信息，如果ICP發(fā)現(xiàn)明顯的公開(kāi)宣揚(yáng)他人隱私的言論.采取放縱的態(tài)度任其擴(kuò)散.ICP構(gòu)成侵害用戶隱私權(quán)應(yīng)當(dāng)承擔(dān)過(guò)錨責(zé)任。（3）由于電子現(xiàn)金可以實(shí)現(xiàn)跨國(guó)交易,稅收和洗錢將成為潛在的問(wèn)題。3、銀行內(nèi)部決策機(jī)制不暢通，國(guó)際化程度低。國(guó)內(nèi)網(wǎng)絡(luò)銀行決策大體分為兩種，一種是由傳統(tǒng)銀行業(yè)務(wù)人員負(fù)責(zé)制定發(fā)展規(guī)劃。另一種是由技術(shù)人員決定網(wǎng)絡(luò)銀行的發(fā)展方向。兩種決策模式都需要業(yè)務(wù)、管理和技術(shù)的有機(jī)結(jié)合，問(wèn)題的關(guān)鍵在于兩種模式中,不論是業(yè)務(wù)人員還是技術(shù)人員,基本都從事實(shí)務(wù)工作，對(duì)當(dāng)前自己看手的工作情況很了解，但對(duì)業(yè)務(wù)發(fā)展缺乏高瞻遠(yuǎn)矚。4技術(shù)上存在許多問(wèn)題存在潛在的高風(fēng)險(xiǎn)。由于國(guó)內(nèi)銀行的關(guān)鍵部件依賴于國(guó)外公司，網(wǎng)絡(luò)客戶端到服務(wù)端的電腦又都儲(chǔ)存看重要的信息，因此信息資料被修改和破壞的概率不可低估。國(guó)內(nèi)銀行重視硬件的采購(gòu)和網(wǎng)絡(luò)的構(gòu)建,對(duì)技術(shù)人員的業(yè)務(wù)培訓(xùn)還不夠，基層銀行普遍存在技術(shù)人員知識(shí)更新緩慢的現(xiàn)象。國(guó)外網(wǎng)絡(luò)銀行對(duì)一些敏感的數(shù)據(jù)通常采取嚴(yán)格的保護(hù)措施，而國(guó)內(nèi)銀行界目前缺乏機(jī)密信息的加密存儲(chǔ)意識(shí)，部分銀行沒(méi)有建立交易業(yè)務(wù)數(shù)據(jù)的管理制度，無(wú)法對(duì)交易業(yè)務(wù)數(shù)據(jù)實(shí)施嚴(yán)格的安全保密管理，致使出現(xiàn)商業(yè)組織的侵權(quán)行為和個(gè)人的侵權(quán)行為以及部分軟硬件設(shè)備供應(yīng)商的蓄意侵權(quán)行為。如專門從事網(wǎng)上調(diào)查業(yè)務(wù)的商業(yè)組織進(jìn)行窺探業(yè)務(wù)，非法獲取他人信息利用他人隱私,利用收集到的用戶個(gè)人信息資料建立用戶信

息資料庫(kù)，并將用戶的個(gè)人信息資料轉(zhuǎn)讓、出賣給其他公司以謀利或是用于其他商業(yè)目的。如某些軟件和硬件生產(chǎn)商在自己銷售的產(chǎn)品中做下手腳，專門從事收集消費(fèi)者的個(gè)人信息的行為。二、針對(duì)電子支付不安全的對(duì)策硏究電子支付的信息安全在很大程度上依賴于網(wǎng)絡(luò)信息安全技術(shù)的完善，這些技術(shù)包括很多，其中有密碼技術(shù)、鑒別技術(shù)、訪問(wèn)控制技術(shù)?信息流控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、軟件保護(hù)技術(shù)、病毒檢測(cè)及清除技術(shù)、內(nèi)容分類識(shí)別和過(guò)濾技術(shù)、系統(tǒng)安全監(jiān)測(cè)報(bào)警技術(shù)等。針對(duì)這些技術(shù)上的問(wèn)題,我提出如下解決方法。1、對(duì)電子支付安全性的全面認(rèn)識(shí)加密來(lái)解決,完整性主要通過(guò)因特網(wǎng)上進(jìn)行電子支付，最核心的問(wèn)題是安全問(wèn)題。我們要解決安全問(wèn)題，主要通過(guò)數(shù)據(jù)傳輸真實(shí)性主要用數(shù)字證書(shū)來(lái)解決，機(jī)密性主要用麥用消息摘要來(lái)解決，不可否認(rèn)性主要用數(shù)字簽名和事件日志來(lái)解決。利用密碼技術(shù)，并通過(guò)上邊所述的解決方法，人們也制定了很多電子商務(wù)協(xié)議，用其來(lái)達(dá)到完成電子商務(wù)交易（包括電子支付）的目的。加密來(lái)解決,完整性主要本人認(rèn)為可以從以下幾方面來(lái)解決安全性問(wèn)題：⑴架設(shè)防火墻，它是近來(lái)發(fā)展的最重要的安全技術(shù)，它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)逬入內(nèi)部網(wǎng)絡(luò)。（2）通過(guò)外部網(wǎng)絡(luò)逬入內(nèi)部網(wǎng)絡(luò)。（2）數(shù)據(jù)加密技術(shù)。麥加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求，是一種主動(dòng)安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無(wú)意義的密文，阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。(3)數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)，數(shù)字簽名技術(shù)有看特別重要的地位。在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。(4)數(shù)字時(shí)間戳技術(shù)。在電子商務(wù)交易的文件中時(shí)間是十分重要的信息是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記即有數(shù)字時(shí)間戳數(shù)字簽名方案：驗(yàn)證簽名的人或以確認(rèn)簽名是來(lái)自該小組，卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗(yàn)證簽名。(5)設(shè)置電子商務(wù)信息安全協(xié)議?，F(xiàn)有的電子商務(wù)交易協(xié)議有多種，但是目前常用的只有安全套接層協(xié)議SSL(SecureSocketsLayerSSL)和安全電子交易公告SET(SecureElec一tronicTransactions)兩種。2、建立可靠的電子支付信用體系電子商務(wù)作為一種商業(yè)活動(dòng)，信用同樣是其存在和發(fā)展的基礎(chǔ)。電子商務(wù)和信用服務(wù)都是發(fā)展很快的新興領(lǐng)域，市場(chǎng)前景廣闊。從二者的關(guān)系看，一方面電子商務(wù)需要信用體系，而信用體系也很可能最先在電子商務(wù)領(lǐng)域取得廣泛的應(yīng)用并體現(xiàn)其價(jià)值。因?yàn)殡娮由虅?wù)對(duì)信用體系的需求最強(qiáng),沒(méi)有信用體系支捋的電子商務(wù)風(fēng)險(xiǎn)極高;而在電子商務(wù)的基^上又很容易建立信用體系。電子商務(wù)的信息流、資金流、物流再加上電子簽章，四者相互呼應(yīng)交叉形成一個(gè)整體，在這個(gè)整體之上,只要稍加整合分析,進(jìn)行技術(shù)處理就可以建立信用體系,并且該信用體系對(duì)電子商務(wù)是可控的。于是,整合電子商務(wù)與信用體系,或者建立電子商務(wù)的信用體系,就成為一種需求、一種目標(biāo)、一項(xiàng)任務(wù)。為了使誠(chéng)信體系能在電子支付系統(tǒng)中使用，本人硏究了P2P技術(shù),為了使P2P技術(shù)能在更多的電子商務(wù)中發(fā)揮作用,必須考慮到網(wǎng)絡(luò)節(jié)點(diǎn)之間的信任3問(wèn)題。實(shí)際上，對(duì)等誠(chéng)信由于具有靈活性、針對(duì)性并且不需要復(fù)雜的集中管理，可能是未來(lái)各種網(wǎng)絡(luò)加強(qiáng)信任管理的必然選擇。對(duì)等誠(chéng)信的一個(gè)關(guān)鍵是量化節(jié)點(diǎn)的信譽(yù)度?；蛘哒f(shuō)需要建立一個(gè)基于P2P的信嘗度模型。信譽(yù)度模型通過(guò)預(yù)測(cè)網(wǎng)絡(luò)的狀態(tài)來(lái)提高分布式系統(tǒng)的可靠性。我們可以把局部信營(yíng)度定義為對(duì)等點(diǎn)i從對(duì)等點(diǎn)下載文件的所有交易的信嘗度之和。每個(gè)對(duì)等點(diǎn)i可以存貯它自身與對(duì)等點(diǎn)j的滿意的交易數(shù)以及不滿意的交易數(shù)，則可定義為：Sij二sat(ij)-unsat(ij)。信用體系可以說(shuō)是一種最為靈活且最有可能與電子商務(wù)本身實(shí)現(xiàn)良性互動(dòng)的規(guī)范模式,它可以無(wú)處不在，同時(shí)，卻能做到大相無(wú)形。正如我們前面分析的，由于電子商務(wù)與信用體系在本質(zhì)上的一致性,它們可以很容易地做到無(wú)縫連接，這種無(wú)縫連接所帶來(lái)的效率和便捷正是電子商務(wù)所必需的。而在行政管理及法律制裁中，我們發(fā)現(xiàn)，要實(shí)現(xiàn)它們與電子商務(wù)的無(wú)縫連接還是十分困難的。加強(qiáng)法制人制上的管理力度⑴我國(guó)電子支付安全管理除現(xiàn)有的部門分工夕卜還需要建立建立合理的電子現(xiàn)金識(shí)別制度,發(fā)行統(tǒng)一的電子現(xiàn)金是不可能的所以必須建立合理的電子現(xiàn)金識(shí)別制度。(2)限制電子現(xiàn)金的發(fā)行人。目前情況下可以只允許銀行發(fā)生電子現(xiàn)金。這樣，許多現(xiàn)行的一些貨幣政策和法規(guī)可以應(yīng)用于電子現(xiàn)金而無(wú)須太大的改動(dòng)。當(dāng)電子商務(wù)壞境成熟時(shí)，再擴(kuò)展到有實(shí)力和有信譽(yù)的大公司和網(wǎng)絡(luò)服務(wù)提供商。⑶消費(fèi)者的個(gè)人信息存儲(chǔ)在銀行，如果銀行的網(wǎng)絡(luò)遭到攻擊,私人信息可能會(huì)泄露，若補(bǔ)救不及時(shí),很可能給消費(fèi)者造成巨大損失。所以，應(yīng)從法律上和技術(shù)上共同防止黑客攻擊。在人才培養(yǎng)中要注重加強(qiáng)與國(guó)外的經(jīng)驗(yàn)技術(shù)交流，及時(shí)掌握國(guó)際上最先進(jìn)的安全防范手段和技術(shù)措施，確保在較高層次上處于主動(dòng)。加快立法進(jìn)程，健全法律體系。結(jié)合我國(guó)實(shí)際，吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充,使法律體系更加科學(xué)和完善。目前,國(guó)際上出現(xiàn)許多關(guān)于網(wǎng)絡(luò)支付安全的技術(shù)規(guī)范，技術(shù)標(biāo)準(zhǔn)目的就是要在統(tǒng)一的網(wǎng)絡(luò)壞境中保證在電子支付中的個(gè)人隱私信息的絕對(duì)安全。我們應(yīng)從這種趨勢(shì)中得到啟示在同國(guó)際接軌的同時(shí)，拿出既符合國(guó)情又順應(yīng)國(guó)際潮流的技術(shù)規(guī)范。三、生活中的電子支付安全問(wèn)題分析與對(duì)策。1、支付安全。由于網(wǎng)絡(luò)天生的不安全性，特別是其網(wǎng)上支付領(lǐng)域有看各種各樣的交易風(fēng)險(xiǎn)。但無(wú)論是何種風(fēng)險(xiǎn),其根本原因都是由于登錄密碼或支付密碼泄露造成的。(1)、密碼管理問(wèn)題大部分公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是密碼政策管理不善。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞姓名或者其他簡(jiǎn)單的密碼。有86%的用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼。許多攻擊者還會(huì)直接使用軟件強(qiáng)力破解一些安全性弱的密碼。因此,因此建議用戶使用復(fù)雜的密碼,降低被病毒破譯密碼的可能性,提高計(jì)算機(jī)系統(tǒng)的安全性。所以,密碼設(shè)置時(shí)最好不要設(shè)置為姓名、普通單詞、電話號(hào)碼、生日等簡(jiǎn)單密碼,另外,密碼一般要結(jié)合字母、數(shù)字、大/」垢共組密碼,且密碼位數(shù)應(yīng)盡量大于9位。(2)、網(wǎng)絡(luò)病毒、木馬問(wèn)題現(xiàn)今流行的很多木馬病毒都是專門用于竊取網(wǎng)上銀行密碼而編制的。木馬會(huì)監(jiān)視IE瀏覽器正在訪問(wèn)的網(wǎng)頁(yè)，如果發(fā)現(xiàn)用戶正在登錄個(gè)人銀行，會(huì)直接進(jìn)行鍵盤(pán)記錄輸入的帳號(hào)、密碼,或者彈出偽造的登錄對(duì)話框，誘騙用戶輸入登錄密碼和支付密碼.然后通過(guò)郵件將竊取的信息發(fā)送出去。因此，需要做好自身電腦的日常安全維護(hù)。要經(jīng)常給電腦系統(tǒng)升級(jí)，安裝殺毒軟件、防火墻，定期給電腦殺毒，平時(shí)上網(wǎng)是盡量不上一些小型網(wǎng)站，選大型網(wǎng)站，知名度t匕較高的網(wǎng)站，避免網(wǎng)站掛有病毒、木馬造成中毒，另外,盡量不要在公共電腦上使用自己的有關(guān)資金的帳戶和密碼，最后，有條件的情況下,在初裝系統(tǒng)后確認(rèn)電腦安全后，給自己的電腦做上備份,在使用資金帳戶前做一次系統(tǒng)恢復(fù)。(3)、釣魚(yú)平臺(tái)"網(wǎng)絡(luò)釣魚(yú)"攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng),如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶號(hào)和口令等。(4)因此，在登錄支付資金時(shí),應(yīng)注意確認(rèn)該網(wǎng)是否是官方網(wǎng)站,并仔細(xì)核對(duì)該網(wǎng)的域名是否正確，注意小寫(xiě)T與"L"、"0"與"O"等情況,還要保證良好的上網(wǎng)習(xí)慣,收藏常用的網(wǎng)址，減少網(wǎng)上鏈接。(5)(4)、硬陽(yáng)字認(rèn)證(6)在電子商務(wù)體系構(gòu)建的過(guò)渡時(shí)期,道高一尺，魔高一丈。各類病毒層出不窮,木馬也在天天更新,今天這種技術(shù)安全,明天就不一定安全。因此,數(shù)字證書(shū)的引入是在線支付安全問(wèn)題的最終解決方案之一。網(wǎng)上支付不安全,選擇網(wǎng)下加以彌補(bǔ)。(7)以工商銀行2003年推出并獲得國(guó)家專利的客戶證書(shū)USBkey(U盾)為例。從技術(shù)角度看.U盾是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具，它內(nèi)置微型智能卡處理器，采用1024位非對(duì)稱密鑰算法對(duì)數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名.確保網(wǎng)上交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。它順利地解決了當(dāng)前網(wǎng)銀密碼泄漏的問(wèn)題。有了硬件陵攵字證書(shū)的應(yīng)用，即使你的密碼泄漏了。沒(méi)有證書(shū)，黑客還是不能夠使用你的帳戶。(8)2、認(rèn)證安全(9)電子商務(wù)為了保證網(wǎng)絡(luò)上傳遞信息的安全，通常采用加密的方法。但這是不夠的,如何確定交易雙方的身份，如何獲得通訊對(duì)方的公鑰并且相信此公鑰是由某個(gè)身份確定的人擁有的，解決方法就是找一個(gè)大家共同信任的第三方，即認(rèn)證中心(CertificateAuth