安全支付現(xiàn)狀調(diào)查實驗報告

1、實驗一 安全支付現(xiàn)狀調(diào)查1.進入中國互聯(lián)網(wǎng)絡(luò)信息中心網(wǎng)站：，下載最新的和次新的兩期報告，查找并比較其中關(guān)于電子商務(wù)安全和支付方面的數(shù)據(jù)，分析變化的原因；2011年上半年，中國網(wǎng)上支付用戶數(shù)從去年年底的1.37億增至2011年中的1.53億，半年增加1607萬，用戶增長11.7%。網(wǎng)上支付用戶增長原因：1、 總體網(wǎng)民規(guī)模增長截至2011年6月底，我國網(wǎng)民總數(shù)達(dá)到4.85億，較2010年底提高1.9個百分點。（1）家庭電腦寬帶上網(wǎng)網(wǎng)民規(guī)模達(dá)到3.90億人，較2010年底增加840萬人。（2）手機網(wǎng)民達(dá)3.18億，較2010年底增加1495萬人。隨著手機支付相關(guān)標(biāo)準(zhǔn)和政策的明

2、朗化，運營商、銀行等各方機構(gòu)正積極布局手機支付，手機支付在未來取得較大的發(fā)展。2、 商務(wù)交易用戶規(guī)模增長（1）網(wǎng)絡(luò)購物 網(wǎng)絡(luò)購物用戶規(guī)模達(dá)到1.73億，較2010年底增長了1215萬（2）團購 中國團購用戶數(shù)從2010年底的1875萬增長至2011年中的4220萬，半年增長率達(dá)到125.0%。（3）旅行預(yù)訂 我國旅行預(yù)訂用戶規(guī)模為3686萬人，較2010年底增長73萬 總結(jié)：由于總體網(wǎng)民規(guī)模的增長，進行網(wǎng)上商務(wù)交易的用戶也逐漸增長，各金融機構(gòu)的積極參與、網(wǎng)上支付相關(guān)監(jiān)管體系的完善，運用手機進行支付的用戶也逐漸增長，用戶商務(wù)交易更加便捷，所以電子商務(wù)重要支撐的網(wǎng)上支付服務(wù)不斷增長。2.查找5個專

3、業(yè)電子商務(wù)安全的網(wǎng)站；阿里巴巴、當(dāng)當(dāng)網(wǎng)、京東商城、慧聰網(wǎng)、環(huán)球經(jīng)貿(mào)3.查找當(dāng)前國際和國內(nèi)電子商務(wù)安全技術(shù)的發(fā)展?fàn)顩r的文章，閱讀并總結(jié)；一、目前電子商務(wù)環(huán)境中存在的安全問題主要有以下幾點：網(wǎng)絡(luò)攻擊目前互聯(lián)網(wǎng)上常見的攻擊類型主要分為四類：中斷、介入、篡改、假造。中斷是指系統(tǒng)的部分主件早到破壞或使其不能發(fā)揮作用；介入則是指未經(jīng)授權(quán)者授權(quán)取得系統(tǒng)的資源，其中的未授權(quán)者可以是一臺計算機、一個人或一組程序，例如，在電子商務(wù)中，有的企業(yè)或個人會采取非法手段利用某些軟件竊取競爭對手在網(wǎng)絡(luò)上傳送的機密數(shù)據(jù)，從而能夠打擊對手；篡改是指系統(tǒng)資源被未經(jīng)授權(quán)的人所取得、乃至篡改內(nèi)容，例如近期常見的團購網(wǎng)站被黑事件就是黑

4、客利用網(wǎng)站漏洞，竊取并篡改用戶數(shù)據(jù)，從而對企業(yè)和用戶造成了巨大的經(jīng)濟損失；假造是指未經(jīng)授權(quán)人授權(quán)將假造數(shù)據(jù)放入系統(tǒng)中，從而對數(shù)據(jù)真實性造成供給，例如在網(wǎng)絡(luò)上假造身份證明文件以冒充他人。網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)安全隱患主要表現(xiàn)在以下四個方面：（1）開放性：開放性是Internet最大的優(yōu)勢，也是電子商務(wù)能夠快速發(fā)展的重要因素之一，但是高開放性的背后也存在著很多問題。當(dāng)用戶甲在訪問乙的計算機時，如果用戶甲沒有采用適當(dāng)?shù)陌踩雷o措施，用戶乙也可以方便的訪問用戶甲的計算機，而互聯(lián)網(wǎng)上連接的計算機又是如此之多，這樣很容易造成安全隱患。（2）傳輸協(xié)議：目前通用的傳輸協(xié)議是TCP/IP協(xié)議，而這種協(xié)議本身卻沒有任何

5、的安全措施來防止其信息被竊取。因而這就要求用戶在使用電子商務(wù)活動時，一定要采取有效嚴(yán)密的措施對信息進行加密，防止信息泄露。(3)操作系統(tǒng)：Internet的底層操作系統(tǒng)是UNIX，總所周知，UNIX的源代碼是公開的，好處是可以更廣泛的為用戶所使用，然而也更容易被發(fā)現(xiàn)漏洞，給用戶帶來安全隱患。(4)信息電子化：與傳統(tǒng)的商務(wù)經(jīng)營活動相比，電子商務(wù)的電子信息化具有缺乏可信度的缺點，因為電子信息是否正確完整很難由信息本身來鑒別，此外電子信息還存在著難以確認(rèn)信息的發(fā)出者以及信息是否正確無誤的被對方接收到的問題。二、針對電子商務(wù)安全問題的解決方案電子商務(wù)的安全要素電子商務(wù)是一個復(fù)雜的系統(tǒng)問題，在使用電子商

6、務(wù)中主要涉及信息的保密、完整、有效和信息的不可抵賴性這個幾個方面的安全要素。信息的保密性主要是指信息在傳輸和存儲過程中不被他人竊??；信息的完整性是指數(shù)據(jù)在輸入、輸出和傳輸過程中，防止數(shù)據(jù)被非授權(quán)建立、修改和破壞；信息的有效性是指電子商務(wù)是以電子形式取代了紙張形式，必須保證這種電子形式貿(mào)易的有效性；信息的不可抵賴性，由于電子商務(wù)交易不像傳統(tǒng)交易行為存在“白字黑字”，因而必須要確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易這一問題。由電子商務(wù)的安全要素我們可以提出以下幾點對策：(1)防火墻技術(shù)防火墻是應(yīng)用最為廣泛的一種安全手段，也是針對網(wǎng)絡(luò)攻擊最有效的安全手段。目前常用的防火墻技術(shù)主要有數(shù)據(jù)包過濾

7、防火墻和應(yīng)用級網(wǎng)關(guān)防火墻。數(shù)據(jù)包過濾防火墻的優(yōu)點是速度快，實現(xiàn)方便，價格低，易于維護，對網(wǎng)絡(luò)性能的影響較小。然而它的缺點也極為明顯，首先，沒有用戶的使用記錄，因而也無法發(fā)現(xiàn)黑客的攻擊記錄，極易受到黑客的攻擊，安全性能較差。其次，由于操作系統(tǒng)環(huán)境下用的服務(wù)協(xié)議類型也不同，故其兼容性較差。應(yīng)用級防火墻的安全性能相對較高，但是它會降低訪問速度，并且由于應(yīng)用級網(wǎng)關(guān)需要針對一個特定的Internet安裝相應(yīng)的代理服務(wù)器軟件，這使得用戶需要花費較多的時間來等待新服務(wù)軟件的安裝。（2）數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是目前電子商務(wù)安全交易的主要安全措施，目的是為了隱藏數(shù)據(jù)信息，將明文偽裝成密文，使機密性數(shù)據(jù)在傳遞過

8、程中可以不被非法用戶截取和破譯。目前，電子商務(wù)通信中常用的有私有密鑰加密法和公開密鑰加密法。私有密鑰加密法的優(yōu)點主要是運算量小，加密速度快，在專用網(wǎng)絡(luò)中由于通信方相對固定所以應(yīng)用效果較好，但是私有密鑰加密法由于算法公開，因而其安全性完全依賴于對私有密鑰的保護，所以密鑰使用一段時間后就需要更換，并且管理復(fù)雜，代價高昂。而公開密鑰加密法則正好彌補了私有密鑰加密法的缺陷，它的優(yōu)點是能在沒有安全措施的媒體上通信雙方交換信息，不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與發(fā)布過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。并且由于密鑰的保存量比起私人密鑰加密要少的多，因

9、而管理起來也相對方便不少，唯一的缺點就是加解密速度相對慢一些。（3）安全認(rèn)證技術(shù)數(shù)字加密技術(shù)只是解決了傳送信息的保密問題，而如何確定發(fā)信人的身份還需要采取另一種手段-安全認(rèn)證技術(shù)。目前被廣泛采用的PKI（Public Key Infrastructure公鑰基礎(chǔ)設(shè)施）體系結(jié)構(gòu)就是采用采用證書管理公鑰，通過第三方可信機構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、郵件地址、身份證號等）捆綁在一起，在Internet上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，從而可以在網(wǎng)上實現(xiàn)密鑰的自動管理，保證了網(wǎng)上數(shù)據(jù)的機密性和完整性。小結(jié)隨著電子商務(wù)的發(fā)展，電子交易手段也越來越多樣化，

10、安全問題會變得更加重要。未來的電子商務(wù)安全應(yīng)該成為系統(tǒng)性的工程，而不僅僅是幾個方面的技術(shù)。4.查找關(guān)于“電子商務(wù)安全解決方案”的技術(shù)文檔，分析企業(yè)開展電子商務(wù)過程中存在的主要安全問題和關(guān)鍵解決辦法。一.我國電子商務(wù)發(fā)展及其信息安全現(xiàn)狀我國電子商務(wù)始于20上世紀(jì)90年代，政府主導(dǎo)相繼實施的“金橋”、“金卡”、“金關(guān)”、“金稅”工程大大加快了我國電子商務(wù)的發(fā)展步伐。目前，我國電子商務(wù)的廣度和深度空前擴展，已經(jīng)深入國民經(jīng)濟和日常生活的各個方面。艾瑞市場咨詢公司最新的調(diào)查數(shù)據(jù)顯示：截至2006年底，中國網(wǎng)絡(luò)購物市場總用戶數(shù)達(dá)到4310萬人，B2C和C2C總交易額分別為82億元和230億元。然而，據(jù)中國

11、互聯(lián)網(wǎng)絡(luò)信息中心的一份最新調(diào)研顯示，只有約15%的網(wǎng)民平時有網(wǎng)上購物的習(xí)慣，而不選擇網(wǎng)絡(luò)購物的原因主要由于對網(wǎng)站不信任、怕受騙，擔(dān)心商品質(zhì)量問題和售后服務(wù)，質(zhì)疑其安全性等。電子商務(wù)自從誕生之日起，安全問題就像幽靈一樣如影隨形而至，成為制約其進一步發(fā)展的重要瓶頸。電子商務(wù)系統(tǒng)的安全是與計算機安全尤其是計算機網(wǎng)絡(luò)安全密切相關(guān)的，綜合當(dāng)前電子商務(wù)所面臨的網(wǎng)絡(luò)安全現(xiàn)狀不容樂觀。公安部公布了2006年全國信息網(wǎng)絡(luò)安全調(diào)查結(jié)果，結(jié)果顯示，半數(shù)以上的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，病毒或木馬程序感染率達(dá)84%，目前，全國已有8成左右的單位安裝了防火墻和病毒查殺系統(tǒng)。對數(shù)據(jù)統(tǒng)計分析，2005年5月至2006

12、年5月間，有54的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計算機病毒、蠕蟲和木馬程序為84%，遭到端口掃描或網(wǎng)絡(luò)攻擊的占36%，垃圾郵件占35%。未修補和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73%。二.電子商務(wù)安全的中心內(nèi)容 電子商務(wù)系統(tǒng)的安全問題除了包含計算機系統(tǒng)本身存在的安全隱患外，還包含了電子商務(wù)中數(shù)據(jù)的安全隱患和交易的安全隱患。要克服這些安全隱患，就需要實現(xiàn)以下六個方面的安全性。 1.商務(wù)數(shù)據(jù)的機密性 商務(wù)數(shù)據(jù)的機密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解

13、其內(nèi)容。機密性可用加密和信息隱匿技術(shù)實現(xiàn)，使截獲者不能解讀加密信息的內(nèi)容。機密性的另一方面是保護通信流特性以防止被分析。 2.商務(wù)數(shù)據(jù)的完整性 商務(wù)數(shù)據(jù)的完整性或稱正確性是保護數(shù)據(jù)不被偽授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他的原因使原始數(shù)據(jù)被更改。在存儲時，要防止非法篡改，防止網(wǎng)站上的信息被破壞。在傳輸過程中，如果接收方收到的信息與發(fā)送方的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞，具有完整性。 3.商務(wù)對象的認(rèn)證性 商務(wù)對象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對方身份，保證身份的正確性。分辨參與者聲稱身份的真?zhèn)?，防止偽裝攻擊。認(rèn)證性用數(shù)字簽名和身份認(rèn)證技術(shù)實現(xiàn)。 4.

14、商務(wù)服務(wù)的不可否認(rèn)性 商務(wù)服務(wù)的不可否認(rèn)性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接受方不能否認(rèn)已收到的信息。這是一種法律有效性要求。交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。信息的不可否認(rèn)性主要用于保護通信用戶對付來自其他合法用戶的威脅。 5.商務(wù)服務(wù)的不可拒絕性 商務(wù)服務(wù)的不可拒絕性或稱可用性是保證授權(quán)用戶在正常訪問信息和資源時不被拒絕，即保證為用戶提供穩(wěn)定的服務(wù)?？捎眯缘牟话踩侵浮把舆t”的威脅或“拒絕服務(wù)”的威脅，這類威脅的結(jié)果是破壞計算機的正常的處理速度或完全拒絕處理。 6.訪問的控制性 訪問的控制性是指在網(wǎng)絡(luò)上限制和控制通信鏈路對主機系統(tǒng)和應(yīng)用的訪問：用于保護計算機系統(tǒng)的

15、資源（信息、計算和通信資源）不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、破壞、發(fā)出指令或植入程序等。 三.電子商務(wù)安全解決方案 網(wǎng)絡(luò)安全技術(shù) 1 防火墻技術(shù) 防火墻技術(shù)是一種安全訪問控制技術(shù)，用來在不安全的公共網(wǎng)絡(luò)環(huán)境下實現(xiàn)局部網(wǎng)絡(luò)的安全性。它在內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間構(gòu)造一個保護層，只有授權(quán)的合法用戶才能通過防火墻對內(nèi)部網(wǎng)絡(luò)的資源進行訪問，從而防止來自外部互聯(lián)網(wǎng)的破壞。 2 VPN技術(shù) VPN技術(shù)是利用不可靠的公共網(wǎng)絡(luò)(通常是Internet)作為信息的傳輸媒介，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能。它可以幫助遠(yuǎn)程用 戶、公司分支機構(gòu)、商業(yè)合作伙伴同

16、公司之間建立可信的安全連接，保證數(shù)據(jù)的安全傳輸。 3 反病毒技術(shù) 由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力，因此計算機病毒的防范也是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括了預(yù)防病毒技術(shù)、檢測病毒技術(shù)和消毒技術(shù)等。預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。檢測病毒技術(shù)是通過對計算機病毒的特征來進行判斷的技術(shù)。而消毒技術(shù)則是通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。 數(shù)據(jù)加密技術(shù) 1 對稱加密技術(shù) 對稱加密技術(shù)，即信息的發(fā)送方和接收方用一個密鑰去加密和解密

17、數(shù)據(jù)，也就是說加密和解密用同一個密鑰。它要求發(fā)送方、接收方在安全通信之前，商定一個密鑰，對稱密鑰算法的安全性依賴于密鑰，泄露密鑰就意味著任何人都能對消息進行加、解密。只要通信需要保密，密鑰就必須保密。它的最大優(yōu)勢是加、解密速度快，便于用硬件實現(xiàn)、適合于對大數(shù)據(jù)量進行加密等，但密鑰管理困難。 2 非對稱加密技術(shù) 非對稱加密技術(shù)就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰， 稱為“公鑰” 和“私鑰”?！肮€” 和“私鑰” 不能由一個推出另一個，但是“公鑰”加密的信息只能由“私鑰”解密，反之亦然。非對稱密鑰機制靈活，但加密和解密速度比對稱密鑰加密慢得多，所以它不適合于對文件進行加密，而只適用

18、于對少量數(shù)據(jù)進行加密。 認(rèn)證技術(shù) 1 數(shù)字摘要 數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣，在傳輸信息時將摘要加入文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件末被篡改，反之亦然3.3.2 數(shù)字簽名 2 數(shù)字簽名如同手寫簽名，在電子商務(wù)中有如下優(yōu)點：(1)發(fā)送者事后不能否認(rèn)自己發(fā)送的報文簽名。(2)接受者能夠核實發(fā)送者發(fā)送的報文簽名。(3)接受者不能偽造發(fā)送者的報文簽名。(4)接受者不能對發(fā)送者的

19、報文進行篡改。(5)交易中的某一用戶不能冒充另一用戶作為發(fā)送者或接受者。數(shù)字簽名也是采用非對稱加密算法，實現(xiàn)方式為：發(fā)送方從報文文本中生成一個128位的散列值，并用自己的私有密鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名；然后，將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接受方；報文的接受方首先從接受到的原始報文中計算出128位的散列值，再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接受方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。 3 數(shù)字信封 數(shù)字信封的功能類似于普通信封。普通信封是在法律的約束下保證只有收信人才能閱讀信的內(nèi)容，而數(shù)字信封則采用密碼技術(shù)保證只有規(guī)定的接

20、收人才能閱讀信的內(nèi)容 數(shù)字信封中采用了對稱密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機產(chǎn)生的對稱密碼加密信息再利用接收方的公鑰加密對稱密碼被公鑰加密后的對稱密碼被稱之為數(shù)字信封。在傳遞信息時，信息接收方若要解密信息，必須先用自己的私鑰解密數(shù)字信封，得到對稱密碼，才能利用對稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸嵭院屯暾浴?4 數(shù)字時間戳 數(shù)字時間戳DTS，如同傳統(tǒng)商務(wù)中的日期和時間，在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務(wù)是網(wǎng)絡(luò)安全服務(wù)項目，由專門的機構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文檔。

21、它由三個部分組成：需要加蓋時間戳的文件的摘要、DTS收到文件的日期和時間以及DTS的數(shù)字簽名。 5 數(shù)字證書 數(shù)字證書又稱數(shù)字憑證，是由CA 發(fā)放，利用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。它包括用戶的姓名、公共密鑰、公共密鑰有效期、頒發(fā)數(shù)字證書的CA 、數(shù)字證書的序列號以及用戶本人的數(shù)字簽名。它是電子商務(wù)交易雙方身份確定的惟一安全工具。因此，任何信用卡持有人只有申請到相應(yīng)的數(shù)字證書，才能參加網(wǎng)上的電子商務(wù)交易。數(shù)字證書一般有4種類型：客戶證書、商家證書、網(wǎng)關(guān)證書及CA 系統(tǒng)證書。 安全協(xié)議技術(shù) 除上面提到的各種安全控制技術(shù)之外，電子商務(wù)的運行需要一套完整的安全協(xié)議。目前，比較成熟的協(xié)議有SET、