电子商务安全支付剖析

《电子商务安全支付剖析》由会员分享，可在线阅读，更多相关《电子商务安全支付剖析（10页珍藏版）》请在装配图网上搜索。

1、电子商务安全支付剖析 在我生活中，像物流，数学，等这些学科对我来说是没用，理论性 太强而实践性有太弱。但是我觉得电子安全支付在我生活中越来越重要。 摘要： 随着电子商务技术发展，电子支付安全成为了电子商务发展核心和关键问 题。根据调查显示，目前电子商务安全主要存在问题有计算机网络安全、 商品品质、商家诚信、货款支付、商品递送、买卖纠纷处理、网站售后服 务等。电子商务、电子支付直接与金钱挂钩，一旦出现问题，会带来较大 经济损失，并会在电子支付链中相互传递风险。安全性成为制约电子支付 发展主要原因。因此，构筑安全保障体制，化解非法交易对电子威胁，对 于电子支付产业发展尤为重要。 本论文将从电

2、子商务与电子支付各种安全问题进行研究，并提出相应解决 措施，希望能给大家带来一些帮助。 关键词：电子商务、电子支付、网络安全、安全保障体制、解决措施 电子商务(ElectronicCommerce, EC)是计克机信息技术开发与运用产物， 是人类科技、经济、文化发展结晶，代表了未来经济发展方向。随着电子 商务发展、网络环境开放性提高、信息传递快捷性增强以及电子支付手 段广泛应用.商品交易营销宣传与贸易范围得到了大大丰富和提高。商务 效率和效益也明显得到提高。但电子商务带来效益同时.也伴随着全新商 业风险与安全问题。 一、电子支付不安全因素分析 从我国当前电子支付实践来看,由于开展网络银行

3、业务支付业务时间 短.结合具体国情在中国实施电子商务支付存在问题主要有如下几点： 1、社会信用度欠缺。制约电子支付系统发展互联网具有充分开放特点。 网上交易双方互不见面，交易真实性不易考察和验证，对社会信用有较高 要求。我国目前信用体系发展程度低，经济活动缺乏可靠信誉基础,社会 诚信观念有待加强。另外.企业和个人客户资信资料零散不全.海关.税 务等部门与银行信息不能共享.银行对客户资信情况不能完全了解，也制 约了电子商务支付系统发展。 2、经济法律体系不健全.执法环境权威性欠佳 目前国内有关法律法规对网上交易权利和义务规定不清晰，缺乏网络消费 和服务权益保护管理规则，没有专门法律来规范网

4、络银行经营和使用。特 别是在客户信息披露和隐私权保护方面，还缺乏比较成熟经验。在出现争 端时，责任认定、划分仲裁结果执行等法律问题在现有法律框架下难以解 决。另外.我国网络银行信息跟踪、检测信息报告交流制度相关法律规则 都未建立，在利用网络签订经济合同、提供金融服务和保护银行与客户双 方权利过程中存在诸多尚待改进之处。如网络提供商侵权行为：（1）互联 网服务提供商（ISP Internet Service Provider）侵权行为：①ISP具有主 观故意（直接故意或间接故意），直接侵害用户隐私权。例：IsP把其客户 邮件转移或关闭，造成客户邮件丢失个人隐私、商业秘密泄露。②ISP对 他人在网

5、站上发表侵权信息应承担责任。（2）互联网内容提供商（ICP Internet Content Provider）侵权行为。ICP是通过建立网站向广大用户 提供信息，如果ICP发现明显公开宣扬他人隐私言论.采取放纵态度任其 扩散.ICP构成侵害用户隐私权应当承担过锚责任。（3）由于电子现金可 以实现跨国交易，税收和洗钱将成为潜在问题。 3、银行内部决策机制不畅通，国际化程度低。 国内网络银行决策大体分为两种，一种是由传统银行业务人员负责制定发 展规划。另一种是由技术人员决定网络银行发展方向。两种决策模式都需 要业务、管理和技术有机结合，问题关键在于两种模式中，不论是业务人 员还是技术人员，

6、基本都从事实务工作，对当前自己着手工作情况很了解, 但对业务发展缺乏高瞻远瞩。 4技术上存在许多问题 存在潜在高风险。 由于国内银行关键部件依赖于国外公司，网络客户端到服务端电脑又都储 存着重要信息，因此信息资料被修改和破坏概率不可低估。国内银行重视 硬件采购和网络构建，对技术人员业务培训还不够，基层银行普遍存在技 术人员知识更新缓慢现象。国外网络银行对一些敏感数据通常采取严格保 护措施，而国内银行界目前缺乏机密信息加密存储意识，部分银行没有建 立交易业务数据管理制度，无法对交易业务数据实施严格安全保密管理， 致使出现商业组织侵权行为和个人侵权行为以及部分软硬件设备供应商 蓄意侵权行为。如

7、专门从事网上调查业务商业组织进行窥探业务，非法获 取他人信息利用他人隐私，利用收集到用户个人信息资料建立用户信息 资料库，并将用户个人信息资料转让、出卖给其他公司以谋利或是用于其 他商业目。如某些软件和硬件生产商在自己销售产品中做下手脚，专门从 事收集消费者个人信息行为。 二、针对电子支付不安全对策研究 电子支付信息安全在很大程度上依赖于网络信息安全技术完善，这些技术 包括很多，其中有密码技术、鉴别技术、访问控制技术.信息流控制技术、 数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过 滤技术、系统安全监测报警技术等。针对这些技术上问题，我提出如下解 决方法。 1、对电子支

8、付安全性全面认识 通过因特网上进行电子支付，最核心问题是安全问题。我们要解决安全问 题，主要通过数据传输真实性主要用数字证书来解决，机密性主要用数据 加密来解决，完整性主要用消息摘要来解决，不可否认性主要用数字签名 和事件口志来解决。利用密码技术，并通过上边所述解决方法，人们也制 定了很多电子商务协议，用其来达到完成电子商务交易（包括电子支付） 目。 本人认为可以从以下儿方面来解决安全性问题：（1）架设防火墙，它是近 来发展最重要安全技术，它主要功能是加强网络之间访问控制防止外部 网络用户以非法手段通过外部网络进入内部网络。（2）数据加密技术。数 据加密被认为是最可靠安全保障形式，它可以从

9、根本上满足信息完整性要 求，是一种主动安全防范策略。数据加密原理是利用一定加密算法，将明 文转换成为无意义密文，阻止非法用户理解原始数据，从而确保数据保密 性。（3）数字签名技术。数字签名技术是将摘要用发送者私钥加密，与原 文一起传送给接收者。接收者只有用发送者公钥才能解密被加密摘要。在 电子商务安全保密系统，数字签名技术有着特别重要地位。在电子商务安 全服务中源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 ⑷数字时间戳技术。在电子商务交易文件中时间是十分重要信息是证明 文件有效性主要内容。在签名时加上一个时间标记 即有数字时间戳数字 签名方案：验证签名人或以确认签名是来自该小组，却

10、不知道是小组中哪 一个人签署。指定批准人签名真实性，其他任何人除了得到该指定人或签 名者本人帮助，否则不能验证签名。(5)设置电子商务信息安全协议。现 有电子商务交易协议有多种，但是目前常用只有安全套接层协议 SSL (Secure Sockets Layer SSL)和安全电子交易公告 SET (Secure Elec -tronic Transactions)两种。 2、建立可靠电子支付信用体系 电子商务作为一种商业活动，信用同样是其存在和发展基础。电子商务和 信用服务都是发展很快新兴领域，市场前景广阔。从二者关系看，一方面 电子商务需要信用体系，而信用体系也很可能最先在电子商务领域取

11、得广 泛应用并体现其价值。因为电子商务对信用体系需求最强，没有信用体系 支持电子商务风险极高；而在电子商务基础上又很容易建立信用体系。电 子商务信息流、资金流、物流再加上电子签章，四者相互呼应交叉形成一 个整体，在这个整体之上，只要稍加整合分析，进行技术处理就可以建立 信用体系，并且该信用体系对电子商务是可控。于是，整合电子商务与信 用体系，或者建立电子商务信用体系，就成为一种需求、一种目标、一项 任务。为了使诚信体系能在电子支付系统中使用，本人研究了 P2P技术， 为了使P2P技术能在更多电子商务中发挥作用，必须考虑到网络节点之间 信任 3 问题。实际上，对等诚信由于具有灵活性、针对性并

12、且不需要复杂集中管 理，可能是未来各种网络加强信任管理必然选择。对等诚信一个关键是量 化节点信誉度。或者说需要建立一个基于P2P信誉度模型。信誉度模型通 过预测网络状态来提高分布式系统可靠性。我们可以把局部信誉度定义为 对等点i从对等点下载文件所有交易信誉度之和。每个对等点i可以存贮 它自身与对等点j满意交易数以及不满意交易数，则可定义为：Sij=sat(i j)-unsat (i j)o信用体系可以说是一种最为灵活且最有可能与电子商务 本身实现良性互动规范模式，它可以无处不在，同时，却能做到大相无形。 正如我们前面分析，由于电子商务与信用体系在本质上一致性，它们可以 很容易地做到无缝连接，这

13、种无缝连接所带来效率和便捷正是电子商务所 必需。而在行政管理及法律制裁中，我们发现，要实现它们与电子商务无 缝连接还是十分困难。 3.加强法制人制上管理力度 (D我国电子支付安全管理除现有部门分工外，还需要建立建立合理电子 现金识别制度，发行统一电子现金是不可能所以必须建立合理电子现金 识别制度。 10 / 10 ⑵限制电子现金发行人。目前情况下可以只允许银行发生电子现金。这 样，许多现行一些货币政策和法规可以应用于电子现金 而无须太大改动。 当电子商务环境成熟时，再扩展到有实力和有信誉大公司和网络服务提供 商。 (3)消费者个人信息存储在银行，如果银行网络遭到攻击，私人信息可能

14、 会泄露，若补救不及时，很可能给消费者造成巨大损失。所以，应从法律 上和技术上共同防止黑客攻击。 (4)在人才培养中要注重加强与国外经验技术交流，及时掌握国际上最先 进安全防范手段和技术措施，确保在较高层次上处于主动。加快立法进程, 健全法律体系。 ⑸结合我国实际，吸取和借鉴国外网络信息安全立法先进经验，对现行 法律体系进行修改与补充，使法律体系更加科学和完善。目前，国际上出 现许多关于网络支付安全技术规范，技术标准目就是要在统一网络环境 中保证在电子支付中个人隐私信息绝对安全。我们应从这种趋势中得到启 示 在同国际接轨同时，拿出既符合国情又顺应国际潮流技术规范。 三、生活中电子支付安全

15、问题分析与对策。 1、支付安全。由于网络天生不安全性，特别是其网上支付领域有着各种 各样交易风险。但无论是何种风险，其根本原因都是由于登录密码或支付 密码泄露造成。 (1)、密码管理问题 大部分公司和个人受到网络攻击主要原因是密码政策管理不善。大多数用 户使用密码都是字典中可查到普通单词姓名或者其他简单密码。有86%用 户在所有网站上使用都是同一个密码或者有限儿个密码。许多攻击者还会 宜接使用软件强力破解一些安全性弱密码。因此，因此建议用户使用复杂 密码，降低被病毒破译密码可能性，提高计算机系统安全性。所以，密码 设置时最好不要设置为姓名、普通单词、电话号码、生口等简单密码，另 外，密码

16、一般要结合字母、数字、大小写共组密码，且密码位数应尽量大 于9位。 (2)、网络病毒、木马问题 现今流行很多木马病毒都是专门用于窃取网上银行密码而编制。木马会监 视IE浏览器正在访问网页，如果发现用户正在登录个人银行，会直接进 行键盘记录输入帐号、密码，或者弹出伪造登录对话框，诱骗用户输入登 录密码和支付密码.然后通过邮件将窃取信息发送出去。 因此，需要做好自身电脑日常安全维护。要经常给电脑系统升级，安装杀 毒软件、防火墙，定期给电脑杀毒，平时上网是尽量不上一些小型网站， 选大型网站，知名度比较高网站，避免网站挂有病毒、木马造成中毒，另 外，尽量不要在公共电脑上使用自己有关资金帐户和密码

17、，最后，有条件 情况下，在初装系统后确认电脑安全后，给自己电脑做上备份，在使用资 金帐户前做一次系统恢复。 (3)、钓鱼平台 “网络钓鱼”攻击者利用欺骗性电子邮件和伪造Web站点来进行诈骗活动, 如将自己伪装成知名银行、在线零售商和信用卡公司等可信品牌。受骗者 往往会泄露自己财务数据，如信用卡号、账户号和口令等。 (4)因此，在登录支付资金时，应注意确认该网是否是官方网站，并 仔细核对该网域名是否正确，注意小写“1”与“L”、“0”与“0”等情 况，还要保证良好上网习惯，收藏常用网址，减少网上链接。 (5) (4)、硬件数字认证 (6)在电子商务体系构建过渡时期，道高一尺，魔高一丈

18、。各类病毒 层出不穷，木马也在天天更新，今天这种技术安全，明天就不一定安全。 因此，数字证书引入是在线支付安全问题最终解决方案之一。网上支付不 安全，选择网下加以弥补。 (7 )以工商银行2003年推出并获得国家专利客户证书USBkey (U盾)为 例。从技术角度看.u盾是用于网上银行电子签名和数字认证工具，它内置 微型智能卡处理器，采用1024位非对称密钥算法对数据进行加密、解密 和数字签名.确保网上交易保密性、真实性、完整性和不可否认性。它顺 利地解决了当前网银密码泄漏问题。有了硬件数字证书应用，即使你密码 泄漏了。没有证书，黑客还是不能够使用你帐户。 (8)2、认证安全 (9)电子

19、商务为了保证网络上传递信息安全，通常采用加密方法。但 这是不够，如何确定交易双方身份，如何获得通讯对方公钥并且相信此公 钥是由某个身份确定人拥有，解决方法就是找一个大家共同信任第三方， 即认证中心(CertificateAuthority, CA)颁发电子证书。用户之间利用证 书来保证安全性和双方身份合法性，只有确定身份后，交易纠纷，才得到 有效裁决。 (10) (11)总之，电子商务安全是个非常复杂问题，它保障机制必须是有机, 多层次，需要有企业管理方面，技术支持方面协调来实现。它是一个系统 有机整体，不仅需要计算机网络安全保证，也需要商务交易安全上保障， 更需要管理上进步，才能确保电子商务安全。同时我国在电子商务技术性 较为落后，必须加强具有自主产权信息安全产品研究，注意加强信息安全 人才培养，多方共同努力建立科学电子商务安全机制，才能为我国电子商 务又快又好发展保驾护行。