电子商务网络支付安全的问题的探讨分析Word格式.doc
《电子商务网络支付安全的问题的探讨分析Word格式.doc》由会员分享,可在线阅读,更多相关《电子商务网络支付安全的问题的探讨分析Word格式.doc(9页珍藏版)》请在冰豆网上搜索。
1、引言 2
2、电子商务网络中存在的问题 2
2.1网络技术及应用漏洞 2
2.2人为的因素 3
2.3电脑病毒问题 3
2.4黑客问题 3
3、网络支付存在的风险种类 4
3.1支付密码泄漏 4
3.2支付数据被篡改 4
3.3否认支付 4
4、电子商务网络的安全特性 4
4.1电子商务网络安全的有效性 4
4.2电子商务网络安全的机密性 5
4.3电子商务网络安全的完整性 5
5、如何解决电子商务安全问题 5
5.1要严格保障信息系统的可靠性 5
5.2密码技术是核心.安全协议是桥梁 5
5.3系统的安全管理是保证 5
5.4接近所能的提供专业的安全技术服务 6
6、保证网络支付安全的解决方法 6
6.1对支付流程中涉及各方身份的认证和支付密码的保护 6
6.1.1识别假冒网站 6
6.1.2识别虚假短信{邮件) 7
6.1.3不要设置简单的密码 7
6.2保证网络支付数据流内容的保密性和完整性 7
6.3保证对网络支付行为和内容的不可否认性 7
7、总结 8
1、引言
随着国内电子商务的逐渐升温,网上交易的安全性问题日益引起关注。
中国互联网络信息中心(CNNIC)发布了《2012年中国网络支付安全状况报告》中表明,中国使用网上支付的用户规模达到1.87亿人,在网民中的渗透率为34.8%。
本次报告显示,5.3%的网上支付用户认为网上支付不安全。
而用户可能遭遇的不安全事件中,钓鱼网站诱骗支付占首位,占64.4%。
网上支付安全问题仍然存在,通过钓鱼网站,极易造成网上交易用户的账号交易密码出现泄漏情况,恶意攻击者甚至可以使用他人资金进行网上交易,这个安全漏洞直接影响了电子商务网站的信誉度,对国内电子商务的发展进程将产生重大影响。
2、电子商务网络中存在的问题
2.1网络技术及应用漏洞
目前电子商务应用的操作系统都存在不同程度的网络安全漏洞,如果不对该系统进行经常的升级和维护,系统一旦遭到攻击就很可能泄漏系统信息,甚至导致系统的崩溃。
另外,操作系统提供的无口令入口是为系统开发人员提供的便捷入口,但它也成了黑客的通道。
在许多操作系统中都包含了各种常见的通用服务供用户使用,如网络中的磁盘共享、网络服务器访问、电子邮件、远程登录、ffp文件传输和WWW浏览访问等,这些都有可能成为人侵的途径
2.2人为的因素
工作责任心不强,没有良好的工作态度,经常擅自离开工作岗位,使不法分子有机可乘,人室盗窃机密信息和破坏系统。
保密观念不强或不懂保密守则,随便让无关人员进人机房重地,随便向无关人员泄漏机密信息,随便乱放打印和复印的机密信息资料、记有系统口令和系统运行状态跟踪等方面内容的工作笔记、载有重要信息的系统磁盘和磁带等,都会酿成严重后果。
缺乏职业道德的工作人员有时也会以超越权限的非法行为擅自更改、删除他人的信息内容,或利用专业知识和职务之便通过窃取他人的口令字和用户标识符来非法获取并出卖机密信息。
2.3电脑病毒问题
随着网络技术的广泛应用,通过电子邮件、压缩文件传播病毒已经成为病毒传播的主要途径,病毒种类更是呈多样化发展、其破坏性不断增强、其传染速度大大加快。
各种新型病毒迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。
不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。
2.4黑客问题
随着各种应用工具的传播,黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。
曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。
3、网络支付存在的风险种类
3.1支付密码泄漏
用户通过浏览器输入的支付认证信息包括银行卡号及密码。
如果攻击者通过窃听方式获得了用户的支付密码,就可以通过网络进入到持卡人的账户进行转账或消费,给持卡人带来损失。
3.2支付数据被篡改
网络支付传递的是数据信息。
在信息的传递过程中,如果缺乏必要的安全防范措施,攻击者可以截获并修改在互联网传输中的支付数据。
譬如,攻击者可以修改支付金额、修改收款人账号等,然后将修改后的数据重新进行发送,从而达到谋利目的。
3.3否认支付
否认支付其实就是解决支付凭证问题。
否则,没有支付凭证,付款人可以否认资金划出操作,收款人可以否认资金划入操作。
4、电子商务网络的安全特性
4.1电子商务网络安全的有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。
因此,要对网络故障、操作错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
4.2电子商务网络安全的机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
4.3电子商务网络安全的完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
5、如何解决电子商务安全问题
5.1要严格保障信息系统的可靠性
可靠性一般是指系统能够全天候运行,强调一个不停机系统。
为保证这一点,除了选择好主机系统的硬件平台外,必要时还要运用容错和多机备份技术。
对于系统是要求联网运行的,还要求有通信线路的冗余备份。
5.2密码技术是核心.安全协议是桥梁
密码是解决电子商务安全的核心技术,密码可以完成信息保密身份认证、完整性校验等信息安全所必须的关键使命。
而密码要有效合理安全地用于保护信息安全,则需要协议的支持,如果协议不完备,就会使密码无法发挥既定作用,甚至可以使攻击者绕过密码而直接通过协议漏洞来威胁信息安全。
5.3系统的安全管理是保证
确立电子商务的生命保障,需要有信息安全保障的思想,并做到安全意识和管理思想上的到位和落实;
完善安全管理制度,配备专门的安全管理人员,逐步提高安全技术设施,使投入与所需要的安全功能相适应。
5.4接近所能的提供专业的安全技术服务
这是目前最有效的方法。
由于我国目前计算机网络安全技术普及程度低,技术员匮乏,开展电子商务的企业不大可能专门配备具备高深技术的安全管理人员,此由专业公司提供网络安全技术服务是可行和必要的,主要技术服务体系有:
安检测:
即从各个技术角度对安全性进行全面检查和测试。
防火墙产品自身是否安全、功能是否完善、设置是否正确等,都需要经过最严格的安全测试和检验。
当前国内外都在研究应用实时在线的检测报警系统,这些由专业厂商研制开发的入侵检测系统为用户提供一个自有的可以实施自行检测或在入侵事件发生时可以提供报警的功能。
6、保证网络支付安全的解决方法
6.1对支付流程中涉及各方身份的认证和支付密码的保护
采用建立第三方公正的CA认证中心,使用X.509数字签名和数字证书,实现对交易各方的认证,证实身份的合法性、真实性等。
作为支付方则应特别注意防止支付密码泄漏,它是网上支付案件的主要原因。
持卡人应注意的问题主要有:
6.1.1识别假冒网站
消费者在认清网站域名的同时,在提交重要信息时也要验明服务器的身份。
其中验证服务器证书最简明的做法,是在提交重要信息网页页面右下角会出现一个金黄色的小锁,点击它就可以查看所有该服务器证书的信息,包括服务器证书的颁发机构、证书有效期限等信息。
除了服务器证书之外,还应该使用个人数字证书。
6.1.2识别虚假短信{邮件)
持卡人在收至I任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。
6.1.3不要设置简单的密码
不要采用简单的数字组合、自己或亲人的生日信息、电话号码。
此外,还应注意支付终端的安全性,如不要在公共网吧进行网上支付、在支付终端上安装反病毒、反木马软件。
同时,还要注意在其他场所输入支付密码时不轻易被他人偷窥、摄像等,不要将密码记录在容易被人看到的纸片上。
6.2保证网络支付数据流内容的保密性和完整性
保证网络支付数据流内容的保密性和完整性使用相关的加密算法对资金流数据进行加密,防止未被授权的非法第三者获取数据的真正含义。
如采用DES私有密钥加密法、RSA公开密钥加密法、数字信封等保密手段。
并使用如数字指纹算法等方法确认资金流信息(如支付指令)的完整性。
防止支付数据被篡改需要网上支付平台采用完善的信息安全措施。
当前普遍采用数字签名技术确认支付电子信息的真伪。
保护数据不被未授权者建立、嵌入、删除、篡改、重放等,完整无缺地到达接收者一方。
数字签名在保护数据完整性方面有两个功能,一是能标明支付数据特征值。
其次,能表明特征值是由谁产生的。
6.3保证对网络支付行为和内容的不可否认性
当交易双方因网络支付出现异议或纠纷时,可采用数字任免、数字指纹、数字时间戳等技术并配合CA中心,以实现其不可否认性。
支付否认是网上支付服务提供商(商业银行或专业网上支付公司)和收款人的关注点。
通过数字签名可以解决否认支付问题。
我们在银行柜面办理存款、取款,或是在POS刷卡、ATM存取款,通过银行会给你一张支付回单。
一旦出现争议,你可以将该回单作为交易操作的证明。
互联网支付,数字签名记录可以充当“电子回单”。
为解决付款人否认支付,商业银行要求付款人在进行支付时必须附带其确认支付的签名。
商业银行保存该签名结果和支付记录。
一旦付款方否认支付,商业银行可以出示该支付指令签名作为证据。
为解决商业银行否认结算资金转入收款人账户,收款人要求商业银行提交资金划入操作记录的数字签名。
收款人验证该签名结果