电子商务安全与支付.docx

1、电子商务安全与支付电子商务安全与支付电子商务存在的安全威胁目前，电子商务发展面临的主要问题之一是如何保障电子交易过程中的安全性。交易的安全是网上贸易的基础和保障，也是电子商务技术的难点，围绕电子商务安全的防护技术已经成为了目前电子商务研究的重点之一。在电子交易过程中，消费者和商家面临的安全威胁通常有以下几个方面：1 信息的截获在电子商务中，信息流和资金流以数据的形式在internet网络中传输。在传输过程中，如果没有采取加密措施或加密强度不够，攻击者可能通过Internet 网络在电磁波范围内安全截获装置或在数据报道通过的网关和路由器上截获数据，获取传输的机密信息，或通过对信息流量、通信频度和

2、长度等参数的分析，推测出有用的信息，如消费者的银行帐号、密码以及企业商业机密等。2 信息中断这是针对可用信息进行的攻击。在中断过程中，信息资源变得易损失或不可用。网络故障、操作错误、应用程序错误以及计算机病毒等恶意攻击都能导致电子交易不能正常进行。因此，要对此产生的潜在威胁加以预防和控制，以保证交易数据在确定的时刻、确定的地点是有效的。3 信息篡改。当攻击者熟悉了网络信息格式化后，通过各种技术和手段对网络传输的信息进行中途修改并发往目的地，从而破坏信息完整性。例如，改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除某个消息或是消息的某些部分；在消息中插入一些让接收方不懂或接收错误的信

3、息等。4 信息的伪造当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以伪装成合法用户或发送伪造的信息来欺骗其他用户，主要有以下两种方式：一种是伪造电子邮件。例如，虚开网站和电子商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家服务器的资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应等。另一种是假冒他人身份。例如，伪装成他人身份，进行非授权信息资源的访问或者骗取对方的信任：冒充网络控制程序，套取和修改使用权限、保密字、密钥等信息；接管合法用户，欺骗系统，占用合法用户资源。5 交易抵赖交易抵赖包括多方面，如发送方事后否认曾经发送过某条消息内容；接

4、收方事后否认曾经收到过某条消息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。由于电子交易是基于internet 基础上的，因此，除了在交易过程中会面临上述安全威胁外，还会涉及一般计算机网络系统普遍面临的一些安全问题。从网络安全角度考察，网络系统面临的主要安全威胁有以下几种：1 物理实体的安全问题。包括设备的功能失常、电源故障、由于电磁泄漏引起的信息失密和搭线窃听则是认为的，是非法者常用的一种手段，将导线搭到无人值守的网络传输线路上进行监听，通过解调和正确的协议分析就可以完全掌握通信的全部内容。2 自然灾害的威胁计算机网络设备大多是一些易碎品，不能受重压或强烈的震动，

5、更不能受强力冲击。所以，各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成了强大的威胁。3 黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。4 软件的漏洞和“后门”。在计算机网络安全领域，软件的漏洞是指软件系统上的缺陷，这种缺陷导致非法用户XX而获得访问系统的权限或提高其访问权限。随着计算机系统的复杂程度日益增高，开发一个大型的电子商务

6、应用软件，要想进行全面彻底的测试已经变得越来越不可能了。一个实际的电子商务系统，总会多多少少留下某些缺陷和漏洞。而“后门”是软件设计者为了进行非法授权访问而在程序中故意设置的万能访问口令，这些口令无论是被攻破，还是只掌握在设计者手中，都对使用者的系统安全构成严重的威胁。综上所述，软件的漏洞和“后门”则是完全可以避免的；漏洞是难以预知的，而“后门”则是人为故意设置的。5 网络协议的安全漏洞。众所周知，电子商务系统是基于internet网络平台上的信息系统，通过internet 基础设施向电子商务应用提供各种网络服务。而网络服务则又是通过各种协议来实现的。目前，internet采用的TCP/IP协

7、议簇，如TCP/FTP和HTTP协议等，在安全方面都存在着一定的缺陷。当今许多黑客攻击就是利用了这些协议的安全漏洞才得逞的。事实上，网络协议的安全漏洞是当前internet面临的一个重要安全问题。5计算机病毒攻击由于internet的开发性，计算机病毒在网络上的传播比以前快了许多，而且internet的发展和普及又促进了病毒制造者之间的交流，使新病毒及其变种层出不穷，杀伤力也大为提高，这些都给个人和企业都带来了许多不便和经济损失。据2007年上半年中国电脑病毒疫情及互联网安全报道统计，2007年上半年，全国感染病毒的计算机超过759万台，与2006年同期相比增由器、交换机和集线器等。要保障计算

8、机网络系统中实体的安全，时间上就是要保障这些计算机和它们之间的通信连接设备的安全。除了实体安全之外，数据安全也非常重要。我们知道，电子交易同传统的商务交易不同，在电子交易过程中物流与信息流和资金流发生了分离。这样，安全的电子商务交易系统必须要保障分离出来的信息流和资金流的安全。计算机网络设备是电子商务活动中信息流和资金流存储和移动的载体，各种信息流和资金流在计算机网络环境中的具体表现就是数据。因此，实现了网络系统中的数据安全，信息流和资金流也就有了安全保障。在计算机网络系统中，数据的安全一方面是存储安全，另一方面也包括数据在网络传输过程中的安全，即通信安全。其次，要实现网络系统层次的安全，需要

9、针对计算机网络本身可能存在的安全问题，实施相应的网络安全技术。计算机网络安全采用的主要安全技术有防火墙技术、加密技术、漏洞扫描技术、虚拟专用网技术、入侵检测技术、反病毒技术和安全审计技术等，用以保证网络安全。四、电子交易的安全性电子交易是针对传统商务在internet上运行时产生的各种安全问题而设计的一套安全技术，目的是在计算机网络系统安全的基础上确保电子交易过程的顺利进行，即实现电子交易的保密性、完整性、有效性、认证性、不可抵赖性和访问控制性这六种类型的安全要素。1保密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或者国家的商业机密。与传统的纸张贸易不同，电子商务是建立在较为开放

10、的internet网络环境上的，维护商业机密是电子商务得以全面推广应用的重要条件。因此，要对敏感重要的商业信息进行加密，即使别人截获窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以泄露。2 完整性商务数据的完整性是指保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被篡改。在存储时，要防止非法者对数据进行篡改及破坏。在传输过程中，接收对方应通过某种安全鉴别机制验证所收到的信息是否被篡改。通过验证，如果收到的信息与发送的信息完全一致，则说明在传输过程中信息没有遭到破坏，即信息具有完整性。加密的信息在传输过程中，虽能保证其保密性，但并不能保证不被修改。3

11、 有效性。电子商务以电子形式取代了纸张，保证这种无纸贸易的有效性，是开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误、系统软件错误以及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。4认证性。认证性是指在网络两端的使用者在沟通之前互相确认对方的身份。在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认彼此的身份。而在网上交易时，情况就不大一样了，因为网上交易的双方可能素昧平生，相隔千里，并且在整个交易过程中都可能不见一面。因此，电子商务活动要在虚拟的网络环境中开展，必须有相关的认证机制来约束网上交易各方的行动，使网上交易不因为环境

12、的虚拟而变得不可捉摸。通过对身份的认证，使得参与网上交易的各方都有真实的身份，从而使得网上的一切交易变得有凭有据，虚拟的网络活动也变得实在起来，成为现实生活的延伸。5 不可抵赖性电子交易的不可抵赖性是指信息的发送方不能否认已发送出的信息，接收方也不能否认已收到的信息，这是一种法律有效性要求。不可抵赖性主要用于保护交易过程中某方用户对付来自其他合法用户的威胁，如发送方对他所发送信息的否认，接收用户对他已收信息的否认等，而不是对付来自未知的攻击者。在传统的商务贸易中，贸易双方通过交易合同、契约、单据的可靠性并预防抵赖行为的发生，即“白纸黑字”。在无纸的电子商务方式下，当然也需要实现交易的不可抵赖性，但解决起来比传统商务更困难，需要采用新的技术，如数字签名等。6 访问控制性访问控制性是指在交易过程中限制的控制通信链路对商务信息资源的访问，用于保护电子商务系统中的信息资源不被XX人或以未授权方式接入、使用、修改、破坏或植入非法程序等。简而言之，要实现电子交易过程的安全，以上几个最基本的安全要素必须实现。也就是说，数据和信息的隐私必须得以保护，交易者身份必须得到认证，并且具有可认证性，对未授权的信息访问应用进行控制或拒绝。