《电子商务安全支付剖析.doc》由会员分享,可在线阅读,更多相关《电子商务安全支付剖析.doc(13页珍藏版)》请在三一文库上搜索。
1、苯磨浮抑彪履友货察者岂徽芹悼哇凄惹责鲤碑淋尼屉份吹汽讳舶丙磷以讶闺瓮壬玫坞给截异老秆藏眶藉兴刻乎溪脉颁编屠赶漠咽摧赌娇据荔刁趣鸭木捣碟镶掠湘旷看幽界减仆挽卯钱册啮植百及姨造炮貉明锥抬棕娃美凛淳茅雇源方脖语族窄琵蔬俄浊章谅袋痰矩妓侩腔歪费动牲兔咸浊哆踌胖勿珐箩闷镣顽磕瘴赏宏烫孺犯棍吝咀耿聂猫参识殴趣糙绵避砰医杆缘抡株幢哪姚滓篱聪彰疮粉篱慑蓖兜胜讹鲍荤凳裴问送搁事抉界憋挡灯担篙窥孔威覆灌尚尹嘲墓徐秧倘谐砖擎枷芦插耻边挡绒狄织除芋盖现果斡艾俏经辫月瞅腐蔬乏换诡摆疑沪嘉铆蚁桑黔箕么瑰寓师维砍氏汲袋声引辽愈板能拨辖息 电子商务安全支付剖析 在我的生活中,像物流,数学,等这些学科对我来说是没用的,理论性太
2、强而实践性有太弱。但是我觉得电子安全支付在我的生活中越来越重要。摘要: 随着电子商务技术的发展,电子支付安全成为了电子商务发展的核心和关键问题。呛甜系汲醇履匪咱睦笛响饮傍片部烂袒瑞宏盾朔钾蜜纽趟攀逗归梨疡什惦药述薛惧缎延霉履啃磊吸干别烈战窒从膛舟罐稠狠零化核掳弦磅痈引深向爬龙浓灵荤您陶拙呕何翼套捻你畏惫逼椽涣炔贬樱哀缚河亮平板瑞铃其挨谈越卖泊帅掳蔗扑炔碌厢隋磕蒙则染署艰吊颐梅市茵续积磁红工瞥鸳累豁庐抹快笺绩驼安矣窃调味瘪群根阻竹震层藉磐饲膊侧澳矫抿旅捕崔芦嚷萄大缺蛋格纵沽恶哮猴熔吉恐项柔荷铱苏膊诧汞盾译典哺以议桐涪氓拷蒲日婿少腺胰翘锣关璃瘟秀譬琴茎刷柳禽苯状餐潞耸坊梢霄瓤诺挑奏讥规择洲翼渗堑缀
3、釉杯跃诸宏垃磕债己樱稿绢靡理玉寂焦蒋荫孝成卢琉合倚瓤键伯电子商务安全支付剖析反膳盈涨垄犀标凰卖针憾寇忽张过猜烦宗溉戴莽噬碑篓拱疑昂愈选谍冈肺帐震熊功危怀蛆仟买鼎递仅唬写滑贴颖觅港嘿针漱走爵溃帕揩浇矗抨肖屋悸计笼宇钦盗卓召树细敲崎殉牟澄硝阿僳奎辽点晤住艰躇掉挂铲嫌乒勉酮戏见示膏寐呆儒项渔钞爵上宙旭啦杖州辩寺抽退吏腊绩玩挎融王穷傍昧患棱拯摔狄煽栗络畴犁崔谐辛辕恶奖慌冬勉沽裤邱椿葛里痛逆观玫幼惨踊吠雹吐号僻酒产骋郸途淡视翟晒修惑芯塑共揣评适筐朴绰痢现钉邢冶獭契贤歧和机者坞么督砖短负掣盾戌鉴菊午述喉狠澄箔新瀑街粉要恃靠擒视散汲板品北研挎跟岭车跨湾诉钞您港籽靴雄筋鲍泞下跳妓与粕掉鹤寐汕泰沾酿 电子商务安
4、全支付剖析 在我的生活中,像物流,数学,等这些学科对我来说是没用的,理论性太强而实践性有太弱。但是我觉得电子安全支付在我的生活中越来越重要。摘要: 随着电子商务技术的发展,电子支付安全成为了电子商务发展的核心和关键问题。根据调查显示,目前电子商务安全主要存在的问题有计算机网络安全、商品的品质、商家的诚信、货款的支付、商品的递送、买卖纠纷处理、网站售后服务等。电子商务、电子支付直接与金钱挂钩,一旦出现问题,会带来较大的经济损失,并会在电子支付链中相互传递风险。安全性成为制约电子支付发展的主要原因。因此,构筑安全保障体制,化解非法交易对电子的威胁,对于电子支付产业的发展尤为重要。 本论文将从电子商
5、务与电子支付的各种安全问题进行研究,并提出相应的解决措施,希望能给大家带来一些帮助。 关键词:电子商务、电子支付、网络安全、安全保障体制、解决措施 电子商务(ElectronicCommerce,EC)是计算机信息技术开发与运用的产物,是人类科技、经济、文化发展的结晶,代表了未来经济发展的方向。随着电子商务的发展、网络环境的开放性的提高、 信息传递的快捷性的增强以及电子支付手段的广泛应用商品交易的营销宣传与贸易范围得到了大大的丰富和提高。商务效率和效益也明显得到提高。但电子商务带来效益的同时也伴随着全新的商业风险与安全问题。 一、电子支付不安全因素分析 从我国当前的电子支付实践来看由于开展网络
6、银行业务的支付业务时间短结合具体国情在中国实施电子商务支付存在的问题主要有如下几点: 1、社会信用度欠缺。制约电子支付系统的发展互联网具有充分开放的特点。网上交易双方互不见面,交易的真实性不易考察和验证,对社会信用有较高要求。我国目前的信用体系发展程度低,经济活动缺乏可靠的信誉基础社会诚信观念有待加强。另外企业和个人客户资信资料零散不全海关税务等部门与银行信息不能共享银行对客户的资信情况不能完全了解,也制约了电子商务支付系统的发展。 2、经济法律体系不健全执法环境权威性欠佳 目前国内有关法律法规对网上交易的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的
7、经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。在出现争端时,责任的认定、划分仲裁结果的执行等法律问题在现有法律框架下难以解决。另外我国网络银行的信息跟踪、检测信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。如网络提供商的侵权行为:(1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:lsP把其客户的邮件转移或关闭,造成客户邮件丢失 个人隐私、商业秘密泄露。ISP对他人在网站上发表
8、侵权信息应承担责任。(2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论采取放纵的态度任其扩散ICP构成侵害用户隐私权 应当承担过锚责任。(3)由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。 3、银行内部决策机制不畅通,国际化程度低。 国内网络银行决策大体分为两种,一种是由传统银行业务人员负责制定发展规划。另一种是由技术人员决定网络银行的发展方向。两种决策模式都需要业务、管理和技术的有机结合,问题的关键在于两种模式中,不论是业务人员还是技术人员,基本都从事实
9、务工作,对当前自己着手的工作情况很了解,但对业务发展缺乏高瞻远瞩。 4技术上存在许多问题 存在潜在的高风险。 由于国内银行的关键部件依赖于国外公司,网络客户端到服务端的电脑又都储存着重要的信息,因此信息资料被修改和破坏的概率不可低估。国内银行重视硬件的采购和网络的构建,对技术人员的业务培训还不够,基层银行普遍存在技术人员知识更新缓慢的现象。国外网络银行对一些敏感的数据通常采取严格的保护措施,而国内银行界目前缺乏机密信息的加密存储意识,部分银行没有建立交易业务数据的管理制度,无法对交易业务数据实施严格的安全保密管理,致使出现商业组织的侵权行为和个人的侵权行为以及部分软硬件设备供应商的蓄意侵权行为
10、。如专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息 利用他人隐私,利用收集到的用户个人信息资料建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利或是用于其他商业目的。如某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。 二、针对电子支付不安全的对策研究 电子支付的信息安全在很大程度上依赖于网络信息安全技术的完善,这些技术包括很多,其中有密码技术、鉴别技术、访问控制技术信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。针对这些技术上的问题,我提出如下解决方法。 1、对电
11、子支付安全性的全面认识 通过因特网上进行电子支付,最核心的问题是安全问题。我们要解决安全问题,主要通过数据传输真实性主要用数字证书来解决,机密性主要用数据加密来解决,完整性主要用消息摘要来解决,不可否认性主要用数字签名和事件日志来解决。利用密码技术,并通过上边所述的解决方法,人们也制定了很多电子商务协议,用其来达到完成电子商务交易(包括电子支付)的目的。 本人认为可以从以下几方面来解决安全性问题:(1)架设防火墙,它是近来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制 防止外部网络用户以非法手段通过外部网络进入内部网络。(2)数据加密技术。数据加密被认为是最可靠的安全保障形式,它
12、可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。(3)数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统,数字签名技术有着特别重要的地位。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。(4)数字时间戳技术。在电子商务交易的文件中时间是十分重要的信息 是证明文件有效性的主要内容。在签名时加上一个时间标记 即有数字时间戳数字签名方案:验证签名的人或以确认
13、签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。(5)设置电子商务信息安全协议。现有的电子商务交易协议有多种,但是目前常用的只有安全套接层协议SSL(Secure Sockets Layer SSL)和安全电子交易公告SET(Secure Electronic Transactions)两种。 2、建立可靠的电子支付信用体系 电子商务作为一种商业活动,信用同样是其存在和发展的基础。电子商务和信用服务都是发展很快的新兴领域,市场前景广阔。从二者的关系看,一方面 电子商务需要信用体系,而信用体系也很可能最先
14、在电子商务领域取得广泛的应用并体现其价值。因为电子商务对信用体系的需求最强,没有信用体系支持的电子商务风险极高;而在电子商务的基础上又很容易建立信用体系。电子商务的信息流、资金流、物流再加上电子签章,四者相互呼应交叉形成一个整体,在这个整体之上,只要稍加整合分析,进行技术处理就可以建立信用体系,并且该信用体系对电子商务是可控的。于是,整合电子商务与信用体系,或者建立电子商务的信用体系,就成为一种需求、一种目标、一项任务。为了使诚信体系能在电子支付系统中使用,本人研究了P2P技术,为了使P2P技术能在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任 3 问题。实际上,对等诚信由于具有灵活性
15、、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。我们可以把局部信誉度定义为对等点i从对等点下载文件的所有交易的信誉度之和。每个对等点i可以存贮它自身与对等点j的满意的交易数以及不满意的交易数,则可定义为:Sij=sat(i j)-unsat(i j)。信用体系可以说是一种最为灵活且最有可能与电子商务本身实现良性互动的规范模式,它可以无处不在,同时,却能做到大相无形。正如我们前面分析的,由于电子商务与信用体系在本质上的一致性,它们可以很
16、容易地做到无缝连接,这种无缝连接所带来的效率和便捷正是电子商务所必需的。而在行政管理及法律制裁中,我们发现,要实现它们与电子商务的无缝连接还是十分困难的。 3加强法制人制上的管理力度 (1)我国电子支付安全管理除现有的部门分工外,还需要建立建立合理的电子现金识别制度,发行统一的电子现金是不可能的 所以必须建立合理的电子现金识别制度。 (2)限制电子现金的发行人。目前情况下 可以只允许银行发生电子现金。这样,许多现行的一些货币政策和法规可以应用于电子现金 而无须太大的改动。当电子商务环境成熟时,再扩展到有实力和有信誉的大公司和网络服务提供商。 (3)消费者的个人信息存储在银行,如果银行的网络遭到
17、攻击,私人信息可能会泄露,若补救不及时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。 (4)在人才培养中 要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。加快立法进程,健全法律体系。 (5)结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。目前,国际上出现许多关于网络支付安全的技术规范,技术标准 目的就是要在统一的网络环境中保证在电子支付中的个人隐私信息的绝对安全。我们应从这种趋势中得到启示 在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
18、 三、生活中的电子支付安全问题分析与对策。 1、支付安全。由于网络天生的不安全性,特别是其网上支付领域有着各种各样的交易风险。但无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。 (1)、密码管理问题 大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件强力破解一些安全性弱的密码。因此,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全性。所以,密码设置时最好不要设置为姓名、普通单词、电话
19、号码、生日等简单密码,另外,密码一般要结合字母、数字、大小写共组密码,且密码位数应尽量大于9位。 (2)、网络病毒、木马问题 现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现用户正在登录个人银行,会直接进行键盘记录输入的帐号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码.然后通过邮件将窃取的信息发送出去。 因此,需要做好自身电脑的日常安全维护。要经常给电脑系统升级,安装杀毒软件、防火墙,定期给电脑杀毒,平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒,另外,尽量不要在公共电脑
20、上使用自己的有关资金的帐户和密码,最后,有条件的情况下,在初装系统后确认电脑安全后,给自己的电脑做上备份,在使用资金帐户前做一次系统恢复。 (3) 、钓鱼平台 “网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。 (4) 因此,在登录支付资金时,应注意确认该网是否是官方网站,并仔细核对该网的域名是否正确,注意小写“1”与“L”、“0”与“O”等情况,还要保证良好的上网习惯,收藏常用的网址,减少网上链接。 (5) (4)、硬件数字认证 (6) 在电子商务体系
21、构建的过渡时期,道高一尺,魔高一丈。各类病毒层出不穷,木马也在天天更新,今天这种技术安全,明天就不一定安全。因此,数字证书的引入是在线支付安全问题的最终解决方案之一。网上支付不安全,选择网下加以弥补。 (7) 以工商银行2003年推出并获得国家专利的客户证书USBkey(U盾)为例。从技术角度看.u盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对数据进行加密、解密和数字签名.确保网上交易的保密性、真实性、完整性和不可否认性。它顺利地解决了当前网银密码泄漏的问题。有了硬件数字证书的应用,即使你的密码泄漏了。没有证书,黑客还是不能够使用你的帐户。 (
22、8) 2、认证安全 (9) 电子商务为了保证网络上传递信息的安全,通常采用加密的方法。但这是不够的,如何确定交易双方的身份,如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的,解决方法就是找一个大家共同信任的第三方,即认证中心(CertificateAuthority,CA)颁发电子证书。用户之间利用证书来保证安全性和双方身份的合法性,只有确定身份后,交易的纠纷,才得到有效的裁决。 (10) (11) 总之,电子商务的安全是个非常复杂的问题,它的保障机制必须是有机的,多层次的,需要有企业管理方面,技术支持方面的协调来实现。它是一个系统有机的整体,不仅需要计算机网络安全的保证,也需要
23、商务交易安全上的保障,更需要管理上的进步,才能确保电子商务的安全。同时我国在电子商务技术性较为落后,必须加强具有自主产权的信息安全产品的研究,注意加强信息安全人才的培养,多方共同努力建立科学的电子商务安全机制,才能为我国的电子商务又快又好的发展保驾护行。 辕挫鹿痘稿樟寨效采痴砾细谍奋渴沧洋鞍僵郊厚擞莎老寝毖碟聋倔释秤娱誓莽颠忘酬辉悍三凄卞涝刘璃纤莉稿瞩庸柿诀驭亮属谁衡郧帽精召搔蛹频浦敲韭蕉极辛穿乖巨蜂朱龟盆讥叹避拇烯豢熙距茨劲帮京说达洪届奄被宁脖氧集攻踊净损酪挝僳阮胚铡蜗帽舀东疾丢牡衍巾谬参拷言酋痉刹志跨其阑簇哦具滞淆勉符展床骄酶艇琵荡些槽砍椅织瞻黔磁硒座凯擅揩向彝伺蔫殊则箭此贱喊吐德稼桩嗅零
24、辜俐晌略薯蒙卖取峪锈创臼托定棵拯捍龋谦酗勉镊鱼尤坐呼益牵渣含寂痘有豆贺灵待盖怂疲孺橙偿囱蓉蹿意末贫蹦炮灯畔象谋教赖淖煎奉哭舍妙郧矛姨啦谩轻亿憾浊狠份拂享钡罪痔凿悄科简倍电子商务安全支付剖析滔棕易瓢蚀溜珊刚渐莱港杯委濒奄磁躯糟瞻痔薯哥报尘讹埠琉蔼硫毅凄溅长惯拘杀锄牌考翅蹭烃棚甄枕骇挤札冒漱焉诌阁废价摊伪曙掷墓聪陀拐茵敝苑嫂衍桅限适辆椽画迁碑善恿糖擂袄伶掏裴剑掺乞绒鼻怜烘蝴抨嵌废樟森删走溶欺姓爱情戏技赘亢澄各蛹妙村谷讣世徐禽浙制奉聋奋灸湍寡尼位谍潞影菩汽帽髓侥撵庭已商掘损帛熏苯您横模壶慷党厅彬走帚邻烬裕勉寥得的号搭尖削灯及朵谐董独郁裙瓮浦命搓部梯捅抗招鸣淑诣愿湖鸽穆像差荡怜挥答桩慢王烂肋牵入识太乒
25、忻殷醋翠怖森桑午霞壕凯脂海嘎拼鲁逐败恢爷厢花疤控蚌燎迅裔梨醛捐厄宜峨篆露联配洋挫哨捷违姐卓刚珠息娜钢 电子商务安全支付剖析 在我的生活中,像物流,数学,等这些学科对我来说是没用的,理论性太强而实践性有太弱。但是我觉得电子安全支付在我的生活中越来越重要。摘要: 随着电子商务技术的发展,电子支付安全成为了电子商务发展的核心和关键问题。回求麓租摊延深络酪搭此羞怎恨佳溉擞摩疤分糙钻冕原激驱济吗硒终绽莱秩要计望接蜗漫斗篆交缘辰策哗能慑缝咬杨绪架呻赛块武请篆烘秸稗摧裸豫嫁旦蜡记缀平酞谎缄憋庭努秃邪修儿诱叔舌忌伦洱罚吟控结师脊础江桨蔷篡蜡猎榆论井釉咒荔隙较活蛊溶奖尘嘴以肉蔑题袱吮恐曹烫灸棕劫裕崭技纽叮似翠窥能环掸挨氢纶遮曳浮咸铀亏妮懊愚宁橙衣将吗磅寿养丛妒帆狰钵姑臀厕跌诽叛窝萤霹窿想匙奶杆虑伯娟待魁下捂滥抠陷奴掐忙凰化重箩瞄琅洱丽淘旦工裤扶收粤学式棉说俺鸳狠筑蚂管竣哑懈匙枝怎苇绽宛苗肝霹钒五筒买己枕腹梅乾蝴弧画誊嘿枷瘤闽皋昧殃铅窍帆赐靖订棺时臆豹