电子商务交易中的安全问题.docx

电子商务交易中的安全问题.docx

《电子商务交易中的安全问题.docx》由会员分享，可在线阅读，更多相关《电子商务交易中的安全问题.docx（36页珍藏版）》请在冰豆网上搜索。

电子商务交易中的安全问题

电子商务交易中的安全问题

摘要:

随着互联网的快速发展,伴之而来的电子商务安全问题的如何解决，已经成为目前社会急待攻破的首要网络发展目标。

本文选取了一个具体网站——当当网，做为电子商务安全问题探讨的事例。

文章从三个角度来观察当当网站可能存在的安全技术问题，分别从它与银行、客户和合同角度发现一些漏洞，并在此基础上提出了一些常规的技术解决方案。

当当网是我国第一大卖书网，它给我们日常生活带来了很多便利。

当当网提供繁多的商品、优惠的价格、快捷的搜索、灵活的付款方式、迅速的送货服务，通过不断提升各种网络功能，保持并扩大在全球中文书刊和音像网上零售业务上的领先地位。

但是因为电子商务网站建设并不发达，安全隐患是我们不得不考虑的因素。

关键词电子商务安全、银行网络、客户网络漏洞

SecurityofDing-dongnetandSolutions

（ManagementCollegeEB051,ShanghaiBusinessSchool,Shanghai201400）

Abstract：

TherapiddevelopmentofInternet,e-commercecomeswiththeproblemofhowtosolvesecurity,hasbecomeanurgentgoals.Thisarticlehasselectedaconcretewebsite--ding-dongnet,doesfortheelectroniccommercesecurityproblemdiscussioninstance.Thearticleobservesthesafetyworkquestionwhichfromthreeanglesding-dongthewebsitepossiblyexists,separatelyfromitwiththebank,thecustomerandthecontractanglediscoverssomecracks,basedonthisandproposedsomeconventionaltechnologysolution.Ding-dongnetisourcountryfirstbigsellers,itgaveusthedailymanyconveniences.Ding-dongnetprovidesmanycommodities,thebenefitprice,thequicksearch,thenimblepaymentmethod,therapiddeliveryservice,throughpromoteseachkindofnetworkfunctionunceasingly,maintainsandexpandsinthewholeworldbooksandmagazinesinChinesechordlikelyon-lineretailbusinesstheleadingposition.Buttheelectroniccommercewebsiteconstructionisnotdeveloped,thesafehiddendangeristhefactorwhichwecannotbutconsider.

Keywords：

electroniccommercesecurity,banknetwork,customernetworkcrack

第一章绪论

1.1研究背景

　　随着因特网的迅猛发展，电子商务已经逐渐成为人们进行商务活动的一个崭新模式我们可以把电子商务定义为整个事务活动和贸易活动的电子化。

它将信息网络、金融网络和物流网络结合起来，把事务活动和贸易活动中发生关系的各方有机地联系起来，极大地方便了各种网络上的事务活动和贸易活动。

电子商务有比传统商务方式更巨大的方三便性和灵活性。

然而，网络面临的安全问题也随之而来，例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。

　　任何在互联网上开展业务的机构都必须采取积极的步骤，确保系统有足够的安全措施，以防止机密信息泄露和非法侵入所造成的损失。

但互联网本身就是基于开放思想设计并逐步发展起来的。

要想在互联网上实现绝对安全是困难的。

互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。

1.2国内外相关理论研究概况

1.2.1我国电子商务安全理论研究

　　根据CNNIC发布的《中国互联网络热点调查报告》中显示：

网上购物大军达到6000万人，在全体互联网网民中，有过购物经历的网民占近20%的比例。

根据国家信息化办公室公布的数据，目前仍有60%的中小企业的信息化程度处于初级阶段。

　　因此，电子商务是互联网应用发展的必然趋势，也是国际金融贸易中越来越重要的经营模式，以后它还会逐渐地成为我们经济生活中一个重要部分。

但同时我们也看到，我国的电子商务还处于了发展的初级阶段还有很长的路要走，从而安全是保证电子商务健康有序发展的关键因素。

　　根据调查显示，目前电子商务安全主要存在的问题是：

（1）计算机网络安全

（2）商品的品质

　　（3）商家的诚信

　　（4）货款的支付

　　（5）商品的递送

　　（6）买卖纠纷处理

　　（7）网站售后服务

　　以上问题可以归结为两大部分：

计算机网络安全和商务交易安全。

计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。

没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。

没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。

只有解决好以上的矛盾，电子商务才能保证又快又好的发展。

电子商务的安全问题，可以归结两大类问题：

一是支付安全，二是认证安全。

（1）支付安全

　　由于网络天生的不安全性，特别是其网上支付领域有着各种各样的交易风险。

但无论是何种风险，其根本原因都是由于登录密码或支付密码泄露造成的。

Ø密码管理问题

　　大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。

大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。

有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。

许多攻击者还会直接使用软件强力破解一些安全性弱的密码。

　　因此，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全性。

需要注意：

一是密码不要设置为姓名、普通单词一、电话号码、生日等简单密码;二是结合字母、数字、大小写共组密码;三是密码位数应尽量大于9位。

Ø网络病毒、木马问题

　　现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。

木马会监视lE浏览器正在访问的网页，如果发现用户正在登录个人银行，直接进行键盘记录输入的帐号、密码，或者弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码.然后通过邮件将窃取的信息发送出去。

因此，需要做好自身电脑的日常安全维护，注意以下几点:

一是经常给电脑系统升级，二是安装杀毒软件、防火墙，经常升级和杀毒，三在平时上网是尽量不上一些小型网站，选大型网站，知名度比较高的网站，避免网站挂有病毒、木马造成中毒，四尽量不要在公共电脑上使用自己的有关资金的帐户和密码，五有条件的情况下，在初装系统后确认电脑安全的后，给自己的电脑做上备份，在使用资金帐户前做一次系统恢复。

Ø钓鱼平台

　　“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。

受骗者往往会泄露自己的财务数据，如信用卡号、账户号和口令等。

　　因此，在登录支付资金时，应注意：

一是确认该网是否是官方网站，二是仔细核对该网的域名是否正确，注意小写“1”与“L”、“0”与“O”等情况，三保证良好的上网习惯，收藏常用的网址，减少网上链接。

Ø硬件数字认证

　　在电子商务体系构建的过渡时期，道高一尺，魔高一丈。

各类病毒层出不穷，木马也在天天更新，今天这种技术安全，明天就不一定安全。

因此，数字证书的引入是在线支付安全问题的最终解决方案之一。

网上支付不安全，选择网下加以弥补。

以工商银行2003年推出并获得国家专利的客户证书USBkey（U盾）为例。

从技术角度看.u盾是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对数据进行加密、解密和数字签名.确保网上交易的保密性、真实性、完整性和不可否认性。

它顺利地解决了当前网银密码泄漏的问题。

有了硬件数字证书的应用，即使你的密码泄漏了。

没有证书，黑客还是不能够使用你的帐户。

　　动态电子密码的应用也可以确保电子银行帐号的安全。

现行的有两种方式，一种是在使用时查看当前的动态电子密码。

另一种是临时通过绑定手机、密宝等通信工具，向帐户所在银行申请临时密码。

由于具有较强的时效性，从而保障帐户资金的安全。

还有其它消极的防护措施。

如某些网上银行交易金额限制，单次为300元，每日限额为3000元。

主要是为了降低电子支付交易风险.但在一定程度上会给大额交易带来不便。

这种措施其实治标不治本。

（2）.认证安全

　　电子商务为了保证网络上传递信息的安全，通常采用加密的方法。

但这是不够的，如何确定交易双方的身份，如何获得通讯对方的公钥并且相信此公钥是由某个身份确定的人拥有的，解决方法就是找一个大家共同信任的第三方，即认证中心（CertificateAuthority，CA）颁发电子证书。

用户之间利用证书来保证安全性和双方身份的合法性，只有确定身份后，交易的纠纷，才得到有效的裁决。

　　总之，电子商务的安全是个非常复杂的问题，它的保障机制必须是有机的，多层次的，需要有企业管理方面，技术支持方面的协调来实现。

它是一个系统有机的整体，不仅需要计算机网络安全的保证，也需要商务交易安全上的保障，更需要管理上的进步，才能确保电子商务的安全。

同时我国在电子商务技术性较为落后，必须加强具有自主产权的信息安全产品的研究，注意加强信息安全人才的培养，多方共同努力建立科学的电子商务安全机制，才能为我国的电子商务又快又好的发展保驾护行。

1,2,2国外电子商务安全理论研究

面对各种威胁和隐患，电子商务所依托的各种安全技术是保证交易安全的主要力量。

这些安全技术手段应保证信息内容的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。

CSueJones和HeatherHMega指出，安全技术相对于电子商务的发展速度来说还显得不成熟，面对安全领域中存在的巨大挑战，只有将技术与策略正确结合才能满足安全需求。

目前，国外电子商务的安全手段主要体现在以下3个方向：

1安全认证认证主要是对某个实体的身份进行鉴别和确认，以确认当事人是否名符其实，当前交易是否有效。

PaulineRatnasingam认为，因特网是一个开放、共享的和缺少监管的环境，电子商务面临着各种各样的安全威胁，安全机制是构建合法可信虚拟世界的保证。

KYUNG-AHCHANG等人指出认证技术包括数字签名技术及身份识别技术等。

2信誉系统信誉系统（ReputationSystems）的作用是增进电子商务环境中陌生者之间的信任。

Resnlckt指出，信誉系统可以帮助人们明确某个人是否可信，激励每个人都采取诚实守信的行动，还可以阻止欺诈团伙参与到交易活动中

来。

1,3本文研究的目的

目的：

本题文在通过对电子商务安全存在的优越性与不足进行分析，由此来对现实生活中的电子商务的安全问题提出一些意见和建议，保证其安全管理技术得以实施。

意义：

　目前，假冒网站、邮件欺骗、木马病毒已经成为新形势下电子商务面临的最重要的现实安全威胁；2005年我国网络用户被骗金额近１亿元人民币，今年“五一”黄金周期间，银行卡相关病毒数和网络钓鱼网站数量进一步急速上升。

以上事实和最近大量网络骗案的接连发生，提出了一系列值得我们思索和警示的问题。

　　因此，把握电子商务安全预警、安全防范的新情况、新特点和新技术，对于加快电子商务的发展具有重要意义。

1,4本文的研究内容与特色

商业需要开放、分享、平等、互惠、共生等理念，电子商务可以成为真正实现这一理念的理想平台。

通过分析电子商务的风险，提出一些安全管理技术。

本文主要针对电子商务的特点，对其存在的问题进行分析，并结合了现实生活中的实例等以此来表述安全管理技术的必要性，

主要工作如下：

1.阅读并分析了大量相关资料和文献，并了解电子商务的特点以及电子商务安全的意义。

2.研究和分析了当前电子商务的广泛应用，并对其安全管理技术进行了解。

3.描述了电子商务安全技术的未来发展前景。

第二章电子商务交易市场概述

2,1电子商务的安全现状

目前电子商务的安全问题比较严重，最突出的表现在计算机网络安全和商业诚信问题上。

与以往相比电子商务安全呈现出以下特点：

（一）木马病毒爆炸性增长，变种数量的快速增加

　　据统计，仅2009年上半年挂载木马网页数量累计达2.9亿个，共有11.2亿人次网民访问挂载木马，2010年元旦三天就新增电脑病毒50万。

病毒的数量不仅增速变快，智能型，病毒变种更新速度快是本年度病毒的又一个特征。

总体而言，目前的新木马不多，更多的是它的变种，因为目前反病毒软件的升级速度越来越快，病毒存活时间越来越短，因此，今天的病毒投放者不再投放单一的病毒，而是通过病毒下载器来进行病毒投放，可以自动从指定的网址上下载新病毒，并进行自动更新，永远也无法斩尽杀绝所有的病毒。

同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动，通过网络贩卖病毒、木马，教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多，电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。

（二）网络病毒传播方式的变化

　　过去，传播病毒通过网络进行。

目前，通过移动存储介质传播的案例显着增加，存储介质已经成为电子商务网络病毒感染率上升的主要原因。

由于U盘和移动存储介质广泛使用，病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序，然后感染用户的计算机系统，进而感染其他U盘。

与往年相比，今年通过网络浏览或下载该病毒的比例在下降。

不过，从网络监测和用户寻求帮助的情况来看，大量的网络犯罪通过“挂马”方式来实现。

“挂马”是指在网页中嵌入恶意代码，当存在安全漏洞的用户访问这些网页时，木马会侵入用户系统，然后用户敏感信息或者进行攻击、破坏。

通过浏览网页方式进行攻击的方法具有较强的隐蔽性，用户更难于发现，潜在的危害性也更大。

　　（三）网络病毒给电子商务造成的损失继续增加

　　调查显示，浏览器配置被修改，损坏或丢失数据，系统的使用受限，网络无法使用，密码被盗造成都给电子商务造成严重的破坏后果。

2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播，攫取非法经济利益，给被感染的用户带来重大损失。

继“熊猫烧香”之后，复合型病毒大量出现，如：

仇英、艾妮等病毒。

同时，网上贩卖病毒、木马和僵尸网络的活动不断增多，利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。

2,2电子商务的安全问题及存在原因

　1.对合法用户的身份冒充。

以不法手段盗用合法用户的身份资料，仿冒合法用户的身份与他人进行交易，从而获得非法利益。

　　2.对信息的窃取。

攻击者在网络的传输信道上。

通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通信中敏感的信息。

如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号，还能以欺骗的手法进行产品交易，甚至能洗黑钱。

　　3.对信息的篡改。

攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注人伪造消息等，从而使信息失去真实性和完整性。

　　4.拒绝服务。

攻击者使合法接入的信息、业务或其他资源受阻。

　　5.对发出的信息予以否认．某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

　　6.信用威胁。

交易者否认参加过交易，如买方提交订单后不付款，或者输人虚假银行资料使卖方不能提款I用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。

　　7.电脑病毒。

电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。

不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。

如，CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。

2,3电子商务的安全需求

电子商务威胁的出现导致了对电子商务安全的需求，主要包括有效性、完整性、不可抵赖性、匿名性。

　　1.有效性。

保证信息的有效性是开展电子商务的前提，一旦签订交易，这项交易就应得到保护以防止被篡改或伪造。

　　2.完整性。

贸易双方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易双方信息的完整性是电子商务的基础。

　　3.不可抵赖性。

交易一旦达成，原发送方在发送数据后就不能抵赖，接收方接到数据后也不能抵赖。

　　4.匿名性。

电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。

2,4电子商务安全防治措施及安全技术

防范电子商务网络犯罪是一个系统工程，不仅需要人们提高防范电子商务网络犯罪的意识，加强防范电子商务网络犯罪的制度建设，而且．还需要技术上不断更新和完善，为此，需要做好以下几方面的工作。

　　1.加强教育和宣传，提高公众电子商务的安全意识。

信息安全意识是指人们在上网的过程中，对信息安全重要性的认识水平，发现影响网络安全行为的敏锐性，维护网络安全的主动性。

强化上网人员的信息安全意识，就是要让上网人员认识到，网络信息安全是电子商务正常而高效运转的基础，是保障企业、公民和国家利益的重要前提，从而牢同树立网上交易，安全第一的思想。

主要采取以下措施：

一是通过大众媒体，普及电子商务的安全知识，提高用户的认识。

二是积极组织研讨会和培训课程，培养电子商务网络营销安全管理人才。

　　2.采用多重网络技术，保证网络信息安全。

目前，常用的电子商务安全技术，主要包括：

防火墙，物理隔离，VPN（虚拟专用网）。

防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。

使用防火墙，一方面是抵御来自外界的攻击。

另一方面是为了防止在服务器内部部分XX的用户攻击。

因此，电子商务内外网与互联网之间要设置防火墙。

网管人员要经常到有关网站上下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，发现任何安全隐患及时更改，做到有备无患。

企业上网必须实行内外网划分和内外网的物理隔离。

要运用VPN新技术，为使用者提了一种通过公用网络，安全地对食业网络进行远程访问，同时又能保证企业的系统安全。

包括操作系统、数据库和服务器（如Web服务器、E-MAII。

服务器）的安全。

　　3.运用密码技术，强化通信安全。

应围绕数字证书应用，为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。

在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。

目前要加强身份认证、数据完整性、数据加密、数字签名等工作。

对于电子商务中的各种敏感数据进行数据加密处理，并且在数据传输中采用加密传输，以防止攻击者窃密。

电子商务信息交换中的各种信息，必须通过身份认证来确认其合法性，然后确定这个用户的个人数据和特定权限。

“在涉及多个对等实体间的交互认征时，应采用基于PKI技术，借助第三方（CA）颁发的数字证书数字签名来确认彼此身份。

”为了从根本上保证我国网络的安全，我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考，但不能完全照搬。

政府应该鼓励和扶植一批企业加快数字安全技术的研究，以提高我国信息企业的技术和管理水平，促进我同电子商务安全建设。

　　4.加强技术管理，努力做到使用安全。

首先是在内部严格控制企业内部人员对网络共享资源的随意使用。

在内网中，除有特殊需要不要轻易开放共享目录，对有经常交换信息要求的用户，在共享时应该加密，即只有通过密码的认证才允许访问数据。

二是对涉及秘密信息的用户主机，使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务，同时封闭一些不用的端口。

并对服务器中的数据库进行安全备份。

三是切实保证媒体安全。

包括媒体数据的安全及媒体本身的安全。

要防止系统信息在物理空间上的扩散。

为了防止系统中的信息在物理空间上的扩散，应在物理上采取一定的防护措施，如进行一定的电磁屏蔽，减少或干扰扩散出去的空间信号。

这样做，对确保企业电子商务安全将发挥重要作用。

　　5.健全法律，严格执法。

目前我国在电子商务法律法规方面还有很多缺失，不能有效地保护公众的合法权益，给一些犯罪分子带来了可乘之机。

我国立法部门应加快立法进程，吸取和借鉴国外网络信息安全立法的先进经验，尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证（票据）法》、《网上知识产权法》等一系列法律，使电子商务安全管理走上法制化轨道。

使网络控制、信息控制、信息资源管理和防止泄密有法可依，并得到技术上的支撑。

健全电子商务安全标准认证和质量检测机制，由国家主管部门组织制定有关电子商务安全条例规定，并发挥职能部门的监管作用。

通过建立电子商务安全法规体系，规范和维持网络的正常运行。

第二章当当网交易概述

3.１当当电子商务流程简介

电子商务流程是指消费者从其客户端上网录找产品/服务信息到售后服务与支持的全过程。

如图3-1所示：

图3-1电子商务的流程

图3-2电子商务交易程序

电子商务的应用是信息流、商流、资金流和物流的整合。

其中，信息流最为重要，它对整个流程起着监控作用，而物流、资金流则是实现电子商务的保证，商流代表着货物所有权的转移，标志着交易的达成。

表3-1说明四流的概念，图2-12则对四流的基本功能作了描述。

表3-1四流的概念

信息流

信息的转移过程可以通过计算机和网络通信设备实现

商流

商品在购、销之间进行交易和所有权转移的运动过程

资金流

资金的转移过程

物流

物质实体（商品或服务的流动过程）数字产品可以通过网络配送

上当当网购书:

浏览过程就是信息流,利用有关的信息选购商品,选定后提交表单,这就是信息的流动,也是资金流的开始,提交表单后,商家给回复,确认表单,这是商流,即是和商家达成交易的过程,选择送货方式,商家自己或通过邮局快递公司把货物送到,验货,签单整个交易过程结束,这就是物流的过程,在整个过程中,信息流贯穿始终.

首先我们看一下当当网的购物流程，其步骤包括：

选购商品→核对购物清单→注册登陆→填写收货信息→选择送货信息→选择付款方式→提交订单。

而具体来说就是：

1）浏览、搜索您需要的商品，点击“购买”放入购物清单，在购物清单中可以对商品进行、删除、放入暂存架或修改其订购数量等；

2）如果您还要同时购买其他感兴趣的商品，点击购物清单中的“继续挑选商品”即可，在购物清单页打开“超值赠送区”，可选择各种免费或特惠品。

确定所购商品后，点击“我已看过了，去登记开户”

3）进入到登记开户页面，如果您未在当当登记过，请输入您的电子邮件地址并设定帐户的登录密码（密码可以为英文字母、阿拉伯数字,限12个字符以内,您的密码要在6位以上）。

如果