電子商務(wù)安全與支付

電子商務(wù)存在的安全威脅目前，電子商務(wù)發(fā)展面臨的主要問題之一是如何保障電子交易過程中的安全性。交易的安全是網(wǎng)上貿(mào)易的基礎(chǔ)和保障，也是電子商務(wù)技術(shù)的難點，圍繞電子商務(wù)安全的防護技術(shù)已經(jīng)成為了目前電子商務(wù)研究的重點之一。在電子交易過程中，消費者和商家面臨的安全威脅通常有以下幾個方面：1信息的截獲在電子商務(wù)中，信息流和資金流以數(shù)據(jù)的形式在internet網(wǎng)絡(luò)中傳輸。在傳輸過程中，如果沒有采取加密措施或加密強度不夠，攻擊者可能通過Internet網(wǎng)絡(luò)在電磁波范圍內(nèi)安全截獲裝置或在數(shù)據(jù)報道通過的網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)，獲取傳輸?shù)臋C密信息，或通過對信息流量、通信頻度和長度等參數(shù)的分析，推測出有用的信息，如消費者的銀行帳號、密碼以及企業(yè)商業(yè)機密等。2信息中斷這是針對可用信息進行的攻擊。在中斷過程中，信息資源變得易損失或不可用。網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤以及計算機病毒等惡意攻擊都能導(dǎo)致電子交易不能正常進行。因此，要對此產(chǎn)生的潛在威脅加以預(yù)防和控制，以保證交易數(shù)據(jù)在確定的時刻、確定的地點是有效的。3信息篡改。當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式化后，通過各種技術(shù)和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行中途修改并發(fā)往目的地，從而破壞信息完整性。例如，改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址；刪除某個消息或是消息的某些部分；在消息中插入一些讓接收方不懂或接收錯誤的信息等。4信息的偽造當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以偽裝成合法用戶或發(fā)送偽造的信息來欺騙其他用戶，主要有以下兩種方式：一種是偽造電子郵件。例如，虛開網(wǎng)站和電子商店，給用戶發(fā)電子郵件，收訂貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家服務(wù)器的資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)等。另一種是假冒他人身份。例如，偽裝成他人身份，進行非授權(quán)信息資源的訪問或者騙取對方的信任：冒充網(wǎng)絡(luò)控制程序，套取和修改使用權(quán)限、保密字、密鑰等信息；接管合法用戶，欺騙系統(tǒng)，占用合法用戶資源。5交易抵賴交易抵賴包括多方面，如發(fā)送方事后否認(rèn)曾經(jīng)發(fā)送過某條消息內(nèi)容；接收方事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容；購買者做了訂貨單不承認(rèn)；商家賣出的商品因價格差而不承認(rèn)原有的交易。由于電子交易是基于internet基礎(chǔ)上的，因此，除了在交易過程中會面臨上述安全威脅外，還會涉及一般計算機網(wǎng)絡(luò)系統(tǒng)普遍面臨的一些安全問題。從網(wǎng)絡(luò)安全角度考察，網(wǎng)絡(luò)系統(tǒng)面臨的主要安全威脅有以下幾種：1物理實體的安全問題。包括設(shè)備的功能失常、電源故障、由于電磁泄漏引起的信息失密和搭線竊聽則是認(rèn)為的，是非法者常用的一種手段，將導(dǎo)線搭到無人值守的網(wǎng)絡(luò)傳輸線路上進行監(jiān)聽，通過解調(diào)和正確的協(xié)議分析就可以完全掌握通信的全部內(nèi)容。2自然災(zāi)害的威脅計算機網(wǎng)絡(luò)設(shè)備大多是一些易碎品，不能受重壓或強烈的震動，更不能受強力沖擊。所以，各種自然災(zāi)害、風(fēng)暴、泥石流、建筑物破壞、火災(zāi)、水災(zāi)、空氣污染等對計算機網(wǎng)絡(luò)系統(tǒng)都構(gòu)成了強大的威脅。3黑客的惡意攻擊所謂黑客，現(xiàn)在一般泛指計算機信息系統(tǒng)的非法入侵者。黑客的攻擊手段和方法多種多樣，一般可以粗略的分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。4軟件的漏洞和“后門”。在計算機網(wǎng)絡(luò)安全領(lǐng)域，軟件的漏洞是指軟件系統(tǒng)上的缺陷，這種缺陷導(dǎo)致非法用戶未經(jīng)授權(quán)而獲得訪問系統(tǒng)的權(quán)限或提高其訪問權(quán)限。隨著計算機系統(tǒng)的復(fù)雜程度日益增高，開發(fā)一個大型的電子商務(wù)應(yīng)用軟件，要想進行全面徹底的測試已經(jīng)變得越來越不可能了。一個實際的電子商務(wù)系統(tǒng)，總會多多少少留下某些缺陷和漏洞。而“后門”是軟件設(shè)計者為了進行非法授權(quán)訪問而在程序中故意設(shè)置的萬能訪問口令，這些口令無論是被攻破，還是只掌握在設(shè)計者手中，都對使用者的系統(tǒng)安全構(gòu)成嚴(yán)重的威脅。綜上所述，軟件的漏洞和“后門”則是完全可以避免的；漏洞是難以預(yù)知的，而“后門”則是人為故意設(shè)置的。5網(wǎng)絡(luò)協(xié)議的安全漏洞。眾所周知，電子商務(wù)系統(tǒng)是基于internet網(wǎng)絡(luò)平臺上的信息系統(tǒng)，通過internet基礎(chǔ)設(shè)施向電子商務(wù)應(yīng)用提供各種網(wǎng)絡(luò)服務(wù)。而網(wǎng)絡(luò)服務(wù)則又是通過各種協(xié)議來實現(xiàn)的。目前，internet采用的TCP/IP協(xié)議簇，如TCP/FTP和HTTP協(xié)議等，在安全方面都存在著一定的缺陷。當(dāng)今許多黑客攻擊就是利用了這些協(xié)議的安全漏洞才得逞的。事實上，網(wǎng)絡(luò)協(xié)議的安全漏洞是當(dāng)前internet面臨的一個重要安全問題。5計算機病毒攻擊由于internet的開發(fā)性，計算機病毒在網(wǎng)絡(luò)上的傳播比以前快了許多，而且internet的發(fā)展和普及又促進了病毒制造者之間的交流，使新病毒及其變種層出不窮，殺傷力也大為提高，這些都給個人和企業(yè)都帶來了許多不便和經(jīng)濟損失。據(jù)《2007年上半年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報道》統(tǒng)計，2007年上半年，全國感染病毒的計算機超過759萬臺，與2006年同期相比增長了12.2%。二電子商務(wù)系統(tǒng)的安全體系結(jié)構(gòu)電子商務(wù)的安全體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整的邏輯結(jié)構(gòu)，同時也為交易過程的安全提供了基本保障。電子商務(wù)安全系統(tǒng)結(jié)構(gòu)由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認(rèn)證層、安全協(xié)議層和商務(wù)應(yīng)用系統(tǒng)層五個層次組成。既然電子商務(wù)系統(tǒng)是建立在計算機系統(tǒng)之上的商務(wù)系統(tǒng)，從邏輯上可以將整個體系結(jié)構(gòu)分為底層的計算機網(wǎng)絡(luò)安全和上層的電子交易安全兩個方面。網(wǎng)絡(luò)服務(wù)提供計算機網(wǎng)絡(luò)安全；而加密技術(shù)層、安全認(rèn)證層、安全協(xié)議層和商務(wù)系統(tǒng)層提供電子交易安全。因此，計算機網(wǎng)絡(luò)安全和電子交易安全是密不可分的。一個是保障底層的物理系統(tǒng)，它是電子交易安全的基礎(chǔ)，為人們進行網(wǎng)上商務(wù)活動提供了虛擬場所的安全；另一個是保障上層業(yè)務(wù)邏輯的安全，即保證網(wǎng)上交易活動的順利進行。這兩方面的安全措施相輔相成，缺一不可，共同為安全戴南鎮(zhèn)商務(wù)活動開展保駕護航。三計算機網(wǎng)絡(luò)系