浅论电子商务网上支付安全及防范措施

高等教育自学考试毕 业 论 文浅论电子商务网上支付安全及防范措施-360buy京东商城办学单位：班 级：学 生：指导教师：提交日期： 年 月 日I 摘要电子商务技术的广泛应用，给中小型公司提供便利和商机。随着互联网技术的蓬勃发展，基于网络和多媒体技术的电子商务应运而生并迅速发展。如何实现安全的在线支付功能，并保证交易各方的安全、保密是实现电子商务关键的问题之一。本文以“京东商城”为例子，结合其网上支付方式，分析网上支付的流程与展现出来的缺点，探讨网络安全技术对在线支付的作用，采用理论研究和实际案例相结合的方法。分析网上支付的安全问题，分为网站管理方面、交易过程、支付过程三方面进行探讨研究，并给出相应的防范措施。关键词：网上支付 安全问题 防范措施 京东商城AbstractThe wide application of electronic commerce technology, to small and medium companies provide convenience and business opportunities. With the vigorous development of Internet technology, based on the network and multimedia technology, electronic commerce arises at the historic moment and rapid development. How to realize safe online payment function, and ensure the safety of the transacting parties, secrecy is the key to realize e-commerce part of the problem.This article by jingdong mall for example, combined with its online payment, and analysis of the process online payment and show come out shortcomings, network security technology to explore the role of payment online, using the theory and method of combining the actual cases. Analysis of the online payment security problems, divided into web site management, transaction process, payment process to explore three research, and gives corresponding preventive measures.Key word：Online payment Safety problems Preventive measures Jingdong mall目录摘要IAbstractII1绪论- 1 -1.1研究背景与意义- 1 -1.2研究思路与内容- 1 -1.3研究框架- 2 -2 360buy京东商城概况与在线支付分析- 3 -2.1京东商城概况- 3 -2.2发展历程- 3 -2.3产品及服务- 4 -2.3.1 3C网购平台- 4 -2.3.2商品种类- 4 -2.3.3零元团购- 5 -2.3.4图书频道- 5 -2.4网上支付模式- 5 -2.4.1银联在线支付- 5 -2.4.2财付通支付- 6 -2.4.3快钱支付- 6 -2.4.4移动手机支付- 7 -2.4.5汇付天下支付- 7 -3网上支付安全问题以及防范措施- 8 -3.1网站管理方面- 8 -3.1.1服务器的安全问题- 8 -(SSL)安全套接层协议- 8 -3.1.2计算机系统安全问题- 9 -3.1.3数据库安全- 10 -3.2交易过程- 11 -3.2.1身份冒充问题- 11 -3.2.2交易双方抵赖问题- 12 -3.3支付过程- 12 -3.3.1信用卡支付问题- 12 -3.3.2钓鱼网站- 13 -结论- 15 -参考文献- 17 -致谢- 18 - 19 - 1绪论1.1研究背景与意义网上支付指的是客户、商家、网上银行之间使用安全电子手段，利用电子现金、银行卡、电子支票等支付工具通过网络传送到银行或相应的处理机构，从而完成支付的整个过程。电子商务是运用现代通信技术、计算机和网络技术进行的一种社会经济形态，其目的是通过降低社会经营成本、提高社会生产效率、优化社会资源配置，从而实现社会财富的最大化利用。它是建立在全社会的“网络就绪”的基础上，利用信息技术实现社会商业模式、管理模式、组织结构的创新与变革，使全社会资源以透明、快捷、互动方式流动，带来整个社会生产经营活动价值链的改变。从2005年起，电子商务得到了膨胀发展，而作为电子支付，构成了电子商务的核心环节。如果没有支付，整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合，才能确保交易顺利进行。而作为目前电子支付的重要组成部分网上支付在整个电子支付的发展中起到了重要作用：包括降低社会交易成本、提高商家竞争力等几方面。由于网上支付平台的存在，银行不需要直接面对最终用户，大大减少服务成本，提高了处理速度和效率。而第三方支付平台又提供统一的应用接口，使商户不必为自成体系的多家银行连接，减少开发和维护的成本，降低交易取消、交易延迟、支付失败、信用欺诈的风险，提高商家网站交易成功率。由于商家压缩了人员规模，降低了运营成本、提高了交易效率，进而提高竞争力，并且由于第三方支付平台的努力推动及专业分工，从而促进了电子商务产业的发展。“网上支付”和电子商务是密不可分的，了解电子商务是理解网上支付重要性的前提和基础。网上支付是电子商务的关键环节，也是电子商务得以顺利进行的基础条件，所谓电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂，互联网的快速发展不但给电子商务提供了巨大的发展机遇，而且也带来了相应的网络安全问题。当前，电子商务中网络安全问题产生的主要原因有：黑客攻击、软件漏洞、网络缺陷和技术管理欠缺等，所以，需要对电子商务实施技术和管理的安全策略。1.2研究思路与内容本文对网上支付进行分析和论证，针对企业在进行网上支付中作出的研究、总结和建议。本题目的研究方法是：采用案例分析法。结合网上商城-京东商城，分析网上商城所提供的在线支付方式，分析在线支付的流程与展现出来的缺点，探讨网络安全技术对在线支付的作用，采用理论研究和实际案例相结合的方法。其中主要研究网上支付的网站管理方面、交易过程、支付过程，通过以上三个方面来综合研究网上支付安全问题，并给出一定的建设性意见。1.3研究框架图 1-1 文章研究结构上图是本文对网上支付安全问题的研究框架，大的方面通过“互联网”与“京东商城”的研究入手，接着细化出“网上支付问题”与“网络安全技术”的研究，即探讨“网上支付问题”的类型，以及“网络安全技术”的防范措施。在互联网的环境下，企业往往运用不同的网上支付类型，对网上支付安全的进行分析。2 360buy京东商城概况与在线支付分析 京东商城是中国B2C市场最大的3C网购专业平台，是中国电子商务领域最受消费者欢迎和最具有影响力的电子商务网站之一。京东商城目前拥有遍及全国各地2500万注册用户，近6000家供应商，在线销售家电、数码通讯、电脑、家居百货、服装服饰、母婴、图书、食品等11大类数万个品牌百万种优质商品，日订单处理量超过30万单，网站日均PV超过5000万。2010年，京东商城跃升为中国首家规模超过百亿的网络零售企业，连续六年增长率均超过200%，现占据中国网络零售市场份额35.6%，连续10个季度蝉联行业头名。2011年8月24日，京东商城与支付宝合作到期。2.1京东商城概况360buy京东商城秉承“以人为本”的服务理念，全程为个人用户和企业用户提供人性化的“亲情360”全方位服务，努力为用户创造亲切、轻松和愉悦的购物环境；不断丰富产品结构，以期最大化地满足消费者日趋多样的购物需求。相较于同类电子商务网站，360buy京东商城拥有更为丰富的商品种类，并凭借更具竞争力的价格和逐渐完善的物流配送体系等各项优势，赢得市场占有率多年稳居行业首位的骄人成绩。2.2发展历程 1998年6月18日，刘强东先生在中关村创业，成立京东公司。 2001年6月，京东成为光磁产品领域最具影响力的代理商，销售量及影响力在行业内首屈一指。 2004年1月，京东开辟电子商务领域创业实验田，京东多媒体网正式开通，启用新域名。 2004年7月 京东在全国首创即时拍卖系统京东拍卖场正式开业，目前已经成为各大IT电子商务网 站争相模仿对象之一。 2005年11月，京东多媒体网日订单处理量稳定突破500个。 2006年1月，京东宣布进军上海，成立上海全资子公司。2006年6月，京东开创业内先河，全国第一家以产品为主体对象的专业博客系统京东产品博客系统正式开放。2006年6月，京东在由第三方电子支付公司网银在线与中国计算机报联合主办的“网银杯”2006超级网商评选活动中，荣获最受欢迎的IT产品网商称号。2007年5月，京东广州全资子公司成立，全力开拓华南市场。广州全资子公司的成立代表着京东由北京、上海、广州三地为基础覆盖全国的销售网络的形成。2007年6月，京东商城日订单处理量突破3000个。2007年6月，成功改版后，京东多媒体网正式更名为京东商城，以全新的面貌屹立于国内B2C市场。2007年6月，京东正式启动全新域名，并成功改版。2007年7月，京东建成北京、上海、广州三大物流体系，总物流面积超过5万平方米。2007年8月，京东赢得国际著名风险投资基金今日资本的青睐，首批融资千万美金。2007年10月，京东商城在北京、上海、广州三地启用移动POS上门刷卡服务，开创了中国电子商务的先河。2008年6月，京东商城在2008年初涉足销售平板电视，并于6月将空调、冰洗、电视等大家电产品线逐一扩充完毕。标志着京东公司在建司十周年之际完成了3C产品的全线搭建，成为名副其实的3C网购平台。2009年2月，京东商城尝试出售特色上门服务，此举成为探索B2C增值服务领域的重要突破，也是商品多元化的又一体现。2009年3月，京东商城单月销售额突破2亿元，成为国内首家也是唯一一家月销量突破2亿元大关的B2C电子商务公司。2009年6月，京东商城单月销售额突破3亿元，与2007年全年销售额持平。同时，日订单处理能力突破20000单。2010年12月23日，京东商城团购频道于12月23日正式上线，京东商城注册用户均可直接参与团购。2012年3月30日，京东商城的火车票预订频道上线。上线首日，已有不少网友通过该服务成功预订了清明小长假的外出火车票。2.3产品及服务2.3.1 3C网购平台作为中国B2C市场最大的3C网购专业平台，360buy京东商城无论在访问量、点击率、销售量以及业内知名度和影响力上，都在国内3C网购平台中首屈一指。预计2007年360buy京东商城销售额将超过3亿元人民币，而在2008年北京奥运会到来之际，360buy京东商城的销售额有望突破10亿元人民币。360buy京东商城的飞速发展和良好前景赢得了国际著名风险投资基金的青睐。2007年,360buy京东商城迎来了第一笔风险投资，这无疑为360buy京东商城的迅猛发展注入一支强心剂。伴随着360buy京东商城的超速发展，360buy京东商城将为合作伙伴提供更广阔的发展平台、为广大用户提供便利可靠的高品质网购专业平台。2.3.2商品种类相较于同类电子商务网站，360buy京东商城拥有更为丰富的商品种类，并凭借更具竞争力的价格和逐渐完善的物流配送体系等各项优势，赢得市场占有率多年稳居行业首位的骄人成绩。未来，360buy京东商城将坚持以“产品、价格、服务”为中心的发展战略，不断增强信息系统、产品操作和物流技术三大核心竞争力，始终以服务、创新和消费者价值最大化为发展目标，不仅将360buy京东商城打造成国内最具价值的B2C电子商务网站，更要成为中国3C电子商务领域的翘楚，引领高品质时尚生活。2.3.3零元团购2010年12月23日消息，京东商城团购频道于12月23日正式上线，京东商城注册用户均可直接参与团购。目前该公司提供的团购服务主要以餐饮美食、娱乐休闲活动和非京东商品的实物团购为主，而春节后将正式推出京东商城在售商品团购,各个类别均有产品参与。京东商城团购频道的推出，标志着中国电子商务巨头正式涉足团购领域，该领域将面临全新洗牌。据了解，京东商城团购频道每周一至五每天均会推出一款团购商品。对于非实物商品，已售数量达成团数量后，消费者即会收到手机短信和邮件优惠码；而实物商品，在达成团数量后，京东商城会将商品直接送到消费者手中，京东商城采购的商品还将奉行“211限时达”极速物流标准，保证商品24小时内送达。京东商城团购负责人向赛迪网透露，该网站的团购频道将陆续推出极具挑战性的低价商品，一些商品将会0元开团，消费者仅需支付快递费用即可拥有，0元团购将成为京东商城的特色团购项目，长期推出。京东商城作为电子商务巨头进入团购领域时，将令该市场格局骤然生变，团购市场新一轮的洗牌即将展开。2010年，我国团购网站已超过1600家。凭着诱人的价格折扣、便利的消费体验，团购已经成为众网民乐于选择的消费方式。而赛迪网从中国消费者协会获悉，网络团购年初在我国出现后，有三成的团购受到过投诉，有的网站虚假宣传，产品质量以次充好；有的欺诈，商家卷款潜逃；很多网站没发票，退换货难处理，服务不到位。部分团购注册信息泄露，垃圾短信冲爆手机针对目前国内团购市场的混乱现状，国家商务部办公厅主任、商务部新闻发言人姚坚表示，相关部门需对网站制定网站认证规则，对团购网站设置合理的门槛，并严格执行，加强监管，切实为消费者着想，维护消费者合法权益。2.3.4图书频道京东商城图书频悄然上线，与手机数码、电脑办公商品等并列于京东产品大分类。这也意味着京东商城将与当当、卓越等B2C展开更为激烈的竞争。据悉，京东网上商城今日试运行销售的图书商品将涵盖文艺、社科、经管励志、教育考试、科技、生活、少儿等7大品类39个大分类超过10万种。人民出版社、人民文学出版社，商务印书馆，机械工业出版社、中华书局，中信出版社等国内出版巨头与京东商城深入合作。另据了解，为配合图书销售，京东网上商城进一步扩大货到付款的范围，全国500多个城市将支持图书类商品的货到付款，未来这一范围还会进一步增加。同时，京东网上商城还会继续加速图书单品的完善，预计图书品类将迅速扩张到25万种。 “京东商城”百度百科/view/.htm2.4网上支付模式2.4.1银联在线支付“银联在线支付”作为银联互联网支付的集成化、综合性工具，涵盖认证支付、快捷支付、储值卡支付、网银支付等多种支付方式，广泛应用于购物缴费、还款转账、商旅服务、基金申购、企业代收付等诸多领域。具有方便快捷、安全可靠、全球通用、金融级担保交易、综合性商户服务、无门槛网上支付等六大特点。简单灵活的快捷支付模式，无需开通网银，加快交易进程，提升用户体验，有助银行、商户吸引更多客户，促进网上交易。多重安全技术保障，实时风险监控，充分保证支付安全。与其它担保交易提前划款给第三方账户不同，“银联在线支付”的金融级预授权担保交易，是在持卡人自有银行账户内冻结交易资金，免除利息损失和资金挪用风险，最大化保证了银行、商户和持卡人权益。延伸全球的银联网络，越来越多的银联境外网上商户让持卡人“轻点鼠标，网购全球”。图 2-1 银联在线支付方式注：此图来自京东商城在线支付方式2.4.2财付通支付财付通是腾讯公司于2005年9月正式推出专业在线支付平台，致力于为互联网用户和企业提供安全、便捷、专业的在线支付服务。财付通构建全新的综合支付平台，业务覆盖B2B、B2C和C2C各领域，提供卓越的网上支付及清算服务。针对个人用户，财付通提供了包括在线充值、提现、支付、交易管理等丰富功能；针对企业用户，财付通提供了安全可靠的支付清算服务和极富特色的QQ营销资源支持。图 2-2 财付通支付方式注：此图来自京东商城在线支付方式2.4.3快钱支付快钱是国内领先的独立第三方支付企业，旨在为各类企业及个人提供安全、便捷和保密的综合电子支付服务。目前，快钱是支付产品最丰富、覆盖人群最广泛的电子支付企业，其推出的支付产品包括但不限于人民币支付，外卡支付，神州行卡支付，联通充值卡支付，VPOS支付等众多支付产品，支持互联网、手机、电话和 POS等多种终端，满足各类企业和个人的不同支付需求。图 2-4 快钱支付方式注：此图来自京东商城在线支付方式2.4.4移动手机支付手机支付也称为移动支付（Mobile Payment），是指允许移动用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。继卡类支付、网络支付后，手机支付俨然成为新宠，2009年中国手机支付市场规模已达到19.74亿元，此外手机支付用户规模也早在2009年内增长到8250万人，2010年以来国内的三家运营商都加大了在手机支付上的投入力度，但是行业标准的缺失让运营商在发展过程中存在一定盲目性，行业标准的尽早出台势必能够加快手机支付业务的普及速度，目前工信部等有关部门正在着手小额手机支付标准的研究制订工作。图 2-4 手机支付方式注：此图来自京东商城在线支付方式2.4.5汇付天下支付汇付天下定位于金融级电子支付专家，与国内商业银行及国际银行卡组织均建立了合作关系，聚焦金融支付和产业链支付两大方向，核心竞争力是为行业客户快速准确定制支付解决方案，创新研发电子支付服务产品，推动各行业电子商务的发展。目前，汇付天下已服务于基金行业、航空票务、商业流通、数字娱乐等万余家行业客户，如华夏基金管理公司、中国国际航空、中国南方航空、中国东方航空、网易、中国平安保险集团、联想集团、苏宁易购、携程、12580等。图 2-5 汇付天下支付注：此图来自京东商城在线支付方式3网上支付安全问题以及防范措施作为一种新的经济模式，电子商务以高效、便捷、方便的优势和全新的企业经营理念、经营手段、经营环境吸引着广大用户，为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大，针对电子商务的各种犯罪活动也日益猖獗。国内外调查显示，52.26的用户最关心的是网上交易的安全可靠性，超过60的人由于担心电子商务的安全问题而不愿进行网上购物。电子商务的前提是信息的安全性保障，信息安全主要是保证信息的完整性、可用性、保密险和可靠性。电子商务安全问题受到多方面的影响，不但有技术管理的问题，而且也有网络缺陷的因素,由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁。电子商务活动中有大量的数据需要传输与存储,数据传输依靠互联网技术,而互联网是一个脆弱和不安全的网络，数据容易丢失和被截获。而数据的存储主要依靠数据库技术,数据库也是非法分子常常入侵和破坏的对象。所以网络通信安全与数据库安全,是电子商务长期面临的的主要问题。目前，电子商务主要存在的安全隐患有以下几个方面。3.1网站管理方面 3.1.1服务器的安全问题装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心，所以服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果会非常严重。作为一个成功的网上商城，京东商城也拥有了属于自己的服务器，在网络服务器中，通常都会存有好多并不公开或提供下载的文件或程序，这些资料多数是机密文件，也可能是程序源代码，很多时候黑客都会把网络服务器当作他们的攻击目标，通过进入网络服务器来达到他们的目的。通常有网络扫描、网络嗅探程序、拒绝服务、欺骗用户、特洛伊木马、恶意小程序、竞争拨号程序、缓冲器溢出、口令破译等攻击手段。大多数的黑客入侵后仅仅为了探测内部网上的主机并取得控制权，只有那些“雄心勃勃”的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。 那些希望从关键服务器上下载数据的黑客，常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机，安排好几条备用通道。所以做好必要的措施是解决问题的关键。(SSL)安全套接层协议主要用于提高应用程序之间的数据的安全系数，保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCPIP的客户假务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 SSL安全协议主要提供三方面的服务。是用户和服务器的传递保证，使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别：三是维护数据的完整性。安全套接层协议采用哈希函数和机密共享的办法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。3.1.2计算机系统安全问题计算机系统是进行电子商务的基本设备，如果不注意安全问题，它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏，数据丢失，信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时，计算机系统存在工作人员管理的问题，如果职责不清，权限不明同样会影响计算机系统的安全。通过对京东商城的网站结构分析，发现其存在影响计算机网络安全的主要因素有：第一、信息网络安全技术相比信息网络技术的发展相对滞后如今， 网络技术的快速发展，其产品也快速的融入到我们的生活中，但就这些新一代产品的安全性来讲，还是延续着上一代的安全技术。这就会使得我们在使用这些产品的时，计算机网络就很容易遭受到攻击。第二、计算机操作系统的安全性对于目前的一些操作系统，如UNIX、windows等，均存在着网络安全漏洞，这些漏洞很容易被黑客利用，进而攻击系统。第三、计算机网络实体硬件的安全性计算机实体硬件的问题主要是指在计算机硬件在工作当中，因各种原因而导致的硬盘、光缆、局域网遭受到物理性的损坏，进而造成计算机网络故障。第四、内部网用户的使用安全性结合实际，内部用户带来的安全威胁远远地大于外部网用户，究其主要原因是内部网用户可以无视网络系统的防火墙，一旦操作出现问题，防火墙无能为力， 因而就会带来安全隐患。第五、管理的安全性网络安全是技术与管理的结合，而网络安全是动态的，在这方面主要表现缺少专业的网络管理人员，缺乏全面的完善的管理制度。加强计算机网络安全的对策网络安全与网络系统紧密相关，要解决计算机网络安全问题，就要抓住网络安全的主要方面，以保障其安全:第一、管理安全对策管理问题是计算机最核心的问题。人作为实现网络系统安全的主体，就必须先制定完善的网络管理制度，才能保证网络安全方案才能施行。此外，还需要加强人员的安全知识、意识培训，制定一些关于网络操作和系统维护章程，建立应急措施，同时还要加大自动化管理力度。第二、计算机系统的安全对策系统的漏洞就会给病毒可乘之机， 当今网络的快速发展，病毒的传播途径也多样化，而要保证计算机的安全运行，除了要增强病毒防护意识外，更要切实际的加强防护病毒工作。一般来讲系统预防工作有：用户千万不要随意地相信一些带有欺骗性或诱惑性语言的电子邮件；安装一些容易感染的病毒防杀工具；要及时获得病毒知识，加强对计算机异常情况的观察，以防止病毒传播。对于这种可能造成较大损失的攻击强的病毒，用户最好是对系统进行备份。第三、计算机实体的物理防护对策对计算机网络安全体系而言，计算机的硬件和通信线路等一些实体设备也是主要保护的对象。通常情况下，技术人员可以采用电磁屏蔽技术以防电磁泄漏，再增置避雷设施以防雷电和工业电对网络系统的干扰，还要注意防火、防尘、防震、防静电等措施以保证计算机系统的设备正常工作。第四、网络控制对策网络控制策略是网络安全防范和保护的主要防护手段。对网络设置访问权限。设置网络访问权限主要是针对网络非法操作带来的浅谈计算机知识在统计工作中的普及应用安全威胁。其主要任务是不让网络资源不被非法使用和非法访问。一般做法是加强入网控制，如通过对用户登录时进行用户名识别验证、对其口令进行识别验证以及对账号进行限制检查。此外规定用户和用户组的权限，如规定什么样的权限可以访问哪些资源、目录、文件。第五、加强网络防火墙的控制。防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。代理防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用代理服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。代理防火墙比包过滤器慢, 当网站访问量较大时会影响上网速度;代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了代理和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行代理验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。3.1.3数据库安全企业在电子商务活动中产生的大量数据是他们进行不间断经营的重要支撑,产品数据资料、客户关系管理都涉及到庞大的数据群。采用流行的关系型数据库进行数据存储与管理,是电子商务企业必要的选择。但是网络黑客从未间断过对企业数据库的攻击,一旦他们窃取到企业数据库的访问权、管理权,就可以获得他们想要的数据,甚至篡改或删除这些对企业来说至关重要的数据。数据加密技术是保证电子商务系统安全所采用的最基本的安全措施，它用于满足电子商务对保密性的需求。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。密钥加密技术分为对称密钥加密和非对称密钥加密两类。第一、对称加密。在对称加密方法中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。使用对称加密方法将简化加密的处理，每个贸易方都不必彼此研究和交换专用的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥，贸易双方的任何信息都是通过这把密钥加密后传送给对方的。 第二、非对称加密在非对称加密体系中，密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易甲方生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易乙方使用该密钥对机密信息进行加密后再发送给贸易甲方;贸易甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易甲方只能用其专用密钥解密由其公开密钥加密后的任何信息。3.2交易过程 3.2.1身份冒充问题由于电子商务的实现需要借助于虚拟的网络平台，在这个平台上交易双方是不需要见面的，因此带来了交易双方身份的不确定性。攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户等。攻击者在网络的传输信道上，通过物理或逻辑的手段，进行信息截获、篡改、删除、插入。截获，篡改，即改变信息流的次序，更改信息的内容；删除，即删除某个信息或信息的某些部分；插入，即在信息中插入一些信息，让收方读不懂或接受错误的信息。网络黑客是专门在网络中利用本身掌握的技术非法强行进入他人网站后台的人，这类人具有高超的网络技术，能够不受电子商务网站技术防护的限制。许多“黑客”篡改内容信息、破坏网站；盗取商户或企业的账户资金，极大地影响了电子商务的正常进行。所以首先要保证通信线路的安全可靠性,采用性能稳定的设备和较为强大的软件来保证传输稳定性。其次为了防止黑客攻击,例如木马、病毒等程序,要在传输过程中使用数据加密及数字签名等技术保障数据的安全性。 对于京东商城来说，这个问题也是存在的，当用户信息被盗取之后，恶意黑客会假装是用户，然后在商城恶意消费，下订单。 对于身份冒充问题的解决方案本文认为应该采取虚拟专网技术（VPN）。由于TCP/IP协议的不安全性,对电子商务安全无有效的认证机制,真实性难有保证;缺乏保密机制,网上数据隐私性不能得到保护;不能提供对网上数据流的完整性保护等问题。因此,在电子商务中通常采用VPN技术,通过加密和验证网络流量来保护在公共网络上传输私有信息,而不会被窃取或篡改。对于用户来说,就象使用他们自己的私有网络一样。VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接，并保证数据的安全传输，以此达到在公共的Internet上或企业局域网之间实现完全的电子交易目的。3.2.2交易双方抵赖问题某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。如：发布者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条信息或内容；购买者做了订货单不承认；商家卖出的商品质量差但不承认原有的交易。作为一个商城，难免会碰到各种各样的消费者，以“消费者是上帝”为宗旨的前提下，还必须采取一些必要的措施来保护自己的利益。数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。3.3支付过程3.3.1信用卡支付问题信用卡是人们在商品交易或从事其他经济活动中使用的一种信用支付凭证，即集储蓄、消费信贷和非现金结算功能于一体的电子货币。它的产生和发展顺应了人们的生活方式、消费水平发展的需要，是社会经济发展到一定阶段的产物，是金融业走向现代化、国际化的必然。在美国等发达国家，信用卡支付是他们进行日常消费的一种常用工具，由于其使用简单方便而被全世界广泛接受，占据很大的市场份额。如今在因特网上，信用卡支付同样成为最普遍的方式。由于信用卡本身的特点以及网络的开放性，自然而然的对信用卡进行电子支付的安全产生了冲击。目前，越来越多的消费者喜欢利用信用卡进行消费，在京东商城下订单后，由于网上支付环境的开放以及支付过程无形化，使得信用卡支付存在很大的风险。第一、电子支付制度也和传统的付款方式相同，都会因为被他人冒领、盗领款项而发生损失，例如黑客侵入他人网络系统，盗取其信用卡信息或者伪造他人私钥或信用卡等资料，这些情况都可能会使消费者遭受财务损失；第二、消费者在从事电子支付时极有可能所有的付款资讯未经消费者的同意即被收集或是向第三人披露，甚至被冒用或是为其他不利于消费者利益的目的而使用，侵害消费者的隐私权。针对信用卡支付的不安全性，为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范-（SET）安全电子交易协议。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。 SET安全协议主要对象包括：消费者(包括个人和团体)，按照在线商店的要求填写定货单，用发卡银行的信用卡付款；在线商店，提供商品或服务，具备使用相应电子货币的条件；收单银行，通过支付网关处理消费者与在线商店之间的交易付款；电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付；认证中心，负责确认交易对方的身份和信誉度，以及对消费者的支付手段认证。SET协议规范技术范围包括：加密算法的应用，证书信息与对象格式，购买信息和对象格式，认可信息与对象格式。SET协议要达到五个目标：保证电子商务参与者信息的相应隔离；保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取；解决多方认证问题；保证网上交易的实时性，使所有的支付过程都是在线的；效仿BDZ贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性与交互操作功能，并且可以运行在不同的硬件和操作系统平台上。3.3.2钓鱼网站所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。网络钓鱼其实就是网络上众多诱骗手法之中的一种，由于它的手段基本就是通过网络用一些诱饵（比如假冒的网站）等使用者上当，很像现实生活中的钓鱼过程，所以就被称之为“网络上的钓鱼”。它的最大危害就是会窃取用户银行卡的帐号、密码等重要信息，使用户受到经济上的损失。“钓鱼网站”其实不难判别，一般假网站只有一个页面，没有任何链接。真的网站，首页不仅内容丰富，而且还能提供详细的联系方式。所以在支付时应当仔细看好支付页面，如果觉得可疑的，可通过以下方法进行防范：第一、查验“可信网站”通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已在网站首页安装了第三方网站身份诚信认证“可信网站”，可帮助网民判断网站的真实性。 “可信网站”验证服务，通过对企业域名注册信息、网站信息和企业工商登记信息进行严格交互审核来验证网站真实身份，通过认证后，企业网站就进入中国互联网络信息中心（CNNIC）运行的国家最高目录数据库中的“可信网站”子数据库中，从而全面提升企业网站的诚信级别，网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯，企业也要安装第三方身份诚信标识，加强对消费者的保护。第二、核对网站域名假冒网站一般和真实网站有细微区别，有疑问时要仔细辨别其不同之处，比如在域名方面，假冒网站通常将英文字母I被替换为数字1，CCTV被换成CCYV或者CCTVVIP这样的仿造域名。第三、比较网站内容假冒网站上的字体样式不一致，并且模糊不清。仿冒网站上没有链接，用户可点击栏目或图片中的各个链接看是否能打开。第四、查询网站备案通过ICP备案可以查询网站的基本情况、网站拥有者的情况，对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站。第五、查看安全证书目前大型的电子商务网站都应用了可信证书类产品，这类的网站网址都是“http”打头的，如果发现不是“http”开头，应谨慎对待。 新闻背景：识破假冒钓鱼网站骗局要学会五招http:/news.xinhuanet