电子商务安全与支付

1、电子商务存在的安全威胁目前，电子商务发展面临的主要问题之一是如何保障电子交易过程中的安全性。交易的安全 是网上贸易的基础和保障，也是电子商务技术的难点，围绕电子商务安全的防护技术已经成 为了目前电子商务研究的重点之一。在电子交易过程中，消费者和商家面临的安全威胁通常 有以下几个方面：1 信息的截获在电子商务中，信息流和资金流以数据的形式在 internet 网络中传输。在传输过程中，如果 没有采取加密措施或加密强度不够，攻击者可能通过 internet 网络在电磁波范围内安全截获 装置或在数据报道通过的网关和路由器上截获数据，获取传输的机密信息，或通过对信息流 量、通信频度和长度等参数的分析，

2、推测出有用的信息，如消费者的银行帐号、密码以及企 业商业机密等。2 信息中断这是针对可用信息进行的攻击。在中断过程中，信息资源变得易损失或不可用。网络故障、 操作错误、应用程序错误以及计算机病毒等恶意攻击都能导致电子交易不能正常进行。因此， 要对此产生的潜在威胁加以预防和控制，以保证交易数据在确定的时刻、确定的地点是有效 的。3 信息篡改。当攻击者熟悉了网络信息格式化后，通过各种技术和手段对网络传输的信息进 行中途修改并发往目的地，从而破坏信息完整性。例如，改变信息流的次序，更改信息的内 容，如购买商品的出货地址；删除某个消息或是消息的某些部分；在消息中插入一些让接收 方不懂或接收错误的信息等

3、。4 信息的伪造当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以伪装成合法用户或发送伪造 的信息来欺骗其他用户，主要有以下两种方式：一种是伪造电子邮件。例如，虚开网站和电子商店，给用户发电子邮件，收订货单；伪造大 量用户，发电子邮件，穷尽商家服务器的资源，使合法用户不能正常访问网络资源，使有严 格时间要求的服务不能及时得到响应等。另一种是假冒他人身份。例如，伪装成他人身份，进行非授权信息资源的访问或者骗取对方 的信任：冒充网络控制程序，套取和修改使用权限、保密字、密钥等信息；接管合法用户， 欺骗系统，占用合法用户资源。5 交易抵赖交易抵赖包括多方面，如发送方事后否认曾经发送过某条消息内

4、容；接收方事后否认曾经收 到过某条消息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的 交易。由于电子交易是基于 internet 基础上的，因此，除了在交易过程中会面临上述安全威胁外， 还会涉及一般计算机网络系统普遍面临的一些安全问题。从网络安全角度考察，网络系统面 临的主要安全威胁有以下几种：1 物理实体的安全问题。包括设备的功能失常、电源故障、由于电磁泄漏引起的信息失密和搭线窃听则是认为的，是 非法者常用的一种手段，将导线搭到无人值守的网络传输线路上进行监听，通过解调和正确 的协议分析就可以完全掌握通信的全部内容。2 自然灾害的威胁计算机网络设备大多是一些易碎品，不能

5、受重压或强烈的震动，更不能受强力冲击。所以， 各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成了强大的威胁。3 黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的攻击手段和方法多种多样， 一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性 和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破 译以获得重要机密信息。4 软件的漏洞和“后门”。在计算机网络安全领域，软件的漏洞是指软件系统上的缺陷，这 种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。随着计算机系统的 复杂

6、程度日益增高，开发一个大型的电子商务应用软件，要想进行全面彻底的测试已经变得 越来越不可能了。一个实际的电子商务系统，总会多多少少留下某些缺陷和漏洞。而“后门” 是软件设计者为了进行非法授权访问而在程序中故意设置的万能访问口令，这些口令无论是 被攻破，还是只掌握在设计者手中，都对使用者的系统安全构成严重的威胁。综上所述，软件的漏洞和“后门”则是完全可以避免的；漏洞是难以预知的，而“后门”则 是人为故意设置的。5 网络协议的安全漏洞。众所周知，电子商务系统是基于 internet 网络平台上的信息系统， 通过 internet 基础设施向电子商务应用提供各种网络服务。而网络服务则又是通过各种协议

7、 来实现的。目前，internet 采用的 tcp/ip 协议簇，如 tcp/ftp 和 http 协议等，在安全方 面都存在着一定的缺陷。当今许多黑客攻击就是利用了这些协议的安全漏洞才得逞的。事实 上，网络协议的安全漏洞是当前 internet 面临的一个重要安全问题。5 计算机病毒攻击由于 internet 的开发性，计算机病毒在网络上的传播比以前快了许多，而且 internet 的发展 和普及又促进了病毒制造者之间的交流，使新病毒及其变种层出不穷，杀伤力也大为提高， 这些都给个人和企业都带来了许多不便和经济损失。据2007 年上半年中国电脑病毒疫情 及互联网安全报道统计，2007 年上半

8、年，全国感染病毒的计算机超过 759 万台，与 2006 年同期相比增长了 12.2%。二电子商务系统的安全体系结构电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时也为交易 过程的安全提供了基本保障。电子商务安全系统结构由网络服务层、加密技术层、安全认证层、安全协议层和商务应用系 统层五个层次组成。既然电子商务系统是建立在计算机系统之上的商务系统，从逻辑上可以将整个体系结构分为 底层的计算机网络安全和上层的电子交易安全两个方面。网络服务提供计算机网络安全；而 加密技术层、安全认证层、安全协议层和商务系统层提供电子交易安全。因此，计算机网络安全和电子交易安全是密不可分的。

9、一个是保障底层的物理系统，它是电 子交易安全的基础，为人们进行网上商务活动提供了虚拟场所的安全；另一个是保障上层业 务逻辑的安全，即保证网上交易活动的顺利进行。这两方面的安全措施相辅相成，缺一不可， 共同为安全戴南镇商务活动开展保驾护航。三 计算机网络系统的安全性电子商务系统是通过网络实现的，需要利用 internet 的基础设施和标准，因此构成电子商 务安全系统结构的底层是网络服务层。网络服务层是各种电子商务应用系统的基础，它提供 信息传输功能、用户接入方式和安全通信服务，并保证网络运行安全。网络服务层是电子商务应用系统的网络服务平台。另外，网络服务层也提供计算机网络系统的安全。首先，它保障

10、了计算机完了中的物理实体 的安全。那么，计算机网络系统中究竟有那些实体呢？简单地说，采用某种方式把若干平台 计算机连接起来就形成了计算机网络。internet 就是连接全球计算机的一个巨大的网络。因 此计算机网络系统中的实体也就是各种各样的计算机和连接它们的通信设备。网络中的计算 机有些是提供 internet 应用服务的，称之为服务器，例如 web 服务器、ftp 服务器和邮件服 务器等，还有一些计算机是通过某些软件，例如浏览器，来访问这些服务的。统称为客户机 通信连接设备主要有路由器、交换机和集线器等。要保障计算机网络系统中实体的安全，时 间上就是要保障这些计算机和它们之间的通信连接设备的

11、安全。除了实体安全之外，数据安全也非常重要。我们知道，电子交易同传统的商务交易不同，在 电子交易过程中物流与信息流和资金流发生了分离。这样，安全的电子商务交易系统必须要 保障分离出来的信息流和资金流的安全。计算机网络设备是电子商务活动中信息流和资金流 存储和移动的载体，各种信息流和资金流在计算机网络环境中的具体表现就是数据。因此， 实现了网络系统中的数据安全，信息流和资金流也就有了安全保障。在计算机网络系统中， 数据的安全一方面是存储安全，另一方面也包括数据在网络传输过程中的安全，即通信安全。其次，要实现网络系统层次的安全，需要针对计算机网络本身可能存在的安全问题，实施相 应的网络安全技术。计

12、算机网络安全采用的主要安全技术有防火墙技术、加密技术、漏洞扫 描技术、虚拟专用网技术、入侵检测技术、反病毒技术和安全审计技术等，用以保证网络安 全。四、电子交易的安全性电子交易是针对传统商务在 internet 上运行时产生的各种安全问题而设计的一套安全技术， 目的是在计算机网络系统安全的基础上确保电子交易过程的顺利进行，即实现电子交易的保 密性、完整性、有效性、认证性、不可抵赖性和访问控制性这六种类型的安全要素。1 保密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或者国家的商业机密。与传统 的纸张贸易不同，电子商务是建立在较为开放的 internet 网络环境上的，维护商业机密

13、是电 子商务得以全面推广应用的重要条件。因此，要对敏感重要的商业信息进行加密，即使别人 截获窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以泄露。2 完整性商务数据的完整性是指保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其 他原因使原始数据被篡改。在存储时，要防止非法者对数据进行篡改及破坏。在传输过程中， 接收对方应通过某种安全鉴别机制验证所收到的信息是否被篡改。通过验证，如果收到的信 息与发送的信息完全一致，则说明在传输过程中信息没有遭到破坏，即信息具有完整性。加 密的信息在传输过程中，虽能保证其保密性，但并不能保证不被修改。3 有效性。电子商务以电子形式取代

14、了纸张，保证这种无纸贸易的有效性，是开展电子商务的前提。因 此，要对网络故障、操作错误、应用程序错误、系统软件错误以及计算机病毒所产生的潜在 威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。4 认证性。认证性是指在网络两端的使用者在沟通之前互相确认对方的身份。在传统的交易中，交易双 方往往是面对面进行活动的，这样很容易确认彼此的身份。而在网上交易时，情况就不大一 样了，因为网上交易的双方可能素昧平生，相隔千里，并且在整个交易过程中都可能不见一 面。因此，电子商务活动要在虚拟的网络环境中开展，必须有相关的认证机制来约束网上交 易各方的行动，使网上交易不因为环境的虚拟而变得不可捉摸。通过对身份的认证，使得参 与网上交易的各方都有真实的身份，从而使得网上的一切交易变得有凭有据，虚拟的网络活 动也变得实在起来，成为现实生活的延伸。5 不可抵赖性电子交易的不可抵赖性是指信息的发送方不能否认已发送出的信息，接收方也不能否认已收 到的信息，这是一种法律有效性要求。不可抵赖性主要用于保护交易过程中某方用户对付来 自其他合法用户的威胁，如发送方对他所发送信息的否认，接收用户对他已收信息的否认等， 而不是对付来自未知的攻击者。在传统的商务贸易中，贸易双方通过交易合同、契约、单据 的可靠性并预防抵赖行为的发生，即“白纸黑字”。在无纸的电子商务方式下，当然