EC网络安全S03许佳伊

EC网络支付Security一．网络支付为何发展迅速网上支付用户增长原因：1、总体网民规模增长截至2011年6月底，我国网民总数达到4.85亿，较2010年底提高1.9个百分点。（1）家庭电脑宽带上网网民规模达到3.90亿人，较2010年底增加840万人。（2手机网民达3.18亿，较2010年底增加1495万人。随着手机支付相关标准和政策的明朗化，运营商、银行等各方机构正积极布局手机支付，手机支付在未来取得较大的发展。2、商务交易用户规模增长（1）网络购物网络购物用户规模达到1.73亿，较2010年底增长了1215万（2）团购中国团购用户数从2010年底的1875万增长至2011年中的4220万，半年增长率达到125.0%。（3）旅行预订我国旅行预订用户规模为3686万人，较2010年底增长73万总结：由于总体网民规模的增长，进行网上商务交易的用户也逐渐增长，各金融机构的积极参与、网上支付相关监管体系的完善，运用手机进行支付的用户也逐渐增长，用户商务交易更加便捷，所以电子商务重要支撑的网上支付服务不断增长。二．网络支付的risk电子商务存在的安全威胁目前，电子商务发展面临的主要问题之一是如何保障电子交易过程中的安全性。交易的安全是网上贸易的基础和保障，也是电子商务技术的难点，围绕电子商务安全的防护技术已经成为了目前电子商务研究的重点之一。在电子交易过程中，消费者和商家面临的安全威胁通常有以下几个方面：1信息的截获在电子商务中，信息流和资金流以数据的形式在internet网络中传输。在传输过程中，如果没有采取加密措施或加密强度不够，攻击者可能通过Internet网络在电磁波范围内安全截获装置或在数据报道通过的网关和路由器上截获数据，获取传输的机密信息，或通过对信息流量、通信频度和长度等参数的分析，推测出有用的信息，如消费者的银行帐号、密码以及企业商业机密等。2信息中断这是针对可用信息进行的攻击。在中断过程中，信息资源变得易损失或不可用。网络故障、操作错误、应用程序错误以及计算机病毒等恶意攻击都能导致电子交易不能正常进行。因此，要对此产生的潜在威胁加以预防和控制，以保证交易数据在确定的时刻、确定的地点是有效的。3信息篡改。当攻击者熟悉了网络信息格式化后，通过各种技术和手段对网络传输的信息进行中途修改并发往目的地，从而破坏信息完整性。例如，改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除某个消息或是消息的某些部分；在消息中插入一些让接收方不懂或接收错误的信息等。4信息的伪造当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以伪装成合法用户或发送伪造的信息来欺骗其他用户，主要有以下两种方式：一种是伪造电子邮件。例如，虚开网站和电子商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家服务器的资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应等。另一种是假冒他人身份。例如，伪装成他人身份，进行非授权信息资源的访问或者骗取对方的信任：冒充网络控制程序，套取和修改使用权限、保密字、密钥等信息；接管合法用户，欺骗系统，占用合法用户资源。5交易抵赖交易抵赖包括多方面，如发送方事后否认曾经发送过某条消息内容；接收方事后否认曾经收到过某条消息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。由于电子交易是基于internet基础上的，因此，除了在交易过程中会面临上述安全威胁外，还会涉及一般计算机网络系统普遍面临的一些安全问题。从网络安全角度考察，网络系统面临的主要安全威胁有以下几种：1物理实体的安全问题。包括设备的功能失常、电源故障、由于电磁泄漏引起的信息失密和搭线窃听则是认为的，是非法者常用的一种手段，将导线搭到无人值守的网络传输线路上进行监听，通过解调和正确的协议分析就可以完全掌握通信的全部内容。2自然灾害的威胁计算机网络设备大多是一些易碎品，不能受重压或强烈的震动，更不能受强力冲击。所以，各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成了强大的威胁。3黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。4软件的漏洞和“后门”。在计算机网络安全领域，软件的漏洞是指软件系统上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。随着计算机系统的复杂程度日益增高，开发一个大型的电子商务应用软件，要想进行全面彻底的测试已经变得越来越不可能了。一个实际的电子商务系统，总会多多少少留下某些缺陷和漏洞。而“后门”是软件设计者为了进行非法授权访问而在程序中故意设置的万能访问口令，这些口令无论是被攻破，还是只掌握在设计者手中，都对使用者的系统安全构成严重的威胁。综上所述，软件的漏洞和“后门”则是完全可以避免的；漏洞是难以预知的，而“后门”则是人为故意设置的。5网络协议的安全漏洞。众所周知，电子商务系统是基于internet网络平台上的信息系统，通过internet基础设施向电子商务应用提供各种网络服务。而网络服务则又是通过各种协议来实现的。目前，internet采用的TCP/IP协议簇，如TCP/FTP和HTTP协议等，在安全方面都存在着一定的缺陷。当今许多黑客攻击就是利用了这些协议的安全漏洞才得逞的。事实上，网络协议的安全漏洞是当前internet面临的一个重要安全问题。6.计算机病毒攻击由于internet的开发性，计算机病毒在网络上的传播比以前快了许多，而且internet的发展和普及又促进了病毒制造者之间的交流，使新病毒及其变种层出不穷，杀伤力也大为提高，这些都给个人和企业都带来了许多不便和经济损失。据《2007年上半年中国电脑病毒疫情及互联网安全报道》统计，2007年上半年，全国感染病毒的计算机超过759万台，与2006年同期相比增长了12.2%。三．EC支付安全性电子交易是针对传统商务在internet上运行时产生的各种安全问题而设计的一套安全技术，目的是在计算机网络系统安全的基础上确保电子交易过程的顺利进行，即实现电子交易的保密性、完整性、有效性、认证性、不可抵赖性和访问控制性这六种类型的安全要素。1保密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或者国家的商业机密。与传统的纸张贸易不同，电子商务是建立在较为开放的internet网络环境上的，维护商业机密是电子商务得以全面推广应用的重要条件。因此，要对敏感重要的商业信息进行加密，即使别人截获窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以泄露。2完整性商务数据的完整性是指保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被篡改。在存储时，要防止非法者对数据进行篡改及破坏。在传输过程中，接收对方应通过某种安全鉴别机制验证所收到的信息是否被篡改。通过验证，如果收到的信息与发送的信息完全一致，则说明在传输过程中信息没有遭到破坏，即信息具有完整性。加密的信息在传输过程中，虽能保证其保密性，但并不能保证不被修改。3有效性。电子商务以电子形式取代了纸张，保证这种无纸贸易的有效性，是开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误、系统软件错误以及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。4．认证性是指在网络两端的使用者在沟通之前互相确认对方的身份。在传统的交易中，交易双方往往是面对面进行活动的，这样很容易确认彼此的身份。而在网上交易时，情况就不大一样了，因为网上交易的双方可能素昧平生，相隔千里，并且在整个交易过程中都可能不见一面。因此，电子商务活动要在虚拟的网络环境中开展，必须有相关的认证机制来约束网上交易各方的行动，使网上交易不因为环境的虚拟而变得不可捉摸。通过对身份的认证，使得参与网上交易的各方都有真实的身份，从而使得网上的一切交易变得有凭有据，虚拟的网络活动也变得实在起来，成为现实生活的延伸。5不可抵赖性电子交易的不可抵赖性是指信息的发送方不能否认已发送出的信息，接收方也不能否认已收到的信息，这是一种法律有效性要求。不可抵赖性主要用于保护交易过程中某方用户对付来自其他合法用户的威胁，如发送方对他所发送信息的否认，接收用户对他已收信息的否认等，而不是对付来自未知的攻击者。在传统的商务贸易中，贸易双方通过交易合同、契约、单据的可靠性并预防抵赖行为的发生，即“白纸黑字”。在无纸的电子商务方式下，当然也需要实现交易的不可抵赖性，但解决起来比传统商务更困难，需要采用新的技术，如数字签名等。6访问控制性访问控制性是指在交易过程中限制的控制通信链路对商务信息资源的访问，用于保护电子商务系统中的信息资源不被未经授权人或以未授权方式接入、使用、修改、破坏或植入非法程序等。四．2014年第三方互联网支付交易规模(中国电子商务研究中心讯)据中国电子商务研究中心(100EC.CN)监测数据显示，2014年，全国共发生电子支付业务333.33亿笔，金额1404.65万亿元，同比分别增长29.28%和30.65%。22014年第三方互联网支付交易规模超8万亿，同比增长50.3%2014年中国第三方互联网支付交易规模达到80767亿元，同比增长50.3%。随着我国电子商务环境的丌断优越，支付场景的丌断丰富，以及金融创新的活跃，使网上支付业务叏得快速增长，而第三方支付机构収生的互联网支付业务也叏得了较快增长。2014年第三方互联网支付交易规模结构网购增速较快，基金申购逐渐回暖2014Q4中国第三方互联网支付交易规模结构中，网络购物占比31.5%，基金占比14.7%，航空旅行占比10.4%，电商B2B占比7.4%，电信缴费占比4.3%，网络游戏占比2.4%。艾瑞分析认为，从交易规模上看，每个行业都有所上升，只是增速丌同造成了市场份额的微幅调整。叐到“双十一”促销的影响，第四季度网购增速较快，因此占比有明显提高；网游增速基本维持行业平均水平，因此发动幅度较小。相对于第三季度而言，第四季度航空旅行增速回落，因此占比出现了小幅下降。叐到股市利好及央行降息的影响，相较于第三季度，天弘增利宝申购规模有了较大幅度提高，基金申购逐渐回暖。第三方移动支付交易规模近6亿，增长率391.3%2014年，第三方移动支付市场交易规模达到59924.7亿元，较2013年增长391.3%。而2013年，第三方移动支付的增长率达到了707.0%。移动支付已绊连续两年保持超高增长。预计2015年开始，移动支付的增速将放缓，2018年移动支付的交易规模有望达到18万亿。艾瑞分析认为，2014年移动支付市场的快速增长原因：第一，移动互联网时代用户上网习惯的迁徙，移动互联网的普及使得用户从年龄、学历等各维度都呈现长尾化趋势；第二，支付场景的拓展使得移动支付成为网民继银行卡、现金外惯常使用的支付工具；第三，宝宝类货币基金的规模化和现金管理工具化带动了用户移动支付用户黏性的增长。移动支付渐成网民惯常的生活支付工具2013年Q1到2014年Q4，中国第三方移动支付交易规模结构呈现较大的发化。由宝宝类货币基金等一系列互联网金融产品交易带动，2014年各季度移动金融交易规模占比飞速提升，2014Q1占比接近50%，其余均在35%-40%之间。不此同时，移动消费所占比重日益增加，到2014Q4已绊占比近23.4%。随着移动互联时代的到来，为移动支付创造了新的使用场景，也使用户对移动支付和多种支付场景产生了理念化的新关联。比如：2014H2，网民对于余额宝等货基的观念已绊从生息逐渐转化方便支付行为的现金管理工具；同时，移动支付也不社交、搜索等行为紧密结合，更多呈现出小额高频的支付特点。移动支付越来越成为继现金、银行卡外重要的支付组成部分。五．网民对安全支付的认知程度10月22日消息，网日前从第三方数