122网上交易安全问题探讨

1网上交易安全问题探讨[摘要]近年来，电子商务迅速发展，网上交易也成为电商与网购者主要交易方式，原因在于电子商务与网上交易方便快捷并且物美价廉。但自从网上购物的开始，关系到在线商务网上交易的问题已经成为一个重要的发展问题。今年不断涌现的网上交易安全问题的案例证明，网上交易虽可实现3A（任何时间、任何地点、任何方式）模式，但其风险也是不可控的。网络销售可能遇到网络钓鱼、黑客攻击、买家信誉以及数字证书等几个方面的问题，网上购物则容易遇到聊天工具、支付工具、购买原则和行为方面的问题。本文就将通过研究，总结网上交易安全存在的问题，从而针对问题提出解决方案和改进意见。通过文献分析法、案例分析法（支付宝案例）等形式，对网上交易安全问题进行深入探讨，从而使消费者和商家认知基础的安全措施和技能,为广大网上购物的客户提供良好服务的同时，不仅能让网上交易的客户感觉到良好服务的同时，也能防止自己被骗，发生资金上不必要的损失。第1章绪论1.1研究背景近年来，电子商务迅速发展，网上交易也成为电商与网购者主要交易方式，原因在于电子商务与网上交易方便快捷并且物美价廉。但自从网上购物的开始，关系到在线商务网上交易的问题已经成为一个重要的发展问题。今年不断涌现的网上交易安全问题的案例证明，网上购物虽可实现3A（任何时间、任何地点、任何方式）模式，但其风险也是不可控的。其风险主要体现在服务器端与客户端，其中要数客户端安全问题之大。另一方面，可以从网络销售与网上购物二者的角度看，网络销售可能遇到网络钓鱼、黑客攻击、买家信誉以及数字证书等几个方面的问题，网上购物则容易遇到聊天工具、支付工具、购买原则和行为方面的问题。21.2研究目的和意义社会科技的进步，人们的生活水平提高，相对的服务项目也随之发展并兴起，电子商务以新颖的方式及便捷的通道为人们的生活购物提供了便利，潜移默化的影响着人们的生活方式。当然，在这同时，也让一大批的优秀的电子商务公司及个体户发展起来。在享受电子商务带来便利的同时，不断总结在交易过程中出现的问题，可以为推动电子商务往良好的快速安全的方向发展1.3研究方法与思路1.3.1研究方法本文将通过文献分析法、案例分析法等形式，对网上交易安全问题进行深入探讨，从而使消费者和商家学习必要的安全措施和技能，为广大网上购物的客户提供良好服务的同时，防止自己被骗，发生资金上不必要的损失。1.3.2研究思路本文将从服务器与客户端、网络销售与网上购物这四个维度进行分析，对比其中可能存在的问题，挖掘潜在的风险，并提出简易的网上交易安全保护措施，为消费者提供良好的保障。不仅如此，本文还将对现有的网络交易的安全模式进行分析，提出新型安全模式，为网络安全保驾护航。第2章对网上交易安全的认识2.1网上交易网上交易主要是指在网络的虚拟环境中进行的交易。交易方式与在现实实体商店中交易类似，差别在于网上交易利用了电子商务的各种手段，将买和卖的交易过程进行虚拟化。32.2网上交易的特点2.2.1现代信息技术是实现网上交易的前提现代社会对科学技术的依赖性大大提高，而网购的依赖性已经成为信息技术和实现支持的技术之一。要实现网上交易或电子商务，都必须一信息技术的服务为前提，同时，网上交易（或电子商务）的完善，离不开信息技术提供相应服务来支持。2.2.2在虚拟的市场运作电子虚拟市场（ElectronicMarketplace）是指参与商务活动的生产者、中间商和消费者的业务活动，以便向市场推出了数字互动交易。网上交易便是在这样的一个互动环境中活动完成的。2.2.3市场范围广网上交易（电子商务）的市场环境范围不仅包括互联网，还有电子社区、国际贸易等，已经打破了传统意义上的市场局限，不再有国内和国际的界限。2.2.4交易迅速、信息传递高效通过e-mail、FTP、网站等媒介，网上交易（电子商务）中的信息传递告别在过去的信息传输，速度慢，功能单向，引领迈向了信息时代、网络时代的一个重要的步骤。并且随时随地就可以进行交易和信息反馈与沟通。2.2.5服务范围广网上交易（电子商务）的范围渗透广，其中包括全社会的参与，其参与者已不仅仅限于提供高科技产品的公司，如软件公司、娱乐和信息服务行业及其他业务。在信息时代下，电子商务数字化的革命将影响到我们每一个人，改变这消费习惯和人们以往传统的工作方式。42.3网上交易的利弊网上交易的优越性网上交易可以方便自己，开通银行的网上支付，直接一个电话或在电脑上点一下就行。省去到超市或到市场花钱购买的时间。实现购物到配送一体化。至于中间的环节就由物流公司来在做。网上交易的弊端网上交易要的是彼此之间的信任才行的，有的是钱到了货没到。有的是货到了才付钱的。因为网上交易缺乏信任程度。黑客问题、网络钓鱼问题也时常困扰着交易者。第3章网上交易潜在风险分析3.1分析维度定义网上交易风险比起现实交易大，原因在于它是虚拟的，无法用肉眼看得见手指摸得着的钱币来衡量。网上交易的风险诸多，不同的风险又有不同的问题存在，有些问题甚至无可避免。因此，在此我们将风险划分为服务器与客户端安全问题、网上销售与网上购物两个维度进行分析。3.2服务器与客户端问题服务器安全问题服务器端的安全问题主要包括：一是硬件存在的安全问题，即硬件本身的质量问题、不正确的使用方法、对硬件管理的忽略、运行环境安全要求没有达到等；二是软件存在的安全问题，即操作系统本身的安全、应用软件存在的安全问题、计算机病毒、后门等；三是网络安全存在的问题，即黑客攻击、加密疏漏、授权不当等；四是数据资料安全问题，即误操作、恶意操作、泄密等。5客户端安全问题很多用户缺乏必需的网上银行的安全意识和措施的认识，所以，攻击者往往通过种植木马病毒等方式来窃取客户的用户名、口令、账号及数字证书，从何假冒客户的身份进行电子商务交易，以此来盗取客户的资金为自己所用。假冒客户进行电子交易是基于通过电子交易系统身份认证为前提，所以，要杜绝这个隐患，必需从客户身份认证这个环节入手。最近这几年发生的网上银行资金被盗窃的案件表明，盗窃分子都是通过非法途径获得客户的用户名，口令和数字证书等信息来作案的。3.3网络销售与网上购物问题3.3.1网络销售问题网络钓鱼问题：网络钓鱼是指不法分子通过发送欺诈性的邮件和伪造的web站点来获取用户的账号信息，如淘宝的会员账号和登录密码，支付宝账户和支付的密码等。如果在交易过程中，买卖双方在沟通时，买家在通过聊天工具向卖家发送淘宝之外的网站链接，就有可能是在发布钓鱼链接，没有防患意识的买家很有可能点击这个链接，在不知不觉中泄露自己的账号和密码，以此来破坏卖家的店铺，盗取卖家的店铺资金等，给卖家造成严重损失。黑客问题：黑客攻击是指未授权的人利用操作系统和网络或者安全管理的漏洞，通过一定的手段从网络的外部非法侵入系统内部，以此获得普通访客没有的权利，从而达到篡改，窃取，非法使用用户的信息。黑客问题的存在，是正常开展电子商务的一种阻碍，甚至威胁到网络市场秩序的建设和国家信息安全等。买家信誉问题：当网店中有客户来购买时，先考察一下买家的信誉情况。比如何时注册的账号，买家好评率，给别人的评价情况，支付宝退款情况以及买家的聊天信息，这些数据一般就可以判断出买家是否是善意的买家。如果遇到职业差评师，那么他们的目的就是利用信誉评价机制威胁诈骗钱财，和这样的买家交易不仅不会盈利还会遭受资金和信誉上的损失，即使挽回损失，也耗费了不少的时间和精力，因此要避开这类的购物人群。63.3.2网上购物安全问题网络钓鱼问题：网上交易中的买方也必需具备相应的网络钓鱼意识，不乱点开购物网站以外，任何人发送的网络链接，一定要从购物网站的主页去搜索自己所需要的东西，以免自己的账号和密码外泄，从而使自己蒙受损失。聊天工具问题：应避免使用网站认可外的聊天软件，例如利用淘宝进行购物，应该使用淘宝认证的唯一聊天工具阿里旺旺，避免被不法卖家诱导到使用QQ，人人等聊天工具，因为淘宝只认准通过阿里旺旺的聊天工具的聊天内容，此可以作为你以后维护自己权利的证据，如果使用其他聊天工具，那你就会使自己的权利丧失。从而使网上交易存在不必要的风险。第4章网络安全办法与改造规划4.1网上交易安全办法迄今为止，黑客能够攻击网银应用系统主要是因为软件供应商提供的系统产品自身就存在了缺陷和漏洞和网络通信的TCP/IP协议，由于在软件研发阶段无法充分预见到生产环境下的广泛用途，造成了安全认证机制的漏洞。不过由于最近几年，许多银行的网上银行屡屡被攻击，各银行对网上银行安全的重视大大提高，加强了安全方面的建设，所以，最近几年，黑客直接攻击服务器的现象还是比较少的，甚至没有。客户身份认证方式主要有四种：动态口令、静态口令、生物认证和数据证书。动态口令是根据某种加密算法，所产生的随某一个不断变化、没有重复的一种口令。用户使用动态口令卡或特定动态口令生成器，每次登录网银时变换一次口令，攻击者无法推测出用户的下一次登录口令。静态口令是由用户自行设定的口令。生物认证是通过人体的生物学特征进行个人身份认证的方式，如面容认证、指纹认证、声音认证、掌纹认证、视网膜认证等。数字证书是基于国际PKI标准的网上身份认证系统。客户必须保护好相应的认证信息，安全使用网上交易系统，以免发生被黑客冒充，而导致丢失资金的情况。选择拥有高安全性的网上交易系统。窃取人体指纹要比静态口令增加一定的难度，提供了有双重身份认证网上银行如数字证书加7一次性手机短信密码比采用单一认证方式的网上银行系统要安全许多，所以选择一家拥有高安全性的网上交易系统的银行非常重要。不要访问不良信息的网站，这样的网站常常包含木马病毒。收到来历不明的邮件或是链接时，不要轻易相信打开，不要在公共的场合公用的电脑保存留下自己的个人资料，以及账户信息和账户密码，离开时要随手注销清除已经登陆并且浏览过的网页，同时使用电脑中的杀毒等相关软件，为网购做好保障。在使用网上交易活动时，不要轻易相信网络中的中奖信息，不要贪图小便宜，给对方汇款，在登录网上银行也要格外小心，不要向网络上任何人透露自己的银行帐号及密码之类的敏感资料，不要随意提供个人资料注册会员，时刻提高警惕，为网上商务交易保驾护航。网上还有这样一类人：职业差评师。他们利用那些刚刚起步，交纳了保证金芗诚心诚意吧网店做好，又常常害怕失去信誉，怕自己的生计毁于一旦的心理诈骗钱财，职业差评师挑选的对象往往不会离自己的地址太近，因为害怕卖家找上门，制造麻烦。再一个，收到货后一直说不好，又不要拍照片证明，各种挑毛病，打电话向卖家要钱，这样完全找不到他们讹钱的证据，构不成犯罪。当此类事件发生的时候，作为卖家赢保持冷静，提高警惕以及维护自权利的意识。仔细分析买家过往交易，做好电话录音，以便留下证据，在一个可以相关机构投诉。不随意下载网上可执行程序和图片。原则上只下载和使用经过代码签名的可执行程序，以免感染木马病毒。充分利用银行提供的增值服务。现在大多数银行都提供了交易的短信、邮件提醒，可以充分利用银行的贴心服务，及时掌握自己的账户变动情况。4.2网上交易安全改造目标对网上交易的安全认证中心进行重新构建，构建信的安全认证数据库，用新型认证方式代替以往的需要用户账号和密码进行认证的方式。提供更高安全的登录认证方式。构建与网上银行的个人证书认证系统相似的认证系统，对一些高级客户建立特定的硬件证书以此来保证他们网上商务活动的安全性，并可以为他们提供一些更为高端的网上交易安全服务。8对于一般的客户，可采用计算机绑定客户的认证方式以此来减少成本，提供成本低但是安全系数又高的解决办法。经常对客户端的交易软件进行升级服务，对软件的一些漏洞和缺陷进行补丁，增加反调试和抗反向编译的能力，防修改能力，增加定时主动中断和主动锁定功能。在安全检查认证的基础上，增加向客户提示最后一次登录登录信息的提示。提供客户预留信息和登录的回执功能并显示，向客户证实登录的是公司的交易站点。构建网上交易的集中管理和监控系统，日志集中管理和分析系统，并通过这些系统实时记录客户的登录特点信息，例如（IP地址、网卡地址、终端信息、手机号等），增加客户交易信息的可查询性，可分析性。4.3