赵永玉　辽宁省沈阳市外事服务学校　110003
&&&&&&& 摘　要：随着互联网不断发展，基于网络资源的电子商务交易渐渐火了,网上购物在给人们带来众多实惠的同时，也存在诸多安全问题，电子商务交易双方都面临安全威胁。如果这个核心问题得不到很好解决，将严重影响电子商务的发展。
&&&&&&& 关键词：电子商务　网上交易　安全问题　安全技术　对策
&&&&&&& 随着电子商务的高速发展，网上犯罪屡屡发生，网购骗局层出不穷。比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪行为时有发生，人们对电子商务的安全提高了警惕，安全问题已经成为电子商务发展的关键问题。
&&&&&&& 一、电子商务交易中存在的安全问题
&&&&&&& 1.网络系统存在的安全隐患。网络系统和应用软件中通常都会存在一些BUG，别有用心的人利用这些漏洞向***双方的电脑发起进攻，导致某个程序或网络丧失功能。如：计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。
&&&&&&& 2.交易信息存在的安全隐患。(1)是网络交易中用明文传输的数据被非法入侵者截获并破译之后，进行非法篡改、删除或插入，使信息的完整性遭受破坏；(2)是网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为；(3)是交易抵赖，包括多个方面，如：购买者下了订单不承认，商家卖出的商品因价格差异而不承认原有的交易等。
&&&&&&& 3.信用方面存在的危机。在电子商务交易中存在的信用问题主要表现在以下几个方面: (1)是来自买方的信用问题，对于消费者来说，可能在网络上利用信用卡进行恶意透支，或者使用伪造的信用卡来骗取卖方的货物；(2)是来自卖方的信用问题，卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全根据合同来履行合同内容，造成买方权益的损害。
&&&&&&& 4.支付结算方面存在的安全隐患。电子商务交易的核心内容是信息沟通和交流，交易双方通过Internet进行洽谈、支付结算。从交易的结算方式看，已经可以通过支付宝、网上银行、QQ钱包和微信钱包等多种方式来完成结算。但存在大量的虚假网站，骗取钱财。
5.物流配送服务方面存在的安全隐患。
主要表现为: (1)是当消费者在网上购买的商品在运输过程中出现损毁时，网站、产品供应商、快递公司之间互相推诿，推卸责任，导致消费者无法获得赔偿; (2)是快递公司规定不按商品的价值，只按运输费用的几倍赔偿; (3)是快递公司自行规定消费者签字后再验货，验货发现商品缺失或损坏，又以其已签字为由拒不承担赔偿责任。
&&&&&&& 二、解决电子商务交易安全问题的对策
&&&&&&& 1.加强计算机网络安全应采取的措施
&&&&&&& （1）使用防火墙技术：防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。因此，***双方都应很好地使用这一技术，保障网络的安全运行。
&&&&&&& （2）使用反病毒技术：计算机病毒的防范是网络安全性建设中重要的一环，在网络环境下，病毒传播扩散加快，仅用单机版杀毒软件已经很难彻底清除网络病毒，必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，并且定期或不定期更新病毒库，使网络免受病毒侵袭。
&&&&&&& 2.加强网上交易活动顺利完成应采取的措施
&&&&&&& （1）&看好自己的钱包&：涉及网络支付结算的系统安全包含下述一些措施：一是对要***的软件，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞；二是上网购物时尽量选择大型、知名度比较高的网站，如天猫、京东等，不上一些小型网站，尤其是虚假网站，避免网站挂有病毒、木马等造成中毒；三是尽量不要在公共电脑上使用自己的有关资金的账户和密码。
&&&&&&& （2）网上购物时也得&纵横驰骋&：选好信誉度高的商家和质量好的货，是保证买方心满意足的前提。一是尽量与现实世界中信誉良好的公司所设电子商店，或与网络世界中商誉良好的电子商店进行交易；二是避免与未提供足以辨识和确认身份资料的电子商店进行交易；三是不可单纯从网站设计外观来判断其可靠性、真实性，应先确定网址是否正确，以免进错电子商店，被&钓鱼&了；四是消费时应注意查询网站以往的消费记录及评价。
&&&&&&& （3）物流服务方面应该&眼观六路，耳听八方&：网上交易的一个重要环节是发货和收货，这些都得通过物流公司来实现。目前市场上物流企业众多，***双方都要选择服务好、信誉高的物流企业。卖方发货时尽量做到保价，避免遭受重大的损失；买方收货时要先验货再签字，防止收到&意外&之货。
&&&&&&& 三、结语
&&&&&&& 本文主要分析了电子商务交易中存在的安全问题，提出了解决对策。需要强调的是，电子商务的安全运行仅从技术角度防范还远远不够，必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，引导和促进电子商务快速健康发展。
您可能感兴趣的其他文章
&&站长推荐
&&期刊推荐
&&原创来稿文章
&&网络读者服务
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的邮件地址:
写信给编辑
您的邮件地址:比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
网络支付的安全问题及应对措施分析
关键字：网络支付
　　中国软件评测中心 刘淑鹤
　　文章首先介绍了网络支付的概念、现状和现有的支付工具及其特点，然后对现阶段出现的安全问题进行了分析，最后提出了解决这些安全问题的相应对策，结论中提出应采取多种措施解决安全问题，促进我国网络支付的健康发展。
　　关键词：网络支付;安全
　　ABSTRACT
　　First, The article introduces the concept of online payment, present situation and existing online payment tool and its characteristics, then on the stage of the online payment security problems are analyzed, finally put forward solutions to these problems of the corresponding countermeasures. Adopt a variety of measures to solve the security problem in conclusion, promote the healthy development of the online payment.
　　Keywords：Online P Security
　　1网络支付的概念
　　1.1什么是网络支付
　　网络支付是通过电子的手段实现交易中的价值交换，是指以计算机网络系统特别是系统，以电子信息传递的形式来实现资金的流通和支付。
　　网络支付是的一种形式，是在信息时代诞生的一种全新的实时支付结算方式，广义地讲，网络支付是指客户、商家、网络银行(或第三方支付)之间使用安全电子手段，利用电子现金、银行卡、电子支票等支付工具通过互联网送达到银行或相应的处理机构，完成支付的整个过程。
　　1.2网络支付的现状
　　根据中国互联网信息中心的数据，截至到2012年12月我国使用网上支付的用户规模已经达到了2.21亿，与2011年相比，增长率高达32.3%。另外根据艾瑞咨询的信息，2012年国内互联网支付业务的交易规模达到36589亿，同比增长66%，可见增长情况之快。另外在供给方面，截止2013年的1月8日，累计已经发放了223张非金融机构许可证，其中多达80家是从事互联网支付和，市场的发展也很快。
　　网上支付不同于传统支付方式，它是基于互联网的一种实时支付结算活动。网络支付为人们的生活带来巨大的便利，但互联网开放式的信息交换方式使其网络安全具有很大的脆弱性，、、的肆虐更使得很多人对于网络支付心存顾虑，而互联网这种自身的开放性，决定了网上支付活动将面临不同类型的网络安全方面的挑战。
　　1.3常见的网络支付工具
　　目前网络支付工具主要有银行卡(包括信用卡、借记卡等)、电子支票、电子现金、还有第三方支付平台等。有了这些常用的支付工具，就可以通过一些常用的互联网支付手段来实络支付。
　　1)银行卡在线转账支付。目前我国应用非常普遍的电子支付模式，付款人可使用申请了在线转账功能的银行卡转移小额资金到收款人银行账户中。
　　2)电子现金支付。以数据形式存在的现金货币。它把现金数值转化为一系列的加密序列数?来表示现实中各种金额的币值。但目前我国使用的不多。
　　3)电子支票支付。以一种纸质支票的电子替代品而存在的，用来吸引不想使用现金而宁可使用信用方式的个人和公司。它的运用使银行信用弥补了商业信用的不足，在我国尚是空白。
　　4)第三方支付。是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。
　　当前网络支付比较普遍的方式是在网上交易过程中，使用银行卡(包括信用卡、借记卡、支付卡等)等支付工具，通过输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。
　　2网络支付的安全问题
　　中国软件评测中心专家认为，网上支付的安全性是网上交易的核心和关键。由于网络本身的开放性和目前网络技术发展的局限性，使网上交易面临着种种安全威胁，也带来了交易过程中的各种安全问题。一般表现为对网络和进行攻击。攻击的手段可分为主动攻击和被动攻击。主动攻击是指通过截获IP包，更改数据、伪造数据、伪造连接等手段欺骗用户或商户。被动攻击是指通过非法窃听、数据流分析等手段截取网络数据、非法获得信息。常见的支付风险表现为以下几个方面。
　　2.1身份识别问题
　　传统支付方式中，交易双方是面对面的，很容易通过签名、印章、***等有形的身份凭证来确认对方的身份。而在网上交易中，交易双方互不见面，如果没有特殊的识别和防护等安全措施，就很容易引起假冒、诈骗等违法活动。在网络支付中，如果不进行身份识别，对商户来说，无法验证发出支付指令的客户是否是合法用户;对用户来说，也无法判断正在浏览的支付页面是否是设计的钓鱼网站。
　　2.2支付信息伪造或篡改
　　攻击者通过修改互联网传输中的数据，将伪造的数据信息注入系统，可表现为修改支付信息中的付款银行卡号、支付金额、收款人账号、支付指令序列，延迟或重放支付指令等。例如，客户给网上银行发出的支付指令：“支付给商户A100元”，支付指令在公网传输中被截获进而将商户A篡改为商户B，这样网上银行收到的支付指令就变成了“支付给商户B100元”。导致非法商户B而不是合法商户A得到了银行的支付资金。
　　2.3支付信息泄露
　　传统的支付方式一般是通过面对面的信息交换，或者通过可靠的渠道发送支付信息。而网络支付的各方均通过开放的互联网络交换信息，如果保密措施不到位，重要的支付信息就可能被黑客窃取，导致财产损失。例如，攻击者通过某种方式得到持卡人的支付密码，便可以轻松的冒充他人进行网上消费，给持卡人带来损失。这也是人们对网上支付安全的主要担心所在。
　　2.4支付信息被抵赖
　　传统交易中，交易双方通过确定合同、契约和单据的可靠性预防抵赖行为，即人们常说的“白纸黑字”模式。网上交易中，持卡人和商店通过传送电子信息来完成交易，也需要有交易对方对每笔交易都认可的方式，保证网络上资金支付结算行为发生及发生内容的不可抵赖。即支付一旦达成，发送方不能否认其发送的信息，接收方也不能否认其所收到的信息。
　　3解决网络支付安全问题的对策
　　技术的发展进步已经为以上方面提供了可能的解决。例如：“数字签名”及“信息摘要”可以证实一个信息是否被篡改;一个“数字***”可以确认一个发送数字签字信息的人的身份;“双重加密”可以实行在线订货付款，而不让卖方看到信用卡号。
　　中国软件评测中心在多年承担第三方支付安全性测试的基础上，总结出目前现有网络支付系统的安全体系结构一般分为三大层次，如图：
　　图1：网络支付系统安全体系结构
　　3.1数据加密
　　第一层基本加密算法。数据加密被认为是网络支付中最基本的安全保障形式，可以从根本上满足信息完整性的要求。它是通过一定的加密算法，利用密钥(Secret keys)来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发接收者，接收者可利用同样的算法和传递过来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。
　　目前采用的加密算法主要有两种：对称密钥体制(又称单钥密钥体制)，即对信息加解密使用的密码是同一密码。目前，国际上分组密码最具代表性的是美国数据加密标准DES。DES的密钥长度是56位。该标准主要应用于银行业中的电子资金转账(EFT)领域。
　　非对称密钥体制(又称公钥密钥体制)，即密钥被为一对，一把公开密钥或加密密钥和一把专用密钥或解密密钥。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为专用密钥(解密密钥)加以保存。
　　3.2安全认证
　　第二层安全认证手段。包括数字摘要、数字信封、数字签名、数字时间戳、数字***、CA认证中心等。
　　数字摘要。用某种算法(主要算法如RSA公司提出的MD5和SHA1等，以Hash函数算法为基础)对被传送的数据生成一个完整性值，将此完整性值与原始数据一起传送给接收者，接受者用这个完整性值来检验消息在传送过程中是否发生改变，这个值由原始数据通过某一加密算法产生的特殊数字信息串，比原始数据小，能代表原始数据，所以称为数字摘要。由于每个消息数据都有自己特定的数字摘要，就像每个人的指纹一样，所以，数字摘要又称为数字指纹或数字手印。就像可以通过指纹确定一个人一样，可以通过数字指纹来确定所代表的数据。
　　数字信封。采用密码技术的手段保证只有规定的收信人才能阅读信的内容的一种安全认证手段。在数字信封中，信息发送方使用密码对信件进行加密，再利用RSA算法对该密码进行加密，则被RSA算法加密的密码部分称之为数字信封。它保证了在网上传输文件信息的保密性和安全性，即便加密文件被他人非法截获，因为截获者无法得到发送方的通信密钥，不可能对文件进行解密。
　　数字签名。数字签名是指利用数字加密技术实现在网络传送信息文件时，附加个人标记，完成传统上手书签名或印章的作用，以表示确认、负责、经手、真实等，也就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据(个人标记)，而且这段数据是原消息数据加密转换生成的，用来证明消息是由发送者发来的。
　　数字签名可以解决以下网络支付中的安全鉴别问题：
　　1) 接收方伪造：接收方伪造一份文件，并声称这是发送方发送的：付款单据等。
　　2) 发送者否认：发送者事后不承认自己曾经发送过支付单据。
　　3) 第三方冒充：网上的第三方用户(如黑客)冒充发送或接收消息，如信用卡密码。
　　4) 接收方篡改：接收方对收到的文件如支付金额进行改动。
　　数字时间戳。在支付活动中，时间和签名一样是十分重要的信息，在网络支付中，同样也需要对支付的日期和时间信息采取安全措施，参与支付各方不可抵赖。这需要在经过数字签名的支付信息上打上一个可信赖的时间戳，由于用户桌面的时间很容易改变，由该时间产生的时间戳不可信赖，因此数字时间戳服务通常由专门的机构提供的网上项目。
　　数字***。数字***是指用数字技术手段确认、鉴定、认证网上信息交流的身份或身份，是一个担保个人、计算机系统或组织的身份和密钥所有权的电子文档。接收方在网上收到发送方业务信息的同时，还收到发送方的数字***，通过对其数字***的验证，可以确认发送方的身份;在交换数字***的同时，双方都得到了对方的公开密钥。由于公开密钥是包含在数字***中的，可以确信收到的公开密钥肯定是对方的，从而完成数据传送中的加密解密工作。
　　认证中心。无论是数字时间戳还是数字***的发证都不是靠交易双方自己来完成的，而需要有一个具有权威性和公正性的第三方来完成。CA认证中心就是承担网上安全电子交易认证服务，能签发数字***并能确认用户身份的服务机构。CA的主要任务是受理数字凭证的申清签发数字***及对***进行管理。
　　3.3安全协议
　　第三层安全协议。在国际上，比较有代表性的电子支付安全协议有和SET。SSL( Sockets Lay，安***接层)协议书由Netscape公司研究制定的基于web应用的安全协议，该协议向基于的客户/服务器应用程序提供客户端和服务器的鉴别、数据完整性及信息机密性等安全措施，通过在应用程序进行数据交换前交换初始握手信息来实现有关安全特性的审查，在SSL握手信息中采用了DES、MD5等加密技术来保护信息传输的机密性和完整性，并采用X.509的数字***实现鉴别。主要适用于点对点的信息传输，常用于WebServer方式。
　　目前常用的信用卡SSL协议应用框架可描述如下：当应用到使用信息卡支付时，在输入信用卡账号和密码前，为保证账号与密码的安全，防止商家知道，客户与银行之间直接进行SSL保密信息传送，而不通过商家中转。
　　图2：SSL协议应用框架
　　SSL协议提供了点对点的安全通信信道，独立于应用层协议，大部分内置于浏览器和中，应用便利，实现简单，但仍存在一些安全方面的局限性：缺乏数字签名能力，不能提供交易的不可否认性;当信息经过商家中转时，无法保证商家看不到客户的信用卡账户等信息。
　　SET(Secure Electronic Transaction Protocol，安全电子交易协议)协议是为了在网上进行在线交易时保证信用卡的安全而设立的一个开放的规范，是由Visa和MasterCard共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。SET1.0版已经公布并可应用于任何银行支付服务。
　　SET协议规定了交易各方进行安全交易的具体流程，在该协议中，使用DES对称密钥算法、RSA非对称密钥算法等提供数据加密、数字签名、数字信封等功能，给信息在网络中的传输提供了安全性保证。SET协议通过DES算法和RSA算法的结合使用，保证了数据的一致性和完整性，并可实现交易预防抵赖;通过数字信封、双重签章，确保用户信息的隐私性和关联性。
　　图3：SET安全支付的应用系统框架
　　从上图可以看出，用户在网上商店选购商品并向商户提出订货要求，商家做出应答，确认订单的准确性;用户选择支付方式，签发支付指令，此时SET介入;用户将订单信息和支付信息进行双重签名后发给商家，保证商家看不到用户的账号信息;商家接受订单后，向消费者的发卡行请求支付认可，信息通过支付发送给收单行，再到发卡行进行确认;发卡行经审核后，将应答消息通过网关传送给商家;商家收到支付确认后，向用户传送货物和收据;交易成功后收单行和商家结算。
　　中国软件评测中心信息安全专家认为，网络支付的安全问题，是一个牵连甚广的应用问题。发展所要求的开放的支付环境，需要金融和通信、互联网等产业之间的融合，而这又导致了网络支付中的风险相互传递。因此在强化安全技术的同时，还应该着手社会信用系统建设、监管机构加强管理等。但只要全社会的相关组织和个人共同努力，相信未来的网上交易会越来越安全。
　　参考文献
　　[1] 帅青红. 网上支付与安全. 北京大学出版社, 2010.
　　[2] 中国互联网络信息中心(CNNIC).2012年中国网络支付安全状况报告,2012.
　　[3] 中国互联网络信息中心(CNNIC).第31次中国互联网络发展状况统计报告,2012.
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte最近老是听说在5173交易后被盗号的事件，是真的吗？求知道！！！求证明！！！
全部***（共13个回答）
可以告诉你 很不安全的
就我最近发现 都出了好多的问题
劝你不要寄卖
我来详细给你说说吧！
一为寄售！这个就是你先准备个小号！把你准备卖的东西都放在小号钱庄里或者身上包袱里！建议钱庄，安全些！放好后挂售寄售需要你填这个小号的账号密...
1、寄售是要提供帐号和密码以及交易角色名字等信息的；
2、寄售就是5173的交易员登陆你的帐号去交易！怕被盗的话就用小号或绑定密保卡！
3、一旦你的帐号绑定了密...
尊敬的客户:
您好！5173客户服务050很高兴为您服务！
卖家发布出售信息之后，我们的工作人员不会修改任何帐号信息。若您的游戏帐号被盗，请您联系游戏官方***查...
答: 关银屏觉醒乱舞究竟怎么放啊？
答: 朋友相处要严以律己，宽以待人。
朋友出去玩，AA制最好。如果不是，自己要抢先付钱，不要斤斤计较。你就是不坐船也要抢先付钱才对。
意欲取之，必先予之。其实朋友只是...
答: 服务器已满或无连接,帐号或密码错误都会出现30311错误! 检查网络并重新确认帐号密码的准确性再试!
大家还关注
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区
相关问答：123456789101112131415