实验一 安全支付现状调查
1.进入中国互联网络信息中心网站: ,下载最新的和次新的两期报告,查找并比较其中关于电子商务安全和支付方面的数据,分析变化的原因;
2011年上半年,中国网上支付用户数从去年年底的1.37亿增至2011年中的1.53亿,半年增加1607万,用户增长11.7%。
网上支付用户增长原因:
总体网民规模增长
截至2011年6月底,我国网民总数达到4.85亿,较2010年底提高1.9个百分点。
(1)家庭电脑宽带上网网民规模达到3.90亿人,较2010年底增加840万人。
(2)手机网民达3.18亿,较2010年底增加1495万人。随着手机支付相关标准和政策的明朗化,运营商、银行等各方机构正积极布局手机支付,手机支付在未来取得较大的发展。
商务交易用户规模增长
(1)网络购物
网络购物用户规模达到1.73亿,较2010年底增长了1215万
(2)团购
中国团购用户数从2010年底的1875万增长至2011年中的4220万,半年增长率达到125.0%。
(3)旅行预订
我国旅行预订用户规模为3686万人,较2010年底增长73万
总结:由于总体网民规模的增长,进行网上商务交易的用户也逐渐增长,各金融机构的积极参与、网上支付相关监管体系的完善,运用手机进行支付的用户也逐渐增长,用户商务交易更加便捷,所以电子商务重要支撑的网上支付服务不断增长。
2.查找5个专业电子商务安全的网站;
阿里巴巴、当当网、京东商城、慧聪网、环球经贸
3.查找当前国际和国内电子商务安全技术的发展状况的文章,阅读并总结;
一、目前电子商务环境中存在的安全问题主要有以下几点:
网络攻击
目前互联网上常见的攻击类型主要分为四类:中断、介入、篡改、假造。中断是指系统的部分主件早到破坏或使其不能发挥作用;介入则是指未经授权者授权取得系统的资源,其中的未授权者可以是一台计算机、一个人或一组程序,例如,在电子商务中,有的企业或个人会采取非法手段利用某些软件窃取竞争对手在网络上传送的机密数据,从而能够打击对手;篡改是指系统资源被未经授权的人所取得、乃至篡改内容,例如近期常见的团购网站被黑事件就是黑客利用网站漏洞,窃取并篡改用户数据,从而对企业和用户造成了巨大的经济损失;假造是指未经授权人授权将假造数据放入系统中,从而对数据真实性造成供给,例如在网络上假造身份证明文件以冒充他人。
网络安全隐患
网络安全隐患主要表现在以下四个方面:
(1)开放性:开放性是Internet最大的优势,也是电子商务能够快速发展的重要因素之一,但是高开放性的背后也存在着很多问题。当用户甲在访问乙的计算机时,如果用户甲没有采用适当的安全防护措施,用户乙也可以方便的访问用户甲的计算机,而互联网上连接的计算机又是如此之多,这样很容易造成安全隐患。
(2)传输协议:目前通用的传输协议是TCP/IP协议,而这种协议本身却没有任何的安全措施来防止其信息被窃取。因而这就要求用户在使用电子商务活动时,一定要采取有效严密的措施对信息进行加密,防止信息泄露。
(3)操作系统:Internet的底层操作系统是UNIX,总所周知,UNIX的源代码是公开的,好处是可以更广泛的为用户所使用,然而也更容易被发现漏洞,给用户带来安全隐患。
(4)信息电子化:与传统的商务经营活动相比,电子商务的电子信息化具有缺乏可信度的缺点,因为电子信息是否正确完整很难由信息本身来鉴别,此外电子信息还存在着难以确认信息的发出者以及信息是否正确无误的被对方接收到的问题。
二、针对电子商务安全问题的解决方案
电子商务的安全要素
电子商务是一个复杂的系统问题,在使用电子商务中主要涉及信息的保密、完整、有效和信息的不可抵赖性这个几个方面的安全要素。信息的保密性主要是指信息在传输和存储过程中不被他人窃取;信息的完整性是指数据在输入、输出和传输过程中,防止数据被非授权建立、修改和破坏;信息的有效性是指电子商务是以电子形式取代了纸张形式,必须保证这种电子形式贸易的有效性;信息的不可抵赖性,由于电子商务交易不像传统交易行为存在“白字黑字”,因而必须要确定要进行交易的贸易方正是进行交易所期望的贸易这一问题。
由电子商务的安全要素我们可以提出以下几点对策:
(1)防火墙技术
防火墙是应用最为广泛的一种安全手段,也是针对网络攻击最有效的安全手段。目前常用的防火墙技术主要有数据包过滤防火墙和应用级网关防火墙。数据包过滤防火墙的优点是速度快,实现方便,价格低,易于维护,对网络性能的影响较小。然而它的缺点也极为明显,首先,没有用户的使用记录,因而也无法发现黑客的攻击记录,极易受到黑客的攻击,安全性能较差。其次,由于操作系统环境下用的服务协议类型也不同,故其兼容性较差。应用级防火墙的安全性能相对较高,但是它会降低访问速度,并且由于应用级网关需要针对一个特定的Internet安装相应的代理服务器软件,这使得用户需要花费较多的时间来等待新服务软件的安装。
(2)数据加密技术
数据加密技术是目前电子商务安全交易的主要安全措施,目的是为了隐藏数据信息,将明文伪装成密文,使机密性数据在传递过程中可以不被非法用户截取和破译。目前,电子商务通信中常用的有私有密钥加密法和公开密钥加密法。私有密钥加密法的优点主要是运算量小,加密速度快,在专用网络中由于通信方相对固定所以应用效果较好,但是私有密钥加密法由于算法公开,因而其安全性完全依赖于对私有密钥的保护,所以密钥使用一段时间后就需要更换,并且管理复杂,代价高昂。而公开密钥加密法则正好弥补了私有密钥加密法的缺陷,它的优点是能在没有安全措施的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与发布过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。并且由于密钥的保存量比起私人密钥加密要少的多,因而管理起来也相对方便不少,唯一的缺点就是加解密速度相对慢一些。
(3)安全认证技术
数字加密技术只是解决了传送信息的保密问题,而如何确定发信人的身份还需要采取另一种手段--安全认证技术。目前被广泛采用的PKI(Public Key Infrastructure公钥基础设施)体系结构就是采用采用证书管理公钥,通过第三方可信机构CA,把用户的公钥和用户的其他标识信息(如名称、邮件地址、身份证号等)捆绑在一起,在Internet上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,从而可以在网上实现密钥的自动管理,保证了网上数据的机密性和完整性。
小结
随着电子商务的发展,电子交易手段也越来越多样化,安全问题会变得更加重要。未来的电子商务安全应该成为系统性的工程,而不仅仅是几个方面的技术。
4.查找关于“电子商务安全解决方案”的技术文档,分析企业开展电子商务过程中存在的主要安全问题和关键解决办法。
一.我国电子商务发展及其信息安全现状
我国电子商务始于20上世纪90年代,政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前,我国电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示:截至2006年底,中国网络购物市场总用户数达到4310万人,B2C和C2C总交易额分别为82亿元和230亿元。然而,据中国互联网络信息中心的一份最新调研显示,只有约15%的网民平时有网上购物的习惯,而不选择网络购物的原因主要由于对网站不信任、怕受骗,担心商品质量问题和售后服务,质疑其安全性等。
电子商务自从诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的,综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006年全国信息网络安全调查结果,结果显示,半数以上的被调查单位发生过信息网络安全事件,病毒或木马程序感染率达84%,目前,全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
二.电子商务安全的中心内容
电子商务系统的安全问题除了包含计算机系统本身存在的安全隐患外,还包含了电子商务中数据的安全隐患和交易的安全隐患。要克服这些安全隐患,就需要实现以下六个方面的安全性。
1.商务数据的机密性
商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性以防止被分析。
2.商务数据的完整性
商务数据的完整性或称正确性是保护数据不被伪授权者修改、建立、嵌入、删除、重复传送或由于其他的原因使原始数据被更改。在存储时,要防止非法篡改,防止网站上的信息被破坏。在传输过程中,如果接收方收到的信息与发送方的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。
3.商务对象的认证性
商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方身份,保证身份的正确性。分辨参与者声称身份的真伪,防止伪装攻击。认证性用数字签名和身份认证技术实现。
4.商务服务的不可否认性
商务服务的不可否认性是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息。这是一种法律有效性要求。交易一旦达成是不能被否认的。否则必然会损害一方的利益。信息的不可否认性主要用于保护通信用户对付来自其他合法用户的威胁。
5.商务服务的不可拒绝性
商务服务的不可拒绝性或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。可用性的不安全是指“延迟”的威胁或“拒绝服务”的威胁,这类威胁的结果是破坏计算机的正常的处理速度或完全拒绝处理。
6.访问的控制性
访问的控制性是指在网络上限制和控制通信链路对主机系统和应用的访问:用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
三.电子商务安全解决方案
网络安全技术
1 防火墙技术
防火墙技术是一种安全访问控制技术,用来在不安全的公共网络环境下实现局部网络的安全性。它在内部网络和外部公共网络之间构造一个保护层,只有授权的合法用户才能通过防火墙对内部网络的资源进行访问,从而防止来自外部互联网的破坏。
2 VPN技术
VPN技术是利用不可靠的公共网络(通常是Internet)作为信息的传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能。它可以帮助远程用 户、公司分支机构、商业合作伙伴同公司之间建立可信的安全连接,保证数据的安全传输。
3 反病毒技术
由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术包括了预防病毒技术、检测病毒技术和消毒技术等。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术是通过对计算机病毒的特征来进行判断的技术。而消毒技术则是通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
数据加密技术
1 对称加密技术
对称加密技术,即信息的发送方和接收方用一个密钥去加密和解密数据,也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前,商定一个密钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加、解密。只要通信需要保密,密钥就必须保密。它的最大优势是加、解密速度快,便于用硬件实现、适合于对大数据量进行加密等,但密钥管理困难。
2 非对称加密技术
非对称加密技术就是加密和解密所使用的不是同一个密钥,通常有两个密钥, 称为“公钥” 和“私钥”。“公钥” 和“私钥” 不能由一个推出另一个,但是“公钥”加密的信息只能由“私钥”解密,反之亦然。非对称密钥机制灵活,但加密和解密速度比对称密钥加密慢得多,所以它不适合于对文件进行加密,而只适用于对少量数据进行加密。
认证技术
1 数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样,在传输信息时将摘要加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件末被篡改,反之亦然3.3.2 数字签名
2 数字签名如同手写签名,在电子商务中有如下优点:(1)发送者事后不能否认自己发送的报文签名。(2)接受者能够核实发送者发送的报文签名。(3)接受者不能伪造发送者的报文签名。(4)接受者不能对发送者的报文进行篡改。(5)交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。
3 数字信封
数字信封的功能类似于普通信封。普通信封是在法律的约束下保证只有收信人才能阅读信的内容,而数字信封则采用密码技术保证只有规定的接收人才能阅读信的内容 数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息.再利用接收方的公钥加密对称密码.被公钥加密后的对称密码被称之为数字信封。在传递信息时,信息接收方若要解密信息,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。
4 数字时间戳
数字时间戳DTS,如同传统商务中的日期和时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS的数字签名。
5 数字证书
数字证书又称数字凭证,是由CA 发放,利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥有效期、颁发数字证书的CA 、数字证书的序列号以及用户本人的数字签名。它是电子商务交易双方身份确定的惟一安全工具。因此,任何信用卡持有人只有申请到相应的数字证书,才能参加网上的电子商务交易。数字证书一般有4种类型:客户证书、商家证书、网关证书及CA 系统证书。
安全协议技术
除上面提到的各种安全控制技术之外,电子商务的运行需要一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。
1 SET协议
安全套接字层协议SSL是Netscape公司于1996年推出的安全协议。它位于运输层和应用层之间,由SSL记录协议和SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和HASH算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息.客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。
2 SSL协议
SET协议是由VISA和Master Card两大信用卡组织制定的标准,SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系.给定交易信息传送流程标准。SET主要由三个文件组成.分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议位于应用层,可为电子商务提供以下功能:通过使用信息加密来保证机密性,实现付款数据私有化和订货信息与付款信息、传送的保密化。
四.结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。目前虽然已出现了很多保护电子商务安全的控制技术,但尚未形成一个有效的、安全的、系统的电子商务安全体系。文章在介绍了现有的网络安全技术、数据加密技术、认证技术及安全协议的基础上,提出了一个合理的电子商务安全体系。不过,要从根本上解决电子商务的安全问题,还应从社会角度多方面多层次去构建电子商务的安全体系。
推荐访问:实验报告 支付 实验 现状调查 安全支付现状调查实验报告