㈠ 以支付寶為例。說明電子支付安全保障有哪些
(1)電子支付服務提供商為每個用戶頒發一個全球通用的個人數字證書用於登錄電子支付服務系統的真實身份認證和用於每個交易的數字簽名,從而杜絕了口令泄露而造成的損失和提供了交易不可否認的證據。
而為了達到萬無一失,還可以推薦使用公用電腦的用戶使用 usb key 型硬體移動數字證書來確保用戶的真實身份 ( 需要登錄和交易時就把移動數字證書插入電腦的 usb 口,交易完畢就拔下 ) 。
(2)由於每個用戶都有全球通用的個人數字證書,不僅可以用於身份認證快速安全登錄電子支付服務系統,還可以用於電子郵件數字簽名和電子郵件內容加密,所有電子支付服務提供商與用戶之間的電子郵件通信內容都是使用數字證書加密的,只有用戶本人使用其個人數字證書才能閱讀,而其他人即使在電子郵件伺服器端或電子郵件傳輸過程中非法竊取電子郵件支付內容,但由於需要使用用戶的個人數字證書才能閱讀而無法閱讀其內容,從而保證了用戶的資金收付安全。
而一般的往來電子郵件也可以使用個人數字證書進行數字簽名,從而確保了確實是用戶本人發電子郵件給電子支付服務提供商。
數字證書是由權威公正的第三方機構即ca中心簽發的,以數字證書為核心的加密技術可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網路應用的安全性。
數字證書採用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)並可以對外公開,用於加密和驗證簽名。
當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由於沒有相應的私鑰,也無法進行解密。 通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。
用戶也可以採用自己的私鑰對信息加以處理,由於密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認;
(2)保證信息自簽發後到收到為止未曾作過任何修改,簽發的文件是真實文件。
如果一位購物者打算與一個採用ssl加密的web站點建立連接的話,他的瀏覽器向這台web伺服器發出「客戶機呼叫」信息,請求一次ssl加密會話。這台web 伺服器通過向購物者發送伺服器的證書進行答復。
購物者的瀏覽器將驗證伺服器的證書是否有效,是否由一個可信賴的ca所簽署。 這一確認兩個實體打算建立一次安全的ssl連接的過程被稱為ssl「握手」。
為了啟動這次握手,購物者的瀏覽器將生成一個用伺服器公共密鑰進行加密的特殊的一次性會話密鑰,並向伺服器發送這個加了密的會話密鑰。
伺服器利用私有密鑰解密收到的信息,恢復出會話密鑰。
㈡ 關於網路購物欺詐行為的案例以及分析
網上購物,可以節省時間、精力,坐在家裡也能搜羅到全國各地的好貨、便宜貨,但最遺憾的是世上沒有完美的事物,網上購物的安全性成為廣大買家最擔心也是最關心的問題。我們在媒體上已經看到或聽到了太多的由於網上購物而被騙的事情了,網上購物真的那麼可怕嗎?
由於網路世界是個虛擬的世界,所有行為都可以虛擬身份掩蓋,所以容易滋生欺詐等現象。但這幾年來國外的網上支付業務迅速發展,國內也從政府到電子商務企業都開始重視這一問題,並陸續推出了一系列舉措。例如廣東省推出了數字證書,如有詐騙行為發生,也能找到具體的犯罪嫌疑人;電子商務公司方面如易趣的實名注冊,阿里巴巴的「誠信通」,以及一些網站實施的先行賠償制度等,都在電子商務信用方面取得了一定成效;在銀行方面有招商銀行推出的「VISA驗證」服務等,都在力求加強網上交易與支付的安全性,最低限度地降低網上犯罪發生的可能性。
從技術層面上講,電子商務企業安裝功能強大的防火牆來實現,比如NORTON,CISCO,NETSCREEN等等。由於網路問題的突發性因素,黑客技術的進步,還有企業安全要從整個面上來防禦點的攻擊,所以企業在這方面投入的比例勢必會越來越大。通過對各種安全漏洞的補丁,入侵的檢測,隱私控制,禁止非法訪問,還有對重要信息的備份等手段,可以極大降低企業信息的安全性。
對於網路安全的保障,從大的方面來說有規范網路行為的法律和各種規章制度;具體來講包括網路安全、身份認證、安全存儲等方面。總之,電子商務的網路安全是個非常復雜的問題。
不可不防 網上購物安全十大必知
隨著電子商務的發展,越來越多的人開始接觸網上購物,但網上購物的安全一直是很多人擔心的焦點。在這里,我們特別列出了10項網上購物需要注意的安全事項,希望能對您有所幫助。
1.連接要安全
在提交任何關於你自己的敏感信息或私人信息——尤其是你的信用卡號——之前,一定要確認數據已經加密,並且是通過安全連接傳輸的。你的瀏覽器和Web站點的伺服器都要支持有關的工業標准,如SET(Secure Electronic Transaction)和SSL(Secure Sockets Layer)等。
2.保護你的密碼
不要使用任何容易破解的信息作為你的密碼,比如你的生日、電話號碼等。你的密碼最好是一串比較獨特的組合,至少包含5個數字、字母或其他符號。
3.保護自己的隱私
花幾分鍾閱讀一下電子商務公司的隱私保護條款,這些條款中應該會對他們收集你的哪些信息和這些信息將被如何使用做詳細說明。
盡量少暴露你的私人信息,填在線表格時要格外小心,不是必填的信息就不要主動提供。
永遠不要透露父母的姓名這樣的信息,有人可能會使用它來非法竊取你的帳號。
各種免費或收費的Web服務可以使你匿名瀏覽和購物。比如,你可以使用Anonymizer和Privada等站點來匿名訪問其它商務站點,而不必暴露你的姓名和e-mail地址。
4.使用安全的支付方法
使用信用卡和借記卡在線購物不但方便,而且很安全,因為通過它們進行的交易都受有關法律的保護,你可以對提款提出質疑,並在質疑得到解決之前拒絕付帳。另外,如果你的信用卡或借記卡被盜用,你只需承擔很小的一部分金額。網上拍賣站點越來越多,現金支付也越來越頻繁,如果交易額比較大,你就需要使用i-Escrow和Tradesafe等站點提供的第三者保存契據的服務。當然,這些服務是收費的。
5.檢查證書和標志
在美國,有一個叫做Better Business Bureau Online Reliability Seal的認證標志,擁有這個標志的公司至少需要一年以上的在線經營歷史,並已受到了當地有關部門的認可。同時,你可以參考BizRate,這個站點可以為你提供很好的有關在線購物的信息。它經常組織用戶調查,並公布對商務站點有關項目的評分,如商品質量,客戶服務質量和送貨是否准時等。
有些拍賣站點,比如eBay,有一個用戶反饋區,已經購買過商品的用戶可以在這里對各個獨立銷售商的可靠性發表評論。
6.檢查銷售條款
著名的在線零售商都會出示有關的銷售條款,包括商品質量保證,責任限度,以及有關退貨和退款的規定等。有些站點要求客戶在購物前必須點選「同意這些協議」,有些站點則把這些條款放在一個鏈接後面。
7.稅款和運費
仔細閱讀運送和處理等費用的有關說明,不同的送貨方式費用差別可能會很大。找一些提供低成本配送方式的公司,或在定購量大時可以免費送貨的站點。另外,很多國家和地區對網上購物是收稅的。
8.再檢查一遍訂單
在發送購物訂單之前,再慎重地檢查一遍。輸入錯誤(比如把2寫成了22)會導致很嚴重的後果。如果你收貨的地址和發出訂單的地址不同,你就需要做出特別說明,並仔細檢查。另外,你必須確定你看到的價格正是該物品當前的價格,而不是你上次訪問該站點時瀏覽器保存在你計算機中的臨時網頁文件上的過時價格。
9.估計送貨日期
銷售商應該會告訴你一個大概的送貨日期。按照美國聯邦貿易委員會的規定,如果銷售商沒有指定貨物送達日期,他就必須在30天內將貨物送達,否則必須通知客戶不能按時送貨,並提出撤銷訂單,退回貨款。
10.提出控訴
如果你在網上購物過程中碰到了問題,你應該立即通知這個商務公司。在他們的站點上找到免費服務的電話號碼、郵件地址或指向客戶服務的鏈接。如果該公司自己不解決有關的問題,你就應該與有關主管部門聯系了
㈢ 有誰知道是因為計算機病毒引起的造成嚴重後果的事件案例
「MSN性感雞」,網路提前遭遇「禽流感」
2005年,禽流感席捲全球,讓人聞雞色變。而網路上的「禽流感」更是早於現實,從2月3日開始,席捲全球互聯網。
2月3日上午,金山、瑞星、江民等國內多家安全軟體廠家,接到大量MSN用戶中毒信息,一個名為「MSN性感雞」的病毒迅速在互聯網上瘋狂傳播。msn用戶感染後會向所有好友發送病毒文件。MSN性感雞除了利用MSN向外界發送病毒文件、消耗系統資源外,還會在中毒電腦里放置後門程序,使黑客可以遠程式控制制該電腦,從而使用戶面臨極大的安全威脅。
在相對平靜的2005年網路環境中,「MSN性感雞」造成危害最嚴重的一個病毒。隨著各大門戶網站的即時通訊工具的推出,以及金山加加、盛大圈圈等的加入,病毒製造者利用IM(即時通訊工具)做為傳播,已經成為了病毒傳播的首選方式。金山毒霸反病毒服務中心整個2005年接到的感染報告中,通過IM工具傳播的病毒高達270萬次,排在所有病毒之首。這也使的國內IM廠家高度重視,騰訊推出的QQ2005,就在業界率先與殺毒廠商合作,與金山公司合作推出了國際首創的「QQ安全中心」。
金融機構成為網路釣魚最青睞對象
2005年,美國超過300萬的信用卡用戶資料外斜,導致用戶財產損失,同時,中國工商銀行、中國銀行等金融機構先後成為黑客們模仿的對象,設計了類似的網頁,通過網路釣魚的形式獲取利益。這一現象在2005年以平均每個月73%的數字增長,使很多用戶對於網路交易的信心大減。導致年底各家銀行對於網路交易安全提高重視。
針這些對愈演愈烈的網上銀行詐騙事件,中國人民銀行於10月30日向社會公布《電子支付指引(第一號)》,對銀行從事電子支付活動提出了指導性要求,對銀行針對不同客戶在電子支付類型、單筆支付金額和每日累計支付金額等方面作出合理限制。
各殺毒廠家紛紛披露主動防禦計劃反病毒欲改被動劣勢
5月,業界一條以「網路安全驚曝黑幕」為題的報道,在原本還算平靜的網路安全行業攪起千層巨浪。這篇報道毫不客氣地將殺毒軟體比做「過期葯」,更將信息安全廠商們斥之為販賣「過期葯」的販子。隨後,國內著名信息安全廠商金山公司對外宣布,其殺毒軟體「主動防禦(ADP)」業已完成第二層(網路自防禦)計劃,並且證實該計劃已經應用到當天發布的金山毒霸2005中小企業版當中。至此,包括金山、瑞星在內的國內主流信息安全廠商均做出高調反應,表明中國的信息安全廠商正試圖扭轉在與病毒競爭中長期被動的局面。
「主動防禦」更像是一個貼身的保鏢,勤勤懇懇、認認真真的監視著周圍的可疑人物,讓危險總能在最後一刻之前化解。「主動防禦」以事實為依據,掌握用戶計算機真實的安全狀況,在用戶還沒有意識到之前,能給予用戶更多的提示與建議,幫助用戶構築專家級水準的計算機安全防線。它是傳統殺毒軟體的超集,雖然它也需要傳統方法的補充,但它的理念已經超越了單純的殺毒,而是全面保護用戶計算機的安全。它是安全軟體未來的發展方向。
流氓軟體引起公憤,人人喊打
6月21日,北京市網路行業協會聯合新浪、搜狐、金山、瑞星等16家網路和軟體企業聯合起草了《軟體產品行為安全自律公約》,聯合承諾共同防範「流氓軟體」帶給網民的麻煩。隨後,在北京市網路行業協會的網站上,接受網民的投訴,引起眾多網民的關注與投訴。7月11日,網路行業協會根據網民的投訴,點名公布了10家流氓軟體名單,包括了3721、淘寶、e趣、DUDU等家加知名軟體。
2005年,間諜軟體已經大面積闖入了我們的網路生活中。間諜軟體從以前單一的收集用戶信息和盜取有價賬號等方式擴展到惡意廣告。惡意廣告的典型特徵為:悄悄安裝;不易卸載;保護自己使用低層技術與多種軟體沖突;隨時隨地彈出騷擾廣告。而目前在國內用戶被侵擾最多的間諜軟體就是惡意廣告和盜號木馬。90%以上的網民都直間或間接的受到此類間諜軟體的侵擾。
狙擊波,與時間賽跑的病毒
8月15日,金山公司率先截獲了被稱為歷史上最快利用微軟漏洞攻擊電腦的病毒「狙擊波」,危害程度直指當年的震盪波。在隨後的24小時內,變種迅速,出現多個變種,給相對平靜的2005年網路環境,帶來陣陣漣漪。該病毒源自歐洲芬蘭,之後在歐洲迅速流傳。其中在美國蔓延,美國國會、美國有線電視台(CNN)、美國廣播公司(ABC)、紐約時報等重要企業和政府機構遭受此次蠕蟲狂潮的襲擊,並造成部分網路癱瘓。在國內,華南地區尤其是廣州地區的個人及企業用戶中毒的較多。
名人、熱點新聞成為病毒載體
2005年8月30日,被全國關注的「超級女聲」總決賽進行之際,一個借著「超級女聲」的名氣傳播的QQ病毒現身網路,盜竊用戶的信息。「超級女聲」也成為了2005年帶毒的明星、熱點事件最為突出的事件,其前後,包括:拉登、羽泉、周傑倫、禽流感、倫敦地鐵爆炸等等,也成為了一個特別的現象。每當網上出現熱點新聞或者熱點人物的時候,各病毒監測中心的精神也都高度集中,不知道下一個遭毒手的會是哪一個?
1月10日,國內計算機反病毒廠商江民科技反病毒中心對2006年網路安全事件進行了回顧,根據事件影響力和媒體關注度,排出了2006年十大互聯網計算機病毒事件。
一、微軟WMF漏洞被黑客廣泛利用,多家網站被掛馬
2006年春節前後,早在去年12月份就被曝光的WMF漏洞成2006年電腦安全第一場噩夢。 2006年12月28日,江民反病毒中心監測到,Windows在處理特殊WMF文件(也就是圖元文件)時存在問題,可以導致遠程代碼執行,如果用戶使用Windows圖片傳真查看程序打開惡意WMF文件,甚至在資源管理器中預覽惡意WMF時,也都存在代碼執行漏洞。雖然1月6日微軟發布了安全補丁,然而,在1月底,針對該漏洞的木馬病毒已經在我國互聯網上呈蔓延之勢。1月26日,江民反病毒研究中心已發現數家網站被種植此類木馬病毒,與此同時,網上眾多網站都在公開售賣WMF木馬生成器,沒有安裝殺毒軟體的電腦用戶點擊其中任意鏈接即中毒。2月初,WMF木馬傳播變本加勵,發展到通過搜索引擎貼吧、MSN瘋狂傳播,後來在反病毒廠商的圍剿下,WMF木馬才漸漸郾旗息鼓。
二、敲詐者
2006年6月11日,國內首例旨在敲詐被感染用戶錢財的木馬病毒被江民公司反病毒中心率先截獲。該病毒名為「敲詐者」(Trojan/Agent.bq),病毒可惡意隱藏用戶文檔,並借修復數據之名向用戶索取錢財。「敲詐者」在被截獲後短短10天內,導致全國數千人中招,許多個人和單位受到重大損失。一名為大叔的網民由於中了敲詐者,合同文本被病毒隱藏,使得本來到手的訂單丟失,該網民出於憤怒地在網上發帖稱在懸賞十萬元網上通輯一名為「俊曦」的病毒作者。雖然病毒作者聲稱編寫病毒只是為了「混口飯吃」,但由於他觸犯了法律,最終也未能逃脫法律的懲罰,7月24日,廣州警方宣布破案這一國內首例敲詐病毒案,作者被警方刑事拘留,等待他將是法律的嚴懲。
三、病毒假冒工行電子銀行升級
2006年6月27日,網友舉報,他在登陸工行網上個人銀行時,系統突然彈出電子銀行系統正在升級並要求修改密碼的提示,於是他按要求再次輸入登陸和支付密碼,然而當點擊「確定」後,電腦中的「江民密保」突然發出「不明程序向外發送密碼」的警示,於是他緊急與工行聯系,才發現工行根本就沒有升級電子銀行系統,他懷疑是感染了電腦病毒,並慶幸自己發現的及時,要不賬戶中的存款就易手他人了。
江民反病毒工程師分析後認為,這是病毒假冒工行電子銀行升級通知,目的在於盜取工行用戶的帳號密碼,聯想到今年工行網銀用戶集體維權事件,不禁令人對網上銀行的安全性再生疑惑。
四、魔鬼波病毒爆發
2006年8月13日,江民公司反病毒中心發布緊急病毒警報,一利用微軟5天前剛剛發布的MS06-040漏洞傳播的「魔鬼波」(Backdoor/Mocbot.b)蠕蟲現身互聯網,感染該蠕蟲的計算機將被黑客遠程完全控制。微軟在8月8日例行發布的MS06-040安全公告中稱,其操作系統Server服務漏洞可能允許遠程執行代碼,並建議電腦用戶立即升級。
似乎已經成為一種規律,每年都會出現一個攻擊微軟新漏洞的「某某波」,03年的「沖擊波」,04年的「震盪波」,05年的「極速波」,今年的「魔鬼波」,真可謂「一波未平,一波又起」。
五、光大證券網站多款軟體被捆綁木馬
2006年8月25日,江民科技反病毒中心監測到,光大證券陽光網(http://www.ebscn.com)站點上提供的「光大證券新版網上交易系統」、「光大證券專業分析版2003」、「光大證券金典2005」等多款軟體的安裝程序捆綁了木馬。用戶運行這些安裝程序的同時,會下載網銀木馬,威脅用戶工商銀行網上銀行的帳號密碼安全。江民反病毒專家分析, 根據光大證券HTTP伺服器返回的信息,這些惡意安裝程序是2006年8月18日上線的,至今已經帶毒運行了一周左右,估計已經有不少網上證券系統的用戶感染了該病毒。專家分析,很有可能是光大證券的伺服器遭受了黑客入侵導致。
按理說,銀行、證券網站的安全性應該是很有保障的,而且網站伺服器還裝了一款所謂國際品牌的殺毒軟體,怎麼就會輕易被黑客攻陷並還種了木馬呢?是網管員太無能還是國外殺毒軟體太弱智?
六、威金病毒大鬧互聯網
10月中上旬,江民反病毒中心監測到,「威金」病毒(Worm/Viking)的多個新變種在互聯網上活動較為頻繁,已有多家企業用戶報告感染了該病毒並導致整個區域網受到不同程度的破壞。據江民全國病毒疫情監控系統數據顯示,該病毒從2005年5月19日首次出現至今,保守估計感染電腦數近50萬台,變種數量突破了500種,實在可以稱為是2006年病毒之王。
七、建行雲南網站遭假冒
2006年11月2日,江民公司反病毒中心監測到,一個惡意網站假冒中國建設銀行雲南分行網站,傳播「QQ大盜」和武林外傳游戲木馬。
假網站調用多個惡意腳本,下載並自動運行「QQ大盜」木馬和「武林外傳」兩個木馬,這兩個木馬會對用戶的QQ號和武林外傳游戲帳號構成很大威脅,並會嘗試關閉多款國內外知名殺毒軟體。
一般來說病毒盜個QQ號什麼的不算大事,可你要是看了這條新聞就不會這么認為了。12月15日,深圳晶報報道,一夥平均年齡僅21歲的「網路大盜」一年內盜取QQ號、Q幣數百萬個,通過網路交易平台售賣,非法牟利70餘萬元,涉案人員竟有44名。原來小小的QQ號也存在這么大的利潤可圖,犯罪份子就是抓住網民這種認為QQ號價值不大不值得追究的心理,最終造成了一個大案。
八、銀聯網站被黑成懸案
11月22日,反病毒廠商稱某金融官方網站首頁被黑客嵌入惡意程序,用戶點擊網站首頁後,系統即可自動下載一後門程序,中毒用戶電腦存在被黑客偷窺的風險。反病毒工程師介紹,該後門程序名為黑洞2005,是一個江民一年前就已經截獲並大范圍發布預警的老病毒。該病毒具有強大的穿透防火牆能力,可以禁止防火牆並開啟染毒電腦的攝像頭,進行遠程監控、遠程攝像等操作。病毒還會將自身添加為「服務」,達到開機自動啟動的目的,隱蔽性很強。
但這條消息被某金融網站否定,究竟誰是誰非,由於時過境遷,事實無法重現,唯有提醒電腦用戶以後上網時一定要穿好防毒衣(打開殺毒軟體網頁監控),防患於未然。
九、「瑞波」危害超過「魔鬼波」?
8月24日,江民科技反病毒中心發布緊急病毒警報,自上周「魔鬼波」病毒肆虐互聯網以來,江民公司反病毒中心監測到,「瑞波」(Backdoor/RBot)蠕蟲新變種正在利用微軟的MS06-040等多種系統漏洞大肆傳播,目前已發現國內大量用戶被病毒感染,中毒用戶的系統可被黑客遠程完全控制。僅8月23日一天,有3個「瑞波」新變種的泛濫程度都超過了「魔鬼波」(Backdoor/Mocbot)蠕蟲。
十、天涯虛擬社區網站首頁帶毒
2006年11月22日,江民公司反病毒公司監測到,天涯虛擬社區網站首頁帶毒。如果用戶沒有安裝過微軟的MS06-014安全補丁,在使用IE瀏覽器訪問該網頁時,就會感染木馬程序Trojan/Hitpop。該木馬會在後台點擊某些網頁,製造虛假流量,並會關閉多款殺毒軟體和防火牆。
23日,天涯首頁上的惡意代碼已經被刪除。江民公司提醒廣大網民,特別是天涯社區用戶,請立即更新殺毒軟體的病毒庫,對您的系統進行全面掃描
㈣ 電子支付存在哪幾方面安全問題
1)經濟波動的風險
電子支付系統面臨著與傳統金融活動同樣的經濟周期性波動的風險。同時由於它具有信息化、國際化、網路化、無形化的特點,電子支付所面臨的風險擴散更快、危害性更大。一旦金融機構出現風險,很容易通過網路迅速在整個金融體系中引起連鎖反應,引發全局性、系統性的金融風險,從而導致經濟秩序的混亂,甚至引發嚴重的經濟危機。
(2)電子支付系統的風險
首先是軟硬體系統風險。從整體看,電子支付的業務操作和大量的風險控制工作均由電腦軟體系統完成。全球電子信息系統的技術和管理中的缺陷或問題成為電子支付運行的最為重要的系統風險。在與客戶的信息傳輸中,如果該系統與客戶終端的軟體互不兼容或出現故障,就存在傳輸中斷或速度降低的可能。此外,系統停機、磁碟列陣破壞等不確定性因素,也會形成系統風險。根據對發達國家不同行業的調查,電腦系統停機等因素對不同行業造成的損失各不相同。
其中,對金融業的影響最大。發達國家零售和金融業的經營服務已在相當程度上依賴於信息系統的運行。信息系統的平衡、可靠和安全運行成為電子支付各系統安全的重要保障。
其次是外部支持風險。由於網路技術的高度知識化和專業性,又出於對降低運營成本的考慮,金融機構往往要依賴外部市場的服務支持來解決內部的技術或管理難題,如聘請金融機構之外的專家來支持或直接操作各種網上業務活動。這種做法適應了電子支付發展的要求,但也使自身暴露在可能出現的操作風險之中,外部的技術支持者可能並不具備滿足金融機構要求的足夠能力,也可能因為自身的財務困難而終止提供服務,可能對金融機構造成威脅。在所有的系統風險中,最具有技術性的系統風險是電子支付信息技術選擇的失誤。當各種網上業務的解決方案層出不窮,不同的信息技術公司大力推舉各自的方案,系統兼容性可能出現問題的情況下,選擇錯誤
將不利於系統與網路的有效連接,還會造成巨大的技術機會損失,甚至蒙受巨大的商業機會損失。
(3)交易風險
電子支付主要是服務於電子商務的需要,而電子商務在網路上的交易由於交易制度設計的缺陷、技術路線設計的缺陷、技術安全缺陷等因素,可能導致交易中的風險。這種風險是電子商務活動及其相關電子支付獨有的風險,它不僅可能局限於交易各方、支付的各方,而且可能導致整個支付系統的系統性風險。
㈤ 電子商務交易安全的案例
案例一:
淘寶「錯價門」引發爭議
互聯網上從來不乏標價1元的商品。近日,淘寶網上大量商品標價1元,引發網民爭先恐後哄搶,但是之後許多訂單被淘寶網取消。隨後,淘寶網發布公告稱,此次事件為第三方軟體「團購寶」交易異常所致。部分網民和商戶詢問「團購寶」客服得到自動回復稱:「伺服器可能被攻擊,已聯系技術緊急處理。」這起「錯價門」事件發生至今已有兩周,導致「錯價門」的真實原因依然是個謎,但與此同時,這一事件暴露出來的我國電子商務安全問題不容小覷。在此次「錯價門」事件中,消費者與商家完成交易,成功付款下了訂單,買賣雙方之間形成了合同關系。作為第三方交易平台的淘寶網關閉交易,這種行為本身是否合法?蔣蘇華認為,按照我國現行法律法規,淘寶網的行為涉嫌侵犯了消費者的自由交易權,損害了消費者的合法權益,應賠禮道歉並賠償消費者的相應損失。
總結:目前,我國電子商務領域安全問題日益凸顯,比如,支付寶或者網銀被盜現象頻頻發生,給用戶造成越來越多的損失,這些現象對網路交易和電子商務提出了警示。然而,監管不力導致消費者權益難以保護。公安機關和電信管理機關、電子商務管理機關應當高度重視電子商務暴露的安全問題,嚴格執法、積極介入,徹查一些嚴重影響互聯網電子商務安全的惡性事件,切實保護消費者權益,維護我國電子商務健康有序的發展。
㈥ 電子支付中都採取了哪些安全措施來避免可能存在的安全風險
1、法律措施
在電子商務中,網路的虛擬性、流動性、隱匿性對交易安全及消費者權益保護提出了更多的挑戰,因此制定相應的法律法規來約束互聯網用戶的行為是電子商務的基礎。目前制定的有關法律法規有《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際互聯網管理暫行規定》、《中華人民共和國計算機信息網路國際互聯網路安全保護管理辦法》、《電子簽名法》等,它們直接約束了計算機安全和電子商務的安全。
2、管理措施
要保證電子商務的安全,行之有效的管理也是必不可少的。電子商務的安全管理是一項復雜的任務,包括了人事管理、密鑰管理、軟體管理、設備管理、場地管理等多個方面。
㈦ 網路安全論文
《網路安全技術與應用》雜志
辦刊宗旨
本刊成立於2003年,先由中華人民共和國公安部主管、中國人民公安大學出版社主辦。從2009年起,本刊改由中華人民教育部主管,北京大學出版社主辦,是國內網路安全技術與應用領域行業指導性科技月刊,國內外公開發行。
本刊針對網路安全領域的「新人新潮新技術」,旨在傳達與反映政府行業機構的政策、策略、方法,探索與追蹤技術應用的最新課題、成果、趨勢,透視與掃描企業、人物及產業項目的形象、風采、焦點,推動並引領行業整體進步和發展。
本刊系「三高兩強」刊物,即信息量高、學術水平高、技術含量高;專業性強、應用性強。讀者定位側重於政府有關各部門領導、幹部、專業工作者,企事業、軍隊、公安部門和國家安全機關,國家保密系統、金融證券部門、民航鐵路系統、信息技術科研單位從事網路工作的人員和大專院校師生,信息安全產品廠商、系統集成商、網路公司職員及其他直接從事或熱心於信息安全技術應用的人士。
創刊以來,本刊與國內外近百家企業建立了良好的合作關系,具體合作方式包括:長期綜合合作、協辦、支持、欄目協辦和中短期合作。今後,本刊願與國內外業界權威機構、團體、政府官員及專家學者進一步建立、開展廣泛的聯系和交流,熱忱歡迎業界同仁以多種形式加盟我們的事業。
本刊通過郵訂、郵購、贈閱、派送、自辦發行及定點銷售等多渠道發行,目前發行范圍集中於公安、軍隊、電信、銀行、證券、司法、政府機構、大專院校及政務、商務其它各行業應用領域的廣大讀者。
二、《網路安全技術與應用》主要欄目
焦點●論壇
特別報道:中國信息安全技術與應用中熱點、焦點和難點問題的深度報道;業內重大事件透視。
權威論壇:業內專家、學者和官方以及政府有關領導及權威人士的署名文章、講話,從宏觀上對網路安全技術與應用方面的趨勢、走向與策略,進行深層次的論述。
技術●應用
點擊病毒:各防病毒廠商,國家計算機病毒防範中心以及有關從事該方面研究的科研人員。
網路安全:網際協議、防火牆、入侵檢測、VPN等。
通信安全:電信安全、郵件安全、無線網路安全、網路協議等。
應用安全:WEB安全、郵件技術安全、PKI密鑰、安全編程。
物理安全:環境安全、設備安全等。
安全管理:安全審計、風險評估、安全項目管理,安全策略、安全標准、安全指南等。
加密技術:密碼學、密鑰演算法、密碼分析、硬體加密、軟體加密、密鑰管理、數字簽名。
安全支付:電子支付、電子現金、網路銀行。
訪問控制:防火牆、路由器、網關、入侵檢測、網閘等網路安全接入技術等。
災難存儲:災難備份服務提供商、存儲設備提供商、國家重要信息領域應用用戶。
取證技術:磁碟調查、網路取證,包括電子郵件或者互聯網以及源代碼等,主要問題是討論如何從網路上收集到相應的能夠表明是犯罪證據的信息,以及怎樣從大量的信息流里獲得支持打擊犯罪所需要的信息。
法規●標准
法制時空:國家領導機關及行業部門有關信息安全方面的方針政策;國務院信息辦和國家公安部發布的最新政策法規;國家行業協會和省市地方具有普遍意義的相關法規。
行業標准:有關信息安全方面的安全標准。
案例分析:介紹網路犯罪及信息系統災難性事件及處理情況。
產業●市場
企業透視:對業內知名企業的獨家采訪,反映其在經營理念、技術創新、企業管理和市場開拓等方面所取得的成就業績。
業界人物:行業專家、知本家與資本家的人物掃描、訪談,多側面多層次的拼搏精神、創業事跡與個人風貌。
成功案例:產品在企業應用中的典型應用案例。
市場縱橫:關於市場走勢、市場建設開拓和管理方面的熱點掃描與宏觀分析。
海外傳真:域外掠影,報道國外,尤其是發達國家網路安全方面的最新動態、法規和先進技術;介紹他們在新技術方面的創新、應用和經驗;記述海外著名安全公司和人物的理念。
咨詢●服務
人才與成才:服務性欄目,提供網路安全方面人才交流、招聘求職、培訓等綜合性資訊信息,
包括子欄目點將台(招聘)、獵頭榜(應聘)、新書架、培訓等。
網安書架:介紹信息安全領域最新出版圖書。
產品推薦:向讀者推薦網路和信息安全軟、硬體產品,提供產品導購需要信息。
展會活動:向讀者介紹未來三個月國內外將要舉行的各類IT及信息安全相關展覽會及活動信息。
業界公告:發布病毒及漏洞公告。
新聞集萃:發布過去一個月網路和信息安全相關新聞。
三、合作夥伴
本刊先後與微軟、聯想、東軟、浪潮、海信、cisco、ISS、F5、成都衛士通、清華得實、清華紫光比威、方正、青鳥、啟明星辰、三○盛安、天融信、中聯綠盟、中科網威、中科新業、理工先河、傲盾、清大安科、廣東科達、首創前鋒、安浪、邁普、安達通、京泰、上海華堂、復旦光華、金諾網安、江民、瑞星、賽門鐵克、安氏、三星、美國RSA和冠群等近百家國內外知名企業建立了合作夥伴關系。
四、發行渠道
本刊通過郵局訂閱、自辦發行、有效派送、二渠道銷售、定點零售和郵購等6種方式發行,目前發行范圍已涵蓋政府、軍隊、電信、金融、證券、保險、稅務、醫療、司法、電力、公安、消防、交通、海關、院校、科研機構、企業和外國駐華使館等各個領域。
㈧ 結合案例,分析目前網上支付安全問題的特點
一、電子商務網上支付的安全隱患
(一)網上支付的安全問題。
造成網上支付發展的安全風險主要有三個方面:一是銀行網站本身的安全性。二是交易信息在商家與銀行之間傳遞的安全性。三是交易信息在消費者與銀行之間傳遞的安全性。無論是何種風險,其根本原因都是由於登錄密碼或支付密碼泄露造成的。
1、密碼管理不善。
大
部分公司和個人受到網路攻擊的主要原因是密碼政策管理不善。大多數用戶將姓名、生日、電話號碼設置為密碼。有86%的用戶在所有網站上使用的都是同一個密
碼或者有限的幾個密碼。許多攻擊者還會直接使用軟體破解一些安全性低的密碼。因此建議用戶使用安全性高的復雜密碼,防止密碼被黑客破譯的可能。
2、網路病毒的入侵。
現今流行的很多木馬病毒都是專門用於竊取網上銀行密碼而編制的。木馬會監視IE瀏覽器正在訪問的網頁,如果發現用戶正在登錄個人銀行,直接進行鍵盤記錄輸入的賬號、密碼,或者彈出偽造的登錄對話框,誘騙用戶輸入登錄密碼和支付密碼,然後通過郵件將竊取的信息發送出去。
3、釣魚平台。
「網
絡釣魚」攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,如將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌。受騙者往往會泄露
自己的財務數據,如信用卡號、賬戶號和口令等。中國互聯網路信息中心(CNNIC)統計,截至今年2月底,聯盟累計認定並處理了釣魚網站39854個。僅
1、2月份,網購、電子商務網站類就占據了舉報受理總數的90%。2011年2月,處理釣魚網站1159個,較2010年2月(574個)相比,同比增長
112%,而2011年前兩個月處理的釣魚網站較2010年同期增長2278個。更為驚人的是,在2011年1月和2月通過聯盟認定並處理的釣魚網站中,
網購、電子商務網站類約占舉報受理總數的90%。
(二)網上支付的信用問題。
在網路支付中由於其虛擬性,超時空性等特點,使雙方互不相見,也難以客觀地判斷對方的信用等級,致使網路支付雙方對對方的信用產生懷疑,也因此阻礙了網路支付的發展。
根
據《中國電子商務誠信狀況調查》統計顯示,有23.5%的企業和26.34%的個人認為電予商務最讓人擔心的是誠信問題,電子商務的誠信已經成為公眾和企
業最關注的問題之一。調查表明,64.2%的公眾和71.1%的企業在網上交易時會查看賣方的信用評價,企業信用狀況無疑是解決電子商務誠信問題的一個很
大因素,但目前我國還沒有一個權威公正的信用體系。
(三)網上支付的法律問題。
目前制約網上支付發展的立法問題主要包括:誰來發行電子貨幣;如何進行網路銀行的資格認定;怎樣監管網路銀行的業務等。目前中國在電子商務方面,有關的政策不夠明朗化,相應的法律法規、標准還都沒有建立,跨部門、跨地區的協調存在較大的問題。
(四)網上安全認證機構建設混亂。
CA
在認證過程中面臨許多潛在的風險,這主要表現在:(1)支付的信用安全問題。各CA頒發的電子證書各自為政、交叉混亂的情況仍然存在,身份認證系統不完善
不統一,認證作用只是保證一對一的網上交易安全可信,而不能保證多家統一聯網交易的便利。(2)缺乏協調統一的規劃設計和沒有行業技術標准。各個認證中心
都是獨立構建的,引進的技術和產品各有不同,也沒有共同的標准,在這樣的情況下,要實現互通確實面臨很大困難。
㈨ 電子支付面臨的風險有哪些該採取什麼樣的防範措施加以防範
1用戶端信息失竊、
2服務端系統漏洞
3用戶遭遇釣魚網站
4交易欺詐
5客戶端被劫持
防範措施如下:
首先,要加強網路安全監管機構、支付企業、安全廠商等產業鏈環節的合作力度,加強風險防控的同時加大對網路支付犯罪活動的打擊力度;
其次,支付企業應加強自身風險防控能力,避免出現重市場輕風險的情況,切實保證資金安全和交易合規;
第三,對於用戶而言,要提高風險意識,重視個人信息保密,養成良好的網路安全習慣。
㈩ 網路支付安全隱患有哪些。
1. 系統風險
系統風險所指的是銀行網路支付系統所存在的安全漏洞或不足,所可能引發的損失。網路支付是依
賴於網路環境而得以完成的,故而,信息系統之中,在技術或者管理上所出現的問題,將會構成嚴重的
系統風險。當系統同交易方進行信息傳輸時,若系統與交易方的終端不兼容或出現故障,則會出現傳輸
中斷或速度降低的問題。除此以外,若是電腦死機、磁碟破壞、病毒侵入等問題,都會產生系統風險。
在未來大部分的交易支付都將會依賴於網路進行,因系統本身局限性而存在的風險,勢必將會妨礙到網
絡支付的順利進行。2004 年時曾出現了一個稱為「網銀大盜」的木馬,其輕易突破了銀行系統,並竊取
了用戶的賬號、密碼,這極大的妨礙了網路支付的順利發展。
2. 人為風險
人為風險所指的是在交易之中,個人因素所導致的密碼及其他重要信息的泄露所產生的風險。大多
數金融機構基於成本考慮,會尋求外部力量的幫助來解決營運中的技術或管理問題。這是一種雙刃劍的
做法,解決自身問題的同時也將自己暴露在於風險之中。
1) 金融機構外部風險
黑客通常會採用 IP 地址欺騙、篡改用戶數據等等的技術來達到自己非法牟利的目的。黑客會將自己
偽裝成某一台受到信任的主機,向其他主機發送含有病毒的信息包,或是在郵件伺服器中冒名他人信息。
較為常見的黑客侵襲方法還有拒絕服務攻擊、同步攻擊、網頁欺騙等等。手段多樣,且不斷翻新,讓人
防不勝防。
一些電腦高手所設計的病毒與木馬是網路支付安全之中的一個巨大威脅。各大網站甚至一些知名網
站也難以倖免的被安放有後門。這些黑客程序不僅會破壞電腦系統,還會盜取當事人的賬戶信息等敏感
內容文件,對人們網上支付造成了極大的危害。美國的銀行賬戶,每年在網路上損失的總金額高達 6000
萬美元,與此同時企圖進行的電子盜竊案的總數更是到達了 5~100 億美元,持械劫匪搶銀行的平均作案
值能達到 1500 美元,「電子扒手」的平均作案值則能夠達到 25 萬美元。
2) 金融機構內部風險
對於網路支付行業的從業人員方面的管理,是網路支付安全之中相對薄弱的一環,這一群體具體掌
握著網路支付流程之中的各環節,網路認證、防火牆等等方面的工作都是由這些從業人員來完成的。目
前國內的網路支付案件不少是由於內部人員所引起的,有逐步上升的一個趨勢。網路支付的安全保護系
統被從業人員自內部「攻破」之後,無論是多麼先進的技術手段也都無能為力。
3. 信用風險
信用風險又被稱之為違約風險,所指的是網上支付中各交易方無法或未能履行約定義務而造成經濟
損失的風險。
1) 買方失信
買方違約的情況。以資金角度出發,雖然買方不履約,未必會造成賣方或第三方企業的資金損失。
不過,這樣會增大支付企業的營運成本和信用成本,低信用度用戶的比重將增大,各類風險都會有所增
加。買方所存在的信用風險還可能會涉及到資金來源是否合法、買方否認交易操作、以虛假身分進行交
易、洗錢等等問題。
2) 賣方失信
賣方提供不出與買家商定的產品,不能以預定時間送達到客戶手中,這將會引起買方的相關損失,
如退貨的相關費用、與賣方交涉所產生的時間成本及其他費用,賣方自身的運營成本和誠信成本大幅增
加,造成信譽的極大損失。
3) 銀行失信
銀行在遲延結算或是非本行銀行卡交易時發生拒付,遲延結算等等問題將會產生資金流動性風險。
網上銀行以遠程通信為方法,經由信用認證相關程序對借款者的信用進行自己的風險評估,這可能會增
加網上銀行自身的信用風險。借款人未必會履行電子貨幣的借貸所應當承擔的義務,也可能由於借貸人
評估系統不夠健全,進而造成信用評估產生失誤,引起銀行的誤判。
4. 運營風險
從銀行角度出發,此類風險所指主要是交易的處理、流程管理中的失誤或者是與貿易夥伴之間關系
的破裂而造成的損失,產品在特性或設計上存在不合理之處、員工服務漫不經心,亦或者是對特定客戶
不能提供應有的專業服務而產生客戶流失等原因而引起的銀行損失。業務賬目記錄錯誤、信息交流之中
存在錯誤信息、沒批准而擅自賬戶錄入、未得到客戶允許就進行的交易、交割過程中產生的失誤等原因
所產生的各類損失,產品自身的功能欠缺、強行進行銷售、對敏感問題的隱而不發、不當的客戶建議、
職員操作過程中的粗心、廣告內容缺乏合理性、交易的不合理性、銷售過程中的歧視態度等等問題,導
致與客戶之間的一個信託關系發生破裂、合同關系發生破裂、客戶關系發生破裂,進而造成的各類重大
損失。