普通大众防范网上交易风险的必要性.docVIP

普通大众防范网上交易风险的必要性 　　摘要：针对网上交易安全内容及电子交易系统身份认证方式，提出客户端网上交易安全防范策略，借此提高网上交易安全性，保护大众客户的财产不受损失。 　　关键词：网上交易；安全；风险防范 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)12-20ppp-0c 　　 　　It is Essential for Ordinary People to Avoid the Risks of Doing Business over the Internet 　　WANG Xiu-ying 　　(Vocational Technology Academy, Liaoning Technical University, Fuxin 123000, China) 　　Abstract: When doing internet trading and electronic ID authentication, it is necessary to take precautions and protective measures to assure client computer security, in order to improve the safety of internet trading and guard the assets of ordinary people. 　　Key words: internet trading; security; beware the risks 　　 　　1 引言 　　 　　随着中国股市的崛起，极大地激发了人们的投资热情。目前，中国股民开户数已达1.4亿多户。中国股市的繁荣直接带动了网上交易的蓬勃发展，它以其方便、快捷等特点受到广大股民的喜爱。同时，随着银行业、保险业电子化进程不断深化和完善，网上交易已悄然走进千家万户。然而网上交易在给人们带来方便的同时，也给大家带来了安全隐患，网上交易犯罪数量不断攀升，给国家及个人财富带来极大的风险。有鉴于此，本文从分析网上交易过程入手，帮助大众用户防范其交易风险。 　　 　　2 网上交易安全内容 　　 　　网上交易安全问题主要包括三方面的内容：Web服务器及其数据的安全、Web服务器和用户之间传递的信息的安全以及终端用户的计算机及其他连入Internet的设备的安全。Web服务器及其数据的安全问题主要包括：保证服务器能够持续稳定运行；保证只有经过授权才能修改服务器上的信息；保证能够把数据发送给指定的接受者。Web服务器和用户之间传递的信息的安全问题主要包括：确保用户提供给Web服务器的信息如用户名、密码、财务信息、访问的网页名等不被第三方所阅读、修改和破坏；保护用户和服务器之间的链路，使得攻击者不能轻易地破坏该链路。终端用户的计算机及其他连入Internet的设备的安全问题主要包括：用户需要使用Web浏览器和安全计算平台上的软件，必须保证这种平台不会被病毒感染或被恶意程序破坏；用户需要保护自己的私人信息，确保它们无论是在自己的计算机上还是通过在线服务时都不会遭到破坏。 　　通过对网上交易攻击难度的评估，以及对近年来网上电子交易案件分析，可发现直接攻击Web服务器端或Web服务器和用户之间连接的案例并不多见，技术难度也较高。因此，攻击者往往把目光盯上了疏于保护的用户的桌面电脑上，通过种植木马病毒等方式，窃取用户的用户名、口令、账号及数字证书，进而冒充用户进行电子交易，达到窃取资金的目的。下图为网上交易攻击手段难易度评估图，从图中可以看出网上交易安全防范最薄弱的环节――客户端的攻击。在此就客户端对网上攻击的防范手段做以分析，寄予帮助大众客户能够安全的使用网上交易，真正享受到网上交易带来的好处。 　　 　　 　　 　　3 电子交易系统身份认证方式 　　 　　电子交易系统身份认证方式主要分为静态口令、动态口令、数字证书、生物认证等四种主要方式。 　　静态口令是由用户自行设定的口令，一般情况下，用户不会在一个相对短的时间间隔内频繁地更换自己的口令，因此这种口令基本上是静态方式；动态口令是由特定手持终端设备生成的，根据某种加密算法，产生一个随某一个不断变化的参数（例如时间，事件等）不停地、没有重复变化的一种口令。动态口令令牌是用户每隔一分钟变换一次口令，攻击者没有办法推测出用户的下一次登录口令；数字证书则是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件，能够保证用户在网上传送信息的安全，防止其他人对信息的窃取或篡改；生物认证是通过人体的唯一生物特征对