电子商务安全与支付.doc

电子商务存在的安全威胁

目前，电子商务发展面临的主要问题之一是如何保障电子交易过程中的安全性。交易的安全是网上贸易的基础和保障，也是电子商务技术的难点，围绕电子商务安全的防护技术已经成为了目前电子商务研究的重点之一。在电子交易过程中，消费者和商家面临的安全威胁通常有以下几个方面：

1信息的截获

在电子商务中，信息流和资金流以数据的形式在internet网络中传输。在传输过程中，如果没有采取加密措施或加密强度不够，攻击者可能通过Internet网络在电磁波范围内安全截获装置或在数据报道通过的网关和路由器上截获数据，获取传输的机密信息，或通过对信息流量、通信频度和长度等参数的分析，推测出有用的信息，如消费者的银行帐号、密码以及企业商业机密等。

2信息中断

这是针对可用信息进行的攻击。在中断过程中，信息资源变得易损失或不可用。网络故障、操作错误、应用程序错误以及计算机病毒等恶意攻击都能导致电子交易不能正常进行。因此，要对此产生的潜在威胁加以预防和控制，以保证交易数据在确定的时刻、确定的地点是有效的。

3信息篡改。当攻击者熟悉了网络信息格式化后，通过各种技术和手段对网络传输的信息进行中途修改并发往目的地，从而破坏信息完整性。例如，改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除某个消息或是消息的某些部分；在消息中插入一些让接收方不懂或接收错误的信息等。

4信息的伪造

当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以伪装成合法用户或发送伪造的信息来欺骗其他用户，主要有以下两种方式：

一种是伪造电子邮件。例如，虚开网站和电子商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家服务器的资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应等。

另一种是假冒他人身份。例如，伪装成他人身份，进行非授权信息资源的访问或者骗取对方的信任：冒充网络控制程序，套取和修改使用权限、保密字、密钥等信息；接管合法用户，欺骗系统，占用合法用户资源。

5交易抵赖

交易抵赖包括多方面，如发送方事后否认曾经发送过某条消息内容；接收方事后否认曾经收到过某条消息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。

由于电子交易是基于internet基础上的，因此，除了在交易过程中会面临上述安全威胁外，还会涉及一般计算机网络系统普遍面临的一些安全问题。从网络安全角度考察，网络系统面临的主要安全威胁有以下几种：

1物理实体的安全问题。

包括设备的功能失常、电源故障、由于电磁泄漏引起的信息失密和搭线窃听则是认为的，是非法者常用的一种手段，将导线搭到无人值守的网络传输线路上进行监听，通过解调和正确的协议分析就可以完全掌握通信的全部内容。

2自然灾害的威胁

计算机网络设备大多是一些易碎品，不能受重压或强烈的震动，更不能受强力冲击。所以，各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成了强大的威胁。

3黑客的恶意攻击

所谓黑客，现在一般泛指计算机信息系统的非法入侵者。黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。

4软件的漏洞和“后门”。在计算机网络安全领域，软件的漏洞是指软件系统上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。随着计算机系统的复杂程度日益增高，开发一个大型的电子商务应用软件，要想进行全面彻底的测试已经变得越来越不可能了。一个实际的电子商务系统，总会多多少少留下某些缺陷和漏洞。而“后门”是软件设计者为了进行非法授权访问而在程序中故意设置的万能访问口令，这些口令无论是被攻破，还是只掌握在设计者手中，都对使用者的系统安全构成严重的威胁。

综上所述，软件的漏洞和“后门”则是完全可以避免的；漏洞是难以预知的，而“后门”则是人为故意设置的。

5网络协议的安全漏洞。众所周知，电子商务系统是基于internet网络平台上的信息系统，通过internet基础设施向电子商务应用提供各种网络服务。而网络服务则又是通过各种协议来实现的。目前，internet采用的TCP/IP协议簇，如TCP/FTP和HTTP协议等，在安全方面都存在着一定的缺陷。当今许多黑客攻击就是利用了这些协议的安全漏洞才得逞的。事实上，网络协议的安全漏洞是当前internet面临的一个重要安全问题。

5计算机病毒攻击

由于internet的开发性，计算机病毒在网络上的传播比以前快了许多，而且internet的发展和普及又促进了病毒制造者之间的交流，使新病毒及其变种层出不穷，杀伤力也大为