高等职业教育技能型人才培养实训教材电子商务安全与支付技术主编屈武江王斌中国人民大学出版社第1章电子商务安全概述1.1电子商务及其安全概述1.2电子商务的安全需求1.3电子商务的安全威胁1.4电子商务系统的安全性要求1.5电子商务的安全技术及安全规范1.掌握电子商务安全的概念2.了解电子商务的安全需求和安全威胁3.了解电子商务的安全技术和安全规范4.了解电子商务安全与支付技术的概况学习目标和要求2011年2月春节前后,多家全国性的商业银行和地方城市银行客户遭遇大批量短信诈骗。骗子在短信中声称银行动态口令升级,请储户访问指定网站更新。许多储户信以为真,上网登录了这些网站。将自己的银行卡、手机号等信息提交,并随后还按网站提示的方法,把银行返回的验证码也一并交给骗子。结果导致大量储户资金被盗,损失数千元至数百万元不等。2011年3月,知名互联网交互设计专家“一叶千鸟”网购被骗5万余元。互联网行业老兵网上购物尚且被骗,普通网民在线购物面对猖獗的网购木马、钓鱼网站,已成待宰羔羊。2011年6月28日晚8点,新浪微博突然遭遇蠕虫式的“病毒”攻击,众多加V认证的名人微博自动发布带攻击链接的私信或微博。后查明,这是攻击者利用新浪微博的XSS(跨站)漏洞攻击,点击某个微博短址链接后,会自动加好友,自动发微博并同时传播攻击链接。结果在短短半小时左右,数万人受波及。幸运的是,攻击者事实上并无恶意,只是一次恶作剧,但XSS蠕虫攻击的威力已被公众领教。2011年末,中国公众经历了一次大规模个人信息泄露事件的洗礼,几乎人人自危。CSDN、天涯等众多互联网公司信息被公开下载,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。这些信息均为黑客攻击商业网站后窃取并泄露到公众面前,而黑客手中掌握的公众信息到底有多少,对公众还是个未知数。随着Internet的迅速发展和广泛应用,其安全性已变得日益重要起来。对于依赖于Internet生存的电子商务而言,安全问题更是网上企业和消费者亟待解决的头等大事。电子商务已成为业界新热点,同时它也带来了商务活动的全新运作模式。商务活动的一系列过程都体现着参与商务行为各方的权利、责任、义务和利益。传统的商务活动模式,由于经历了漫长的社会实践,所以在社会意识、人员素质、职业道德、政策法规以及技术等各个方面都已逐步完善,形成了大体适应的规范和支撑环境。然而,对于迅速发展的电子商务热潮,这一切却处于刚刚起步阶段,其发展和完善将是一个漫长的过程。就目前来看,电子商务活动中的安全问题,已不可否认地成为阻碍电子商务发展的一个“瓶颈”。在Internet环境中开展电子商务,客户、商家、银行等诸多参与者都会担心自己的利益是否能够真正得到保障。因此,国际组织、各国政府以及IT业界人士都在致力于安全问题的研究,期望逐步把网上的混沌世界变得有序、可信、安全。只有保证了电子商务的安全,才能够吸引更多的社会公众投身于电子商务、应用电子商务,才能使电子商务健康地生存、高速地发展。1.1电子商务及其安全概述1.1.1电子商务的含义通俗地说,电子商务就是在计算机网络(主要指Internet)的平台下,按照一定标准开展的商务活动。当企业将它的主要业务通过企业内部网(Intranet)、企业外部网(Extranet)以及Internet与它的职员、客户、供销商以及合作伙伴直接相连时,其中发生的各种活动就是电子商务。1.1.2Internet的发展Internet起源于20世纪60年代末美国的ARPAnet。ARPAnet是一个用于军事方面的计算机网络,1969年作为一个试验网络投入运行,之后逐年扩大,1975年结束试验交付使用。ARPAnet覆盖美国和欧洲大部分地区,把数量很多、种类各异的计算机连接成一个国际性远程网。ARPAnet的研制过程为计算机网络的发展打下了理论和实践基础。1983年,TCP/IP成为ARPAnet上的标准通信协议,一个真正意义上的Internet出现了。“Internet”这个名称的使用是从MILnet(从ARPAnet中分离出来的网络)和NSFnet(美国全国科学基金会开发的地区性学术网络)的连接开始的。NSFnet连接了全美上百万台计算机,拥有几百万用户,是Internet最主要的成员网。后来随着各种计算机网络的不断开发,Internet蓬勃发展。到20世纪90年代早期,万维网(WorldWideWeb,WWW)出现了,它成为人们上网浏览的最流行方式。根据中国互联网信息中心调查显示:截止2012年1月16日,中国网民人数在2011年底已经突破5亿,达到5.13亿人,与2011上半年相比增加了2800万人。目前中国互联网普及率已经高达38.3%,与同期相比增加了4个百分点,随着信息技术的飞速发展,我国电子商务环境日趋成熟。1.1.3电子商务的发展1991年美国政府宣布Internet向公众开放,允许在网上开发商务应用系统。1993年Internet上出现万维网,这是一种具有处理数据、图、文、声、像、超文本对象能力的网络技术,使Internet具备了支持多媒体应用的功能。1995年Internet上的商业业务信息量首次超过了科教业务信息量,这既是Internet开始爆炸发展的标志,也是电子商务大规模发展起步的标志。如今,电子商务正在以无比迅猛的势头发展着。据资料显示,2011年我国电子商务交易额接近6万亿元,在GDP的所占比重已经上升到13%;2007年至2010年,电子商务交易额年均增长均超过30%。到2011年底,我国网络购物用户规模达到1.94亿人,网络零售总额已经超过7500亿元,在社会消费品零售总额中所占比例超过4%,从以上资料显示,我国的电子商务发展速度惊人,可以预见我国的电子商务具有良好的发展前景。1.1.4电子商务的安全现状1.1.4.1电子商务的安全问题日益受到重视以Internet技术为基础的电子商务,每天需要进行千百万次的交易。Internet本身是一个高度开放性的网络,这与电子商务所需要的保密性是矛盾的,而Internet又没有完整的网络安全体制。因此,基于Internet上的电子商务在安全上无疑会受到严重威胁,电子商务交易的安全性问题将是实现电子商务的关键。在电子商务的发展过程中,各产业对网络的技术依赖达到空前的程度。军事、经济、社会、文化各方面都越来越依赖于网络。这种高度依赖性使社会变得十分“脆弱”,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机的泥沼。因此,电子商务安全日益受到各国的高度重视。1.1.4.2黑客的威胁上升随着经济信息化进程的加快,计算机网络上黑客的破坏活动也随之猖獗起来。黑客及黑客行为已对经济秩序、经济建设、国家信息安全构成严重威胁。“黑客”是英语“Hacker”的音译,原意是指有造诣的电脑程序设计者,现在则专指那些利用自己掌握的电脑技术,偷阅、篡改或窃取他人机密数据资料,甚至在网络上犯罪的人,或者是指利用通信软件,通过网络非法进入他人的电脑系统,截获或篡改他人计算机中的数据,危害信息安全的电脑入侵者。电子商务系统在防不胜防的破坏性活动面前,有时会显得软弱无力,谁都无法预测将会受到什么样的威胁。信息安全漏洞之所以难以堵塞,一方面是由于缺乏统一的信息安全标准、密码算法,协议在安全与效率之间难以两全;另一方面则是由于大多数管理者对网络安全不甚了解。另外,信息犯罪属超越国界的高技术犯罪,要用现有的法律来有效地防范十分困难,现有的科技手段也难以侦察到计算机恐怖分子的行踪,罪犯只需要一台计算机、一条网线、一个网卡就能远距离作案。上述种种原因,无形中加大了依法惩治黑客犯罪行为的难度,给反黑客工作带来相当大的困难。一方面,科学家很难开发出对保障网络安全普遍有效的技术,另一方面又缺乏足以保证网络安全措施得到实施的社会环境。随着Internet的普及,电子商务安全问题已成为信息时代必须尽快加以解决的重大课题。此外,基于Internet的电子商务在迅速发展,不难想象,黑客的攻击一旦得逞,整个商务系统瘫痪,将会造成多么巨大的损失。1.1.4.3计算机网络病毒给电子商务造成的损失继续增加目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上,计算机网络病毒给电子商务造成了非常大的损失,可以这样说,没有任何一台计算机没有感染过计算机病毒的,都受到过计算机病毒的破坏。(1)木马病毒爆炸性增长,变种数量的快速增加(2)网络病毒传播方式的变化(3)网络病毒给电子商务造成的损失继续增加1.1.4.3电子商务金融系统的安全缺乏保障电子商务金融使资金流动在网络里实现。同传统的金融管理方式相比,电子商务金融管理很不完善,于是电子商务金融系统成了犯罪活动的新目标。随着电子商务的发展,我国电子商务金融系统中发生的计算机犯罪也呈上升趋势。近年来最大一起电子商务金融系统中的计算机犯罪案件造成的经济损失高达人民币2100万元。目前,我国已发生了多起利用计算机网络进行电子商务金融犯罪的案件。对我国电子商务金融系统安全现状,专家们有一些形象的比喻:使用不加锁的储柜存放资金(电子商务企业缺乏安全防护);使用“公共汽车”运送钞票(电子支付系统缺乏安全保障);使用“邮政托寄”的方式传送资金(转账支付缺乏安全渠道);使用“商店柜台”方式存取资金(授权缺乏安全措施);使用“平信”邮寄机密信息(敏感信息的传递缺乏保密措施)。在针对银行的计算机犯罪案件中,具有破坏性的犯罪类型是篡改数据,而各银行对数据传递、操作密码保护和储户密码保护都缺乏有力的安全措施。1.1.4.4电子商务安全保障措施尚待加强与发达国家相比,发展中国家的电子商务安全更显得脆弱不堪。其原因是多方面的:发展中国家的许多部门只看重电子商务的应用带来的巨大财富,没有意识到电子商务安全系统存在的漏洞,忽视电子商务支付系统的安全技术防范,从而埋下了安全隐患;电子商务安全保卫工作严重滞后,不少企业的电子商务安全保障工作还在使用传统的“看家护院”的工作模式,行之乏效,没有从管理制度上建立相应的电子化业务安全防范机制。在电子商务交易中,商家、客户和银行等各参与方是通过开放的Internet连接在一起的,相互之间的信息传递也要通过Internet来进行,这一变化使得交易的风险性和不确定性加大,从而对网络传输过程中数据的安全性和保密性提出了更高的要求,尤其对于电子商务支付中涉及的敏感数据传递,则更需确保其万无一失。电子商务的安全性是由计算机的安全性,特别是计算机网络的安全性发展而来的。安全问题是电子商务系统所要解决的核心问题。电子商务对网络及计算机应用系统提出了许多安全要求,只有建立起科学、合理的安全体系结构,才能保证电子商务交易的安全实施。1.2电子商务的安全需求Internet拉近了人们的空间距离,使人们在Internet上进行交易时根本不需要考虑地域的概念,不论身在何处,都可以随时交易。Internet使交易双方在交易过程中无须面对面,这方便了交易各方,但也带来了极大的安全隐患。例如,交易各方的通信有没有安全保障?交易各方的身份是否真实?交易的结果是否具有效力?诸如此类的问题使得人们在高喊“大力发展电子商务”的口号的同时,不得不对电子商务的安全需求进行冷静的思考。1.2.1电子商务网站的安全维护企业要想在Internet上开展电子商务业务,就必须拥有自己的网站,现有的电子商务网站,大多数都是基于B/S结构的,网站都是使用Web页面编程语言HTML(HyperTextMarkupLanguage)、Java语言等编写宣传介绍自己企业的有关材料,综合运用文字、声音、图像向全世界介绍企业概况,发布企业最新消息,展示产品和服务,介绍现有的和正在开发中的新技术,以迅速提高企业的知名度,树立企业形象,增加贸易机会。但是电子商务网站处于开放的Internet环境中,网站会经常受到黑客的有意攻击,黑客经常会出于商业等某种目的,入侵到电子商务网站,对网站进行篡改、损毁、窃取资料。如不及时发现、及时恢复,黑客留下的不堪入目的