網上交易安全問題探討[摘要]近年來，電子商務迅速發展，網上交易也成為電商與網購者主要交易方式，原因在于電子商務與網上交易方便快捷并且物美價廉。但自從網上購物的開始，關系到在線商務網上交易的問題已經成為一個重要的發展問題。今年不斷涌現的網上交易安全問題的案例證明，網上交易雖可實現3A（任何時間、任何地點、任何方式）模式，但其風險也是不可控的。網絡銷售可能遇到網絡釣魚、黑客攻擊、買家信譽以及數字證書等幾個方面的問題，網上購物則容易遇到聊天工具、支付工具、購買原則和行為方面的問題。本文就將通過研究，總結網上交易安全存在的問題，從而針對問題提出解決方案和改進意見。通過文獻分析法、案例分析法（支付寶案例）等形式，對網上交易安全問題進行深入探討，從而使消費者和商家認知基礎的安全措施和技能,為廣大網上購物的客戶提供良好服務的同時，不僅能讓網上交易的客戶感覺到良好服務的同時，也能防止自己被騙，發生資金上不必要的損失。第1章緒論1.1研究背景近年來，電子商務迅速發展，網上交易也成為電商與網購者主要交易方式，原因在于電子商務與網上交易方便快捷并且物美價廉。但自從網上購物的開始，關系到在線商務網上交易的問題已經成為一個重要的發展問題。今年不斷涌現的網上交易安全問題的案例證明，網上購物雖可實現3A（任何時間、任何地點、任何方式）模式，但其風險也是不可控的。其風險主要體現在服務器端與客戶端，其中要數客戶端安全問題之大。另一方面，可以從網絡銷售與網上購物二者的角度看，網絡銷售可能遇到網絡釣魚、黑客攻擊、買家信譽以及數字證書等幾個方面的問題，網上購物則容易遇到聊天工具、支付工具、購買原則和行為方面的問題。1.2研究目的和意義社會科技的進步，人們的生活水平提高，相對的服務項目也隨之發展并興起，電子商務以新穎的方式及便捷的通道為人們的生活購物提供了便利，潛移默化的影響著人們的生活方式。當然，在這同時，也讓一大批的優秀的電子商務公司及個體戶發展起來。在享受電子商務帶來便利的同時，不斷總結在交易過程中出現的問題，可以為推動電子商務往良好的快速安全的方向發展1.3研究方法與思路1.3.1研究方法本文將通過文獻分析法、案例分析法等形式，對網上交易安全問題進行深入探討，從而使消費者和商家學習必要的安全措施和技能，為廣大網上購物的客戶提供良好服務的同時，防止自己被騙，發生資金上不必要的損失。1.3.2研究思路本文將從服務器與客戶端、網絡銷售與網上購物這四個維度進行分析，對比其中可能存在的問題，挖掘潛在的風險，并提出簡易的網上交易安全保護措施，為消費者提供良好的保障。不僅如此，本文還將對現有的網絡交易的安全模式進行分析，提出新型安全模式，為網絡安全保駕護航。第2章對網上交易安全的認識2.1網上交易網上交易主要是指在網絡的虛擬環境中進行的交易。交易方式與在現實實體商店中交易類似，差別在于網上交易利用了電子商務的各種手段，將買和賣的交易過程進行虛擬化。2.2網上交易的特點2.2.1現代信息技術是實現網上交易的前提現代社會對科學技術的依賴性大大提高，而網購的依賴性已經成為信息技術和實現支持的技術之一。要實現網上交易或電子商務，都必須一信息技術的服務為前提，同時，網上交易（或電子商務）的完善，離不開信息技術提供相應服務來支持。2.2.2在虛擬的市場運作電子虛擬市場（ElectronicMarketplace）是指參與商務活動的生產者、中間商和消費者的業務活動，以便向市場推出了數字互動交易。網上交易便是在這樣的一個互動環境中活動完成的。2.2.3市場范圍廣網上交易（電子商務）的市場環境范圍不僅包括互聯網，還有電子社區、國際貿易等，已經打破了傳統意義上的市場局限，不再有國內和國際的界限。2.2.4交易迅速、信息傳遞高效通過e-mail、FTP、網站等媒介，網上交易（電子商務）中的信息傳遞告別在過去的信息傳輸，速度慢，功能單向，引領邁向了信息時代、網絡時代的一個重要的步驟。并且隨時隨地就可以進行交易和信息反饋與溝通。2.2.5服務范圍廣網上交易（電子商務）的范圍滲透廣，其中包括全社會的參與，其參與者已不僅僅限于提供高科技產品的公司，如軟件公司、娛樂和信息服務行業及其他業務。在信息時代下，電子商務數字化的革命將影響到我們每一個人，改變這消費習慣和人們以往傳統的工作方式。2.3網上交易的利弊網上交易的優越性網上交易可以方便自己，開通銀行的網上支付，直接一個電話或在電腦上點一下就行。省去到超市或到市場花錢購買的時間。實現購物到配送一體化。至于中間的環節就由物流公司來在做。網上交易的弊端網上交易要的是彼此之間的信任才行的，有的是錢到了貨沒到。有的是貨到了才付錢的。因為網上交易缺乏信任程度。黑客問題、網絡釣魚問題也時常困擾著交易者。第3章網上交易潛在風險分析3.1分析維度定義網上交易風險比起現實交易大，原因在于它是虛擬的，無法用肉眼看得見手指摸得著的錢幣來衡量。網上交易的風險諸多，不同的風險又有不同的問題存在，有些問題甚至無可避免。因此，在此我們將風險劃分為服務器與客戶端安全問題、網上銷售與網上購物兩個維度進行分析。3.2服務器與客戶端問題服務器安全問題服務器端的安全問題主要包括：一是硬件存在的安全問題，即硬件本身的質量問題、不正確的使用方法、對硬件管理的忽略、運行環境安全要求沒有達到等；二是軟件存在的安全問題，即操作系統本身的安全、應用軟件存在的安全問題、計算機病毒、后門等；三是網絡安全存在的問題，即黑客攻擊、加密疏漏、授權不當等；四是數據資料安全問題，即誤操作、惡意操作、泄密等?？蛻舳税踩珕栴}很多用戶缺乏必需的網上銀行的安全意識和措施的認識，所以，攻擊者往往通過種植木馬病毒等方式來竊取客戶的用戶名、口令、賬號及數字證書，從何假冒客戶的身份進行電子商務交易，以此來盜取客戶的資金為自己所用。假冒客戶進行電子交易是基于通過電子交易系統身份認證為前提，所以，要杜絕這個隱患，必需從客戶身份認證這個環節入手。最近這幾年發生的網上銀行資金被盜竊的案件表明，盜竊分子都是通過非法途徑獲得客戶的用戶名，口令和數字證書等信息來作案的。3.3網絡銷售與網上購物問題3.3.1網絡銷售問題網絡釣魚問題：網絡釣魚是指不法分子通過發送欺詐性的郵件和偽造的web站點來獲取用戶的賬號信息，如淘寶的會員賬號和登錄密碼，支付寶賬戶和支付的密碼等。如果在交易過程中，買賣雙方在溝通時，買家在通過聊天工具向賣家發送淘寶之外的網站鏈接，就有可能是在發布釣魚鏈接，沒有防患意識的買家很有可能點擊這個鏈接，在不知不覺中泄露自己的賬號和密碼，以此來破壞賣家的店鋪，盜取賣家的店鋪資金等，給賣家造成嚴重損失。黑客問題：黑客攻擊是指未授權的人利用操作系統和網絡或者安全管理的漏洞，通過一定的手段從網絡的外部非法侵入系統內部，以此獲得普通訪客沒有的權利，從而達到篡改，竊取，非法使用用戶的信息。黑客問題的存在，是正常開展電子商務的一種阻礙，甚至威脅到網絡市場秩序的建設和國家信息安全等。買家信譽問題：當網店中有客戶來購買時，先考察一下買家的信譽情況。比如何時注冊的賬號，買家好評率，給別人的評價情況，支付寶退款情況以及買家的聊天信息，這些數據一般就可以判斷出買家是否是善意的買家。如果遇到職業差評師，那么他們的目的就是利用信譽評價機制威脅詐騙錢財，和這樣的買家交易不僅不會盈利還會遭受資金和信譽上的損失，即使挽回損失，也耗費了不少的時間和精力，因此要避開這類的購物人群。3.3.2網上購物安全問題網絡釣魚問題：網上交易中的買方也必需具備相應的網絡釣魚意識，不亂點開購物網站以外，任何人發送的網絡鏈接，一定要從購物網站的主頁去搜索自己所需要的東西，以免自己的賬號和密碼外泄，從而使自己蒙受損失。聊天工具問題：應避免使用網站認可外的聊天軟件，例如利用淘寶進行購物，應該使用淘寶認證的唯一聊天工具阿里旺旺，避免被不法賣家誘導到使用QQ，人人等聊天工具，因為淘寶只認準通過阿里旺旺的聊天工具的聊天內容，此可以作為你以后維護自己權利的證據，如果使用其他聊天工具，那你就會使自己的權利喪失。從而使網上交易存在不必要的風險。第4章網絡安全辦法與改造規劃4.1網上交易安全辦法迄今為止，黑客能夠攻擊網銀應用系統主要是因為軟件供應商提供的系統產品自身就存在了缺陷和漏洞和網絡通信的TCP/IP協議，由于在軟件研發階段無法充分預見到生產環境下的廣泛用途，造成了安全認證機制的漏洞。不過由于最近幾年，許多銀行的網上銀行屢屢被攻擊，各銀行對網上銀行安全的重視大大提高，加強了安全方面的建設，所以，最近幾年，黑客直接攻擊服務器的現象還是比較少的，甚至沒有。客戶身份認證方式主要有四種：動態口令、靜態口令、生物認證和數據證書。動態口令是根據某種加密算法，所產生的隨某一個不斷變化、沒有重復的一種口令。用戶使用動態口令卡或特定動態口令生成器，每次登錄網銀時變換一次口令，攻擊者無法推測出用戶的下一次登錄口令。靜態口令是由用戶自行設定的口令。生物認證是通過人體的生物學特征進行個人身份認證的方式，如面容認證、指紋認證、聲音認證、掌紋認證、視網膜認證等。數字證書是基于國際PKI標準的網上身份認證系統。客戶必須保護好相應的認證信息，安全使用網上交易系統，以免發生被黑客冒充，而導致丟失資金的情況。選擇擁有高安全性的網上交易系統。竊取人體指紋要比靜態口令增加一定的難度，提供了有雙重身份認證網上銀行如數字證書加一次性手機短信密碼比采用單一認證方式的網上銀行系統要安全許多，所以選擇一家擁有高安全性的網上交易系統的銀行非常重要。不要訪問不良信息的網站，這樣的網站常常包含木馬病毒。收到來歷不明的郵件或是鏈接時，不要輕易相信打開，不要在公共的場合公用的電腦保存留下自己的個人資料，以及賬戶信息和賬戶密碼，離開時要隨手注銷清除已經登陸并且瀏覽過的網頁，同時使用電腦中的殺毒等相關軟件，為網購做好保障。在使用網上交易活動時，不要輕易相信網絡中的中獎信息，不要貪圖小便宜，給對方匯款，在登錄網上銀行也要格外小心，不要向網絡上任何人透露自己的銀行帳號及密碼之類的敏感資料，不要隨意提供個人資料注冊會員，時刻提高警惕，為網上商務交易保駕護航。網上還有這樣一類人：職業差評師。他們利用那些剛剛起步，交納了保證金薌誠心誠意吧網店做好，又常常害怕失去信譽，怕自己的生計毀于一旦的心理詐騙錢財，職業差評師挑選的對象往往不會離自己的地址太近，因為害怕賣家找上門，制造麻煩。再一個，收到貨后一直說不好，又不要拍照片證明，各種挑毛病，打電話向賣家要錢，這樣完全找不到他們訛錢的證據，構不成犯罪。當此類事件發生的時候，作為賣家贏保持冷靜，提高警惕以及維護自權利的意識。仔細分析買家過往交易，做好電話錄音，以便留下證據，在一個可以相關機構投訴。不隨意下載網上可執行程序和圖片。原則上只下載和使用經過代碼簽名的可執行程序，以免感染木馬病毒。充分利用銀行提供的增值服務?，F在大多數銀行都提供了交易的短信、郵件提醒，可以充分利用銀行的貼心服務，及時掌握自己的賬戶變動情況。4.2網上交易安全改造目標對網上交易的安全認證中心進行重新構建，構建信的安全認證數據庫，用新型認證方式代替以往的需要用戶賬號和密碼進行認證的方式。提供更高安全的登錄認證方式。構建與網上銀行的個人證書認證系統相似的認證系統，對一些高級客戶建立特定的硬件證書以此來保證他們網上商務活動的安全性，并可以為他們提供一些更為高端的網上交易安全服務。對于一般的客戶，可采用計算機綁定客戶的認證方式以此來減少成本，提供成本低但是安全系數又高的解決辦法。經常對客戶端的交易軟件進行升級服務，對軟件的一些漏洞和缺陷進行補丁，增加反調試和抗反向編譯的能力，防修改能力，增加定時主動中斷和主動鎖定功能。在安全檢查認證的基礎上，增加向客戶提示最后一次登錄登錄信息的提示。提供客戶預留信息和登錄的回執功能并顯示，向客戶證實登錄的是公司的交易站點。構建網上交易的集中管理和監控系統，日志集中管理和分析系統，并通過這些系統實時記錄客戶的登錄特點信息，例如（IP地址、網卡地址、終端信息、手機號等），增加客戶交易信息的可查詢性，可分析性。4.3安全解決方案1、使用戶管理平臺和交易中心之間形成連接，驗證和提取客戶信息；2、用用戶管理平臺向安全中心發送請求，再由安全中心向第三方證書廠商CA發送請求，然后接受一串返回的驗證數據，從而證書的申請過程完成；3、通過用戶管理平臺發送下載證書命令，由安全中心連帶命令和驗證數據送入CA中，CA返回證書下載入U-KEY，完成下載過程；4、客戶在本機上插入U-KEY，證書由交易中心送入安全中心后進行驗證，驗證后返回一判斷值，判斷正常方可登陸。

第5章支付寶快捷支付案例分析5.1案例介紹支付寶，是淘寶公司為了網上交易安全特別推出的為安全支付特別推出的在線服務，其運作的核心是基于支付寶的中介信用，在買家確認收到商品前，替交易雙方提供暫為保管資金的一種增值服務。事實上，支付寶屬于阿里巴巴公司，該公司成立支付寶旨在解決網上支付安全的問題，買家應在確定購買的商品后,對需要購買的商品的金額，進行支付，而這些貨款，將支付到支付寶，由支付寶暫時貸款，支付寶收到貨款后，確認并通知買家發貨，買家對物品滿意后確認收貨，這時候支付寶將錢款進行一個月一結的錢款打給賣家，在整個交易過程中，買家都是處于主導地位，不需要去擔心錢款會沒掉，而支付寶作為一個完整的第三方信用中介機構，充分保護買家和賣家的錢款利益?？旖葜Ц秾嶋H上就是一種安全、方便的付款方式，只需綁定銀行卡，無需網銀，只需輸入支付寶密碼和手機校驗碼即可輕松完成支付付款。5.2支付寶支付安全分析隨著支付寶的發展并逐步成熟。支付寶現在采用了雙保險，不僅提供在交易過程中支付，保障了安全問題和完整性等方面，并保護支付寶自身的支付帳號，密碼，等的安全，使進行網上交易更加安全。

在現實生活中，人們可以使用密碼或者物理鑰匙來開啟保險箱，而在虛擬網絡的世界里，人們面對的是純數字化的數據信息，要對他們進行處理，也許這也需要一種類似鑰匙的數字憑證來增強賬戶的安全性，這就是類似證書秘鑰的數字證書。支付寶的數字證書是經過公安部，信息產業部，國家工商行政管理總局加密和其他機構的權威認證協會承認的，使用數字簽名技術，并發放給支付寶用戶的支付數字證書，老用以增強用戶賬戶使用安全的一種數字憑證，并基于用戶身份的支付寶網絡資源給予適當的訪問權限。數字證書安裝成功，如果其他人登錄您的賬戶沒有經過數字證書認證的話，他就沒有對賬戶中的資金進行操作的權限，使您能夠保護您的帳戶的安全性。。此外，數字證書不僅可以在你的U盤中導入，還可以卸載，例如，你可以在其他計算機使用數字證書，但是切換到另一計算機也必須導入并安裝，然后才能使用支付寶進行交易和轉賬。此安全措施可以避免帳號，密碼被盜。

支付寶是通過支付交易“貨到付款”和“款到發貨”發揮信用中介的作用，同時考慮到兩者并降低風險。這樣可以使得網絡騙子沒有機會騙取用戶的財物。這樣買賣雙方就不必擔心自己利益會遭受損失的問題，因為如果出現什么問題，支付寶負全責。用戶注冊并在其中運行的支付寶，并填寫了一些自己的隱私信息，一些用戶擔心怕他支付寶揭示他們的秘密而處于惶恐之中。這些過程都是由銀行的有關機關處理，以確保用戶的個人隱私不被泄露。因此，支付寶用戶應當不存在這種擔憂。然而，再安全的支付方式也會存在著安全隱患：信任隱患。我們對支付寶的使用是基于信賴支付寶或阿里為準的，也就是說如果從支付寶端產生問題，支付完全問題就將產生。例如支付寶違約跑路（雖然可能性不大）等等。由于支付寶所有驗證安全性的環節都是和支付寶安全體系接軌的，所以通過支付寶內部完全可以不經我們的同意而來利用我們的銀行卡進行現金交易等。通過推出肯定隨著《電子簽名法》的出臺和《合同法》在電子合同的法律效力，進一步促進很鼓勵電子商務的發展。然而，在電子支付過程中，迄今為止，國家的法律規范還沒有成為一個成文法，沒有一個完善的體系。例如可以通過修改《票據法》，承認電子文本具有合法的法律效力，電子簽名的合法性，已經是網上支付必不可缺的發展方向。國家的法律在電子商務迅速發展的同時，也慢慢暴露法律的滯后性，無形中阻礙了業務的展開和電子商務的發展腳步，我國應該對這方面著重重視，填補這類的法律空白，修改新的法律條文，來適應潮流的發展。2、短信驗證碼隱患。短信驗證碼在鏈路中使用的是沒有經過加密秘鑰計算的明文，所以快捷支付綁定短信支付碼是不安全的。有可能被不義之徒截取并盜用，這樣在每一次短信驗證時，就存在著極大的隱患。面對上述這種隱患，可以考慮采取多種驗證或是雙重短信驗證，例如在網上支付的時候，需要輸入一個靜態的支付密碼和輸入一個動態的密碼，比如隨機的手機短信，或是一個方程計算函數的小支付令。個人信息泄露隱患。由于不慎或是被迫泄露個人信息，導致密碼丟失，所造成的財產損失，也是使用支付寶的用戶存在的一個隱患。對于上述這種隱患，只能是靠個人的防范意識，多增加點防范信息，避免在不熟悉的網址上公開自己的個人信息，增強自己的保密意識，才能使得個人信息不被別人所利用。4、快捷支付開通隱患。開通快捷支付的方法很簡單，不需要網銀,只需要通過銀行的手機短信，即可完成申請。在眾多銀行的網銀里，銀行可以阻止借記卡上開通快捷支付，但是信用卡上無法阻止。但有些網銀不存在這個功能（如工行），只能開通后，事后在網銀里關閉快捷支付。但是亡羊補牢，為時已晚。對于這種隱患，銀行可以與新型交易接軌，加強安全認證機制。5.3建議加強在線交易支付寶的安全性當前，支付寶在日常支付中已經成為了不可缺少的一部分，并且發揮著重要的作用，但是它仍然存在著安全隱患，要保障消費者在使用支付寶時的安全，除了前文對策外，還需要通過更多的保障來進行升級，因此在此提出對于加強支付寶網絡交易安全的幾點建議：1、加強安全產業鏈升級，安全鏈條的建立：從消費者開始，注重安全問題，加強自身對于身份驗證和支付安全的了解，其次，通過升級安全支付技術，如加密技術、防火墻技術、認證技術等，從銀