论电子商务支付安全毕业论文(编辑修改稿)

论电子商务支付安全毕业论文(编辑修改稿)内容摘要：

支付存在的安全问题 网上支付中银行面临的风险和安全问题 站在银行的立场上来说，银行是一个特殊的行业，在国民经济和社会生活中扮演者重要角色，发挥着重要作用。 银行的业务数据多种情况下是与储户账户相关的敏感数据，如储户的账户号码、账户密码、账户中的存款余额等，而互联网是一个开放的公共网络，在这样 一个开放的网络上拓展银行的传统业务，安全性是需要考虑的首要问题。 一般来说，网上银行支付系统在运行过程中会有安全威胁，网上银行支付业务的发展离不开技术手段的支持和应用。 因此，网上银行支付业务给银行带来了各种各样的与技术相关的风险，特别是操作风险、战略风险、信誉风险和法律风险等。 下面就银行面临的安全威胁和风险分别进行叙述： 因为网上支付过程是在一个开放的公共网络上进行的，一般来说，网上银行支付系统在运行过程中收到的安全威胁主要来自以下方面： （ 1）假冒用户身份。 攻击者盗用合法用户的身份信息，以假冒的身份于他人进行通信。 这是最常见的网络攻击方式，传统的对策才用用户名和登录密码来对用户进行身份认证，用户名和登录密码是以明文的形式在网上传送，这就很容易被攻击者截获，攻击者可以据此非法访问系统，冒充授权者发送和接受信息，造成信息的丢失和泄露。 （ 2）窃取网络上的信息。 攻击者在网络的传输链路上，通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通讯电文中的敏感信息。 系统中的用户及外来者未经授权偷看或窥视他人的电文内容以获取商业秘密，损害他人的经济利益。 （ 3）篡改网络上的信息。 攻击者在截取到网络上的信息后，可能篡改 其内容。 （ 4）否认所发的信息。 用户可能对自己发出的信息进行恶意的否认，例如否认自己发出的转账信息等。 （ 5）重发信息。 除了以上情况外，还存在“信息重发”的攻击方式，即攻击者再截获网络上的密文信息后，并不将其破译，而是把这写数据包再次发送，以实现恶意攻击的目的。 （ 6）电文丢失。 安全措施不当会导致丢失电文，如误删。 （ 7）抵赖。 某些用户会恶意否认自己曾进行过的网上交易，易造成银行经济损失。 阳泉学院 毕业论文 10 （ 8）拒绝服务。 局部系统的失误及通信各部分的不一致所引起的事故二导致系统停止工作货不能对外服务，即所谓的拒绝服务。 局部 系统出自于自我保护目的二故意中断通信也会导致拒绝服务。 正因为网上银行支付系统尊在着许多安全威胁，网上银行支付业务难免会面临一些风险。 下面介绍开展网上银行支付银行可能遇到的风险： (1) 操作系统风险。 操作系统是作为计算机资源的直接管理者 ,它直接和硬件打交道并为用户提供接口 ,是计算机系统能够正常、安全运行的基础。 Windows 操作系统存在许多安全漏洞 ,UNIX 操作系统是一个开放的系统 ,源代码已公开。 根据美、荷、法、德、英、加共同制定的通用安全评价标准《 Common Criteria for IT Security Evaluation(简称 CC 标准 )》 ,微软的 Windows 操作系统、大部分的 UNIX 操作系统其安全性仅达到 C2 级安全 ,而网络银行的操作系统的安全级别应至少达到 B 级。 (2)应用系统风险。 网络业务系统设计存在漏洞。 目前 ,网络应用软件存在以下安全漏洞 :无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。 在设计过程中 ,只重视“计算机如何完成任务”方面的设计 ,对运行过程中的程序控 制或检查考虑不全面 ,系统没有为审计留下接口 ,难以进行实时审计。 (3)数据存储风险。 数据存取、保密、硬盘损坏导致的风险。 (4)数据传输风险。 数据传输过程中被窃取、修改等风险。 网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误 ,以及外部事件而导致网络银行直接或间接损失的风险。 产生操作风险的原因有以下几点 : (1)网络银行操作风险意识淡薄。 (2)组织机构职责不清。 (3)内控制度不健全或执行不力。 (4)没有适合的网络银行稽核审计部门。 网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支 ,或使 阳泉学院 毕业论文 11 用伪造的信用卡来欺骗银行。 信息不对称表现在两个方面 ,一方面是由于网络银行无法得到足够客户信息 ,另一方面是由于客户无法得到有关网络银行的足够信息。 信息不对称使得网上客户更容易隐蔽他们的信息和行动 ,做出对自己有利而对网络银行不利的行为 ,也使得客户不能正确评价网络银行的优劣。 我国对网络银行和网上交易缺乏相应的法规。 如 :如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问 题、电子合同问题、电子货币问题、电子转账问题。 网上支付中客户面临的风险和安全问题 对于个人消费者，习惯了一手交钱一手交货的购买方式，对网上银行支付的技术安全不免担心，敲几个键、点几下鼠标，就把钱拨了出去，心里总感觉不踏实。 网上银行支付安全涉及客户的网上信息资料、帐户密码、资金与资产等各个方面，在使用网上银行支付时，消费者可能遇到的安全问题可以概括为以下几点： （ 1）用户卡号和密码被盗。 据金融部门分析，客户安全意识薄弱是影响网上银行支付交易安全的一个重要原因，不少网上银行用户设置密码过于简单，容易 被不法分子试出，或将自己网上银行密码设为与其他网站的用户密码相同的密码，而其他网站由于缺乏严密的安全控制机制，密码数据库容易被攻破或泄露并殃及网上银行密码。 部分网上银行用户还在公共计算机上使用网上银行支付服务，极易被隐藏在公共计算机上的病毒、木马程序等通过键盘记录盗取密码。 同时，我国的金融企业的网址域名还没有规范，因此从网址名称上很难判断真假，不法分子利用这一点，制作与真正网上银行网站极为类似的假网站、假支付页面等“网络钓鱼”形式，利用部分客户安全意识薄弱，要求客户填写个人帐号、密码等银行资料信息，骗取客户 网上银行登录和交易密码。 （ 2）用户误操作，造成消费者经济损失。 网上银行的业务都需要客户具备一定的操作技能，如果客户操作不当，就会造成不可挽回的损失；更严重的是犯罪分子利用邮件、假网站等方式骗取客户的网上银行信息，盗取资金，给客户造成巨大损失。 （ 3）双方的身份确认出现问题。 在互联网上，银行和用户间需要双向的身份识别和确认。 这也是所有互联网上的电子商务都要解决的问题。 对用户来说，在互联网 阳泉学院 毕业论文 12 上存在一些假冒的银行网站，用户需要正确的识别和登录到银行的网站，一旦登陆的网站错误，用户发送的所有信息都会被非法网站所截获 和利用。 另一方面，银行要正确的识别和确认用户身份，确认用户身份的方式有的比较安全，而有的仅靠用户名和密码构成用户帐号，一旦用户帐号被盗取，银行的计算机是无法识别出非法用户。 （ 4）客户的计算机被攻击。 无论是个人还是企业对于在网上开展支付业务都要非常谨慎，因为网上银行支付在利用互联网公共资源的同时也有可能暴露出银行系统中的某些弱点，从而让那些利用电脑犯罪的罪犯有机可乘，网上银行支付所推出的金融产品、服务方式和服务内容，就将在开放的环境下一览无余，更利于犯罪分子的研究、跟踪，这样的案例在国外并非鲜见。 比如，“黑 客”于 2020 年 2 月大规模地袭击了全球重要的电子商务网站，一直相对安全的世界最大的门户网站之一雅虎也难以幸免。 当然面对实际网上交易可能引来网络入侵者，不管是盗窃还是更改电子资金资料，对于网上支付用户来说，都是冒着极大的风险。 网上银行支付的安全对策 (1)物理安全。 主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。 为了防止电磁泄露 ,要对电源线和信号线加装滤波器 ,减少传输阻抗和导线间的交叉耦合 ,同时对辐射进行防护。 (2)应用安全操作系统技 术。 安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统 ,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。 美国先后开发了各种级别的安全操作系统 ,其中作为商用的有Data General 公司的 DG UX B1/B2 安全操作系统 ,HP 公司的 HPUX CMW B1 级安全操作系统等。 国内各大科研机构及公司也研制出高安全级别的操作系统 ,如 :中科院信息安全工程研究中心研制的 SECLINUX 安全操作系统、中软总公司研制的 COSIX LINUX 系统。 目前 ,中国建设银行的网络银行系统建立在安 全操作系统平台之上 ,该系统基于HP9000 硬件平台 ,采用 HP 公司的 B1 级安全操作系统。 (3)数据通信加密技术的应用。 对传输中的数据流进行加密 ,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。 在链路数较多以及对流量分析要求不高的情况下 ,适合采用 “ 端到端加密 ” 方式。 在对流量分析要求较高的情况下 ,可采用 “ 链路加密 ” 与 “ 端到端加密 ” 相结合的方式 :用 “ 链路加密 ” 对 阳泉学院 毕业论文 13 报文的报头进行加密 ,防止进行流量分析 ,再用 “ 端到端加密 ” 对传送的报文进行加密保护。 对数据进行加密的算法主要有 DES 和 RSA 两种。 DES 属于私钥加密体制 (又称对称加密体制 ),它的优点是加、解密速度快 ,算法容易实现 ,安全性好 ,缺点是密钥管理不方便。 RSA 属于公钥加密体制 (又称非对称加密体制 ),它的优点是安全性好 ,网络中容易实现密钥管理。 因此可以采用将 DES 和 RSA 相结合的综合加密体制 :用 DES 算法对数据进行加密 ,用 RSA 算法对密钥进行加密。 (4)应用系统安全。 应用系统安全主要包括对交易双方的身份确认和对交易的确认。 在网络银行系统中 ,用户的身份认证依靠数字签名机制和登录密码双重检验 ,将来还可以通过自动指纹认证系统进行身份认证。 数字 签名还确保了客户提交的交易指令的不可否认性。 公钥基础设施 —— PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。 同时采用安全电子交易协议 ,目前主要的协议标准有 :安全超文本传输协议 (SHTTP)、安全套接层协议 (SSL)、安全交易技 术协议 (STT)、安全电子交易协议 (SET),其中 SET 涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等 ,已经成为事实上的工业标准。 加强应用系统开发过程的审计 ,应用系统运行过程中的实时审计。 (5)应用数据库安全技术。 应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。 (6)应用防火墙安全技术。 建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙 ,提供 DES 加密、支持链路加密或虚拟专网、病毒扫描等安全服务 ,并具有实时报告、实时监控、记录非法登录、统计分析等功能。 设置放火墙时要截止所有从 135 到 142 的 TCP 和 UDP 连接 ,改变默认配置端口 ,拒绝 PING 信息包 ,通过设置 ACCESS LIST 的过滤规则来实现包过滤功能。 采用防火墙双 机冷备份策略。 进行入侵检测和定期漏洞扫描。 操作风险主要来自银行内部 ,应完善网络银行的内部控制制度 ,建立科学的操作规范 ,严格内部制约机制 ,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离 ,对主管和操作员实行 IC 卡身份鉴别 ,并同时加 阳泉学院 毕业论文 14 口令 ,任何进入系统的操作必须有日志记载。 建立操作风险管理中心 ,对员工进行防范操作风险的技术培训 ,监督各项操作风险管理制度的执行情况 ,对网络银行的操作风险进行评估 ,并采取相应措施。 建立操作风 险应急反应中心 ,对业务的影响因素进 行研究 ,识别出可能导致业务中止的情况 ,系统的备份及定期测试公司的灾难应急计划 ,对出现的安全问题提供技术支援和解决方案。 使用保险来抵补那些 “ 低频率、高危害 ” 的操作风险。 建立操作风险审计中心 ,对全部的网络银行业务实时监控、网络扫描 ,并利用审计记录 ,对业务操作人员和计算机系统管理人员进行稽核。 来自外部的操作风险 ,尤其是网络银行金融欺诈方面 ,不但要对个人服务的零售业务进行监控 ,还要加强对登录 网络银行的企业加强监控 ,通过数据挖掘软件对可疑资金交易进行分析 ,防范利用网络进行非法资金交易。 建立全国性的用户信用管理信息系统 ,将用户划分为不同的信用等级 ,针对不同等级的用户采取不同的管理措施。 应共享客户资料信息库 ,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作 ,及时将客户的守信情况和违约情况记录入库。 建立信息披露制度 ,强化信息披露的质量。 应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息 ,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。 建立社会监管体系 ,网络银行之间进行相互监督。 应充分利用和执行《网络银行业务管理暂行办法》 ,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相。