资源描述
线上网店安全保障体系设计
随着电脑的逐渐普及和互联网的广泛运用,电子商务应运而生。网上购物作为电子商务的一种重要形式日益受到广大年轻人的青睐,成为一种新的消费时尚。下面是对网上一般购物流程的分析。
网上购物流程的分析:
1.网上能买什么
现在网上能买到的东西真是太多了,大到家用电器,小到礼品玩具,几乎都可以在网上购买,各大正规的电子商务网站都提供了种类繁多的商品供大家选购!
2.选择商家
正如谁都可以有自己的个人主页一样,任何人都可以在因特网上立一块牌子,开展电子商务活动,其中肯定有一些不法之徒,干一些骗人的勾当,就是合法的商家,也要选择那些信誉好、服务好的。
在决定购货前,你一定要考察商家的真实性和合法性。到一家你很少听说的网上超市购物,这肯定有很大风险。其次,你要考察商家是否有自己的电子商务实力。有些网上超市纯粹是几个技术人员的杰作,他们还不懂得什么是真正的电子商务,没有物流、没有配送、也没有库房。碰到这样的商家不就找麻烦了吗?
此外,可亲自给商家打个电话进行了解,电话号码应该就在该公司主页上比较显眼的位置。如果一个网上超市连电话号码都不肯留下,那你最好与他拜拜,另外找一家吧!
3.准备支付
在网上买东西付钱,当然用信用卡最方便。真正的网上购物要求你持有可以网上结算的信用卡。现在国内大多数银行都开通了网上结算服务,如果你还没有网上结算的信用卡,建议你到工商银行、建设银行、招商银行等办理网上银行。
在使用网上银行前,用户应该按照相应银行的指示安装安全证书,安装完毕后,即可使用网上银行的各项服务。
如果您还是感觉不安全的话那就选择货到付款,但是这样您一定要留下真实地址,以便可以准确把商品送达到您的家中或者单位。目前大的正规的电子商务网站如卓越、当当、七彩谷都开通了全国多个城市的货到付款服务!
4.会员注册
网上超市一般都采取会员制,首先要注册成为会员,不须要你缴纳会费,而且注册后你还可以享受会员特别待遇、直至成为VIP会员,或者得到促销礼品。
有一点要特别注意,在会员注册时,要小心地选择密码,密码最好包含大写小写字母和数字,使别人很难猜出来才好。
5.选购商品
到超市买过东西的用户肯定使用过购物推车。在网上超市,你照样可以使用推车。当你看到中意的商品,你可以通过点击或者拖放将该商品放到购物推车中。你随时都可以察看你的推车里已有些什么商品了。好的网店在屏幕右上有一个显眼的推车图标,那就是你的推车。
6.发货方式
在付款之前,你要弄清商家的发货方式。目前流行的发货方式有:
a.送货上门 送货上门依赖于商家的配送体系。如果你发现送货上门的货物和订单不符合,你可以拒收,并拒绝支付任何费用。
b.邮寄 对那些处于偏远地区的朋友来说,邮寄是最好的方式。大多数商场会收取一定的邮寄费用,而小部分商场实行免费邮寄。采用邮寄方式,客户收到货物需要的时间较长,一般要一周左右。
c.快递 电子商务对快递业来说是个大机遇。美国的电子商务之所以发展得好,发达的快递业起到了举足轻重的作用。我国邮政的快递业(EMS)发展很快,但收费较高。国外的快递公司正在进入中国,未来的快递将更加快捷、便宜、方便。
7.支付方式
当你选完你要购买的商品后,接下来就是付账。选择右上角的那个推车图标,然后选择付款。一般的商家这时会让你选择两个通道之一:会员通道和非会员通道。如果你已经注册过,选择会员通道,否则选择非会员通道注册成为会员。如果进入会员通道,就要求你输入用户名和密码,然后才可以付款。
付款的方式有多种。你可以选择邮局汇款、银行汇款、网上即时支付、货到付款等方式。一般来说,邮局汇款、银行汇款时间比较长,商家要到一周左右才能收到款项,再组织发货。网上支付是今后的消费趋势,它比较方便。目前某些信用卡的网上支付过程的确比较长,最长的有半个月之久。请你在选择信用卡时,充分考虑它的服务特点。要根据自己的情况灵活选择支付方式。
8.确认订单
选择了要购买的商品,并选择了送货方式和支付方式,按下“确认”按钮,你的订单就自动生效。系统这时候会分配一个订单编号给你。你一定要记住这个编号。今后你要查询发货情况时,输入订单号就可以了。
大部分商家还会打电话或者发E-mail给你,让你确认是否曾经在商场订货。这是为了保证订单的有效性,以防有人假冒你的大名到商场帮你花钱,使你蒙受经济损失。
9.投诉建议
如果你对商家的服务感到不满意,你可以要求投诉。商家一般都开通了投诉热线,或者允许在线投诉。你应让商家知道问题在哪里,怎样改进工作。
10.网上购物小经验
1.关闭浏览器的自动输入功能: 如果别人可能接触到你的电脑,就不要使用浏览器的自动输入功能。IE5以上版本有个特性,可以记录你在某个站点的输入,并在你下次造访该站点时,自动输入你上次填写的内容。设想你成为了某个商场的会员,并且登录过。下次登录时,系统可以自动帮你输入密码。这可是十分不安全的。
2.订单跟踪:下了订单后,如果一切顺利,您很快就会收到想要的东西。但有时也会等很久也未收到货,这时,你想知道钱是否已经到商家手中?商家是否已发货?什么时候发的?你可以通过订单查询功能查到以上这些信息,解除您的担心。
3.比较价格:您可以在众多的网上超市比较一下所选商品或是打算购买商品的价格,这很重要,可以给您剩下不少的费用。
4.先小后大:如果你对网上购物还不是特别信任或了解,最好先买个小东西试试。看看承诺是否都兑现、发货是否迅速、商品质量是否有保障、服务是否够好等等。
5.注意安全:个人信息不能轻易告诉别人;选择那些你信任的商家购物,而且要注意这些商家是否对个人信息进行了特别保护;输入电话号码或者信用卡号时,浏览器的状态条上应该有一把锁,它表明你和商家正在通过一条加密的通道连接,其他任何人不可能知道你正在输入什么信息。
6.推荐个网站:布易网。卖卖百货的,商品比较全,价格适中,质量没问题。
三、影响网上购物的几个安全问题
1.基于互联网本身的安全问题
为了最根本的改善网上购物资金交付的快捷性,同时保障交易流程的安全性,很多大型的电子商务网站都将原有的电汇、邮局汇款、银行汇款方式转变为了将资金直接通过网上银行或加入第三方来交付。这同时也带来了另一个问题,诸如网上银行这类直接在网上进行转帐的方式,如何保障消费者网上交易的安全性。网络是一个极度开放的平台,他的安全性也同时受到多方面的影响。比如,在数据的传输方面,一旦数据传输系统被攻破,就有可能造成用户的银行资料泄漏,并由此威胁到系统的安全性。另外,计算机上网络病毒的攻击也是一个不可忽视的因素。现在的互联网技术发展日新月异,有一部分人专门在网络上制造病毒来达到自己的各种不良目的,一旦消费者在网上购物时警惕心不高或是网络防范不严,进入了预设的病毒程式,就会导致计算机病毒通过网上银行入侵到银行的数据库系统,从而造成数据丢失等严重后果[2]。虽然,05年,易趣旗下的中国版贝宝上线,合理的支付流程为用户提供一种较为安全的交易解决方案,淘宝也推出了保障用户安全的“支付宝”并积极的对其进行相应的升级,但随着网上购物的复杂化、普及化的趋势,安全性的问题将会存在下去,需要对其进行不断的提高。
2.法律对网上购物安全性的影响
在我国,电子商务是近十几年来才不断发展壮大起来的。虽然在硬件上,我国正在不断的完善电脑的普及以及计算机技术的应用,以促进电子商务的发展,但是在法律法规上却难以与其发展同步。随着电子商务的不断壮大而产生的安全问题越来越多,经营者的诈骗或是购买者的有意欺骗等事件层出不穷,但由于缺乏相关的法律法规和合同的认证,现阶段对网络犯罪和处罚没有完善的具体可行的法律,这类案件很难快速有效的被处理。也正是因为这种案件处理的滞后性,进而导致了用户对网上购物安全性更加严重的质疑,影响网上购物的交易量。为了制止破坏网络安全的行为,目前的购物网站主要是通过制定不超出法律允许范围的规则来实现对安全问题的站内解决的监控形式。但是,这种方式虽然能够在一定程度上制止网上欺诈等行为,但依旧是一种不能“治本”的方式。
3.支付上的安全问题
纵观现在的网上购物,其中的重中之重就是网上支付的安全性了。易趣的“安付通”,淘宝的“支付宝”都已经与工商银行、招商银行等国内的许多银行建立起战略合作关系,充当起第三方保障的角色,将复杂的银行汇款步骤变得更加的简单易行,并提供了一系列的安全保障。
以淘宝的“支付宝”为例,它确立自身的地位是为用户提供网络时代的的中介,作为第三方为卖方和买方提供了具有相对可靠性的第三方保障,在买家确认收到卖家发来的商品前,替买卖双方暂时保管货款。其具体流程是:首先,买家与卖家就购买某一网上商品达成成交协议后,买家先把货款大给支付宝这个第三方账户上,等买家向支付宝和淘宝发出确认收到商品并且受到的商品与所购买的商品信息相符时,支付宝在把货款划至卖家的账号[3]。
这样一来,普通的用户便可以方便的直接在网上进行转帐。但是这并不意味着网上银行支付的绝对安全性。当今社会上,利用网上银行进行盗取资金的案件层出不穷,许多网上购物的初试人群甚至是一些老用户都会因为一些诈骗手段而上当。比如,曾经网上就出现过假冒的工商银行网站,专门盗取用户的银行卡资料;也有一些计算机技术的高手自己编写病毒程序来盗取账号和密码。因此,即便是越来越趋于完善的网上交付业务也仍然存在着一定的安全隐患。
4.商家角度上的安全问题
在网上购物刚兴起的一段时间里,通过网络销售的商品主要以家庭日用品,图书,音像制品为主,这样商品可以通过信息加以详尽的描述,但是现在,随着网上购物的不断发展,通讯商品,电子产品及其其他各种能够想到的东西基本上都能在网上找到,但这时,过去那样的简单描述已经不能适应整个网络市场的发展了。一些不法商家也就正是盯上了网上购物的这种潜在缺陷,肆意的夸大产品功能,或是直接作虚假广告,用不切合实际的产品描述来引诱购买者。很多消费者也常会因为刚刚接触网上购物而无辜的上当受骗。除此之外,也有一部分蓄意欺骗的商家收到了购买者汇来的钱而故意不发货,私吞下这笔资金。对于这类情况,淘宝和易趣网都采取了通过一系列的信用等级评价机制透明地如实反映卖家的信用额度以及过去的每一笔交易的明细的方法来减少这种不安全性,买家可以参考这些信息,甚至与曾经与此卖家交易过的买家沟通。但这些方式都只能降低商家网上欺骗成功的概率,不能从根本上减少这种事件的发生。要想彻底根治,还是要从商家本身以及交易平台的总体设计入手。
基于以上各种影响安全因素,设计出以下安全保障体系:
一、有关电子商务的安全性要求
1. 对电子商务活动安全性的要求:
(1) 服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2) 交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3) 数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4) 身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
2. 电子商务的主要安全要素
(1) 信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2) 信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3) 信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4) 信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
二、电子商务采用的主要安全技术
1. 网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2. 通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥( PKI) 。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时) 。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[ ]
3. 应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可) ,程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。
4. 用户的认证管理
(1) 身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
(2) CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。
(3) 安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,Certificate Authority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
三、电子商务安全需要进一步完善的配套措施
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:
(1) 突破关键技术受制于人的瓶颈。
(2) 我国应尽快对电子商务的有关细则进行立法。
(3) 大力开发大型商务网站,发展与之相配套的物流公司。
(4) 为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。
(5) 建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。
(6) 对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全
展开阅读全文