计算机安全技术-电子商务

网络与信息安全技术网上银行安全电

子

银

行

1我国电子银行的建设与发展中国第一家上网银行是中国银行(http://www.bank-of-C)，成立时间是1996年下半年。当时，中国银行就已经认识到因特网是未来银行赖以进行客户服务的最好的物质基础，电子银行将导致的是一场深刻的银行业革命。上网初期，中国银行网页主要用于发布中国银行的广告信息和业务信息，进行全球范围的通信(E-mail)。在以后的几年里，中国银行逐步开展了家庭银行、信用卡、商业银行等网上业务。

招商银行(http://)也是国内较早开展网上业务的银行。1997年2月，招商银行在因特网上推出了自己的主页及网上转账业务，在国内引起极大反响。在此基础上，招商银行又推出了“一网通”网上业务，包括“企业银行”、“个人银行”和“网上支付”三种服务。该项目的推出，大大促进了招商银行的网站建设，树立了招商银行的网上形象，使招商银行在短短几年中成为国内网上银行的排头兵。自进入21世纪以来，网上银行的用户也象互联网一样成几何级数增长，2005年全国网上银行交易金额达60万亿元人民币。网上银行占银行全部业务的比重越来越高，交易替代率也在飞速增长。据悉，工商银行和招商银行网银的交易替代率均已超过25%，也就是说，有1/4的银行支付业务是通过网上完成的。2电子银行的特点与主要业务

电子银行，又称网络银行、虚拟银行，是指通过因特网或公共计算机通信网络提供金融服务的银行机构。电子银行业务是指“商业银行等银行业金融机构利用面向社会公众开放的通信通道或开放型公众网络，以及银行为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务。”网上银行具有以下特点(1)功能丰富。网上银行可以打破传统银行的部门局限，综合客户的多种需求，提供多种类型的金融服务，如信用卡业务、储蓄业务、融资业务、投资业务、居家服务、理财服务、信息服务等。(2)操作简单。客户使用网上银行服务，只需到银行营业网点登记，填写有关表格。在使用中，网上银行以登录卡为主线，可为不同类型的账户申请不同功能，并可在线对各种账户的各项功能进行修改。(3)跨越时空。网上银行可以提供跨区域和全天候的服务，即可以在任何时候、任何地点、以任何方式为客户提供金融服务，超越了传统银行受时间、地点、人员等多方面的限制。(4)信息共享。网上银行通过因特网可以更广泛地收集和分析最新的金融信息，并以快捷便利的方式传递给网络银行客户。由于网络资源的全球共享性，使银行与客户之间都能相互全面了解对方的信用及资产状况，从而大大减少了信用风险和道德风险，降低传统银行业务的交易成本。电子银行业务包括四个部分：

(1)利用计算机和互联网开展的银行业务(简称网上银行业务)。

(2)利用电话等声讯设备和电信网络开展的银行业务(简称电话银行业务)。

(3)利用移动电话和无线网络开展的银行业务(简称手机银行业务)。

(4)其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务。图

电子银行运作的基本流程

4支付网关

支付网关是银行金融系统和因特网之间的接口，是由银行操作的、将因特网上的传输数据转换为金融机构内部数据的设备。支付网关也可以是指派的第三方支付平台，通过设在第三方支付平台的接口处理信息和顾客的支付指令。支付网关是网上银行的关键设备，离开了支付网关，电子银行的电子支付功能就无从实现。银行使用支付网关可以实现以下功能：

(1)配置和安装Internet网络，实现支付。

(2)避免对现有主机系统的修改。

(3)采用直观的用户图形接口进行系统管理。

(4)适应诸如扣账卡、电子支票、电子现金以及微电子支付等电子支付手段。

(5)通过采用RSA公共密匙加密和SET协议，确保网络交易的安全性。

(6)提供完整的商户支付处理功能，包括授权、数据捕获和结算、对帐等。

(7)通过对Internet网上交易的报告和跟踪，对网上活动进行监视。

(8)使Internet网络的支付处理过程与当前支付处理商的业务模式相符，确保商户信息管理上的一致性。网上银行安全保障安全网上银行公网部分内网部分安全风险分析网络窃听：在传输中获取银行卡号和密码网络钓鱼：登录到虚假的银行网站，在服务器端丢失木马窃取：在终端丢失机密信息终端保护技术防病毒：各种木马，蠕虫等可能窃取你的银行帐号等秘密信息。口令保护：需要复杂的口令。动态软键盘采用动态软键盘技术初看确实能使攻击者无法截获密码，但是截取密码不仅仅只有接截获键盘记录一种方法，黑客们还可以通过IE的COM获取密码。对于中国建设银行和中国银行，通过IE的COM接口获取的密码框里的内容就是密码，其他大部分采用软键盘技术的网站大都也是这样。中国农业银行曾经也使用过这种安全方式，不过现在已经升级为ActiveX安全控件。终端保护技术ActiveX安全控件

防止了键盘/消息钩子，而且使通过IE的COM接口获取密码的方法也无能为力，当控件安装完成后用户才能见到网上银行的登陆界面。数字证书和USBkey

银行依用户的有效证件，如银行卡号、身份证号码等为依据，生成一个数字证书文件，配合用户自定义的用户名和密码使用以提高安全性。USBKey证书就是一种USB接口形式的硬件设备，内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。线路保护技术使用SSL传输层安全协议保障用户到银行的通信安全。服务器端认证确保登录的网站是真正的网站，非假冒。URL地址输入正确：,与中国工商银行网站,也只是"1"和"I"一字之差SSL连接时检查证书是否属实要一致双击打开证书在支付的时候需要通过口令卡，或者USBkey认证才能进行支付，保障支付安全。定期查询详细交易做好自己的交易日志，保证对自己的每一项有记录的交易印象深刻电子银行网络安全建议第一招：客户应核对网址。客户在登录网上银行时，最好要留意核对自己所登录的网址与自己和银行签订的协议书中的法定网址是否一致。第二招：客户应妥善保管好自己的密码。客户切不要把自己的出生日期、家庭电话号码以及自己的身份证号码等作为密码，建议选择有代表性的数字和字母混合的方式设定密码，以提高密码破解的难度。第三招：客户应做好交易的记录。客户应对自己在网上银行办理的每一笔转账和支付交易等业务做好详细的记录，并定期查看自己的“历史交易明细”和定期打印自己的网上交易业务对账单。第四招：客户应管好数字证书。客户应避免在公用的计算机上使用网络银行交易，以防止自己的数字证书等相关机密资料落入不法分子的手中，从而让自己的网上身份识别系统遭到不法分子的蓄意破坏，使自己的网上账户被他人盗用。电子银行网络安全建议第五招：客户应对异常的动态提高警惕。假如客户不小心把自己的银行卡卡号和密码输入了陌生的网址上，并出现了类似于“系统维护”等提示语，客户应立即拨打银行的客服热线进行确认，一旦发现自己的资料已经被盗，必须马上修改自己的相关密码并去银行进行银行卡挂失。第六招：客户应安装防病毒软件。银行客户应为自己使用的电脑安装防火墙和防病毒软件，并经常为自己的电脑升级。第七招：客户应堵住软件漏洞。为了能够更好地防止不法分子利用软件中的漏洞进入自己的计算机窃取资料，在使用网络银行、网络游戏时必须开启杀毒软件的实时监控，并启用个人防火墙，且杀毒软件必须经常升级，下载补丁程序。第八招：每次使用网上银行个人服务后，请选择“退出登录”选项退出，以防数字证书等机密资料落入他人之手。电子支付所谓电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。2009年全年我国各类支付系统共处理支付业务112.63亿笔，金额1208.06万亿元。全年共使用非现金支付工具办理支付业务214.14亿笔，金额715.75万亿元。电子商务的交易过程无论是B2B、B2C还是C2C，都以这样的流程发生：1、交易前的准备这一阶段主要是指买卖双方和参加交易各方在签约前的准备活动，比如卖家要开设一个网店、做专柜展示、为自己销售的商品拍摄甚至纂写广告等等。2、交易谈判和签订合同这一阶段主要是指买卖双方对所有交易细节进行谈判，将双方磋商的结果以口头形式或以文件形式(即以书面文件形式和电子文件形式签订贸易合同)确定下来，电子商务的特点是可以签订电子商务贸易合同，交易双方可以利用现代电子通信设备和通信方法，比如淘宝的“旺旺”即时通讯工具，实际上买卖双方的沟通过程就是交易谈判的过程。3、办理交易进行前的手续，这一阶段主要是指买卖双方签订合同后到合同开始履行之前办理各种手续的过程，也是双方贸易前的交易准备过程。4、交易合同的履行和索赔，这一阶段是从买卖双方办完所有各种手续之后开始，卖方要备货、组货，同时进行报关、保险、取证、信用等，然后将商品交付给运输公司包装、起运、发货，买卖双方可以通过电子商务服务器跟踪发出的货物，银行和金融机构也按照合同处理双方收付款，进行结算，出具相应的银行单据等，直到买方收到自己所购商品，就完成了整个交易过程。而为了保证上述交易流程的安全，需要有一个认证机构对在网上交易的买卖双方进行认证，以确认他们的真实身份，认证中心由此诞生，它的任务是确认消费者与厂家的信息是否正确。同时，买卖双方也需要一个中介机构作为货款的中转站：交易顺利完成后，货款从中转站流向卖家;不顺利的话买家也可以要求从中转站撤回货款。第三方支付第三方支付机构是最近几年出现的新的支付清算组织，它是为银行业金融机构或其他机构及个人提供电子支付指令交换和计算的法人组织。在第三方支付模式下，支付者必须在第三方支付机构平台上开立账户，向第三方支付机构平台提供信用卡信息或账户信息，在账户中“充值”，通过支付平台将该账户中的虚拟资金划转到收款人的账户，完成支付行为。收款人可以在需要时将账户中的资金兑成实体的银行存款。2第三方支付流程

第三方支付是典型的应用支付层架构。提供第三方支付服务的商家往往都会在自己的产品中加入一些具有自身特色的内容。但是总体来看，其支付流程都是付款人提出付款授权后，平台将付款人账户中的相应金额转移到收款人账户中，并要求其发货。有的支付平台会有“担保”业务，如支付宝。担保业务是指将付款人将要支付的金额暂时存放于支付平台的账户中，等到付款人确认已经得到货物(或者服务)、或在某段时间内没有提出拒绝付款的要求，支付平台才将款项转到收款人账户中。图

第三方支付平台结算支付流程

第三方平台结算支付模式的资金划拨是在平台内部进行的，此时划拨的是虚拟的资金。真正的实体资金还需要通过实际支付层来完成。图中各数字序号含义如下：

(1)付款人将实体资金转移到支付平台的支付账户中。

(2)付款人购买商品(或服务)。

(3)付款人发出支付授权，第三方平台将付款人账户中相应的资金转移到自己的账户中保管。

(4)第三方平台告诉收款人已经收到货款，可以发货。

(5)收款人完成发货许诺(或完成服务)。

(6)付款人确认可以付款。

(7)第三方平台将临时保管的资金划拨到收款人账户中。

(8)收款人可以将账户中的款项通过第三方平台和实际支付层的支付平台兑换成实体货币，也可以用于购买商品。3第三方支付的优缺点第三方支付模式有如下优点：

(1)比较安全。信用卡信息或账户信息仅需要告知第三方支付机构，而无需告诉每一个收款人，大大减少了信用卡信息和账户信息失密的风险。

(2)支付成本较低。第三方支付机构集中了大量的电子小额交易，形成规模效应，因而支付成本较低。

(3)使用方便。对支付者而言，他所面对的是友好的界面，不必考虑背后复杂的技术操作过程。

(4)第三方支付机构的支付担保业务可以在很大程度上保障付款人的利益。第三方支付模式同时也存在以下缺点：

(1)这是一种虚拟支付层的支付模式，需要其他的“实际支付方式”完成实际支付层的操作。

(2)付款人的银行卡信息将暴露给第三方支付平台，如果这个第三方支付平台的信用度或者保密手段欠佳，将带给付款人相关风险。

(3)第三方支付机构的法律地位尚缺乏规定，一旦该机构终结破产，消费者所购买的“电子货币”可能成为破产债权，无法追回。

(4)由于有大量资金寄存在支付平台账户内，而第三方支付机构并非金融机构，所以存在资金寄存的风险。支付宝的概况

什么是支付宝支付宝安全中心什么是数字证书第三方支付作为目前主要的网络交易手段和信用中介，最重要的是起到了在网上商家和银行之间建立起连接，实现第三方监管和技术保障的作用。而支付宝作为国内领先的独立第三方支付平台，2004年由阿里巴巴集团创办。支付宝（）致力于为中国电子商务提供“简单、安全、快速”的在线支付解决方案。返回买家卖家1.选购满意的产品2.付款到支付宝3.通知卖家发货4.发货给买家5.收货验收后，通知支付宝付款6.支付宝付款给卖家3+1”的安全模式一、支付宝数字证书二、密码安全三、手机动态口令以及支付宝实名认证返回

返回支付宝安全服务支付宝安全服务交易安全账户安全——账户被盗类型会员帐户安全

保护会员账号不被盗用，避免造成相关损失为什么要来盗取我的帐号呢？

网上零售交易安全账户安全——账户被盗类型盗用账号目的其他恶意捣乱发布欺诈商品双方交易纠纷修改对自己的评价盗取对应的支付宝帐户

网上零售交易安全账户安全——账户被盗类型

网上零售交易安全账户安全——账户被盗类型案例一：一些会员们用的登录账户的密码都是纯数字或者纯字母，一般还都是6位密码。这样很容易被盗用者猜配，导致账号丢失。会员设置的密码过于简单，被盗用者猜配

网上零售交易安全账户安全——账户被盗类型案例二：会员出差在外,不小心把自己的钱包丢了。因为里面有很多银行帐号密码的记录。等到回家后，发现都登陆不上了，后悔莫及。会员密码保管不当

网上零售交易安全账户安全——账户被盗类型密码设置小诀窍：数字+英文/拼音+其他1、名字加数字：比如大毛2006年入职，damao20062、生日加名字：比如大毛19820303出生，19820303dm3、使用一些标点符号和英文：比如，我最喜欢说welldone，密码我就设置为welldone！

网上零售交易安全账户安全——账户被盗类型案例三：会员在旺旺上接到别人发过来的一个文件，说是一个大订单，接受后便发现1分钟后，电脑黑屏，重启后已登录不上淘宝。会员的计算机中了木马病毒

网上零售交易安全账户安全——账户被盗类型案例四：会员客服报告账户无法登录，怀疑被盗，可是自己的账户很安全，客服帮忙查看后台后才发现这个会员的账户曾经被尝试登录300多次。盗用者的暴力破解

网上零售交易安全账户安全——账户被盗类型案例五：

某日，会员e的站内信箱中收到这样一封邮件

会员接受钓鱼信息后，登录钓鱼网站账户安全——防范账户被盗中奖信息钓鱼网站

通过旺旺信息，说你已经中奖，进而骗取会员相应的钱财。

要求登录一个模仿银行的网站，盗取银行卡的账号和密码只有才是淘宝认可的官方网站

网上零售交易安全中奖信息网站账户安全——防范账户被盗

网上零售交易安全中奖信息网站账户安全——防范账户被盗

网上零售交易安全中奖信息网站账户安全——防范账户被盗

网上零售交易安全中奖信息网站账户安全——防范账户被盗

网上零售交易安全中奖信息网站账户安全——防范账户被盗中奖信息网站账户安全——防范账户被盗

网上零售交易安全中奖信息网站账户安全——防范账户被盗

网上零售交易安全

钓鱼网站1：http:///pay.asp账户安全——防范账户被盗

网上零售交易安全

钓鱼网站2：账户安全——防范账户被盗

网上零售交易安全钓鱼网站3：账户安全——防范账户被盗

网上零售交易安全核对网址、妥善保管个人信息

1、不要从来历不明的网页链接访问银行网站2、任何时候都不要透露账号、密码等敏感信息3、将网上银行的登录密码、银行卡密码以及支付密码分设，提高安全度交易安全——网银诈骗

网上零售交易安全安装正版杀毒软件，避免在公用计算机上使用网上银行

1、要安装正版的防病毒软件并及时更新版本和病毒识别码2、不要在公共场合，如网吧等