网上购物的安全性分析

网上购物的安全性分析（精选8篇）

网上购物的安全性分析 篇1

2007年在上海举办的中国零售业高峰论坛上，成立三年的个人交易网站淘宝网和王府井百货、国美、沃尔玛、苏宁电器、麦德龙等零售巨头一起荣膺十大经营案例，在与沃尔玛、国美等国内零售行业众多巨头的现场评比中，淘宝网更以59%的业内人士支持率，压倒在场所有传统零售巨头成为2006年度中国零售业最具影响力案例。最迟2009年淘宝网将成为创造1000亿交易规模的网站，同时为社会创造100万就业机会，不难看出，作为中国零售业的新概念，网上购物已完全被市场及大众认可，并成为了零售业的重要组成部分。

一、网上购物发展迅速

1. 交易额持续增长

据艾瑞咨询、CNNIC报告和淘宝网数据显示：2002年，全国网购总额为17.8亿元，占当年全国消费品销售总额 (40911亿) 比重为0.04%。而2006年全国网购总额达266.5亿元，占全国消费品销售总额的比重达到了0.85%，4年增长超过了20倍。其中仅淘宝一家2006年交易额已达到169亿元，突破2005年中国C2C市场全年交易总额，这一数字超过易初莲花 (100亿) 、沃尔玛 (99.3亿) 在华的全年营业额，更是北京王府井百货集团全年销售额的2.6倍。而仅淘宝网上半年创下的157亿元的交易额则相当于150家沃尔玛门店的收入。

2. 消费者持续增加

不仅网上购物交易总量持续上升，网上购物消费者也在持续增加。据京正望咨询发布的2006年度中国网上购物调查结果显示，2006年度，京沪穗有超过400万人在网上购物，而且已有网上购物经验的消费者还将继续保持增加购物的趋势。分别有24.2%和30.3%的京沪穗和汉蓉的网上购物买家表示未来6个月将增加在网上的购物行为。2007年上半年，每天登录淘宝网购物的不重复访问者超过600万，远高于门店日均客流量1.1万人左右的超市大卖场。

3. 购物方式逐渐正规化

网购报告显示，网上购物已经成为主流购物方式之一。仅淘宝网2006年全年销售手机及配件金额就在53亿左右，这一数字逼近中国手机第一连锁卖场迪信通60亿的销售额目标，远超过协亨、中复等全国手机专卖连锁店。

随着越来越多的消费者青睐甚至依赖网络来购物，许多大品牌企业也开始蜂拥上网开店。仅淘宝网的品牌商城，在2007年上半年，就有超过7827家厂商申请，目前通过审批成功入驻的厂商有近2000家。其中既有国际顶级品牌，也有本土品牌，甚至有一直远离网络的中华老字号。网络购物已经逐渐脱离了小门小户的个人运作方式，随着正规大品牌店的加入，将逐渐走向成熟、规范。

但面对如此大的交易额，如此多的交易者，网络安全的问题就显得至关重要。

二、网上购物的安全问题

1. 商品质量安全

目前网上购物的欺诈问题仍然十分严重。网上购物的特性决定了商品的虚拟性，购买者只能通过卖家对商品特征的描述来了解商品，充其量只能看到商品的实物图，并不能亲身体验商品的使用感觉，正确辨别商品质量。这就给了欺骗者可乘之机，一些卖家对于假冒伪劣商品的描述，使用专业网站的精美图片，对商品进行夸大宣传，更有甚者通过文字游戏欺骗消费者，以次充好，以小充大，给网络市场造成了极大的破坏作用：同时它们以低价出售，有可能将好产品挤出网络市场，摧毁了消费者对网络购物的信任。

2. 商品配送安全

商品在离开卖家交付买家的过程中出同样存在着安全问题。平邮速度慢，EMS费用高，大多数交易者会选择快递，但目前我国快递公司良莠不齐，商品在流通过程中损坏、缺失现象时有发生，因此而产生的纠纷也很难解决，即使卖家有良好的信用，同意退换货，但由此产生的费用也会给双方带来不小的损失。

3. 资金安全

网上购物通常有网络支付和银行帐号支付、邮局汇款等几种方式。但银行账号支付和邮局汇款等方式卖家多要求款到发货，这种支付方式风险较大，安全性差;许多购物网站也采取了支付宝等安全的支付方式，由第三方保管资金，在交易完成时才给付，但也有骗子利用买家对于支付宝流程的不熟悉，诱骗买家在未收到货物时提前付款，网上购物安全意识的淡漠，对卖家的轻信，常常会使买家承担资金丢失的风险。

4. 交易行为安全

网络是网上交易、网上支付是最主要的渠道，但运用网络就不可避免地存在着安全隐患。象可能由于防火墙不完备使网络黑客趁虚而入，造成网络系统、操作系统、数据库以及相关配套设施遭受破坏、更改或泄密;由于网络基础设施不完善造成数据传输的完整性、真实性、保密性遭到破坏;由于认证体系不健全造成帐号、密码被盗取、破坏等，还有一些黑客建立与购物网、银行网类似的网站，利用人们的大意，窃取个人信息，个人资金，这些都严重影响了网络购物的安全运行。

三、网上购物的安全保障措施

1. 加强对交易双方的认证

由于网络购物交易双方都使用虚拟的网名，又多是异地交易，无从见面，分隔甚远，因此对于双方的身份认证非常重要。这就需要购物网站加强对交易双方尤其是商家的个人认证，其中身份认证、IP地址认证、银行卡实名认证等都是必不可少的。

对于购物者来说，对网店的信用认证也是很重要的。在网络购物时应尽是选择大型、知名度高的网站，对制作比较粗糙的网站和较为陌生的网站应采取一定的防范措施。在决定网上购物消费前，应通过电话、网络对经营者情况进行了解，如工商登记、信誉情况、经营规模及送货方式等，只有在确认主体合格、信誉度好时，才宜进行网络购物，并且应尽量选择货到付款和支付宝方式付款。

2. 建立良好的配送体系

虽然一系列的交易可以在网络上完成，但商品能否及时准确地送到客户的手中，还要依赖于良好的配送体系。目前，我国的网络卖家多是业余或兼职的，它们虽然已经建立适应于自身发展的配送体系，但却只是些松散的配送体系资源，缺乏的是组织和管理。因此可以通过同城卖家联盟等方式成立专门的机构，利用货运部门、邮政部门、速递公司、各大企业的连锁公司、报刊发行网络等，有效地组织起来，形成一个适合自身发展的有效配送体系，即可以为卖家建立稳定快捷的配送关系，又可以为买家节约递送资金。

3. 加强监管、健全法规

应尽快出台保护网上购物消费者权益的法律法规，对于不遵守交易规则、实施欺诈行为的骗子依法予以严惩，对于出现纠纷的买卖双方能够做到有法可依，有规可循，有专门机构调解双方矛盾，有专门的政府部门监管购物网站的正常运营，而购物网站的管理员则有义务监管旗下网店的正常运营，对于交易者的信用度予以评价、公示。

4. 完善网上支付体系

对于网上购物交易的双方来说，银行等金融机构的介入是必须的，银行所起的作用主要是支持和服务，属于商业行为。但要在网络上直接进行交易，就需要通过银行的信用卡等各种方式来完成交易，这就需要购物网站与与金融机构网络建立统一的通信平台，实现互联、互通，完成支付和收费，因而网站与银行协调共建的完善支付体系将是网上交易安全进行的关键保障点。

5. 保障信息安全

作为一个安全的网上购物系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。因此首先要开发针对加密软件技术, 其次要开发出保证系统正常运行的技术。目前较广泛使用的网络安全技术有网络控制技术、密钥管理及加密算法技术、数字水印技术、防火墙技术等，而如此大规模的购物交易网站应采用多种保密技术综合、交叉运行，同时更需要加强认证体系的建设，运用静态和动态的密码技术管理系统和数据库。

网上购物这一新兴的商品营销方式作为CtoC电子商务的重要渠道，产生以来并不被看好，但它却一直保持的旺盛的生命力，并且逐步呈现出了迅猛发展的态势。它不仅使商品交易行为变得更加简便快捷，极大地节省了交易双方的时间和精力，更是有力地推动了我国电子商务的发展，为我国零售业应对外资挑战提供了有力的武器，更是有效地增加了就业渠道，在一定程度上缓解了我国的经济社会压力。解决了安全问题的屏障，相信网络购物将朝着更加健康光明的未来发展。

参考文献

[1]韦精学:IT推动零售变革[J].现代商业, 2006, (3)

[2]王瑞梅:零售业信息化的策略探讨[J].商业时代, 2007 (3)

[3]廖春梅:淘宝网交易额超沃尔玛传统零售巨鳄心生“狼来了”[N].国际金融报, 2007年3月5日

网上购物的安全性分析 篇2

(4课时)

一、实验目的

通过本实验让学生了解网上保险的特点与功能，掌握各保险公司提供的网上保险服务；掌握保险公司各险种网上投保的流程、手续和业务特点；掌握网上在线投保的具体操作方法。在实验中注重培养学生的分析问题、解决问题的能力。

二、实验条件

（1）硬件：A、PC机 B、宽带网

（2）软件：Win2000 / WinXP以上版本，IE5.0及以上版本，WORD2000

三、实验内容

（1）访问我国几大保险公司网站，浏览各保险公司提供的网上保险服务内容；（2）网上投保的流程。

（3）网上保险交易的模拟操作，了解网上在线投保的基本操作方法。

（4）实验总结（通过个人的实践、分析，得出结论，对存在的不足，提出解决建议或结合行业发展的实际，提出展望）

四、实验步骤

（1）在百度等搜索引擎上查找中国平安保险、人寿保险、阳光保险、太平洋保险等各大保险公司的网址；

（2）登陆上述保险公司的网站，查看各保险公司提供的网上保险服务。并以车险为例，对各保险公司提供的车险服务进行对比分析。（表格形式为佳）

（3）在线投保实例操作题：

如果我们班的同学要自行组织一次户外登山活动，目的地是长沙郊区某自然山脉，时间一天。经考察，该登山活动有一定的危险性，要为全班30名同学购买保险。请说明此类情况在网上有哪些合适的险种可供选择，对可以选择的保险公司及其提供的险种进行比较分

析，并针对自己的实际情况选择相应的保险公司和险种进行投保，详细说明选择的理由。分步骤说明自己进行该险种网上在线投保过程中的具体操作流程。

（4）通过个人的实验、分析总结，得出结论，对存在的不足，提出解决建议或结合行业发展的实际，提出展望）。

五、实验要求

（1）学生遵循实验目的及操作步骤进行练习，及时记录实验过程和数据。（2）实验过程中不迟到、不早退。

网上购物的安全性分析 篇3

一、人

“人”是进行网上银行业务的主体, 起着决定性的作用。由于任何人只要拥有一台电脑或数据终端, 都是银行的潜在用户。而这些人的安全意识却是高低不一。安全和方便是一对矛盾体, 有很多人为了方便而忽略了安全。因此, 在成为网上银行用户前, 银行有必要对他们进行安全教育, 以增强其安全意识;用户也应主动学习有关网上银行的安全知识, 在上网时, 尽量不要浏览一些来历不明的网站, 不要轻易下载、安装、运行来历不明的软件, 尽量避免在不属于自己的电脑上使用网银功能, 减少中木马的可能性。从而防范未来可能产生的风险, 以减少自己不必要的损失。

由于用户把自己在网上银行的损失大多归咎于银行方面, 由此可见, 这种安全教育的重要性。防范于未然。由于用户的分散, 银行方面所要主动提供的安全教育也就只能通过网络进行。现在, 用户在注册成为网上银行用户的时候, 通常网站有一个《××银行网上银行个人客户服务协议》, 有不少用户在注册时为了省时, 却并没有认真了解这个协议, 就点了下面的“同意”直接进入下一项。其实, 如果网上银行方面充分利用这一段协议, 作为安全教育的课堂, 将会收到良好的效果。可以让用户点击“同意”后将有关安全方面的知识化作试题, 让用户通过这里的在线测试才能进入后续的注册。

而对于已经注册的用户, 银行可以通过举行安全知识问答, 或者在用户登录时, 要求用户回答一些安全问题, 或者弹出一些安全提示让用户了解……长此以往, 就会增强用户的安全意识, 让用户主动防范可能发生的风险。

二、机

在银行方面, 机主要是指网上银行为实现交易提供的交易服务器。为防止交易服务器受到攻击, 银行主要采取以下三方面的技术措施:

1. 设立防火墙, 隔离相关网络。

一般采用多重防火墙方案。其作用为:分隔互联网与交易服务器, 防止互联网用户的非法入侵;用于交易服务器与银行内部网的分隔, 有效保护银行内部网, 同时防止内部网对交易服务器的入侵。

2. 高安全级的Web应用服务器。

服务器使用可信的专用操作系统, 凭借其独特的体系结构和安全检查, 保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

3.24小时实时安全监控。例如, 采用ISS网络动态监控产品, 进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时, 使用ISS安全产品的网站均幸免于难。

从商业银行角度, 各家银行不惜投入巨资纷纷引进先进的计算机软硬件, 学习发达国家的经验, 引进先进技术和系统, 选择软件开发商也都是国内外最好的, 力图确保系统的稳定性和先进性, 最大限度地确保网上银行软硬件系统的安全。

三、料

工业企业中的“料”是指加工出成品的原材料, 在这里可以理解为完成网上银行业务的身份认证。网银在现实中所做的安全措施是非常强大的:网上银行系统中网上银行分为普通版和专业版, 一般来说普通版是单一身份认证, 所以只提供简单的账户查询功能。只有采取了双重认证, 客户才能通过网上银行进行各种转账、支付等操作。这样就大大加强了网上银行的安全性。用户的身份认证依靠基于“RSA公匙密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验, 全部通过后才能确认该用户的身份。用户的唯一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输, 确保了身份认证的安全可靠性。数字证书的引入, 同时实现了用户对银行交易网站的身份认证, 以保证访问的是真实的银行网站, 另外还确保了客户提交的交易指令的不可否认性。

现今各网上银行推出了CA数字证书、U盾、USB-KEY、动态密码、口令卡、安全登录控件等办理网上银行业务的安全帮手。USB-KEY是目前国内商业银行采用最为普遍的双重认证方式之一, 是可以随身携带的网上银行物理“身份证”和“安全钥匙”。客户申请USB-KEY后, 所有涉及资金对外转移的网银操作, 都必须使用USB-KEY才能完成。客户只要保证USB-KEY、USB-KEY密码、账号、登录密码和支付密码不被同一个人窃取, 任何病毒、木马、黑客、假网站的网络诈骗方式都无法窃取客户资金。

如果用户能好好利用这些“料”, 相信所完成的产品———网上交易也是合格的、安全的。

四、法

也就是使用安全问题 (包括银行系统的生产运行安全和客户使用安全两个方面) 是否有相关法律法规和具体的规章制度。银行的机房 (包括网上银行的系统运行) 往往被视为银行的重要核心地方, 安全措施和规章制度都非常健全, 并严格地落到实处。风险控制和管理部门的常规监督检查也是作为网络运行安全的一个重要环节;如网上银行是否有健全的各项规章制度?是否得到了有效执行等。客户使用方面, 出于安全考虑, 用户要尽量避免使用网吧等公用电脑进行网上银行业务。在使用网上银行时, 最好不要直接用键盘输入密码, 而用“密码软键盘”输入密码, 因为假如所使用的这台电脑被植入木马程序, 木马程序一旦发现用户登录银行界面, 就记录下其在此期间的所有键盘和鼠标动作, 以此窃取客户的信息。相比之下, “密码软键盘”的安全性更高。

五、环境

环境也就是指客户使用网上银行的安全运行环境。一般来说, 人们担心的网上银行安全问题主要是: (1) 银行交易系统被非法入侵; (2) 信息通过网络传输时被窃取或篡改; (3) 交易双方的身份识别;账户被他人盗用。银行视信誉如生命, 所以它会不断采用当今最先进的安全技术来保障系统的安全。在网络上采用128位SSL安全加密技术加密传输, 能够有效防止黑客在网络上截取密码信息。那么, 安全的漏洞一般只会在用户这一边打开。

黑客手上的客户资料应该是客户的计算机感染间谍软件而导致密码遭窃, 有很多人则是在网上下载可免费取得音乐的软件时, 在不知情的情况下被强制下载了间谍软件。

银行应提醒用户在使用网上银行时, 电脑应该无毒、无木马程序, 以防止自己的密码被盗, 目前已有商业银行在用户登录界面提出安全提示。如果银行能够与杀毒软件公司合作, 提供在线杀毒, 那么用户在登录网银时, 银行方面会跳出提醒框, 用户只要轻松一“点”就可以使用最新病毒库的软件杀毒、清除木马, 这样用户的使用环境就会更清洁, 网上银行交易就更安全。

关于“网络钓鱼”, 即以假网站或是购物网站为名, 以紧急升级、低价优惠等为幌子, 来诈骗客户的账号、密码、支付密码, 或者要求客户到一个指定的网站去购物。这样的钓鱼平台, 不能认定只是银行的网络安全有问题, 例如有人使用www.lcbc.com.cn, 而它与工行www.icbc.com.cn十分接近, 这就需要域名注册机构的监管, 这些监管部门也应该负有一定的社会责任。同时, 银行方面也要注意在申请自己的域名时, 应该像企业注册商标那样, 把接近或类似自己的域名同时进行保护性注册, 以最大限度地保护自己的客户利益 (娃哈哈集团在注册娃哈哈时, 同时保护性注册了哈哈娃、娃娃哈、哈哈哈等商标) 。而作为客户在进行网上银行、网上购物或其他需要输入密码的操作时也要特别仔细核对网址, 多留个心眼, 以免上当。

全面质量管理工作的一个重要特征是, 从根源处控制质量。综上, 银行在加大自身安全方面投入的同时, 不断对用户进行安全教育, 提高用户的安全意识, 为用户提供杀毒的方便, 并且, 用户在交易之前先进行杀毒处理, 再使用数字证书、动态密码、USB-KEY等安全措施开展网上银行业务, 将是十分安全的。这种使客户足不出户就能完成“安全、方便、快捷”的网上查询、转账、支付等业务的网上银行, 既提高了银行与用户双方的办事效率, 又在一定程度上为客户节省了大量的人工、车辆等费用及支票等工本费用。相信网上银行会立即融入到电子商务的潮流中, 得到更多人的青睐。

摘要：目前, 网上银行的安全问题已成为网上银行发展的“瓶颈”和推动电子商务的最大障碍, 如何建立一个高效、安全、风险责任明确的网上银行体系成为一个现实而又迫切的问题。应用全面质量管理中针对人、机、料、法、环分析的方式来对网上银行安全问题进行剖析, 通过检查与网上银行安全有关的因素, 提出可能的解决方法。银行在加大自身安全方面投入的同时, 不断对用户进行安全教育, 为用户提供杀毒的方便, 让用户在交易之前先进行杀毒处理, 再使用数字证书、动态密码、USB-KEY等安全措施开展网上银行业务, 将是十分安全的。

网上购物的安全性分析 篇4

近年来, 我国的网民数量增长迅速, 网上银行业务也在快速发展, 但其中的安全问题一直是人们所关注的焦点。据统计, 到2009年, 人们对网银安全的信心指数有所提升, 主要表现在:1.提高了自我防范意识, 增强了对网银的应用能力;2.加强了对各银行的信心, 提高了银行的被信任度;3.有效了解网络银行的安全支付的方法手段;4.在亲友对网银真实性的有利见证下, 提高了网银的口碑。与此同时, 那些认为网银不安全的用户担心的主要原因是因为其对网上银行的深入了解不够, 而且计算机网络会受到黑客攻击以及造成病毒木马的侵害。

二、网上银行中存在的相关安全隐患

1、网银用户的身份认证过程安全存隐患

用户可以通过账号与密码的相互配合使用来进行网银登陆的, 但是用户身份的验证只能通过相关网络系统数字证书以及相应的动态密码来进行, 可以看出, 不管是谁只要拥有了有网络证书密码, 才能使身份验证合法有效, 就是因为这种用户身份认证系统的一些相关缺陷, 让一些不法分子钻了空子, 他们通过一些木马程序、服务器攻击、钓鱼网站等各种欺骗手段来盗取客户的资料、身份认证, 并通过盗用的身份证和密码来使用网银。众所周知, 网上银行使用起来简易便捷, 这就导致如果用户信息出现被盗的现象, 再想挂上取回就已经来不及了。

2、网络银行管理制度体系尚未完全建立

目前我国对网银并没有制定详细的法律法规, 虽然我国落实了《网上银行业务管理暂行办法》, 这些规定对交易操作规程、公平电子交易、银行与客户的关系等作出了相关的规定, 但是在实施的细节上并没有作出明确的说明, 而我国必须对网银有一套完善的管理机制才能保证网银系统的健康有效的发展。

三、网银系统建设的安全加强策略

1、规范用户网银使用流程, 做好网银操作风险防范

在人们的日常生活中大部分用户对网银的安全意识比较淡薄, 造成很多人为的安全隐患, 银行要主动承担起告知用户金融风险的义务, 让用户对网络信息形成良好的安全管理意识和防范意识。例如, 有网银服务的银行可以做好网银安全的日常宣传与培训, 加强网银使用用户的网银操作水平, 提高用户相关的网络法律保护意识, 增进网上银行使用者的网银安全防范能力, 银行要高度重视对用户的心理的研究, 加强用户的操作经验, 帮助用户更好的了解银行的各项服务, 积极发挥网银在现在生活中的作用, 强化对网银用户身份的认证机制是保障网银安全最直接有效的手段, 其中对假卡、假证件的防范最为重要。银行必须加强对柜员责任意识的管理, 提高其识别意识与能力;对柜员的防范技术水平要相应加强, 在银行内配置柜员身份证件的相关鉴证仪器, 同时在注册系统时多加上密码验证功能以及相关账户的电子信息的环节, 在有特殊情况出现的时候, 还要对客户的身份信息进行联网核对, 这样可以有效地组织犯罪分子的盗窃诈骗等犯罪行为的出现。

2、完善网上银行管理体系, 加快网银相应法律准则的出台进程

近年来, 我国网银法律体系不是很完善, 从我国近几年来的立法状态来看, 刑法对计算机相关方面的犯罪行为作出了具体规定, 人行也随之进行了《网上银行业务管理暂行办法》颁布与实施, 但我国的这些法律准则对网银交易的保障都不是很充分。因此, 我国相关部门体系一方面要努力建设完善的网上银行法律规范, 对网银所涉及到的方方面面都做出定出明确的规定;另一方面, 我们要积极利用现有的法律法规对网银的各项行为进行审查, 规范以后的网上银行业务。也要充分贯彻执行网络安全相关的法律法规, 比如《计算机信息网络国际联网管理暂行规定》以及《计算机信息系统安全保护条例》等等, 使各种网银业务的有效使用与实施都能够配套切实可行的法律依据。这也是目前网银发展志在必行的任务之一。此外, 针对我国在具体实施发展网上银行使用的相关进程中, 为了让相应法律法规能够保障网银业务切实有效的开展, 国家要及时进行相关法律准则规定的更新。与此同时, 法律的积极建立仅仅是网银安全保障的一个有机组成部分, 这就使得我们要建立真正有效的执行体系。网银安全法律准则的健全建立是网银业务顺利开展的先决条件, 其能够充分发挥法律法规的保障作用。网络金融业务高度公开渗透性是由网银的特性决定的, 所以, 唯有加强相关复合型技术人员的能力培养才能使相关金融系统积极对市场脉搏的迅速把握做出回应。

综上, 我们通过人才以及国外先进技术的积极引进, 加强对技术人员技术教育的培养, 从而组织出一支熟悉精通电子商务规则并且信息技术水平较高的网银运行的全面人才现代化队伍来有效促进我国网银系统的健康蓬勃的发展。

参考文献

[1]李帅.网上银行业务风险的国际法律规制问题研究[D].郑州大学, 2010

[2]马怀玉, 杨凌云, 李新月.银行业电子商务应用探讨[J].金融理论与实践, 2002;3

[3]郭歆.我国电子口岸建设问题研究——以宁波电子口岸为例[D].同济大学经济与管理学院, 2007

网上购物的安全性分析 篇5

问题的提出

调查背景与目的

食品安全不仅关乎民众的身体健康和生命安全,更关系到全社会的和谐稳定。近年来,随着“互联网+”的发展,多家美食外卖网站和手机订餐APP相继推出网上订餐服务,得到大学生、公司员工的青睐。现在只需在电脑前点点鼠标或手机上动动手指,图片上的一道道美食就能如约而至。这种“指尖上”的订餐模式不仅是品牌餐饮店的专利,同时越来越多的小餐馆、私厨也争相加入网店的行列。然而今年央视“3.15晚会”陆续曝光“饿了么”“美团外卖”等网上订餐APP中出现黑作坊、无营业执照、餐厅卫生条件恶劣等乱象,同时有消费者投诉外卖商家的卫生不达标,这些都给网上订餐质量敲响警钟。网上订餐正处于起步阶段,缺乏完善的监管,食品安全难以保障。

本研究试图在现有研究与相关理论的基础上,对珠江三角洲地区消费者的网上订餐消费行为和消费后的维权行为进行深入了解,从而揭开外卖中隐藏的种种食品安全问题和监管的薄弱环节,强化消费者的维权意识,为提升地方政府食品安全监管体系提供实证依据,让民众的“舌尖安全”得到保障。

网上订餐的食品安全监管现状

1. 国外网上订餐的食品安全监管现状

美国采用“互联网+监管”模式,收集海量食品的安全信息,建立全环节、全流程、全覆盖的信息监管数据平台。同时建立联邦通讯委员会等部门专对网络市场进行监管,还有一些非官方机构,如美国统一州法委员会,这些行业协会可制定经营规则以敦促互联网商家在市场中自律作业,成为沟通政府与互联网商家的桥梁。美国的网上订餐也十分普遍,当地民众的食品安全维权意识很高,法律也明确规定只要有发生损害的可能,就可提起诉讼,而且美国设立了食品安全公益诉讼,一旦接到顾客的投诉或被起诉,网上这些餐饮商家不仅要承担民事赔偿,还要面临巨额罚款,将难逃倒闭的厄运。

德国对网络订餐的安全保障主要依靠对实体店的监管,食品生产企业需实行自我监督与监测,发现问题要在24小时内向食品召回委员会提交报告,及时采取补救措施并向民众发布。而英国和荷兰则在制定食品追溯和召回制度中大放异彩,英国建立了完善的数据库,对食品代码进行统一编制分类,能迅速找出食品在供应链中的移动轨迹;荷兰的IKB(Integrate Keten Beheersing,基于食物链的整体控制)体系和识别注册体系可确保在发生食品安全问题时,能第一时间追溯到食品的来源。

除制定详尽的食品安全标准、通过强有力的执行力保障实施等常规举措外,欧美发达国家还积极建立食品安全风险预警系统,通过食品检测、风险监测和评估预警,及早发现并消除食品安全风险隐患。

国内网上订餐的食品安全监管现状

国内的研究更多地集中在对食品安全规章法则、检验检测技术、市场监管和参与主体博弈论等方面。早前的毒奶粉、毒胶囊等事件,中国食品安全已引起全世界的关注,一旦在方兴未艾的网购外卖行业疏于监管防范,食品安全的轩然大波将从线下蔓延到线上领域。鉴于此,新《食品安全法》明确规定了网上订餐平台的主体监管责任,对入网食品经营者进行实名登记并审查其许可证。一旦入网食品经营者违反安全法规定,订餐平台需及时制止,情节严重时停止其网络交易服务,并立即报告所在地县级人民政府食品药品监督管理部门。同时明确规定第三方网络平台食品安全问题及其违法情况由所在地县级人民政府食品药品监督管理部门管理。这部新法相对于《消费者权益保护法》中“对欺骗消费者,销售劣质产品、服务的商户,电子商务第三方平台只要能提供商户的真实信息,就可以不用承担责任”的规定,无疑是一项突破。

尽管如此,网络订餐仍存在各种安全隐患,遭到各大社会媒体的曝光。网上订餐的黑心作坊大都无证经营、臭气熏天、脏水横流,还有一些餐厅黑人黑户,难觅门牌号码。被曝光的黑心作坊只是冰山一角,仍有相当一部分黑作坊未被披露,其中不乏“饿了么”“美团”等知名外卖点餐网站的推荐合作商家。网上订餐的食品安全问题不仅依靠媒体力量,还需联手政府相关部门和消费者共同治理,才能逐步改善网上订餐的乱象。

当前可查阅到的针对网上订餐食品安全的实证调查研究为数不多,且网上订餐行为呈现出地区性和时效性的差异,相应的食品安全问题也呈现出地区和时间两个方面的差异。从地区角度来看,珠三角地区互联网+传统行业的发展步伐不断加快,其中大学生和公司员工是网上订餐的主流消费群体,一线城市的网上订餐食品安全现状可从该群体的调查中一目了然。从时间角度考虑,民众对2016年央视“3·15”的报道尚且记忆犹新,时隔4个月,消费者的防范意识是否如预期提高、网络平台或政府改进的监管举措在消费者看来是否奏效,一系列的疑问都有待在调查结果中寻求答案,基于此,项目组展开了本次调查。

调查结果分析

问卷设计与调查实施

针对调查目的,项目组设计了23道题目,涵盖四方面的内容:第一,消费者的基本信息,包括性别、身份等;第二,消费者的消费行为,主要调查消费者网上订餐的动机、频率、消费额度和满意度等情况;第三,消费者对网上订餐食品安全的关注度;第四,消费者的维权行为,主要调查网上订餐出现食品安全问题的维权途径、监管部门的监管力度与效果等。其中,调查消费者的消费行为根据个体行为5W模式编制题目:动机(why)、时段(when)、渠道(where)、订餐行为(how)、评价反馈(how much),一定程度保障了所编问卷内容的有效性。

本问卷通过微信、网站端口发布,并向各大公司、高校协会等推广,最大限度争取受访者的配合。受访者匿名填答问卷,如实作答,以保证数据的质量。数据处理采用SPSS 20和Excel 2010完成。

调查样本

网络调查采用滚雪球抽样方式,受访者涵盖珠三角地区,分别来自广州市、中山市、深圳市、珠海市、惠州市、佛山市、东莞市、肇庆市和江门市,共收集760份问卷,剔除210份未使用过以及暂时未使用以后准备使用网上订餐服务的问卷,获得有效问卷550份,有效率为72.37%。其中,男性占37.64%,女性占62.36%;大学生占46%,企业员工占34.36%,中学生占1.28%,其他身份(家庭主妇、无业人员)占18.36%;受访的大学生中,一年级占11.46%,二年级占32.41%,三年级占34.78%,四年级占21.34%;受访的企业员工年龄主要集中在25岁以下(32.28%)和31~35岁(27.51%),其次是25~30岁(23.28%)和35岁以上(16.93%);月薪在4000元以上占60%,其次是3001~4000元(18.28%)、2001~3000元(14.14%)、2000元以下(3.1%)。

数据处理结果

1. 网上订餐行为现状

选择网上订餐,排在首位的动机是方便快捷,占84.73%,其次是经济实惠(49.64%)、学校食堂或公司饭菜不合胃口(35.27%)、食品品种齐全(33.09%)、卫生安全质量有保障(5.64%)。消费者不选择网上订餐服务绝大多数原因是食品不卫生、影响身体健康(64.91%)和自己做饭、公司有食堂或外出就餐(56.36%),其次是食材不新鲜、甚至会有变质原料(47.82%),制作环境恶劣、不能保障食品安全(50.55%)和使用劣质的包装盒、长期对身体健康存在危害(50.36%)。可见,食品安全问题不容忽视。

超过84.36%的消费者每周网上订餐的次数为1~5次,9.82%的消费者订餐次数为6~10次,次数在10次以上的消费者最少,占5.82%。超过一半的消费者使用网上订餐的时段是午餐(81.09%)和晚餐(52.55%),其次是夜宵(25.27%)、早餐(4.91%)。消费者每月网上订餐的消费额度主要集中在100元以下(55.82%),其次是101~200元/月(21.27%)和201~300元/月(9.45%)。

2. 网上订餐食品安全的关注度

64.36%的消费者都会关注网上订餐食品安全问题,30.73%的消费者关注度为一般,3.27%的消费者则持无所谓的态度。消费者主要通过外卖网站的评价信息(56%)和自己浏览网页(53.09%)关注网上订餐食品安全问题,其次是通过微信公众号或朋友圈(50.18%)和从他人那里了解(46.91%),而通过报刊杂志等平面媒体关注的占20.73%。

对于网上订餐食品安全的判断依据,81.27%的消费者会通过客人评价去判断,65.09%的消费者则通过商家的声誉判断,通过价格和商家宣传判断的消费者分别占43.45%和22.91%。而94%的消费者觉得外卖信息中包含商家卫生评价等级是有必要的,3.09%的消费者觉得没必要,2.91%的消费者则觉得无所谓。45.64%的消费者去过并在实体餐厅就餐,34.73%的消费者仅仅听说过但没有去过实体店,19.64%的消费者没有听说过也没有去过实体店。

绝大部分的消费者认为网上订餐食品原材料不新鲜清洗不彻底(87.09%)、加工环境卫生差以及食物没有彻底煮熟(80%)、使用劣质饭盒(72.18%)是主要的食品安全问题,其次是食品里添加对身体有害的添加物占66.73%。消费者认为网上订餐食品安全可能导致的结果主要有引起肠胃不适、导致腹泻(92.55%),其次是恶心、晕眩、皮肤过敏(50.18%),深度中毒、甚至死亡(26%)。

3. 网上订餐安全问题的反馈与应对

近来媒体频频曝光网上订餐的食品安全问题,71.45%的消费者表示受影响并减少使用网上订餐服务,16.36%的消费者表示不受影响并继续使用,其次是大受影响不再使用(6.91%)和自己不用、并告诫他人放弃使用(5.27%)。

导致网上订餐食品安全问题出现的主要原因,消费者认为相关部门的检查力度不够(81.82%)、行业的诚信危机和社会责任缺失(82.36%)、商家食品安全意识淡薄(75.64%)是造成网上外卖食品安全问题出现的主要原因,其次是消费者关注度不高和安全意识薄弱(60.36%)、相关法律不健全(58.36%)。消费者认为保障网上订餐食品安全最重要因素是严格监督检查,实行市场准入制,建立食品安全评价体系(46.91%);其次是店主的诚信自律(23.45%)以及加强食品安全知识宣传,普及科学消费知识,提高消费者的感观鉴别能力(13.27%);店家有无正式牌照(8.73%)。

当消费者网上订餐出现食品安全问题时,74.18%的消费者会在外卖订餐平台上写评论,62.55%的消费者会直接找商家索赔,43.82%的消费者会向消费者协会反映,42%选择向政府监管部门投诉举报,而在公共媒体上披露(36.36%)的比例较少。

讨论

本次调查显示,珠三角地区受访者使用过网上订餐服务人数比例大,以大学生、公司员工为主。大部分消费者使用网上订餐服务的主要原因是订餐方便快捷、价格经济实惠以及食品种类丰富,但仍有部分消费者因担心食品不卫生,影响身体健康和使用劣质的包装盒,长期对身体健康存在危害而不选择网上订餐服务。虽然使用网上订餐的人数比例大,但网上订餐的消费水平低,消费的额度主要集中在100元以下/月,每周的消费次数集中在1~5次。笔者认为网上订餐服务处于起步阶段,后续步入消费成熟期,食品安全的影响将进一步扩大。

消费者应提高食品安全意识,擦亮眼睛使用网上订餐

珠三角地区的受访者对网上订餐服务的关注度较高(占64.36%),他们“动动指尖,美食送到家”之余也会关注网上订餐食品安全问题。尽管受访者主要通过外卖网站的评价信息和自己浏览网页关注网上订餐食品安全问题,但这些有限的判断因素也很难保证食品100%的安全。部分受访者曾因网购的外卖不卫生而引起肠胃不适,外卖货不对的现象也时有发生。网上订餐服务的兴起,食品安全问题也随之而来。

消费者在选择网上订餐时,要擦亮眼睛,留意商家的资质和其他客人的评价,有条件的话可先考察实体店是否存在,是否有营业执照以及卫生许可证,以确保订餐安全。同时多关注网上订餐食品安全问题,提升安全意识,寻找有效合理的途径保障自身权益。

提供网上订餐服务的商家应推行“透明化厨房”建设

项目组学生成员实地暗访了几家有网上订餐服务的商家,他们先电话咨询商家是否招聘送餐兼职,短短几分钟商家就要求学生上岗工作,整个过程并未要求提供任何健康证明。在一家每月有着近2 000单销售量的烧腊饭店,兼职学生以取餐的名义来到后厨,看到狭小的房间内,四处是污垢、垃圾和油渍,食材随意摆放,没有任何保鲜防护措施。类似的小作坊在各类外卖平台上比比皆是,它们虽有门面和招牌,但消费者完全无法看到厨房里的环境,更不能看到外卖的制作过程。

商家可在厨房安装摄像机,通过订餐平台向消费者展示食品制作的全过程,打造“透明化厨房”,让公众监督厨房生产,随时掌控食品质量。这不仅能让消费者吃得安心,同时提高商家的信誉,树立自身的品牌。

政府监管部门、相关职能部门、社会组织、商家、消费者联动监督

从网上订餐安全问题的反馈与应对来看,消费者选择在订餐平台上写评论,能更直接地反映商家信誉以及食品质量,减少商家“货不对版”的现象。但访谈中,消费者普遍反映相关部门的监管成效一般,处理问题的速度相对较慢,因此少有选择向政府监管部门投诉举报。

1.提升相关政府部门的执法水平和管理意识,建立社会诚信体系

政府部门应不定期地检查网上订餐平台,并对检查结果予以公示,以保障执法的有效性。相关的执法部门可扮演“秘密客人”,对所有入驻的餐饮商户进行走访检查,切实保障食品安全,维护消费者的健康权益。

2.构建“互联网+食品安全监管体系”

媒体曝光只能引发社会一时的关注和重视,如果不形成监管机制,类似安全事故还将重演,所以,构建“互联网+食品安全监管体系”十分必要,如图1所示。在网上订餐遇到货不对版或实体店环境恶劣等状况时,消费者或社会组织可实时取证,以文字、图片、语音或视频等形式上传到政府监督举报网站或微信维权平台进行投诉举报。食品监管部门及时公布举报情况,并在监督举报网站或微信维权平台上回复投诉者。如果线上不能解决,工作人员可转到线下进行处理。食品监管部门收到举报或投诉并查明属实后,通过线上平台向商家负责人下发整改通知书,要求其在限期内进行整改,整改期限过后食品监管部门派遣工作人员进行核查,并公示检查结果。

食品监管部门充分发挥新媒体短平快的优势,通过网络增加食品安全知识宣传、政府信息发布、消费者互动等多种服务,推行政府监管部门、相关职能部门、社会组织、商家、消费者共治模式,实现政府监管和社会监督有机结合。除注重线上平台建设,政府部门也应加大线下宣传,让消费者了解如何保障网上订餐食品安全。

4. 研究局限

浅谈网上购物系统中的安全技术 篇6

网上购物系统方兴未艾, 但随之而来的是严重的安全问题。由于购物系统存在于开放的Internet网络环境中, 代码或者系统本身也可能存在漏洞, 势必可能受到网络中病毒、木马和其它方式的攻击, 购物系统由其本身的特点, 安全性要求是它的一项最重要的要求。因此需要对购物系统的安全进行充分的考虑。

二、系统安全性

Web网站存放于Web服务器, 要保证网站的安全首先需要确保服务器系统的安全。对服务器做如下安全设置:

(1) 安装系统时选择NTFS格式进行安装。安装好后, 设置自动更新, 及时打好系统补丁。

(2) 安装好防火墙和杀毒软件并及时更新, 对防火墙应设置适当的安全级别和相应的规则, 设置端口保护。

(3) 删除默认共享, 将不需要的端口关掉, 需要经常使用的端口更改端口号, 防止网络攻击。

(4) 合理的设置操作系统的账号, 关闭guest账号、删除不必要的账号, 将Administrator用户改名设置足够强壮的密码, 对于其它账号根据够用的原则设置好合适的权限。

(5) 关闭不需要用到的服务, 删除或改名不安全的组件, 禁用空连接, 不安装不必要的软件防止第三方软件漏洞。

三、网站安全技术

网站常常由于源程序的本身缺陷与程序编写经验的不足、权限设置的不合理等因素的影响, 可能存在诸如脚本信息泄露、SQL注入、绕过权限验证、木马等安全问题, 在应用过程中注意好相应的设置、进行相应的处理就能很大程度上减少此类问题带来的影响。

(1) IIS安全设置

关闭并删除默认站点, 系统所在位置与系统不在同一个分区, 删除不必要的IIS映射和扩展, 把一切ASP错误, 服务器返回的信息设置为http500错误, 设置好网站的Web权限, 一般情况下不给那些静态网站以“脚本和可执行”权限。动态网站只要给个“纯脚本”权限就够了, 对于那些上传文件的存放目录, 执行权限设为“无”。

(2) 为了防止非法用户将有可能运行上传的脚本、木马等, 进而控制站点、甚至整个服务器, 上传目录应设置不给脚本执行权限, 对上传的数据的文件类型也需要进行限制。

(3) 防止权限验证程序被绕过

对于需要通过身份验证后才能被访问的页面, 可以绕过身份验证, 直接进入到该页面, 这样做为用户区分与权限分配的验证程序就失去了原有的作用。为防范此漏洞, 可以通过对需要通过身份验证的页面添加对存储在cookies或session对象中的再次验证来实现安全控制。当访问者通过身份验证页面后, 就把Cookies信息或对象的属性存储起来, 当访问者试图登录到有效链接页面时, 将当前身份信息与存储的验证信息行比较, 如果不匹配, 则拒绝访问。

(4) 防范SQL注入攻击

Web系统经常要以用户输入或者传递的参数来构造SQL语句, 并让后台的数据库执行。SQL注入是系统通过输入的内容构造出来的SQL语句, 在执行时改变了查询条件或者附带执行了攻击者注入的整个SQL语句, 从而让攻击者达到了非法的目的。

程序开发人员在编写网站程序时, 应对用户可能输入的信息进行检验、过滤, 阻止恶意代码的攻击, 以达到注入攻击的防御效果。目前这种检验方法一般有两种。

(1) 替换或删除敏感字符/字符串

对用户传递过来的参数, 使用替换函数, 将认为危险的所有字符替换成为相应的安全字符。

(2) 在服务器正式处理前对提交数据进行检验。

如果检验出有非法字符输入时, 服务器立即终止处理, 不给SQL注入攻击的机会。

(5) ASP脚本加密

为有效地防止ASP源代码泄露, 可以对ASP页面进行加密。使用微软的Script Encoder对ASP页面进行加密, 操作简单、收效良好。

四、数据库安全

在ASP环境中, 常用的后台数据库是SQL Server, 其安全技术主要有。

(1) 更改sa口令, 取消guest账号, SA具有对SQL Server数据库操作的全部权限, 但在安装SQL Server时sa缺省口令为空, 为SQL Server带来了潜在的隐患, 应把sa的口令换为更安全的口令, 同时不能把sa账号的密码写在应用程序或者脚本中。

(2) 控制访问权限

定义用户和角色对数据库、数据表和数据列的访问权限, 限制用户对表拥有直接的查询、更改、插入、删除权限, 可以通过给用户访问视图和执行存储过程的权限, 以保证数据库的安全。

(3) 限制SQL Server自带的存储过程

在SQL Server攻击中有一类是构造特殊字符串调用SQL Server系统中master数据库自带的存储过程来获取权限。可以去除或限制SQL Server系统中自带的存储过程。

(4) 加强数据库访问日志的监视, 定期备份数据库审核数据库登录事件的“失败和成功”, 在实例属性中选择“安全性”, 将其中的审核级别选定为全部, 这样在数据库系统日志里就详细记录了所有账号的登录事件, 一旦出现问题能够查出原因, 及时补救。同时, 制定完整的数据库备份策略, 在必要的时候能够实现对数据库的恢复。

五、数据加密技术

用户的密码在传输时可能被窃取, 数据库中的密码可能被系统的管理员查看或破解, 如果数据库被入侵那么数据库中的信息将毫无安全性可言, 为了防止授权用户的密码被泄露, 系统应该在数据传输过程以及数据库中对数据以加密的形式进行传输和保存。

MD5作为最为常用的一项加密算法, 其以加密强度颇大而著称, 被广泛用于加密和解密技术上。在使用MD5的Web系统验证用户时, 在客户端对用户的密码进行加密, 然后将加密后的数据传输到服务器端与数据库中保存的经过MD5加密的该用户的密码进行比较, 如果相等则表示该用户是合法的。通过这样方式验证用户, 即使用户密码的MD5值被窃取也是无所谓的, 因为MD5函数的计算过程是不可逆的, 知道计算值是计算不出原来的字符串的。

对于一部分密码的设置过于简单的用户, 可能存在攻击者使用查询的方法通过对搜集的大量MD5的密文和明文的对应信息对用户密码进行匹配尝试来获取密码信息的隐患。对于这种攻击方式, 我们可以采取以下几种方法来解决:

(1) 增强用户密码

即用户密码的二次加密。将用户密码加上特殊的前缀或后缀, 包含数字、字母、特殊符号等, 使密码长度加长, 强度明显增强, 防止用户设置的密码过短、过于简单而易破解。如:在密码前、后或中间加上一段特殊字符串“!&a%S%2!#@) ?>”, 或一串随机码 (如验证码) , 把用户密码加长至20位以上, 再经MD5码加密, 可使密码强度增加, 破解的难度明显增大, 即使被下载破解了, 由于密码人为加长, 与实际密码不符而无法得知其真实密码。

(2) 用MD5码多次加密

一种方法是直接对M D 5加密过的数据进行二次或多次加密。如前面所说的密码“admin888”我们把它再MD5一次, 即md5 (md5 ('admin888') ) ;得到的值再拿到cmd5.com上去破解, 过了很长时间, 没有破解成功。另一种方法是在每次加密后从中抽取部分值进行再加密, 比如“我爱你”, 加密后“1E6986ACEC7BAE541AB7B37B99260DAF”, 我们可以取任意一部分进行再加密, 比如取前18位“1E6986ACEC7BAE541”进行再加密, 这种做法修改也很简单, 比如asp中调用是m d 5 (“p a s s w o r d”) 那么可以改成m d 5 (l e f t (m d 5 (“password”) , 16) ) 。

(3) 修改MD5算法

这是最有效、最可靠、最捷径的方法, 其特点是加密后的数据和加密前非常类似, 但是不会被破解。打开MD5.asp文件, MD5这个散列算法的关键地方, 是MD5中的4个常数, A、B、C、D四个缓冲区寄存器, 它们的初始值是:a=0x67452301;b=0xEFCDAB89;c=0x98BADCFE;d=0x10325476。

MD5的算法过程主要是一些异、或、求模等的运算, A、B、C、D四个值共是16进制的4*8=32位, 那么可计算可能被破解的概率空间, 如果改动得越多, 被破解的可能性也就越小。实际上, 只要把初始值进行稍微改变, 比如只改变其中一位, 也不必改动算法的其它部分, 就产生自己的新MD5散列算法。如:把d=0x10325476改为d=0x10325376, 这样你就有一个与众不同的MD5算法, 即使你的数据库被下载, 你也可以放心地使用。

参考文献

[1]阮国忠, 基于ASP网站数据库的安全漏洞及防护对策研究, 福建电脑, 2009.2:56~57

[2]邹本娜, ASP代码安全性解析及黑客入侵防范方法, 电脑知识与技术, 2008.34:1848~1849

[3]周桂红, 基于A S P开发的网站安全防范措施, 科技创新导报, 2009.1:32

[4]郑健、魏浩成、韩星, 网页制作与电子商务网站安全, 电子商务, 2009.1:143~144

网上支付的安全性探讨 篇7

网络和银行卡的普及推动了网上支付的发展,应用形式多种多样,包括网上转账、网上炒股、网上购基金、网上炒黄金和网上购物等。来自“国家金卡工程第十二次全国IC卡/RFID应用工作会议”的资料显示,2009年中国网上银行个人用户已达1.5亿户,网上银行企业用户超过400万户,交易额超过400万亿元。

依照《电子支付指引(第一号)》规定,网上支付是电子支付指令发起方式在网络的电子支付类型。从形式上可以分为2大类:直接支付和间接支付,直接支付最主要的表现形式为网上银行,常见形式是证券账户和银行账户之间的网上转账,网上证券的股票、基金买卖,其他形式还包括电信企业小额代收费(如手机付费、电话付费)、虚拟货币支付(如Q币、联众币等);间接支付主要表现形式为独立第三方支付(如支付宝、财付通等)和银联的第三方支付(CHINAPAY)。独立第三方支付成功解决了相互不了解的人的交易诚信问题,自身也得到了快速发展,连续5年增长超过100%,从2005年的年交易额196亿元发展到2009年的5 766亿元。2009年网上支付交易额占全年社会零售总额的0.46%,预计2012年将超过2万亿元,将占社会零售总额的1%。

二、网上支付的风险分析

(一)支付流程和安全性分析

网上直接支付是付款人直接通过计算机网络将银行(或证券公司等机构)账户的资金划转给收款人,从而实现转账的相应交易,付款和收款2个环节顺次完成(不考虑银行系统内部流转),资金直接在银行系统内完成转移。网上间接支付是付款人通过网络把资金先划至第三方支付公司,通过担保和代保管,在交易确认成功后再由第三方支付公司划给收款人,包括付款、代保管、收款3个环节。从网上支付流程中可以看出,整个支付系统的安全包括银行(或证券)系统安全、第三方支付机构系统安全、客户安全(收款人、付款人)和网络支持系统安全4个方面。绝大多数支付行为都离不开银行系统的支持,因此,网上银行的安全性成为网上支付安全的核心。

(二)风险分析

1. 系统风险分析,包括网上银行(证券)系统、第

三方支付系统、网络支持系统,具体体现在实体安全风险和技术安全风险。其中,实体安全风险有经营风险、环境风险(如火灾、水灾)、设备风险等,技术安全风险有业务系统安全风险、数据安全风险、操作系统及网络安全风险、网络攻击风险、网站被假冒风险等。

在实体安全经营风险方面,银行(证券)系统受到较为严格的监管,有严格的市场准入和经营管理机制,网上业务也受到相应的约束,证券系统实行客户资金银行第三方存管,经营风险控制较完善,但第三方支付目前监管缺失,主要依靠企业自身自律完成,只有少数企业实行自有资金和客户资金分离的形式,如经营风险,则可能导致挪用甚至侵占客户资金。环境风险可能导致业务设备、业务系统损坏,如2005年4月某直辖市联社数据中心受到火灾威胁,在消防人员的特别保护下才保护住核心数据。

在技术安全风险方面,2007年4月6日,某银行总行的数据中心网络出现故障,北京分行各营业网点和网上交易业务被迫中断4小时;2010年2月3日另一家银行系统瘫痪4小时,影响涉及全国分支机构,自动取款机、网银均不能办理业务。网络的开放性让网络攻击可以随时随地进行,如采用Do S拒绝服务攻击可以使一个网站不堪重负而瘫痪,网络攻击也可能找到访问服务器的漏洞从而窃取客户访问数据。网站被假冒,即做一个和网上银行或第三方支付界面一样的网站,域名和真实网站相近,如出现过工行的www.icbc.com.cn曾被www.lcbc.com.cn在2004年底仿冒,许多利用“中奖”骗人的网站也作类似的仿冒。和假冒网站狼狈为奸是域名劫持,通常是利用病毒修改上网机器的hosts文件或解析服务器地址,将地址解析到一个假的网站上去,2010年1月12日百度域名劫持事件性质更为严重,黑客直接修改了域名服务商域名解析数据,从源头将百度网站的地址指向了伊朗网军和雅虎错误界面。

2. 客户风险分析,客户风险主要来自于欺骗和盗

用,病毒和木马威胁着网上银行和第三方支付账户安全和支付过程的安全。最常见的是利用病毒和木马盗窃资料,如网银大盗、网银窃贼等木马病毒。2009年央视“315”晚会曝光的名叫“顶狐”黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,并出售给他人导致部分网银客户资金受损。

虽然网银或第三方支付提供了一些技术手段来增强客户支付的安全性,但其通常是防范已知危险行为,不法入侵者并不需要破解这些防护行为,而且通过别的漏洞从而绕过防护。一种是来自假冒交易网站(如假淘宝、假网银)的钓鱼行为,如客户不能正确识别登录了假冒网站进行交易,轻者导致客户丢失自己的网上银行或第三方支付账户资料,重者直接把款项付给了黑客虚设的账户。另一种是更为严重的情况客户机器已经成为了“肉鸡”,黑客利用木马程序获得账号密码,然后利用用户数字证书甚至是USB Key来完成网上银行转账。如果该客户没有银行卡使用手机通知服务,则不能及时发现资金被盗。还有更糟糕的是不法入侵者得到了银行卡账号和密码,在现实生活中制造假卡盗取客户银行资金。

三、网上支付安全评估

(一)增强网上支付安全手段及效果

1. 增强系统安全手段,包括银行(证券)系统、第三方支付系统、网络支持系统。

主要体现在技术方面,有2层防火墙技术(保证核心数据库不受攻击)、网络数据传输加密(保证口令、数据和控制信息的安全)、权限控制(内部权限控制和外部网络访问权限控制)、备份与灾难恢复、入侵检测等。通过以上措施,能够保证核心数据库安全,但灾害、拒绝服务攻击等有可能让服务器中断服务,与外部联系紧密的访问服务器也有较多风险。另外要进行身份验证,因为牵涉到网络和前台客户端,容易产生漏洞,一直处于不断完善中。

2. 增强客户安全手段。

由网上银行和第三方支付服务提供商为客户提供,具体包括客户动态密码、USB Key、数字证书(含第三方认证证书)、短信服务、预留信息验证、128位SSL安全通信协议、图形码、动态密码键盘等。其中,客户动态密码和USB key为物理移动设备,难以被盗用,安全特征明显;短信服务是让客户了解账户变动情况;数字证书第三方认证是个人用户使用的电子签名安全认证,由第三方机构提供,主要是增强对交易过程中行为和责任的认定。通过几种方式的组合,增强了非法入侵和盗用的难度。

3. 其他手段。

一是加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,防范欺诈;二是第三方支付公司借鉴证券公司使用第三方存管,增强了客户资金安全性。

(二)常见网上支付行为安全性评估

网上支付的后台核心数据库安全性很高,更多的风险来自前台用户端的仿冒、盗用和外部欺骗。网上支付安全的实质是资金会不会被盗用,最安全的支付是能够被有效跟踪审计的资金流动且所需要银行信息少的支付,能够确保支付以后达到付款者目的为安全支付,可能被欺诈等不能被有效跟踪的资金支付为不安全支付。

1. 最安全的支付是使用证券客户端进行银证转账

和购买证券,因在此客户端中不会提示出银行账号和身份证号等重要信息,资金只能在证券账户和对应的银行账户流动,不会造成资金被盗。

2. 在网上银行直接购买基金、外汇、纸黄金,在基

金公司网上直销点购买基金等资金流走向明确,不受网银交易额限制,为安全支付。

3. 企业网上转账、个人汇款、交纳电费、水费、通信

费、在知名的公司网上平台购买、商品支付等交易对象明确可信,为安全支付。

4. 在知名的交易网站(如淘宝网、拍拍网)购物,使用第三方支付的,为安全支付。

5. 通过知名网站专门广告连接在普通企业网站或不知名的交易网站购物支付,一般为安全支付;

通过搜索引擎查找,并能确认真实性的企业网上购物支付,一般也为安全支付。

6. 通过知名网站论坛等非正常广告链接和小网站

广告链接,尤其是超低价购物、中奖消息为虚假消息,为此付出的货款、税费、手续费的支付均为不安全支付。通过搜索引擎查找,无法确认真实性的企业网上购物支付,也为不安全支付。

以上6种情况安全性逐渐降低,第2~5的风险主要来自于使用者的计算机安全,如木马和病毒对客户信息的盗用,第6种是不安全支付,也是用户信息被盗用和计算机感染木马病毒的渠道。因为绝大多数网上支付属于前4项行为,所以网上支付总体上是安全的。

四、增强网上支付安全性的建议

虽然网上支付发生风险的比例很低,但风险的存在依然让很多人对其安全性能心存疑虑。如《2009中国网上银行调查报告》显示,有80%参与调查者使用了网上银行业务,说明认可网银安全性能的人较多;另一方面,拒绝开通网上银行的受访者中间,将近70%的人对网银的安全性表示担忧。要增强人们对网上支付的信心,应加强法律环境建设、系统安全管理和使用者安全教育,让人们能够安全安心地使用网上支付,从而享受网络的便捷性。

(一)完善网上支付相关法律,规范网上支付环境

1. 完善网上支付法律建设,尤其是要尽早出台第三方支付法律规范。

我国网上支付相关的法律法规有《电子签名法》、《电子支付指引(第一号)》、《电子银行业务管理办法》、《证券公司网上证券信息系统技术指引》等,但还不是完善的体系,如与《票据法》相关法律对接问题。另外,以上规范主要用于约束金融机构,目前对第三方支付机构没有约束力,建议将其业务纳入结算管理范畴,并出台第三方支付业务规范,明确其法律责任。

2. 加强监管,落实网上支付风险控制。

银行和证券监管部门落实网上银行、网上证券各环节监管监测,从制度、内控、客户教育上落实与技术体系相配套的风险控制,保证网上银行、网上证券安全。

3. 打击网上违法犯罪行为,建立诚信网络环境。

切实打击网络攻击、赌博、诈骗、盗窃他人信息和资金等违法犯罪行为,教育广大网民遵纪守法,建立诚信网络环境。

(二)加强系统和运行安全建设,防患于未然

1. 加强系统安全建设和管理,确保网上银行、网上证券和第三方支付系统安全运行。

包括加强内部管理,切实做好系统运行监测、维护和入侵检测,及时发现和处理潜在风险,避免系统中断运行;做好备份和灾难恢复,建设异地备份数据处理中心,确保核心数据安全。

2. 完善网上支付平台安全设计,不断减少安全漏洞。

要不断完善网上支付平台设计,运用新技术增强支付的安全性,同时要优化客户的操作便利性。如网上支付客户端控件时主动关闭计算机远程服务,对威胁网上支付的应用进行报警,防止别人用远程控制盗窃客户信息和资金;在客户端设计上,应避免客户重要资料需要经常输入等。

3. 通过技术手段或人工检测加强网上支付各交

易环节的监控,妥善记录和保存交易内容及技术信息,便于交易分析和事后追溯。如发现可能存在的洗钱、套现、赌博、欺诈等非法活动,应及时处置或报相关部门,避免他人的违法犯罪活动影响正常的网上支付行为。

(三)强化宣传教育,提高网上支付客户自身安全意识及安全水平,增强操作安全性

宣传教育包括的网络安全教育和交易提供者的功能使用安全教育,如安全风险识别、新功能使用、安全习惯培养等,增强操作安全性。

1. 使用安全的计算机进行网上支付。

安装必要的杀毒软件、防火墙软件,及时做好系统漏洞修补,不在网吧等公用计算机操作。不使用密码保存功能,对于浏览器自动打开、防病毒软件不能正常工作要及时解决,防止病毒和木马感染。

2. 访问正确的网站,谨防钓鱼。

访问网上银行和交易网站时,可以将正确的网址收藏起来,避免通过“超链接”操作,登录时核对信息是否正确。记住正确的网站名称、特服号码,对于要求提供身份、账户及密码的邮件、电话、短信保持高度警惕。学会识别正规经营网站的红盾标志,对没有把握的交易对象要通过搜索判断其服务真实性,不打开非正常弹出的链接。

3. 应熟悉所使用的交易规程,避免被欺诈。

如第三方支付中不良卖方会诱导买方提前确认付款或者欺骗买方导致第三方机构“超时打款”。

4. 保护好自己的账号和密码。

不要轻易将个人信息告诉他人,密码要有足够的强度,对于网上银行支付密码要与访问密码不同,尽量使用动态口令密码、USB Key、短信服务等增强安全工具进行支付,要经常核对账户资金是否正确。

参考文献

[1]徐辉.我国网上银行安全问题及风险防范[J].华南金融电脑,2009.

[2]孟凡霞.2009中国网上银行调查报告[N].北京商报,2009.

[3]钱宏,赵琳峰.构建安全支付服务体系迎接支付健康发展新纪元[J].金融电子化,2010.

校园网上支付的安全性研究 篇8

关键词：电子商务,CA认证中心,网上支付

在全球化信息化发展的今天,电子商务逐渐渗透到人们生活的各个方面。而学校作为一个特殊的群体,以其网络建设良好、信息化程度高和行为主体集中、消费观念先进的独特优势,开展了校园电子商务。由于学校的服务属于内部管理,网络安全性高、交易额度小,用户群体相对单一,与社会上的网上商城相比有较小的风险,可以推广的更快、更好,所以,开展和实施基于校园的电子商务将成为数字化校园的建设亮点。

目前,大多数高校通常使用“校园卡”来提高学校综合管理水平和管理效益。校园卡是以学校网作为支持环境而建立的一个统一的、学校综合管理和校内消费支付功能合一的多功能复合型应用系统。校园卡可以看成一个独立的的金融系统,可以执行充值、结算等操作,并且校园卡系统具有网上支付网关接口,从而具备了在线支付提供服务的能力。

1 构建第三方支付平台

利用第三方支付平台来实现校园电子商务的网上支付,可以有效防止“交易抵赖”问题的发生,有效保证了网上支付的安全性。校园第三方支付平台是校园买卖双方在交易中的资金“中间平台”,是一个公共的、可以信任的中介,是在学校相关管理部门监管下保障交易双方利益的独立机构。在通过第三方支付平台进行支付时,买方在电子商务平台选购商品后,使用第三方平台提供的个人账户进行货款支付,由第三方通知卖家货款到达、进行发货;到货时买方检验物品后,通知付款给卖家,第三方再将款项转至卖家账户。这种交易方式满足了电子商务中买卖双方对于信用以及安全的要求。因此,基于校园卡建立虚拟校园第三方支付平台将为校园电子商务的网上支付提供一种安全可靠的支付模式。

2 支付平台安全协议的选择

迄今为止,国内外支付平台对其安全协议的选择是多种多样的,但目前有两种安全支付协议被广泛应用,即安全套接层SSL协议和安全电子交易SET协议,二者均是成熟和实用的安全协议。

如果仅从安全角度考虑,当然选择SET协议,但是从实现的角度和系统运行的角度考虑,选择SSL协议要好,这也是目前许多电子商务系统都使用SSL而排斥SET的原因。目前多数的校园电子商务系统选用SSL协议,通过建立统一的身份认证系统,也就是CA认证系统,能够为交易各方提供完备的身份认证。因此,采用SSL协议能够满足校园内部需求,因此不需要在另外购买其它的协议,既满足了安全需求也节约费用。其支付平台模型如图1所示。

3 支付平台的安全性分析

3.1 网上交易流程

判断支付平台是否安全,可以从交易的流程来分析。基于校园网的第三方支付平台的网上交易流程为:

1)消费者登录校园网上商城浏览商家网店,选定所购货物,登录第三方支付平台提交支付请求。

2)商家通过第三方支付平台接受消费者的支付请求,验证消费者身份,是否为同一个根CA颁发,并将结果转给第三方支付平台。

3)第三方支付平台根据支付指令,确认消费者账户余额,完成支付授权。

4)商家得到第三方支付系统发回的响应,验证支付授权,验证通过后返回消费者购物请求,并发货。

5)消费者收到发货响应,等待货物到达后确认收货。

6)第三方支付平台得到商家的收款请求,验证商家身份,通过校园卡中心将资金划款。

3.2 校园安全支付引入机制

通过对交易流程的分析,我们发现可以引入CA证书和SSL机制来提供在整个支付平台中的业务安全和通信安全,实现以下安全功能:

1)通信安全和不可抵赖性保障:通过SSL协议完成对数据的加密并保证其完整性。

2)身份认证与访问控制:商家采用CA证书来访问校园网上商城,没有CA证书的商家必须先申请到CA证书后才能进行网上商品的交易。系统通过读取CA证书的唯一标识符,确认商家的真实性;消费者在网上商城浏览信息时,可以不需要安全数字证书,但如果需要实现网上支付,则必须安装CA证书,用申请到的CA证书信息进行支付前的身份认证。

从上面的分析我们可以看出,网上支付系统主要实现消费者注册、账户修改、登录、费用查询与支付功能。

4 安全认证的系统分析

安全认证,就是证实被认证对象是否属实和是否有效的过程,用于确认校园网电子商务系统的合法身份,以此来保证网上支付的安全。实现认证的手段有很多,通常使用的有口令加ID、单因素认证、双因素认证等。在这里我们需要认证的是校园电子商务系统,我们通过采用校园CA,为所服务的校园网内的电子商务系统签发一个网上身份证——数字证书,来保证公钥的可靠性,以及它与校园电子商务系统的对应关系。CA是颁发数字证书和验证数字证书的机构,包含了数字证书的管理和数字证书的验证模块的设计。在数字证书管理中可以对数字证书进行存储以及数字证书申请、查询、更新、撤销等操作;而数字证书的验证使用一个临时存储空间来存放消费者/商家、支付网关上传的数字证书,然后由CA进行相应的验证并返回验证结果。证书中主要包含的就是证书持有者的信息、证书公开密钥和证书颁发机构的签名,以及相关内容等,这些都存储在认证系统中的数据库中。当具备这些条件时,就可以在具体的网上支付业务中有效实现校园电子商务系统的身份认证,即交易主体身份的认证。

1)CA的可靠性:在本系统中只要登录支付平台,就采用SSL协议进行通信。采用这种技术可以验证证书主体及签发者。SSL通信建立链接的初期,通过相应的配置,交易的实体就可以分别获得可信的根CA的公钥、服务器端证书及客户端证书,通过SSL协议自动的对证书发行方的验证可以检测其证书主体及签发者是否为交易各方共同的可信的校园CA,这样保证了CA的可靠性。

2)商家和消费者身份的确认:在校园网上商城经营的商家是必须经过CA认证中心认证过的。取得证书后,商家在商城上注册和登录时,商城将身份的信息转到CA认证系统中进行确认,首先验证证书的有效性,通过访问证书目录,查询的证书撤销列表,以确认证书是当前使用的有效证书。因此通过查询CRL就可以对身份进行确认。

消费者在浏览商家商品信息时是不用进行认证的,但一旦要进入第三方支付平台时,同样也要先通过CA认证中心进行身份确认,其原理和确认商家身份相同,即通过查询CRL确认消费者证书的有效性。

3)完成了的上述验证过程,交易主体的真实性即可以得到确认。但在真正的支付过程中,还要确保订单信息的不可抵赖性,可以用数字签名技术来确保信息的不可否认性。被验证方用自己所拥有的私钥对订单信息进行签名后传给验证方,验证方用被验证方证书的公钥对信息进行解密处理,并对比所传送的原始信息,如一致,则验证信息是由被验证方发出。

因此,在实际过程中可以建立基于SSL协议的通信,确保为参与各方提供服务的根CA为可信的校园CA;然后,通过查询CRL(Certificate Revocation List),确保交易双方的证书是有效的;最后对被验证方订单信息等属性进行验证,确保被认证对象的真实性。

参考文献

[1]李绍伟.关于校园电子商务平台的设计与构建[J].办公自动化,2010(8):46-47.

[2]彭鸣.校园电子商务系统安全方案探析[J].合作经济与科技,2010(11):112-113.