[电子教案]电子商务支付与安全(第3版)模块5

图5-1 谷歌搜索曾显示的页面
项目任务
• 你在网上交易的时候是否有此类的遭 遇？分析过原因吗？如何应对此类情 况呢？交易信息被不法分子获得和利 用后果是严重的。假设你是支付宝一 方，你如何解决此类事件？如何才能 保障电子商务支付的安全呢？
任务分析
• 在日常的网络购物过程中，支付是必不可少的一个环节， 在上述案例中，由于主动分享付款成功的页面链接使得信 息泄露，是用户使用过程不严谨造成的，同时，虽然支付 宝迅速在官方微博发表声明，称该页面一般用于支付双方 展示支付结果，不含用户真实姓名、密码等重要信息；该 页面的链接加有安全保护，正常情况下无法被搜索引擎抓 取，但也不可否认，支付宝在此类应用中的安全保密机制 是存在一定问题的。 • 在日常的电子商务交易中，用户应该加强自身信息保密安 全方面的操作，切实避免由于个人原因造成的信息威胁。 同时第三方支付平台或者其他支付平台，也应该加强金融 系统一端的安全建设，防止不法分子抓住信息传递过程的 漏洞。
• 4．课后拓展 • （1）上网查找目前的网银被盗案例 ，分析网银被盗的原因，以及处理结 果。 • （2）试说说你在网络应用中，有哪 些应用是受到加密保证的？
第2单元 网络攻击
• 情景案例 • 巴西政府将建“反监控系统” 防止黑客入侵
• 2013年，美国中央情报局技术分析员爱德华·斯诺登（ Edward Snowden）的“棱镜门”事件轰动全球。张丽艳同 学很想了解有关网络监听、网络攻击方面的知识。 • 2013年10月14日，张丽艳同学在网上找到了巴西《环球 报》的有关报道：巴西总统罗塞夫决定，11月起巴西将采 用反监控新系统，遏止黑客截取政府资料，预计至2014年 中，巴西所有联邦单位将完成反监控设备的安装工作。 • 反监控系统由巴西联邦资讯处理系统（Serpro）研发，功 能包括数位签章、资料加密、加强防护电子邮件、视讯、 联络本、维护个人日程，以避免再次发生类似美国情报局 监控巴西总统罗塞夫及亲信、巴西石油公司（Petrobras） 与矿能部等事件。
• 4．交易双方身份的真实性 • 交易双方身份的真实性是指交易双方的身份是真实存在的 ，不是假冒的。网络的虚拟性决定了交易双方面对面进行 交易的可能性很低，距离远，互不认识，因此在开放的互 联网环境下，必须能够互相确认身份，才能保证交易的顺 利进行。 • 网上支付系统如网络银行系统或第三方支付系统要考虑客 户端是不是假冒用户，客户端也要识别将要使用的网络银 行系统是否是所要访问的真实平台，而不是“钓鱼”网站， 所以对客户端和网上支付系统相互间的身份认证成为了电 子支付中很重要的一环，如农行网上银行对用户第几次登 录信息的显示，就是帮助用户有效识别真假网站的有效措 施。
• 除总统府之外，巴西企划部、通讯部与财政部也将率先采 用Serpro研发Expresso3系统。 • Serpro主任马佐尼（MarcosMazoni）指出，巴西总统府近 1/3工作人员及国税局安全系统，一直都在使用旧版的 Expresso2，但罗塞夫却使用微软的电子邮件以及Outlook 软件。他表示，假如罗塞夫也使用Serpro研发的自由软件 ，美国很难监控巴西政府资料，就算电脑系统被闯入，也 会在第一时间知道。
相关知识
• 1．计算机病毒
• 计算机病毒是计算机犯罪的一种衍化形式。编制者在计算机程 序中插入的破坏计算机功能或者破坏数据，影响计算机使用并 且能够自我复制的一组计算机指令或者程序代码被称为计算机 病毒（Computer Virus）。 • 实践证明，计算机病毒已经成为威胁计算机网络信息系统安全 中最危险的因素。这些病毒，有的只是干扰屏幕，有的则封锁 键盘或打印机，有的修改或破坏硬、软盘上的数据，有的封锁 软盘驱动器，有的破坏磁盘引导扇区、硬盘引导扇区和文件分 配表，有的驻留内存、修改中断向量表或格式化硬盘，有的甚 至大量占用磁盘空间，降低系统运行效率或使系统瘫痪。计算 机病毒泛滥和蔓延会危害或破坏信息系统的资源，中断或干扰 信息系统的正常运行，给社会造成的危害越来越大，因而对计 算机病毒的危害绝不能掉以轻心。
• 3．信息的不可否认性 • 信息的不可否认性也叫信息不可抵赖性，是指信 息发送一方和接收一方不能否认自己曾经发出或 接收过的信息。在传统的支付过程中，交易双发 主要是通过盖章和签名来预防抵赖行为的。在网 络环境中，交易发生时，主要依靠电子签名以及 收发信息的确认回复来预防抵赖行为，尤其是《 中华人民共和国电子签名法》的出台，明确了电 子签名的法律效力和有效范围，可以达到防止接 收用户更改原始记录，或者否认已收到数据。
相关知识
• 1． 网络中资金流数据的保密性 • 信息的保密性是指在交易过程中，信息在传输或存储中不被 他人窃取。网上支付系统必须保证信息在商户，消费者，银 行，认证机构等几个对象之间存储传递不会泄漏，不被非法 人员利用。
• 在网上支付过程中，用户的关键信息，比如登录密码或交易 密码，数字证书文件，验证码等的保密性是账户安全与否的 重点。在互联网这个开放网络环境中进行支付必须通过支付 网关，另外需要支付平台提供一系列措施保证交易信息的保 密性，比如，安装安全控件，分页面显示登录信息等等。在 记录用户信息时，应对用户信息中的密码、密码问题和答案 采用加密存储方式。另一方面，用户自身也需警惕自己无意 泄漏的关键信息，以免给他人造成可乘之机，进而丧失商机 。
实践训练
• 1．课堂讨论 • （1）电子商务支付系统安全问题有 哪些？ • （2）结合自身的情况，分析在网上 支付过程中可能存在的安全问题。
• • •
2．案例分析 男子网上买木马 通过支付宝盗窃10万元 被告张某今年24岁，名牌大学本科毕业，从2011年11月起，他利用木马 盗号程序在网络上疯狂作案，到被抓获时，共盗窃他人支付宝账户余额 9.72万元，其中单笔最高金额达3.5万元，所盗窃的款项全部用在订婚和 日常开销上。那么张某是如何利用木马程序来盗取他人的支付宝账户的 呢？ 据张某交代，他是在网络论坛里看到别人介绍过这种犯罪手法，自己没 有正经工作，闲来无事就决定尝试一下。他在网上购买木马程序，先以 买家的身份登陆淘宝，到卖家开的店内买东西，然后就在卖家的店内随 便截取一张图发给卖家，问卖家是否有这种东西，然而这张照片是打不 开的。然后就会跟卖家说将图发到QQ里面，其实发的并不是照片而是木 马，卖家点一下就中毒了。中毒后，卖家退款的时候输入支付宝密码以 及验证码，而张某就可以轻而易举地盗窃对方账号内的所有人民币。 最终，张某被判处有期徒刑四年，并处罚金。 讨论与分析：
• 项目任务 • 你了解“棱镜门”事件吗？巴西政府的安全措施， 你认为有用吗？请说明原因。在我国，有适合此 类的安全方案吗？为什么？黑客的网络入侵都有 哪些手段？如何防范？
• 任务分析 • 在案例中，强调了安全系统建立的重要意义以及 具体的方法。在商务领域也存在交易安全风险， 尤其是面对层出不穷的黑客和病毒攻击的时候， 要有的放矢，提高防范能力。因此，我们要提高 警惕，及时了解目前的安全风险和安全威胁都是 哪种类型的，以及防范的方法。本单元涉及的任 务主要包括黑客对网上支付过程的攻击手段。
电子商务支付与安全
臧良运 主编
模块5
电子商务系统的安全
技能精通，基础先行，要成为高水平的电子商务人才， 必须要精通电子支付与安全。
•学习目Biblioteka Baidu •知识目标：
• 了解安全问题的产生和网络支付的安全性 • 理解各种网络攻击的表现方式 • 掌握交易环境、交易对象和交易过程的安全性
•能力目标：
• 能辨别主要的网络安全攻击方式 • 掌握应对网络安全漏洞的方法
•素质目标：
• 养成使用网银的安全习惯
• 养成定期维护系统操作安全的习惯
第1单元 安全问题的产生
• 情景案例 • 2013年3月29日，张丽艳同学在网上看到了支付 宝被曝发生信息泄露事件的报道，在谷歌搜索支 付宝生活助手转账付款结果页面，竟有2000多条 ，如图5-1所示。经调查发现，其实是网友主动在 公共论坛和社区分享交易信息，从而被搜索引擎 抓取。目前这些信息已经被屏蔽，支付宝也对相 关页面进行了升级。张丽艳同学很担心自己的银 行卡信息也被泄露，消费者应当如何保护自己的 网络隐私？
• 信息的完整性是指从信息存储和信息传输两个方 面来看的。在存储时，要防止非法篡改和破坏网 站上的信息。在传输过程中，接收信息的一方收 到的信息与发送方发送的信息完全一致，说明在 传输过程中信息没有遭到破坏。 • 网上支付过程中，面对具备特定知识和工具的各 类攻击者，数据信息很可能会被篡改，因此必须 预防对信息的随意生成、修改，同时要防止数据 信息传输过程中的信息丢失和重复输入，并保证 信息传送次序的统一。
• 2.口令破解
• （1）口令破解。口令破解又称口令入侵，是指黑客使用某些合法用 户的帐号和口令登录到目的主机，然后再实施攻击活动。 • ①获取口令的途径有：网络监听、口令猜测，暴力破解和利用系统管 理员的失误等等。 • ②攻击者要进行口令攻击通常具备如下条件： • a.高性能计算机；
• b.大容量的在线字典或其他字符列表；
• c.已知的加密算法； • d.可读的口令文件； • e.口令以较高的概率包含于攻击字典之中。 • ③攻击步骤。一般说来，口令攻击包含两个步骤：第一步，获取口令 文件；第二步：用各种不同的加密算法对字典或其他字符表中的文字 加密，并将结果与口令文件进行对比。
• 3．拒绝服务攻击 • 拒绝服务攻击即攻击者想办法让目标机器停止提供服 务，是黑客常用的攻击手段之一。其实对网络带宽进 行的消耗性攻击只是拒绝服务攻击的一小部分，只要 能够对目标造成麻烦，使某些服务被暂停甚至主机死 机，都属于拒绝服务攻击。拒绝服务攻击问题也一直 得不到合理的解决，究其原因是因为这是由于网络协 议本身的安全缺陷造成的，从而拒绝服务攻击也成为 了攻击者的终极手法。攻击者进行拒绝服务攻击，实 际上让服务器实现两种效果：一是迫使服务器的缓冲 区满，不接收新的请求；二是使用IP欺骗，迫使服务 器把合法用户的连接复位，影响合法用户的连接。
• 网上支付碰上“钓鱼”骗术 个人信用卡信息还要看 牢
• 网购不满意要退换货，多年不见的老友突然上线 ，到哪里都“蹭”无线网络，这些年轻人几乎都会 遇到的事，正在成为新骗术的高发区。随着银行 卡网银业务、网上支付的盛行，许多“垂钓者”虎 视眈眈，“钓”法花样迭出，令人防不胜防。 • 具体参看教材
• 2．网络中支付信息的完整性
• • • • • • •
计算机病毒的特点包括以下几点。 （1）繁殖性。 （2）破坏性。 （3）传染性。 （4）潜伏性。 （5）隐蔽性。 （6）可触发性。
• 相关链接 • 卡巴斯基：警惕“支付劫持”木马 • 2013年09月16日，信息安全厂商卡巴斯基发布病毒播报，提醒用 户注意一款恶意程序名为Trojan.Win32.Agent.iapl的木马程序。 • 据悉，此木马运行后会伪装成［随机两位数］QQ.exe，并将其设 置为系统隐藏程序，随后会并启动该进程，而后创建注册表启动项 。完成入侵操作后，该进程会释放出两个恶意程序，其分别被卡巴 斯基检测为：Trojan.Win32.Agent.iapl和Trojan.Win32.Slefdel.gjh 。它们会记录和劫持用户在计算机中的金融支付操作，给用户带来 财产损失。 • 卡巴斯基提醒广大用户及时更新反病毒产品的病毒库，并定期为系 统打补丁，不打开可疑邮件和可疑网站，不随意接收聊天工具上传 送的文件以及打开发过来的网站链接，使用移动介质时最好使用鼠 标右键打开使用，必要时先要进行扫描，不从不可靠的渠道下载软 件，因为这些软件很可能是带有病毒的。
•
• •
•
在网上支付过程中，如何加强防范，提高安全性？
• 3．实务训练 • 试着在2家网购网站进行同样商品的购物体验，重 点体会在支付过程中不同平台的安全措施分别是 怎样的，你更相信哪个网站，并说明原因。
• 实训说明： • （1）本实训教师可在课堂上进行模拟演示，也可 在授课后集中实训。 • （2）比较一下各种电子商务支付平台的优缺点， 谈谈电子支付安全措施。