电子商务安全作业资料.docx
《电子商务安全作业资料.docx》由会员分享,可在线阅读,更多相关《电子商务安全作业资料.docx(20页珍藏版)》请在冰点文库上搜索。
电子商务安全作业资料
通信与信息工程学院
电子商务安全策略课程设计
班级:
电子商务(理)1201
姓名:
学号:
指导教师:
设计时间:
2016.1.11-2016.1.15
成绩:
评语:
通信与信息工程学院
二〇一六年
1、调查国内在线支付的状况
选择案例:
支付宝
1、电子支付流程
1、流程:
1、网上消费者浏览检索商户网页。
2、网上消费者在商户网站下订单。
3、网上消费者选择第三方支付平台,直接链接到其安全支付服务器上,在支付页面上选择自己适用的支付方式,点击后进入银行支付页面进行支付操作。
4、第三方支付平台将网上消费者的支付信息,按照各银行支付网关的技术要求,传递到各相关银行。
5、由相关银行(银联)检查网上消费者的支付能力,实行冻结、扣帐或划帐,并将结果信息传至第三方支付平台和网上消费者本身。
6、第三方支付平台将支付结果通知商户。
7、支付成功的,由商户向网上消费者发货或提供服务。
8、各个银行通过第三方支付平台向商户实施清算。
2、个性化理解过程:
(1)客户在电子商务网站上选购商品,最后决定购买,买卖双方在网上达成交易意向;
(2)客户选择利用第三方作为交易中介,客户用信用卡将货款划到第三方账户;
(3)第三方支付平台将客户已经付款的消息通知商家,并要求商家在规定时间内发货;
(4)商家收到通知后按照订单发货;
(5)客户收到货物并验证后通知第三方;
(6)第三方将其账户上的货款划入商家账户中,交易完成。
3、支付宝服务协议:
一、声明与承诺
二、定义及解释
三、支付宝服务
四、支付宝账户
五、支付宝服务使用规则
六、支付宝服务使用限制
七、隐私权保护
八、系统中断或故障
九、责任范围及责任限制
十、完整协议
十一、知识产权的保护
十二、法律适用与管辖
2、定义及解释
(一)支付宝账户(或“该账户”):
指您按照本公司允许的方式取得的供您使用支付宝服务的账户。
(二)本网站:
除本协议另有规定外,指及/或客户端。
(三)阿里网站:
指阿里巴巴集团旗下支持支付宝登录名登录的任何网站(包括但不限于淘宝、阿里巴巴中国站、阿里云网站及手机淘宝、来往等各种移动客户端应用程序)与本网站,以及后续可能开通的其他网站及其他移动客户端应用程序。
前述网站及客户端可单称或并称阿里网站。
(四)淘宝:
指淘宝网(域名为)、天猫网(域名为)、一淘网(域名为)、聚划算(域名为)及阿里旅行?
去啊网(域名为)等网站及客户端。
前述网站及客户端可单称或并称淘宝。
(五)阿里巴巴中国站,指阿里巴巴中国站(域名包括,,)。
前述网站可单称或并称阿里巴巴中国站。
(六)止付:
指支付宝账户余额为不可用状态,例如被止付的支付宝账户余额不能用于充值、支付、提现或转账等服务。
(七)冻结:
指本协议第四(三)8条规定的有权机关要求的冻结或依据其他协议进行的保证金冻结等。
被冻结余额为不可用状态,被冻结账户不可登录、使用。
(八)支付宝服务(或“本服务”):
指本协议第三条所描述的服务。
6、支付宝服务使用限制
(3)您理解并同意,本公司不对因下述任一情况导致的任何损害赔偿承担责任,包括但不限于利润、商誉、使用、数据等方面的损失或其他无形损失的损害赔偿(无论本公司是否已被告知该等损害赔偿的可能性):
1、本公司有权基于单方判断,包含但不限于本公司认为您已经违反本协议的明文规定及精神,对您名下的全部或部分支付宝账户暂停、中断或终止向您提供本服务或其任何部分,并移除您的资料。
2、在发现异常交易或合理怀疑交易有疑义或有违反法律规定或本协议约定之时,为维护用户资金安全和合法权益,本公司有权不经通知先行暂停或终止您名下全部或部分支付宝账户的使用(包括但不限于对这些账户名下的款项和在途交易采取取消交易、调账等措施),同时可能需要您配合提供包括但不限于物流凭证、身份证、银行卡,交易过程中交易双方的阿里旺旺聊天记录截图(非阿里旺旺聊天记录只能作为参考)等资料。
如您未及时、完整、准确提供上述资料,本公司有权采取包括但不限于如下限制措施:
关闭余额支付功能、限制收款功能、止付账户内余额或停止提供全部或部分支付宝服务。
如涉嫌犯罪,本公司有权移交公安机关处理。
3、您理解并同意,存在如下情形时,本公司有权对您名下支付宝账户暂停或终止提供全部或部分支付宝服务,或对全部或部分余额进行止付,且有权限制您所使用的产品或服务的部分或全部功能(包括但不限于对这些账户名下的款项和在途交易采取取消交易、调账等限制措施),并通过邮件或站内信或者客户端通知等方式通知您,您应及时予以关注:
1)根据本协议的约定;
2)根据法律法规及法律文书的规定;
3)根据有权机关的要求;
4)您使用支付宝服务的行为涉嫌违反国家法律法规及行政规定的;
5)本公司基于单方面合理判断认为该账户操作、资金进出等存在异常时;
6)本公司依据自行合理判断认为可能产生风险的;
7)您在参加市场活动时有批量注册支付宝账户、刷信用及其他舞弊等违反活动规则、违反诚实信用原则的;
8)他人向您支付宝账户错误汇入资金等导致您可能存在不当得利的;
9)您遭到他人投诉,且对方已经提供了一定证据的;
10)您可能错误地将他人支付宝账户进行了实名的。
如您申请恢复服务、解除上述止付或限制,您应按本公司要求如实提供相关资料及您的身份证明以及本公司要求的其他信息或文件,以便本公司进行核实,且本公司有权依照自行判断来决定是否同意您的申请。
您应充分理解您的申请并不必然被允许。
您拒绝如实提供相关资料及身份证明的,或未通过本公司审核的,则您确认本公司有权长期对该等账户停止提供服务且长期限制该等产品或者服务的部分或全部功能。
在本公司认为该等异常已经得到合理解释或有效证据支持或未违反国家相关法律法规及部门规章的情况下,最晚将于止付款项或暂停执行指令之日起的30个日历天内解除止付或限制。
但本公司有进一步理由相信该等异常仍可能对您或其他用户或本公司造成损失的情形除外,包括但不限于:
1)收到针对该等异常的投诉:
2)您已经实质性违反了本协议或另行签署的协议,且我们基于保护各方利益的需要必须继续止付款项或暂停执行指令:
3)您虽未违反国家相关法律法规及部门规章规定,但该等使用涉及本公司限制合作的行业类目或商品,包括但不限于通过本公司的产品或服务从事类似金字塔或矩阵型的高额返利业务模式。
5、在本公司合理认为有必要时,本公司无需事先通知即可终止提供本服务,并暂停、关闭或删除您名下全部或部分支付宝账户及该账户中所有相关资料及档案,并将您滞留在该账户的全部合法余额退回到您的银行账户。
4、电子支付安全体系
电子支付安全体系主要靠这两个保密协议(SSL和SET)来维护;电子支付系统的安全要求包括:
保密性、认证、数据完整性、交互操作性等。
目前,国内外使用的保障电子支付系统安全的协议包括:
SSL(SecureSocketLay-er,安全套接字层)、SET(SecureElectronicTransaction)等协议标准。
SSL协议
安全套接层方法(SecureSocketLayer,SSL)协议在网络上普遍使用,能保证双方通信时数据的完整性、保密性和互操作性,在安全要求不太高时可用。
它包括:
(1)握手协议。
即在传送信息之前,先发送握手信息以相互确认对方的身份。
确认身份后,双方共同持有一个共享密钥。
(2)消息加密协议。
即双方握手后,用对方证书(RSA公钥)加密一随机密钥,再用随机密钥加密双方的信息流,实现保密性。
由于他被IE,NESCAPE等浏览器所内置,实现起来非常方便。
目前的B-C网上支付大多采用这种办法。
利用招商银行提供的网上支付接口可以很方便的实现基于此协议的网上支付。
SSL使用加密的办法建立一个安全的通信通道以便将客户的信用卡号传送给商家。
它等价于使用一个安全电话连接将用户的信用卡通过电话读给商家。
SSL交易过程图
虽然SSL握手协议可以用于双方互相确认身份,但实际上基本只使用客户认证服务器身份,即单方面认证。
这一协议不能防止心术不正的商家的欺诈,因为该商家掌握了客户的信用卡号。
商家欺诈是SSL协议所面临的最严重的问题之一。
另外由于加密算法受到美国加密出口的限制,浏览器和WebServer都存在所谓的"512/40"的问题。
既DES对称加密为40位,RSA加密为512位。
加密强度偏低使B-C的SSL协议难于推广到有更高要求的B-B领域。
SET协议
SET是实现在开放的网络(Internet或公众多媒体网)上使用付款卡(信用卡、借记卡和取款卡等)支付的安全事务处理协议。
它的实现不需要对现有的银行支付网络进行大改造。
该协议的1.0版本于1997年5月31日发布。
SET规定了电子支付系统各方购买和支付消息传送的流程。
附图为SET协议结构流程图。
可见,电子支付系统的交易三方为:
持卡人、商家和支付网关。
交易流程为:
(1)持卡人决定购买,向商家发出购买请求;
(2)商家返回同意支付等信息;
(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);
(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;
(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;
(6)商家返回信息给持卡人,送货;
(7)商家定期向支付网关发送要求支付信息,支付网关通知卡行划帐,并把结果返回商家,交易结束。
安全电子交易使用的安全技术包括:
加密(公开密钥加密、秘密密钥加密)、数字信封、数字签名、双重数字签名、认证等。
它通过加密保证了数据的安全性,通过数字签名保证交易各方的身份认证和数据的完整性,通过使用明确的交互协议和消息格式保证了互操作性。
由于它实现起来比较复杂,每次交易都需要经过多次加密、HASH及数字签名,并且须在客户端安装专门的交易软件。
因此现在使用该协议的电子支付系统并不多。
目前中国银行的网上银行中的支付方式是基于SET。
5、电子支付机制的优缺点
在SET出现之前,网上交易就已经有了。
所用安全措施主要是SSL协议。
到目前为止,还有许多网上交易系统采用SSL协议。
SSL与SET采用的都是公开密钥加密法。
在这一点上,两者是一致的。
从对信息传输的保密上来说,两者的功能是相同的,都能保证信息在传输过程中的保密性。
但SSL与SET两种协议在网络中的层次不一样。
SSL是基于传输层的协议,而SET则是基于应用层的协议。
SSL在建立了通讯双方的安全通道之后,所有传输的信息都会被加密,而 SET则会有选择地加密一部分敏感信息。
当今市场上已有许多SSL相关产品及工具,而有关SET的相关产品却相对较少,也不够成熟,SSL已被大部分Web浏览器和Web服务器所内置,比较容易被接受。
而SET要求在银行建立支付网关,在商户的Web服务器上安装商户软件、持卡人的个人计算机上安装电子钱包软件等。
这些成了SET被广泛接受的阻力。
另外,SET还要求必须向交易各方发放数字证书,这也成为阻碍之一。
所有这些使得使用SET要比使用SSL麻烦得多。
SSL协议中,商户也有数字证书,可以向持卡人证明自己是一家真实存在的商户。
有些系统也向持卡人发放证书,但这证书是发给浏览器的,而不是像SET那样,与信用卡绑在一起。
SET的方法更加安全,而SSL的方法则比较简单。
SSL还有一个很大的缺点,就是无法保证商户看不到持卡人的信用卡账户等信息。
在持卡人与商户建立了安全连接后,持卡人可以安全地将信用卡号等敏感信息传送给商户,但是这些信息到了商户哪儿,都变成了明文。
在Internet上,我们经常会光顾一些没有名气的陌生商店,这些网上商店我们只知道它的网址,根本不知道它的实际地址,而且今天它还开着,明天也许已经关了。
正因如此,网上商店发生欺诈行为的可能性要比我们通常光顾的商店大得多。
如果碰到一家黑店,得到了你的信用卡号等信息后,不知会干出些什么事来。
即使是一个诚实的网上商店在收到你的信用卡号后,也许会因为没有采用好的办法来保证其安全,而使这些敏感信息被窃取。
我们已经听到过大量的黑客通过商户服务器窃取信用卡号的案例。
而SET协议则在这方面采取了强有力的措施,用网关的公开密钥来加密持卡人的敏感信息,并采用双重签名等方法,保证商户无法看到持卡人传送给网关的信息。
6、支付宝使用过程截图
总体来说支付宝使用过程非常简单,并且可以在诸多占领中国市场的几大网站都可以进行交易,比如及/或客户端、阿里网站、淘宝(这里的网站在支付宝协议中有详细规定)等,使用支付宝更加丰富了我们的生活;现在我了解的支付宝支付过程非常简单,已下展示支付宝的一些功能。
付款:
扫一扫付款和付款,
支付宝转账功能:
校园一卡通功能:
手机充值:
二、木马的检测和删除
1、木马的基本原理
(一)木马( 特洛伊木马)的工作原理
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。
1.木马工作组成及原理
服务器端、客户端及其运动平台或操作。
工作原理:
攻击者利用一种称为绑定程序的工具将服务器端程序绑定到某个合法软件上,诱使用户运行该合法软件,用户一旦运行该该合法软件,木马的服务器端程序就在用户毫无知觉的情况下完成安装。
服务器端程序:
服务器运行的IP端口号,程序启动时机,如何发出调用,隐身,加密,采用通信方式。
2.木马分类
破坏型:
破坏和删除文件(DLL、INI、EXE)
密码发送型:
找到目标的隐藏密码,发给攻击者信箱
远程访问型:
在目标计算机上运行服务器端,前提是服务端的IP地址
键盘记录木马:
通过Log文件查找密码等,或记录受害者的键盘动作DoS攻击木马:
通过植入木马,可以把受控主机当作一个个肉鸡,控制者可以操纵大量的肉鸡来同时对某个主机发起DoS攻击,随机生成各种各样主题的信件,对特定的邮箱不停的发送邮件,直到对方瘫痪。
代理木马:
攻击时又保护自己,被控制的计算机种上代理木马,作为跳板,就像操纵傀儡一般
FTP木马:
打开21端口,让每个FTP客户端不要密码就可连接到受控主机,随意窃取受害主机的文件
程序杀手木马:
关闭目标机上运行的木马查杀程序或病毒软件
反弹端口型木马:
对于有放火墙的受害者,木马可以通过反连端口的方式来达到操纵受害主机的目的,也就是说,木马自己穿越防火墙主动去连接控制者,因为一般木马会采用常用的端口,比如80端口,而且现在的防火墙往往采用严进宽出的方案,所以这种控制很有用。
3.传播途径
1)网页传播
2)下载软件或提示诱导
3)邮件传播
4)利用系统漏洞
4.木马攻击流程
1)配置木马
木马伪装:
修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名
2)传播木马
采用邮件、文件下载、网页浏览
3)运行木马
自动安装、自启动、激活木马
4)信息反馈
◆ 通过信息反馈(ADSL是动态IP地址,但可确定一个地区的网络服务商的IP地址)
◆IP地址扫描:
主机的IP地址、植入端口、E-Mail
5)木马连接
◆获取服务端的木马程序端口和IP地址
◆服务端已安装了服务端程序
◆控制端、服务端都在网上
6)远程控制
窃取密码、文件操作、修改注册表、系统操作
2、木马的基本特征
特洛伊木马不经电脑用户准许就可获得电脑的使用权。
程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的,运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行,或立刻自动变更文件名,甚至隐形,或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
3、截图
3.1检测木马的存在
(1)查看启动组:
(2)查看注册表
(3)检测系统文件
C:
\
C:
\Windows
C:
\Windows\SysWOW64
(4)查看端口状态
(5)轻松检查账户
4、木马的防范
1.为计算机安装杀毒软件,定期扫描系统、查杀病毒;及时更新病毒库、更新系统补丁;TIP:
编写程序不是十全十美,所以软件也免不了会出现BUG,而补丁是专门用于修复这些BUG的。
因为原来发布的软件存在缺陷,发现之后另外编制一个小程序使其完善,这种小程序俗称补丁。
定期进行补丁升级,升级到最新的安全补丁,可以有效地防止非法入侵。
2.下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒;
3.不随意打开不明网页链接,尤其是不良网站的链接,陌生人通过QQ给自己传链接时,尽量不要打开;
4.使用网络通信工具时不随便接收陌生人的文件,若接收,可在工具菜单栏中“文件夹选项”中取消“隐藏已知文件类型扩展名”的功能来查看文件类型;
5.对公共磁盘空间加强权限管理,定期查杀病毒;
6.打开移动存储器前先用杀毒软件进行检查,可在移动存储器中建立名为“autorun.inf”的文件夹(可防U盘病毒启动);
7.需要从互联网等公共网络上下载资料转入内网计算机时,用刻录光盘的方式实现转存;
8.对计算机系统的各个账号要设置口令,及时删除或禁用过期账号;
9.定期备份,以便遭到病毒严重破坏后能迅速修复。
升级会员 