電子商務相關案例電子商務安全案例1：熊貓燒香病毒2006年12月初,我國互聯(lián)網上大規(guī)模爆發(fā)"熊貓燒香"病毒及其變種.一只憨態(tài)可掬,頷首敬香的"熊貓"在互聯(lián)網上瘋狂"作案".在病毒卡通化的外表下,隱藏著巨大的傳染潛力,短短三四個月,"燒香"潮波及上千萬個人用戶,網吧及企業(yè)局域網用戶,造成直接和間接損失超過1億元.傳播方式利益鏈條案例2：釣魚網站電子郵件/欺詐信息/手機短信+釣魚網站鏈接 利用招商銀行名義發(fā)送郵件，該郵件以對賬、核實賬戶消費記錄等名義要求客戶登錄招行網站查詢詳情，并提供招行網站的超級鏈接，如果點擊鏈接就會打開一個冒充招商銀行的頁面。該網頁不僅從頁面布局及內容方面仿冒得很像，足以以假亂真，而且域名也很具有欺騙性。該網站的域名是，真招行網站的域名是，cmb是招行的英文縮寫，而95555是使用招行賬戶的用戶都非常熟悉的招行電話銀行號碼，不法分子將cmb與95555組合在一起，就會讓用戶不會對它產生懷疑，具有較強的欺騙性。用戶往往誤認為自己進入了招行的真正網站，其實用戶所造訪的不過是一個經過精心設計的假冒網站而已。冒名網站其他如果用戶在釣魚網站上輸入個人信息，不法分子便會利用電子郵件將帳戶信息自動發(fā)送到事先設定好的郵箱，竊取用戶的賬號、密碼。還有諸如出現過的某假冒工行網站，網址為/，而真正銀行網站是/，犯罪分子利用數字1和字母i非常相近的特點蒙蔽用戶。又如曾發(fā)現的假公司網站(網址為)，而真正網站為，詐騙者利用了小寫字母l和數字1很相近的障眼法。詐騙者通過QQ散布贈送QQ幣的虛假消息，引誘用戶訪問。防釣魚的注意事項不要上網留下可以證明自己身份的任何資料，包括手機號碼，身份證號碼，銀行卡號碼等不要把自己的隱私資料通過網絡傳輸，包括銀行卡號碼，身份證號，電子商務網站賬戶等資料不要通過QQ，msn，e-mail等軟件傳播，這些途徑往往可能被黑客利用來進行詐騙不要相信網上流傳的消息，除非得到權威途徑的證明。如網絡論壇，新聞組，QQ等往往有人發(fā)布謠言，伺機竊取用戶的身份資料等

不要在網站注冊時透露自己的真實資料。不要輕易相信通過電子郵件，網絡論壇等發(fā)布的中獎信息，促銷信息等，除非得到另外途徑的證明。正規(guī)公司一般不會通過電子郵件給用戶發(fā)送中獎信息和促銷信息，而騙子們往往喜歡這樣進行詐騙安裝防釣魚軟件網站證書工行為例：個人網上銀行登錄頁面和網上支付頁面都經過128位SSL加密處理，在打開上述頁面時，在IE瀏覽器右下角狀態(tài)欄上會顯示一個“掛鎖”圖形的安全證書標識。點擊掛鎖，應顯示如下信息頒發(fā)給：頒發(fā)者：/CPSIncorp.byRef.LIABILITYLTD.(c)97VeriSign案例3：中國網上銀行安全系統(tǒng)中國的網絡銀行大多是對現有銀行專用網的延伸和對銀行傳統(tǒng)業(yè)務方式的補充，銀行增加一些軟、硬件設備，使得用戶可以通過家用電腦連接銀行系統(tǒng)，進行各種普通的銀行業(yè)務，以彌補傳統(tǒng)銀行業(yè)務中營業(yè)網點少和營業(yè)時間短的不足。中國的網上銀行起步比較早的是深圳招商銀行

手段不法分子竊取用戶信息主要通過木馬程序來進行，比如，黑客首先在用戶電腦系統(tǒng)注入木馬程序后，駐留在中招電腦系統(tǒng)里的監(jiān)控系統(tǒng)就可以截取、監(jiān)控系統(tǒng)及用戶上網時打開的網銀密碼窗口。也就是說當用戶在網銀程序里輸入卡號或密碼時計算機就會自動將相關信息的編碼發(fā)送給黑客，他們再據此進行反讀取以破譯，錢便被黑走了。主要問題目前的網銀系統(tǒng)的主要問題是，用戶安全性過于依賴用戶本身的素質，對于安全觀念較差的用戶，其密碼很容易被盜取，因此這種“信任用戶”的安全模式設計是很不合理的。用戶的電腦可能安裝木馬程序，用戶的一舉一動都可能被監(jiān)聽和竊取，安全的網銀系統(tǒng)應該設計成為這樣的：假設網銀的管理員是黑客，并在最終用戶電腦安裝木馬并且可以監(jiān)聽用戶的一切鍵盤鼠標操作，網銀的管理員還可以進行系統(tǒng)管理和操作，但是網銀的管理員依舊無法通過網銀系統(tǒng)來竊取最終用戶的資金。如果能做到這一點，那么這個網銀系統(tǒng)就算是比較安全了。安全隱患這些系統(tǒng)包括各種“大眾版”網銀，以及一些所謂的數字證書“專業(yè)版”，因為他們從本質上來講，所有的運行代碼都是在電腦內存中運行的，用戶所有的操作都有可能被木馬所截獲。理論上講，黑客完全可以偽造用戶進行系統(tǒng)登錄。只有脫離用戶的電腦系統(tǒng)，使用獨立的身份認證硬件設備，才能構造出安全的網銀系統(tǒng)。動態(tài)密碼鎖動態(tài)密碼（DynamicPassword）也稱一次性密碼，它指用戶的密碼按照時間或使用次數不斷動態(tài)變化，每個密碼只使用一次。動態(tài)密碼采用一種稱之為動態(tài)令牌的專用硬件，內置電源、密碼生成芯片和顯示屏。下圖是這種產品的外觀，其中數字鍵用于輸入用戶PIN碼，顯示屏用于顯示一次性密碼。每次輸入正確的PIN碼，都可以得到一個當前可用的一次性動態(tài)密碼。由于每次使用的密碼必須由動態(tài)令牌來產生，只有合法用戶才持有該硬件，所以只要密碼驗證通過，系統(tǒng)就可以認為該用戶的身份是可靠的。動態(tài)密碼鎖系統(tǒng)動態(tài)密碼鎖系統(tǒng)需要兩個密碼要素，一個要素是靜態(tài)PIN碼，由用戶自行設置、保管。另一個要素是動態(tài)密碼，由密碼令牌動態(tài)生成，不可預測，并且與后臺服務器的接入控制保持同步，由后臺服務器進行檢驗。因此，用戶必需輸入正確的靜態(tài)PIN碼和動態(tài)密碼，才能通過身份認證。動態(tài)密碼鎖本身需要輸入PIN碼才能使用，靜態(tài)PIN碼的安全要素在于，這個PIN碼不是在電腦上輸入的，而是在密碼鎖上輸入的，這樣，所有的黑客木馬程序從理論上講都全部失效，因為這些木馬根本不可能在另外一個硬件密碼鎖上運行。成本較高。動態(tài)密碼鎖系統(tǒng)雖然動態(tài)密碼鎖的安全性的確不錯，然而，動態(tài)密碼技術也有一個安全隱患，就是服務器端的安全性。動態(tài)密碼的本質是單鑰加密，密鑰只有一個。在服務器端的認證系統(tǒng)里，可以計算出所有動態(tài)密碼，因此黑客如果將精力放在破解銀行認證服務器系統(tǒng)，那么還是有可能對銀行系統(tǒng)造成一定安全威脅，另外這個系統(tǒng)也依賴于網銀的管理員，網銀的管理員可以在服務器端修改動態(tài)密碼鎖的規(guī)則，也具有一定的安全隱患。USBKey解決方案數字證書是網上銀行業(yè)務中確認用戶身份的唯一標志，具有不可復制性和不可替代性，所有網上交易必須要事先通過數字證書進行安全認證，它可以看作是用戶的網上身份證。既然是網上身份認證的唯一標志，確保其安全性就至關重要。普通個人用戶常把數字證書存儲在電腦硬盤中，這種做法的危險性不言而喻。對于資金交易量較大的企業(yè)用戶，為了確保其資金安全，銀行強制要求使用更加安全的存儲介質以達到更加有效的資源訪問控制。USBKey的發(fā)展目前市場上見到的USBKey按照硬件芯片不同可以分為使用智能卡芯片的和不使用智能卡芯片兩種，按照CPU是否內置加密算法又可以分為帶算法和不帶算法的USBKey。一般我們把不帶加密算法的稱為存儲型USBKey，帶加密算法的稱為加密型USBKey。軟件保護思想的發(fā)展催生了USBKeyUSBKey隨著網絡應用的不斷深入和應用軟件銷售模式的改變，未來的軟件用戶可能不需要購買軟件在本地計算機上安裝運行，而是將要處理的數據通過網絡上傳到專門運行該軟件服務的應用服務器上處理，再通過網絡取得數據處理的結果，軟件開發(fā)商通過提供該應用服務收取軟件費用。這個時候，軟件廠商面臨的問題就不再是如何防止本地軟件被復制，而是如何確認網絡用戶的身份和用戶數據的安全。于是加密鎖廠商提出了USBKey的概念，用于識別用戶身份。案例4：SSLSSL安全協(xié)議也是國際上最早應用于電子商務的一種網絡安全協(xié)議，至今仍然有許多網上商店在使用。在使用時，SSL協(xié)議根據郵購的原理進行了部分改迸。在傳統(tǒng)的郵購活動中，客戶首先尋找商品信息，然后匯款給商家，商家再把商品寄給客戶。這里，商家是可以信賴的，所以客戶須先付款給商家。在電子商務的開始階段，商家也是擔心客戶購買后不付款，或使用過期作廢的信用卡，因而希望銀行給予認證。SSL安全協(xié)議正是在這種背景下應用于電子商務的。SSLSSL協(xié)議運行的基點是商家對客戶信息保密的承諾。如美國著名的亞馬遜網上書店在它的購買說明中明確表示：“當你在亞馬遜公司購書時，受到‘亞馬遜公司安全購買保證’保護，所以，你永遠不用為你的信用卡安全擔心?！钡巧鲜隽鞒讨形覀円部梢宰⒁獾?，SSL協(xié)議有利于商家而不利于客戶?？蛻舻男畔⑹紫葌鞯缴碳遥麄€過程中缺少了客戶對商家的認證。在電子商務的開始階段，由于參與電子商務的公司大都是一些大公司，信譽較高，這個問題沒有引起人們的重視。隨著電子商務參與的廠商迅速增加，對廠商的認證問題越來越突出，SSL協(xié)議的缺點完全暴露出來。SSL協(xié)議逐漸被新的SET協(xié)議所取代。SSL單向認證：又稱匿名SSL連接，這是SSL安全連接的最基本模式，它便于使用，主要的瀏覽器都支持這種方式，適合單向數據安全傳輸應用。在這種模式下客戶端沒有數字證書，只是服務器端具有證書，以不在認用戶訪問的是自己要訪問的站點。典型的應用就是用戶進行網站注冊時彩ID＋口令的匿名認證，過去網上銀行的所謂“大眾版”就是這種因子認證。雙方認證：是對等的安全認證，這種模式通信雙方都可以發(fā)起和接收SSL連接請求。通信雙方可以利用安全應用程序（控鍵）或安全代理軟件，前者一般適合于B/S結構，而后者適用于C/S結構，安全代理相當于一個加密/解密的網關，這種模式雙方皆需安裝證書，進行雙向認證。這就是網上銀行的B2B的專業(yè)版等應用。電子商務中的應用。電子商務與網上銀行交易不同，因為有商戶參加，形成客戶――商家――銀行，兩次點對點的SSL連接?？蛻簦碳?，銀行，都必須具證書，兩次點對點的雙向認證。SSL的問題不能提供交易的不可否認性，SSL協(xié)議是基于Web應用的安全協(xié)議，它只能提供安全認證，SSL鏈路上的數據完整性和保密性。對于電子商務的交易應用層的信息不進行數據簽名，因此，不能提供交易的不可否認性，這是SSL在電子商務中使用的最大缺欠。為此，各公司紛紛推出“安全代理軟件”，“安全應用控制”或“表單簽名軟件”等等，以彌補SSL不足。服務器的處理速度問題，由于在網上交易時，一定要使用SSL加/解密用戶數據，這樣服務器就占用了大量CPU的處理時間，增大了系統(tǒng)的開銷，使SSL登陸和傳輸數據的速度變慢。為此，有的公司研發(fā)出硬件SSL加/解密方案，即通稱的SSL加速器，它可以轉移大量占用CPU的SSL協(xié)商處理，提高SSL流量和改善Web服務器處理性能。案例5：SET為了實現更加完善的即時電子支付，SET協(xié)議應運而生。SET協(xié)議（SecureElectronicTransaction），被稱之為安全電子交易協(xié)議，是由MasterCard和Visa聯(lián)合Netscape，Microsoft等公司，于1997年6月1日推出的一種新的電子支付模型。SET協(xié)議是B2C上基于信用卡支付模式而設計的，它保證了開放網絡上使用信用卡進行在線購物的安全。SET主要是為了解決用戶，商家，銀行之間通過信用卡的交易而設計的，它具有的保證交易數據的完整性，交易的不可抵賴性等種種優(yōu)點，因此它成為目前公認的信用卡網上交易的國際標準。SET提供的服務保證客戶交易信息的保密性和完整性SET協(xié)議采用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息；而金融機構看不到交易內容，只能接收到用戶支付信息和帳戶信息，從而充分保證了消費者帳戶和定購信息的安全性。SET提供的服務確保商家和客戶交易行為的不可否認性 SET協(xié)議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性。其理論基礎就是不可否認機制，采用的核心技術包括X