《以淘宝网为例浅析电子交易安全的不足.doc》由会员分享,可在线阅读,更多相关《以淘宝网为例浅析电子交易安全的不足.doc(10页珍藏版)》请在金锄头文库上搜索。
1、摘 要 淘宝网是亚太最大的网络零售商圈,主要业务跨越C2C、B2C两大部分,是中国电子商务发展过程中最成功的网络交易平台之一。而电子交易的安全问题,如网络诈骗、黑客木马、安全漏洞等等作为限制电子交易本身发展的重要因素,同样也是淘宝网发展的制约因素,目前淘宝主要采用身份认证、数字证书、动态密码、第三方支付、信用体系等安全措施,具有一定成效,但问题仍旧存在,尤其是网络诈骗方面的问题尤为凸显。关键词 淘宝网,电子交易,安全,网络诈骗,防范措施中小企业和大企业,这些大大小小经济细胞的多样性和互补性,形成了经济生活中丰富多彩的“生态平衡”。作为以适应环境而生存、自保甚至做强做大作为理由的企业,面对这局面
2、惟一办法就是转型“健身”找出路。of rural drinking water sources, protection of drinking water sources in rural areas by the end of the delimitation of the scope of protection, complete with warning signs, isolating network protection facilities宜顺论文网www.13L目录一、概述1二、 淘宝网电子交易现状1(一) 淘宝网现状简析1(二) 淘宝网电子交易方式1三、 淘宝网电子交易中存在的
3、问题1(一) 登录系统安全风险1 (二) 网上支付安全风险1(三) 网络诈骗1(四) 淘宝安全问题案例分析1四、目前淘宝采用的安全技术2(一) 身份认证2(二) 数字证书2(三) 动态密码3(四) 第三方支付3(五) 信用体系3五、淘宝网电子交易安全防范措施4(一) 网络法制体系建设4(二) 个人信用体系建设4(三) 用户安全意识培养4六、参考文献4宜顺论文网www.13L一、概述 随着科技的发展,电子交易已经深入千家万户,成为人们日常生活中密不可分的一部分,方便快捷、商品丰富是电子交易的核心竞争力,虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安
4、全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻,网络诈骗、黑客攻击、产品质量、安全漏洞等一系列安全问题或不足都是限制电子交易发展的重要阻碍。电子交易安全平台的建立是一项复杂的工程,淘宝网作为国内最大的电子交易平台,拥有庞大的客户群体,保障客户在电子交易过程中的安全性,包括客户资料隐私、交易安全、产品质量等等,都是淘宝网赖以生存的重要因素,也是其必须担负的责任。在这个保障用户安全的过程中,淘宝衍生出了信用体系、实名认证、支付宝、数字证书等一系列安全措施,用以应对电子交易过程中的一系列安全不足,直至目前已经形成了较为完善的安全体系,这是顺应电子交易发展的必然趋势,也是其本身发展的基础需求
5、,是网络购物这一新兴的交易方式的大势所需。 二、 淘宝网电子交易现状 (一) 淘宝网现状简析由阿里巴巴投资创办的淘宝网目前是国内主流的C2C(个人对个人)、B2C(商家对个人)交易平台,占据了国内电子交易市场的巨大比重,相信绝大多数人的网络交易体验都是从淘宝网开始的。随着淘宝网的不断发展,其用户群主体已逐渐从18至35岁的城市中青年人延生到全年龄全地域人群,在一定意义上构建了一个全新的全民交易市场。作为全球三大电子商务公司之一,阿里巴巴已经成为中国电子商务B2B模式的代表,淘宝作为阿里巴巴旗下网站,在亚洲购物网站中现排名第一,已成为中国电子商务C2C模式的代表,仅一个“双11”购物节,其单日交
6、易量就已超过百亿。对于淘宝的模式,马云认为有别人学不到的三件法宝,那就是用心服务、四面开花、实力制胜。淘宝通过规范自律,自我完善,以人为本,放水养鱼,做大市场。与eBay易趣等其他网站相比,淘宝在注册时身份认证更为严密,采用实名认证,符合我国国情,在支付宝交易中为买卖双方提供企业信用担保,并根据交易结果由双方自主进行评价,确定星级建立个人信用指数。因而淘宝现在的人气最旺、服务较好,建站方便,全程免费,入驻者日益增多,前景看好。(2) 淘宝网电子交易方式淘宝的电子交易方式已形成较为完善的流程,买家在淘宝网购物,可以选择通过淘宝旺旺、站内信件、Email等各种实时非实时的工具进行咨询、协商,在选到
7、心仪的商品后,点击“立即购买”,输入购买的数量、选择运送方式、选择收货地址;确认无误后点击“确认无误,购买”。核对拍下的宝贝信息;确认无误后,选择付款方式,同时还可以选用“购物车”程序进行购买。当买家付款到宜顺论文网www.13L支付宝后,系统会通知卖家发货。卖家可以自己找物流承运商发货,核对交易信息无误后,输入承运公司名称和承运单号码,点击“确认发货”,系统会根据物流公司的反馈自动确认已发货,买家看到的交易状态会变为“卖家已发货,等待买家确认”。完成发货,系统会发送一封包含发货相关物流信息的提醒给买家。 买家确认收到货后,交易状态会显示为“交易成功”,支付宝会将钱打入卖家的“支付宝账户”。这
8、样就完成了一个最为普通的购物过程,值得一提的是,如果买家在购物过程中,绕开淘宝支付流程,直接选用支付宝汇款的方式将钱转账至卖家账户,也可以完成电子交易过程,但却并不受淘宝安全保护。 三、 淘宝网电子交易中存在的问题 (一) 登录系统安全风险在淘宝网购物,首先需要一个个人账户,作为与卖家交流沟通以及支付购物款的前提,买家在每次购物时都需要登陆账户,但在这个登陆过程中,存在许多的安全隐患,其主要来源是用户自身电脑的网络安全环境。随着电脑的普及,网络黑客猖獗,木马攻击可以很容易地获取用户账户密码,并从中获取用户的购物信息、个人资料、住址、电话等隐私,过于完备的个人资料在这个过程中,反倒成为了最大的安
9、全风险。其次是淘宝自身的登陆系统安全,试想一旦淘宝的登陆体系被黑客攻占,黑客可以获取的是数以亿计的用户登陆信息,并从中获取用户的基础资料,虽然这个过程中不会对用户产生直接的经济损失,但个人资料的外泄其后果严重可想而知。(2) 网上支付安全风险电子交易的过程伴随着现金的支付,淘宝的交易过程,由支付宝在中间中转,买家先将购物的款项打入支付宝,等买家收货满意后,再点击“确认支付”,由支付宝将先前暂存的款项,支付到卖家。这个过程看似简单,却又充满危险,如用户电脑被钓鱼、支付宝平台安全问题等,都会对买家产生直接的经济损失。同时,支付安全也是买家群体最为关注的问题,是直接决定电子交易用户去留的关键。 (三
10、)网络诈骗网络诈骗涵盖面较广,同时也是目前淘宝网交易过程中最多也是最广泛存在的安全问题。网络诈骗不同于登陆安全和支付安全,是直接由人为造成的安全问题。网络诈骗往往伴随着用户的直接经济损失,金额从小到大不等,严重的可以上万甚至更多。由于淘宝网在产生之初注重于C2C平台的建设,交易均是由个人与个人之间产生,网络诈骗的形式往往是卖家通过不实商品承诺,欺骗消费者付款,然后携款潜逃,此时卖家预留在淘宝的保证金往往无法弥补数量众多的受害者,从而造成消费者直接的经济损失。值得一提的是,此前讲到的绕过淘宝系统直接通过支付宝向卖家的行为,不受淘宝制度的保护,这种情况往往是卖家以各种理由欺骗买家直接在支付宝付款,
11、从而避开淘宝的买家保障机制。(4) 淘宝安全问题案例分析案例:笔者的同事宋阿姨人到中年,儿子已上大学,十分痴迷于淘宝,几乎每天的空闲时间都专注在淘宝上,大到家电小到日常生活用品都喜欢在淘宝上购买。一次失败的淘宝体验,就发生在前不久。宋阿姨在淘宝看中了一双高跟鞋,200余元的价格比起她在实体店看到的便宜许多,随便聊了几句,卖家的一个可以包邮,就“征服”了宋阿姨,但到了拍下改款的时候,卖家以手机上旺旺,不能操作为由,要求宋阿姨通过支付宝转账的方式将包邮后的购物款直接打到其支付宝账户上,并承诺收到钱后,当天就能发货。将信将疑之间,宋阿姨觉得反正钱还是通过支付宝付给卖家的,资金一定安全,于是就将钱直接
12、汇了过去。但在苦等几天没有收到货,联系卖家又无反应之后,宋阿姨意识到自己受骗了。随后,宋阿姨向笔者求救,希望能向淘宝反应,追回一点损失,但致电淘宝后得到的反馈却让人无奈。淘宝买家客服表示,没有正常在淘宝支付流程支付,不能受理,需要致电支付宝客服。联系支付宝客服后,得到的却是属于直接汇款,维权需联系警方网络安全部门。各方推诿之下,得到的最终结果却是,无法要回金额,只能给记录卖家诚信问题。分析:宋阿姨遇到的问题就属于网络诈骗,主要原因是由于轻信卖家所谓的手机在线,无法改价包邮为由,直接将钱汇款到卖家账户;次要原因是淘宝宣传不到位,没有醒目提醒买家不可直接汇款给卖家以及淘宝在此类事件上的不作为。 四
13、、目前淘宝采用的安全技术 (一)身份认证为了维护电子商务市场的安全和文件稳定发展,淘宝网规定淘宝卖家在成为淘宝注册会员后,必须通过淘宝身份认证方可在淘宝网交易或出售商品。淘宝身份认证原分为个人认证和商家认证两类,为了提高个人认证的准确性和交易的安全性。身份认证大大减少了网络诈骗的可能性,实名认证之后的卖家和买家都从虚拟的网络身份映射到了现实的真实身份,需要为自己的举动承担相应的责任。(二)数字证书 数字证书也成公开密匙证书,在网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它主要包含用户身份信息、用户公钥信息以及身份验证机构数字签名等信息。身份验证机构的数字签名可以
14、确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。数字证书是一种权威性的电子文档,由权威公正的第三方机构签发。数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。为了避免传统数字证书方案中,由于使用不当造成的证书丢失等安全隐患,支付宝创造性的推出双证书解决方案:支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机,第二张证书不能备份,会员必须
15、为每一台计算机重新申请一张,这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失。 (三)动态密码 动态密码也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。淘宝网的动态密码以手机为平台,在登陆、支付、查询过程中都可用到动态密码技术,每一次使用淘宝系统都会发送一个一次性的密码到用户的注册手机,在网页输入该密码之后,用户才可以进行下一步操作,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。 (四)第三方支付 所谓第三方支付,就是一些和产品所在国家以及国外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达、进行发货;买方检验物品后,就可以通知付款给卖家,第三方再将款项转至卖家账户,淘宝网所用的第三方支付平台即支付宝。支付宝最初作为淘宝网公司为了解决网络交易安全所设的一个功能,该功能为首先使用的“第三方担保交易模式”,由买家将货款打到支付宝账户,由支付宝向卖家通知发货,买家收到商品确认后指令支付宝将货款放于卖家,至此完成一笔网络交
