前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇上網安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
通常情況下,我們都是通過各種安全軟件對惡意腳本進行攔截,避免它們對系統造成破壞。不過,我們現在可以換一種思路,通過瀏覽器的擴展應用對惡意腳本進行攔截。
如果你使用的是Firefox,那首先需要安裝一個名為NoScript的擴展。點擊“工具”菜單中的“附加組件”命令,在彈出網頁的搜索框里面輸入“NoScript”進行查找,找到以后根據提示進行安裝即可(如圖1)。
安裝完成后,NoScript擴展就會自動生效,保護我們的系統。除了Firefox外,使用Chrome的用戶可以安裝ScripSafe擴展,使用Opera的用戶則需要安裝ScriptKeeper擴展。
第二步:好腳本,放行必須的
現在當我們訪問任意網頁時,NoScript擴展就會自動對所有腳本進行攔截。但是,有的腳本是網頁運行所必須,因此對于這些腳本,我們必須允許其運行。
比如,我們在訪問優酷網時,視頻內容是需要自動加載的。所以,在進入優酷網首頁后,首先點擊NoScript圖標,在彈出的菜單里就可以看到被攔截的腳本鏈接。每個腳本鏈接都有“允許”和“臨時允許”兩個選項,我們首先點擊“臨時允許”命令并刷新網頁,看看視頻是否可以正常加載(如圖2)。
如果可以,說明網站運行需要這個腳本支持。接下來,我們再次點擊NoScript圖標,在彈出的菜單里面選擇“允許”命令。這樣,當以后再次訪問優酷網時,NoScript就會放行這個腳本了。然后,我們如法炮制,放行那些必須的腳本就可以了。
第三步:白名單,方便又快捷
雖然前面的方法很好,但對于非技術宅來說實在有些繁瑣和困難。因此我們可以導入由網友制作好的白名單,這樣操作起來就簡便多了。
威脅一
“流氓網站”
瑞星的報告顯示,2007年,以強迫(誘騙)注冊、騙取用戶的各種隱私資料為特征的“流氓網站”開始興起。與傳統的釣魚網站、掛馬網站不同,這些“流氓網站”往往是正規的商業公司,他們甚至擁有海外投資背景,有著完備的組織團隊。
這些“流氓網站”往往會抄襲某個國外熱門網站的商業模式,例如Facebook、Youtube等,但是在關鍵環節上采用類似病毒、木馬的技術手段,以損害用戶的隱私安全、使用感受為代價,取得最大的商業利益。
“流氓網站”的典型表現包括:
1.強制(誘騙)用戶注冊,而且用戶注冊后的賬戶無法順利注銷。例如,有的網站在用戶要求注銷自己的賬戶時,不但要求其回答各種復雜的問題,甚至會要求用原始注冊郵箱提供注銷激活碼等。
2.“流氓網站”要求用戶填入QQ號、MSN密碼、手機號等隱私資料,而用戶只要提供這些資料,網站就會以用戶的名義,在MSN上騷擾其好友,要求好友注冊網站、提供手機號等隱私資料。
3.擅自出售用戶的隱私資料獲利。例如,有的網站注冊之后,就會把用戶的手機號、QQ號等出售給需要的商家,于是用戶就會不斷收到推銷保險、推銷炒股軟件的垃圾短信。
4.有的網站,為了提高自己的瀏覽量,甚至開發了專門的強制瀏覽插件,當用戶上網時,會在后臺偷偷打開自己的網頁,借以獲取大量廣告收入。
威脅二
所有網站都變得“可疑”
趨勢科技的研究報告則從另一個角度闡釋瀏覽網頁面臨的風險。趨勢科技認為,2008年從安全角度看,不存在什么“好壞”網站,它們之間的差別難以區分。因為,黑客正在不斷對合法網站進行攻擊,這打破了“不要訪問可疑網站”這樣的警告――用戶訪問賭博或成人內容的網站可能蘊涵著網絡威脅,這是人們了解的,但訪問那些正常的體育新聞網站或訪問通過搜索引擎查找的結果中的網站時,同樣有可能隱含有惡意軟件。尤其那些運行各種社會網絡的高知名度網站、銀行/金融機構的網站、網絡游戲網站、搜索引擎網站、旅游網站、商務訂票網站、本地政府部門網站、新聞網站、就業網站、博客網站、拍賣及購物類電子商務網站等,這些網站將蘊涵著風險,將成為最受犯罪分子追捧的攻擊載體。
圖1:WiFi萬能鑰匙新版本推出針對上網熱點安全檢測服務
據介紹,WiFi萬能鑰匙本次的新版本,具備針對上網熱點的安全檢測功能。當用戶在手機上啟動WiFi萬能鑰匙安全版的時候,點擊底部“安全”欄目,首先是WiFi萬能鑰匙對當前連接熱點安全性的判斷,如“當前熱點安全級別:低”。如果用戶覺得此熱點不安全,可能會存在泄露個人信息的危險,可以點擊頂部“安全盾牌”按鈕,進行對當前連接熱點的安全檢測。
WiFi萬能鑰匙產品負責人表示,新版本加入了百度手機衛士安全檢測的功能,當安裝有該應用的用戶在選擇進行檢測的時候,就會啟動百度手機衛士,對當前上網熱點的所有指標進行檢測,以保證用戶連接的上網熱點安全可靠。此時,WiFi萬能鑰匙界面會提示“WiFi安全檢測”的內容,用戶只需要經過不足一分鐘的時間,就能判斷自己連接的上網熱點是否安全了。當檢測結束后,會提示“WiFi路由器安全,請放心使用”,這樣的檢測方式,為眾多手機用戶提供了安全、方便的服務。
圖2:WiFi萬能鑰匙的安全檢測過程業界最嚴格
據百度手機衛士安全專家介紹,山寨WiFi已經成為威脅用戶信息安全、支付安全以及個人信息的安全威脅之一。不少黑客選擇在咖啡館等公共領域設計免費WiFi陷阱,趁用戶搜索附近免費WiFi時,山寨WiFi就會取代正常WiFi,誘惑用戶連接,進而獲取用戶的信息。一旦使用這些WiFi,用戶在手機上所有操作軌跡都將被黑客監視,包括訪問信息、網購時使用的支付賬戶和密碼等信息都會瞬間被黑客竊取。
最近佛山發生的一起網上購物詐騙案就很有代表性:劉某上網欲訂購一部名牌手機。在與一個自稱陳××的某購物網站聯系人聯系后,劉某即按陳××的提示,將1816元人民幣存入一個開戶名為張某的銀行賬號內。第二天,一個自稱送貨員的男子打電話給劉某,要求他再存3000元人民幣到張某賬戶,作為網站公司的保險金,才能進行交易,并稱交易完成后這筆保險金將退還劉某。又過了一天,該男子再次致電劉某,要求他再存2000元,才能將手機和保險金一并送到劉某手中,理由是劉某提供的保險金尚未達到網站公司的要求。劉某后來多次致電網站的工作人員,但都無法聯系。劉某發現受騙后,才到公安機關報案。在這次事件中,劉某總共被騙去近7000元人民幣。
雖然劉某的事件只是個例,但卻暴露出網上購物支付環節存在的安全隱患問題。最初的購物網站只提供商品(服務1信息瀏覽和下訂單,付款是通過其他途徑(如電話、傳真和郵局匯款,銀行轉賬等形式)完成的。這些付款方式使得其安全性與時效性大打折扣。近幾年,隨著電子商務領域的快速發展,網上購物的付款方式也變得更加多元化,其中網上支付的方式漸漸被廣大網民認可,并成為目前主流的支付方式。網上支付主要有兩種基本模式,一種是銀行辦理的支付業務,即網上銀行(之前有文章詳細介紹過網上銀行的知識,這里就不過多贅述了);另一種是由第三方支付平臺辦理的支付業務,比如“支付寶”。從目前情況來看,后者發展的速度要遠遠快于前者。
所謂第三方支付,就是一些和國內外各大銀行簽約、并具備一定實力和信譽保障的第三方獨立機構提供的交易支持平臺。它通過與銀行的商業合作,以銀行的支付結算功能為基礎,向用戶提供中立的、公正的個性化支付結算與增值服務。
簡單來說,它的功能就是為網絡交易的雙方乃至線下交易者提供“代收代付的中介服務”和“第三方擔保”。在通過第三方支付平臺的交易中,買方選購商品后,在網上把錢付給第三方平臺提供的賬戶,由第三方通知賣家發貨;買方收到并檢驗貨物后,就可以通知第三方,第三方再將款項轉至賣家賬戶,交易到此結束。在整個交易過程中,如果出現欺詐行為,第三方監管將為買家提供與貨品價值等額的“全額賠付”。同時保障了買家和賣家的利益。
現在最常用的第三方支付工具是支付寶。支付寶在支付安全性能方面,除了采用獨立的支付密碼、網站SSL加密技術等安全措施外,它還采用了目前最為安全的技術手段――數字證書技術。使用數字證書技術后,即使用戶發送的信息在網上被他人截獲,甚至丟失了個人的賬戶、密碼等信息,仍可以保證自己的賬戶、資金安全。另外,支付寶還提供了讓用戶綁定手機的功能,開通手機綁定功能后,可以使用手機短信來及時關閉或開啟余額支付功能,當賬戶余額大額變動時,系統還會發短信提醒。
關鍵詞:電子商務;網上支付;安全
中圖分類號:F224.33 文獻標識碼:A 文章編號:1672-3198(2009)02-0265-02
互聯網在國內的發展已經有十多年的歷史了,利用互聯網進行商務交易活動――電子商務也有了十多年的歷史。毋庸置疑,電子商務作為一種新型網上在線貿易方式不僅使企業與消費者擺脫了傳統的商業中介的束縛,降低了生產與銷售成本,進一步縮短了生產廠家與最終用戶之間的距離,改變了市場的結構;而且還大大節省了企業的營銷費用,提高了企業的營銷效率;為企業提供了巨大的潛在顧客群,給企業帶來了無限的發展機會。
一個典型的電子商務交易由三個階段組成,分別是信息搜尋階段、訂貨和支付階段以及物流配送階段。其中的第二階段就涉及到網上支付問題,即如何利用互聯網以安全快捷的方式實現交易雙方的資金劃撥,以確保電子商務交易的順利進行。從三個階段來看網上支付是最關鍵的,因為網上支付一旦完成物流的配送就是順理成章的事情,也就意味著完整網上交易的完成。而網上支付若不進行,網上交易也不能最終完成。由此可見,網上支付是電子商務最核心、最關鍵的環節,是交易雙方實現各自交易目的的重要一步,也是電子商務得以進行的基礎條件。
1 網上支付現狀及現有支付工具的特點
網上支付采用先進的技術通過數字流轉來完成信息傳輸,其各種支付方式都是采用數字化的方式進行的,工作環境基于開放的因特網,使用的是最先進的通信手段,具有方便、快捷、高效、經濟的優勢。
目前我國網上支付發展迅猛,從上圖艾瑞資訊的統計中可看出08Q2網上支付交易額規模575億元,同比增速超過了170%。環比增速超過了20%。
目前的網上支付工具主要有:
(1)銀行卡在線轉帳支付:是目前我國應用非常普遍的電子支付模式,付款人可使用申請了在線轉帳功能的銀行卡轉移小額資金到收款人銀行賬戶中。
它具有以下基本特點:一是可以接受此電子支付方式的商家投入成本較低;二是能夠受理銀行卡的商店全世界范圍內相當多,用戶不受地域的限制。
(2)電子現金:是以數據形式存在的現金貨幣。它把現金數值轉化為一系列的加密序列數,來表示現實中各種金額的幣值。但目前我國使用的不多。
它的特點一是具有現實現金特點,可以存、取、轉讓,適用于小額支付;二是電子現金銀行在發放電子貨幣時使用了數字簽名,商家接受到電子現金后將其傳輸給電子現金銀行,由電子現金銀行通過對數字簽名的驗證來確定此電子貨幣是否有效;三是電子現金的支付是匿名消費。
(3)電子支票:是以一種紙質支票的電子替代品而存在的,用來吸引不想使用現金而寧可使用信用方式的個人和公司。它的運用使銀行信用彌補了商業信用的不足,在我國尚是空白。
其特點一是與傳統支票的操作有很多相似之處,易于理解和運用;二是通過簡單加密工具就可以保證其安全性;三是電子支票技術可連接公眾網絡金融機構和銀行票據交換網絡,可以通過公眾網絡連接現有金融付款體系。
(4)第三方支付:是具備一定實力和信譽保障的獨立機構,采用與各大銀行簽約的方式,提供與銀行支付結算系統接口的交易支持平臺的網絡支付模式。大致可分為兩類:一是以首信為代表的網關型第三方支付平臺。這類平臺為網上交易提供了一致的支付界面,統一的手續費用標準,結算較為便利。但此模式下,消費者并不是其客戶,網站商家和銀行才是它的客戶,消費者最終還是要使用各網上銀行進行付款。
二是以支付寶為代表的信用擔保型第三方支付平臺。此種形式的第三方支付過程是買家在網上把錢付給支付寶公司,支付寶收到貨款之后通知賣家發貨,買家收到貨物之后再通知支付寶,支付寶這時才把錢轉到賣家的賬戶上。在整個交易過程中,如果出現欺詐行為,平臺提供方將進行賠付。這種第三方代收款制度,不僅保證了資金的安全轉讓,還可擔任貨物的信用中介,從而約束交易雙方行為,在一定程度上增加了網民對網上購物的可信度,大大減少了網絡交易欺詐。
2 網上支付存在的安全問題分析
要想保證在網上進行交易的安全性,首先要確保網上交易的載體――計算機網絡的安全以及用戶機終端的安全。有了計算機網絡才有了電子商務交易,如果計算機網絡不安全,可想而知我們在網上的交易肯定不安全。計算機網絡安全的內容包括:計算機網絡設備的安全、網絡系統安全、數據庫安全等。同時用戶機終端的安全也會影響網上交易的順利進行,如客戶機上操作系統的漏洞、被植入木馬、用戶的不良使用習慣等。
上述兩種安全問題不僅僅只存在于電子商務交易中,即使用戶不使用計算機網絡進行交易,而是進行普通的上網活動,也會受到這兩種安全問題的威脅。由于非交易型的上網活動沒有與金錢直接掛鉤,用戶如果碰到了這兩種安全問題,受到的損失相對來說會小一些。
網上支付的安全除了上述兩種安全問題外,還包括將傳統的買賣交易搬到網上以后失去的一些在傳統交易中不用考慮的安全性,包括以下幾個方面:
(1)身份真實性。也稱商務對象的認證性,傳統的商務交易因為雙方可以在見面后通過觀察而不用擔心身份的真實性,但網上交易的雙方相隔甚遠,互不了解,支付方不知道商家到底是誰,商家不能清晰確定銀行卡等網絡支付工具是否真實,以及由誰來支付和資金如何入賬等。這就讓一些不法商家或個人利用網絡貿易的非面對面的特點進行欺詐活動有了可趁之機,所以需要為參與交易的各方提供可靠標識,使他們能正確識別對方并能互相證明身份。
(2)信息的完整性。網上交易簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。數據輸入時的意外差錯或欺詐行為,可能會導致交易各方信息的差異。另外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致交易各方信息的不同。假如有不法分子對支付的數據(如支付金額)進行修改而發生多支付或少支付的問題,那么勢必給交易雙方添加不少麻煩。
(3)不可否認性,也稱不可抵賴性。在傳統的商務交易中,雙方可通過書面文件上的手寫簽名或印章來預防抵賴行為的發生,但在網上則是不可能的。因此就有可能出現這樣的情況,當交易一方發現交易行為對自己不利時,可能會否認電子交易行為,這必然會損害另一方的利益。
(4)數據保密性。有關交易的各種信息,如付款人和收款人的標識、交易的內容和數量等,這些信息只能讓交易的
參與者知道,有時甚至要求只讓參與方的部分人知道。因此網上支付就涉及到數據保密性的問題了。
3 解決網上支付安全問題的對策
3.1 技術方面的對策
(1)數據加密。
數據加密被認為是電子商務最基本的安全保障形式,可以從根本上滿足信息完整性的要求,它是通過一定的加密算法,利用密鑰(Secret keys)來對敏感信息進行加密,然后把加密好的數據和密鑰通過安全方式發送給接收者,接收者可利用同樣的算法和傳遞過來的密鑰對數據進行解密,從而獲取敏感信息并保證網絡數據的機密性。
(2)數字簽名。
數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發送方從報文文本中生成一個散列值(或報文摘要),發送方用自己的私鑰對這個散列值進行加密來形成發送方的數據簽名。然后,這個數據簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值(或報文摘要),接著再用發送方的公鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文完整性的鑒別和不可抵賴性。
(3)安全協議。
在國際上,比較有代表性的電子支付安全協議有SSL和SET。
SSL(安全槽層)協議是由Netscape公司研究制定的安全協議。通俗地說,SSL就是客戶和商家在通信之前,在Internet上建立了一個“秘密傳輸信息的信道”,來保障傳輸信息的機密性、完整性和認證性。該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。該協議在應用程序進行數據交換前通過交換SSL初始握手信息來實現有關安全特性的審查。SSL協議運行的基點是商家對客戶信息保密的承諾??蛻舻男畔⑹紫葌鞯缴碳?,商家閱讀后再傳到銀行。這樣,客戶資料的安全性便受到威脅。另外,整個過程只有商家對客戶的認證,缺少客戶對商家的認證。在電子商務的初始階段,由于參加電子商務的公司大都信譽較好,這個問題沒有引起人們的足夠重視。今后隨著越來越多的公司參與電子商務,對商家的認證問題也就越來越突出,SSL的缺點就會逐漸暴露出來,SSL協議也就逐漸被新的SET協議所代替。
SET(安全電子交易規范)向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Visa國際組織和Mastercard組織共同制定的一個能保證通過開放網絡(包括Internet)進行安全資金支付的技術標準。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。由于設計較為合理,得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持,已成為實際上的工業技術標準。
3.2 法制方面的對策
(1)加強社會信用機制建設。法律為保障網上支付必須推動社會信用制度的建立。發達的商業社會對社會包括個人的信用有著很高的要求,并通過一系列公開透明的制度來維護和保障信用制度體系。我國目前在對信用概念內涵的理解、信用信息公開的方式和程度、信用服務企業的市場發展程度,以及對失信者的懲戒制度方面都還十分落后,甚至存在空白。應當承認我國還屬于非誠信國家,信用制度還很不健全。我們應當著手網上支付信用機制的建設,建立個人社會信用體系,及時收集和反饋用戶信息并做出相應解決方案,促進用戶建立網絡信用。
(2)加強對網上銀行和第三方支付機構等相關組織的監管。加強電子商務行業的監管,規范市場主體行為。首先要加強對網絡銀行的監管:網上銀行不同于傳統銀行,應該制定新的準入條件,加強對客戶開戶的監管,落實責任審查客戶資料等信息,明確網上銀行業務終止條件、清算辦法等,制定電子貨幣退出機制,規范電子貨幣市場;其次要加強對第三方支付機構的監管,要讓第三方支付機構受銀監會監督,第三方無權動用客戶資金,必須確保資金安全和支付的效率。
3.3 管理方面的對策
在管理方面,由于網上支付涉及到許多部門和機構,容易造成混亂的局面。通常來說,電子商務的網上支付系統是融購物流程、支付工具、安全技術、認證體系、信用體系以及現在有的金融體系為一體的綜合大系統。因此,統一而先進的管理和規范就顯得尤為重要。例如,各家銀行應該盡快制定統一的互聯網支付標準以及盡快為互聯網用戶提供統一的接口。
另外還要建立一個在系統操作過程中的完善的管理制度。支付的過程盡管是在計算機和網絡上自動進行的,但總離不開人的介入。從世界范圍內的經驗可以知道,銀行系統資金不安全或者各類詐騙活動的發生,不是技術不安全造成的,而是制度上的缺陷所出現的。因此嚴格的管理制度建設就非常重要。