❶ 电子商务交易安全的案例
案例一:
淘宝“错价门”引发争议
互联网上从来不乏标价1元的商品。近日,淘宝网上大量商品标价1元,引发网民争先恐后哄抢,但是之后许多订单被淘宝网取消。随后,淘宝网发布公告称,此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称:“服务器可能被攻击,已联系技术紧急处理。”这起“错价门”事件发生至今已有两周,导致“错价门”的真实原因依然是个谜,但与此同时,这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中,消费者与商家完成交易,成功付款下了订单,买卖双方之间形成了合同关系。作为第三方交易平台的淘宝网关闭交易,这种行为本身是否合法?蒋苏华认为,按照我国现行法律法规,淘宝网的行为涉嫌侵犯了消费者的自由交易权,损害了消费者的合法权益,应赔礼道歉并赔偿消费者的相应损失。
总结:目前,我国电子商务领域安全问题日益凸显,比如,支付宝或者网银被盗现象频频发生,给用户造成越来越多的损失,这些现象对网络交易和电子商务提出了警示。然而,监管不力导致消费者权益难以保护。公安机关和电信管理机关、电子商务管理机关应当高度重视电子商务暴露的安全问题,严格执法、积极介入,彻查一些严重影响互联网电子商务安全的恶性事件,切实保护消费者权益,维护我国电子商务健康有序的发展。
❷ 举例说明电子商务交易过程中会遇到哪方面的安全威胁
1.安全威胁。电子商务交易的各环节中,容易受到以下的安全威胁,这些安全威胁通常都会造成比较严重的后果:
一是信息的窃取与篡改,即网络上明文传输的数据被入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏。
二是信息的假冒,即网络恶意攻击者通过冒充合法用户或者模拟虚假信息来实施欺诈行为。
2.安全需求。与安全威胁相对应,电子商务交易过程有以下的安全需求,分别是信息的保密性、完整性和不可抵赖性。电子商务信息的保密性,指的是在开放的互联网环境中,交易过程中的有关商务信息必须在相应的保密规范限定之下传输和访问。
电子商务在进行过程中可能会受到以下几方面的安全威胁:
①数据被非法截获、读取或修改,在电子商务中,各种商务信息通过网络来进行远距离传输,在传输过程中,数据可能被别有用心者截获、诱取,从而造成商业机密的泄露。更为严重的是,别有用心者还可能修改截获的数据,如把资金的数量、交货的方式等进行修改,这会严重地影响电子商务的进行。为了防止出现上述情况,经常采取的方法是数据加密,这样即便数据在传输过程中被截获,也能在很大程度上保证其真实完整性。
②冒名顶替和否认行为,在电子商务中,由于交易并非面对面地进行,如果安全措施不完善,就无法对信息发送者态颤裤和接收者的身份进行验证。这样,别有用心者就有可能冒充合法用户发送信息,从而给合法用户造成商务损失;另帆简一方面,还会有否认行为的发生,别有用心者会否认自己在网络上进行过的操作。为了防止冒名顶替和否认行为的发生, 目前,常采用的是以数字签名为主的鉴别技术。
③一个网络上未经授权的用户却访问了另—个网络。许多企业的Intranet虽然是与Internet连通的,但却不允许非法用户的访问,如银行内部网络。但是,在安全措施不得力的情况下,未经授权的非法用户会想方设法地进入企业内部网络,甚至登录企业内部的核心服务器,这会给企业内部网络的安全造成极大的危害。为了防止“黑客”的入侵,常用的防范措施是设置防火墙,对访问网络或服务器的数据进行过滤。
④除了上述三种技术方面的安全因素外洞败,要保证电子商务的安全,还要加强企业内部管理,制定相应的规章制度。事实上,据有关资料显示,电子商务中相当大比例的安全事故是由于内部管理不善造成的。安全方面的技术再先进,但假如是企业内部掌握核心机密的人泄密,那对电子商务安全的威胁将是防不胜防的。 此外,电子商务涉及企业、商家、用户、银行等各个方面,是一项社会工程,有关部门应抓紧制定相关的法规,这样,发生安全事故后,处理起来才能有法可依、有章可循,反过来,也会促进整个电子商务的安全管理,防止安全事故的发生。
法律依据:
《中华人民共和国治安管理处罚法》
第四十二条有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:
(一)写恐吓信或者以其他方法威胁他人人身安全的;
(二)公然侮辱他人或者捏造事实诽谤他人的;
(三)捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚的;
(四)对证人及其近亲属进行威胁、侮辱、殴打或者打击报复的;
(五)多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的;
(六)偷窥、偷拍、窃听、散布他人隐私的。
《 最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》
第五条利用信息网络辱骂、恐吓他人,情节恶劣,破坏社会秩序的,依照刑法第二百九十三条第一款第(二)项的规定,以寻衅滋事罪定罪处罚。
编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第(四)项的规定,以寻衅滋事罪定罪处罚。
第六条以在信息网络上发布、删除等方式处理网络信息为由,威胁、要挟他人,索取公私财物,数额较大,或者多次实施上述行为的,依照刑法第二百七十四条的规定,以敲诈勒索罪定罪处罚。
❸ 银行卡被第三方支付公司盗刷,如何起诉公司
下面有个案例,供你参考:
银行卡绑定第三方支付平台被盗刷的责任认定案例
2017-01-09 10:22
导读:随着网络经济的发展,以“支付宝”“财付通”“微信支付”为首的第三方支付平台的出现为电子商务的发展注入了新动力。近年来第三方支付平台迅速崛起,它已经不仅仅是一种支付工具,更是电子商务交易环节中最重要的一环。但是在快速发展过程中第三方支付平台也出现了一些法律问题,例如消费者将银行卡绑定到第三方支付平台后被盗刷的责任由谁承担?本期法信小编整理《人民司法·案例》2016年第29期相关案例及观点,结合其他案例、法条,对银行卡绑定第三方支付平台被盗刷的责任认定问题作出了阐释,希望能够为读者提供参考与帮助。
人民司法·案例
银行卡绑定第三方支付平台被盗刷的,法院应当依据发卡行是否履行了合同义务认定其责任承担——彭某与中国建设银行股份有限公司中山宏基支行借记卡纠纷上诉案
案例要旨:在银行卡绑定第三方支付平台的情形下发生的资金盗刷案件中,若发卡行是按持卡人的指令向第三人履行合同义务,不应认定为合同履行错误,发卡行不应承担责任;发卡行如果存在违反合同约定或者未履行合同附随义务的情形,则应承担相应责任。
案号:(2016)粤2072民终430号
审理法院:广东省中山市中级人民法院
案件来源:《人民司法·案例》2016年第29期
案情简介:
2013年7月23日,彭某在中国建设银行股份有限公司中山宏基支行(以下简称建行宏基支行)办理了百惠龙卡。2015年7月3日,该卡于14:36:52通过中国银联股份有限公司上海分公司消费5000元,于14:47:16通过深圳市财付通科技有限公司消费5000元,于15:01:27通过迅付信息科技有限公司消费1000元,于15:07:53通过智付消费3000元,于15:09:29通过智付消费700元。彭某称其在2015年7月9日使用该卡过程中发现卡内余额为零。2015年7月9日,彭某在建行珠海香洲支行打印交易清单。2015年7月11日,彭某向中山市公安局石岐区分局宏基派出所报案。2015年7月15日,彭某在建行中山朗晴轩分理处打印该卡的2015年7月3日明细事项。后彭某将建行中山分行诉至广东省中山市第一人民法院,请求判令建行中山分行向彭某偿还被盗存款14700元及相应利息损失。
另查明:彭某在建行中山分行处办理的按揭贷款于2015年1月至2015年6月在该卡正常收回贷款本息,于2015年7月4日在该卡仅收回贷款本息5.91元。双方均确认涉案借记卡有开通手机短信服务,彭某主张账户被盗刷,未曾收到账户资金变动的短信通知。彭某同时确认之前曾通过第三方支付平台进行多次小金额消费。
裁判理由:
广东省中山市中级人民法院二审认为:本案系借记卡纠纷。彭某在建行宏基支行办理了借记卡,双方形成储蓄存款合同关系。本案诉争五笔金额系通过第三方支付平台支出,而第三方支付平台的交易,使用的是第三方支付平台提供的账户进行货款支付。买方初次将借记卡绑定第三方支付平台提供的账户时,银行会在客户进行支付时对第三方支付平台提供的手机号码和银行预留的手机号码进行一致性检验,通过后就可进行支付。如果银行已按前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在之后的交易时无需再次验证,只须按指令付款。
本案中,彭某曾多次通过第三方支付平台进行小金额交易,说明确系彭某本人将借记卡绑定第三方支付平台,建行中山分行已履行了客户身份的验证义务。第三方支付平台的账号和支付密码由彭某自行设置和保管,彭某因第三方支付平台的账号和支付密码外泄导致借记卡被盗刷,建行中山分行无须承担责任。只是因为彭某已开通手机短信通知,建行中山分行应在彭某账户资金发生变动时,及时履行短信提醒义务。因此,涉案借记卡发生第一次盗刷后,因建行中山分行未能在彭某账户资金发生变动后通过手机短信通知彭某,导致彭某未能及时发现其账户资金的异常变动,不能及时办理挂失止付,导致损失的扩大,建行中山分行负有一定的责任。根据本案的具体情况,法院酌定建行中山分行就第一次盗刷之后的四笔被盗刷导致的损失承担50%的责任,也即建行中山分行须向彭某赔偿损失4850元[(5000元+1000元+3000元+700元)x50%]及相应利息损失。
广东省中山市中级人民法院作出(2016)粤2072民终430号终审民事判决:建行中山分行须向彭某赔偿损失4850元及相应的利息。
法院观点:
1.银行卡绑定第三方支付平台的支付模式
持卡人在将银行卡与第三方支付平台进行绑定时,输入银行卡号、身份证号码、手机号、银行发送的动态验证码即可完成操作。根据银监会、央行联合下发的《关于加强商业银行与第三方支付机构合作业务管理的通知》中的要求:“对预留手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验,通过后方可进行支付。如果银行已按照前述要求在业务关联时实行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。”由此可见,如果银行已按前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在之后的交易时无需再次验证,只须按指令付款,由此体现第三方支付的便捷性。在银行卡绑定第三方支付平台时,第三方支付平台与持卡人之间会约定相应的支付密码,该支付密码由持卡人设定和保管,与发卡行没有关联,发卡行接到持卡人输入的与第三方支付平台约定的支付密码,即是接到付款指令,会即时向第三方支付平台付款,无需再对持卡人的身份进行验证。
2.应综合判断并认定银行卡绑定第三方支付平台被盗刷的事实
在银行卡绑定第三方支付平台的情形下,持卡人是通过互联网线上交易完成支付,它不同于物理卡情形下的伪卡或者克隆银行卡盗刷,法院在认定物理银行卡被克隆之事实时,一般根据当事人提供的银行卡使用记录、克隆卡的交易行为地与持卡人处所的距离、交易时间和报案时间、报警记录、挂失记录、持卡人身份等证据,综合判断是否克隆银行卡盗刷。
事实上,线上交易盗刷事实的认定一直是审判实践中的一个难题。从现有的第三方支付平台盗刷案例来看,持卡人能够向法院提供证明盗刷事实的证据十分有限。本案中,法院并没有充分论证如何认定涉案的五笔交易为他人盗刷,综合本案案情,能够认定盗刷事实的证据也只有持卡人彭某的报警记录以及涉案银行卡特定时间在第三方支付平台频繁的异常交易记录。通常认为,持卡人在发现银行卡被盗刷后第一时间予以报警,是认定银行卡交易非持卡人本人操作的重要证据,如果持卡人恶意报假警,违反了治安管理处罚法第二十三条第(一)项之规定,其行为妨害了公安机关正常的工作秩序,依法应给予治安行政处罚,因此,持卡人的报警行为一般被认定为持卡人的真实行为。但报警记录并不能作为认定盗刷事实的一般标准依据,也就是说法官不能仅以持卡人的报警记录就认定盗刷事实,还应结合案件其他证据,比如异常的交易记录、发卡行的提醒告知短信、部分第三方支付平台的退款记录、操作线上交易的I P地址等证据,结合发卡行的抗辩意见,以个人的生活经验,按照高度盖然性证明标准,综合判断是否存在盗刷事实。
3.法院应当依据发卡行是否履行了合同义务认定银行卡绑定第三方支付平台被盗刷的责任承担
从合同法的原理分析,在持卡人和发卡行之间,银行卡盗刷案件涉及合同履行违约之纠纷,即发卡行本应将银行卡内的资金支付给合同当事人即持卡人,却支付给了合同之外的第三人,发卡行属于履行对象错误而违约,合同履行对象错误,承担责任的当然是合同义务人即发卡行。合同的履行是指债务人全面、适当地完成其合同义务,使债权人的合同债权得到完全实现。根据合同的相对性原则和正确履行原则,债务人履行合同义务须向债权人即合同相对人履行,除非双方当事人在合同中约定向第三人履行,或者合同未约定,在履行过程中经合同相对人明确授权或者指令,由第三人接受合同义务人的履行。在银行卡绑定第三方支付平台的情形下,发卡行均是向第三人履行合同义务,第三方支付平台的账号和支付密码由持卡人自行设置和保管,发卡行按指令支付款项的行为不应认定为合同履行错误。因此,持卡人因第三方支付平台的账号和支付密码外泄导致被盗刷,与发卡行无关。
发卡行没有责任,持卡人的合法权益则应当依据其与第三方支付平台之间合同约定寻求保护。虽然盗刷银行卡是不法行为,但在第三方支付平台却是通过正常途径进行交易的。根据《非金融机构支付服务管理办法》相关规定,第三方支付平台应当建立相应的风险控制措施。比如,在快捷支付中,当快捷支付用户遭遇恶意盗刷,系统识别器会发出提醒。被盗刷的顾客2小时内联系客服中心,并提供交易号等信息,支付宝公司会暂时冻结支付宝账户。15个工作日内联系客服中心,提交的材料经审核通过后,平安保险将给予受害人100%赔付,而投保费由支付宝承担。在易付宝支付中,如果非客户本人原因引起的盗刷消费成功,消费者报案并提交材料齐全后,相关保险公司即可进行全额赔付。如果交易尚未完成,易付宝将对交易进行拦截,并返还相应盗刷款项。
法信 · 相关案例
1.商业银行在电子资金转移和支付环节已尽到身份识别义务和安全保障义务,当事人对信用卡被盗刷存在过错的,应自行承担责任——中国农业银行股份有限公司珠海分行诉肖健鹏信用卡纠纷案
案例要旨:商业银行和第三方电子支付平台在电子资金转移和支付环节负有身份识别义务和安全保障义务,银行已尽到身份识别义务和安全保障义务,当事人的信用卡被盗刷系因个人原因丢失个人证件及通讯工具,未及时挂失致个人信息外漏所致的,相应的损失应全部由当事人自行承担。
案号:(2013)珠香法民二初字第1373号
审理法院:广东省珠海市香洲区人民法院
来源:广东法院网 2014-10-16
2.他人通过网上银行及支付宝和密码完成交易致使持卡人受到损失,而持卡人没有证据证明发卡人对密码的泄露存在不当行为的,持卡人应当自行承担被盗刷损失——周俊诉中国工商银行股份有限公司临湘支行信用卡纠纷案
案例要旨:保护存款安全是储户和银行双方共同的义务。根据网上银行的支付程序,在网银支付过程中,银联卡号、持卡人手机号码、身份信息和正确密码是完成支付的必要条件。他人通过网上银行及支付宝和密码完成交易,致使持卡人受到损失,而持卡人没有证据证明发卡人对密码的泄露存在不当行为的,持卡人应当自行承担被盗刷损失。
案号:(2015)临民初字第37号
审理法院:湖南省临湘市人民法院
来源:中国裁判文书网 2015-07-02
3.银行卡绑定第三方支付平台被盗刷,持卡人与发卡行在履行合同中都存在过错的,均应承担相应责任——梁燕芬诉中国工商银行股份有限公司广州大南路支行借记卡纠纷案
案例要旨:根据流程规则,通过工银e支付消费和掌钱转账均需要银行卡密码、网上银行登录密码和验证码等完全正确,方能消费或转账成功。因持卡人在网上填写个人信息时不慎泄露银行卡密码和网上银行登录密码的,应自行承担相应损失;因发卡行的验证码信息被病毒软件拦截导致持卡人未正常收到短信验证码的,表明发卡行在履行合同过程中未正确尽到通知义务,发卡行应承担相应责任。
案号:(2015)穗中法金民终字第1066号
审理法院:广东省广州市中级人民法院
来源:中国裁判文书网 2015-10-29
4.被盗刷款项均系通过持卡人自行设立的支付密码予以支付,持卡人主张发卡行未及时进行信息提示存在过错并要求承担赔偿责任的,法院不予支持——姜会旺与中国农业银行股份有限公司东阿县支行信用卡纠纷案
案例要旨:持卡人银行卡绑定第三方支付平台多次被盗刷期间,发卡行可以证明均向其预留的手机号码进行了短信通知和提示义务,且持卡人主张的被盗刷款项均系通过持卡人或得到其授权的他人自行设立的支付密码予以支付的QQ消费或充值等方式支付,持卡人主张发卡行存在过错并要求承担赔偿责任的,法院不予支持。
案号:(2015)聊商终字第275号
审理法院:山东省聊城市中级人民法院
来源:中国裁判文书网 2015-11-06
5.当事人通过支付宝进行交易过程中因自身原因受人欺骗造成损失,支付宝尽到形式审查、确保支付安全义务的,不承担赔偿责任——余大弟诉支付宝(中国)网络技术有限公司网络服务合同纠纷案
案例要旨:当事人通过支付宝进行交易过程中因自身原因受人欺骗造成损失,其损失与支付宝提供的服务之间并不存在因果关系,支付宝尽到形式审查、确保支付安全义务的,对当事人损失不承担赔偿责任。
案号:(2012)杭西民初字第1715号
审理法院:浙江省杭州市西湖区人民法院
来源:《浙江省高级人民法院案例指导》2004年第1期
法信 · 法律依据
1.《中华人民共和国合同法》
第六十条 当事人应当按照约定全面履行自己的义务。
当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。
第一百零七条当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任。
第120条当事人双方都违反合同的,应当各自承担相应的责任。
2.《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》
三、客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。
四、商业银行通过电子渠道验证和辨别客户身份,应采用双(多)因素验证方式对客户身份进行鉴别,对不具备双(多)因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。
八、对预留手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验,通过后方可进行支付。如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。
3.《非金融机构支付服务管理办法》
第二条本办法所称非金融机构支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务:(一)网络支付;(二)预付卡的发行与受理;(三)银行卡收单;(四)中国人民银行确定的其他支付服务。
本办法所称网络支付,是指依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。
本办法所称预付卡,是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。
本办法所称银行卡收单,是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。
❹ 电子商务法律法规案例分析
案例一:
一刚上小学二年级的男童,在某购物网站以他父亲李某的身份证号码注册了客户信息,并且订购了一台价值1000元的小型打印机。但是当该网站将货物送到李某家中时,曾经学过一些法律知识的李某却以“其子未满10周岁,是无民事行为能力人”为由,拒绝接收打印机并拒付货款。由此交易双方产生了纠纷。
李某主张,电子商务合同订立在虚拟的世界,但却是在现实社会中得以履行,应该也能够受现行法律的调控。而依我国现行《民法通则》第12条第2款和第55条的规定,一个不满10周岁的未成年人是无民事行为能力人,不能独立进行民事活动,应该由他的法定代理人代理民事活动。其子刚刚上小学二年级,未满10周岁,不能独立订立货物买卖合同,所以该打印机的网上购销合同无效;其父母作为其法定代理人有权拒付货款。
对此,网站主张:由于该男童是使用其父亲李某的身份证登录注册客户信息的,从网站所掌握的信息来看,与其达成打印机网络购销合同的当事人是一个有完全民事行为能力的正常人,而并不是此男童。由于网站是不可能审查身份证来源的,也就是说网站已经尽到了自己的注意义务,不应当就合同的无效承担民事责任。
问题:当事人是否具有行为能力?
电子合同是否有效?
案例二:
海南经天公司1998年投资180万元完成开发并出版发行的《中国大法规数据库》,被海口网威公司2000年将其解密后,复制到其经营的《司法在线》网站上。经天公司将该侵权的网上法规数据库下载,经过公证后将其作为证据,向海口市中级人民法院起诉。
问题:海口网威公司是否侵犯了海南经天公司的著作权?为什么?
案例三:
赵某是国内著名拍卖网站的注册用户。1999年10月1日晚上,他在浏览网页时发现一网站正在举办“海星电脑专场拍卖会”,于是在阅读了拍卖公告后就参与了竞拍。经过一番竞价,赵某以最高价竞得3台电脑,并且该网站公布的拍卖结果中确认拍卖成交。过了国庆假期,赵某汇款1万余元打算取得拍来的3台电脑,但是事情并没有想像的那么简单。
赵某称当时他在这家网站的“买家须知”中看到拍卖周期是10月1日至10月5日,但是在10月8日他再次上网时,发现该网站仍在进行海星电脑专场拍卖会,而且截至日期改为了10月10,他已经拍卖成交的3台电脑正在以他的拍价为底价继续拍卖,10月9日公布了第二次拍卖结果。对该著名拍卖网站出尔反尔的做法,赵某当即提出抗议,认为网站违约,必须承担责任。于是赵某把这家网站的主办者北京某电子技术公司和某国际拍卖公司等多家单位告上法庭,要求给付他拍得的3台电脑费用,赔偿电脑贬值损失1万余元,并承担诉讼费用。
问题:赵某拍得的3台电脑是否有效?为什么?
❺ 结合案例,分析目前网上支付安全问题的特点
一、电子商务网上支付的安全隐患
(一)网上支付的安全问题。
造成网上支付发展的安全风险主要有三个方面:一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
1、密码管理不善。
大
部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户将姓名、生日、电话号码设置为密码。有86%的用户在所有网站上使用的都是同一个密
码或者有限的几个密码。许多攻击者还会直接使用软件破解一些安全性低的密码。因此建议用户使用安全性高的复杂密码,防止密码被黑客破译的可能。
2、网络病毒的入侵。
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3、钓鱼平台。
“网
络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露
自己的财务数据,如信用卡号、账户号和口令等。中国互联网络信息中心(CNNIC)统计,截至今年2月底,联盟累计认定并处理了钓鱼网站39854个。仅
1、2月份,网购、电子商务网站类就占据了举报受理总数的90%。2011年2月,处理钓鱼网站1159个,较2010年2月(574个)相比,同比增长
112%,而2011年前两个月处理的钓鱼网站较2010年同期增长2278个。更为惊人的是,在2011年1月和2月通过联盟认定并处理的钓鱼网站中,
网购、电子商务网站类约占举报受理总数的90%。
(二)网上支付的信用问题。
在网络支付中由于其虚拟性,超时空性等特点,使双方互不相见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。
根
据《中国电子商务诚信状况调查》统计显示,有23.5%的企业和26.34%的个人认为电予商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企
业最关注的问题之一。调查表明,64.2%的公众和71.1%的企业在网上交易时会查看卖方的信用评价,企业信用状况无疑是解决电子商务诚信问题的一个很
大因素,但目前我国还没有一个权威公正的信用体系。
(三)网上支付的法律问题。
目前制约网上支付发展的立法问题主要包括:谁来发行电子货币;如何进行网络银行的资格认定;怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
(四)网上安全认证机构建设混乱。
CA
在认证过程中面临许多潜在的风险,这主要表现在:(1)支付的信用安全问题。各CA颁发的电子证书各自为政、交叉混乱的情况仍然存在,身份认证系统不完善
不统一,认证作用只是保证一对一的网上交易安全可信,而不能保证多家统一联网交易的便利。(2)缺乏协调统一的规划设计和没有行业技术标准。各个认证中心
都是独立构建的,引进的技术和产品各有不同,也没有共同的标准,在这样的情况下,要实现互通确实面临很大困难。
❻ 用案例说明整个电子商务交易流程中存在哪些安全问题,有什么突出表现吗
一、电子商务存在的安全问题编辑本段电子商务简单的说就是利用Internet进行的交易活动,电子商务:"电子"+"商务",从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全:一方面是"电子"方面的安全,就是电子商务的开展必须利用Internet来进行,而Internet本身也属于计算机网络,所以电子商务的第一个方面的安全就是计算机网络的安全,它包括计算机网络硬件的安全与计算机网络软件的安全,计算机网络存在着很多安全威胁,也就给电子商务带来了安全威胁;另一方面是"商务"方面的安全,是把传统的商务活动在Internet上开展时,由干Internet存着很多安全隐患给电子商务带来了安全威胁,简称为"商务交易安全威胁"。这两个方面的安全威胁也就给电子商务带来了很多安全问题:
(一)计算机网络安全威胁
电子商务包含"三流":信息流、资金流、物流,"三流"中以信息流为核心为最重要,电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息,促进信息流的完成。计算机网络的安全必将影响电子商务中的"信息流"的传递,势必影响电子商务的开展。计算机网络存在以下安全威胁:
1.黑客攻击
黑客攻击是指黑客非法进入网络,非法使用网络资源。随着互联网的发展,黑客攻击也是经常发生,防不胜防,黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年,仅美国国防部的"五角大楼"就受到了了230万次对其网络的尝试性攻击。从这里可以看出,目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。
2.计算机病毒的攻击
病毒是能够破坏计算机系统正常进行,具有传染性的一段程序。随着互联网的发展,病毒利用互联网,使得病毒的传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的又一重要安全威胁。
3.拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击,它是一个用户采用某种手段故意占用大量的网络资源,使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展,拒绝服务攻击成为了网络安全中的重要威胁。
(二)商务交易安全威胁
把传统的商务活动在Internet上进行,由于Internet本身的特点,存在着很多安全威胁,给电子商务带来了安全问题。Internet的产生源于计算机资源共享的需求,具有很好的开放性,但正是由子它的开放性,使它产生了更严重的安全问题。Internet存在以下安全隐患:
1.开放性
开放性和资源共享是Internet最大的特点,但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2.缺乏安全机制的传输协议
TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使网络更加不安全。
3.软件系统的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。
4.信息电子化
电子化信息的固有弱点就是缺乏可信度,电子信息是否正确完整是很难由信息本身鉴别的,而且在Internet传递电子信息,存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
1.信息泄露
在电子商务中表现为商业机密的泄露,以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏,主要包括两个方面:(1)交易一方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件第三方非法使用。
2.篡改
正是由于以上计算机网络安全威胁与Internet的安全隐患,电子的交易信息在网络上传输的过程中,可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用),这样就使信息失去了真实性和完整性。
3.身份识别
正是由于电子商务交易中交易两方通过网络来完成交易,双方互不见面、互不认识,计算机网络的安全威胁与Internet的安全隐患,也可能使得电子商务交易中出现身交易身份伪造的问题。
4.信息破坏
计算机网络本身容易遭到一些恶意程序的破坏,如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致电子商务中的信息在传递过程被破坏。
5.破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息,这些信息我们也必须保证它的时间的有效与本身信息的有效,必须能确认该信息确是由交易一方签发的,计算机网络安全威胁与Internet的安全隐患,使得我们很难保证电子商务中的信息有效性。
6.泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息,计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露,破坏到个人隐私。
二、电子商务的安全要求编辑本段正是由于电子商务的开展过程中存在着很多安全问题,我们要使得电子商务正常有序的进行,就必须保证电子商务的安全,解决以上的安全问题,营造一个安全的电子商务环境,那么这样一个安全的电子商务环境又有哪些安全要求,成为我们解决电子商务存在的安全问题接下来要解决的问题:
(一)信息的保密性
交易中的商务信息一般都有保密的要求,信息内容不能随便被他人获取,尤其是涉及到一些商业机密及有支付等敏感信息时,信息的保密性就显得更为重要了。
(二)信息的完整性
信息的完整性包括电子商务中的信息不被篡改、不被遗漏。
(三)通信的不可抵赖、不可否认
在电子商务活动中一条信息被发送或被接收后,应该通过一定的方式,保证信息的各方有足够的证据证明接收或发送的操作已经发生。
(四)交易各方身份的认证
要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方所声称的是否一致。
(五)信息的有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。
(六)个人隐私权的保护
电子商务中是否可以保护个人隐私权,势必影响到个人消者者参与电子商务的积极性。
三、电子商务的安全对策编辑本段要营造一个满足电子商务安全要求的电子商务环境,就相应的要解决两个方面安全威胁:一是计算机网络的安全威胁,二是商务交易的安全威胁,所带来的电子商务的安全问题。我们营造安全的电子商务环境的对策主要有:
(一)利用电子商务安全技术
1.计算机网络安全技术
电子商务中利用的重要工具计算机网络,存在着很多的安全威胁,计算机网络的建立足我们开展电子商务的基础,我们要保证电子商务的安全,首先就要保证计算机网络的安全。
(1)防火墙技术
防火墙是指隔离在本地网络与外界之间的一道防御设施,是这一类防范措施的总称。它能够限制他人进入内部网络,过滤掉不安全服务和非法用户:允许内部网的一部分主机被外部网访问,另一部分被保护起来;限定内部网的用户对互联网上特殊站点的访问;为监视互联网安全提供方便。对手我们营造安全的电子商务环境目前最安全的方法就是利用双防火墙双服务器方式。
(2)入侵检测系统(IDS)
防火墙虽然很好,但是防火墙也有很多的不足,比如防火墙不能防范不经由防火墙的攻击、防火墙不能防范新的网络安全问题。为了弥补防火墙的不足,我们可以利用入侵检测系统,来保证计算机网络的安全。入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合就是入侵检测系统(Intrusion Detection System,简称IDS)。
(3)虚拟专用网(VPN)技术
虚拟专用网VPN(Virtual Private Network)是一门网络新技术。顾名思义,虚拟专用网不是真的专用网络,它利用不可靠的公用联网络作为信息传输媒介,通过附加的安全隧道,用户认证和访问控制等技术实现与专用网络相类似的安全功能,从而实现对重要信息的安全传输。利用虚拟专用网技术,我们可以营造一个相对安全的网络。
(4)病毒防治技术
电子商务中的计算机网络不断受到病毒攻击的危害,为了把计算机病毒的危害减小到最低,我们可以从以下几方面从入手:一是高度重视计算机病毒;二是安装计算机病毒防治软件,不断更新病毒库。
2.商务交易安全技术
为了营造一个安全的电子商务环境,我们一定要保证传统的商务活动在互联网上进行的安全,我们就应该建立一个电子商务的安全体系。
(1)基本加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。采用密码技术对信息进行加密,是最常用的安全手段。在电子商务中,获得广泛应用的现代加密技术有以下两种:对称加密体制和非对称加密体制。基本加密技术是电子商务安全体系的基础,也是安全认证手段和安全协议的基础,利用它可以保证电子商务中信息的保密性。
(2)安全认证手段
利用基本加密技术还只能保证电子商务中信息的保密性,为了营造安全的电子商务环境,我们还必须保证电子商务中的信息的完整性,通信的不可抵赖、不可否认,交易各方身份的认证,信息的有效性,这就得利用以基本加密技术为基础开发的安全认证手段:
①利用数字信封技术保证电子商务中信息的保密性。
②利用以Hash函数为核心的数字摘要技术来保证电子商务中信息的完整性。
③建立CA认证体系给电子商务交易各方发放数字证书,保证电子商务中交易各方身份的认证。在电子商务中,为了使众多的认证机构CA(Certification Authority)具有一个开放的标准,使以之间能够互联、互相认证,实现安全的CA管理,这就需要建立公钥基础设施(Public Key Infrastructure,简称PKI)。
④利用数字时间戳来保证电子商务中信息的有效性。
⑤利用数字签名技术来保证电子商务中的通信的不可抵赖、不可否认,信息的有效性。
(3)安全协议
要保证电子商务环境的安全,必须把安全认证手段跟安全协议配合起来建立电子商务安全解决方案。目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
(二)制定电子商务安全管理制度
电子商务安全管理制度是用文字形式对各项安全要求所做的规定,这些制度应该包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。
(三)加强诚信教育,建立社会诚信体系
电子商务中的很多安全问题比如交易的抵赖、否认、个人隐私权的破坏,说到底还是人的诚信问题,为了促进电子商务更好的发展,打消消费者对于电子商务的安全顾虑,我们应该加强诚信教育,建立社会诚信体系。
❼ 电子商务网站是如何做到安全支付的
一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参与者包括:消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。移动支付需要考虑以下安全问题:(1)移动终端接入支付平台的安全,包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。(2)支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。
二、移动支付的安全认证技术
当前,移动设备的大量普及为移动支付的实现提供了必要的条件,但也存在许多问题制约着移动支付的实施,如移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。
1.WPKI安全标准概况
WPKI(WirelessPKI)是有线PKI的一种扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAPIdentityMole,无线应用协议识别模块)、WMLSCrypt(WMLScriptCryptoAPI,WML脚本加密接口)、WTLS(,无线传输安全层)和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平台,一切基于身份验证的应用都需要WPKI技术的支持,它可与WTLS、TCP/IP相结合,实现身份认证、私钥签名等功能。WPKI的主要组件包括:终端实体应用程序(EE)、PKI门户(PKIPortal)、认证中心(CA)、目录服务(PKIDirectory)、WAP网关,在应用模型中还涉及数据提供服务器等设备,WPKI的基本结构和数据流向如图所示。
在WPKI中,代替RA(RegistrationAuthority)的功能组件是PKI门户(PKIPortal),它是一个网络服务器,负责把WAP客户的需求转发给PKI中的RA和CA(CertificationAuthority)。CA主要负责生成证书、颁发证书和刷新证书等。WAPGateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的,主要保证传输层的安全,WPKI也是对IETFPKIX标准的优化,使之更适合无线环境。
2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的,与WAP安全标准相比,WPKI所采用的ECC(EllipticCurveCryptography,椭圆曲线密码)密码系统更适合在无线设备中使用。同样强度的密钥,ECC的密钥长度(163bit)只是其他方案的六分之一(1024bit),但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的,因为穷举163bit的密钥个数有1.156×1049个,按每秒钟测试1亿个密钥计算,也要3.6×1032年!
❽ 电子商务安全技术方面的案例
电子商务系统主要受到的安全威胁有那些简述电子商务的安全需求包括哪5个方面的内容简述电子商务的安全要素. 在设计安全可靠的电子商务设施时,需要考虑的10个关键性问题是什么简述ISO7498/2中提出的安全服务和相应的安全机制简述黑客进行网络攻击时常用的策略有哪些目前已开发并应用的电子商务安全协议分为哪6种类型简述双钥体制的认证协议的工作原理. 简述双向认证协议的实现过程. 简述SSL安全协议的特点及实现过程. 简述SET安全协议的特点及实现过程. 私钥加密体系与公钥加密体系有何区别,它们各有什么优点概述数字签名技术的用途和实现过程. 数字签名技术与认证技术的用途有什么不同简述PKI系统的基本组成及其安全管理功能. 密钥管理的目的是什么 密钥管理通常涉及的有关问题有哪些在电子商务中采用防火墙应有哪些优点简述在电子商务中采用的防火墙具备哪些安全业务安全支付系统可分为哪几类,它们的特点是什么Internet给电子商务带来的安全隐患和安全问题有哪些信息安全是电子商务安全的基本保障,请问:信息安全管理应遵循哪10条基本原则为了确保电子商务安全,在网络上采用安全保密可靠保险技术要遵循的3项基本原则是什么防火墙有哪两种决然不同的安全控制模型,它们的性能和用途有何区别简述智能卡的逻辑组成及其安全机制. 试描述我国发布的《计算机信息系统安全保护等级划分准则》中,将计算机安全保护划分为哪5个级别