【文档说明】第8章电子商务交易系统安全管理.pptx，共(71)页，219.946 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-333045.html

以下为本文档部分文字说明：

第8章电子商务交易系统安全管理1．熟悉网络中介服务规范、非金融机构支付服务管理、网络金融机构的风险管理；2．了解电子合同安全管理的基本概念、特点、功能；3．了解电子商务系统安全管理涉及的数字水印版权保护技术、透明加密技术、动

态口令身份认证技术等关键技术。学习目标与要求硅谷动力网站报道:美国佐治亚州19岁的青年格罗高利·克利麦克,涉嫌诈骗eBay网站的顾客,有可能被判监禁40年。他在eBay网站上出售ATI显卡,售价从20美元至250美元不等。克利麦克成功地完成了20宗交易,共收到汇款4500

美元,但是他没有给任何顾客寄出商品。受骗的顾客报警之后,警方逮捕了克利麦克并搜查了其住所,没有发现任何显卡产品。克利麦克因涉嫌故意诈骗罪,将受到21项指控,可能面临40年的牢狱生涯。警方提醒网上消费者,一定要提防这种“空手套白

狼”的罪犯。易趣网曾携手公安部门和工商部门联合推出了“网上交易安全宣传月”系列活动,易趣网在首页张贴了给消费者和网上商家的提示,提醒广大购物者交易前仔细阅读易趣网总结的《网络交易安全ABC》,呼吁所有网上商家守法经营、诚信为本,并告诫大

众网上诈骗或销赃都是违法行为。种种事实表明,电子商务交易系统的安全管理已成为电子商务发展进程中必须解决的重要问题。本章主要介绍电子商务安全体系管理及有关运作情况。8.1网络交易中介服务商管理8.1.1网络交易中介服务的相关概念所谓网络交易,

是指发生在信息网络中企业与企业之间(BusinesstoBusiness,简称B2B)、企业和消费者之间(BusinesstoConsumer,简称B2C)以及个人与个人之间(ConsumertoConsumer,简称C2C)通过网络通信手段缔结

的交易。提供这种网络交易的计算机网络环境通常称为网络交易平台,网络交易平台实质上是为各类网络交易(包括B2B、B2C和C2C交易)提供网络空间以及技术和交易服务的计算机网络系统。8.1.2网络交易中介服务规范管

理《网络交易平台服务规范》的发布为电子商务企业完善制度并接受社会各界的监督提出了切实可行的规范体系,为各地方电子商务立法或电子交易立法提供了参考和支持。同时,网络交易中介服务商和交易当事人应当遵守《中华人民共和国民法通则》、《中华人民共和国合同法》、《中华人民共和国电子签名法》、《互联网信息服务管

理办法》及《中华人民共和国消费者权益保护法》、《中华人民共和国广告法》等相关法律法规,实现行业自律。《网络交易平台服务规范》主要从下述两方面作了规范。8.1.2.1对网络交易交易中介服务商的要求《网络交易平台服务规范》对网络交易中介服务商

提出了以下要求:(1)制度建设。(2)运营管理。(3)信息监管。(4)用户注册管理。(5)用户协议。8.1.2.2对网络交易服务的规定《网络交易平台服务规范》对网络交易服务的规定如下:(1)交易规则的制定。

(2)交易规则的显示。(3)交易规则的修改。(4)电子签名的使用(5)网络广告管理。(6)资料存储管理。8.2非金融机构支付服务管理2010年6月中国人民银行公布《非金融机构支付服务管理办法》（以下简称“管理办法”）,并于2010年9月1日实施。该管理办法

中涉及了三类货币资金转移服务，包括网络支付、预付卡的发行与受理、银行卡收单，其中网络支付一项属于支付服务类别，其余两类与支付服务关联性甚低，主要与第三方支付企业经营网络支付业务的管理问题有关。8.2.1出台《非

金融机构支付服务管理办法》的必要性在“管理办法”颁布前，国内的第三方支付机构主要有PayPal（隶属易趣公司）、支付宝（阿里巴巴旗下）、财付通（腾讯公司）、易宝支付（Yeepay）、快钱（99bill）、百付宝（百度旗下）、网易

宝（网易旗下）、环迅支付、汇付天下等，各类第三方支付企业多达300余家。据中国电子商务研究中心调查显示，截至2011年上半年，国内第三方支付企业市场份额中支付宝排名第一，市场占有率为47.2%；排在第二的为财付通，市场份额为20.3%；第

三为银联在线，市场份额占据9%；而快钱、汇付天下、环迅支付、易宝支付、首信易支付、网银在线等紧随其后。这些数据显示，第三方支付领域群雄混战，涉及领域及利益群体广泛且呈现惊人的扩展态势，存在的风险和隐患也日益突出，需要行政力量介入管理，将网络支付纳入管理范围。8.2.2《非金融机构支付服务管理办

法》的主要内容及影响“管理办法”的颁布对第三方支付企业提了出较高的要求，总的来说，主要从注册资本、许可证申领条件、资金管理的限制、禁止以沉淀资金盈利等四个方面对第三方支付的行业准入和管理设置了门槛。8.2.2.1较高的注册资本“管理办法

”要求拟在全国范围内从事支付业务须有一亿的注册资本，在省内从事支付业务须有三千万的注册资本，且是实缴的货币资本；而此前ICP证所要求的省内经营注册资本仅为100万、全国或跨省经营注册资本为1000万。该管理办法的出台对资金雄

厚的第三方支付机构没有影响，对众多小型的第三方支付企业来说则是不低的门槛。8.2.2.2严格的许可证申领条件“管理办法”要求申领《支付业务许可证》的申请方的主要出资人应当符合以下条件：（1）截至申请日，连续为金融机构提供信息处理支持服务2年以上，或连续为电

子商务活动提供信息处理支持服务2年以上；（2）截至申请日，连续盈利2年以上。该条件暗含了这样的要求：即若要成立第三方支付企业，必须是银行愿意让该企业提供信息处理支持服务；或者与支付宝、财付通一样，拥有和挂靠自己的电子商务平台网站，自给自足提供信息处理支持服务。这个条件导致新的企业准入困难，需

要有相匹配的资金实力。8.2.2.3资金管理的严格限制“管理办法”第30条规定：支付机构的实缴货币资本与客户备付金日均余额的比例，不得低于10%。即支付机构必须有充足的资金押在银行里，否则交易额将受到限制。以支付宝为例，

若其单日交易额最高达到12亿，则其实缴货币资本必须保证有1.2亿元。这个条件可能会导致第三方支付企业分化严重，产生强者越强，弱者愈弱的马太效应。8.2.2.4禁止以沉淀资金盈利“管理办法”第24条规定：“支付机构接受的客户备付

金（客户备付金即准备在买家收货确认后打给卖家的资金，也称交易保证金）不属于支付机构的自有财产，支付机构只能根据客户发起的支付指令转移备付金，禁止支付机构以任何形式挪用客户备付金。这使得所有第三方支付企业不可能再靠沉淀资金（

客户账户中的充值以及备付金）产生利息盈利，但管理办法对备付金的利息归属和管理仍没有规定。8.3网络金融机构及安全管理8.3.1网络金融与网络金融机构管理所谓网络金融,又称电子金融(E-finance),是指在国际互联网上实现的金融活动,包括网络金融机构、网络金融交易、网

络金融市场和网络金融监管等。它不同于传统的以物理形态存在的金融活动,是存在于电子空间中的金融活动,其存在形态是虚拟化的,运行方式是网络化的。它是信息技术特别是互联网技术飞速发展的产物,是适应电子商务发展需要而产生的、网络时代的金融运行模式。网络金融机构的管理应在两方面创新:一

方面要放弃过去那种以单个机构的实力去拓展业务的战略管理思想,充分重视与其他金融机构、信息技术服务商、资讯服务提供商、电子商务网站等的业务合作,在市场竞争中实现双赢;另一方面,网络金融机构的内部管理也趋于网络化,传统商业模式下的垂直式组织结构将

被一种网络化的扁平型组织结构所取代。由于信息技术的发展,网络金融机构对网络金融监管呈现自由化和国际合作两大特点,表现为:一方面,过去分业经营和防止垄断的传统金融监管政策被市场开放、业务融合和机构集团化的市场规则所取代;另一方面,随着在网

络上进行的跨国界金融交易量越发巨大,一国的金融监管部门已经不能完全控制本国的金融市场活动了,因此,国际间的金融监管合作就成了网络金融时代金融监管的新趋势。8.3.2网络金融机构的风险管理8.3.2.1必要性我国也应尽快出台有关管理办法,以

加强对金融机构信息技术风险的监管。其重要意义有三:(1)通过制定有关办法与指引,积极引导金融机构提高信息技术风险管理水平,使得信息技术能够更好地支持银行战略目标,使金融机构的信息资源能够得到充分有效的利用,在最大限度上规避由于信

息技术的应用而带来的策略风险、操作风险、信誉风险和法律风险;(2)通过研究国外银行业信息化建设现状与未来发展趋势,掌握规律,积极引导我国金融机构提升信息化建设水平,逐步提高其竞争力;(3)定期发布金融机构信息化建设情况及信息资产风险情况,提高金融机构的业务透明度。8.3.2.2网络

银行面临的风险随着网络银行的发展,其风险问题日益突出。网络银行的风险问题表现在三个方面:一是原有银行风险有了新的表现形式;二是产生了不少新的风险;三是网络银行存在风险放大效应。8.3.2.2.1原有银行风

险的新表现形式(1)攻击者增多。攻击传统银行的人往往局限于某一块地理区域,如特定的国家、省、市、县区域内,而网络银行的攻击者可来自世界各地。(2)攻击方法更隐蔽。(3)攻击范围增大。8.3.2.2.2网络银行面临的新风险网络银行在充分享受现代网

络技术的便捷时,也面临着网络技术带来的一系列的新的风险。下面简要作一介绍:(1)从技术的角度看面临的风险。技术风险突出表现在Internet的安全问题上。网络银行面临被闯入者攻击的危险,同时可能给闯入者攻击银行其他系统如银行内部决策信息系统提供了入口。其原因有

四:●认证环节薄弱。●系统易被监视。●信息易被截取。●操作系统存在漏洞。(2)从经济的角度看面临的风险。经济风险主要包括三方面:●银行结算风险。●银行管理风险。●信用风险。(3)从法律的角度看面临的风险。这主要指以下两种风险:●网络犯罪风险。●法律风险。8.3.2.2.3网络银行的风

险放大效应目前Internet已成为网络银行业务赖以运行的支撑体系,但采用网络技术的银行计算机系统也使得金融风险有放大的效应。原因有三:(1)在网络空间内,所有经济活动表现为货币信息的传递与调拨。在网络内流动的已不是货币现金,而是代表资金的数字化信息

,该信息所代表的货币量远远超过了实际的货币拥有量。(2)网络空间是一个申请网络账号即可进入的自由流动空间,该网络内的各个节点联结成一个整体,网络节点之间有着紧密的关联度。在一个网络节点发生的风险可能会波及整个网络,甚至导致银行整个经营网络瘫痪。

(3)高科技的网络技术所具有的快速远程处理功能,虽然为便捷、快速的金融服务和产品提供了强大的技术支持,但也加快了风险积聚的过程,风险积聚与发生可能就在同一时间内,在这种情况下,网络银行可能来不及察觉风险并采取防范、补救措施,就已遭受了一连串的资金损失。因为网络银行存在上述风险,所以必须加

强风险管理,否则,网络银行的存在和发展将受到严重的威胁。8.3.2.3网络银行的风险管理根据风险管理理论,风险管理是由风险识别、风险衡量、风险处理和风险管理效果评价四个阶段构成的。网络银行的风险管理也必须围绕这四个阶段进行。8.3.2.

3.1风险识别阶段8.3.2.3.3风险处理阶段8.3.2.3.2风险衡量阶段8.3.2.3.4风险管理效果评价阶段8.3.2.4信息技术风险监管的手段与内容借鉴国际通行做法,我国也应制定信息技术监管办法,用于指导银行业金融机构加强IT

治理结构建设,制定信息安全管理策略和程序,加强信息安全管理,防范和化解由于信息技术的应用所带来的技术风险。具体来说包括两方面:(1)督促银行业金融机构加强IT治理结构建设。(2)制定信息技术风险管理一般办法。办法应覆盖信息安全策

略、组织安全、人员安全、物理与环境安全、存取控制、信息分类与控制、通信与运营安全、业务持续性计划等几个方面。◼●信息安全策略。◼●组织安全。◼●人员安全。◼●物理与环境安全。◼●资产分类。◼●通信与运营管理。◼●存取控制。◼●系统开发和维护。◼●业务持续性管理。◼●合规性管理。8.3.3我国网

络金融机构管理的问题及对策8.3.3.1我国网络银行的发展及问题随着我国电子商务大发展,我国网络银行业务已由广告宣传走向实际应用,且业务发展速度惊人。目前,我国银行业的网络金融业务主要包括:对公及个人账务查询、企业内部资金转账、银行转账、信用卡申请、代收费业

务、网上购物支付及各种信息咨询业务。从网上业务内容来看,我国银行的网上服务还处于初级阶段,即对初级的银行业务的网络化阶段,这一阶段的特点是:业务种类不多,业务量较小,网上业务还不能成为银行盈利的手段。我国网络银行业务的发展虽只有短短的几年时间,但这几年的发展也暴露出我国银行业在

技术、管理等诸多方面的问题。根据中国互联网信息中心的统计报告和市场调查,我国互联网用户最为关心也最为不满的两大问题是安全与支付,这二者均与金融系统有着密切的关系。8.3.3.1.1安全问题这是最关键的问题。网上交易的安全性主要包括三个方面,即确保银行身份的正确、确认客户身份和保证数据的保

密性及完整性。这些安全要求目前都有相应的实现技术。要确保安全,必须有一套健全的安全管理制度来规范人的行为,并且还应当有一套安全稽核的方法进行事后监督以便及时发现问题。而这些往往在人们讨论网上银行的安全时容易被忽略。在安全系统中认证中心(CA)的作用是非常重要的,数字认证最大的服务对象是电子商务用户

,第三方的认证中心将会在商家与消费者之间建立一个信任的桥梁,所以,可以说所有的电子商务活动均离不开认证中心的参与。网上的交易必须有统一的认证系统来保证安全,而目前我国尚未建立国家级的认证中心体系,这是一大不足。现在各金融机构的支付结算

业务要么主要在本行系统账户进行;要么像招商银行那样实行最高交易额的限制性措施,这些都极大地阻碍了电子商务的发展。8.3.3.1.2支付与结算支付和结算问题是阻碍电子商务发展的最大因素之一。从目前各主要的电子商务网站和门户网站的支付方式来看,网

上支付只是众多支付方式中的一种,还远远不能满足网上购物的需要。网上支付不能满足电子商务发展的主要原因,除了安全问题以外,就是我国金融业的支付系统和支付工具已十分落后,经营管理方式过时。网上支付还有另一个亟待解决的问题就是结算效率。目前主要发卡行的结算速度有很

大的差别,有时购货款的结算时间偏长,虽然客户信用卡上的钱已经划出,但相关网站却一直得不到确认通知,给不少消费者和网站造成了相当大的困扰,影响了交易的成交。8.3.3.2转变金融管理者和经营者的管理观念在我国即将

进入信息时代的时候,这一问题显得尤为重要。在网络经济环境下,管理理念将发生巨大的变化,特别是在对待竞争与合作的关系上,需要更加深入的认识。8.3.3.3对我国网络金融机构管理的建议我国网络金融机构的管理,应该把网络支付系统的建设摆在重要位置,同时要注重建设现代化的金融

法制体系,并改革专业化金融体制。8.3.3.3.1加快支付系统和金融网络系统的建设现代化的支付系统是现代化金融系统的物质基础,也是未来网络经济的重要组成部分。到目前为止我国仍然没有实现真正的支付现代化,支付系统的建设仍需要加快进行。近期内

,我国支付系统建设应加快解决以下几方面的问题:(1)网络基础设施的建设问题。(2)支付工具问题。(3)安全问题。8.3.3.3.2建设现代化的金融法制体系市场经济是法制经济,未来的以电子商务为代表的网络经济

将更加强调法制。我国在法制建设上仍然比较落后,这种落后不仅仅表现在法律体系不完善上,还表现在法律的制定常常跟不上社会环境的发展和变化,以致由保护社会发展的力量变成了阻碍社会发展的力量。如1995年制定的《票据法》中就有明显不适应网络经济发展的内容:它规定票据的出票人或持票人必须按照法定条件在票据上

签章,票据方有法律效力。这一规定事实上否定了经过数字签章认证的非纸质的电子票据的支付和结算方式,很可能会在很大程度上阻碍电子商务和网络金融业务的发展。因此,必须尽快修改现有法律条款或重新制定适合电子货币结算特点的法律法规。8.3.3.3.3改革专业化金融体制由于信息技术的飞速发展,金融结构将发生很

大的变化。这种变化在美国已十分明显,由此引起了其金融政策的改变,整个金融系统由分业经营开始向综合化、全能化经营方向发展。这种发展是市场发展的必然结果。我国加入世贸组织以后,外资金融机构也将全面进入我国的金融市场。我国的金融机构如果还只能提供专业化的服

务而不能提供全能型的服务,在激烈的竞争中就只能处于不利的地位。因此，我国金融机构必须设计与我国国情相适应的全能型模式,在保持金融系统稳定发展的前提下逐步改革专业化的金融体制。8.4电子合同安全管理随着电子技术和电子商务活动的发展，电子合同得以出现。电子合同与传统的合同有

着显著的区别，电子合同的当事人、要约、承诺及合同的效力问题都是现代立法中的一个难点，这也使得电子商务活动中相关电子合同的安全管理有其特殊性。8.4.1电子合同的基本概念电子合同，又称电子商务合同，是指通过电子计算机网络系统设立的平等民事主体之间权利义务关系,并以电子邮件和电子数据交换等形

式签订的协议。根据联合国国际贸易法委员会《电子商务示范法》以及世界各国颁布的电子交易法，同时结合我国《合同法》的有关规定，电子合同可以界定为：电子合同是双方或多方当事人之间通过电子信息网络以电子的形式达成的设立、变更、终止财产性民事权利义务关系的协议

。通过上述定义可以看出电子合同是以电子的方式订立的合同，其主要是指在网络条件下当事人为了实现一定的目的，通过数据电文、电子邮件等形式签订的明确双方权利义务关系的一种电子协议。8.4.2电子合同的基本特征电子合同与传统合同相比，有相同的地方，同时又具有其特点。如电子合同虽然也

是一种民事法律行为，也必须具备要约和承诺两个要件，但是在形式上发生了很多的变化，要求技术化与标准化。其基本特征如下:(1)电子合同的要约和承诺是以数据电文的方式通过计算机互联网进行的。(2)电子合同交易主体具有虚拟性和广泛性。(3)电子合同的

成立、变更和解除无需采用传统的书面形式，具有电子化的特点。(4)电子合同生效的方式、时间和地点与传统合同不同，勿需经过传统的签字。（5）电子合同必须设定相应的标准，需要相应的技术支持。8.4.3电子合同安全管理面临的挑战电子合同面临的安全挑战:就现阶段来说保证

电子合同安全的相关技术已发展成熟，如电子签章技术、数字水印技术等，但是与这些技术相配套的管理工程没有建立，从而就很难保证电子合同的监管工作。这些配套措施实施起来需要多方面的配合，比如要合理的管理电子合同、要赋

予电子合同同等的法律效力，保证电子合同的合法有效、比如还要求有一套完善的解决电子合同争端的措施等。而且目前与电子合同相关的法律依然不完善，这就从很大程度上影响了电子合同的交易和监管力度。电子合同面临的监管问题主要体现在以下几个方面:一是电子合同主体法与电子合同监督和管理的程序法不

能适应目前阶段的需求。二是目前的工商管理登记制度不能对电子交易主体进行监督和管理，并且也没有统一的认证机构。三是工商执法人员对电子交易不是很了解，不能快速地对电子市场信息加以有效收集、整理和分析，从而影响电子合同监督和管理的力度。8.5电子商务交

易系统安全管理涉及的关键技术电子商务系统安全管理涉及的关键技术主要包括数字水印版权保护技术、透明加密技术、动态口令身份认证技术等。8.5.1数字水印版权保护技术在电子商务系统中，数字知识产权（包括网站上的艺术图形、图标和音乐）所面临的困境是如何在网站上发表知识产权作品，同时又能保护这

些作品。数字信息由于可以方便地完全复制，并在网络环境中广泛散发，大范围的严重侵权拷贝，而数字水印技术（DigitalWatermarking）则可为版权保护、信息隐藏等问题提供一个潜在的有效解决方法，因而受到了音像、出版、影视和软件等

行业的高度关注。8.5.1.1数字水印技术的概念数字水印技术是一种有效的数字信息产品版权保护和信息资源安全维护技术，通过在数据信息（如文本、图像、声音、视频信号等）中嵌入能证明版权归属或跟踪侵权行为的信息，如序列号、公司标志、有特殊意义的标识等，来达到版权保护、信息隐藏、防篡改和

鉴别数据文件的真伪等作用。同时，通过对数字水印的检测和分析，保证数字信息的完整可靠性，从而成为知识产权保护和数字信息防伪的有效手段。在绝大多数情况下，希望增添的信息是不可见的或者不可察觉的。在有些特定场合，数字水印的版权保护标记是可见的，并且在不破坏数据本身质量的情况下，无法将

数字水印去掉。8.5.1.2数字水印技术的基本特点通过一定的算法将一些标志性信息直接嵌入到多媒体内容当中，但不影响原内容的价值和使用，并且不能被人的感知系统觉察或注意到，只有通过专用的检测器或阅读器才能提取。其中，水印信息可以是作者的序列号、公司标志、有特殊意义的文本、数字等信息

，可以用来识别数字媒体作品的来源、版本、拥有者、发行人等对数字产品的拥有权。8.5.1.3数字水印技术的作用数字水印的作用对象（载体），包括文本、图像、音频、视频以及其它多媒体数据，可以判别数字产品是否受到保护，监

视被保护数据的传播、鉴别媒体内容的真伪和非法拷贝作品、解决版权纠纷并为法庭提供证据等。例如，数字产品的所有者可用密钥产生一个水印，并将其嵌入原始数据中，然后公开发布其含水印的作品；也可以在作品的每一复制件中加入唯一的水印来保护作者的合法权益，一旦出现

未经授权的复制件，就可以根据此复制件而恢复的水印，确定其复制的来源。8.5.2透明加密技术8.5.2.1透明加密技术的含义透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者

在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在存储介质上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的目

的。8.5.2.2透明加密技术的应用系统在Windows2000/XP系统中，微软推出加密文件系统(EncryptingFileSystem,EFS),支持文件系统加密。该系统使用方便，用户不需要掌握加密体系框架就能对数据进行加密。EFS采用对称加密算法和非对称加密算法相

结合的方式进行加密。首先，系统随机产生一个文件加密密钥(FileEncryptionKey,FEK)对文件进行加密，然后用公钥对FE进行加密，并把加密后的FEK和加密文件一起存储，形成一个特殊的属性字段，即数据解密

字段(DataDecryptionField，DDF)。解密时，首先用私钥对FEK进行解密，然后用解密的FEK完成对加密数据的解密。但EFS只能对指定的NTFS格式文件加密，不能对某一类文件自动加密，加密算法固化，不符合我国信息安全领域的要求；而且微

软未公开该加密系统源代码，第三方开发者很难对系统自由升级改造。在Windows操作系统环境下，NDIS网络驱动接口规范己经是比较成熟的技术。目前应用NDIS驱动技术的产品多数集中在网络数据包的过滤、网络监测器、个人防火墙的研究与实现方面，而将其应用在数据文件过滤加密方面较少。另外，

国内一些研究学者利用文件系统过滤驱动实现的文件加密系统，一般都停留在理论研究阶段。8.5.3动态口令身份认证技术8.5.3.1静态口令的不足与动态口令的产生在身份认证方法中，最传统且普遍的方法是采用“用户名+静态口令”的方式来进行用户身份的认证。对于这种传统的静态口令，

如果用户不去修改它，那么这个口令就是固定不变的、长期有效的，因此，它是一种静态的认证信息。正因为这种认证信息的静态性，导致传统口令在很多情况下都有着发生口令泄密的危险。例如，本书第7章的导入案例，受害人遭遇了一个网上银行的钓鱼网站，其伪造与银行比较相似的主页和域名，如果用户不

小心进入了其网页，输入自己的银行帐号和口令进行网上银行操作，这时用户的帐户口令就被非法窃取，其帐户内的资金被转移，可能造成巨大的经济损失。因此，使用静态口令认证具有以下缺陷：◼(1)输入泄密。◼(2)传输泄密。◼(3)特征性泄密。◼(4)共享性泄密。◼(5

)记录泄密。◼(6)可被穷举攻击。◼(7)泄密不可知性。◼(8)不方便性。◼(9)长期性。8.5.3.2动态口令身份认证的实现方式◼动态口令的实现方式归纳起来主要有以下三种:◼(1)口令序列认证方式。◼(2)时间同步认证方式。◼(3)挑战/应

答认证方式。8.5.3.3动态口令身份认证技术的特点◼研究与实践证明，动态口令认证技术主要具有以下特点：◼(1)动态性。◼(2)随机性。◼(3)一次性。◼(4)抗偷看窃听性。◼(5)抗穷举攻击性。8.5.3.4典型动态口令身份认证应用系统动态口令身份认证系统具有系统配置和成本较低及使用

方便的优点，近年来应用广泛。典型的动态口令身份认证系统的相关产品有:◼(1)美国RSASecurity公司的RSASecureID双因素身份认证系统，将硬件令牌、软件令牌和智能卡技术相结合的身份认证产品。(2)北京亿青创

新信息技术有限公司的易码通(EasyPass)动态口令系统，采用时间同步技术，用户以动态口令令牌登录系统。UToken-1是基于USB接口的客户端身份认证设备；Utoken-2是基于公钥体系(PKI)，内含智能卡芯片的USB接口的网络身份识别设备，以智

能卡芯片代替了UToken-1中的EEPROM，完成密码运算和信息存储的功能。(3)酷安口令系统。此系统是由国家反计算机入侵与防病毒研究中心和北京某电脑软件开发有限公司联合开发的。此系统为每个用户生成了海量的口令库，这个口令库的一个拷贝存放在用户的口令卡中。用户登录时先向系统请求个人认证序列号

，系统中的序列服务器随机生成个人认证序列号提供给用户，然后由用户的密码卡(或手机)根据个人认证序列生成用户一次性口令。(4)2008年初，中国银行开发了全国统一的新版网银系统，首次大规模应用了动态口令牌(E-To

ken)，用户在登录以及重要交易操作中均需输入动杰口令进行验证。此外，国内外的研究机构和相关企业也相继推出了基于动态口令的身份认证系统，应用领域包括电话委托证券交易系统、电话银行、远程终端登录、远程拨号服务、网上银行、网上证券交易等。近年来

网上诈骗案件的数量呈明显上升,克利麦克的诈骗只是其中的一个典型例子。这些案例中,大多数罪犯并不是依赖所掌握的高科技攻击安全技术措施的漏洞,而是利用安全管理系统的疏漏、安全管理制度的欠缺、电子商务交易参与人员的大意,乘虚而入,

诈骗获利。易趣网总结的《网络交易安全ABC》也是侧重于强调电子商务交易系统安全的管理。可见,在电子商务交易的各个环节都要加强安全管理。本章从电子商务交易系统的安全管理出发,对网络交易中介服务商的管理、网络交易客户的管理、网络金融机构的管理等几个方面进行了较系统的介绍。其

中着重介绍了网络交易中介服务规范以及有关交易规则的制定与管理,并从构建网络时代的客户关系管理体系以及网络环境下的企业客户关系管理方面进行了阐述,还阐述了网络金融机构的风险管理和我国网络金融机构管理的问题及对策。◼1.什么样的企业属于网络交易中介服务商?列举两三个著名网络交易中介服务商企业,

并说明它们提供什么样的中介服务。◼2.在电子商务活动中客户关系管理的主要任务有哪些?请为一个企业提供改善客户关系管理的建议。◼3.与实体银行相比,网络银行有哪些额外风险?有什么办法可以规避网络银行的风险?