电子商务信息安全解决方案

   电子商务 ( 包括 B2B 、 B2C 、 C2C 等 ) 已经在我国获得了快速发展，各种网上购物网站大大满足了人们足不出户就可以在网上购买到价廉物美的商品的愿望。 2005 年 7 月的《中国互联网络发展状况统计报告》显示，有 53.1% 的受访者经常访问购物网站，有 48.4% 的选择的支付方式是使用银行储蓄卡或信用卡在线支付，而有 26.9% 的用户认为网上交易存在的最大问题是“安全性得不到保障”。从这些统计数据可以看出：虽然人们已经越来越接受电子商务 ( 网上购物等 ) ，但还是担心安全性得不到保障。人们的担心是有道理的，也已经出现了许多问题，主要问题总结如下：

1、  机密性问题 ：用户在使用电子商务 ( 网上购物等 ) 系统时要求用户输入用户帐号和密码以及银行卡帐号等机密信息后，用户端电脑就把此机密数据通过 互联网 传到网上购物网站的服务器，这个传输过程中要经过许多网络设备和传输链路 ( 特别是有些不安全的宽带接入方式使得整个办公楼或居民小区的所有用户实际上是在一个共享的局域网上 ) ，如果此类机密信息不加密传输，则非常容易和极有可能在传输过程中被非法截取而获得用户的网上购物登录帐号和密码以及用于网上支付的银行卡信息，这就可以解释为何用户没有“泄露”密码，但银行帐户上的钱还是不翼而飞了。

2、  完整性问题： 如果在用户端电脑到网上购物网站服务器之间的购物信息和银行帐号信息传输不加密的话，则非常容易和极有可能在传输过程中被非法恶意篡改，把应该转帐给购物网站的钱篡改为转帐到其他银行帐号，而用户还不知晓，以为已经付款，因为用户提交时是填写正确的，但购物网站却没有收到购物款。

3、  真实身份认证问题： 涉及到两个真实身份的认证问题，一个是网上购物用户的真实身份，另一个是网上购物网站的真实身份。非法用户可以伪造、假冒网上购物网站和用户的身份，因此用户无法知道他们所登录的网站是否是可信的真实的网上购物网站，而网上购物网站也无法验证登录到网上购物网站的用户是否就是合法身份，仅凭“用户名＋口令”的传统身份认证方式根本就没有任何安全性。而有些网上购物网站声称“对由于用户泄露口令而导致损失不付责任”的说法是不负责任的做法，建议用户不要使用有此类声明的网上购物网站。网上购物网站应该采取切实可行的技术手段来保证即使用户口令被泄露 ( 更何况犯罪分子可以有许多途径得到用户的口令，而不是用户的过错 ) 非法用户也无法通过真实身份认证，同时也要采取技术措施让用户非常容易识别是真正的网上购物网站还是假冒的网上购物网站，仅仅提醒用户记住复杂的英文域名和网址是不够的，因为假冒的网上购物网站的域名往往与真实网上购物网站只差 1 个字母。更何况，有些购物网站的物品非常便宜根本就是为了骗取用户的银行卡信息，所以真实网站身份认证就非常重要了。

4、  交易的不可否认性问题： 网上购物网站用户有可能会否认其在线交易行为，这里有许多原因，可能是用户本身的原因，也可能是网上购物网站方面的原因，每笔交易一定要有可靠的签名记录用于纠纷仲裁的法律依据。

       针对以上安全隐患和可能出现的问题， WoSign 推出了基于 PKI 技术外包服务的电子商务 信息安全解决方案，完全解决解决了以上 4 大问题：

(1)  为电子商务 ( 网上购物 ) 网站服务器 (Web 服务和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强制128位加密的SSL证书，确保全球用户在任何地方都可以使用任何浏览器实现网上购物服务，支持从浏览器到服务器之间机密信息的高强度加密传输，从而有效地防止了银行卡信息、网上购物帐号、密码和交易数据的机密性和完整性。

( 请广大网上购物用户铭记：从事网上购物时一定要看看浏览器右下方是否有“安全锁 标志”，如果没有，请一定不要使用此网上购物网站，因为您输入的所有交易信息和帐号信息都极有可能和非常容易被非法窃取和非法篡改！ )

(2)  电子商务 ( 网上购物 ) 网站应该为每个网上购物用户颁发一个全球通用的 ( 在任何地方，即使在国外也可以使用 ) 单位数字证书用于登录网上购物网站的真实身份认证和用于每个交易的数字签名，从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题， 强烈推荐用户使用 USB 移动数字证书来确保是真实的您安全地从事网上购物服务 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口，交易完毕就拔下 ) 。

(3)  在电子商务 ( 网上购物 ) 网站的显著位置显示安全认证签章，让用户一眼就看出他 / 她正准备联上的网站确实是该用户计划交易的网上购物网站，而不是假冒的网上购物网站。现在假冒一个一模一样的网站只需几秒钟时间，而网站身份认证签章在假冒网站上是不能显示的。

以上解决方案涉及到的产品有：服务器 SSL 证书、客户端数字证书、网站身份认证，请浏览以下页面了解产品详情，我们不仅提供产品，而且免费提供开发和应用指导：

服务器 SSL 证书： https://www.wosign.com/OVSSL/OV_ZhenSSL_Pro.htm

企业CA托管解决方案：https://www.wosign.com/Products/EPKI_Organizations.htm

客户端数字证书：http://www.wosign.com/products/clientcert.htm

强身份认证技术选型指南：http://www.wosign.com/solution/Strong_authentication_solution.htm

使用客户端数字证书实现强身份认证登录演示：https://www.wosign.com/logindemo/

         如果您就是电子商务 ( 网上购物 ) 网站的信息主管，并对我们的解决方案感兴趣，请 联系我们 ，我们会把更详细的方案发给您；如果您是电子商务 ( 网上购物 ) 网站用户，请注意以上的安全提示，并请督促您的电子商务 ( 网上购物 ) 网站采取有效的安全防范措施，只有用户和电子商务 ( 网上购物 ) 网站齐努力才能确保网上购物和网上交易的信息安全，我们愿意为此做出应有的贡献。