时间:2024-02-22 14:41:56
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网上支付安全措施,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
支付安全受到各方重视安全措施频频亮相
不只是支付企业重视支付安全,最近,银行方面也加强了网上支付安全方面的投入,相继推出的各项措施都十分引人注目。
9月19日,招商银行安全通告,2007年9月20日对安全控件进行升级。
2007年11月1日,中国农业银行正式推出一款保障电子银行安全的新产品――动态口令卡,还特别推出口令卡免费领取活动。
2007年10月11日,中国工商银行了关于预防在线支付网页诈骗资金的安全提示,提醒人们注意识e不法分子通过即时聊天工具、电子邮件等向客户的虚假信息。
此外,中国人民银行副行长苏宁也指出,“人民银行非常关注网上货币的发展,正在研究各种措施,使它规范运行,既给企业、居民提供一个良好的新的支付工具,同时又防范风险,保护老百姓权益。”
支付安全受到如此重视,一方面是因为电子商务蓬勃发展,网上支付已经成为人们生活中的重要工具;另一方面,则是因为支付安全仍然是阻碍人们使用网上支付的主要因素。《2007中国消费者网上支付应用调查报告》调查表明,61.7%的被访者在进行网上购物时首选网上支付,79.5%的被访者认为安全或便捷是影响网上支付主要因素。安全、便捷的支付方式,成为当前网上支付市场主要的需求点。
网上盗号风起云涌网上犯罪或进入高发期
近年来国内网上支付市场交易额增长迅猛,2007年Q3中国第三方网上支付市场交易额达到了255亿元,但是网上盗号也是风起云涌。中国金融认证中心总经理李晓峰说,网银在给公众和企业带来方便的同时,也引起了不法分子的窥视。“过去针对网上银行犯罪的黑客,开始是非获利性质的,但现在正向获利性、团伙性和产业化方向发展,网上银行的犯罪分工日渐细化。如果一个领域犯罪的分工细化到这个程度,这个领域就可能进入一个犯罪的高发期。”因此,及时制定安全保护措施是当前网上支付工作的重中之重。
业内人士指出,要避免这些问题,需要各方面的协同配合:银行方面要采取足够的安全手段,或者根据不同用户特点、交易特点提供不同的安全手段;政府需要加强行业监管,尽快颁布实施相应法规,用户则需要提高安全保护意识等;但是最直接、最有效的措施还是从技术上进行防护。
安全保护出现三大类型安全技术完成三级跳
目前,人们使用的安全保护技术主要分为三大类:一类就是最初出现的动态密码,现在已经普遍为各类网站采用;第二类就是数字签名、数字证书,例如建行推出的UKEY、支付宝推出的数字证书等;第三类是硬件保护措施,例如工行推出的U盾、快钱推出的快钱盾等;三类保护技术的安全系数基本上呈递增关系。此外,刚刚开始应用的生物特征识别技术也值得关注,但目前其安全系数还比较难确定。
动态密码作为基础的保护措施,能防止最基本的暴力破解,但是也基本处于不断变换外表、防止机器识别的状态。
数字证书被认为是目前安全级别相当高的保护措施,但是并非无懈可击,数字证书的使用都是在用户登陆支付页面时下载并安装,防御手法还是被动式防止破解。安全专家分析说,手段高明的骇客仍旧可以截获用户没有来得及发出的数据。
U盾等的推出是对数字证书的一项提升,它将密钥存储于安全介质之中,无法从外部直接读取,对密钥文件的读写和修改都必须由内部的程序调用。但是由于与网络直接接触,还是要防止更加高端的暴力破解技术攻击。
不久前,快钱为严防木马和黑客,推出了国内第一款硬件安全设备“快钱盾”,将安全保护措施提升到了新的层次,也完成了支付安全保护措施――动态密码、数字证书、硬件保护产品的三级跳。
[关键词] 电子商务 第三方支付 安全性
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式――第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈――网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。
那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。
近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。
实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。
在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。
作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。
为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。
央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。
实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。
值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。
[论文摘要]在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
在电子商务中,网上交易的支付问题的安全性问题越来越突出,为确保顾客在购买东西的时候不会钱财两空,一种新的支付方式——第三方支付出现了,第三方支付平台的出现解决了电子商务的瓶颈——网上支付信用与安全问题,充当商家与消费者之间的信用纽带,作为交易各方与银行的接口,消除消费者对商家的疑虑,提供方便快捷简易的支付方式,在很大程度上推动了电子商务的发展。
那么,第三方支付具体指的是什么呢?所谓第三方支付,是指为了保障电子商务的支付安全,支付通过买卖双方之间完全中立的一家企业来完成。用E-mail来进行网上支付;打个电话报上信用卡号就能预订机票;用手机上网交水费电费游戏费……在中国人还没有完全适应从纸制货币进化到“塑胶货币”(信用卡)的今天,网络银行、手机钱包等第三方支付工具已经迫不及待地登场了。
近日,有媒体报道,有网民利用三方支付工具从信用卡套现。就此,该文进而对第三方支付的安全性问题提出质疑,认为电子支付有可能被金融犯罪分子所利用,充当其洗钱的工具。且不管该文提到的套现现象是否属于依然在可控范围内的小概率事件,也不提所谓的套现行为是否缘于第三方支付的安全漏洞,单就所谓洗钱的担心而论,可以说,该文是严重低估了央行以及各商业银行的风险控制能力,也大大低估了各大第三方支付公司的风险把控能力。
实际情况是,早在1996年4月1日,中国人民银行就颁布并实施了《信用卡业务管理办法》,其中明确规定,持卡人不允许利用信用卡套取现金以及恶意透支。对于信用卡套现这个问题,不光招商银行等商业银行关注有加,第三方支付公司支付宝、贝宝等亦是小心翼翼,如履薄冰,先后出台了多项严格的风险控制系统,协助银行解决问题。
在如何对待信用卡套现的问题上,国内领先的第三方支付平台如PAYPAL(贝宝)、支付宝、快钱等目前都采用了多种安全措施。
例如,PAYPAL(贝宝)在防止盗号、提供密码加密以及减少信用卡套现等方面,已经配合银行做了大量工作;快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度。
作为国内最大的第三方支付平台,支付宝的做法就更为完备。早在2006年7月,支付宝就推出“支付宝认证”服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。除了与公安部全国公民身份证号码查询服务中心合作校验身份证的真伪,支付宝还与各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确,摒弃了某些购物网站仅凭一个手机号码或者身份证号码进行简单认证的模式。支付宝公司还在国内率先推出了“全额赔付”制度和交易安全基金,网络欺诈发生率仅为万分之二。
为了保证支付宝的安全性,支付宝技术团队还自发研制了数字证书,其安全性能得到各银行认同。相对于目前国内所有第三方认证公司采用的认证形式,支付宝的数字证书从技术上摆脱了普通6位密码验证,改以1024位加密的数字签名技术,因而更为安全。而数字密码的惟一性,也更有助于客户身份的识别。
央行的《电子支付指引》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币,并规定信用卡的网上支付不得超过提现额度。国内目前没有一家银行和任何一家网上支付公司允许网上“单日支付额度由信用卡额度决定”。在这方面,支付宝也早已主动和和很多发卡银行联手,针对套现现象做了信用卡网上支付单笔限额的规定,例如,招商银行的信用卡支付限制的是单笔最高限额499元。为了保证支付宝的安全性,支付宝还有CTU风险控制系统来随时扫描和监控交易的进行,防范可能存在的盗卡及套现行为。
实际上,从2006年5月开始,支付宝就已委托中国工商银行对支付宝公司开立在各家银行的客户交易保证金账户的余额进行核查,工行并定期出具《支付宝客户交易保证金托管报告》。这是中国银行界第一次为第三方支付平台做资金托管的审核报告,也是当前唯一银行愿意托管的第三方支付平台。2006年12月8日,从工行对11月1日~11月30日期间所有发生的支付宝公司的客户提现及余额支付进行的抽查情况看,支付宝存放在各家银行的客户交易保证金余额总和等于支付宝客户存放在贵公司的资金余额与待处理款、未达款余额之和,报告期间内未发现支付宝客户交易保证金被挪用情况。
值得一提的是,截至目前工行、农行都已经开始把以支付宝为主的阿里巴巴中小企业信用体系作为他们给中小企业贷款的一个衡量指标;而浦东发展银行等也看到了里面的巨大商机纷纷加入。
[关键词] 网上书店; 信息安全; 问题; 对策
网上书店是电子商务的一种具体形式,它是企业通过在互联网上开设网上书店,消费者通过网络浏览图书信息,并在网上下订单,采用多种方式支付的一种经营模式。网上书店利用信息技术,将出版者、供应商、作者、读者及其他相关环节如银行、运输业等联系在一起,改变了图书运作流程与交易模式。
目前以网上书店为代表的出版物在线销售面临着良好的发展机遇,随着网上书店在我国的普及,其信息安全问题显得尤为重要。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而互联网是开放性的技术,网上书店则建立在这样一个开放的网络环境之中,很多人可以匿名、隐身连接在互联网上,造成诸多不安全的因素,其中既有网络自身的技术安全问题,比如病毒、黑客攻击,还包括网上书店这一电子商务交易形式自身的众多信息安全问题。
一、网上书店的信息安全问题
由于网络的虚拟性,网上书店交易的双方并不见面,其交易完全通过网络进行,网上书店的运营模式与传统图书发行相比在信息、购买支付、物流发送等环节更依托网络手段。因此信息的真实性、可靠性受到特别的重视。目前在图书信息的真实性、书商及购书客户身份的合法性、网上支付购书费用信息的完整性与不可否认性,特别是安全认证问题和网上支付的安全性等方面都不能完全消除人们的疑虑。
对于网络自身的技术安全问题,可以采用防火墙、防病毒、访问控制和防攻击等常用网络安全措施来解决。而网上书店购书的安全问题主要来自于:购书客户私人信息被截获和窃取;购书物流中订单信息的篡改;网上书商及购书客户的信息假冒;购书交易网上的在线支付安全和支付抵赖等,都需要采取专门的措施来应对。
二、网上书店信息安全问题的解决对策
1. 加强个人身份验证
通过对网上支付认证手段的分析来看,身份确认是信息安全的薄弱环节,而银行的数据也表明支付否认是发生交易争议的主要原因。采用个人身份验证技术能够保护购书客户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。认证手段通常有4种: 一是用户名和密码;二是动态密码,分为有源动态密码和无源动态密码;三是多因子的论证,包括手机短信和个人信息等;四是证书认证。
首先,在网上书店交易过程中,每个购书客户都有自己独有的用户名和密码,而在提交任何关于自己的敏感信息或私人信息尤其是信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。购书客户的浏览器和web站点的服务器都要支持有关的工业标准,如set(secure electronic transaction)和ssl(secure sockets layer)等。在客户购书下订单确定以及付款,书商正式发书之后,购书系统都应该有实时的手机短信提醒,双方进一步确认。
其次,采用数字证书身份认证加上口令加密的双因子身份认证技术。每个购书客户可申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。作为一个安全的网上购书系统,需要由一个权威的第三方担任信用认证机构来确认买卖双方的身份,即电子商务的安全证书认证中心(ca中心)。 ca中心的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,确保交易合同的完整性,防止单方面对交易信息的生成和修改。这个第三方可以是政府部门,也可以是行业主管部门,还可以是交易双方共同信任的其他组织。
2. 网上书店购书过程中的数据加密
书刊的物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。 加密技术就是把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网上书店物流信息的通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术也分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。密钥的保密是很关键的,否则,网络攻击者掌握加密、解密算法,又得到密钥,会使购书客户遭受损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
还可以采用短信加密技术 ,用户购书过程中的订单、付款等可以短信的形式确认,而丰富多样的短信息服务的实现借助于sim卡片以及在sim卡片上开发应用和菜单的stk(sim card tool kits)技术。sim卡片加密技术的直接应用就是对短信息完成加密和解密,无线网络和短信中心为应用服务器提供了接收和发送短信息的通道,手机内发出和接收的短信报文利用sim卡片加密和解密,在应用服务器一侧可以借助专用的交易安全服务器来完成对短信息报文的加解密。除了加密和解密外,系统还通过mac算法完成报文的完整性校验。 由于sim卡片具备完成des、3des等多种加密运算的功能,应用stk技术可以在sim卡片上开发信息安全功能。
3. 完善网上支付手段
网上书店的一个重要环节是网上支付。在网上支付的技术方面国际上已经形成了一些比较成熟的安全机制,我国的电子商务企业已经广泛应用了这些安全保障技术,主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括:基于信用卡交易的安全电子交易协议(secure electronic transaction,set)、用于接入控制的安全套接层协议(secure socket layer,ssl)、netbill协议、安全http(s-http)协议、安全电子邮件协议(如pem、s/mime等)、用于公对公交易的internet edi等。
从购书客户角度来说,使用网上支付时首先要核对正确网址,要开通网上银行功能,通常事先要与银行签订协议。用户在登录网银时应留意核对所登录的网址与协议书中的法定网址是否相符。其次做好交易记录,应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”,定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。另外管理好数字证书,应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。
购书客户还可以通过与银行合作,使用u盾等一系列安全措施;可以采用货到付款支付方式;也可以与拥有相当用户的支付工具合作,如易趣的“安付通”、淘宝的“支付宝”都已经与工商银行、招商银行等国内的许多银行建立起战略合作关系,充当起第三方保障的角色。以支付宝为例,其具体流程是:首先,书商与购书客户就购书达成协议后,购书客户先把书款打到支付宝这个第三方账户上,等购书客户向支付宝和淘宝发出信息确认收到书并且收到的书与所购买的书相符时,支付宝再把货款划至书商的账号。当然,这些都需要依赖网上支付的法律保障,相关的法律建设需要进一步加强。
4. 建立网上书店的实名制和信用制度
许多网上书店的商家利用网络的虚拟性,使用不切合实际的书刊产品广告描述来误导购书用户。很多购书客户也常会因为刚刚接触网上购物而上当。除此之外,也有一部分蓄意欺诈的书商收到了购买者汇来的钱而故意不发货。对于这类情况,可以对网上书店的商家采用实名登记注册,并通过一系列的信用等级评价机制,透明地、如实地反映书商的信用情况以及过去的每一笔交易的明细,以减少这种不安全性,买家可以参考这些信息,或与曾经与此卖家交易过的买家沟通。然而这些方式都只能降低商家网上欺骗成功的概率,不能从根本上杜绝。要想彻底根治,还是要从商家本身以及网上书店交易平台的总体设计入手来改进。
5. 提高网上书店管理人员的技术素质
网上书店应该定位于高科技产业,而不是传统的流通业。网上书店的经营需要计算机操作人员、网页编辑、数据库维护人员,特别是懂得网络经营管理人员的商务人员。为提高网上书店的信息安全性,不仅要求其工作人员熟练掌握it技术,如网络协议osi、tcp/ip,网络与互联设备,e-mail、telnet、fpt等服务方式,还要求熟悉电子商务的运作平台(信息流网络、知识流网络、资金流网络、物流网络、契约网络),电子商务管理(erp系统管理、scm供应链管理、crm客户关系管理)等, 所以网上书店售书方应该聘请或培养专业人员对书店网站进行管理和维护,并积极与银行系统合作,开发操作性强、安全性高的在线客服系统和支付系统,提高网上书店的服务质量和购书双方的安全保障水平。
主要参考文献
[1] 胡红升,马东平. 电子商务安全策略[j]. 电子商务世界,2001(2).
[2] 吉绚,胡曼,刘广宇. 网上购物安全性现状分析[j]. 中国水运:理论版,2006(12).
[关键词]网上书店;信息安全;问题;对策
网上书店是电子商务的一种具体形式,它是企业通过在互联网上开设网上书店,消费者通过网络浏览图书信息,并在网上下订单,采用多种方式支付的一种经营模式。网上书店利用信息技术,将出版者、供应商、作者、读者及其他相关环节如银行、运输业等联系在一起,改变了图书运作流程与交易模式。
目前以网上书店为代表的出版物在线销售面临着良好的发展机遇,随着网上书店在我国的普及,其信息安全问题显得尤为重要。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而互联网是开放性的技术,网上书店则建立在这样一个开放的网络环境之中,很多人可以匿名、隐身连接在互联网上,造成诸多不安全的因素,其中既有网络自身的技术安全问题,比如病毒、黑客攻击,还包括网上书店这一电子商务交易形式自身的众多信息安全问题。
一、网上书店的信息安全问题
由于网络的虚拟性,网上书店交易的双方并不见面,其交易完全通过网络进行,网上书店的运营模式与传统图书发行相比在信息、购买支付、物流发送等环节更依托网络手段。因此信息的真实性、可靠性受到特别的重视。目前在图书信息的真实性、书商及购书客户身份的合法性、网上支付购书费用信息的完整性与不可否认性,特别是安全认证问题和网上支付的安全性等方面都不能完全消除人们的疑虑。
对于网络自身的技术安全问题,可以采用防火墙、防病毒、访问控制和防攻击等常用网络安全措施来解决。而网上书店购书的安全问题主要来自于:购书客户私人信息被截获和窃取;购书物流中订单信息的篡改;网上书商及购书客户的信息假冒;购书交易网上的在线支付安全和支付抵赖等,都需要采取专门的措施来应对。
二、网上书店信息安全问题的解决对策
1.加强个人身份验证
通过对网上支付认证手段的分析来看,身份确认是信息安全的薄弱环节,而银行的数据也表明支付否认是发生交易争议的主要原因。采用个人身份验证技术能够保护购书客户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。认证手段通常有4种:一是用户名和密码;二是动态密码,分为有源动态密码和无源动态密码;三是多因子的论证,包括手机短信和个人信息等;四是证书认证。
首先,在网上书店交易过程中,每个购书客户都有自己独有的用户名和密码,而在提交任何关于自己的敏感信息或私人信息尤其是信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。购书客户的浏览器和Web站点的服务器都要支持有关的工业标准,如SET(SecureElectronicTransaction)和SSL(SecureSocketsLayer)等。在客户购书下订单确定以及付款,书商正式发书之后,购书系统都应该有实时的手机短信提醒,双方进一步确认。
其次,采用数字证书身份认证加上口令加密的双因子身份认证技术。每个购书客户可申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。作为一个安全的网上购书系统,需要由一个权威的第三方担任信用认证机构来确认买卖双方的身份,即电子商务的安全证书认证中心(CA中心)。CA中心的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,确保交易合同的完整性,防止单方面对交易信息的生成和修改。这个第三方可以是政府部门,也可以是行业主管部门,还可以是交易双方共同信任的其他组织。
2.网上书店购书过程中的数据加密
书刊的物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。加密技术就是把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网上书店物流信息的通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术也分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。密钥的保密是很关键的,否则,网络攻击者掌握加密、解密算法,又得到密钥,会使购书客户遭受损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
还可以采用短信加密技术,用户购书过程中的订单、付款等可以短信的形式确认,而丰富多样的短信息服务的实现借助于SIM卡片以及在SIM卡片上开发应用和菜单的STK(SIMcardToolKits)技术。SIM卡片加密技术的直接应用就是对短信息完成加密和解密,无线网络和短信中心为应用服务器提供了接收和发送短信息的通道,手机内发出和接收的短信报文利用SIM卡片加密和解密,在应用服务器一侧可以借助专用的交易安全服务器来完成对短信息报文的加解密。除了加密和解密外,系统还通过MAC算法完成报文的完整性校验。由于SIM卡片具备完成DES、3DES等多种加密运算的功能,应用STK技术可以在SIM卡片上开发信息安全功能。
3.完善网上支付手段
网上书店的一个重要环节是网上支付。在网上支付的技术方面国际上已经形成了一些比较成熟的安全机制,我国的电子商务企业已经广泛应用了这些安全保障技术,主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括:基于信用卡交易的安全电子交易协议(SecureElectronicTransaction,SET)、用于接入控制的安全套接层协议(SecureSocketLayer,SSL)、Netbill协议、安全HTTP(S-HTTP)协议、安全电子邮件协议(如PEM、S/MIME等)、用于公对公交易的InternetEDI等。从购书客户角度来说,使用网上支付时首先要核对正确网址,要开通网上银行功能,通常事先要与银行签订协议。用户在登录网银时应留意核对所登录的网址与协议书中的法定网址是否相符。其次做好交易记录,应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”,定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。另外管理好数字证书,应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。
购书客户还可以通过与银行合作,使用U盾等一系列安全措施;可以采用货到付款支付方式;也可以与拥有相当用户的支付工具合作,如易趣的“安付通”、淘宝的“支付宝”都已经与工商银行、招商银行等国内的许多银行建立起战略合作关系,充当起第三方保障的角色。以支付宝为例,其具体流程是:首先,书商与购书客户就购书达成协议后,购书客户先把书款打到支付宝这个第三方账户上,等购书客户向支付宝和淘宝发出信息确认收到书并且收到的书与所购买的书相符时,支付宝再把货款划至书商的账号。当然,这些都需要依赖网上支付的法律保障,相关的法律建设需要进一步加强。
4.建立网上书店的实名制和信用制度
许多网上书店的商家利用网络的虚拟性,使用不切合实际的书刊产品广告描述来误导购书用户。很多购书客户也常会因为刚刚接触网上购物而上当。除此之外,也有一部分蓄意欺诈的书商收到了购买者汇来的钱而故意不发货。对于这类情况,可以对网上书店的商家采用实名登记注册,并通过一系列的信用等级评价机制,透明地、如实地反映书商的信用情况以及过去的每一笔交易的明细,以减少这种不安全性,买家可以参考这些信息,或与曾经与此卖家交易过的买家沟通。然而这些方式都只能降低商家网上欺骗成功的概率,不能从根本上杜绝。要想彻底根治,还是要从商家本身以及网上书店交易平台的总体设计入手来改进。
5.提高网上书店管理人员的技术素质
网上书店应该定位于高科技产业,而不是传统的流通业。网上书店的经营需要计算机操作人员、网页编辑、数据库维护人员,特别是懂得网络经营管理人员的商务人员。为提高网上书店的信息安全性,不仅要求其工作人员熟练掌握IT技术,如网络协议OSI、TCP/IP,网络与互联设备,E-mail、Telnet、FPT等服务方式,还要求熟悉电子商务的运作平台(信息流网络、知识流网络、资金流网络、物流网络、契约网络),电子商务管理(ERP系统管理、SCM供应链管理、CRM客户关系管理)等,所以网上书店售书方应该聘请或培养专业人员对书店网站进行管理和维护,并积极与银行系统合作,开发操作性强、安全性高的在线客服系统和支付系统,提高网上书店的服务质量和购书双方的安全保障水平。
主要参考文献
[1]胡红升,马东平.电子商务安全策略[J].电子商务世界,2001(2).
[2]吉绚,胡曼,刘广宇.网上购物安全性现状分析[J].中国水运:理论版,2006(12).
【关键词】在线支付;支付安全;对策
随着互联网络与个人终端技术的飞速发展,越来越多的人把工作甚至生活都与网络紧密连接起来。2013年1月30日,根据中国电子商务研究中心《2012年度中国网络零售市场数据监测报告》显示,截止2012年12月中国网络零售市场交易规模达13205亿元,同比增长64.7%。网购改变零售业格局已经开始。但任何的交易都会包含一个非常重要的环节,就是资金的转移,无论是有形的或无形的商品都必须面对资金流的问题。
一、网购中的支付方式
目前,网购中的支付方式有以下几种:
1.货到付款
按照顾客提交的订单内容,在承诺配送时限内送达顾客指定交货地点后,双方当时验收商品、当时交纳货款的一种结算支付方式。
2.邮局汇款
顾客将订单金额通过邮政部门汇到指定商家的一种结算支付方式。
3.银行电汇
银行以电报、电传或环球银行间金融电讯网络方式指示行将款项支付给指定收款人的汇款方式。
4.网上在线支付
卖方与买方通过因特网上的电子商务网站进行交易时,银行为其提供网上资金结算服务。在线支付的方式又分为两种。
(1)网银支付
直接通过登录网上银行进行支付的方式。要求:有个人网上银行。开通网上银行之后的操作就不是很麻烦了,可实现银联在线支付,信用卡网上支付等等。
(2)第三方支付
第三方支付本身集成了多种支付方式,支付流程如下:①、将网银中的钱充值到第三方;②、在用户支付的时候通过第三方中存款进行支付;③、花费手续费进行提现。最常用的第三方支付是支付宝、财付通、贝宝、易宝支付、快钱、网银在线了,其中做为独立网商或有支付业务的网站而言,最常选择的不外乎支付宝、贝宝、易宝支付、快钱这四家。
二、在线支付过程中存在的安全隐患
虽然支付方式由很多种,但是在线电子支付是网购的关键环节,也是网购得以顺利发展的基础条件,网购过程中在线支付的安全问题便成为大家最关心的话题了。首先,计算机网络安全与终端用户机安全是保证在网上进行安全交易的首要条件,即使不使用计算机进行网购,计算机网络的安全问题与终端用户机的安全问题也一直在困扰着不少用户,但因为不直接与资金有联系,故即使出现了差错,用户的损失相对来说也要小一些;其次,交易双方的身份真实性问题也是网购中需要特别注意的,将传统的当面交易搬到买卖双方互不见面的网络上来进行交易,买方不认识商家,商家不能确定银行卡等网络支付工具是否真实可信,以及由谁来支付和资金如何入账等。这就让一些不法商家或个人利用网络贸易的非面对面的特点进行欺诈活动有了可趁之机,所以需要为参与交易的各方提供可靠标识,使他们能正确识别对方并能互相证明身份;再然后,在传统的商务交易中,双方为了预防抵赖行为的发生,可以在书面文件上的手写签名或盖印章,但在网购中则是不可能的,因此就有可能出现这样的情况,当交易一方发现交易行为对自己不利时,可能会否认电子交易行为,这必然会损害另一方的利益;最后,有关交易的各种信息,如付款人和收款人的标识、交易的内容和数量,交易的银行账号和密码等,这些信息只能让交易的参与者知道,有时甚至要求只让参与方的部分人知道,因此网上支付就涉及到数据保密性的问题了
三、实现安全支付的对策
1.技术方面的对策
(1)数据加密
数据加密是通过一定的加密算法,利用密钥来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者;接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
(2)数字签名
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
(3)安全协议
在国际上,比较有代表性的电子支付安全协议有SSL和SET。 SSL协议是由Netscape公司研究制定的安全协议,是在客户和商家通信之前,在Internet上建立了一个“秘密传输信息的信道”,这个通道用来保障传输信息的机密性、完整性和认证性。该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。SSL协议运行的基点是商家对客户信息保密的承诺,客户的信息首先传到商家,商家阅读后再传到银行。这样,客户资料的安全性便受到威胁。另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。在网购的初始阶段,由于参加网购的公司大都信誉较好,这个问题没有引起人们的足够重视,今后随着越来越多的公司参与网购后,对商家的认证问题也就越来越突出,这样SSL的缺点就会逐渐暴露出来。SSL协议也就逐渐被新的SET协议所代替。SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工业技术标准。
2.法制方面的对策
(1)加强社会信用机制建设。法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白,应当承认我国还属于非诚信国家,信用制度还很不健全。因此,我们应当着手网上支付信用机制的建设,建立个人社会信用体系,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。
(2)加强对网上银行和第三方支付机构等相关组织的监管。加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管,网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场。其次要加强对第三方支付机构的监管,要让第三方支付机构受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。
3.管理方面的对策
在管理方面,由于网上支付涉及到许多部门和机构,容易造成混乱的局面。通常来说,电子商务的网上支付系统是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在有的金融体系为一体的综合大系统。因此,统一而先进的管理和规范就显得尤为重要。 另外还要建立一个在系统操作过程中的完善的管理制度。支付的过程尽管是在计算机和网络上自动进行的,但总离不开人的介入。从世界范围内的经验可以知道,银行系统资金不安全或者各类诈骗活动的发生,不是技术不安全造成的,而是制度上的缺陷所出现的。因此严格的管理制度建设就非常重要
四、结束语
作为一种商务活动过程,网购将带来一场史无前例的革命,而电子商务在线支付的安全性问题也越来越受到人们的重视.其安全认证也已从最初的逻辑认证发展到物理认证,最终将达到生物认证,在不久的将来安全可靠的网购会将人类带入真正的信息社会。
参考文献:
[1]史萌. 电子商务下的网上支付方式分析研究[J]电子商务,2009年第8期,24页.
认证机构的重要作用
目前国内的电子签名应用主要运用了以非对称加密为基础的PKI技术。在整个PKI构架中,CA中心是处于核心位置的,其职责是在下发数字证书之前查实其使用者的身份。此外发证机构还要及时公布已经无效的证书,并且负责对发放的证书进行管理。CA中心是整个PKI体系信任链扩展的基础,信息传输双方就是因为信任一个权威的CA中心,从而相信持有CA中心签发证书的人的身份。
在许多实际应用中,第三方的CA发挥着重要的作用。所谓第三方,就是指独立于交易双方当事人的任何一方。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,网上交易就根本无从谈起,而第三方是CA公证性的重要体现。在互联网这种开放、不设防、复杂的信息交互环境中,第三方CA为信息交互双方承担了网上信息安全的部分责任,对交易双方起到规避风险的作用,即在互联网部分由CA通过发放数字证书来保障信息的传输安全。在出现网银纠纷时,第三方CA为当事人双方提供相应的证明。由于种种原因,目前国内一些银行没有使用第三方CA。
另外,第三方认证机构能够更好地证明电子签名的有效性。在《电子签名法》中规定,安全的电子签名才能与手写签名具有同等的法律效力。而第三方CA由于独立于交易双方,能很好地证明这种签名私钥的专有性,技术上也能够有很好的保障。
当然,并不是说所有的交易都要使用第三方的CA认证机构。但是,对于应用领域和范围都很广泛的面向公众的服务来说,是应当采用第三方的认证机构的,因为这些服务要求CA机构必须有足够的公信力和权威性。
电子签名在金融业的应用
金融行业是电子签名应用最活跃、最广泛的领域。其中,作为金融行业统一的第三方安全认证机构,在保障网上交易安全,提供公正、可信的认证服务方面发挥了重要的作用。数字证书和电子签名在网银的应用主要有以下几个特点:
银行审核网银用户身份的真实性。用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。
交易额大、安全性要求高的交易必须使用数字签名。由于数字签名是一种相对复杂的计算方式,签名的过程要耗费一定的系统资源,一般是在交易金额大、安全性要求高的网银业务中使用数字签名。当然,数字签名会在更多的业务中得到应用。
通过协议来保证第三方认证机构和银行及用户之间的权利义务关系。银行对于第三方认证机构来说有两个角色,首先银行作为第三方认证机构的证书注册审批机构RA,是第三方认证服务的一个重要环节,相当于第三方认证系统的延伸;银行的另一个角色就是作为证书的使用者。
当发生争议时,作为第三方的认证机构有义务对数字签名的有效性进行确认。具体包括提供签发该张用户证书的CA证书;提供该张数字证书在交易发生时,在或不在的数字证书废止列表的证明;对数字证书、时间戳、和电子签名的真实性和有效性进行确认等。今后随着《电子签名法》的实施,类似的这种争议或纠纷就能有法可依,能更好地保障银行和用户的权益。
以上是围绕电子签名简单地介绍了电子签名在网银中的应用特点。从应用的范围和广度讲,目前国内的网上银行业务中基本上都采用了数字签名技术。
如何使用网银和电子签名
用户如何获得第三方证书,用户可以通过第三方设在各商业银行分支机构的受理点办理证书申请和审核手续,具体的证书审批方式和流程由各受理机构规定。下面以深圳发展银行的网上支付业务为例来说明。
深圳发展银行早在2002年就建立了电子商务的核心环节――“网上支付”系统,目前已经全面覆盖国内主要电子商务平台,为用户的网上支付结算提供快捷、安全的服务。
使用网上支付系统的用户分为B2C、B2B两种。B2C是个人客户在商户网站购物、代缴水、电、燃气、学费等等支付业务进行网上结算;B2B是企业客户在商户网站购物进行网上结算。
B2C(企业对消费者)网上支付使用银行网站支付的,客户首先通过网上或银行柜台注册成为银行网站个人用户,再到银行柜台开立数字证书,然后便可利用注册的银行卡、活期一本通账户实现无限额网上购物实时支付结算。
对于B2B(企业对企业)网上支付,企业客户须在银行柜台注册成为银行网站企业用户,并开立数字证书,然后由企业网银管理员将结算账户的使用权分配给相应的操作员,该操作员便可使用分配的企业结算账户实现网上结算。
可见,数字证书就是网上交易双方的电子身份证,用于验证网上银行用户的身份和对用户的网上交易等信息进行加密和数字签名,经过数字签名的交易具有不可篡改和不可否认性,因此网上银行的支付、转账等重要操作必须使用证书才有法律和安全保障。
点评
CA运营和PKI建设的体会和建议
1. 在实践中寻找安全和效率的最佳结合点。
数字签名技术的广泛应用必须和用户的实际需求相结合。处理安全和效率的矛盾时要从实际出发加以分类分级,根据重要性和风险程度,提出不同的安全要求和措施。《电子签名法》在法律上肯定了签名的有效性,推动了网上安全措施的普及和强化。随着技术的不断改善提高,使用中的技术障碍会越来越小,认证效率则越来越高。
2. 重视标准和规范,加强对CA机构的管理
不同PKI域的互通是必然的发展趋势,而互通的基础就是重视标准,强调统一。《电子签名法》中虽然对第三方认证机构的必备条件提出了要求,但实践中还需要相关法规和具体的实施细则,包括对CA机构准入、对CA的管理和评级、对CA运行的审计等。
当前国内网络安全问题依然突出
人们使用网上银行最为关心的莫过于网络安全问题。目前,国内互联网风险形势严峻,网上交易的安全性成为公众使用网上银行时心中最大的隐忧。根据国内互联网安全公司金山网络2012年2月20日的《2011~2012中国互联网安全研究报告》,2011年金山毒霸累计捕获新增病毒约1 230万个,全国平均每天在4%~8%的电脑上会发现病毒,金山毒霸保护用户免于病毒攻击的次数约每天500万次。虽然2011年新增病毒总数自2010年以来再次下滑,而针对网购的攻击则日益普遍,钓鱼网站取代病毒木马成为互联网第一大安全威胁,每月拦截网民访问次数比去年激增了100倍。金山毒霸云安全中心数据显示,2011年,金山毒霸网购保镖日平均保护2 000万次网购操作,日均覆盖500万网民。病毒产业追逐经济利益的趋势不会改变,随着互联网产业的飞速发展,2012年,病毒制造者会通过各种手段给用户带来新的安全威胁。
网上银行业务的主要风险点
与传统的银行业务相比,网上银行具有开放性的特征。主要体现在:一是网络社会化,互联网是社会化网络;二是终端社会化,进行网上银行操作的计算机都不是银行的终端;三是客户自助操作,网上银行业务是由客户操作,而非银行柜员进行操作。这些开放性的特征,形成了网上银行业务特有的风险。
网上银行的风险点主要存在于三个方面:用户端、信息传输过程、银行端和商户端。用户端的风险主要由于用户风险防范意识不强、操作不规范或被欺诈而引起个人信息泄露或导致交易风险,例如,用户不注意计算机使用环境、未能有效防范各种类型的木马病毒,登录假网站或钓鱼网站,泄漏自己的账户信息、身份证信息、网上银行登录密码,未使用或丢失U盾或动态密码卡等等,这些都是可能导致风险事件的原因。信息传输过程中的风险是由于网上交易的信息是在互联网上公开传递的,如没有采取必要的安全措施加以防范,则存在着交易信息被篡改和窃取的可能性。银行端和商户端的风险主要来自于黑客入侵、银行和商户的相关业务和产品设计缺陷、内控管理不严、网站风险防控能力不足、网上交易风险监控能力不足等。尽管目前各家银行、商户网站均采取了防火墙和网络检测等安全措施,然而2011年底以来CSDN等网站的暴库事件表明,针对运营商服务器展开的攻击仍然存在。
商业银行防范网上银行业务的风险措施
网上银行风险防范不仅仅是银行的责任,也是整个社会的责任。本文仅从商业银行角度,从事前、事中、事后三个方面提出网上银行风险防范对策。
(一)事前防范措施
1.确定风险管理原则,即审慎性原则和安全性与便利性均衡原则。银行是经营风险的特殊企业,银行要防范风险,规避风险,减少客户的资金损失,保障银行的资金安全,因此,要坚持审慎性原则。同时,银行也是服务行业,面向广大客户提供服务,要秉承“以客户为中心”的宗旨,最大程度满足客户的需求,方便客户使用。网上银行是客户自助操作,通过互联网公开透明渠道提供服务,因此必须采取必要的安全措施、安全手段;然而风险防范措施过于严密,采取过多的安全手段、措施,为防范个别、少数不法分子的作案而采取过高、过多的安全手段,会影响广大用户的方便性,因此,过分强调方便也是不现实的。处理好安全性与便利性的关系是一个难题。银行应以满足广大客户最基本的安全手段、安全措施为基础,在设计管理制度、风险控制手段时应考虑广大客户最基本的需求,统筹兼顾便利性与安全性的平衡。
2.把风险防范嵌入到产品创新和流程优化工作之中。商业银行设计新产品、新业务流程和编写业务需求时,必须同时分析风险点和风险环节,并相应制定防范措施,杜绝制度缺陷、流程缺陷和系统缺陷。
3.普及网上银行安全知识,提高公众的风险防范意识。当用户通过银行网站或柜台开办网上银行业务时,银行可结合口头提示、宣传资料、网站、手机短信等多种形式对其进行风险提示,向其揭示网上银行的相关风险,并进行安全知识教育,提高客户的自我保护意识。加强用户身份验证管理,严格审核用户身份证件,防止代人签约网上银行或利用虚假身份证件开立账户和签约网上银行。此外,还应通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码。网上银行用户自身也要加强学习,掌握基本的安全知识,培养良好的安全操作习惯,增强风险防范意识。
(二)事中防范措施
1.合理制订网上银行相关业务制度和操作流程,严格内控管理。在科学论证基础上,合理设置网上银行有关参数,并进行规范管理,规范操作人员和操作权限。参数管理中,最重要的莫过于网上银行的交易限额管理,银行要对客户的不同情况(例如,使用安全产品的情况),针对不同交易种类合理设置交易限额,防范大额资金风险。
2.加强安全防护手段,根据当前互联网安全形势,持续优化安全产品和手段,不断加固防范措施。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。加快网上银行安全产品升级换代,提高客户使用网上银行的安全性。近期,建设银行、工商银行推出了二代U盾,与原有普通U盾相比,二代U盾增加了液晶显示屏回显交易信息、物理按钮确认交易两道安全环节,液晶显示屏回显交易信息可让客户再次确认收款人账号和交易金额等信息,防止不法分子利用恶意软件篡改客户提交的交易信息;通过物理按键来增加客户干预,可防止不法分子远程控制客户计算机、利用客户插在计算机上的原有普通U盾进行网银交易而给客户造成损失。同时,银行还可提升多渠道信息交互的产品研发,针对较高风险的交易。例如,银行在验证证书或动态口令后,仍不对交易进行处理,而是将登录状态、账户、金额等敏感信息即时通过短信方式发送至用户手机,待用户核实后,最终决定对交易进行确认或取消。
3.加强假网站监测,定期搜索与本行相关的假冒网站(邮件、电话、短信号码等),做好对“钓鱼”网站的24小时监测和防控工作,并通过专业化工具进行主动搜索、关停。检查本行网页上对外链接的可靠性,并开辟专门渠道接受公众举报,发现风险立即采取防范措施,并向公众进行通报提示。
4.构建科学的电子银行风险管理体系,提高风险管理水平。建立网上银行风险监控系统,对网上银行系统资源使用情况、业务覆盖区域网络性能、外部系统访问情况等进行监控,有效识别、衡量、监督和控制网上银行风险。首先,要建立有效实用的网上银行风险稽核模型,确定具有什么样特征的交易是可疑的交易,进而采用事中监控手段。在日常工作中,应实现对风险稽核模型的动态管理,随着业务发展和客户交易习惯的变化而作相应调整。其次,在此基础上,制订监控规则,并依据监控规则,分析客户交易行为,识别高风险交易,进行事中监控管理。在监控中,应重点加强对大额、频繁、跨地区操作等交易的分析、识别和事中监控,实现对高风险交易的实时监测、事中干预、事后核实、事后提醒等功能,对风险等级高的交易实施事中干预。此外,要完善黑名单的监控类型和控制措施,以作为事中监控的有力补充。对已经发生风险事件的,通过客户服务中心、业务部门以及其他渠道收集风险事件涉及的账号、手机号、证件号以及IP地址,经过一定的审批程序,将涉嫌信息在黑名单中进行登记,关闭其今后的电子银行交易,防止损失扩大。
5.建立风险防范信息共享机制,实现风险信息跨系统、跨渠道共享和联动。建立银行同业之间,以及银行与合作伙伴间的风险联防机制,推进可疑交易跨行追索机制,实现跨行可疑交易账户的快速锁定和资金冻结。
(三)事后补救措施