时间:2024-03-21 14:40:37
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络支付安全,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
摘要:随着互联网的普及,网络购物成为一种新型的购物形式。在我国网络购物也得到了很好的发展,它能为消费者和商家带来诸多的便利和实惠,但是网络购物在其发展过程中也存在一些问题,阻碍其进一步发展,只有解决这些问题,才能让网络购物更好地服务于经济。
进入21世纪,全球的信息化进程正在改变着人们的生活方式,整个世界逐渐进入了网络经济时代。作为一种新型的购物形式,网络购物的产生,对人们的生活方式,对世界经济的发展都产生了巨大的影响。
一、我国网络购物的发展现状
网络购物就是消费者通过网络实现购物的过程。其主要特点是商家与顾客互不见面,通过网络使商品信息和钱款以电子的形式在网络上进行传播。所以,网络购物具有以下特点:商品的信息更加深入全面、减少了商品的销售成本、节约了消费者的时间和体力、消除了消费者与商家的面对面冲突、降低了商户的经营成本,等等,充分体现了网络购物的方便快捷、低成本的特点。
随着互联网的普及,网络购物的优点变得更加突出,也就日益成为一种重要的购物形式。根据中国互联网络信息中心(CNNIC)2008年7月的《中国互联网络发展状况统计报告》显示:截至2008年6月底,中国网民数量达到2.53亿(见下图),网民规模跃居世界第一位。中国网民规模继续呈现持续快速发展的趋势,比去年同期增长了9100万人,同比增长56.2%。仅2008年上半年,中国网民数量净增量为4300万人。
报告还显示:网络购物使用率为25%(见下表),用户人数达到6329万人,半年内用户量增加了1688万人,已经成为十大网络应用之一。由此可见,网络购物越来越成为一种趋势。
网络购物虽然可以克服实体交易环境对消费者的障碍,为消费者提供更多的购物机会和便利,但是由于互联网的虚拟性和公开性,就使得网络购物的模式与传统实体购物环境的经验模式有所不同。例如,消费者无法直接面对商家,无法事先检查商品,无法就交易条件与商家直接进行接触与沟通。因此,网络购物也给消费者带来一些新的问题。
二、网络购物过程中存在的问题
1.交易主体的诚信问题。在信息不对称的情况下,买卖双方在交易的过程中都可能存在不诚信的行为。对于卖方来说,他可能不会保质保量地按时发货,或者不能完全地履行所签订的合同,更有些还可能会设计陷阱,达到骗取钱财的目的,造成买方在网上购物时承担了极大的风险。对于买家来说,在网络购物时,选择信用卡进行支付,可能会有恶意透支信用卡的行为,或者使用伪造的信用卡骗取卖方的货物等等,卖方就需要为此承担风险。
2.商品质量的认知差异问题。在网络购物中,消费者看不到商家,摸不到商品,在选择时,只能用眼观察,或者听别人介绍,而不能亲自感触,得到的商品信息比较少。因此,消费者在收到商品或服务时,可能发现品牌或规格跟自己原先的期望有所不同,或者是选择的商品与实际得到的商品在品质上存在明显的区别,这就使得消费者很难对商品的质量产生信赖感。
3.网络购物的支付安全问题。网络购物改变了传统的面对面的、一手交钱一手交货的交易方式,可以采取网上结算,即通过汇款的方式或者使用信用卡(或借记卡)的方式来实现。因此,在“先汇款后发货”的交易方式中,消费者可能会钱财两空,而通过第三方支付平台,使用银行卡交易的过程中,消费者在交易时提供的银行卡资料或其他财务资料极有可能在传递的过程中被不法分子截取。另外,即使传递过程很顺利,在这些资料进入商家之后,仍有可能被商家不当使用,或被黑客及商家公司内部未经授权员工盗取的风险。所以,支付方式的不安全隐患会影响消费者对购物方式的选择。
4.商品物流配送的问题。作为网上购物众多环节中的一环,物流配送是成功交易的重要保证,而物流配送体系的构建一直是网络交易发展中的一个核心问题。许多有过网络购物经历的消费者常常抱怨,他们所定购的商品不能及时送达,有的即使送到了也已是“面目全非”。有统计显示,在有过网络购物经历的网民中,有12%以上的人有没收到商品的经历,物流配送的问题会损坏商家的信誉,很难让消费者满意。
5.商品的售后服务问题。在网络交易形态中,消费者只能从网站上获取商品的信息,在决定购买时,可能会因为时间仓促而没有经过成熟的考虑。在商品送达后,难免出现对商品不满意而要求退货的情况。此时,网络销售者往往会从自己的利益出发,在商品出售后均以种种理由拒绝退货,使得售后保障不能实现。而且由于无法与商家进行面对面的沟通,发生争议时可能较难求证,特别是与国外商家发生购物纠纷问题时,更牵涉到证据的搜集及司法管辖等复杂问题,严重影响了网络购物的推广应用。
6.网络交易的法律保障。2005年4月1日,《中华人民共和国电子签名法》正式实施,这对于完善我国的网络立法具有重要的意义。但是,面对网上购物的错综复杂的环境,只有《电子签名法》是不够的,必须尽早完善网上交易法律法规,用明确的法律法规对网上交易进行规范,用以保障网络交易的正常运作。
三、促进网络购物发展的对策建议
1.逐步建立我国的征信体系。长期以来,我国的诚信体系很不完善,企业的信用评估、个人的资信状况都不透明,交易双方都处在极大的不确定的环境当中,这种情况严重制约了网络购物活动的有效开展。因此,目前急需建立个人和企业的完善的诚信体系和诚信查询制度,为虚拟化交易提供一个可靠的基础。具体做法是:一是要求交易主体在登记身份的前提下,开展网络交易活动,对于主体的行为有监督作用;二是对于进行欺骗行为的交易主体,采取制裁措施;三是对于持续诚信交易的经济主体给予一定的奖励等,用以减少信息不对称情况下,交易主体不诚信问题的发生。
2.加强网络购物的安全性建设,提高网络购物的接受度。第一,要加强电子商务网站的建设,提供信息更翔实、操作更简洁、访问更便利的安全商务网站,吸引更多消费者;第二,加强网络支付的安全建设,组建一支研究型的队伍,解决网上交易的安全技术问题,包括加密技术、防火墙技术、数字签名技术、报文摘要技术、认证技术、入侵检测技术、漏洞扫描技术等问题,并且要随着计算机系统和电子商务技术的发展而做出不断的更新和改进;第三,可以利用第三方支付平台提供更多的安全保证。
3.建立完善的现代物流体系,保证网络购物的顺利完成。实物配送在网络购物中的重要性,已经得到了业界人士的广泛认同和重视。真正高效的网上购物活动,需要一个完善的现代化物流体系,才能体现出网上交易高效、低成本的特征。我国的运输企业众多,再加上厂商在全国建立了众多的连锁机构,这些资源经过企业间的联合、结盟,重新优化配置,可以建立跨地区的专业性物流渠道,解决目前货物配送中存在的问题。
4.促进商家之间的有效竞争,提供优质服务。提供一个公平的外部环境,实现更自由的竞争,在充分竞争的市场中,商家会提供更好的产品和更优质的服务,会采用创新的营销策略,用于自身的更好更快发展,而不是通过欺骗的行为来获得一时之利。在商品买卖的过程中,低价格是赢得消费者的重要手段之一,但不是唯一,特别是有些商品或服务的同质化程度日益提高,只有优质的服务才是商家取得竞争优势的重要法宝。
5.完善网上交易的法律法规。我国可以根据国情,制定一部用以规范网上交易活动的法律法规,以解决网上交易发展所面临的法律问题。关于网上交易立法的运用范围,应包括电子合同的效力问题、电子支付及金融管理、税收与保险、网络管理与信息安全保护、电子证据与电子签名的法律认定、政府的强制措施及审查机制、市场准入规则、知识产权保护、消费者合法权益的保护、司法的国际管辖和国际协助等。通过对相关法律法规的制定和实施,为推动我国网上购物的良性发展提供有利的外部环境和法律保障。
参考文献:
[1]/.中国互联网络信息中心(CNNIC).《中国互联网络发展状况统计报告》,2008,(7).
[2]刘国防.网络购物安全问题研究[J].武汉科技学院学报,2004,(8).
[3]伍燕青.浅谈我国网上购物的发展现状[J].华南金融电脑,2007,(3).
[关键词]网络支付信息安全量子计算量子密码
目前电子商务日益普及,电子货币、电子支票、信用卡等综合网络支付手段已经得到普遍使用。在网络支付中,隐私信息需要防止被窃取或盗用。同时,订货和付款等信息被竞争对手获悉或篡改还可能丧失商机等。因此在网络支付中信息均有加密要求。
一、量子计算
随着计算机的飞速发展,破译数学密码的难度也在降低。若能对任意极大整数快速做质数分解,就可破解目前普遍采用的RSA密码系统。但是以传统已知最快的方法对整数做质数分解,其复杂度是此整数位数的指数函数。正是如此巨额的计算复杂度保障了密码系统的安全。
不过随着量子计算机的出现,计算达到超高速水平。其潜在计算速度远远高于传统的电子计算机,如一台具有5000个左右量子位(qubit)的量子计算机可以在30秒内解决传统超级计算机需要100亿年才能解决的问题。量子位可代表了一个0或1,也可代表二者的结合,或是0和1之间的一种状态。根据量子力学的基本原理,一个量子可同时有两种状态,即一个量子可同时表示0和1。因此采用L个量子可一次同时对2L个数据进行处理,从而一步完成海量计算。
这种对计算问题的描述方法大大降低了计算复杂性,因此建立在这种能力上的量子计算机的运算能力是传统计算机所无法相比的。例如一台只有几千量子比特的相对较小量子计算机就能破译现存用来保证网上银行和信用卡交易信息安全的所有公用密钥密码系统。因此,量子计算机会对现在的密码系统造成极大威胁。不过,量子力学同时也提供了一个检测信息交换是否安全的办法,即量子密码技术。
二、量子密码技术的原理
从数学上讲只要掌握了恰当的方法任何密码都可破译。此外,由于密码在被窃听、破解时不会留下任何痕迹,用户无法察觉,就会继续使用同地址、密码来存储传输重要信息,从而造成更大损失。然而量子理论将会完全改变这一切。
自上世纪90年代以来科学家开始了量子密码的研究。因为采用量子密码技术加密的数据不可破译,一旦有人非法获取这些信息,使用者就会立即知道并采取措施。无论多么聪明的窃听者在破译密码时都会留下痕迹。更惊叹的是量子密码甚至能在被窃听的同时自动改变。毫无疑问这是一种真正安全、不可窃听破译的密码。
以往密码学的理论基础是数学,而量子密码学的理论基础是量子力学,利用物理学原理来保护信息。其原理是“海森堡测不准原理”中所包含的一个特性,即当有人对量子系统进行偷窥时,同时也会破坏这个系统。在量子物理学中有一个“海森堡测不准原理”,如果人们开始准确了解到基本粒子动量的变化,那么也就开始丧失对该粒子位置变化的认识。所以如果使用光去观察基本粒子,照亮粒子的光(即便仅一个光子)的行为都会使之改变路线,从而无法发现该粒子的实际位置。从这个原理也可知,对光子来讲只有对光子实施干扰才能“看见”光子。因此对输运光子线路的窃听会破坏原通讯线路之间的相互关系,通讯会被中断,这实际上就是一种不同于传统需要加密解密的加密技术。在传统加密交换中两个通讯对象必须事先拥有共同信息——密钥,包含需要加密、解密的算法数据信息。而先于信息传输的密钥交换正是传统加密协议的弱点。另外,还有“单量子不可复制定理”。它是上述原理的推论,指在不知道量子状态的情况下复制单个量子是不可能的,因为要复制单个量子就必须先做测量,而测量必然会改变量子状态。根据这两个原理,即使量子密码不幸被电脑黑客获取,也会因测量过程中对量子状态的改变使得黑客只能得到一些毫无意义的数据。
量子密码就是利用量子状态作为信息加密、解密的密钥,其原理就是被爱因斯坦称为“神秘远距离活动”的量子纠缠。它是一种量子力学现象,指不论两个粒子间距离有多远,一个粒子的变化都会影响另一个粒子。因此当使用一个特殊晶体将一个光子割裂成一对纠缠的光子后,即使相距遥远它们也是相互联结的。只要测量出其中一个被纠缠光子的属性,就容易推断出其他光子的属性。而且由这些光子产生的密码只有通过特定发送器、吸收器才能阅读。同时由于这些光子间的“神秘远距离活动”独一无二,只要有人要非法破译这些密码,就会不可避免地扰乱光子的性质。而且异动的光子会像警铃一样显示出入侵者的踪迹,再高明的黑客对这种加密技术也将一筹莫展。
三、量子密码技术在网络支付中的发展与应用
由于量子密码技术具有极好的市场前景和科学价值,故成为近年来国际学术界的一个前沿研究热点,欧洲、北美和日本都进行了大量的研究。在一些前沿领域量子密码技术非常被看好,许多针对性的应用实验正在进行。例如美国的BBN多种技术公司正在试验将量子密码引进因特网,并抓紧研究名为“开关”的设施,使用户可在因特网的大量加密量子流中接收属于自己的密码信息。应用在电子商务中,这种设施就可以确保在进行网络支付时用户密码等各重要信息的安全。
2007年3月国际上首个量子密码通信网络由我国科学家郭光灿在北京测试运行成功。这是迄今为止国际公开报道的惟一无中转、可同时任意互通的量子密码通信网络,标志着量子保密通信技术从点对点方式向网络化迈出了关键一步。2007年4月日本的研究小组利用商业光纤线路成功完成了量子密码传输的验证实验,据悉此研究小组还计划在2010年将这种量子密码传输技术投入使用,为金融机构和政府机关提供服务。
随着量子密码技术的发展,在不久的将来它将在网络支付的信息保护方面得到广泛应用,例如获取安全密钥、对数据加密、信息隐藏、信息身份认证等。相信未来量子密码技术将在确保电子支付安全中发挥至关重要的作用。
参考文献:
[1]王阿川宋辞等:一种更加安全的密码技术——量子密码[J].中国安全科学学报,2007,17(1):107~110
近两年,互联网金融行业迅猛发展,参与者越来越多且素质参差不齐,使得风险事件频繁爆发,在这种情况下,互联网金融平台如何管理好资金,成为很多人关心的问题。
对此,国内最早成立的第三方支付企业――迅付信息科技有限公司(以下简称“环迅支付”)市场部经理仲捷闻表示,基于海量支付大数据的基础之上,环迅支付在互联网金融服务模式上进行了大胆创新,并推出了更具安全系数的资金管理模式。
谈及公司与大数据的关联,仲捷闻表示,从第三方支付角度来看,环迅支付从创建到现在,平台上处理的每一笔支付业务都与大数据有着密不可分的关联。“也可以这么说,支付天生就与大数据联合。”
第三方支付的大数据基因
作为国内最早成立的第三方支付企业,环迅支付早在2011年便首批获得中国人民银行颁发的《支付业务许可证》,支持国际主流信用卡及所有国内主流银行的B2B在线支付,为全球超过60万商户及超过2000万的用户提供金融级的支付服务和体验。
近几年,全球各国信用卡盗刷事件层出不穷。随着移动互联网金融的崛起,网络支付安全问题也成为第三方支付企业最重视的焦点之一。“从安全性角度而言,我们能从几千亿笔支付信息中,找出相应的规则进行支付风险等级评定。”仲捷闻表示,在公司的后台支付系统中,由于有大数据的基础,可以针对每一笔资金支付交易进行即时性的检测和评定。必要时,公司的平台系统甚至能对高危交易进行实时提醒和终止。
比如有一笔资金支付交易使用的卡号段来自于盗卡频发的区域,或者某一笔支付交易,上午的支付信用卡显示其地理位置位于某地,但是到了下午,这张信用卡的支付信息则显示为距离较远的另一个地方,无论是这两种情况中的哪一种,都会在环迅支付的平台系统中引发高危预警提示。
“在我们的大数据基础上,通过比对,我们的系统会将上述这种异常的支付交易即时归为危险交易,并跳出相应的支付预警信息。”如果没有大数据做基础和支撑的话,光靠人工识别,几乎根本不可能在上亿笔支付交易中识别出这些高危交易。正是得益于大数据的采集和对比,每年可以为无数持卡人挽回相当大的经济损失。
升级P2P资管模式
近两年,互联网金融行业迅猛发展,参与者越来越多且素质参差不齐,使得风险事件频繁爆发,在这种情况下,互联网金融平台如何管理好资金,成为很多人关心的问题。
以互联网P2P贷款平台为例,在以往诸多出现“P2P网站老板卷款而逃”的问题平台中,大部分P2P网站采用的是“资金池模式”。
当看到这些数字,你是否会对网络支付心生疑虑?当你在享受电子商务带来的便利时,可曾想过自己的隐私正在遭受前所未有的冲击?相关数据显示,2011年,超过1亿的用户曾遭遇过网络购物陷阱,带来的直接经济损失超过150亿元。
当前,网络安全的威胁主要来自木马、恶意网站、漏洞攻击、恶意插件和社会工程学攻击等五个方面。第三方支付公司易宝支付近日《2011中国网购支付安全报告》称,搜索引擎、聊天工具、网络广告、诈骗短信、诈骗邮件、微博及论坛已经成为钓鱼网站传播的主要途径。
近日,在易宝支付举办的网购支付安全沙龙上,易宝支付CEO唐彬建议网购用户要牢记以下六点,以确保不被骗:“低价骗局勿轻信,陌生网址勿点开,网购保镖要开启,付款信息要检查,付款方式要谨慎,常去网店要记牢。”
但是,仅仅提醒用户注意并不能完全避免用户被“钓鱼”。通过技术手段加强支付环节的安全性,第三方支付机构责无旁贷。PayPal通过技术手段,始终将风险控制在千分之二点五以下,并凭借安全性赢得了市场。目前,国内的第三方支付企业也纷纷通过各种技术手段应对安全威胁,对安全方面的投入达到了千万元以上的规模。此外,很多第三方支付企业成立了支付安全中心,专门加强安全方面的管理。
据易宝支付风险控制部门负责人邓楠介绍,易宝支付目前在以下四个方面保障网络支付安全:核实下订单的IP地址和支付货款的IP地址是否一致;跟踪订单支付时间,支付时间过长则被判定为异常交易,易宝支付将提醒用户谨慎交易;推出浮动的带有图片的验证码,验证码跟背景的提示信息不可分割,使木马不能对图片进行更改;跟360公司等安全厂商合作,及时举报钓鱼网站。“2011年,易宝支付遇到的网络诈骗约有3000例,占全部交易的万分之二。”唐彬称,“这已经低于业界万分之五的平均水平了。”
【关键词】电子支付;网络安全;问题;对策
电子支付的出现,极大的便利了人们的工作与生活,因此依托网络,进行安全的电子支付工作,是当前人们关注的焦点问题。
1电子支付网络安全概述
1.1电子支付概述
电子支付是人们进行电子商务、日常生活消费的一个关键环节,其主要指的是电子交易的当事人,例如:消费者、商家、金融机构,这三者之间,通过网络电子支付的手段,对货币、资金进行的流通,进而实现支付的一种形式[1]。
1.2电子支付带来的网络安全概述
目前电子支付带来的安全隐患,主要包括技术层面、非技术层面两个方面。技术层面的安全隐患主要是:对于具有电子支付功能的计算机系统,进行的静态数据攻击(口令猜测、IP地址的欺骗、制定路由进行信息的发送),以及动态数据攻击(主动对其数据进行攻击、攻击者对于资金信息进行监控,进而被动的信息破坏),如图1所示。非技术层面的安全隐患主要是:网络交易支付款项存在着较多的安全风险,且未及时加强监督管理;基于网络的电子交易缺乏完善的法律体系,进行支付安全的保护
2基于电子支付时代下的网络安全问题以及改进对策分析
目前电子支付下网络安全问题频发,给人们的财产安全带来了隐患,本文以第三电子支付平台-支付宝、微信支付为例,分析了当前形势下的网络支付安全对策。支付宝是我国目前最受欢迎的电子支付形式之一,它可以为资金交易的双方提供代收、代付的中介服务,以及资金交易的第三方担保服务。微信支付,其是基于微信开放平台,发出支付申请的。
2.1密码保护
在现有的支付模式下,无论是支付宝电子支付、微信平台支付,还是其他的借记卡交易方式,都需要用户对其设置密码,保障资金的安全,因此加强用户的密码保护,可有效的规避支付中的安全问题。在电子支付的环境下,用户成功与商家进行资金交易的关键,就是密码的输入,因此可以使用数字签名的方法,进行网络支付。我国的银行机构,目前多使用了RAS算法,进行数字签名保护的。用户可以向银行提出申请,之后银行可以对用户发放一个数字证书,证书中包含着用户的个人信息,其在进行电子支付时,通过证书,可以向银行发送一个签名。比对一致后,银行可以根据客户的要求,进行网络电子支付。支付宝的款项支付也是如此,用户依托网络进行支付宝资金交易时,可以将需要支付的款项,从银行卡支付到第三方平台中去,由其代为保管,之后客户收到商家的货物且满意之后,可以通过支付宝账号,发出支付的指令,将货款支付给商家。微信支付,使用的B2C即时到账的接口,发出支付请求的,其还可以进行线下的POS机支付,即就是微POS。本地的生活服务商家,通过服务端口,输入相应的支付金额之后,就会生成二维码,用户使用微信扫码,即可进入支付页面,之后输入自己的密码,即可进行款项的支付。因此通过这样的数字签名的形式,极大的保证了用户电子支付的安全性.
2.2病毒预防保护
用户在进行网络电子支付时,常会遇到盗窃用户银行网银/支付宝账户/微信支付账户密码的行为。攻击者利用木马病毒,对用户的计算机系统进行攻击,使其能够对用户的访问页面、个人网银登录界面、微信登录界面、输入银行账号/支付宝账号/微信支付账号、输入的支付密码,进行监视,进而通过技术手段,伪造出相应的登录界面,诱骗用户在含有木马病毒的页面进行相应支付信息的输入,之后将其个人信息窃取。针对此种情况,用户需要对计算机系统加强病毒的预防维护。在计算机中可以安装病毒查杀应用软件,及时更新系统。在应用聊天工具时,如果接收到陌生信息或者邮件、网页时,切忌点开,或者是与发送方核对无误后,再进行点击处理。用户尽量不要在公共电脑上,打开个人的支付登录界面,或者是登入,避免公共电脑中病毒,对于用户支付宝/微信支付账户的入侵攻击。针对手机支付宝用户,其在接到陌生支付信息、电话时,要保持警惕,避免登入钓鱼网站,造成个人支付信息的泄露,给资金的使用造成安全隐患。
2.3法律保护
针对第三方交易平台中,存在的诸种资金使用问题,我国虽然采取了一些相应的法律规范条文,但是由于其在具体的使用中,依靠的是用户对于平台的信赖,以及用户与该平台之间的约定,来进行业务处理的,因此在很多方面,用户的个人资金权益,一旦遭遇到信任危机或是其他的问题,用户的个人权益,很难得到法律的保护。第三方平台,对于用户的大量资金代为监管,存在着资金被挪用、资金利息计算等问题,这些问题缺乏相关的法律保护,将会对用户的财产安全造成危害。例如支付宝,其主营业务是用户网络交易资金的代收、代管、代付,用户在使用资金的代管功能时,与该网站达成了以下的协议:用户可以向本平台,支付一定的资金,并且可以委托本平台对其资金进行保管。使用代付功能时,约定:用户可以要求本平台,使用存入的资金,对其交易项目,进行支付,如果是非经法律程序,以及非由于本条款约定事宜的交易,该项支付形式,不可逆转。这些协议,虽然符合当前用户、第三方支付的现状,但是从法律的角度来讲是存在着缺陷的。微信支付中,存在着未按照法律的相关要求,与用户签署相关的协议,也没有对安全验证的有效性,进行规定,其存在着交易金额超额准许的情况。因此针对上述问题,需立法部门及时制定相应的法律规范,对第三方支付平台进行有效的约束。此外,基于我国目前的电子支付形式,还缺乏一套较为完善的安全认证体系。
3结束语
在当今社会,电子支付给人们的工作、生活带来了便利,但是与此同时也带来了网络支付安全问题,因此需要支付平台、银行等各个机构以及用户,对电子支付的安全问题加强关注,及时找出改进对策,加以改进,避免安全问题出现。
参考文献
[1]刘剑.电子支付及其网络安全研究与实现[D].天津工业大学,2005.
关键词:网络支付;安全;账户管理
JEL分类号:G28 中图分类号:F830 文献标识码:A 文章编号:1006-1428(2011)12-0070-04
中国互联网络信息中心《第28次中国互联网络发展状况统计报告》公布:“截至2011年6月底,中国网民规模达到4.85亿人,普及率达到36.2%,超过全球平均水平”。随着电子支付的产生与发展,安全问题一直是困扰并阻碍电子支付普及应用的关键性问题。《艾瑞2010-2011年中国网上支付用户行为研究报告》指出:用户在选择网上支付工具时,仍然最看重安全性,因此用户通常会选择品牌形象好,知名度高的支付工具。从国内外目前的情况来看,网络支付面临的安全风险因素有很多,主要可以分为3类:第一是技术风险,包括系统内部局域网络与系统外部网络间没有采取一定的防护措施,内部网络的侵犯,网络操作系统、应用系统的安全;第二是管理风险,包括银行账户管理、客户操作、银行内部控制风险:第三是法律风险。网络支付中权利和义务得不到法律法规保障的风险。本文将从网络支付管理风险方面,特别是个人账户管理对网络支付安全问题的影响这一角度出发,对比国内外个人银行结算账户管理过程的异同,探索应对网络支付安全问题的账户管理对策。
一、国内个人银行结算账户管理存在的问题及隐患
2003年9月,人民银行颁布实施《人民币银行结算账户管理办法》,将个人银行结算账户单独设立,并将其定义为:自然人因投资、消费、结算等需要而开立的可办理支付结算业务的存款账户。个人银行结算账户有三大功能:一是活期储蓄功能:可以通过个人结算账户办理存取款业务;二是普通转账结算功能:通过开立个人银行结算账户,办理汇款,支付水、电、话、气等基本日常费用,工资等转账结算服务:三是通过个人银行结算账户使用支票、信用卡等信用支付工具。
可以看出,我国的个人结算账户功能强大,可办理存取现金、转账汇款、使用支票等业务。但是开户手续又相对简单,只需本人持个人身份证交纳一定开户费或卡折工本费即可开立银行卡或存折,与普通储蓄账户并无差异。随着我国经济不断增长,加之一家银行可以开立多个个人结算账户,使得账户数量激增。这一方面给银行个人结算账户的管理和监督带来了困难,另一方面在某种程度上已为不法分子犯罪提供了温床。同时,《管理办法》中对一些账户业务代办要求人持本人及被人身份证办理,在实际工作中。一些犯罪分子利用虚假身份证他人开立个人结算账户,从事洗钱、诈骗等活动,危害金融秩序。在现实网络支付环境中,不法分子对个人银行账户的攻击方式有如下表现特征:
(1)假冒银行或网站:包括假的电子商务网站或网络平台,以欺骗的方式引诱用户点击网站;创建与银行网站极为相似的网站蒙蔽用户;冒充银行相关部门工作人员,以垃圾邮件的形式发送欺诈性邮件,以银行账户被冻结、银行系统升级等各种理由,要求收件人点击链接地址,修改密码。
(2)木马病毒:包括病毒或使用弹出虚假信息提示的方式假冒个人网上银行:通过垃圾邮件等各种形式,入侵用户电脑;利用某些网站的漏洞,上传一个网页木马病毒。
(3)窃密冒领:由于用户马虎、保管不善或轻信他人导致个人账户信息外漏,不法分子持假身份证到银行网点开通网银业务,从而获取网银客户证书和密码,盗走现金。
综上可以看到,我国账户管理在账户功能上的模糊和开户程序上存在的不足,给我国网络支付安全带来了隐患,不仅使支付账户受到侵犯的途径增多,也使一旦账户信息失窃,用户遭受损失的可能性更大和损失程度相应较大,尤其是网上银行安全问题较为突出。
二、国外银行账户管理情况
1、澳大利亚(以西太平洋银行公司为例)。
澳大利亚对银行账户的种类和性质不作特殊的规定,对存款人开立银行账户的数量也不作特别限制,完全由商业银行自我规范。澳大利亚通过立法规定,开立银行账户时,银行除要认真核对申请人提交的护照、出生证、驾驶执照、教育经历记录、社会保障卡、有长期业务往来的第三方金融实体或客户的签字证明等有效证件或记录外,还实行“百分检查”制度。有效地遏制了伪造身份证明、提供虚假证明文件的现象。其银行账户大致分为三种:一是结算户,存款人可以使用票据、借贷记卡等支付信用工具办理各种结算业务;二是存折户,存款人只能到开户银行的柜台办理转账结算和支取现金;三是投资户,存款人的定期或理财存款。澳洲人很少使用大量的现金,借记卡、信用卡和个人支票非常普及。
Westpac Choice和Basic Account均可ATM取现,进行转账及网银操作。Deeming Account只限于55岁退休人员,限本行每月8次免费取款,社会保障收益划到Basic account,每个人只许每一个Basic ac-count。Reward Saver月不取款得到利息,月末最后一天存款不少于50美元。Cash Manager及Day to dayaccount都可以连接Debit Mastercard。
2、英国。
英国的银行账户一般有以下几类:
(1)现金卡(Cash Card),主要作用是帮助持卡人在银行或ATM机上存取现金:
(2)支票保证卡(Cheque guarantee Card),在使用支票时出示,以作为支付保证,支票保证卡上会被注明担保的金额,即持卡人每次可以开具支票的最高额度;
(3)借记卡,主要作用是帮助持卡人在商场里刷卡消费,费用通过银行结算系统直接从相应银行账户上扣除;
英国银行对以上三种卡会采取合并的形式,将上述的功能统一到一张卡上方便客户的使用:
(4)信用卡,主要用于透支消费;
(5)现金账户(Current Account),用于存取日常开支的活期现金账户,账户利息很低或没有利息;
(6)存款账户,用来存款,利息较高可以支付支票,如果需要提取现金需要和银行提前预约。
英国银行结算账户管理在开户环节上与国内有很大的不同:
①在银行开立账户实行面谈制度。开立账户时,除客户填写申请表,提供自身详细信息外,客户经理还要亲自询问开立账户的目的,资金收支情况等,尤,其会着重了解账户内是否有大额现金的划汇和支取,一旦日后监控发现异常资金流动,将视同客户违反开户合同。②开户实行审查制度。英国开立账户并不是立即可取,一般需要1-2周时间。
3、美国。
美国的银行账户主要分两种:支票账户和储蓄账户,支票账户一般会对应一张Debit Card,储蓄账户可
以与支票账户做连接,当支票账户发生透支时连接账户可以自动划款。另外,一般银行还会有定期存款账户(Certificates of Deposit),利息相对较高。
eBanking(自助服务支票账户)网上流水单、网上及ATM存取款无服务费,My Access Checking个人支票账户。Advantage with Tiered Interest Checking有利息,利率与账户额有关,Small Business Checking Bun-die有两个账户Business Economy Checking account和Personal eBanking account。Growth Money MarketSavings Account利率随账户额增加而增大,支票账户可自动向它转账,Regular savings和支票账户之间可以相互转帐。
在对存款客户开立银行账户上,各家商业银行还是秉着“充分了解客户”的原则制定了严格的要求。如美联银行要求其存款客户开户时必须填报职业、所服务的公司名称、地址、家庭电话、办公电话、邮政编码等30多项数据和材料,这些要素只要缺一项,在电脑上都通不过,开不了户。与此同时,银行客户在使用银行账户时。当该账户一天的收付发生金额达到或超过1万美元时,商业银行必须在15个日历日内写出该账户的现金转移报告递交给财政部的货币监理官以备检查监督。
4、对比分析。
由上文可知国内外银行账户管理上有很大的不同,相比国内账户功能模糊来说,国外一些国家在账户分类、功能设置等方面不仅更加清晰合理,同时也使用户办理银行卡用途更加明确,使用更为便利。国外的这种管理模式无形之中为网络支付账户安全添加了一层屏障,这也是目前国内较为缺失的一块,对我国应对网络支付账户风险有很大的借鉴意义。虽然,网络支付安全问题是发达国家与发展中国家共同面对的问题,但是,相比其他国家,我国这方面问题比较严重,网络诈骗层出不穷、手段不断翻新。目前针对安全方面的措施主要集中在技术层面,即针对的是交易层面(路径、过程)的控制,但对于网络支付诈骗的源头银行账户却没有详细的涉及。
同时,从国内外的现状对比不难发现,我国目前安全隐患比较突出的一点是:银行个人结算账户兼具储蓄与支付功能,而且几乎无明确的分界定义。这意味着一旦在网络支付发生信息盗窃。整个银行卡的账户资金就处于暴露状态,支付风险加大。而反观国外情况,澳大利亚将日常结算账户与储蓄账户分离,英国对储蓄账户与支付账户密码分别设置,美国分支票与储蓄账户,都是较安全的账户管理方式。因此有必要从银行账户管理方面寻找网络支付安全的解决途径。
三、相关政策建议
鉴于我国网络支付所面临的风险现状,同时,借鉴国外的银行账户构造特点,为提高我国网络支付安全,本文建议:专门针对个人网络支付业务设立与储蓄账户分离的网络支付个人结算账户,并在此账户上实行限额支付的管理方法。网络支付个人结算账户可以以借记卡的形式,但两个账户要有主次之分。储蓄账户可以向支付账户手动转账或自动划款,网络支付个人结算账户用于取现、网络支付及刷卡消费。
对于储蓄账户,可以借鉴澳大利亚独立设置Ba-sic Account接收社会保障金的做法,对工资发放卡及社会保障权益发放的账户单独设定账户,并对这一账户的权限做较严的限定,比如要求柜台取现等,限制其进行网络支付。不久前,听说国内养老金要实行以身份证号作账户,如果可以的话,我国可以用这一账户作为一个特殊的有权限账户。
具体可以采用如下的方式实现对网络支付个人结算账户的管理:网络支付个人结算账户的具体形式可以是储蓄账户下挂一个类似电子钱包的小额网络支付个人账号,当发生小额网上支付时,可以用此电子钱包直接进行支付,不需要登陆个人网上银行。这样主要是考虑到网上银行功能实在太大,涉及信息比较多,网络支付犯罪又主要是针对个人网上银行,对于不必要的小额支付尽量在网络交易中避开网上银行。国外网络支付可以替代网上银行的途径可以是电子支票,我国由于支付体系以及网络资源的限制电子支票发展和推广还有很多问题与很大的局限,这也造成我国网络支付对网上银行的依赖比较大,而网上银行对于用户来说是一个比较大的系统,其中可能涉及用户的多张银行卡的多个账户信息,它的安全极为重要。为避免非必要的网上银行操作,有必要发展一种网银充值的小额类似电子钱包的账号,在发生小额网络支付时对这一账户单独进行认证。
在实际操作上,还要结合一些其他的措施:
(1)加强社会对银行账户功能的认知。由于国内结算账户相较国外功能更加综合、难界定,开户人必须对自己账户功能足够的认知和关注,一方面可以充分发挥账户的功能,另一方面也使自己更了解自己支付所面临的风险,加强保护意识,避免无谓的受骗。比如一些人对于个人账户的认知仅停留储蓄、存取款意义上,认为只要银行卡在自己手中就是安全的,殊不知一旦账户及密码信息一旦外漏,不法分子便可以通过网上支付、转账平台或伪造卡对账户进行操作,以网络支付的途径偷走用户的钱或给户主带来不良记录。
(2)严格账户开户程序,借鉴澳大利亚银行实行的“百分检查”制度,对资料真实性予以审查,对使用虚假信息者可以给予一定惩罚。在美国,个人开立银行账户一般应向银行出具至少两种带照片的个人身份证件。在日本,根据《本人确认法》的规定,银行等金融机构在客户开立账户或进行大笔现金交易时一定要确认其本人的有效身份,虚报身份者,将被处以50万日元以下的罚金。澳大利亚通过立法规定,开立银行账户时,银行除要认真核对申请人提交的护照、出生证、驾驶执照、教育经历记录、社会保障卡、有长期业务往来的第三方金融实体或客户的签字证明等有效证件或记录外,还实行“百分检查”制度,有效地遏制了伪造身份证明、提供虚假证明文件的现象。我国在这方面防范一直比较弱,开户仅需要身份证和少量个人信息,资料真实性审核工作也做得不够,需要进一步规范。
[关键词]电子商务 网络支付 安全
一、引言
随着国内电子商务的逐渐升温,网上交易的安全性问题日益引起关注,中国互联网络信息中心今年调查结果表明,目前用户最关心的问题就是网上交易的安全问题。国内统计资料显示, 过去一年,约有64%的公司因信息系统受到危害性攻击而拒绝服务。国内 90%以上的电子商务站点存在严重安全漏洞,与那些不从事在线商务的公司比起来,从事电子商务的公司网站遭遇“黑客”非法入侵的可能性要高出57%。通过这些漏洞,极易造成网上交易用户的账号交易密码出现泄漏情况,恶意攻击者甚至可以使用他人资金进行网上交易,这个安全漏洞直接影响了电子商务网站的信誉度,对国内电子商务的发展进程将产生重大影响。
二、电子商务网络中存在的问题
1.网络技术及应用漏洞
目前电子商务应用的操作系统都存在不同程度的网络安全漏洞,如果不对该系统进行经常的升级和维护,系统一旦遭到攻击就很可能泄漏系统信息,甚至导致系统的崩溃。另外,操作系统提供的无口令入口是为系统开发人员提供的便捷人口,但它也成了黑客的通道。在许多操作系统中都包含了各种常见的通用服务供用户使用,如网络中的磁盘共享、网络服务器访问、电子邮件、远程登录、文件传输等,这些都有可能成为人侵的途径。
2.人为的因素
工作责任心不强,没有良好的工作态度,经常擅自离开工作岗位,使不法分子有机可乘,人室盗窃机密信息和破坏系统。保密观念不强或不懂保密守则,随便让无关人员进人机房重地,随便向无关人员泄漏机密信息,随便乱放打印和复印的机密信息资料、记有系统口令和系统运行状态跟踪等方面内容的工作笔记、载有重要信息的系统磁盘和磁带等,都会酿成严重后果。缺乏职业道德的工作人员有时也会以超越权限的非法行为擅自更改、删除他人的信息内容,或利用专业知识和职务之便通过窃取他人的口令字和用户标识符来非法获取并出卖机密信息。
3.电脑病毒问题
随着网络技术的广泛应用,通过电子邮件、压缩文件传播病毒已经成为病毒传播的主要途径, 病毒种类更是呈多样化发展、其破坏性不断增强、其传染速度大大加快。各种新型病毒迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助干网络传播得更快,动辄造成数百亿美元的经济损失。
4.黑客问题
随着各种应用工具的传播,黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练,只是向网友下载了几个攻击软件并学会了如何使用,就在互联网上大干了一场。
三、电子商务网络的安全特性
1.电子商务网络安全的有效性
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.电子商务网络安全的机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
3.电子商务网络安全的完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
四、电子商务安全支付协议的重要性
1.电子商务安全支付协议的实施,可以解决电子商务发展对网络安全的需求。随着电子商务的迅速发展,越来越多的商务活动得以在网上运行,大量经济信息在网上传递。
2.安全支付协议的使用可以实现信息的保密性。为实现网上交易,卖方和银行必须使顾客相信他们提供的银行卡信息受到保护,只有特定的被授权者才能看到,必须保证结算卡账户和结算信息在网络上传输时得到安全措施的保护,防止银行卡号、密码和交易日期等在网上传输时被他人截获。
3.安全支付协议可以保证身份认证的准确完成和交易数据的准确。无论实现网上的任何交易,都必须事前确定各方的真实身份。这一切都可以通过数字证书和认证中心来完成,同时需要安全支付协议的支持。
五、如何解决电子商务安全问题
1.要严格保障信息系统的可靠性
可靠性一般是指系统能够全天候运行,强调一个不停机系统。为保证这一点,除了选择好主机系统的硬件平台外,必要时还要运用容错和多机备份技术。对于系统是要求联网运行的,还要求有通信线路的冗余备份。
2.系统的安全管理是保证
确立电子商务的生命保障,需要有信息安全保障的思想,并做到安全意识和管理思想上的到位和落实;完善安全管理制度,配备专门的安全管理人员,逐步提高安全技术设施,使投入与所需要的安全功能相适应。
六、总结
电子商务的主要特征是在线支付,实现电子商务的关键是保证在线支付过程中的安全性。为了保证在线支付的安全,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境,保证参与交易活动的各个主体的身份及信用卡号不会被盗用,这样用户才可以放心地进行在线支付。网络安全性是一个涉及面很广泛的问题,关系到企业的生存与发展。网络的安全性将会越来越受到人们的重视。
参考文献:
[1] 何芳. 电子商务安全问题分析[J]. 电脑知识与技术(学术交流), 2006, (36)
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
购物车(0)
