序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗���,特別為您篩選了11篇網(wǎng)上支付安全措施范文����。如果您需要更多原創(chuàng)資料,歡迎隨時與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識��!
篇1
一���、網(wǎng)上支付是電子商務的重要組成部分
完整的電子商務運作過程一般包括商情溝通、資金支付����、商品配送三個環(huán)節(jié)。在Internet環(huán)境下�����,賣方通過在網(wǎng)上創(chuàng)建主頁的方式��,推出產(chǎn)品展示等信息���;買方則隨時通過網(wǎng)址訪問對方主頁�,查詢所需商品信息����,當選定商品時即可向賣方發(fā)出求購信息���;賣方在收到買方信息后,雙方則就交易的具體細節(jié)進行溝通����;達成協(xié)議后��,雙方通過金融機構進行網(wǎng)上支付����;最后完成商品交接的配送工作。由此可見�,網(wǎng)上支付是與網(wǎng)上交易緊密結(jié)合、互為條件的��。網(wǎng)上交易不確定���,網(wǎng)上支付不會發(fā)生�;而網(wǎng)上支付不進行�,網(wǎng)上交易也不能最終完成。因而��,網(wǎng)上支付與電子商務有著必然的聯(lián)系,網(wǎng)上支付是電子商務最核心��、最關鍵的環(huán)節(jié)�����,是交易雙方實現(xiàn)各自交易目的的重要一步�,也是電子商務得以進行的基礎條件。電子商務的實施與發(fā)展���,急需網(wǎng)上支付機制的支持��。需要銀行業(yè)的積極介入�。
二�、電子商務中的網(wǎng)上支付工具
廣義地講,網(wǎng)上支付是發(fā)生在購物者和銷售者之間的金融交換�����。而這種交換的內(nèi)容通常 銀行所支持的某種數(shù)字金融工具���。因此����,要完成Internet上的支付活動,首先涉及到的問題就是采用何種方式來實現(xiàn)這一過程���。目前����,網(wǎng)上支付工具主要包括銀行卡支付�����、電子支票�����、電子現(xiàn)金和網(wǎng)上銀行��。
(一)銀行卡支付�����。目前我國開展的網(wǎng)上支付主要是以銀行卡為工具的網(wǎng)上支付����,所面臨的基本上是借記卡環(huán)境���。實施銀行卡網(wǎng)上支付需具備以下兩個條件:第一����,各發(fā)卡行的授權和結(jié)算環(huán)節(jié)必須暢通;第二�����,要實現(xiàn)全國銀行卡業(yè)務與網(wǎng)絡的充分結(jié)合�。
(二)電子支票。支票一直是銀行采用的支付工具之一��,但在電子商務環(huán)境下����,傳統(tǒng)的紙質(zhì)交易難以滿足現(xiàn)實的需要,必須用電子支票來代替��。但是電子支票主要依賴于當事人的信用度����,在目前的現(xiàn)實情況下難以被大面積的推行。
(三)電子現(xiàn)金�����。電子現(xiàn)金不同于信用卡和借記卡,它不僅具有人們手持紙基現(xiàn)金的基本特點��。而且把計算機網(wǎng)絡化的方便性以及比紙基現(xiàn)金增強的安全性和私密性結(jié)合在了一起��,電子現(xiàn)金的多功能性開創(chuàng)了大量的新型市場和應用�����。在國外��,電子現(xiàn)金已被運用于電子商務中��。我國目前對電子現(xiàn)金的研究還不是很成熟����。
(四)網(wǎng)上銀行既是電子商務范疇之一�,又為電子商務提供網(wǎng)上支付服務,它是依托Internet的發(fā)展而興起的一種新型銀行服務手段����,具有快捷方便、無時空限制���、不間斷服務��、成本低廉等特點�����。自從1995年10月美國“安全第一網(wǎng)絡銀行”誕生以來�����,網(wǎng)上銀行已成為金融機構拓寬服務領域����、爭取業(yè)務增長的重要手段,并且���,由于網(wǎng)上交易可通過登錄網(wǎng)上銀行來完成支付結(jié)算����,網(wǎng)上銀行在過也得到了����。
二、電子商務安全保障體系及技術手段
(一)電子商務系統(tǒng)為保密而采用的數(shù)字簽名"密鑰管理與認證中心��。
人們習慣于用看得見摸得著的方式"作為處理大多數(shù)事務的憑據(jù)"比如(用戶簽字采用數(shù)字簽名的管理方式���,為電子商務系統(tǒng)提供了可行性和有效性��,在電子商務管理中"有很多地方要用到數(shù)字簽名����,例如(不同用戶的電子印章管理應該采用電子簽名的方式"買賣雙方"訂單申請方"采購方"交貨方"發(fā)貨方"收貨方等’為確保信息的可信性和完整性"應該采用數(shù)字簽名的方式。
(二)認證中心�����。
為保證網(wǎng)上數(shù)字信息的傳輸安全�����,除了在通信傳輸中采用更強的加密算法等措施之外�,有必要建立一種信任及信任驗證機制!即參與電子商務的各方必須有一個可以被驗證的標識�����,這就是數(shù)字證書����、數(shù)字證書是各實體在網(wǎng)上信息交流及商務活動中的身份證明�����,該數(shù)字證書具有唯一性,它將實體的公開密鑰同實體本身聯(lián)系在一起���,為實現(xiàn)這一目的�����!必須使數(shù)字證書符合國際標準���,同時數(shù)字證書的來源必須是可靠的,這就需要有一個網(wǎng)上各方都信任的機構專門負責數(shù)字證書的發(fā)放和管理�,確保網(wǎng)上信息的安全。這個機構就是US認證機構�,即數(shù)字證書認證中心各級US認證機構的存在組成了整個電子商務的信任鏈,參與電子商務處理的各方都必須擁有合法的身份��!即由數(shù)字證書認證中心機構簽發(fā)的數(shù)字證書��,在商務處理的各個環(huán)節(jié)�,各方都需檢驗對方數(shù)字證書的有效性!從而解決了信任問題涉及到電子商務中各主要參與方的身份信息嚴格的加密技術和認證程序�����。
三、第三方支付平臺存在的問題
(一)第三方支付平臺存在安全隱患�。
現(xiàn)在,越來越多的人選擇通過第三方支付平臺進行網(wǎng)購�。第三方支付平臺上的個人賬戶里沉積了大量資金,但資金沉淀出現(xiàn)后���,必然會帶來資金安全的隱患�。第三方支付平臺是為了維護交易公正性�����,提高交易雙方的信心��,保障了顧客和商家各自的利益����。但一旦第三方支付平臺的賬戶被竊取,其負面影響將是巨大的�����。因此安全風險問題不能忽視��。
(二)缺乏完善的法律制度�。
在我國電子商務法律法規(guī)中,雖然出臺了相關的法律法規(guī)���,但關于第三方支付的法律法規(guī)很少��,且不完善�����。如關于第三方支付中�,資金沉淀的所有權和使用權的歸屬問題等都存在嚴重的立法不足或具體條款不明晰. 政府必須通過相關立法進行規(guī)范���。
(三)第三方支付平臺缺乏獨立性��。
目前國內(nèi)的第三方支付平臺大多是與網(wǎng)購網(wǎng)站��、網(wǎng)絡商城綁定在一起的���。而且,每個第三方支付平臺之間沒有互聯(lián)互通����。不同的網(wǎng)購站點,它所支持的第三方支付平臺也是不同的。這樣給消費者帶來了不便��,也使商家無形中損失了很多潛在的客戶���。
(四)資金非法套現(xiàn)和轉(zhuǎn)移問題����。
通過第三方支付模式的一些漏洞��,可能會出現(xiàn)資金非法套現(xiàn)和轉(zhuǎn)移情況����。比如有的網(wǎng)上交易實際上并沒有進行真正的消費,而是制造一筆虛假交易���,通過銀行卡支付后���,錢進入了支付平臺的帳戶,通過帳戶轉(zhuǎn)移到銀行�,從銀行取現(xiàn),實際上是為了套取現(xiàn)金����。本來銀行對信用卡的取現(xiàn)有一套控制制度��,通過交易成本控制資金的使用度���。但是網(wǎng)上交易避開了這些?�,F(xiàn)在很多網(wǎng)站買賣都是免費的����,成本幾乎就是零,通過第三方支付平臺�����,資金的套現(xiàn)和轉(zhuǎn)移將會更為方便����。第三方支付企業(yè)本身不提供存款和貸款,不進行托收�,信用卡,傳統(tǒng)銀行中間業(yè)務等���,與傳統(tǒng)銀行還是有比較明顯的差別的����,因此,它不是銀行����。但它預收資金,或者有沉淀資金���,又確有資金利息問題�,確有金融和道德風險等問題�����。
(五)相關部門對第三方支付平臺監(jiān)管力度不夠���。
央行等監(jiān)管部門對第三方支付平臺的監(jiān)管力度不夠�,而第三方支付機構的安全意識薄弱�,如“匯付天下”采用過“即時到帳”,用戶的安全得不到保障���,容易產(chǎn)生交易糾紛�����。安全措施不到位���,安全管理體制不健全��,安全管理制度不完善�,安全技術防護能力薄弱����,安全漏洞多����,監(jiān)管部門監(jiān)管又不得力,商家客戶的利益得不到保證���,也影響了第三方支付平臺的發(fā)展���。
(六)競爭壓力較大。
獲得首批支付牌照的企業(yè)無疑獲得市場的先發(fā)優(yōu)勢��,包括率先樹立企業(yè)品牌��、建立與相關領域企業(yè)的合作����、迅速進行業(yè)務拓展以搶占市場等方面��。而未獲牌照的企業(yè)�����,則面臨著新業(yè)務拓展不力���、客戶資源流失等壓力,不得不尋求收購或重組�。還有第三方平臺間的價格戰(zhàn),相互攻擊等����,因此第三方支付平臺競爭壓力也是很大的。
四���、第三方支付平臺的發(fā)展對策
根據(jù)目前第三方支付平臺的應用現(xiàn)狀和存在的問題����,第三方支付平臺必須明確自己的市場定位以及制定科學合理的發(fā)展戰(zhàn)略�����,對策如下:
(一)第三方平臺落實網(wǎng)絡安全措施�。
第三方平臺應加強安全意識和信息安全體系建設��,通過實名認證�,全額賠付等辦法解決資金被盜�,網(wǎng)絡詐騙,如團購網(wǎng)站借第三方平臺進行網(wǎng)絡釣魚�,非法轉(zhuǎn)移他人資金。必須考慮資金安全風險��,網(wǎng)絡安全風險����,落實具體的網(wǎng)絡安全措施�����,保障用戶資金的安全和用戶賬戶信息的安全�����。從技術上做到無懈可擊���,提高網(wǎng)上交易信息和數(shù)據(jù)的真實性�,完整性��,可追溯性及安全性。
(二)健全和完善第三方支付法律法規(guī)制度��。
目前對于第三方支付的法律法規(guī)較少����,第三方支付平臺出現(xiàn)的安全問題越來越多,取證又困難���,必須出臺相關的法律法規(guī)來規(guī)范商家����,用戶和第三方支付企業(yè)的行為����。
(三)牌照不能一發(fā)了之,要加強市場監(jiān)管機制���。
除了政府監(jiān)管部門應該加強監(jiān)管外�, 第三方支付業(yè)還應該健全退出機制�����,讓第三方支付公司朝更規(guī)范方向發(fā)展。央行不能發(fā)放牌照后一發(fā)了事���,有個支付許可證就不監(jiān)管第三方平臺在開展業(yè)務中存在的問題��,損害用戶的利益����。央行作為第三方支付的主要監(jiān)管者���,要對其業(yè)務準入�,交易行為���,經(jīng)營行為等方面實施全面監(jiān)督管理���,以規(guī)避運營風險����,保護客戶利益。
(四)加強監(jiān)管資金運營安全�����。
第三方支付平臺沉淀了大量用戶的資金,必須加強監(jiān)管資金運營安全��,防止資金非法轉(zhuǎn)移或被釣魚網(wǎng)站套現(xiàn)����。
(五)做好信用。
目前我國信用體制不健全����,買賣雙方相互信任度不高,尤其是C2C模式的信用問題比較突出����。第三方支付平臺要抓住這個市場空白,做好信用中介:即不參與買賣雙方的具體業(yè)務����,不觸及客戶商業(yè)信息,對商家和消費者提供雙向財產(chǎn)保護����,不僅保存交換支付信息,而且保留商戶和消費者的有效交易電子證據(jù)�,作為交易糾紛時的仲裁證據(jù)。逐步樹立自己的公信度和企業(yè)形象����。中介電子支付的發(fā)展必須有良好的信用做保障�����。
(六)進行產(chǎn)品創(chuàng)新��。
國際上的金融產(chǎn)品數(shù)量幾千種�,而國內(nèi)銀行開發(fā)的金融產(chǎn)品較少�����。國內(nèi)銀行因多種因素限制而創(chuàng)新緩慢�����,金融產(chǎn)品數(shù)量少�����。因此在一些傳統(tǒng)銀行涉及不到的領域�����,第三方支付平臺企業(yè)可以協(xié)助����、甚至代替銀行開發(fā)多種金融產(chǎn)品,不斷進行金融產(chǎn)品的創(chuàng)新���,同時開展多業(yè)務�、多銀行���、多渠道的服務創(chuàng)新���。如與多家銀行進行連接,提供網(wǎng)上支付���、電話支付����、手機支付���、短信支付�、WAP支付和自助終端等多種支付方式�,成為銀行、銀聯(lián)在線支付的補充形式����。
(七)提供強大的增值業(yè)務���。
第三方支付平全可以依托自己強大的IT、電商����,財務、咨詢等專業(yè)人員�����,為用戶提供傳統(tǒng)銀行不愿提供的或提供不了的增值業(yè)務�����,如:財務報表�����、數(shù)據(jù)分析����、管理咨詢分析等,以增加自己的贏利途徑�,吸引更多的用戶, 為第三方支付平臺企業(yè)的發(fā)展打下良好的基礎����,并逐步提升自己的核心競爭力。
(八)加強管理信息化建設��。
面對企業(yè)間的激烈競爭和電子商務迅猛發(fā)展對第三方支付平臺的深層次性和全面性要求�,如何充分利用好第三方支付管理信息化建設,整合社會資源�、交易成本、提高網(wǎng)上交易效率���,已成為當前第三方支付平臺重點思考的問題��。無論是樹立公信度還是增強管理的易用性��,第三方支付企業(yè)都必須從管理上著手����,只有做到管理的信息化��,建立第三方支付平臺的管理信息系統(tǒng)���,才能提高網(wǎng)上交易支付的速度�,讓網(wǎng)民更信任網(wǎng)上交易,從而促進網(wǎng)絡經(jīng)濟的迅速發(fā)展����。總之���,未來的第三方支付平臺應當更加完善�����,解決自身存在的問題�。以一個安全����、可靠、公正的姿態(tài)成為人們網(wǎng)購的主流消費模式�����。第三方支付平臺還可能成為互聯(lián)網(wǎng)信用檢測的重要組成部分��。它上面儲存的大量用戶信用信息�����,可以作為銀行向企業(yè)或個人提供信貸融資的參考依據(jù)。
結(jié)語
總之����,中國的電子商務仍處于發(fā)展完善階段��??梢哉f還不是完全意義上的電子商務,且由于我國存在法律不建全��、信用制度不完備�、銀行支付手段不配套、網(wǎng)上安全難以保障等諸多方面的原因�。使得目前我國電子商務的發(fā)展出現(xiàn)了“雷聲大。雨點小”的局面��。怎樣才能促使我國的電子商務盡快有較大程度的實質(zhì)性的進展�����,本文認為���,盡量借鑒國外電子商務中網(wǎng)上支付的先進經(jīng)驗�。并結(jié)合我國的客觀情況���,發(fā)展符合中國國情的網(wǎng)上支付系統(tǒng)將是一項現(xiàn)實和明智的選擇���。
參考文獻:
篇2
不只是支付企業(yè)重視支付安全��,最近�,銀行方面也加強了網(wǎng)上支付安全方面的投入�����,相繼推出的各項措施都十分引人注目����。
9月19日,招商銀行安全通告���,2007年9月20日對安全控件進行升級�。
2007年11月1日�����,中國農(nóng)業(yè)銀行正式推出一款保障電子銀行安全的新產(chǎn)品――動態(tài)口令卡�,還特別推出口令卡免費領取活動。
2007年10月11日,中國工商銀行了關于預防在線支付網(wǎng)頁詐騙資金的安全提示����,提醒人們注意識e不法分子通過即時聊天工具、電子郵件等向客戶的虛假信息�。
此外,中國人民銀行副行長蘇寧也指出�����,“人民銀行非常關注網(wǎng)上貨幣的發(fā)展��,正在研究各種措施���,使它規(guī)范運行,既給企業(yè)�����、居民提供一個良好的新的支付工具�,同時又防范風險,保護老百姓權益���?���!?/p>
支付安全受到如此重視,一方面是因為電子商務蓬勃發(fā)展�����,網(wǎng)上支付已經(jīng)成為人們生活中的重要工具��;另一方面��,則是因為支付安全仍然是阻礙人們使用網(wǎng)上支付的主要因素��?���!?007中國消費者網(wǎng)上支付應用調(diào)查報告》調(diào)查表明,61.7%的被訪者在進行網(wǎng)上購物時首選網(wǎng)上支付���,79.5%的被訪者認為安全或便捷是影響網(wǎng)上支付主要因素�。安全���、便捷的支付方式�,成為當前網(wǎng)上支付市場主要的需求點��。
網(wǎng)上盜號風起云涌網(wǎng)上犯罪或進入高發(fā)期
近年來國內(nèi)網(wǎng)上支付市場交易額增長迅猛,2007年Q3中國第三方網(wǎng)上支付市場交易額達到了255億元��,但是網(wǎng)上盜號也是風起云涌��。中國金融認證中心總經(jīng)理李曉峰說�,網(wǎng)銀在給公眾和企業(yè)帶來方便的同時,也引起了不法分子的窺視�����?�!斑^去針對網(wǎng)上銀行犯罪的黑客��,開始是非獲利性質(zhì)的�,但現(xiàn)在正向獲利性�、團伙性和產(chǎn)業(yè)化方向發(fā)展,網(wǎng)上銀行的犯罪分工日漸細化���。如果一個領域犯罪的分工細化到這個程度�,這個領域就可能進入一個犯罪的高發(fā)期����。”因此,及時制定安全保護措施是當前網(wǎng)上支付工作的重中之重��。
業(yè)內(nèi)人士指出��,要避免這些問題�����,需要各方面的協(xié)同配合:銀行方面要采取足夠的安全手段�����,或者根據(jù)不同用戶特點����、交易特點提供不同的安全手段;政府需要加強行業(yè)監(jiān)管�����,盡快頒布實施相應法規(guī)��,用戶則需要提高安全保護意識等����;但是最直接�����、最有效的措施還是從技術上進行防護�。
安全保護出現(xiàn)三大類型安全技術完成三級跳
目前���,人們使用的安全保護技術主要分為三大類:一類就是最初出現(xiàn)的動態(tài)密碼�����,現(xiàn)在已經(jīng)普遍為各類網(wǎng)站采用�����;第二類就是數(shù)字簽名��、數(shù)字證書���,例如建行推出的UKEY���、支付寶推出的數(shù)字證書等�;第三類是硬件保護措施�����,例如工行推出的U盾、快錢推出的快錢盾等����;三類保護技術的安全系數(shù)基本上呈遞增關系。此外�����,剛剛開始應用的生物特征識別技術也值得關注��,但目前其安全系數(shù)還比較難確定����。
動態(tài)密碼作為基礎的保護措施,能防止最基本的暴力破解���,但是也基本處于不斷變換外表�、防止機器識別的狀態(tài)�����。
數(shù)字證書被認為是目前安全級別相當高的保護措施�,但是并非無懈可擊�����,數(shù)字證書的使用都是在用戶登陸支付頁面時下載并安裝����,防御手法還是被動式防止破解���。安全專家分析說�����,手段高明的駭客仍舊可以截獲用戶沒有來得及發(fā)出的數(shù)據(jù)��。
U盾等的推出是對數(shù)字證書的一項提升�����,它將密鑰存儲于安全介質(zhì)之中�����,無法從外部直接讀取,對密鑰文件的讀寫和修改都必須由內(nèi)部的程序調(diào)用�����。但是由于與網(wǎng)絡直接接觸,還是要防止更加高端的暴力破解技術攻擊�。
篇3
中圖分類號: TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)12-0193-02
隨著信息技術的飛速發(fā)展,以及人們對工作���、學習��、娛樂�、消費的便捷性要求越來越高���,各種信息技術產(chǎn)品層出不窮�。尤其是因特網(wǎng)普及后�����,消費者和服務商之間面對面的交易不再是必須����,網(wǎng)上支付帶來了極大的便捷性,交易各方利用銀行所支持的數(shù)字金融工具���,通過因特網(wǎng)進行交融交換�����,實現(xiàn)用戶到金融機構��、商家之間的在線貨幣支付��、現(xiàn)金流轉(zhuǎn)���、資金清算��、查詢統(tǒng)計等過程�,為電子商務和其他服務提供金融支持[1]���。
現(xiàn)金轉(zhuǎn)帳�����、購物支付���、網(wǎng)上繳費等網(wǎng)上支付業(yè)務極大地方便了人們的生活和工作,這種新穎快捷的支付方式被越來越多的消費者接受�����。足不出戶�,就可以實現(xiàn)輕松生活,網(wǎng)上支付成為許多人日常生活不可缺少的支付方式����。
但與此同時,網(wǎng)上支付的安全事件不時發(fā)生����,給用戶造成了或多或少的財產(chǎn)損失和大量的個人信息泄露,令人們在使用網(wǎng)上支付時難以真正放心�����。
1 網(wǎng)上支付過程
通過分析網(wǎng)上交易參與各方的活動����,網(wǎng)上支付的組成要素有:因特網(wǎng)(Internet),客戶�,商家,開戶銀行���,支付網(wǎng)關����,銀行網(wǎng)絡,認證中心�����。其工作流程如圖1所示���?��?蛻敉ㄟ^個人計算機或者移動終端訪問商戶的網(wǎng)站,登錄時與認證中心交互�����,取得自己的個人信息用于身份鑒別�����;客戶選擇商品或服務后����,確認下單,其信息及購物款項信息就會被加密發(fā)送到支付網(wǎng)關��,支付網(wǎng)關與客戶的購物支付卡發(fā)卡銀行通信,驗證其合法性�;通過后,確認支付和購物交易合法有效���;其后����,物流將商品送至客戶處���,客戶確認收貨后,交易完成�����。
目前�����,網(wǎng)上支付方式包括通過網(wǎng)上銀行進行的轉(zhuǎn)賬支付(即銀行網(wǎng)關模式)��、通過第三方平成的支付(即第三方支付平臺模式)[2]�,銀聯(lián)模式和電子現(xiàn)金等。其工作原理分別如下:
(1)銀行網(wǎng)關模式:商家與銀行簽約��,其網(wǎng)站平臺直接鏈接到銀行網(wǎng)銀系統(tǒng),客戶購物交費實際上就是將現(xiàn)金直接轉(zhuǎn)帳到商家�。
(2)第三方支付平臺模式:電子商務平臺先鏈接到第三方支付平臺,支付平臺再和銀行鏈接而完成支付手段的一種方式�。我國的第三方支付行業(yè)發(fā)展迅猛,有獨立的支付企業(yè)諸如快錢���、易寶��、首信易等����,而作為電子商務平臺延伸的在線支付工具如淘寶的支付寶����、騰訊的財付通、百度的百付寶等[3]���。
(3)銀聯(lián)模式:在銀聯(lián)在線支付的網(wǎng)站完成的支付模式���。
(4)電子現(xiàn)金。在支付機構注冊虛擬賬戶�,通過向虛擬賬戶充值進行相關支付業(yè)務,如購買游戲幣�、QQ幣等��。
這些支付模式既可以通過PC機支付�����,也可以通過手機���、平板等移動智能終端完成。分析網(wǎng)上支付過程和支付形式����,客戶端��、網(wǎng)絡協(xié)議�、互聯(lián)網(wǎng)基礎設施、支付網(wǎng)關等處都可能存在風險�。網(wǎng)絡支付安全是一個系統(tǒng)工程,需要銀行���、支付機構�����、安全廠商�����、商戶���、網(wǎng)絡管理部門以及消費者共同努力�。
從目前網(wǎng)絡支付的發(fā)展水平和出現(xiàn)的網(wǎng)絡支付案例來看���,各個銀行針對網(wǎng)上支付采用的安全技術和手段(如一次性口令�、USB KEY�、短信驗證碼等)都較成熟,達到了很高的安全性����。而網(wǎng)上支付安全事件的發(fā)生在大多數(shù)情況是用戶安全防范意識薄弱和相應的安全技能不足所致。下面列出網(wǎng)上支付可能存在的一些風險�。
3 網(wǎng)上支付的風險分析
3.1 用戶的身份冒充
這種攻擊基于用戶身份信息被盜用。攻擊者通過非法手段(如植入木馬��、釣魚等)盜取合法用戶的身份信息����,仿冒其身份進行轉(zhuǎn)帳或與他人交易,或?qū)嵤┰p騙以獲得非法利益�����。
已發(fā)生的諸多案例都表明,國內(nèi)很多網(wǎng)站都存儲了用戶的基本信息(包括姓名�����、銀行卡號等)�����,但其都或多或少存在安全漏洞�����,容易被入侵而導致大量完整的用戶信息被泄露����。國內(nèi)外都有復制信用卡�����,盜刷的事件報道�����。除此之外,電信詐騙��、二維碼含惡意鏈接、釣魚網(wǎng)站����、手機木馬等威脅也會造成大量銀行卡信息的泄露�����。而目前正在快速發(fā)展的很多帶有閃付功能的銀行卡�,還能在近距離非接觸的情況下通過特定終端讀取用戶信息,這種讀取方式靜默����,很難發(fā)現(xiàn)。
3.2 敏感數(shù)據(jù)泄露
網(wǎng)上支付的敏感數(shù)據(jù)一般包括個人信息(姓名���、銀行卡號�����、通信地址等)和購物信息(商品名稱�、價格、數(shù)量�、購買時間等)。這些數(shù)據(jù)有可能在傳輸中泄漏���、丟失或被篡改���,如攻擊者利用電磁泄漏或搭線竊聽等方式截獲還原傳輸?shù)倪@些敏感信息,或通過對信息流向���、流量�、通信頻度和長度等參數(shù)的分析�,探測和分析有用信息。
3.3 交易數(shù)據(jù)篡改
攻擊者通過在客戶的計算機上植入木馬��、制作釣魚網(wǎng)頁或截獲傳輸中的信息���,篡改其交易數(shù)據(jù)����,如修改消息次序�����、時間��、數(shù)量��、金額����,注入偽造消息、重放交易等�,使信息失去真實性和完整性。
3.4 商家假冒或欺詐
商家被別人假冒�,提供假貨或者收到付款后抵賴交易。
4 網(wǎng)上支付的安全對策
為加強網(wǎng)上支付的安全����,需參與各方從技術和管理兩方面同時著手,在技術上提高安全性���,同時在規(guī)范管理上防范非法行為�。技術上包括:
4.1 個人計算機或移動終端安全
一般硭擔作為公共基礎設施的支付網(wǎng)關和電子商務網(wǎng)站等的安全性都是較高的��。而個人使用的計算機和移動終端的安全性堪憂���。因此�,個人計算機要及時安裝和更新病毒木馬查殺軟件,及時升級操作系統(tǒng)和應用軟件��,不輕易打開不明文件和訪問安全性未知的網(wǎng)站���,不下載安裝安全性未知的軟件�,不接入公共wifi和使用公共計算機進行登錄和支付����,以防止計算機被黑客攻擊,導致個人信息泄露���。
4.2 密碼技術
一方面�,采用密碼相結(jié)合的多因子身份認證技術�,加強身份認證的強度,防止身份信息被竊取���、盜用和假冒�,如數(shù)字證書�、短信驗證碼、動態(tài)口令�����、USB Key等��。另一方面����,采用加密技術對用戶信息和支付數(shù)據(jù)進行加密,防止敏感信息泄露和被篡改�����。計算機或手機上安裝基于密碼技術的數(shù)字證書后��,即使賬戶支付密碼被盜�,也需要在已經(jīng)安裝了數(shù)字證書的計算機上才能支付,保障資金安全����。
4.3 網(wǎng)絡基礎設施安全
采用多種措施保證網(wǎng)絡基礎設施安全,包括操作系統(tǒng)���、網(wǎng)絡協(xié)議�、數(shù)據(jù)庫����、硬件設施等�,這與技術的發(fā)展緊密相關�。
管理方面的措施,主要針對組織和人而言�����。其主要工作是加強網(wǎng)上支付的監(jiān)管����,要求監(jiān)管機構、銀行和商家做好安全措施��,并教育消費者樹立安全意識���,養(yǎng)成良好的安全習慣�����。
4.4 建立與完善網(wǎng)上支付的法律法規(guī)
隨著網(wǎng)上業(yè)務在我國的發(fā)展�,國家相繼出臺了多部法律法規(guī)���,如《中華人民共和國電子簽名法》明確了電子簽名的法律有效性���,使得網(wǎng)上業(yè)務受到法律保護���;《電子認證服務管理辦法》、《電子支付指引》���、《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》等法律法規(guī)針對網(wǎng)上業(yè)務領域給出了一些具體的指導意見。但違法交易所要承擔的法律責任�,法定的電子貨幣發(fā)行人、合理的貨幣識別制度以及電子貨幣使用中各方隱私權保護制度等法律問題[4]上還需要進一步明確��。而作為金融監(jiān)管機構的中央銀行則要結(jié)合我國國情并借鑒國外發(fā)展經(jīng)驗���,嚴格技術標準��,強化業(yè)務監(jiān)管��。
今年11月���,國家出臺《中華人民共和國網(wǎng)絡安全法》,在網(wǎng)絡安全各方面將做出指導性規(guī)定���。而在這部法律出臺后����,各領域相關配套的法律法規(guī),包括網(wǎng)上支付方面的法規(guī)也會隨后推出�,以規(guī)范網(wǎng)上支付活動,打擊違法犯罪�,保護合法權益。
4.5 加強法制和安全意識宣傳
通過多種途徑宣傳和公開典型案例���,警示用戶樹立安全意識����,培養(yǎng)良好的安全習慣��,比如電信詐騙案例����、短信二維碼惡意鏈接案例、網(wǎng)絡釣魚案例�、其他社工案例等。通過宣傳�����,促使用戶采用銀行等機構提供的安全產(chǎn)品和采納銀行等機構的安全建議��,提高安全防護能力����,如密碼強度足夠����,并與其它密碼不同����,支付卡專用����,金額隨用隨存等。在網(wǎng)絡支付發(fā)現(xiàn)情況有異時��,如頁面跳轉(zhuǎn)�����、不停要求輸入信息或彈出無關提示等時�����,停止操作以止損�,并報警和保護現(xiàn)場。同時�,加強對網(wǎng)絡不法行為的追查處罰力度����,威懾不良企圖者���,減少違法行為發(fā)生的可能性�。
4.6 網(wǎng)絡實名制
今年電信實名制也真正落實實施����,將對電信詐騙起到很強的防范作用。
同樣����,通過網(wǎng)絡實名制,使得網(wǎng)絡上的虛擬身份能與現(xiàn)實社會的身份對應�,防止交易抵賴,方便追究和落實相關責任人���。同時����,網(wǎng)絡實名制也將對攻擊者形成強大的威懾力�,利用網(wǎng)上支付實施的違法犯罪行為也將大大減少。
5 結(jié)語
網(wǎng)絡支付應用已非常廣泛,只有保證其安全性才能健康穩(wěn)定發(fā)展����。本文基于網(wǎng)絡支付可能存在的風險,從技術�、管理等方面提出了相應的安全對策,防止用戶的財產(chǎn)損失和個人信息泄露��。
參考文獻
[1]劉亞軍.網(wǎng)上支付系統(tǒng)的安全性研究[J].現(xiàn)代電子技術�����,2013�����,36(8):74-76.
篇4
網(wǎng)上書店是電子商務的一種具體形式���,它是企業(yè)通過在互聯(lián)網(wǎng)上開設網(wǎng)上書店,消費者通過網(wǎng)絡瀏覽圖書信息���,并在網(wǎng)上下訂單����,采用多種方式支付的一種經(jīng)營模式。網(wǎng)上書店利用信息技術�,將出版者、供應商��、作者�、讀者及其他相關環(huán)節(jié)如銀行、運輸業(yè)等聯(lián)系在一起�,改變了圖書運作流程與交易模式。
目前以網(wǎng)上書店為代表的出版物在線銷售面臨著良好的發(fā)展機遇��,隨著網(wǎng)上書店在我國的普及�,其信息安全問題顯得尤為重要。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的�。而互聯(lián)網(wǎng)是開放性的技術,網(wǎng)上書店則建立在這樣一個開放的網(wǎng)絡環(huán)境之中�,很多人可以匿名、隱身連接在互聯(lián)網(wǎng)上����,造成諸多不安全的因素,其中既有網(wǎng)絡自身的技術安全問題��,比如病毒���、黑客攻擊����,還包括網(wǎng)上書店這一電子商務交易形式自身的眾多信息安全問題。
一���、網(wǎng)上書店的信息安全問題
由于網(wǎng)絡的虛擬性�����,網(wǎng)上書店交易的雙方并不見面�,其交易完全通過網(wǎng)絡進行��,網(wǎng)上書店的運營模式與傳統(tǒng)圖書發(fā)行相比在信息�����、購買支付�、物流發(fā)送等環(huán)節(jié)更依托網(wǎng)絡手段����。因此信息的真實性、可靠性受到特別的重視���。目前在圖書信息的真實性�����、書商及購書客戶身份的合法性����、網(wǎng)上支付購書費用信息的完整性與不可否認性,特別是安全認證問題和網(wǎng)上支付的安全性等方面都不能完全消除人們的疑慮����。
對于網(wǎng)絡自身的技術安全問題,可以采用防火墻��、防病毒��、訪問控制和防攻擊等常用網(wǎng)絡安全措施來解決�����。而網(wǎng)上書店購書的安全問題主要來自于:購書客戶私人信息被截獲和竊?�?���;購書物流中訂單信息的篡改;網(wǎng)上書商及購書客戶的信息假冒�;購書交易網(wǎng)上的在線支付安全和支付抵賴等���,都需要采取專門的措施來應對。
二����、網(wǎng)上書店信息安全問題的解決對策
1. 加強個人身份驗證
通過對網(wǎng)上支付認證手段的分析來看,身份確認是信息安全的薄弱環(huán)節(jié)���,而銀行的數(shù)據(jù)也表明支付否認是發(fā)生交易爭議的主要原因�。采用個人身份驗證技術能夠保護購書客戶私人信息及商務數(shù)據(jù)在公共網(wǎng)絡上傳輸時不被竊聽�����、篡改���、頂替及非法使用�。認證手段通常有4種: 一是用戶名和密碼�����;二是動態(tài)密碼���,分為有源動態(tài)密碼和無源動態(tài)密碼�����;三是多因子的論證����,包括手機短信和個人信息等����;四是證書認證。
首先��,在網(wǎng)上書店交易過程中�,每個購書客戶都有自己獨有的用戶名和密碼,而在提交任何關于自己的敏感信息或私人信息尤其是信用卡號之前�,一定要確認數(shù)據(jù)已經(jīng)加密,并且是通過安全連接傳輸?shù)?�。購書客戶的瀏覽器和Web站點的服務器都要支持有關的工業(yè)標準��,如SET(Secure Electronic Transaction)和SSL(Secure Sockets Layer)等�。在客戶購書下訂單確定以及付款,書商正式發(fā)書之后���,購書系統(tǒng)都應該有實時的手機短信提醒����,雙方進一步確認。
其次��,采用數(shù)字證書身份認證加上口令加密的雙因子身份認證技術��。每個購書客戶可申請一張數(shù)字證書���,上網(wǎng)進行賬戶查詢時���,網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法,然后將查詢請求和口令一起發(fā)送給業(yè)務前置機����,對口令再次進行認證。當服務器獲得用戶證書后�����,還要檢索該證書是否在廢止證書列表之中����。作為一個安全的網(wǎng)上購書系統(tǒng),需要由一個權威的第三方擔任信用認證機構來確認買賣雙方的身份,即電子商務的安全證書認證中心(CA中心)���。 CA中心的作用在于確保網(wǎng)上交易合同的有效性,確保交易內(nèi)容����、交易雙方賬號、密碼不被他人識別和盜取���,確保交易合同的完整性���,防止單方面對交易信息的生成和修改。這個第三方可以是政府部門����,也可以是行業(yè)主管部門,還可以是交易雙方共同信任的其他組織�����。
2. 網(wǎng)上書店購書過程中的數(shù)據(jù)加密
書刊的物流信息在網(wǎng)絡中傳輸時���,通常不是以明文方式而是以密文的方式進行通信傳輸�。 加密技術就是把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送���,到達目的地后再用相同或不同的手段還原(解密)���。加密技術包括兩個元素:算法和密鑰����。算法是將普通的文本(或者可以理解的信息)與一串數(shù)字(密鑰)的結(jié)合����,產(chǎn)生不可理解的密文的步驟,密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法��。在安全保密中���,可通過適當?shù)拿荑€加密技術和管理機制來保證網(wǎng)上書店物流信息的通訊安全���。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地�,對數(shù)據(jù)加密的技術也分為兩類,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)����。對稱加密的加密密鑰和解密密鑰相同,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密�����。密鑰的保密是很關鍵的����,否則�����,網(wǎng)絡攻擊者掌握加密���、解密算法�,又得到密鑰�,會使購書客戶遭受損失。因此加強對密鑰的管理��,要貫穿于密鑰的整個生存期:密鑰的生成�、驗證、傳遞�、保管、使用和銷毀�。
還可以采用短信加密技術 ,用戶購書過程中的訂單、付款等可以短信的形式確認��,而豐富多樣的短信息服務的實現(xiàn)借助于SIM卡片以及在SIM卡片上開發(fā)應用和菜單的STK(SIM card Tool Kits)技術�。SIM卡片加密技術的直接應用就是對短信息完成加密和解密,無線網(wǎng)絡和短信中心為應用服務器提供了接收和發(fā)送短信息的通道��,手機內(nèi)發(fā)出和接收的短信報文利用SIM卡片加密和解密�,在應用服務器一側(cè)可以借助專用的交易安全服務器來完成對短信息報文的加解密。除了加密和解密外�,系統(tǒng)還通過MAC算法完成報文的完整性校驗。 由于SIM卡片具備完成DES��、3DES等多種加密運算的功能���,應用STK技術可以在SIM卡片上開發(fā)信息安全功能���。
轉(zhuǎn)貼于
3. 完善網(wǎng)上支付手段
網(wǎng)上書店的一個重要環(huán)節(jié)是網(wǎng)上支付。在網(wǎng)上支付的技術方面國際上已經(jīng)形成了一些比較成熟的安全機制�,我國的電子商務企業(yè)已經(jīng)廣泛應用了這些安全保障技術,主要是由安全協(xié)議支持的���。目前國際上流行的電子商務所采用的協(xié)議主要包括:基于信用卡交易的安全電子交易協(xié)議(Secure Electronic Transaction����,SET)、用于接入控制的安全套接層協(xié)議(Secure Socket Layer�,SSL)、Netbill協(xié)議����、安全HTTP(S-HTTP)協(xié)議、安全電子郵件協(xié)議(如PEM����、S/MIME等)��、用于公對公交易的Internet EDI等�。
從購書客戶角度來說,使用網(wǎng)上支付時首先要核對正確網(wǎng)址��,要開通網(wǎng)上銀行功能�����,通常事先要與銀行簽訂協(xié)議���。用戶在登錄網(wǎng)銀時應留意核對所登錄的網(wǎng)址與協(xié)議書中的法定網(wǎng)址是否相符�����。其次做好交易記錄����,應對網(wǎng)上銀行辦理的轉(zhuǎn)賬和支付等業(yè)務做好記錄,定期查看“歷史交易明細”�,定期打印網(wǎng)上銀行業(yè)務對賬單,如發(fā)現(xiàn)異常交易或賬務差錯��,立即與銀行聯(lián)系��,避免損失��。另外管理好數(shù)字證書�����,應避免在公用的計算機上使用網(wǎng)上銀行���,以防數(shù)字證書等機密資料落入他人之手,從而使網(wǎng)上身份識別系統(tǒng)被攻破��,網(wǎng)上賬戶遭盜用���。
購書客戶還可以通過與銀行合作�����,使用U盾等一系列安全措施�;可以采用貨到付款支付方式;也可以與擁有相當用戶的支付工具合作���,如易趣的“安付通”��、淘寶的“支付寶”都已經(jīng)與工商銀行���、招商銀行等國內(nèi)的許多銀行建立起戰(zhàn)略合作關系,充當起第三方保障的角色���。以支付寶為例,其具體流程是:首先���,書商與購書客戶就購書達成協(xié)議后���,購書客戶先把書款打到支付寶這個第三方賬戶上,等購書客戶向支付寶和淘寶發(fā)出信息確認收到書并且收到的書與所購買的書相符時�,支付寶再把貨款劃至書商的賬號。當然���,這些都需要依賴網(wǎng)上支付的法律保障���,相關的法律建設需要進一步加強���。
4. 建立網(wǎng)上書店的實名制和信用制度
許多網(wǎng)上書店的商家利用網(wǎng)絡的虛擬性,使用不切合實際的書刊產(chǎn)品廣告描述來誤導購書用戶����。很多購書客戶也常會因為剛剛接觸網(wǎng)上購物而上當。除此之外�,也有一部分蓄意欺詐的書商收到了購買者匯來的錢而故意不發(fā)貨。對于這類情況�����,可以對網(wǎng)上書店的商家采用實名登記注冊����,并通過一系列的信用等級評價機制,透明地�����、如實地反映書商的信用情況以及過去的每一筆交易的明細���,以減少這種不安全性�����,買家可以參考這些信息�����,或與曾經(jīng)與此賣家交易過的買家溝通����。然而這些方式都只能降低商家網(wǎng)上欺騙成功的概率,不能從根本上杜絕����。要想徹底根治,還是要從商家本身以及網(wǎng)上書店交易平臺的總體設計入手來改進��。
5. 提高網(wǎng)上書店管理人員的技術素質(zhì)
網(wǎng)上書店應該定位于高科技產(chǎn)業(yè)�,而不是傳統(tǒng)的流通業(yè)�����。網(wǎng)上書店的經(jīng)營需要計算機操作人員�����、網(wǎng)頁編輯、數(shù)據(jù)庫維護人員�,特別是懂得網(wǎng)絡經(jīng)營管理人員的商務人員。為提高網(wǎng)上書店的信息安全性��,不僅要求其工作人員熟練掌握IT技術�����,如網(wǎng)絡協(xié)議OSI�����、TCP/IP���,網(wǎng)絡與互聯(lián)設備���,E-mail、Telnet���、FPT等服務方式���,還要求熟悉電子商務的運作平臺(信息流網(wǎng)絡���、知識流網(wǎng)絡、資金流網(wǎng)絡��、物流網(wǎng)絡���、契約網(wǎng)絡)���,電子商務管理(ERP系統(tǒng)管理、SCM供應鏈管理�、CRM客戶關系管理)等, 所以網(wǎng)上書店售書方應該聘請或培養(yǎng)專業(yè)人員對書店網(wǎng)站進行管理和維護��,并積極與銀行系統(tǒng)合作���,開發(fā)操作性強��、安全性高的在線客服系統(tǒng)和支付系統(tǒng)��,提高網(wǎng)上書店的服務質(zhì)量和購書雙方的安全保障水平��。
主要參考文獻
[1] 胡紅升,馬東平. 電子商務安全策略[J]. 電子商務世界�,2001(2).
篇5
網(wǎng)上書店是電子商務的一種具體形式���,它是企業(yè)通過在互聯(lián)網(wǎng)上開設網(wǎng)上書店,消費者通過網(wǎng)絡瀏覽圖書信息��,并在網(wǎng)上下訂單���,采用多種方式支付的一種經(jīng)營模式�����。網(wǎng)上書店利用信息技術�����,將出版者���、供應商、作者���、讀者及其他相關環(huán)節(jié)如銀行����、運輸業(yè)等聯(lián)系在一起,改變了圖書運作流程與交易模式���。
目前以網(wǎng)上書店為代表的出版物在線銷售面臨著良好的發(fā)展機遇�,隨著網(wǎng)上書店在我國的普及�����,其信息安全問題顯得尤為重要�����。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的���。而互聯(lián)網(wǎng)是開放性的技術���,網(wǎng)上書店則建立在這樣一個開放的網(wǎng)絡環(huán)境之中,很多人可以匿名�����、隱身連接在互聯(lián)網(wǎng)上���,造成諸多不安全的因素��,其中既有網(wǎng)絡自身的技術安全問題��,比如病毒���、黑客攻擊,還包括網(wǎng)上書店這一電子商務交易形式自身的眾多信息安全問題�����。
一�����、網(wǎng)上書店的信息安全問題
由于網(wǎng)絡的虛擬性�,網(wǎng)上書店交易的雙方并不見面,其交易完全通過網(wǎng)絡進行�,網(wǎng)上書店的運營模式與傳統(tǒng)圖書發(fā)行相比在信息、購買支付�����、物流發(fā)送等環(huán)節(jié)更依托網(wǎng)絡手段�����。因此信息的真實性、可靠性受到特別的重視��。目前在圖書信息的真實性�、書商及購書客戶身份的合法性、網(wǎng)上支付購書費用信息的完整性與不可否認性���,特別是安全認證問題和網(wǎng)上支付的安全性等方面都不能完全消除人們的疑慮�。
對于網(wǎng)絡自身的技術安全問題�,可以采用防火墻、防病毒���、訪問控制和防攻擊等常用網(wǎng)絡安全措施來解決���。而網(wǎng)上書店購書的安全問題主要來自于:購書客戶私人信息被截獲和竊取��;購書物流中訂單信息的篡改��;網(wǎng)上書商及購書客戶的信息假冒��;購書交易網(wǎng)上的在線支付安全和支付抵賴等����,都需要采取專門的措施來應對����。
二���、網(wǎng)上書店信息安全問題的解決對策
1. 加強個人身份驗證
通過對網(wǎng)上支付認證手段的分析來看�����,身份確認是信息安全的薄弱環(huán)節(jié),而銀行的數(shù)據(jù)也表明支付否認是發(fā)生交易爭議的主要原因��。采用個人身份驗證技術能夠保護購書客戶私人信息及商務數(shù)據(jù)在公共網(wǎng)絡上傳輸時不被竊聽�����、篡改����、頂替及非法使用。認證手段通常有4種: 一是用戶名和密碼��;二是動態(tài)密碼�����,分為有源動態(tài)密碼和無源動態(tài)密碼;三是多因子的論證���,包括手機短信和個人信息等����;四是證書認證���。
首先���,在網(wǎng)上書店交易過程中,每個購書客戶都有自己獨有的用戶名和密碼����,而在提交任何關于自己的敏感信息或私人信息尤其是信用卡號之前,一定要確認數(shù)據(jù)已經(jīng)加密�����,并且是通過安全連接傳輸?shù)?����。購書客戶的瀏覽器和web站點的服務器都要支持有關的工業(yè)標準�,如set(secure electronic transaction)和ssl(secure sockets layer)等��。在客戶購書下訂單確定以及付款��,書商正式發(fā)書之后����,購書系統(tǒng)都應該有實時的手機短信提醒�����,雙方進一步確認�����。
其次��,采用數(shù)字證書身份認證加上口令加密的雙因子身份認證技術�。每個購書客戶可申請一張數(shù)字證書���,上網(wǎng)進行賬戶查詢時����,網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法�����,然后將查詢請求和口令一起發(fā)送給業(yè)務前置機,對口令再次進行認證��。當服務器獲得用戶證書后��,還要檢索該證書是否在廢止證書列表之中�����。作為一個安全的網(wǎng)上購書系統(tǒng)��,需要由一個權威的第三方擔任信用認證機構來確認買賣雙方的身份����,即電子商務的安全證書認證中心(ca中心)。 ca中心的作用在于確保網(wǎng)上交易合同的有效性�����,確保交易內(nèi)容���、交易雙方賬號�����、密碼不被他人識別和盜取���,確保交易合同的完整性����,防止單方面對交易信息的生成和修改�����。這個第三方可以是政府部門���,也可以是行業(yè)主管部門����,還可以是交易雙方共同信任的其他組織��。
2. 網(wǎng)上書店購書過程中的數(shù)據(jù)加密
書刊的物流信息在網(wǎng)絡中傳輸時�,通常不是以明文方式而是以密文的方式進行通信傳輸�����。 加密技術就是把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)�。加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一串數(shù)字(密鑰)的結(jié)合��,產(chǎn)生不可理解的密文的步驟��,密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法���。在安全保密中����,可通過適當?shù)拿荑€加密技術和管理機制來保證網(wǎng)上書店物流信息的通訊安全����。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地�����,對數(shù)據(jù)加密的技術也分為兩類�,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密的加密密鑰和解密密鑰相同�����,而非對稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密���。密鑰的保密是很關鍵的�����,否則���,網(wǎng)絡攻擊者掌握加密、解密算法����,又得到密鑰,會使購書客戶遭受損失���。因此加強對密鑰的管理���,要貫穿于密鑰的整個生存期:密鑰的生成、驗證�����、傳遞���、保管���、使用和銷毀。
還可以采用短信加密技術 ���,用戶購書過程中的訂單����、付款等可以短信的形式確認���,而豐富多樣的短信息服務的實現(xiàn)借助于sim卡片以及在sim卡片上開發(fā)應用和菜單的stk(sim card tool kits)技術�����。sim卡片加密技術的直接應用就是對短信息完成加密和解密�,無線網(wǎng)絡和短信中心為應用服務器提供了接收和發(fā)送短信息的通道���,手機內(nèi)發(fā)出和接收的短信報文利用sim卡片加密和解密�,在應用服務器一側(cè)可以借助專用的交易安全服務器來完成對短信息報文的加解密���。除了加密和解密外�����,系統(tǒng)還通過mac算法完成報文的完整性校驗���。 由于sim卡片具備完成des�、3des等多種加密運算的功能��,應用stk技術可以在sim卡片上開發(fā)信息安全功能�。
3. 完善網(wǎng)上支付手段
網(wǎng)上書店的一個重要環(huán)節(jié)是網(wǎng)上支付。在網(wǎng)上支付的技術方面國際上已經(jīng)形成了一些比較成熟的安全機制���,我國的電子商務企業(yè)已經(jīng)廣泛應用了這些安全保障技術�����,主要是由安全協(xié)議支持的�����。目前國際上流行的電子商務所采用的協(xié)議主要包括:基于信用卡交易的安全電子交易協(xié)議(secure electronic transaction����,set)���、用于接入控制的安全套接層協(xié)議(secure socket layer��,ssl)�、netbill協(xié)議��、安全http(s-h(huán)ttp)協(xié)議��、安全電子郵件協(xié)議(如pem���、s/mime等)��、用于公對公交易的internet edi等���。
從購書客戶角度來說,使用網(wǎng)上支付時首先要核對正確網(wǎng)址�����,要開通網(wǎng)上銀行功能�,通常事先要與銀行簽訂協(xié)議。用戶在登錄網(wǎng)銀時應留意核對所登錄的網(wǎng)址與協(xié)議書中的法定網(wǎng)址是否相符���。其次做好交易記錄���,應對網(wǎng)上銀行辦理的轉(zhuǎn)賬和支付等業(yè)務做好記錄�,定期查看“歷史交易明細”���,定期打印網(wǎng)上銀行業(yè)務對賬單�����,如發(fā)現(xiàn)異常交易或賬務差錯�����,立即與銀行聯(lián)系���,避免損失。另外管理好數(shù)字證書�,應避免在公用的計算機上使用網(wǎng)上銀行,以防數(shù)字證書等機密資料落入他人之手���,從而使網(wǎng)上身份識別系統(tǒng)被攻破�,網(wǎng)上賬戶遭盜用���。
購書客戶還可以通過與銀行合作���,使用u盾等一系列安全措施����;可以采用貨到付款支付方式�����;也可以與擁有相當用戶的支付工具合作�����,如易趣的“安付通”����、淘寶的“支付寶”都已經(jīng)與工商銀行���、招商銀行等國內(nèi)的許多銀行建立起戰(zhàn)略合作關系�����,充當起第三方保障的角色����。以支付寶為例,其具體流程是:首先�,書商與購書客戶就購書達成協(xié)議后,購書客戶先把書款打到支付寶這個第三方賬戶上�����,等購書客戶向支付寶和淘寶發(fā)出信息確認收到書并且收到的書與所購買的書相符時��,支付寶再把貨款劃至書商的賬號���。當然�,這些都需要依賴網(wǎng)上支付的法律保障�����,相關的法律建設需要進一步加強���。
4. 建立網(wǎng)上書店的實名制和信用制度
許多網(wǎng)上書店的商家利用網(wǎng)絡的虛擬性�����,使用不切合實際的書刊產(chǎn)品廣告描述來誤導購書用戶�����。很多購書客戶也常會因為剛剛接觸網(wǎng)上購物而上當�。除此之外,也有一部分蓄意欺詐的書商收到了購買者匯來的錢而故意不發(fā)貨����。對于這類情況,可以對網(wǎng)上書店的商家采用實名登記注冊��,并通過一系列的信用等級評價機制��,透明地�����、如實地反映書商的信用情況以及過去的每一筆交易的明細��,以減少這種不安全性�,買家可以參考這些信息���,或與曾經(jīng)與此賣家交易過的買家溝通�����。然而這些方式都只能降低商家網(wǎng)上欺騙成功的概率�,不能從根本上杜絕。要想徹底根治��,還是要從商家本身以及網(wǎng)上書店交易平臺的總體設計入手來改進����。
5. 提高網(wǎng)上書店管理人員的技術素質(zhì)
網(wǎng)上書店應該定位于高科技產(chǎn)業(yè),而不是傳統(tǒng)的流通業(yè)��。網(wǎng)上書店的經(jīng)營需要計算機操作人員���、網(wǎng)頁編輯��、數(shù)據(jù)庫維護人員�����,特別是懂得網(wǎng)絡經(jīng)營管理人員的商務人員���。為提高網(wǎng)上書店的信息安全性���,不僅要求其工作人員熟練掌握it技術����,如網(wǎng)絡協(xié)議osi、tcp/ip����,網(wǎng)絡與互聯(lián)設備���,e-mail���、telnet��、fpt等服務方式,還要求熟悉電子商務的運作平臺(信息流網(wǎng)絡、知識流網(wǎng)絡、資金流網(wǎng)絡、物流網(wǎng)絡、契約網(wǎng)絡),電子商務管理(erp系統(tǒng)管理���、scm供應鏈管理���、crm客戶關系管理)等���, 所以網(wǎng)上書店售書方應該聘請或培養(yǎng)專業(yè)人員對書店網(wǎng)站進行管理和維護����,并積極與銀行系統(tǒng)合作,開發(fā)操作性強、安全性高的在線客服系統(tǒng)和支付系統(tǒng),提高網(wǎng)上書店的服務質(zhì)量和購書雙方的安全保障水平��。
主要參考文獻
[1] 胡紅升����,馬東平. 電子商務安全策略[j]. 電子商務世界���,2001(2).
篇6
Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.
Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.
Keywords:EC;onlinepaymentsystem;technicalcountermeasures
第一章:引言
2009年1月13日�����,中國互聯(lián)網(wǎng)絡信息中心(CNNIC)在京了《第23次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》�����。報告顯示���,截至2008年底�����,我國互聯(lián)網(wǎng)普及率以22.6%的比例首次超過21.9%的全球平均水平���。同時,我國網(wǎng)民數(shù)達到2.98億��,寬帶網(wǎng)民數(shù)達到2.7億����,國家CN域名數(shù)達1357.2萬��,三項指標繼續(xù)穩(wěn)居世界排名第一���。
我國網(wǎng)民和國家CNCN域名的增加,勢必為電子商務的發(fā)展帶來更大的機會��。隨著Internet技術和應用的不斷發(fā)展,越來越多的企業(yè)加入到電子商務的隊伍中來��。電子商務已成為貿(mào)易發(fā)展的必然趨勢,隨著電子商務環(huán)境的規(guī)范和完善,中國電子商務企業(yè)必然迅猛發(fā)展。使用網(wǎng)上支付的方式進行交易,大大降低了傳統(tǒng)貿(mào)易的費用和開銷,提高了工作效率和企業(yè)競爭優(yōu)勢。越來越多的企業(yè)選擇在Internet上建立自己的Web站點以便利�、經(jīng)濟的手段在網(wǎng)上展示自己的企業(yè)形象,推銷本企業(yè)的產(chǎn)品。
一���、電子商務與支付系統(tǒng)的定義
1��、電子商務的定義
電子商務源于英文ElectronicCommerce�,簡寫為EC。顧名思義����,其內(nèi)容包含兩個方而��,一是電子方式�����,二是商貿(mào)活動�����。電子商務指的是利用簡單��、快捷���、低成木的電子通訊方式�,買賣雙方小謀而地進行各種商貿(mào)活動�。國際商會于1997年11月,在巴黎舉行了世界電子商務會議(TheWorldBusinessAgendaforElectronicCommerce)會上專家和代表對電子商務的概念進行了最權威的闡述:電子商務��,是指實現(xiàn)整個貿(mào)易過程中各個階段的貿(mào)易活動的電子化[1]。從涵蓋范圍可以定義為:交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業(yè)貿(mào)易�;從技術方面可以定義為:電子商務是一種多技術的集合體,包括交換數(shù)據(jù)(如電子數(shù)據(jù)交換��、電子郵件)��、獲得數(shù)據(jù)(共享數(shù)據(jù)庫����、電子公告牌)、以及自動捕獲數(shù)據(jù)(條形碼)等[2]����。
2、網(wǎng)上支付系統(tǒng)的構成
支付系統(tǒng)是由一系列支付工具��、程序���、有關交易主體���、法律規(guī)則組成的用于實現(xiàn)貨幣金額所有權轉(zhuǎn)移的完整體系。[3]
網(wǎng)上支付是指以金融電子化網(wǎng)絡為基礎���,以商用電子化工具和各類交易卡為媒介��,采用現(xiàn)代計算機技術和通信技術作為手段��,通過計算機網(wǎng)絡系統(tǒng)�����,特別是因特網(wǎng)進行傳輸�����。以電子信息傳遞的形式來實現(xiàn)資金的流通和支付��。網(wǎng)上支付系統(tǒng)的構成則主要包括兩部分����。一是網(wǎng)上支付主體��。涉及網(wǎng)上商家�����、持卡人��、銀行和第三方認證機構���。二是網(wǎng)上支付技術��。如基于因特網(wǎng)的TCP/IP協(xié)議標準��、WWW技術規(guī)范和以安全網(wǎng)絡數(shù)據(jù)交換為宗旨的電子數(shù)據(jù)交換協(xié)議SSL和SET�。[4]
二、電子商務與網(wǎng)絡支付系統(tǒng)的發(fā)展現(xiàn)狀
1�、電子商務的發(fā)展現(xiàn)狀
根據(jù)2009年1月13日,中國互聯(lián)網(wǎng)絡信息中心(CNNIC)在京的《第23次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示�����,在主要互聯(lián)網(wǎng)應用使用率調(diào)查中��,網(wǎng)絡求職��、更新博客和網(wǎng)絡購物位列增長最快的應用前三甲�。而網(wǎng)絡音樂、網(wǎng)絡視頻等娛樂性應用的使用率則明顯呈現(xiàn)下降的趨勢�����。
由此可見��,越來越多的企業(yè)和顧客加入到電子商務的隊伍中來����,網(wǎng)絡支付系統(tǒng)得到越來越廣泛的應用��。電子商務發(fā)展迅速,通過網(wǎng)上進行交易已成為潮流�����。在我國���,電子商務雖然剛起步,但是人們對電子商務的巨大潛力深信不疑���;我國政府積極支持電子商務活動的開展,這些都對我國電子商務的發(fā)展產(chǎn)生了重要的影響����。
但是應當看到,我國還存在一些“瓶頸”問題���,嚴重地阻礙著電子商務的發(fā)展��。從技術角度上看也存在兩項解決的難題一是缺乏統(tǒng)一的電子商務技術服務標準���,沒有規(guī)矩不成方圓���,沒有標準的電子商務勢必造成國內(nèi)乃至國際電子交易混亂和麻煩。技術是電子商務發(fā)展的基礎���,而技術的發(fā)展必須建立在標準統(tǒng)一的基礎之上���。因此加快電子商務技術標準的制定是我國電子商務發(fā)展中迫在眉睫的、十分重要的事��,是我國電子商務發(fā)展重中之重��。二是還沒有真正成熟的電子商務解決方案�。在現(xiàn)階段電子商務軟件服務市場上,國外成熟的電子商務解決方案占據(jù)主導地位仍是不爭的事實�����,而國內(nèi)真正有能力的開發(fā)廠家更是屈指可數(shù)���,仔細算來也只有實華開�����、四通寥寥幾家��,但沒有一家能夠提供一套完整的電子商務交易標準�。而網(wǎng)上支付作為新興的電子支付手段,越來越普及越來越重要���。無論是對電子商務技術服務標準的制定還是對真正成熟的電子商務的解決方案的出現(xiàn)��,網(wǎng)上支付系統(tǒng)的關鍵技術都是至關重要的���。
但是現(xiàn)在制約電子商務發(fā)展的最關鍵的技術,是解決安全問題的技術��。電子商務中的安全問題是重中之重的問題�����。在電子商務系統(tǒng)中,不僅需要交換使用者的信用卡號碼���、客戶密碼和個人身份等隱私信息,而且還涉及到個人財產(chǎn)的安全問題���。在電子支付過程中,必須保證信息的機密性�����、完整性和真實性�。一旦這些方面得不到切實的保證,那么將造成重大的損失和嚴重的法律問題�����,甚至會斷送電子商務企業(yè)的命運�����。因此必須發(fā)展能夠保障支付系統(tǒng)安全的關鍵技術,確保交易過程是安全���、可靠的��。
2�、網(wǎng)上支付系統(tǒng)的發(fā)展現(xiàn)狀
隨著電子商務的迅猛發(fā)展����,支付問題就成了制約電子商務發(fā)展的瓶頸,尤其是支付的安全性問題就像一直縈繞在頭上的達摩克利斯之劍����。電子支付構成了電子商務的核心環(huán)節(jié),如果沒有支付,整個電子商務過程無法完成�����。只有通過安全��、快捷的實現(xiàn)電子支付才能實現(xiàn)電子商務涉及的物流����、資金流、信息流的有機結(jié)合�,才能確保電子商務交易順利進行。
而作為真正的網(wǎng)絡支付手段出現(xiàn)的支付方式�����,則是在Internet的迅速走向普及化之后的事情���。但是自2005年以來�����,中國網(wǎng)上支付成長十分迅速�,這標志著中國電子商務邁入了以全面實現(xiàn)網(wǎng)上支付系統(tǒng)為特征的嶄新發(fā)展階段���。著名的網(wǎng)絡市場調(diào)研機構艾瑞咨詢公司的研究報告預測2010年我國的我網(wǎng)上支付市場規(guī)模將達到2800億元�����。網(wǎng)上支付已成為國內(nèi)網(wǎng)民從事網(wǎng)上交易時的第一選擇���,網(wǎng)上支付市場似乎已經(jīng)成為繼網(wǎng)絡游戲、sp之后的又一座金山�����。
在Internet上出現(xiàn)的支付系統(tǒng)模式已有十幾種,這些系統(tǒng)模式大致上可以劃分為如下3類:第一類是數(shù)字化的電子貨幣或者電子現(xiàn)金;第二類是使用他們已有的安全清算程序,對Internet的網(wǎng)上支付提供信息中介服務;第三類是針對銀行卡主攻加密算法,使傳統(tǒng)的銀行卡支付信息通過Internet向商家傳遞,利用金融專用網(wǎng)絡提供獨立的支付授信,更先進的是采用智能卡技術,提供聯(lián)機的銀行卡支付���。但是不管是哪一類的系統(tǒng)�����,都是包含著信息加密措施的系統(tǒng)�,每一個系統(tǒng)都是有很多保障安全性的系統(tǒng)��。
第二章:網(wǎng)上支付系統(tǒng)的安全技術問題
一���、網(wǎng)上支付系統(tǒng)的安全問題
隨著網(wǎng)上支付手段使用人數(shù)的增加����,網(wǎng)上支付系統(tǒng)所存在的問題也暴露無遺,而且隨著使用范圍的推廣和黑客等技術的發(fā)展��,也對網(wǎng)上支付系統(tǒng)的關鍵技術提出了更高的要求��。其中最重要最核心的關鍵技術問題�����,就是安全問題�����。
電子商務的支付問題是隨著電子商務本身的快速發(fā)展而衍生的���。單純就它們的關系而言,電子商務需要電子支付,支付體系是開展電子商務的必備條件����。隨著網(wǎng)上支付手段使用人數(shù)的增加���,網(wǎng)上支付系統(tǒng)所存在的問題也暴露無遺��,而且隨著使用范圍的推廣和黑客等技術的發(fā)展�����,也對網(wǎng)上支付系統(tǒng)的關鍵技術提出了更高的要求�����。其中最重要最核心的關鍵技術問題�����,就是安全問題�����。據(jù)AC尼爾森公司在2003年3月~4月做的一個調(diào)查表明,安全性是網(wǎng)上購物者用信用卡支付的主要顧慮��。安全問題已成為電子支付發(fā)展面臨的重要挑戰(zhàn),目前制約我國電子商務發(fā)展的瓶頸就是支付問題�����。
二�����、信用卡安全的恐慌——網(wǎng)上支付系統(tǒng)的安全問題案例分析
眾所周知道銀行業(yè)步入了網(wǎng)絡時代,網(wǎng)絡也融入了銀行業(yè),這迎合了電子商務發(fā)展的趨勢。網(wǎng)上銀行因不受時間、地域限制,成本低��、快捷方便等優(yōu)點得到了銀行業(yè)的積極響應�����。近幾年更是呈現(xiàn)出迅猛發(fā)展的勢頭��。但是由于網(wǎng)上銀行所有內(nèi)容都是以數(shù)據(jù)的形式流轉(zhuǎn)于網(wǎng)絡之上,不可避免地會帶來信息安全隱患�����。作為龐大資金流動的載體,網(wǎng)上銀行極易受到非法入侵和惡意攻擊�����。如果銀行的網(wǎng)絡遭到攻擊,私人信息就可能會泄漏,若補救不及時,很可能給消費者造成巨大損失��。2005年4月,多名“支付寶”用戶工商銀行帳戶里的錢不翼而飛����。6月,花旗集團丟失了一批記錄著390萬客戶帳戶及個人信息的電腦記錄數(shù)據(jù)帶�����。同月,包括Master���、Visa在內(nèi)的多家信用卡公司4000多萬用戶信息被盜,涉及了近9000張國內(nèi)信用卡,一時間風聲鶴唳,引發(fā)了信用卡安全的恐慌�。黑客竊取用戶資料、網(wǎng)絡詐騙�、虛假銀行、網(wǎng)絡釣魚等支付安全問題已經(jīng)嚴重影響了電子商務的發(fā)展�����。
從銀行業(yè)的這一案例中我們可以清晰看到安全技術的重要地位和意義��。因此必須對這一關鍵技術進行深入的研究��,形成一個優(yōu)秀的解決方案�,確保網(wǎng)上支付系統(tǒng)的安全�,保障我國電子商務事業(yè)的穩(wěn)定快速發(fā)展。
第三章:解決網(wǎng)上支付系統(tǒng)的安全問題的技術解決途徑
安全的目的是:保護一個系統(tǒng)不會受到未經(jīng)授權的訪問���,使系統(tǒng)的正常工作不會被非法干預��。同所有計算機系統(tǒng)一樣��。電子商務系統(tǒng)安全必須具有保密性���、完整性及可用性三個特征[5]�����。網(wǎng)上支付系統(tǒng)的安全是電子商務發(fā)展的核心��。任何在Internet上開展業(yè)務的機構必須采取積極的步驟,確保系統(tǒng)有足夠的安全措施,防止機密信息泄露和非法侵入造成損失�����。因此網(wǎng)上支付系統(tǒng)不但要具有保密性����、完整性及可用性三個特點好要具有認證性��、不可否認性和可審查性���。
一����、網(wǎng)上支付系統(tǒng)的安全要求
1�����、保密性
要確保網(wǎng)上支付系統(tǒng)的安全,首要的一點要求就是應防止未授權的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性��,交易中的商務信息都需要遵循一定的保密規(guī)則��。交易中的商務信息可能直接關聯(lián)著個人���、企業(yè)或國家的商業(yè)秘密,特別是涉及到商業(yè)機密和金融方面的敏感信息時,信息的保密性更為重要�����。因為其信息往往代表著國家�����、企業(yè)和個人的商業(yè)機密,而電子商務是建立在一個較為開放的互聯(lián)網(wǎng)絡環(huán)境上的��。它所依托的網(wǎng)絡本身也就是由于開放式互聯(lián)形成的市場�����,才贏得了電子商務�����。因此在這一新的支撐環(huán)境下,勢必要用相應的技術和手段來延續(xù)和改進信息的保密性���。,因此,要采取措施預防信息的非法存取和信息在傳輸過程中被非法竊取����。維護商業(yè)機密是電子商務全面推廣應用的重要保障��。
對于網(wǎng)上支付系統(tǒng)來說�����,他的保密性意味著系統(tǒng)必須滿足兩點:(1)私有交易不會被其它人截獲及讀取���,既沒有人能夠通過攔截會話數(shù)據(jù)獲得訂貨單中的帳戶信息�;(2)如果可能�����,應確保交易的匿名性����,使交易不會被追蹤,任何人無法利用“發(fā)生交易”這樣的事實本身來達到別的目的���。
2����、信息的完整性
不可否認電子商務的出現(xiàn)以計算機代替了人們以大多數(shù)復雜的勞動,信息系統(tǒng)的形式整合化簡了企業(yè)貿(mào)易中的各個環(huán)節(jié)�����,但網(wǎng)絡的開放和信息的處理自動化也使如何維護貿(mào)易各方商業(yè)信息的完整統(tǒng)一出現(xiàn)了問題�。而貿(mào)易各方各類信息的完整性勢必影響到貿(mào)易過程中交易和經(jīng)營策略,因此保持貿(mào)易各方信息的完整性是網(wǎng)上支付系統(tǒng)應用必備的基礎���。
要確保網(wǎng)上支付能夠安全順利的進行��,還要防止未經(jīng)授權的數(shù)據(jù)修改�����。交易雙方的合同簽訂后就不能隨意刪改,以保證交易的公正性,與可行性���。電子商務簡化了貿(mào)易過程����,減少了人為的干預,但對信息的隨意生成���、修改和刪除會造,成差錯甚至可能導致欺詐行為�。數(shù)據(jù)傳輸過程中信息丟失�、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。這會影響貿(mào)易各方商業(yè)信息的完整性和統(tǒng)一性�����。因此保持貿(mào)易各方信息的完整性是電子商務應用的基礎��。完整性指資源只能由授權實體修改��。網(wǎng)上支付系統(tǒng)的完整性要求他提供的服務應在通信過程中接收到的消息確實是實際發(fā)送的消息���,不可能在傳輸過程中被篡改��,也不可能是一條偽造的消息���。
3、可用性
可用性是指一旦用戶得到訪問某一資源的權限��,該資源就應該能夠隨時為他使用����,而不應該將其保護起來使擁護的合法權益受到損害�����。在電子商務系統(tǒng)中���,提高系統(tǒng)可用性有時還意味著用戶僅需經(jīng)一次登陸就可以訪問任何其他有權訪問的資源,避免對訪問不同的服務使用不同的登錄過程�。
不可否認電子商務的出現(xiàn)以計算機代替了人們以大多數(shù)復雜的勞動,信息系統(tǒng)的形式整合化簡了企業(yè)貿(mào)易中的各個環(huán)節(jié)����,但網(wǎng)絡的開放和信息的處理自動化也使如何維護貿(mào)易各方商業(yè)信息的完整統(tǒng)一出現(xiàn)了問題。而貿(mào)易各方各類信息的完整性勢必影響到貿(mào)易過程中交易和經(jīng)營策略�����,因此保持貿(mào)易各方信息的完整性是電子商務應用必備的基礎�����。
4�����、不可否認性
在交易中會出現(xiàn)交易抵賴的現(xiàn)象���,如信息發(fā)送方在發(fā)送操作完成后否認曾經(jīng)發(fā)送過該信息或與之相反接受方收到信息后并不承認曾經(jīng)收到過該條消息����。因此如何確定交易中的任何一方在交易過程中所收到的交易信息���,正是自己的合作對象發(fā)出的�。而對方本身也沒有被假冒是電子商務活動和諧順利進行的保證�����。
要確保網(wǎng)上支付系統(tǒng)的安全�,交易一旦簽訂就不能被否認。因此交易的各個環(huán)節(jié),都必須設法防止參與交易的任何一方的抵賴�����。不可否認性主要包含數(shù)據(jù)原始記錄和發(fā)送記錄的不可否認,確認數(shù)據(jù)已經(jīng)完全發(fā)送和接收,防止接收用戶更改原始記錄,防止用戶在收到數(shù)據(jù)以后否認收到數(shù)據(jù),并拖延自己的下一步工作���。為了保證交易過程的可操作性,必須采取可靠的方法確保交易過程的真實性,保證參加電子交易的各方承認交易過程的合法性,在交易數(shù)據(jù)發(fā)送完成以后,雙方都不得否認自己曾經(jīng)發(fā)出或接收過信息���。要對網(wǎng)絡故障�、操作錯誤����、應用程序錯誤、硬件故障�����、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿(mào)易數(shù)據(jù)在確定的時刻,確定的地點是有效的�。一旦事務結(jié)束,有關各方都不能否認自己參與過這次事務����。
5、可審查性���。
根據(jù)機密性和完整性的要求,應對數(shù)據(jù)審查的結(jié)果進行記錄,在交易信息的傳輸過程中為參與交易的個人�����、企業(yè)或國家提供可靠的標識����。當貿(mào)易一方發(fā)現(xiàn)交易行為對自己不利,否認電子交易行為時,系統(tǒng)應具備審查能力,使交易的任何一方都不能抵賴已經(jīng)發(fā)生的交易行為�����。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同����、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約�����、單據(jù)的可靠性并預防抵賴行為的發(fā)生�����。而在無紙化的電子商務方式下,則應通過數(shù)字摘要�、PKI、數(shù)字簽名�����、數(shù)字憑證��、CA認證等手段,在交易信息的傳輸過程中為參與交易的個人�����、企業(yè)或國家提供可靠的標識。
6��、認證性
要確保網(wǎng)上支付系統(tǒng)的安全��,在電子商務中必須建立嚴格的身份認證機制,以確保參加交易各方的身份真實有效����。首先,要確認當前的通訊、交易和存取要求是合法的�。即接收方可以確認信息來自發(fā)信者,而不是第三者冒名發(fā)送��。發(fā)送方可以確認接收方的身份是真實的���,而不至于發(fā)往與交易無關的第三方��。要在交易信息的傳輸過程中為參與交易的個人��、企業(yè)或國家提供可靠的標識�。網(wǎng)上支付系統(tǒng)中通信的雙方應能確定對方的身份����,知道對方確實是他所稱的那一位。在這里,確定意思并不完全意味著知道對方的準確身份���,但應能做到知道自己是在與一個可靠的對象通信��。
二、網(wǎng)上支付系統(tǒng)可能受到的攻擊
針對網(wǎng)上支付系統(tǒng)所進行的攻擊就是試圖破壞上面的六大安全特征�。近一步細分又可以劃分為兩大類。
(1)假冒和惡意破壞��。由于掌握了數(shù)據(jù)的格式并可以篡改通過的信息�����,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息而遠端用戶通常很難分辨���。由于攻擊者可以接入網(wǎng)絡則可能對網(wǎng)絡中的信息進行修改�����,掌握網(wǎng)上的機要信息�����,甚至可以潛入網(wǎng)絡內(nèi)部���,其后果是非常嚴重的�。
(2)竊取和篡改信息由于未采用加密措施或加密措施不利���,數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送�����,或者是被不法者用設置網(wǎng)絡竊聽器等手段監(jiān)視網(wǎng)上數(shù)據(jù)流���、從數(shù)據(jù)包中獲取敏感信息。入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息通過多次竊取和分析����,可以找到信息的規(guī)律和格式,進而得到傳輸信息的內(nèi)容�,造成網(wǎng)上傳輸信息泄密,當入侵者掌握了信息的格式和規(guī)律后���,通過各種技術手段和方法�����,將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改����,然后再發(fā)向目的。這種方法并不新鮮����,在路由器或網(wǎng)關上都可以做此類工作。
三���、網(wǎng)上支付系統(tǒng)安全的技術解決方案
1、加密技術
1.1���、利用加密技術保證電子商務支付的機密性[6]
密碼技術在發(fā)展過程中逐漸分離出加密技術和驗證技術兩個分支���。就加密技術而言,1976年以前主要采用對稱加密技術,這種加密技術存在著很多問題,如密鑰分發(fā)的安全性,密鑰規(guī)模過大、不能保證消息的真實性和完整性等��。1976年以后,迪飛和海爾曼創(chuàng)造性地提出了非對稱加密算法,徹底解決了上述問題,使加密技術有了革命性的發(fā)展����。
1.2對稱加密技術
對稱加密技術有許多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美國國際標準局(NBS)制定的標準加密算法��。它把64位的明文輸入塊變成64位的密文輸出塊,所使用的密鑰也是64位,其中第8位奇偶校驗位另作它用���。DES利用56位的密鑰,對64位的輸入數(shù)據(jù)塊進行16次的排列置換,最后生成輸出塊密碼����。其生成步驟如[7]
下:
(1)為了產(chǎn)生64位明文的置換輸入,對二進位進行初始排列(InitialPermutation),然后將結(jié)果分成32位的左右兩個數(shù)據(jù)塊。
(2)執(zhí)行16次的迭代函數(shù)f,而每迭代一次所使用的密鑰就不同,f函數(shù)將此密鑰和右側(cè)數(shù)據(jù)塊作為自己的輸入?yún)?shù)�����。
(3)在每個迭代階段,左右兩個數(shù)據(jù)塊的置換值由下式確定:
Li=Ri-1
篇7
不久前�,招商銀行公告稱,自4月11日起大幅下調(diào)通過第三方支付公司進行的網(wǎng)上支付交易限額�����,大眾版一卡通客戶的支付限額從5000元下調(diào)為500元�����,降幅高達九成��。這意味著�����,網(wǎng)絡購物者將不能通過招商銀行的大眾版網(wǎng)銀在淘寶��、拍拍等電子商務網(wǎng)站上購買500元以上的商品。
這不是唯一一家調(diào)整限額的銀行�,在此之前,網(wǎng)銀支付限額下調(diào)之風席卷了建設銀行�、中行、工行��、民生銀行����、浦發(fā)銀行等多家銀行。
這是銀行機構對第三方支付行業(yè)的一次大規(guī)模調(diào)控行動�,雖然各銀行的動作不盡相同,但有不少銀行的借記卡���、信用卡通過第三方支付工具的轉(zhuǎn)賬上限縮水九成。銀行對此舉給出的解釋是“防范釣魚網(wǎng)站”���,但業(yè)界對此的態(tài)度卻多有不解��。
“銀行業(yè)的限額措施���,迫使用戶選擇專業(yè)版網(wǎng)銀進行支付,還收取一定的手續(xù)費”����,有觀點認為����,銀行此舉用來防范釣魚網(wǎng)站的做法“治標不治本”���,并降低了第三方支付用戶的用戶體驗���。
安全和體驗如何并重。針對用戶如潮的質(zhì)疑��,銀行顯然加快了尋找解決之道的步伐�����。4月18日�,支付寶公司宣布,支付寶最新推出的快捷支付服務已經(jīng)和中國銀行���、工商銀行�����、建設銀行�����、農(nóng)業(yè)銀行�����、平安銀行���、北京銀行�����、上海農(nóng)商銀行�、大連銀行�����、寧波銀行���、寧夏銀行等10家銀行的信用卡展開合作。在保障安全的同時���,信用卡網(wǎng)上支付的成功率從原先的60%左右大幅提升到95%�。
在網(wǎng)銀支付方式占據(jù)主流多年之后,銀行和第三方支付的合作創(chuàng)新正在為用戶開辟一條新的支付通道�����。
防范釣魚網(wǎng)站
本刊記者了解到���,銀行隊伍此次的下調(diào)限額針對的是支付寶��、財付通����、快錢��、易寶等在內(nèi)的所有第三方支付公司�����,即通過與各家銀行簽約合作���,為商家提供受理客戶使用銀行卡���、支付貨款功能的非銀行金融機構。
根據(jù)招商銀行的規(guī)定,該行除了將一卡通大眾版支付交易限額由之前的單筆/單日累計最高5000元降至單筆/單日最高500元�,信用卡單筆支付也由之前的客戶自行設限調(diào)至單筆最高500元。工商銀行則規(guī)定�����,工行儲蓄卡若辦理電子銀行口令卡�����,單筆限額500元��,每日限額1000元�����,存量靜態(tài)密碼客戶的總累計限額為300元�����。中國銀行的政策調(diào)整得最早���,業(yè)務涉及面也最廣:3月5日起,中行即大幅下調(diào)了網(wǎng)銀轉(zhuǎn)賬限額���,普通個人用戶使用動態(tài)口令認證�����,原來單筆轉(zhuǎn)賬限額為100萬元���,后改為10萬元��;VIP貴賓用戶�����,單筆和每日累計轉(zhuǎn)賬的最高限額均由原來的5000萬元分別調(diào)整到25萬元和50萬元����,降幅最多達99.5%……
對于此次下調(diào)限額的理由���,各大銀行方面似乎統(tǒng)一過口徑�����,都解釋為“為防范釣魚網(wǎng)站�����、木馬程序等不法行為”��。所謂釣魚網(wǎng)站���,通常是指偽裝成銀行及電子商務等的網(wǎng)站��。其主要危害是竊取用戶提交的銀行賬號��、密碼等私密信息���。
建設銀行信用卡中心一位負責人對《IT時代周刊》表示,銀行是出于降低網(wǎng)上支付交易風險�、保障持卡人資金安全而做的一次普遍調(diào)整,“這也是出于監(jiān)管的需要����,為的是尋找一個平衡點”。并且���,“由于專業(yè)版網(wǎng)銀交易使用硬加密方式�����,安全等級較高��,不容易受‘釣魚網(wǎng)站’欺騙�����,且交易金額受限小�����,更適合大額網(wǎng)上支付”��。
另據(jù)不愿透露姓名的銀行界人士透露��,由于前段時間中行網(wǎng)銀爆出多名客戶使用該行網(wǎng)銀支付導致資金損失一事��,監(jiān)管部門要求銀行作出相應安全防范措施�,因此銀行紛紛下調(diào)了網(wǎng)銀支付限額�����。
有部分第三方支付公司對銀行此舉表示理解���。易寶支付相關負責人在接受本刊記者采訪時表示���,網(wǎng)銀上限并非是說網(wǎng)銀一刀切不能進行大額支付�����,只是將原有的普通網(wǎng)銀進行大小額區(qū)分限制�����,并根據(jù)不同的行業(yè)風險��、交易性質(zhì)等因素區(qū)分成兩個不同的通道�。該人士還指出���,“從長遠來看���,銀行必定要關注市場需求和用戶體驗,其近期所作出的大額小額限制是為了控制風險和提供更加專業(yè)化的服務”���。
治標不治本
對于銀行集體下調(diào)網(wǎng)銀交易金額的行為��,坊間也有不同聲音�。除去銀行給出的防止“釣魚網(wǎng)站”盜取客戶資金的理由外��,銀行還存在增加收費的嫌疑�����。
銀行用戶在開通專業(yè)版網(wǎng)銀時需要繳納一定的費用。記者從北京農(nóng)業(yè)銀行方面了解到��,目前開通農(nóng)業(yè)銀行網(wǎng)上銀行業(yè)務有口令卡類和K寶類兩種方式��,后者需要支付約50元的費用���。同時,由于銀行信用卡的資金有使用成本�����,銀行要承擔一定的交易風險���,信用卡網(wǎng)絡支付的手續(xù)費用要高于借記卡通道���。另外,有未經(jīng)證實的消息稱���,借助調(diào)低網(wǎng)銀交易金額上限之勢�����,某銀行還計劃大幅提高信用卡大額網(wǎng)關交易費率�����。
對于銀行下調(diào)網(wǎng)銀支付限額的行為��,有金融專家認為銀行做法或涉及與第三方支付企業(yè)的利益博弈���。甚至有金融業(yè)人士爆料稱�,個別銀行網(wǎng)銀降低單日交易額的主要目的是基于利益因素���,“很可能是在與第三方支付平臺合作中得到的利益分成沒有達到銀行的認可標準”���。
但這種“下調(diào)支付限額來應對‘釣魚網(wǎng)站’”的做法也被業(yè)界認為是“治標不治本”。因為����,“用戶如若采取向第三方支付賬戶分日多次充值的方式來保證網(wǎng)購支付,同樣會存在第三方支付賬戶內(nèi)資金可能被盜的安全問題”�����。
目前��,各大銀行信用卡通過網(wǎng)銀進行付款,普遍需要事先安裝密碼控件或數(shù)字證書����,支付過程中至少需要5到7步的跳轉(zhuǎn)。這一過程不僅繁瑣��,也給木馬程序和釣魚網(wǎng)站等留下作案空間����。
有數(shù)據(jù)顯示��,目前國內(nèi)網(wǎng)銀的支付成功率普遍只有60%左右�。而在調(diào)整支付限額后,網(wǎng)銀用戶在購買大額商品的時候�����,多次拆分支付的做法同樣影響到用戶體驗�����?��!巴R淮尉涂梢酝瓿傻闹Ц?����,如今可能要重復幾次�����?����!币晃痪W(wǎng)購人士向本刊記者抱怨道��。
有銀行客戶反映�,銀行將大眾版網(wǎng)銀支付限額調(diào)低并不是明智之舉,建議銀行免費開放專業(yè)版網(wǎng)銀����。
面對來自銀行業(yè)的壓力,百度旗下海外代購網(wǎng)站樂酷天的有關人士對媒體表示���,這確實對那些購買大額���、高端商品的部分消費者造成了一定的影響。
第三方支付的應對措施
第三方網(wǎng)上支付市場的發(fā)展前景巨大,隨著近幾年電子商務的快速發(fā)展���,建立滿足用戶不同支付場景下的支付網(wǎng)絡已越發(fā)緊迫����。但在此時��,第三方支付公司并沒有靜觀其變�����,它們一直在尋求突圍之道�����。
支付寶公司于4月20日宣布與中信銀行達成戰(zhàn)略合作����,雙方即將推出的“無限額”快捷支付����,打破了信用卡網(wǎng)上支付額度的局限?��?旖葜Ц妒侵Ц秾殑?chuàng)新業(yè)務之一�����,無需開通網(wǎng)銀�,并且額度以信用卡本身的額度為準,不受網(wǎng)銀額度下調(diào)等限制�����,用戶使用時只需通過輸入卡面信息快速地完成支付��。據(jù)支付寶方面透露���,這種不受支付額度限制的“快捷支付”還將擴大至中國銀行�、工商銀行���、建設銀行���、農(nóng)業(yè)銀行、平安銀行等10家銀行的信用卡�����。
網(wǎng)上支付服務是近年來增長最快的互聯(lián)網(wǎng)服務,截至2010年12月���,支付寶注冊用戶突破5.5億�����,日交易額超過25億元��,日交易筆數(shù)達到850萬筆�。不過���,網(wǎng)上支付體驗不佳的問題一直存在���。2010年12月底,支付寶和中國銀行率先合作推出信用卡快捷支付服務��,開始為用戶提供前所未有的信用卡網(wǎng)上便捷支付體驗����。
另據(jù)支付寶方面的說法�����,申請“快捷支付”的用戶不需要開通網(wǎng)銀,用戶在支付寶頁面綁定信用卡即可使用支付寶的快捷支付服務�����,將信用卡網(wǎng)上支付的成功率從原先的60%左右大幅提升到95%����。“這種離線支付方式在國外盛行��,但在國內(nèi)網(wǎng)上支付上并不多見�����?!狈治鋈耸勘硎尽?/p>
快捷支付方式在方便用戶的同時��,手機號碼與信用卡卡號匹配���、信用卡校驗碼驗證����、手機動態(tài)口令確認等安全措施會保障用戶的安全�����。“快捷支付可以真正做到用戶拿起信用卡就能網(wǎng)上付款��,95%的支付成功率意味著信用卡網(wǎng)上支付的便利程度首次達到線下刷卡的標準����。” 支付寶方面對本刊記者表示�。
篇8
目前國內(nèi)的電子簽名應用主要運用了以非對稱加密為基礎的PKI技術。在整個PKI構架中��,CA中心是處于核心位置的��,其職責是在下發(fā)數(shù)字證書之前查實其使用者的身份����。此外發(fā)證機構還要及時公布已經(jīng)無效的證書,并且負責對發(fā)放的證書進行管理��。CA中心是整個PKI體系信任鏈擴展的基礎���,信息傳輸雙方就是因為信任一個權威的CA中心���,從而相信持有CA中心簽發(fā)證書的人的身份。
在許多實際應用中��,第三方的CA發(fā)揮著重要的作用����。所謂第三方,就是指獨立于交易雙方當事人的任何一方����。如果CA機構不安全或發(fā)放的數(shù)字證書不具有權威性、公正性和可信賴性��,網(wǎng)上交易就根本無從談起��,而第三方是CA公證性的重要體現(xiàn)�。在互聯(lián)網(wǎng)這種開放、不設防��、復雜的信息交互環(huán)境中����,第三方CA為信息交互雙方承擔了網(wǎng)上信息安全的部分責任,對交易雙方起到規(guī)避風險的作用�,即在互聯(lián)網(wǎng)部分由CA通過發(fā)放數(shù)字證書來保障信息的傳輸安全。在出現(xiàn)網(wǎng)銀糾紛時��,第三方CA為當事人雙方提供相應的證明。由于種種原因���,目前國內(nèi)一些銀行沒有使用第三方CA��。
另外���,第三方認證機構能夠更好地證明電子簽名的有效性。在《電子簽名法》中規(guī)定�����,安全的電子簽名才能與手寫簽名具有同等的法律效力��。而第三方CA由于獨立于交易雙方����,能很好地證明這種簽名私鑰的專有性,技術上也能夠有很好的保障��。
當然�����,并不是說所有的交易都要使用第三方的CA認證機構���。但是�����,對于應用領域和范圍都很廣泛的面向公眾的服務來說�����,是應當采用第三方的認證機構的�,因為這些服務要求CA機構必須有足夠的公信力和權威性�����。
電子簽名在金融業(yè)的應用
金融行業(yè)是電子簽名應用最活躍���、最廣泛的領域�����。其中�,作為金融行業(yè)統(tǒng)一的第三方安全認證機構�,在保障網(wǎng)上交易安全,提供公正�、可信的認證服務方面發(fā)揮了重要的作用��。數(shù)字證書和電子簽名在網(wǎng)銀的應用主要有以下幾個特點:
銀行審核網(wǎng)銀用戶身份的真實性�����。用戶的身份必須是真實可靠的��,簽名才有實際意義���,這是使用數(shù)字簽名的基礎。
交易額大����、安全性要求高的交易必須使用數(shù)字簽名。由于數(shù)字簽名是一種相對復雜的計算方式��,簽名的過程要耗費一定的系統(tǒng)資源����,一般是在交易金額大、安全性要求高的網(wǎng)銀業(yè)務中使用數(shù)字簽名��。當然�����,數(shù)字簽名會在更多的業(yè)務中得到應用。
通過協(xié)議來保證第三方認證機構和銀行及用戶之間的權利義務關系����。銀行對于第三方認證機構來說有兩個角色,首先銀行作為第三方認證機構的證書注冊審批機構RA���,是第三方認證服務的一個重要環(huán)節(jié),相當于第三方認證系統(tǒng)的延伸�;銀行的另一個角色就是作為證書的使用者。
當發(fā)生爭議時��,作為第三方的認證機構有義務對數(shù)字簽名的有效性進行確認�。具體包括提供簽發(fā)該張用戶證書的CA證書;提供該張數(shù)字證書在交易發(fā)生時�����,在或不在的數(shù)字證書廢止列表的證明����;對數(shù)字證書、時間戳���、和電子簽名的真實性和有效性進行確認等�����。今后隨著《電子簽名法》的實施���,類似的這種爭議或糾紛就能有法可依��,能更好地保障銀行和用戶的權益��。
以上是圍繞電子簽名簡單地介紹了電子簽名在網(wǎng)銀中的應用特點��。從應用的范圍和廣度講��,目前國內(nèi)的網(wǎng)上銀行業(yè)務中基本上都采用了數(shù)字簽名技術��。
如何使用網(wǎng)銀和電子簽名
用戶如何獲得第三方證書��,用戶可以通過第三方設在各商業(yè)銀行分支機構的受理點辦理證書申請和審核手續(xù)��,具體的證書審批方式和流程由各受理機構規(guī)定��。下面以深圳發(fā)展銀行的網(wǎng)上支付業(yè)務為例來說明��。
深圳發(fā)展銀行早在2002年就建立了電子商務的核心環(huán)節(jié)――“網(wǎng)上支付”系統(tǒng)�����,目前已經(jīng)全面覆蓋國內(nèi)主要電子商務平臺,為用戶的網(wǎng)上支付結(jié)算提供快捷��、安全的服務����。
使用網(wǎng)上支付系統(tǒng)的用戶分為B2C、B2B兩種���。B2C是個人客戶在商戶網(wǎng)站購物���、代繳水��、電�����、燃氣���、學費等等支付業(yè)務進行網(wǎng)上結(jié)算����;B2B是企業(yè)客戶在商戶網(wǎng)站購物進行網(wǎng)上結(jié)算。
B2C(企業(yè)對消費者)網(wǎng)上支付使用銀行網(wǎng)站支付的��,客戶首先通過網(wǎng)上或銀行柜臺注冊成為銀行網(wǎng)站個人用戶��,再到銀行柜臺開立數(shù)字證書�����,然后便可利用注冊的銀行卡�、活期一本通賬戶實現(xiàn)無限額網(wǎng)上購物實時支付結(jié)算。
對于B2B(企業(yè)對企業(yè))網(wǎng)上支付��,企業(yè)客戶須在銀行柜臺注冊成為銀行網(wǎng)站企業(yè)用戶�����,并開立數(shù)字證書��,然后由企業(yè)網(wǎng)銀管理員將結(jié)算賬戶的使用權分配給相應的操作員��,該操作員便可使用分配的企業(yè)結(jié)算賬戶實現(xiàn)網(wǎng)上結(jié)算���。
可見���,數(shù)字證書就是網(wǎng)上交易雙方的電子身份證�����,用于驗證網(wǎng)上銀行用戶的身份和對用戶的網(wǎng)上交易等信息進行加密和數(shù)字簽名�,經(jīng)過數(shù)字簽名的交易具有不可篡改和不可否認性�����,因此網(wǎng)上銀行的支付��、轉(zhuǎn)賬等重要操作必須使用證書才有法律和安全保障����。
點評
CA運營和PKI建設的體會和建議
1. 在實踐中尋找安全和效率的最佳結(jié)合點。
數(shù)字簽名技術的廣泛應用必須和用戶的實際需求相結(jié)合��。處理安全和效率的矛盾時要從實際出發(fā)加以分類分級�,根據(jù)重要性和風險程度�,提出不同的安全要求和措施?����!峨娮雍灻ā吩诜缮峡隙撕灻挠行?��,推動了網(wǎng)上安全措施的普及和強化�。隨著技術的不斷改善提高,使用中的技術障礙會越來越小���,認證效率則越來越高�����。
2. 重視標準和規(guī)范����,加強對CA機構的管理
篇9
中圖分類號:F831 文獻標識碼:A 文章編號:1007―4392(2010)10―0048―03
一�����、新歐盟電子貨幣機構監(jiān)管制度內(nèi)容
歐盟電子貨幣監(jiān)管制度從電子貨幣機構的準人條件���、活動范同�、限制以及電子貨幣可贖回性等各個方面對電子貨幣機構開業(yè)��、經(jīng)營和審慎監(jiān)管等方面進行了規(guī)范:
(一)電子貨幣和電子貨幣機構的定義
電子貨幣是電子貨幣發(fā)行商通過收取貨幣資金��,發(fā)行的用于支付交易目的��、且能夠被其他自然人或法人接受的電子化的貨幣價值,它表現(xiàn)為持有人對發(fā)行人所享有的要求權�����。電子貨幣機構是指滿足準入條件���、經(jīng)授權可以發(fā)行電子貨幣的法人�����。
(二)電子貨幣機構的設立��、運行和審慎監(jiān)管要求
對電子貨幣機構監(jiān)管的一般審慎原則�,仍沿用2007/64/EC第5款“申請授權”條款���,第10-15款的“決議的傳達”�����、“授權的撤銷”、“登記”�����、“授權的維持”、“核算和法定審計”條款�����,及第17款(第7條)“支付服務外包”條款����,并做了必要的修訂。
1.建立授權���、登記和撤銷制度�。在歐盟國家��,從事第三方網(wǎng)上支付的機構須取得銀行業(yè)執(zhí)照或電子貨幣公司的執(zhí)照才能開展業(yè)務�����。要獲得電子貨幣機構資格���,申請者須向所在會員國主管當局提交一份包含操作方案��、商業(yè)計劃��、初始資本金證明�����、保證資金安全措施��、內(nèi)控機制(符合反洗錢和反恐融資規(guī)定)���、組織結(jié)構���、董事和管理者身份、總公司地址等內(nèi)容在內(nèi)的申請材料�����。主管當局在收到該申請材料起三個月內(nèi)通知申請者是否批準對其授權��,若拒絕授權須給出原因����。獲得授權的電子貨幣機構需要在主管當局設立的登記部門登記備案���,并按照授權從事相關業(yè)務��。同時���,主管當局在特定情況下(如電子貨幣機構通過錯誤陳述或非正常手段獲得授權,或12個月內(nèi)未對授權采取行動�����、6個月以上未從事相應商業(yè)活動����,或繼續(xù)經(jīng)營將對支付系統(tǒng)穩(wěn)定性構成威脅等),有公開撤銷電子貨幣機構經(jīng)營資格的權利�。
2.重要事項報告制度。明確規(guī)定當機構的資金保障措施發(fā)生重大變動或決策層出現(xiàn)重大調(diào)整時�,電子貨幣機構必須要向主管當局報告并必須獲得主管當局的同意,以確保主管當局及時掌握電子貨幣機構的經(jīng)營情況���。須報告的事項包括但不限于:當已發(fā)行電子貨幣所收取款項的安全措施發(fā)生實質(zhì)變化時���,須提前報告主管當局:當電子貨幣機構中的法人或自然人所持有限定資產(chǎn)資本比例或選舉權比例達到、超出或低于20%��、30%���、50%時�����,或決定并購或處置����、增加或減少這些限定資產(chǎn)時,須向主管當局報告���。
3.初始資本金���。充足的資本金是電子貨幣機構安全運轉(zhuǎn)、順利履行各項義務以及防范化解各種風險的最基本的物質(zhì)保障�。歐盟電子貨幣監(jiān)管法令明確提出電子貨幣機構必須具備不低于35萬歐元的初始資本金。而原法令2007/64/EC對以電信�����、數(shù)字或IT設備為支付載體本身只起支付中介作用的第三方支付機構初始資金的界定為不低于50萬歐元�����。
4.自有資金�����。明確規(guī)定電子貨幣機構持續(xù)性自有資金的最低要求。分別對電子貨幣機構開展電子貨幣發(fā)行業(yè)務和其他業(yè)務設定了不同的計算標準���,如果發(fā)行電子貨幣,其自有資本金的最低持有量不得少于近六個月未兌現(xiàn)電子貨幣的相關負債總額平均值的2%�。
如果不發(fā)行電子貨幣,其自有資金要求按規(guī)定的3種方法之一(均來自于條令2007/64/EC第8款��,此處不再贅述)來計算�����。最合適的計算方法由主管當局在國家法令下制定�����。
5.定義活動范圍���。除發(fā)行電子貨幣外���,電子貨幣機構還有權從事以下活動:2007/64/EC法令加條款中的支付服務,如開立資本賬戶���、現(xiàn)金存取���、支付轉(zhuǎn)賬�����、授予信用���、發(fā)行或取得電子票據(jù)、匯兌�、電子支付中介等。對于發(fā)行電子貨幣的機構而言�����,不得挪用公眾的保證金或償債資金�,沿用2006/48/EC的條款5。不發(fā)行電子貨幣的機構可沿用2007/64/EC條令��,設立專用的支付交易賬戶��,不得挪用保證金和可償債資金用于其它商業(yè)活動一(第16款第2����、第4條)�。
6.用戶資金保護措施��。為保護支付用戶的利益不受損害�����,明確規(guī)定電子貨幣機構要確保通過發(fā)行電子貨幣所獲得資金的安全�����。電子貨幣機構要將自有資金與未兌現(xiàn)的電子貨幣兌換資金完全分離�,為電子貨幣兌換資金專門開立賬戶���,此賬戶只能投資于主管當局認定的具有充分流動性的低風險資產(chǎn)����。會員國要求發(fā)行電子貨幣的機構遵循2007/64/EC指令第9款的第1條和第2條�。不發(fā)行電子貨幣的機構適用于2007/64/EC的第9款。
(三)電子貨幣的發(fā)行和贖回
2009/110/EC條令第三部分對電子貨幣的發(fā)行和賦回條款中���,對有資格發(fā)行電子貨幣的機構發(fā)行貨幣作了相關規(guī)定���,包括平價發(fā)行����、隨時贖回條款�����、贖回條件�����、贖回費用和合同終止���。并禁止支付電子貨幣持有人持有電子貨幣期間的利息:爭議解決的庭外控告和補償程序:最后的條款和執(zhí)行措施:委員會程序:成員國間的協(xié)調(diào)����;過渡性條款及對法令2005/60/EC���、2006/48/EC的修訂��。
二�����、我國對第三方支付機構的監(jiān)管現(xiàn)狀
(一)監(jiān)管主體不明確
網(wǎng)上第三方支付業(yè)務是集團網(wǎng)絡和金融業(yè)務為一體的綜合性業(yè)務���,與網(wǎng)絡運營和金融業(yè)務相關的監(jiān)管機構���。如人民銀行、銀監(jiān)會���、信息產(chǎn)業(yè)部門等都可以對網(wǎng)上第三方支付業(yè)務的某一方業(yè)務進行監(jiān)管�����,但目前尚未明確由哪一方機構負責對第三方網(wǎng)上支付業(yè)務的全面監(jiān)管���。對第三方網(wǎng)上支付機構的運行管理��、銀行與第三方支付機構的權責關系等監(jiān)管都處于真空狀態(tài)��。
(二�、監(jiān)管法律依據(jù)不足
我國還沒有出臺專門針對第三方支付的法律法規(guī),可以依據(jù)的只有“三個參考和一個辦法”��,即2005年4月1日起施行的《電子簽名法》�,同年10月26日施行的《電子支付指引(第一號)》和2005年6月10日的《支付清算組織管理辦法》(征求意見稿),以及2010年6月14日的《非金融機構支付服務管理辦法》����。其中《非金融機構支付服務管理辦法》對第三方支付的市場準入��、監(jiān)督管理等方面問題第一次做出了規(guī)定�����。但是有關的監(jiān)管法律依據(jù)仍存在明顯缺陷�。
一是電子貨幣發(fā)行的主體資格����、電子貨幣發(fā)行量的控制、電子支付業(yè)務資格的確定���、電子支付活動的監(jiān)管�、客戶應負的義務與銀行應承擔的責任等��,還缺乏具體的法律條款加以規(guī)范�����。
二是第三方支付機構法律地位不明確�,缺乏市場準入監(jiān)管條例。第三方網(wǎng)上支付業(yè)務主要面臨三大法律問題:第一類,通過銀行�����、第三方支付平臺或者網(wǎng)絡交易平臺提供網(wǎng)絡服務中的法律問題:第二類�����,電子貨幣的法律問題��,包括電子貨幣的范圍�����、監(jiān)管與規(guī)范���、安全性等�����;第三類,安全問題的法律問題�,如虛假支付網(wǎng)站、網(wǎng)絡支付證據(jù)認定�、電子認證及網(wǎng)絡支付責任承擔等問題。
三是第三方支付機構開立結(jié)算賬戶并提供支付結(jié)算服務,突破了特許經(jīng)營限制���。根據(jù)《中華人民共和國商業(yè)銀行法》(修正)第三條的規(guī)定���,結(jié)算業(yè)務屬于商業(yè)銀行的中間業(yè)務必須經(jīng)過銀監(jiān)會的批準才能從事。而第三方支付平臺顯然已突破了這種特許經(jīng)營限制��,急需監(jiān)管部門出臺相應的管理措施�����。規(guī)范業(yè)務范圍�����,消除“灰色地帶”���。
(三)滯留資金監(jiān)管
對第三方支付平臺中的大量資金沉淀�����,缺乏有效的流動性管理����。大量的客戶資金沉淀可能引發(fā)資金流動性風險或引發(fā)第三方支付機構從事風險較高的投資活動或其他活動,造成資金安全隱患���,引發(fā)支付風險���、道德風險和企業(yè)平臺信用風險,從而波及到我國的國家金融體系的安全穩(wěn)定�。但我國并未有相關法律對滯留資金的監(jiān)管作出解釋。此外��,滯留資金產(chǎn)生的利息歸屬也尚未有定論��。
(四)對網(wǎng)上支付交易過程的監(jiān)管
由于網(wǎng)絡交易的匿名性��、隱蔽性��,利用支付平臺的網(wǎng)絡違法犯罪活動不斷出現(xiàn)��,其造成的危害令人堪憂���。第三方支付平臺很難辨別資金的真實來源和去向����,使得利用第三方平臺進行資金的非法轉(zhuǎn)移�����、洗錢����、賄賂、詐騙���、賭博����、恐怖融資�����、套現(xiàn)以及逃稅漏稅等活動有了可乘之機�。
三、建議
(一)出臺針對第三方支付的監(jiān)管法律和政策
在現(xiàn)有的法令基礎上盡快出臺專門針對第三方支付機構監(jiān)管的支付清算法規(guī)��。明確規(guī)定第三方支付機構的授權��、登記及撤銷制度���、初始資金額�����、自有資金額��、業(yè)務范圍��、資金安全措施��、重要事項報批等條款����。加強交易過程中防范信用卡套現(xiàn)、欺詐���、洗錢��、賭賄��、賄賂���、反恐融資的監(jiān)管。向具有一定規(guī)?��;蛐酆駥嵙Σ⒎戏?��、法規(guī)的機構頒發(fā)營業(yè)執(zhí)照,明確限定最低注冊資本金額并作為進入市場的準入條件��,以保障第三方支付機構的支付能力�����。
制定相應的法規(guī)確保第三方支付平臺交易的安全��,明確第三方支付平臺在現(xiàn)實經(jīng)濟中的法律定位����,降低第三方支付平臺的資金(包括保證金和準備金),給第三方支付系統(tǒng)中在途資金的安全提供制度上的保證����。
(二)明確監(jiān)管主體和監(jiān)管對象
建立以人民銀行為監(jiān)管主體,商業(yè)銀行代為保管第三方支付平臺的滯留資金的監(jiān)管體系�,可由中國人民銀行制定保證金制度,商業(yè)銀行規(guī)范結(jié)算周期���,提高第三方支付系統(tǒng)整體的支付效率��,避免由支付周期帶來的其他問題�����。監(jiān)管對象為以電信����、工作、數(shù)字技術為載體從事支付中介業(yè)務的第三方支付機構��。
(三)明確界定第三方支付機構的業(yè)務范圍及對交易過程的監(jiān)管
中國人民銀行須詳細界定第三方支付機構的業(yè)務范圍���、規(guī)范其運作�����。對發(fā)行電子貨幣的第三方支付機構����,應該規(guī)范準入審批制度���、發(fā)行電子貨幣條件�����、持續(xù)性自有資金�����、贖回條款�、審慎監(jiān)管等。對未發(fā)行電子貨幣的第三方支付機構�,應加強對其沉淀資金的監(jiān)管���,防止沉淀資金的挪用���。如果人民銀行批準,可以適當投資于人民銀行規(guī)定的低風險高流動性資產(chǎn)���。
在交易過程中�����,加強立法�����,防范虛擬交易中的欺詐�����、洗錢���、賄賂等非法活動�����。對除開展支付服務以外業(yè)務的電子貨幣機構�����,應加強對其發(fā)行電子貨幣業(yè)務的監(jiān)管�����。按照審慎原則對其投資���、業(yè)務范圍及風險管理予以監(jiān)管。建立重大事項報批制度����、電子貨幣發(fā)行及其贖回機制和破產(chǎn)保護制度。
篇10
中圖分類號:F830.4 文獻標識碼:A 文章編號:1005-5312(2011)33-0243-01
一���、網(wǎng)上銀行的業(yè)務范圍
電子商務活動中網(wǎng)上支付方式有網(wǎng)上銀行卡���、電子現(xiàn)金�、電子錢包�、電子支票等,其中網(wǎng)上銀行卡是應用最為普遍的一種方式����。
網(wǎng)上銀行也稱為網(wǎng)絡銀行、在線銀行�����,是指利用Internet���、Intranet及相關技術處理傳統(tǒng)的銀行業(yè)務及支持電子商務網(wǎng)上支付的新型銀行。網(wǎng)上銀行就在我們身邊����,它和我們生活中經(jīng)常去的銀行是非常相似的,基本上柜面能辦理的業(yè)務���,網(wǎng)上銀行都能夠辦理�,柜面不能辦理的一些業(yè)務如網(wǎng)上購物、自動轉(zhuǎn)賬����、 7 × 24 小時匯款、家庭理財�����,網(wǎng)上銀行也能辦理���。
招商銀行于1998年在銀行網(wǎng)站上推出了“一網(wǎng)通”服務��,是我國第一家網(wǎng)上銀行.目前國內(nèi)各大商業(yè)銀行均開通了網(wǎng)上銀行業(yè)務�����,而且網(wǎng)上銀行業(yè)務量在銀行總業(yè)務中所占比重在不斷地上升�����。
二�����、如何網(wǎng)上銀行申請
網(wǎng)上銀行的功能這么強大��,如何申請使用呢��?只需拿您的身份證件到銀行網(wǎng)點開立借記卡��、信用卡或理財金賬戶�����,然后就可以同步在柜面申請開通網(wǎng)上銀行服務了��,如果需要大額轉(zhuǎn)賬��,您還可申請一個類似 U 盤的客戶證書(U盾)�,以確保所有網(wǎng)上交易安全無憂。
有些銀行業(yè)開通了在線自助注冊開通網(wǎng)上銀行��,如果您不方便到柜臺開通網(wǎng)上銀行��,也可登錄其網(wǎng)站進行自助注冊開通�����,如工行����。在注冊開通后,就可以安心享受網(wǎng)上銀行的各種服務了���。
三��、網(wǎng)銀盜竊手段
(一)利用解碼網(wǎng)站客戶信息來實施犯罪的���。犯罪分子通過攻破一家小網(wǎng)站竊取了該網(wǎng)站的客戶信息(包括用戶名、密碼�、銀行卡號等),而該網(wǎng)站部分客戶在普通網(wǎng)站上的密碼和網(wǎng)上銀行密碼設置相同����,給了犯罪分子以可乘之機。
(二)“網(wǎng)賊”自行設立假的游戲網(wǎng)站����,“一般這種網(wǎng)站的設立成本僅為幾百元”。用戶在非法的游戲裝備交易網(wǎng)站購物時�,輕易地在該網(wǎng)站輸入了網(wǎng)銀的卡號、密碼�����,當時該網(wǎng)站提示密碼錯誤�����,客戶也未做什么補救措施,幾天后就會發(fā)現(xiàn)自己的賬戶資金已經(jīng)被盜���。
(三)儲戶對自己的賬戶信息外泄被他人利用所造成的損失���。
從這3種騙術的共性來看,都是鉆了儲戶麻痹大意的空子�����,騙取了賬戶的資料���、密碼等�����,與儲戶的安全意識不強,沒有保護好自己的賬號�����、密碼等敏感信息直接相關���。我們決不能因噎廢食�。
四、網(wǎng)上銀行安全防范措施
為了保證銀行賬戶不受損失�,進行網(wǎng)上支付時,建議采取一些必要的安全防范措施:
(一)資金交易最好申請網(wǎng)上銀行數(shù)字證書
如果您必須要進行網(wǎng)上劃賬交易時��,盡量使用網(wǎng)上銀行客戶證書加密方式�����。以工商銀行為例�����,該行與微軟等國際知名公司合作推出了網(wǎng)上銀行客戶證書��,采用智能芯片(USBKey)信息加密技術��,可以讓您的網(wǎng)上銀行服務更加安全可靠�。您申請客戶證書后,在網(wǎng)上辦理轉(zhuǎn)賬�����、匯款等業(yè)務時必須在計算機上插入USBKey�����,系統(tǒng)自動調(diào)用USBKey內(nèi)的客戶證書進行交易簽名。
(二)使用正確網(wǎng)址登錄網(wǎng)站
請登錄正確網(wǎng)址���,訪問銀行網(wǎng)站要直接在瀏覽器地址欄內(nèi)輸入網(wǎng)址�����,不要通過鏈接登錄網(wǎng)上銀行���,也可以將工商銀行、中國銀行等銀行網(wǎng)站的正確網(wǎng)址添加到瀏覽器的“收藏夾”�,每次從“收藏夾”中選擇銀行網(wǎng)站的鏈接進行登錄,不要從非銀行網(wǎng)站的超級鏈接間接訪問����,謹防假冒網(wǎng)站。
(三)保證計算機安全����。應在個人電腦上安裝銀行提供的用于保護客戶端的安全組件。并及時安裝操作系統(tǒng)和瀏覽器最新補丁文件��,并為計算機設定密碼�,以防止他人擅自使用。另外����,要安裝正版殺毒和防火墻軟件并及時更新,不要查看來歷不明的電子郵件�����,防止計算機病毒或黑客入侵計算機��。
盡量不要在公共場所(如網(wǎng)吧)使用網(wǎng)上銀行��,因為您無法知道這些計算機是否裝有惡意程序進行監(jiān)測�����。
(四)保護用戶名和密碼
篇11
電子商務是基于互聯(lián)網(wǎng)的一種網(wǎng)上交易���、網(wǎng)上支付的新型商業(yè)模式�����。隨著電子商務的快速發(fā)展�����,電子支付的重要性越來越明顯�,已經(jīng)成為整個電子商務產(chǎn)業(yè)鏈中的核心環(huán)節(jié)。如何實現(xiàn)完全的在線支付功能���,并保證交易各方的安全��、保密是實現(xiàn)電子商務關鍵的問題之一���。
根據(jù)中國社會科學院互聯(lián)網(wǎng)研究發(fā)展中心的調(diào)查數(shù)據(jù),B2B的交易額占到了整個中國電子商務市場的98%����,是電子商務的絕對主流。但是���,B2B電子支付卻發(fā)展緩慢�����,大多仍然停留在信息流的傳遞上�����,還處于電子商務的初級階段��,遠遠沒有實現(xiàn)信息流��、資金流和物流的有效協(xié)同����,而其主要原因之一就在于電子支付這一B2B電子商務重要環(huán)節(jié)的缺失�����。
一��、電子支付
電子支付是指單位����、個人直接或授權他人通過電子終端發(fā)出支付指令,實現(xiàn)貨幣支付與資金轉(zhuǎn)移的行為���。
電子支付的類型按電子支付指令發(fā)起方式分為網(wǎng)上支付���、電話支付、移動支付�����、銷售點終端交易、自動柜員機交易和其他電子支付���。
電子支付具有方便��、快捷�����、高效���、經(jīng)濟的優(yōu)勢。用戶只要擁有一臺上網(wǎng)的PC機��,便可足不出戶���,在很短的時間內(nèi)完成整個支付過程�。支付費用僅相當于傳統(tǒng)支付的幾十分之一��,甚至幾百分之一���。
二��、B2B電子支付現(xiàn)狀
1.企業(yè)對B2B電子支付需求迫切
隨著B2B電子商務市場的發(fā)展和成熟���,越來越多的企業(yè)與政府組織部門拓展電子商務以及電子政務���,這些均迫切需要發(fā)展適合中大額網(wǎng)絡交易與服務的網(wǎng)絡支付手段。信用卡等小額支付結(jié)算方式面對這些業(yè)務需求有些勉為其難��。企業(yè)對B2B電子支付需求也越來越迫切����。
電子結(jié)算充分利用網(wǎng)絡資源���,只進行信息的交換����,而不進行紙幣實質(zhì)的轉(zhuǎn)讓��,令銀行與企大大節(jié)省了資源���,更方便���。充分利用數(shù)字簽名�、隱藏簽名等安全技術來保證安全�����,以防抵賴��、防偽造����。目前很多企業(yè)間的電子商務仍采用網(wǎng)上交易、網(wǎng)下支付的方式�,其實質(zhì)并不是真正意義上的電子商務,電子商務的簡單形式上的呈現(xiàn)�����,電子商務的實時性的優(yōu)勢無從體現(xiàn)��。
由于在線電子支付是電子商務的關鍵環(huán)節(jié)�,也是電子商務得以順利發(fā)展的基礎條件,電子支付的重要性越來越明顯���,已經(jīng)成為整個電子商務產(chǎn)業(yè)鏈中的核心環(huán)節(jié)���?����;趶V泛互聯(lián)且完全開放的網(wǎng)絡平臺�����,電子支付實現(xiàn)了低成本���、高效率、全球性的資金流轉(zhuǎn)模式���。在實現(xiàn)了網(wǎng)上和尋找信息的簡單電子商務后,企業(yè)迫切需要在交易過程中�����,采用實時的在線支付方式��,以極大地提高電子商務活動的效率�����,減少不必要的中間環(huán)節(jié)�。
2.商業(yè)銀行B2B電子支付業(yè)務創(chuàng)新
商業(yè)銀行是最早的B2B電子支付服務提供方���。隨著電子商務的深化和發(fā)展,各家銀行都在尋求新的業(yè)務增長點�,銀行在線交易的功能成為銀行最為關注的新業(yè)務。
電子商務網(wǎng)上支付業(yè)務通過銀行支付網(wǎng)關與電子商務網(wǎng)站對接����,提供與交易訂單緊密捆綁的在線支付服務,使買家通過網(wǎng)上銀行安全�、輕松地完成在線交易和支付。事實上���,邁入1999年����,網(wǎng)上銀行服務(InternetBanking)已成為業(yè)界不可或缺的服務����,不少大銀行不但有網(wǎng)站,而且還提供網(wǎng)上轉(zhuǎn)賬和查詢賬戶的功能��。目前銀行提供的B2B網(wǎng)上支付方式主要有兩種:一種是電子支票類�����,如電子支票、電子匯款(EFT)�����、電子劃款等����;另一種是電子信用證類,即把傳統(tǒng)的信用證方式轉(zhuǎn)換成網(wǎng)上發(fā)證的方式�����,利用銀行信用和網(wǎng)上銀行轉(zhuǎn)賬完成買賣雙方的網(wǎng)上支付��。
3.供應商的風起云涌
第三方支付是B2B電子支付服務的新興的供給方���。
所謂“第三方支付”,是指在電子商務企業(yè)與銀行之間建立一個中立的支付平臺����,為網(wǎng)上購物提供資金劃撥渠道和服務的企業(yè)。隨著中國互聯(lián)網(wǎng)的普及和電子商務的迅速發(fā)展��,中國的第三方支付市場呈現(xiàn)出勃勃的發(fā)展生機�����。艾瑞市場咨詢最新的《2007年中國網(wǎng)上支付第一季度研究報告》數(shù)據(jù)顯示,2007年第一季度中國第三方支付市場交易額規(guī)模達到160億元�����,比上一季度增長了33.3%�,與去年同期相比,增長了4倍多�����。
第三方支付在C2C和B2C領域取得了很好的業(yè)績�����,開始逐步涉足B2B交易�。第三方支付商的優(yōu)勢在于小銀行之間的跨行交易。
三����、B2B電子支付存在問題
1.B2B電子支付要求更高的安全性
網(wǎng)上支付的安全問題一直是企業(yè)和個人用戶關注的焦點。B2B的網(wǎng)絡支付結(jié)算是企業(yè)對企業(yè)的大金額網(wǎng)絡支付結(jié)算�����,操作較為繁復,因此交易風險較大�����,B2B電子商務對交易資金的安全級別要求比B2C���、C2C要高的多��。尤其企業(yè)在考慮選擇第三方支付平臺時����,其非金融組織的身份�����,使它在企業(yè)中的可信度還不夠�����。
2.B2B電子支付要求更快的周轉(zhuǎn)速度
目前�����,很多第三方支付服務機構開展了在線支付�����、電子錢包等支付手段�����,但基本模式都是付款方的資金先轉(zhuǎn)入第三方支付服務機構的賬戶或者電子錢包���,然后賣方發(fā)貨���。只有在賣方的貨物被買方收到并驗貨認可后,資金的清算才可以正式進行�����,貨款由第三方支付服務機構轉(zhuǎn)給收款方�����,但從發(fā)貨�����、收貨到驗貨有較長的周期,買方的貨款被滯留在第三方支付服務機構����,這種模式的收付速度難以達到B2B電子商務的要求。尤其是規(guī)模不是很大的電子商務企業(yè)�����,實力較弱�����,對流動資金有很高的需求��,他們無法接受資金滯留�����。
3.B2B電子支付要求三流更高的協(xié)調(diào)性
物流��、資金流和信息流是電子商務的三要素�����。網(wǎng)上下單����、網(wǎng)上支付并在網(wǎng)上指定配送方式,才構成一個完整統(tǒng)一的電子商務體系���。企業(yè)開展B2B電子商務業(yè)務時�����,會產(chǎn)生大量訂單�����。如何通過電子支付實現(xiàn)資金流和訂單/信息流的統(tǒng)一����,從而便利收款企業(yè)的對賬發(fā)貨����,也是企業(yè)非常現(xiàn)實的需求��。對于B2B電子支付而言���,并不僅僅是在網(wǎng)上進行一次付款便完成了的事情���,它背后將涉及到的是物流�、庫存�、信息流等的對接。
第三方支付網(wǎng)關無法對網(wǎng)上交易的貨物進行監(jiān)督����,也就不能為買家保證貨物的安全,在資金監(jiān)管���、信息流的提供等方面都有不足���,在B2B電子支付過程中,發(fā)展將更艱難���。
除此之外���,電子支付相關法律法規(guī)還不健全,并且電子支付渠道不統(tǒng)一���,目前銀行之間還不可能互相提供接口���。
四����、B2B電子支付的解決對策
1.多方面提供安全保障
電子支付先天具有一定的安全可靠性���。企業(yè)在進行B2B電子支付時,無需使用現(xiàn)金�����、支票支付稅費�,特別是對于本關區(qū)以外的企業(yè),免去了郵寄��、攜帶大額票據(jù)的風險��,極大地提高了企業(yè)資金管理的安全性����。
但從銀行、第三方支付網(wǎng)關的角度��,仍需采用多種措施��,提高B2B電子支付的安全性�����。
首先是技術上。B2B電子支付服務提供方�����,在電子支付的各個環(huán)節(jié)���,采用先進的安全措施��。網(wǎng)上銀行系統(tǒng)采用國際上安全性強的1024位非對稱密鑰算法為基礎的公鑰安全體系��;客戶證書采用支持非對稱密鑰算法�、帶協(xié)處理器的CPU智能IC卡為存儲介質(zhì)�����;網(wǎng)絡數(shù)據(jù)傳輸方面采用國際通行的SSL協(xié)議進行鏈路層的加密傳輸���;整個系統(tǒng)的網(wǎng)絡框架上��,設置多重防火墻和安全服務器����,并采用著名的ISS黑客掃描程序。
其次從管理上����。要確保網(wǎng)絡系統(tǒng)的安全與保密,除了對工作環(huán)境建立一系列的安全保密措施外�,還要建立健全金融網(wǎng)絡的各項內(nèi)部管理制度。根據(jù)企業(yè)資信狀況��,從業(yè)務角度控制參與B2B在線支付的企業(yè)范圍�����??蛻舻拿恳还P交易都將按照機密性和完整性的要求進行記錄���,作為交易的審計備案��。以上措施從源頭上阻止非法客戶的進入��,杜絕欺詐行為的發(fā)生���,為B2B電子商務的開展營造了一個更加安全、規(guī)范����、便捷的交易環(huán)境�����。
再次�����,從信用機制上����。網(wǎng)上銀行通過遠程通信手段��,借助信用確認程序?qū)杩钫叩男庞玫燃夁M行評估�。而第三方支付平臺通常把用戶規(guī)模、在線的時間����、交易記錄、買家評價�����,以及信息的數(shù)目等方面都加以考核,然后對這些方面設置相應的積分��,最后根據(jù)積分為這些“網(wǎng)上店鋪”評定星級��。當一家網(wǎng)站有足夠的評價機制后�,用戶根據(jù)星級狀況便可以選擇相對更為穩(wěn)妥的賣家進行交易,在這種情況下選擇線上支付的可能性也會更大�����。
2.提高速度��,縮短資金結(jié)算時間
通常的線下支付時間較長��、手續(xù)復雜���。快捷����、高效、方便是網(wǎng)上支付最吸引人的地方�����。B2B電子支付提供了買賣雙方企業(yè)網(wǎng)上交易資金的實時劃撥。電子資金轉(zhuǎn)賬系統(tǒng)縮短了銀行之間支付指令的傳遞時間,并減少了在途資金的占壓����。一些銀行和第三方支付平臺合作,開始嘗試“應收賬款質(zhì)押貸款”�����,即將賣方尚未結(jié)算的訂單向銀行作為融資的質(zhì)押��,讓資金在途和沉淀期縮短����。網(wǎng)上銀行系統(tǒng)一般分兩次向特約網(wǎng)站和收款企業(yè)實時反饋每筆電子支付指令的有關信息,以便于供貨方掌握并控制交易進度���。付款企業(yè)作為網(wǎng)上銀行客戶�����,可隨時登錄銀行網(wǎng)站或追蹤查詢指令處理狀態(tài)��,了解支付信息�����。
3.利用信息技術構建三流一體化平臺
由于信息技術的支持��,企業(yè)可以采用一定規(guī)模的ERP��、SCM軟件�����,協(xié)調(diào)整個供應鏈的機制����,實現(xiàn)從客戶到供應商的完全連通,企業(yè)的內(nèi)部流程與外部交易完全一體化��;通過供應鏈管理�,保證了銷售渠道的暢通;實時進行交易�����,使交易和供應幾乎同時發(fā)生���,使供應商及時了解物料需求狀況,實現(xiàn)企業(yè)零庫存�����;快速、實時�����、柔性的交易模式����,及其完善而流暢的服務與物流配送體制,使電子商務達到了其高級階段�。
在企業(yè)實現(xiàn)物流、庫存電子化管理后�,符合中國企業(yè)需求的第三方電子支付,將能夠?qū)㈦娮由虅掌髽I(yè)交易的“信息流”與“資金流”實現(xiàn)最佳整合�,并能作為B2B電子商務中企業(yè)渠道資金收付和產(chǎn)業(yè)鏈上下游企業(yè)資金來往來的重要平臺。
網(wǎng)上銀行也能夠?qū)崿F(xiàn)電子商務交易的全過程�����、如何實現(xiàn)交易資金流與信息流的緊密綁定����。實現(xiàn)訂單和資金流的統(tǒng)一,便利收款商戶對賬發(fā)貨�����。
4.大中小企業(yè)各取所需
一般來說,處于產(chǎn)業(yè)鏈內(nèi)主導地位大型廠商來說���,電子支付的關鍵是安全與信譽���,此時尋找商業(yè)銀行等金融機構作為電子支付渠道的合作伙伴將顯得更為現(xiàn)實。通過金融機構建立大額電子支付渠道���,能夠有效保障整個產(chǎn)業(yè)鏈上企業(yè)相互間安全支付����。
對于中小企業(yè)���,上下游客戶隨機性較強�����,第三方支付平臺能幫助其拓展客戶機會���,同時也能保障相互之間的支付安全性���。對中小企業(yè)來說�����,快捷�、高效、方便是網(wǎng)上支付最吸引人的地方��。通常的線下支付時間較長����、手續(xù)復雜。因此���,這些企業(yè)適合尋找專業(yè)的第三方支付平臺搭建適合自身業(yè)務的電子支付渠道�����。
支付網(wǎng)關需要通過銀行進行結(jié)算�����,支付商提供的服務是銀行業(yè)務的延伸���,二者是合作和補充的關系��。越來越多的銀行跟第三方支付公司的聯(lián)合���,為各類型企業(yè)又提供了更多的選擇。
