时间:2024-03-05 14:43:12
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网上支付安全措施范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
一、网上支付是电子商务的重要组成部分
完整的电子商务运作过程一般包括商情沟通、资金支付、商品配送三个环节。在Internet环境下,卖方通过在网上创建主页的方式,推出产品展示等信息;买方则随时通过网址访问对方主页,查询所需商品信息,当选定商品时即可向卖方发出求购信息;卖方在收到买方信息后,双方则就交易的具体细节进行沟通;达成协议后,双方通过金融机构进行网上支付;最后完成商品交接的配送工作。由此可见,网上支付是与网上交易紧密结合、互为条件的。网上交易不确定,网上支付不会发生;而网上支付不进行,网上交易也不能最终完成。因而,网上支付与电子商务有着必然的联系,网上支付是电子商务最核心、最关键的环节,是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的基础条件。电子商务的实施与发展,急需网上支付机制的支持。需要银行业的积极介入。
二、电子商务中的网上支付工具
广义地讲,网上支付是发生在购物者和销售者之间的金融交换。而这种交换的内容通常 银行所支持的某种数字金融工具。因此,要完成Internet上的支付活动,首先涉及到的问题就是采用何种方式来实现这一过程。目前,网上支付工具主要包括银行卡支付、电子支票、电子现金和网上银行。
(一)银行卡支付。目前我国开展的网上支付主要是以银行卡为工具的网上支付,所面临的基本上是借记卡环境。实施银行卡网上支付需具备以下两个条件:第一,各发卡行的授权和结算环节必须畅通;第二,要实现全国银行卡业务与网络的充分结合。
(二)电子支票。支票一直是银行采用的支付工具之一,但在电子商务环境下,传统的纸质交易难以满足现实的需要,必须用电子支票来代替。但是电子支票主要依赖于当事人的信用度,在目前的现实情况下难以被大面积的推行。
(三)电子现金。电子现金不同于信用卡和借记卡,它不仅具有人们手持纸基现金的基本特点。而且把计算机网络化的方便性以及比纸基现金增强的安全性和私密性结合在了一起,电子现金的多功能性开创了大量的新型市场和应用。在国外,电子现金已被运用于电子商务中。我国目前对电子现金的研究还不是很成熟。
(四)网上银行既是电子商务范畴之一,又为电子商务提供网上支付服务,它是依托Internet的发展而兴起的一种新型银行服务手段,具有快捷方便、无时空限制、不间断服务、成本低廉等特点。自从1995年10月美国“安全第一网络银行”诞生以来,网上银行已成为金融机构拓宽服务领域、争取业务增长的重要手段,并且,由于网上交易可通过登录网上银行来完成支付结算,网上银行在过也得到了。
二、电子商务安全保障体系及技术手段
(一)电子商务系统为保密而采用的数字签名"密钥管理与认证中心。
人们习惯于用看得见摸得着的方式"作为处理大多数事务的凭据"比如(用户签字采用数字签名的管理方式,为电子商务系统提供了可行性和有效性,在电子商务管理中"有很多地方要用到数字签名,例如(不同用户的电子印章管理应该采用电子签名的方式"买卖双方"订单申请方"采购方"交货方"发货方"收货方等’为确保信息的可信性和完整性"应该采用数字签名的方式。
(二)认证中心。
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,有必要建立一种信任及信任验证机制!即参与电子商务的各方必须有一个可以被验证的标识,这就是数字证书、数字证书是各实体在网上信息交流及商务活动中的身份证明,该数字证书具有唯一性,它将实体的公开密钥同实体本身联系在一起,为实现这一目的!必须使数字证书符合国际标准,同时数字证书的来源必须是可靠的,这就需要有一个网上各方都信任的机构专门负责数字证书的发放和管理,确保网上信息的安全。这个机构就是US认证机构,即数字证书认证中心各级US认证机构的存在组成了整个电子商务的信任链,参与电子商务处理的各方都必须拥有合法的身份!即由数字证书认证中心机构签发的数字证书,在商务处理的各个环节,各方都需检验对方数字证书的有效性!从而解决了信任问题涉及到电子商务中各主要参与方的身份信息严格的加密技术和认证程序。
三、第三方支付平台存在的问题
(一)第三方支付平台存在安全隐患。
现在,越来越多的人选择通过第三方支付平台进行网购。第三方支付平台上的个人账户里沉积了大量资金,但资金沉淀出现后,必然会带来资金安全的隐患。第三方支付平台是为了维护交易公正性,提高交易双方的信心,保障了顾客和商家各自的利益。但一旦第三方支付平台的账户被窃取,其负面影响将是巨大的。因此安全风险问题不能忽视。
(二)缺乏完善的法律制度。
在我国电子商务法律法规中,虽然出台了相关的法律法规,但关于第三方支付的法律法规很少,且不完善。如关于第三方支付中,资金沉淀的所有权和使用权的归属问题等都存在严重的立法不足或具体条款不明晰. 政府必须通过相关立法进行规范。
(三)第三方支付平台缺乏独立性。
目前国内的第三方支付平台大多是与网购网站、网络商城绑定在一起的。而且,每个第三方支付平台之间没有互联互通。不同的网购站点,它所支持的第三方支付平台也是不同的。这样给消费者带来了不便,也使商家无形中损失了很多潜在的客户。
(四)资金非法套现和转移问题。
通过第三方支付模式的一些漏洞,可能会出现资金非法套现和转移情况。比如有的网上交易实际上并没有进行真正的消费,而是制造一笔虚假交易,通过银行卡支付后,钱进入了支付平台的帐户,通过帐户转移到银行,从银行取现,实际上是为了套取现金。本来银行对信用卡的取现有一套控制制度,通过交易成本控制资金的使用度。但是网上交易避开了这些。现在很多网站买卖都是免费的,成本几乎就是零,通过第三方支付平台,资金的套现和转移将会更为方便。第三方支付企业本身不提供存款和贷款,不进行托收,信用卡,传统银行中间业务等,与传统银行还是有比较明显的差别的,因此,它不是银行。但它预收资金,或者有沉淀资金,又确有资金利息问题,确有金融和道德风险等问题。
(五)相关部门对第三方支付平台监管力度不够。
央行等监管部门对第三方支付平台的监管力度不够,而第三方支付机构的安全意识薄弱,如“汇付天下”采用过“即时到帐”,用户的安全得不到保障,容易产生交易纠纷。安全措施不到位,安全管理体制不健全,安全管理制度不完善,安全技术防护能力薄弱,安全漏洞多,监管部门监管又不得力,商家客户的利益得不到保证,也影响了第三方支付平台的发展。
(六)竞争压力较大。
获得首批支付牌照的企业无疑获得市场的先发优势,包括率先树立企业品牌、建立与相关领域企业的合作、迅速进行业务拓展以抢占市场等方面。而未获牌照的企业,则面临着新业务拓展不力、客户资源流失等压力,不得不寻求收购或重组。还有第三方平台间的价格战,相互攻击等,因此第三方支付平台竞争压力也是很大的。
四、第三方支付平台的发展对策
根据目前第三方支付平台的应用现状和存在的问题,第三方支付平台必须明确自己的市场定位以及制定科学合理的发展战略,对策如下:
(一)第三方平台落实网络安全措施。
第三方平台应加强安全意识和信息安全体系建设,通过实名认证,全额赔付等办法解决资金被盗,网络诈骗,如团购网站借第三方平台进行网络钓鱼,非法转移他人资金。必须考虑资金安全风险,网络安全风险,落实具体的网络安全措施,保障用户资金的安全和用户账户信息的安全。从技术上做到无懈可击,提高网上交易信息和数据的真实性,完整性,可追溯性及安全性。
(二)健全和完善第三方支付法律法规制度。
目前对于第三方支付的法律法规较少,第三方支付平台出现的安全问题越来越多,取证又困难,必须出台相关的法律法规来规范商家,用户和第三方支付企业的行为。
(三)牌照不能一发了之,要加强市场监管机制。
除了政府监管部门应该加强监管外, 第三方支付业还应该健全退出机制,让第三方支付公司朝更规范方向发展。央行不能发放牌照后一发了事,有个支付许可证就不监管第三方平台在开展业务中存在的问题,损害用户的利益。央行作为第三方支付的主要监管者,要对其业务准入,交易行为,经营行为等方面实施全面监督管理,以规避运营风险,保护客户利益。
(四)加强监管资金运营安全。
第三方支付平台沉淀了大量用户的资金,必须加强监管资金运营安全,防止资金非法转移或被钓鱼网站套现。
(五)做好信用。
目前我国信用体制不健全,买卖双方相互信任度不高,尤其是C2C模式的信用问题比较突出。第三方支付平台要抓住这个市场空白,做好信用中介:即不参与买卖双方的具体业务,不触及客户商业信息,对商家和消费者提供双向财产保护,不仅保存交换支付信息,而且保留商户和消费者的有效交易电子证据,作为交易纠纷时的仲裁证据。逐步树立自己的公信度和企业形象。中介电子支付的发展必须有良好的信用做保障。
(六)进行产品创新。
国际上的金融产品数量几千种,而国内银行开发的金融产品较少。国内银行因多种因素限制而创新缓慢,金融产品数量少。因此在一些传统银行涉及不到的领域,第三方支付平台企业可以协助、甚至代替银行开发多种金融产品,不断进行金融产品的创新,同时开展多业务、多银行、多渠道的服务创新。如与多家银行进行连接,提供网上支付、电话支付、手机支付、短信支付、WAP支付和自助终端等多种支付方式,成为银行、银联在线支付的补充形式。
(七)提供强大的增值业务。
第三方支付平全可以依托自己强大的IT、电商,财务、咨询等专业人员,为用户提供传统银行不愿提供的或提供不了的增值业务,如:财务报表、数据分析、管理咨询分析等,以增加自己的赢利途径,吸引更多的用户, 为第三方支付平台企业的发展打下良好的基础,并逐步提升自己的核心竞争力。
(八)加强管理信息化建设。
面对企业间的激烈竞争和电子商务迅猛发展对第三方支付平台的深层次性和全面性要求,如何充分利用好第三方支付管理信息化建设,整合社会资源、交易成本、提高网上交易效率,已成为当前第三方支付平台重点思考的问题。无论是树立公信度还是增强管理的易用性,第三方支付企业都必须从管理上着手,只有做到管理的信息化,建立第三方支付平台的管理信息系统,才能提高网上交易支付的速度,让网民更信任网上交易,从而促进网络经济的迅速发展。总之,未来的第三方支付平台应当更加完善,解决自身存在的问题。以一个安全、可靠、公正的姿态成为人们网购的主流消费模式。第三方支付平台还可能成为互联网信用检测的重要组成部分。它上面储存的大量用户信用信息,可以作为银行向企业或个人提供信贷融资的参考依据。
结语
总之,中国的电子商务仍处于发展完善阶段。可以说还不是完全意义上的电子商务,且由于我国存在法律不建全、信用制度不完备、银行支付手段不配套、网上安全难以保障等诸多方面的原因。使得目前我国电子商务的发展出现了“雷声大。雨点小”的局面。怎样才能促使我国的电子商务尽快有较大程度的实质性的进展,本文认为,尽量借鉴国外电子商务中网上支付的先进经验。并结合我国的客观情况,发展符合中国国情的网上支付系统将是一项现实和明智的选择。
参考文献:
不只是支付企业重视支付安全,最近,银行方面也加强了网上支付安全方面的投入,相继推出的各项措施都十分引人注目。
9月19日,招商银行安全通告,2007年9月20日对安全控件进行升级。
2007年11月1日,中国农业银行正式推出一款保障电子银行安全的新产品――动态口令卡,还特别推出口令卡免费领取活动。
2007年10月11日,中国工商银行了关于预防在线支付网页诈骗资金的安全提示,提醒人们注意识e不法分子通过即时聊天工具、电子邮件等向客户的虚假信息。
此外,中国人民银行副行长苏宁也指出,“人民银行非常关注网上货币的发展,正在研究各种措施,使它规范运行,既给企业、居民提供一个良好的新的支付工具,同时又防范风险,保护老百姓权益。”
支付安全受到如此重视,一方面是因为电子商务蓬勃发展,网上支付已经成为人们生活中的重要工具;另一方面,则是因为支付安全仍然是阻碍人们使用网上支付的主要因素。《2007中国消费者网上支付应用调查报告》调查表明,61.7%的被访者在进行网上购物时首选网上支付,79.5%的被访者认为安全或便捷是影响网上支付主要因素。安全、便捷的支付方式,成为当前网上支付市场主要的需求点。
网上盗号风起云涌网上犯罪或进入高发期
近年来国内网上支付市场交易额增长迅猛,2007年Q3中国第三方网上支付市场交易额达到了255亿元,但是网上盗号也是风起云涌。中国金融认证中心总经理李晓峰说,网银在给公众和企业带来方便的同时,也引起了不法分子的窥视。“过去针对网上银行犯罪的黑客,开始是非获利性质的,但现在正向获利性、团伙性和产业化方向发展,网上银行的犯罪分工日渐细化。如果一个领域犯罪的分工细化到这个程度,这个领域就可能进入一个犯罪的高发期。”因此,及时制定安全保护措施是当前网上支付工作的重中之重。
业内人士指出,要避免这些问题,需要各方面的协同配合:银行方面要采取足够的安全手段,或者根据不同用户特点、交易特点提供不同的安全手段;政府需要加强行业监管,尽快颁布实施相应法规,用户则需要提高安全保护意识等;但是最直接、最有效的措施还是从技术上进行防护。
安全保护出现三大类型安全技术完成三级跳
目前,人们使用的安全保护技术主要分为三大类:一类就是最初出现的动态密码,现在已经普遍为各类网站采用;第二类就是数字签名、数字证书,例如建行推出的UKEY、支付宝推出的数字证书等;第三类是硬件保护措施,例如工行推出的U盾、快钱推出的快钱盾等;三类保护技术的安全系数基本上呈递增关系。此外,刚刚开始应用的生物特征识别技术也值得关注,但目前其安全系数还比较难确定。
动态密码作为基础的保护措施,能防止最基本的暴力破解,但是也基本处于不断变换外表、防止机器识别的状态。
数字证书被认为是目前安全级别相当高的保护措施,但是并非无懈可击,数字证书的使用都是在用户登陆支付页面时下载并安装,防御手法还是被动式防止破解。安全专家分析说,手段高明的骇客仍旧可以截获用户没有来得及发出的数据。
U盾等的推出是对数字证书的一项提升,它将密钥存储于安全介质之中,无法从外部直接读取,对密钥文件的读写和修改都必须由内部的程序调用。但是由于与网络直接接触,还是要防止更加高端的暴力破解技术攻击。
中图分类号: TP393.08 文献标识码:A 文章编号:1007-9416(2016)12-0193-02
随着信息技术的飞速发展,以及人们对工作、学习、娱乐、消费的便捷性要求越来越高,各种信息技术产品层出不穷。尤其是因特网普及后,消费者和服务商之间面对面的交易不再是必须,网上支付带来了极大的便捷性,交易各方利用银行所支持的数字金融工具,通过因特网进行交融交换,实现用户到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,为电子商务和其他服务提供金融支持[1]。
现金转帐、购物支付、网上缴费等网上支付业务极大地方便了人们的生活和工作,这种新颖快捷的支付方式被越来越多的消费者接受。足不出户,就可以实现轻松生活,网上支付成为许多人日常生活不可缺少的支付方式。
但与此同时,网上支付的安全事件不时发生,给用户造成了或多或少的财产损失和大量的个人信息泄露,令人们在使用网上支付时难以真正放心。
1 网上支付过程
通过分析网上交易参与各方的活动,网上支付的组成要素有:因特网(Internet),客户,商家,开户银行,支付网关,银行网络,认证中心。其工作流程如图1所示。客户通过个人计算机或者移动终端访问商户的网站,登录时与认证中心交互,取得自己的个人信息用于身份鉴别;客户选择商品或服务后,确认下单,其信息及购物款项信息就会被加密发送到支付网关,支付网关与客户的购物支付卡发卡银行通信,验证其合法性;通过后,确认支付和购物交易合法有效;其后,物流将商品送至客户处,客户确认收货后,交易完成。
目前,网上支付方式包括通过网上银行进行的转账支付(即银行网关模式)、通过第三方平成的支付(即第三方支付平台模式)[2],银联模式和电子现金等。其工作原理分别如下:
(1)银行网关模式:商家与银行签约,其网站平台直接链接到银行网银系统,客户购物交费实际上就是将现金直接转帐到商家。
(2)第三方支付平台模式:电子商务平台先链接到第三方支付平台,支付平台再和银行链接而完成支付手段的一种方式。我国的第三方支付行业发展迅猛,有独立的支付企业诸如快钱、易宝、首信易等,而作为电子商务平台延伸的在线支付工具如淘宝的支付宝、腾讯的财付通、百度的百付宝等[3]。
(3)银联模式:在银联在线支付的网站完成的支付模式。
(4)电子现金。在支付机构注册虚拟账户,通过向虚拟账户充值进行相关支付业务,如购买游戏币、QQ币等。
这些支付模式既可以通过PC机支付,也可以通过手机、平板等移动智能终端完成。分析网上支付过程和支付形式,客户端、网络协议、互联网基础设施、支付网关等处都可能存在风险。网络支付安全是一个系统工程,需要银行、支付机构、安全厂商、商户、网络管理部门以及消费者共同努力。
从目前网络支付的发展水平和出现的网络支付案例来看,各个银行针对网上支付采用的安全技术和手段(如一次性口令、USB KEY、短信验证码等)都较成熟,达到了很高的安全性。而网上支付安全事件的发生在大多数情况是用户安全防范意识薄弱和相应的安全技能不足所致。下面列出网上支付可能存在的一些风险。
3 网上支付的风险分析
3.1 用户的身份冒充
这种攻击基于用户身份信息被盗用。攻击者通过非法手段(如植入木马、钓鱼等)盗取合法用户的身份信息,仿冒其身份进行转帐或与他人交易,或实施诈骗以获得非法利益。
已发生的诸多案例都表明,国内很多网站都存储了用户的基本信息(包括姓名、银行卡号等),但其都或多或少存在安全漏洞,容易被入侵而导致大量完整的用户信息被泄露。国内外都有复制信用卡,盗刷的事件报道。除此之外,电信诈骗、二维码含恶意链接、钓鱼网站、手机木马等威胁也会造成大量银行卡信息的泄露。而目前正在快速发展的很多带有闪付功能的银行卡,还能在近距离非接触的情况下通过特定终端读取用户信息,这种读取方式静默,很难发现。
3.2 敏感数据泄露
网上支付的敏感数据一般包括个人信息(姓名、银行卡号、通信地址等)和购物信息(商品名称、价格、数量、购买时间等)。这些数据有可能在传输中泄漏、丢失或被篡改,如攻击者利用电磁泄漏或搭线窃听等方式截获还原传输的这些敏感信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测和分析有用信息。
3.3 交易数据篡改
攻击者通过在客户的计算机上植入木马、制作钓鱼网页或截获传输中的信息,篡改其交易数据,如修改消息次序、时间、数量、金额,注入伪造消息、重放交易等,使信息失去真实性和完整性。
3.4 商家假冒或欺诈
商家被别人假冒,提供假货或者收到付款后抵赖交易。
4 网上支付的安全对策
为加强网上支付的安全,需参与各方从技术和管理两方面同时着手,在技术上提高安全性,同时在规范管理上防范非法行为。技术上包括:
4.1 个人计算机或移动终端安全
一般硭担作为公共基础设施的支付网关和电子商务网站等的安全性都是较高的。而个人使用的计算机和移动终端的安全性堪忧。因此,个人计算机要及时安装和更新病毒木马查杀软件,及时升级操作系统和应用软件,不轻易打开不明文件和访问安全性未知的网站,不下载安装安全性未知的软件,不接入公共wifi和使用公共计算机进行登录和支付,以防止计算机被黑客攻击,导致个人信息泄露。
4.2 密码技术
一方面,采用密码相结合的多因子身份认证技术,加强身份认证的强度,防止身份信息被窃取、盗用和假冒,如数字证书、短信验证码、动态口令、USB Key等。另一方面,采用加密技术对用户信息和支付数据进行加密,防止敏感信息泄露和被篡改。计算机或手机上安装基于密码技术的数字证书后,即使账户支付密码被盗,也需要在已经安装了数字证书的计算机上才能支付,保障资金安全。
4.3 网络基础设施安全
采用多种措施保证网络基础设施安全,包括操作系统、网络协议、数据库、硬件设施等,这与技术的发展紧密相关。
管理方面的措施,主要针对组织和人而言。其主要工作是加强网上支付的监管,要求监管机构、银行和商家做好安全措施,并教育消费者树立安全意识,养成良好的安全习惯。
4.4 建立与完善网上支付的法律法规
随着网上业务在我国的发展,国家相继出台了多部法律法规,如《中华人民共和国电子签名法》明确了电子签名的法律有效性,使得网上业务受到法律保护;《电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》和《电子银行安全评估指引》等法律法规针对网上业务领域给出了一些具体的指导意见。但违法交易所要承担的法律责任,法定的电子货币发行人、合理的货币识别制度以及电子货币使用中各方隐私权保护制度等法律问题[4]上还需要进一步明确。而作为金融监管机构的中央银行则要结合我国国情并借鉴国外发展经验,严格技术标准,强化业务监管。
今年11月,国家出台《中华人民共和国网络安全法》,在网络安全各方面将做出指导性规定。而在这部法律出台后,各领域相关配套的法律法规,包括网上支付方面的法规也会随后推出,以规范网上支付活动,打击违法犯罪,保护合法权益。
4.5 加强法制和安全意识宣传
通过多种途径宣传和公开典型案例,警示用户树立安全意识,培养良好的安全习惯,比如电信诈骗案例、短信二维码恶意链接案例、网络钓鱼案例、其他社工案例等。通过宣传,促使用户采用银行等机构提供的安全产品和采纳银行等机构的安全建议,提高安全防护能力,如密码强度足够,并与其它密码不同,支付卡专用,金额随用随存等。在网络支付发现情况有异时,如页面跳转、不停要求输入信息或弹出无关提示等时,停止操作以止损,并报警和保护现场。同时,加强对网络不法行为的追查处罚力度,威慑不良企图者,减少违法行为发生的可能性。
4.6 网络实名制
今年电信实名制也真正落实实施,将对电信诈骗起到很强的防范作用。
同样,通过网络实名制,使得网络上的虚拟身份能与现实社会的身份对应,防止交易抵赖,方便追究和落实相关责任人。同时,网络实名制也将对攻击者形成强大的威慑力,利用网上支付实施的违法犯罪行为也将大大减少。
5 结语
网络支付应用已非常广泛,只有保证其安全性才能健康稳定发展。本文基于网络支付可能存在的风险,从技术、管理等方面提出了相应的安全对策,防止用户的财产损失和个人信息泄露。
参考文献
[1]刘亚军.网上支付系统的安全性研究[J].现代电子技术,2013,36(8):74-76.
网上书店是电子商务的一种具体形式,它是企业通过在互联网上开设网上书店,消费者通过网络浏览图书信息,并在网上下订单,采用多种方式支付的一种经营模式。网上书店利用信息技术,将出版者、供应商、作者、读者及其他相关环节如银行、运输业等联系在一起,改变了图书运作流程与交易模式。
目前以网上书店为代表的出版物在线销售面临着良好的发展机遇,随着网上书店在我国的普及,其信息安全问题显得尤为重要。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而互联网是开放性的技术,网上书店则建立在这样一个开放的网络环境之中,很多人可以匿名、隐身连接在互联网上,造成诸多不安全的因素,其中既有网络自身的技术安全问题,比如病毒、黑客攻击,还包括网上书店这一电子商务交易形式自身的众多信息安全问题。
一、网上书店的信息安全问题
由于网络的虚拟性,网上书店交易的双方并不见面,其交易完全通过网络进行,网上书店的运营模式与传统图书发行相比在信息、购买支付、物流发送等环节更依托网络手段。因此信息的真实性、可靠性受到特别的重视。目前在图书信息的真实性、书商及购书客户身份的合法性、网上支付购书费用信息的完整性与不可否认性,特别是安全认证问题和网上支付的安全性等方面都不能完全消除人们的疑虑。
对于网络自身的技术安全问题,可以采用防火墙、防病毒、访问控制和防攻击等常用网络安全措施来解决。而网上书店购书的安全问题主要来自于:购书客户私人信息被截获和窃取;购书物流中订单信息的篡改;网上书商及购书客户的信息假冒;购书交易网上的在线支付安全和支付抵赖等,都需要采取专门的措施来应对。
二、网上书店信息安全问题的解决对策
1. 加强个人身份验证
通过对网上支付认证手段的分析来看,身份确认是信息安全的薄弱环节,而银行的数据也表明支付否认是发生交易争议的主要原因。采用个人身份验证技术能够保护购书客户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。认证手段通常有4种: 一是用户名和密码;二是动态密码,分为有源动态密码和无源动态密码;三是多因子的论证,包括手机短信和个人信息等;四是证书认证。
首先,在网上书店交易过程中,每个购书客户都有自己独有的用户名和密码,而在提交任何关于自己的敏感信息或私人信息尤其是信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。购书客户的浏览器和Web站点的服务器都要支持有关的工业标准,如SET(Secure Electronic Transaction)和SSL(Secure Sockets Layer)等。在客户购书下订单确定以及付款,书商正式发书之后,购书系统都应该有实时的手机短信提醒,双方进一步确认。
其次,采用数字证书身份认证加上口令加密的双因子身份认证技术。每个购书客户可申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。作为一个安全的网上购书系统,需要由一个权威的第三方担任信用认证机构来确认买卖双方的身份,即电子商务的安全证书认证中心(CA中心)。 CA中心的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,确保交易合同的完整性,防止单方面对交易信息的生成和修改。这个第三方可以是政府部门,也可以是行业主管部门,还可以是交易双方共同信任的其他组织。
2. 网上书店购书过程中的数据加密
书刊的物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。 加密技术就是把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网上书店物流信息的通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术也分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。密钥的保密是很关键的,否则,网络攻击者掌握加密、解密算法,又得到密钥,会使购书客户遭受损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
还可以采用短信加密技术 ,用户购书过程中的订单、付款等可以短信的形式确认,而丰富多样的短信息服务的实现借助于SIM卡片以及在SIM卡片上开发应用和菜单的STK(SIM card Tool Kits)技术。SIM卡片加密技术的直接应用就是对短信息完成加密和解密,无线网络和短信中心为应用服务器提供了接收和发送短信息的通道,手机内发出和接收的短信报文利用SIM卡片加密和解密,在应用服务器一侧可以借助专用的交易安全服务器来完成对短信息报文的加解密。除了加密和解密外,系统还通过MAC算法完成报文的完整性校验。 由于SIM卡片具备完成DES、3DES等多种加密运算的功能,应用STK技术可以在SIM卡片上开发信息安全功能。
转贴于
3. 完善网上支付手段
网上书店的一个重要环节是网上支付。在网上支付的技术方面国际上已经形成了一些比较成熟的安全机制,我国的电子商务企业已经广泛应用了这些安全保障技术,主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括:基于信用卡交易的安全电子交易协议(Secure Electronic Transaction,SET)、用于接入控制的安全套接层协议(Secure Socket Layer,SSL)、Netbill协议、安全HTTP(S-HTTP)协议、安全电子邮件协议(如PEM、S/MIME等)、用于公对公交易的Internet EDI等。
从购书客户角度来说,使用网上支付时首先要核对正确网址,要开通网上银行功能,通常事先要与银行签订协议。用户在登录网银时应留意核对所登录的网址与协议书中的法定网址是否相符。其次做好交易记录,应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”,定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。另外管理好数字证书,应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。
购书客户还可以通过与银行合作,使用U盾等一系列安全措施;可以采用货到付款支付方式;也可以与拥有相当用户的支付工具合作,如易趣的“安付通”、淘宝的“支付宝”都已经与工商银行、招商银行等国内的许多银行建立起战略合作关系,充当起第三方保障的角色。以支付宝为例,其具体流程是:首先,书商与购书客户就购书达成协议后,购书客户先把书款打到支付宝这个第三方账户上,等购书客户向支付宝和淘宝发出信息确认收到书并且收到的书与所购买的书相符时,支付宝再把货款划至书商的账号。当然,这些都需要依赖网上支付的法律保障,相关的法律建设需要进一步加强。
4. 建立网上书店的实名制和信用制度
许多网上书店的商家利用网络的虚拟性,使用不切合实际的书刊产品广告描述来误导购书用户。很多购书客户也常会因为刚刚接触网上购物而上当。除此之外,也有一部分蓄意欺诈的书商收到了购买者汇来的钱而故意不发货。对于这类情况,可以对网上书店的商家采用实名登记注册,并通过一系列的信用等级评价机制,透明地、如实地反映书商的信用情况以及过去的每一笔交易的明细,以减少这种不安全性,买家可以参考这些信息,或与曾经与此卖家交易过的买家沟通。然而这些方式都只能降低商家网上欺骗成功的概率,不能从根本上杜绝。要想彻底根治,还是要从商家本身以及网上书店交易平台的总体设计入手来改进。
5. 提高网上书店管理人员的技术素质
网上书店应该定位于高科技产业,而不是传统的流通业。网上书店的经营需要计算机操作人员、网页编辑、数据库维护人员,特别是懂得网络经营管理人员的商务人员。为提高网上书店的信息安全性,不仅要求其工作人员熟练掌握IT技术,如网络协议OSI、TCP/IP,网络与互联设备,E-mail、Telnet、FPT等服务方式,还要求熟悉电子商务的运作平台(信息流网络、知识流网络、资金流网络、物流网络、契约网络),电子商务管理(ERP系统管理、SCM供应链管理、CRM客户关系管理)等, 所以网上书店售书方应该聘请或培养专业人员对书店网站进行管理和维护,并积极与银行系统合作,开发操作性强、安全性高的在线客服系统和支付系统,提高网上书店的服务质量和购书双方的安全保障水平。
主要参考文献
[1] 胡红升,马东平. 电子商务安全策略[J]. 电子商务世界,2001(2).
网上书店是电子商务的一种具体形式,它是企业通过在互联网上开设网上书店,消费者通过网络浏览图书信息,并在网上下订单,采用多种方式支付的一种经营模式。网上书店利用信息技术,将出版者、供应商、作者、读者及其他相关环节如银行、运输业等联系在一起,改变了图书运作流程与交易模式。
目前以网上书店为代表的出版物在线销售面临着良好的发展机遇,随着网上书店在我国的普及,其信息安全问题显得尤为重要。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而互联网是开放性的技术,网上书店则建立在这样一个开放的网络环境之中,很多人可以匿名、隐身连接在互联网上,造成诸多不安全的因素,其中既有网络自身的技术安全问题,比如病毒、黑客攻击,还包括网上书店这一电子商务交易形式自身的众多信息安全问题。
一、网上书店的信息安全问题
由于网络的虚拟性,网上书店交易的双方并不见面,其交易完全通过网络进行,网上书店的运营模式与传统图书发行相比在信息、购买支付、物流发送等环节更依托网络手段。因此信息的真实性、可靠性受到特别的重视。目前在图书信息的真实性、书商及购书客户身份的合法性、网上支付购书费用信息的完整性与不可否认性,特别是安全认证问题和网上支付的安全性等方面都不能完全消除人们的疑虑。
对于网络自身的技术安全问题,可以采用防火墙、防病毒、访问控制和防攻击等常用网络安全措施来解决。而网上书店购书的安全问题主要来自于:购书客户私人信息被截获和窃取;购书物流中订单信息的篡改;网上书商及购书客户的信息假冒;购书交易网上的在线支付安全和支付抵赖等,都需要采取专门的措施来应对。
二、网上书店信息安全问题的解决对策
1. 加强个人身份验证
通过对网上支付认证手段的分析来看,身份确认是信息安全的薄弱环节,而银行的数据也表明支付否认是发生交易争议的主要原因。采用个人身份验证技术能够保护购书客户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。认证手段通常有4种: 一是用户名和密码;二是动态密码,分为有源动态密码和无源动态密码;三是多因子的论证,包括手机短信和个人信息等;四是证书认证。
首先,在网上书店交易过程中,每个购书客户都有自己独有的用户名和密码,而在提交任何关于自己的敏感信息或私人信息尤其是信用卡号之前,一定要确认数据已经加密,并且是通过安全连接传输的。购书客户的浏览器和web站点的服务器都要支持有关的工业标准,如set(secure electronic transaction)和ssl(secure sockets layer)等。在客户购书下订单确定以及付款,书商正式发书之后,购书系统都应该有实时的手机短信提醒,双方进一步确认。
其次,采用数字证书身份认证加上口令加密的双因子身份认证技术。每个购书客户可申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。作为一个安全的网上购书系统,需要由一个权威的第三方担任信用认证机构来确认买卖双方的身份,即电子商务的安全证书认证中心(ca中心)。 ca中心的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,确保交易合同的完整性,防止单方面对交易信息的生成和修改。这个第三方可以是政府部门,也可以是行业主管部门,还可以是交易双方共同信任的其他组织。
2. 网上书店购书过程中的数据加密
书刊的物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。 加密技术就是把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网上书店物流信息的通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术也分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。密钥的保密是很关键的,否则,网络攻击者掌握加密、解密算法,又得到密钥,会使购书客户遭受损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
还可以采用短信加密技术 ,用户购书过程中的订单、付款等可以短信的形式确认,而丰富多样的短信息服务的实现借助于sim卡片以及在sim卡片上开发应用和菜单的stk(sim card tool kits)技术。sim卡片加密技术的直接应用就是对短信息完成加密和解密,无线网络和短信中心为应用服务器提供了接收和发送短信息的通道,手机内发出和接收的短信报文利用sim卡片加密和解密,在应用服务器一侧可以借助专用的交易安全服务器来完成对短信息报文的加解密。除了加密和解密外,系统还通过mac算法完成报文的完整性校验。 由于sim卡片具备完成des、3des等多种加密运算的功能,应用stk技术可以在sim卡片上开发信息安全功能。
3. 完善网上支付手段
网上书店的一个重要环节是网上支付。在网上支付的技术方面国际上已经形成了一些比较成熟的安全机制,我国的电子商务企业已经广泛应用了这些安全保障技术,主要是由安全协议支持的。目前国际上流行的电子商务所采用的协议主要包括:基于信用卡交易的安全电子交易协议(secure electronic transaction,set)、用于接入控制的安全套接层协议(secure socket layer,ssl)、netbill协议、安全http(s-http)协议、安全电子邮件协议(如pem、s/mime等)、用于公对公交易的internet edi等。
从购书客户角度来说,使用网上支付时首先要核对正确网址,要开通网上银行功能,通常事先要与银行签订协议。用户在登录网银时应留意核对所登录的网址与协议书中的法定网址是否相符。其次做好交易记录,应对网上银行办理的转账和支付等业务做好记录,定期查看“历史交易明细”,定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。另外管理好数字证书,应避免在公用的计算机上使用网上银行,以防数字证书等机密资料落入他人之手,从而使网上身份识别系统被攻破,网上账户遭盗用。
购书客户还可以通过与银行合作,使用u盾等一系列安全措施;可以采用货到付款支付方式;也可以与拥有相当用户的支付工具合作,如易趣的“安付通”、淘宝的“支付宝”都已经与工商银行、招商银行等国内的许多银行建立起战略合作关系,充当起第三方保障的角色。以支付宝为例,其具体流程是:首先,书商与购书客户就购书达成协议后,购书客户先把书款打到支付宝这个第三方账户上,等购书客户向支付宝和淘宝发出信息确认收到书并且收到的书与所购买的书相符时,支付宝再把货款划至书商的账号。当然,这些都需要依赖网上支付的法律保障,相关的法律建设需要进一步加强。
4. 建立网上书店的实名制和信用制度
许多网上书店的商家利用网络的虚拟性,使用不切合实际的书刊产品广告描述来误导购书用户。很多购书客户也常会因为刚刚接触网上购物而上当。除此之外,也有一部分蓄意欺诈的书商收到了购买者汇来的钱而故意不发货。对于这类情况,可以对网上书店的商家采用实名登记注册,并通过一系列的信用等级评价机制,透明地、如实地反映书商的信用情况以及过去的每一笔交易的明细,以减少这种不安全性,买家可以参考这些信息,或与曾经与此卖家交易过的买家沟通。然而这些方式都只能降低商家网上欺骗成功的概率,不能从根本上杜绝。要想彻底根治,还是要从商家本身以及网上书店交易平台的总体设计入手来改进。
5. 提高网上书店管理人员的技术素质
网上书店应该定位于高科技产业,而不是传统的流通业。网上书店的经营需要计算机操作人员、网页编辑、数据库维护人员,特别是懂得网络经营管理人员的商务人员。为提高网上书店的信息安全性,不仅要求其工作人员熟练掌握it技术,如网络协议osi、tcp/ip,网络与互联设备,e-mail、telnet、fpt等服务方式,还要求熟悉电子商务的运作平台(信息流网络、知识流网络、资金流网络、物流网络、契约网络),电子商务管理(erp系统管理、scm供应链管理、crm客户关系管理)等, 所以网上书店售书方应该聘请或培养专业人员对书店网站进行管理和维护,并积极与银行系统合作,开发操作性强、安全性高的在线客服系统和支付系统,提高网上书店的服务质量和购书双方的安全保障水平。
主要参考文献
[1] 胡红升,马东平. 电子商务安全策略[j]. 电子商务世界,2001(2).
Abstract:AlthoughChinesee-commerceandnetworktransactionhavegreatdevelopmentinrecentyears,onlinepaymentisbecomingoneofthebottlenecks.Therefore,solvingtheproblemsisanimportantstepindevelopingelectronicbusiness.
Thispapersummarieselectronicbusinesstechnologyanditsrelatedsecurityissuesfromseveralaspects.Firstitbrieflydiscussessecurityrequirementsandrelatedkeytechniqueswhicharenecessarytoprotectanelectronicbusinesssystem.IntheE2commercearea,securitywasagreatconcerntomanyorganizationswhenaconsiderablevolumeofdocumentsandtransactionsweredigitizedandexchangedonline.AnonlinepaymentsystembasedontheSSLprotocolincivilaviatonE2commerceisproposedinthispaper,accordingtotherealityandneedofthecivilaviatonE2commerceinChina.ThesecurityoftheE2paymentsystemwasimprovedtosomedegreebyaddingthetechnology.
Keywords:EC;onlinepaymentsystem;technicalcountermeasures
第一章:引言
2009年1月13日,中国互联网络信息中心(CNNIC)在京了《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。
我国网民和国家CNCN域名的增加,势必为电子商务的发展带来更大的机会。随着Internet技术和应用的不断发展,越来越多的企业加入到电子商务的队伍中来。电子商务已成为贸易发展的必然趋势,随着电子商务环境的规范和完善,中国电子商务企业必然迅猛发展。使用网上支付的方式进行交易,大大降低了传统贸易的费用和开销,提高了工作效率和企业竞争优势。越来越多的企业选择在Internet上建立自己的Web站点以便利、经济的手段在网上展示自己的企业形象,推销本企业的产品。
一、电子商务与支付系统的定义
1、电子商务的定义
电子商务源于英文ElectronicCommerce,简写为EC。顾名思义,其内容包含两个方而,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方小谋而地进行各种商贸活动。国际商会于1997年11月,在巴黎举行了世界电子商务会议(TheWorldBusinessAgendaforElectronicCommerce)会上专家和代表对电子商务的概念进行了最权威的阐述:电子商务,是指实现整个贸易过程中各个阶段的贸易活动的电子化[1]。从涵盖范围可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等[2]。
2、网上支付系统的构成
支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。[3]
网上支付是指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统,特别是因特网进行传输。以电子信息传递的形式来实现资金的流通和支付。网上支付系统的构成则主要包括两部分。一是网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。二是网上支付技术。如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子数据交换协议SSL和SET。[4]
二、电子商务与网络支付系统的发展现状
1、电子商务的发展现状
根据2009年1月13日,中国互联网络信息中心(CNNIC)在京的《第23次中国互联网络发展状况统计报告》显示,在主要互联网应用使用率调查中,网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。
由此可见,越来越多的企业和顾客加入到电子商务的队伍中来,网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国,电子商务虽然刚起步,但是人们对电子商务的巨大潜力深信不疑;我国政府积极支持电子商务活动的开展,这些都对我国电子商务的发展产生了重要的影响。
但是应当看到,我国还存在一些“瓶颈”问题,严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准,没有规矩不成方圆,没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础,而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事,是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上,国外成熟的电子商务解决方案占据主导地位仍是不争的事实,而国内真正有能力的开发厂家更是屈指可数,仔细算来也只有实华开、四通寥寥几家,但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段,越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现,网上支付系统的关键技术都是至关重要的。
但是现在制约电子商务发展的最关键的技术,是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息,而且还涉及到个人财产的安全问题。在电子支付过程中,必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证,那么将造成重大的损失和严重的法律问题,甚至会断送电子商务企业的命运。因此必须发展能够保障支付系统安全的关键技术,确保交易过程是安全、可靠的。
2、网上支付系统的发展现状
随着电子商务的迅猛发展,支付问题就成了制约电子商务发展的瓶颈,尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环节,如果没有支付,整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合,才能确保电子商务交易顺利进行。
而作为真正的网络支付手段出现的支付方式,则是在Internet的迅速走向普及化之后的事情。但是自2005年以来,中国网上支付成长十分迅速,这标志着中国电子商务迈入了以全面实现网上支付系统为特征的崭新发展阶段。著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。网上支付已成为国内网民从事网上交易时的第一选择,网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。
在Internet上出现的支付系统模式已有十几种,这些系统模式大致上可以划分为如下3类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对Internet的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法,使传统的银行卡支付信息通过Internet向商家传递,利用金融专用网络提供独立的支付授信,更先进的是采用智能卡技术,提供联机的银行卡支付。但是不管是哪一类的系统,都是包含着信息加密措施的系统,每一个系统都是有很多保障安全性的系统。
第二章:网上支付系统的安全技术问题
一、网上支付系统的安全问题
随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。
电子商务的支付问题是随着电子商务本身的快速发展而衍生的。单纯就它们的关系而言,电子商务需要电子支付,支付体系是开展电子商务的必备条件。随着网上支付手段使用人数的增加,网上支付系统所存在的问题也暴露无遗,而且随着使用范围的推广和黑客等技术的发展,也对网上支付系统的关键技术提出了更高的要求。其中最重要最核心的关键技术问题,就是安全问题。据AC尼尔森公司在2003年3月~4月做的一个调查表明,安全性是网上购物者用信用卡支付的主要顾虑。安全问题已成为电子支付发展面临的重要挑战,目前制约我国电子商务发展的瓶颈就是支付问题。
二、信用卡安全的恐慌——网上支付系统的安全问题案例分析
众所周知道银行业步入了网络时代,网络也融入了银行业,这迎合了电子商务发展的趋势。网上银行因不受时间、地域限制,成本低、快捷方便等优点得到了银行业的积极响应。近几年更是呈现出迅猛发展的势头。但是由于网上银行所有内容都是以数据的形式流转于网络之上,不可避免地会带来信息安全隐患。作为庞大资金流动的载体,网上银行极易受到非法入侵和恶意攻击。如果银行的网络遭到攻击,私人信息就可能会泄漏,若补救不及时,很可能给消费者造成巨大损失。2005年4月,多名“支付宝”用户工商银行帐户里的钱不翼而飞。6月,花旗集团丢失了一批记录着390万客户帐户及个人信息的电脑记录数据带。同月,包括Master、Visa在内的多家信用卡公司4000多万用户信息被盗,涉及了近9000张国内信用卡,一时间风声鹤唳,引发了信用卡安全的恐慌。黑客窃取用户资料、网络诈骗、虚假银行、网络钓鱼等支付安全问题已经严重影响了电子商务的发展。
从银行业的这一案例中我们可以清晰看到安全技术的重要地位和意义。因此必须对这一关键技术进行深入的研究,形成一个优秀的解决方案,确保网上支付系统的安全,保障我国电子商务事业的稳定快速发展。
第三章:解决网上支付系统的安全问题的技术解决途径
安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预。同所有计算机系统一样。电子商务系统安全必须具有保密性、完整性及可用性三个特征[5]。网上支付系统的安全是电子商务发展的核心。任何在Internet上开展业务的机构必须采取积极的步骤,确保系统有足够的安全措施,防止机密信息泄露和非法侵入造成损失。因此网上支付系统不但要具有保密性、完整性及可用性三个特点好要具有认证性、不可否认性和可审查性。
一、网上支付系统的安全要求
1、保密性
要确保网上支付系统的安全,首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性,交易中的商务信息都需要遵循一定的保密规则。交易中的商务信息可能直接关联着个人、企业或国家的商业秘密,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。因为其信息往往代表着国家、企业和个人的商业机密,而电子商务是建立在一个较为开放的互联网络环境上的。它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务。因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性。,因此,要采取措施预防信息的非法存取和信息在传输过程中被非法窃取。维护商业机密是电子商务全面推广应用的重要保障。
对于网上支付系统来说,他的保密性意味着系统必须满足两点:(1)私有交易不会被其它人截获及读取,既没有人能够通过拦截会话数据获得订货单中的帐户信息;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样的事实本身来达到别的目的。
2、信息的完整性
不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。
要确保网上支付能够安全顺利的进行,还要防止未经授权的数据修改。交易双方的合同签订后就不能随意删改,以保证交易的公正性,与可行性。电子商务简化了贸易过程,减少了人为的干预,但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。这会影响贸易各方商业信息的完整性和统一性。因此保持贸易各方信息的完整性是电子商务应用的基础。完整性指资源只能由授权实体修改。网上支付系统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息。
3、可用性
可用性是指一旦用户得到访问某一资源的权限,该资源就应该能够随时为他使用,而不应该将其保护起来使拥护的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。
不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用必备的基础。
4、不可否认性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息,正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。
要确保网上支付系统的安全,交易一旦签订就不能被否认。因此交易的各个环节,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认,确认数据已经完全发送和接收,防止接收用户更改原始记录,防止用户在收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性,在交易数据发送完成以后,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。一旦事务结束,有关各方都不能否认自己参与过这次事务。
5、可审查性。
根据机密性和完整性的要求,应对数据审查的结果进行记录,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。当贸易一方发现交易行为对自己不利,否认电子交易行为时,系统应具备审查能力,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下,则应通过数字摘要、PKI、数字签名、数字凭证、CA认证等手段,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
6、认证性
要确保网上支付系统的安全,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。首先,要确认当前的通讯、交易和存取要求是合法的。即接收方可以确认信息来自发信者,而不是第三者冒名发送。发送方可以确认接收方的身份是真实的,而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份,知道对方确实是他所称的那一位。在这里,确定意思并不完全意味着知道对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。
二、网上支付系统可能受到的攻击
针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。近一步细分又可以划分为两大类。
(1)假冒和恶意破坏。由于掌握了数据的格式并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息而远端用户通常很难分辨。由于攻击者可以接入网络则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
(2)窃取和篡改信息由于未采用加密措施或加密措施不利,数据信息在网络上以明文形式传送,或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
三、网上支付系统安全的技术解决方案
1、加密技术
1.1、利用加密技术保证电子商务支付的机密性[6]
密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言,1976年以前主要采用对称加密技术,这种加密技术存在着很多问题,如密钥分发的安全性,密钥规模过大、不能保证消息的真实性和完整性等。1976年以后,迪飞和海尔曼创造性地提出了非对称加密算法,彻底解决了上述问题,使加密技术有了革命性的发展。
1.2对称加密技术
对称加密技术有许多著名的算法,其中具有代表性的是DES算法。DES(DataEncryptionStandard)算法是1977年美国国际标准局(NBS)制定的标准加密算法。它把64位的明文输入块变成64位的密文输出块,所使用的密钥也是64位,其中第8位奇偶校验位另作它用。DES利用56位的密钥,对64位的输入数据块进行16次的排列置换,最后生成输出块密码。其生成步骤如[7]
下:
(1)为了产生64位明文的置换输入,对二进位进行初始排列(InitialPermutation),然后将结果分成32位的左右两个数据块。
(2)执行16次的迭代函数f,而每迭代一次所使用的密钥就不同,f函数将此密钥和右侧数据块作为自己的输入参数。
(3)在每个迭代阶段,左右两个数据块的置换值由下式确定:
Li=Ri-1
不久前,招商银行公告称,自4月11日起大幅下调通过第三方支付公司进行的网上支付交易限额,大众版一卡通客户的支付限额从5000元下调为500元,降幅高达九成。这意味着,网络购物者将不能通过招商银行的大众版网银在淘宝、拍拍等电子商务网站上购买500元以上的商品。
这不是唯一一家调整限额的银行,在此之前,网银支付限额下调之风席卷了建设银行、中行、工行、民生银行、浦发银行等多家银行。
这是银行机构对第三方支付行业的一次大规模调控行动,虽然各银行的动作不尽相同,但有不少银行的借记卡、信用卡通过第三方支付工具的转账上限缩水九成。银行对此举给出的解释是“防范钓鱼网站”,但业界对此的态度却多有不解。
“银行业的限额措施,迫使用户选择专业版网银进行支付,还收取一定的手续费”,有观点认为,银行此举用来防范钓鱼网站的做法“治标不治本”,并降低了第三方支付用户的用户体验。
安全和体验如何并重。针对用户如潮的质疑,银行显然加快了寻找解决之道的步伐。4月18日,支付宝公司宣布,支付宝最新推出的快捷支付服务已经和中国银行、工商银行、建设银行、农业银行、平安银行、北京银行、上海农商银行、大连银行、宁波银行、宁夏银行等10家银行的信用卡展开合作。在保障安全的同时,信用卡网上支付的成功率从原先的60%左右大幅提升到95%。
在网银支付方式占据主流多年之后,银行和第三方支付的合作创新正在为用户开辟一条新的支付通道。
防范钓鱼网站
本刊记者了解到,银行队伍此次的下调限额针对的是支付宝、财付通、快钱、易宝等在内的所有第三方支付公司,即通过与各家银行签约合作,为商家提供受理客户使用银行卡、支付货款功能的非银行金融机构。
根据招商银行的规定,该行除了将一卡通大众版支付交易限额由之前的单笔/单日累计最高5000元降至单笔/单日最高500元,信用卡单笔支付也由之前的客户自行设限调至单笔最高500元。工商银行则规定,工行储蓄卡若办理电子银行口令卡,单笔限额500元,每日限额1000元,存量静态密码客户的总累计限额为300元。中国银行的政策调整得最早,业务涉及面也最广:3月5日起,中行即大幅下调了网银转账限额,普通个人用户使用动态口令认证,原来单笔转账限额为100万元,后改为10万元;VIP贵宾用户,单笔和每日累计转账的最高限额均由原来的5000万元分别调整到25万元和50万元,降幅最多达99.5%……
对于此次下调限额的理由,各大银行方面似乎统一过口径,都解释为“为防范钓鱼网站、木马程序等不法行为”。所谓钓鱼网站,通常是指伪装成银行及电子商务等的网站。其主要危害是窃取用户提交的银行账号、密码等私密信息。
建设银行信用卡中心一位负责人对《IT时代周刊》表示,银行是出于降低网上支付交易风险、保障持卡人资金安全而做的一次普遍调整,“这也是出于监管的需要,为的是寻找一个平衡点”。并且,“由于专业版网银交易使用硬加密方式,安全等级较高,不容易受‘钓鱼网站’欺骗,且交易金额受限小,更适合大额网上支付”。
另据不愿透露姓名的银行界人士透露,由于前段时间中行网银爆出多名客户使用该行网银支付导致资金损失一事,监管部门要求银行作出相应安全防范措施,因此银行纷纷下调了网银支付限额。
有部分第三方支付公司对银行此举表示理解。易宝支付相关负责人在接受本刊记者采访时表示,网银上限并非是说网银一刀切不能进行大额支付,只是将原有的普通网银进行大小额区分限制,并根据不同的行业风险、交易性质等因素区分成两个不同的通道。该人士还指出,“从长远来看,银行必定要关注市场需求和用户体验,其近期所作出的大额小额限制是为了控制风险和提供更加专业化的服务”。
治标不治本
对于银行集体下调网银交易金额的行为,坊间也有不同声音。除去银行给出的防止“钓鱼网站”盗取客户资金的理由外,银行还存在增加收费的嫌疑。
银行用户在开通专业版网银时需要缴纳一定的费用。记者从北京农业银行方面了解到,目前开通农业银行网上银行业务有口令卡类和K宝类两种方式,后者需要支付约50元的费用。同时,由于银行信用卡的资金有使用成本,银行要承担一定的交易风险,信用卡网络支付的手续费用要高于借记卡通道。另外,有未经证实的消息称,借助调低网银交易金额上限之势,某银行还计划大幅提高信用卡大额网关交易费率。
对于银行下调网银支付限额的行为,有金融专家认为银行做法或涉及与第三方支付企业的利益博弈。甚至有金融业人士爆料称,个别银行网银降低单日交易额的主要目的是基于利益因素,“很可能是在与第三方支付平台合作中得到的利益分成没有达到银行的认可标准”。
但这种“下调支付限额来应对‘钓鱼网站’”的做法也被业界认为是“治标不治本”。因为,“用户如若采取向第三方支付账户分日多次充值的方式来保证网购支付,同样会存在第三方支付账户内资金可能被盗的安全问题”。
目前,各大银行信用卡通过网银进行付款,普遍需要事先安装密码控件或数字证书,支付过程中至少需要5到7步的跳转。这一过程不仅繁琐,也给木马程序和钓鱼网站等留下作案空间。
有数据显示,目前国内网银的支付成功率普遍只有60%左右。而在调整支付限额后,网银用户在购买大额商品的时候,多次拆分支付的做法同样影响到用户体验。“往常一次就可以完成的支付,如今可能要重复几次。”一位网购人士向本刊记者抱怨道。
有银行客户反映,银行将大众版网银支付限额调低并不是明智之举,建议银行免费开放专业版网银。
面对来自银行业的压力,百度旗下海外代购网站乐酷天的有关人士对媒体表示,这确实对那些购买大额、高端商品的部分消费者造成了一定的影响。
第三方支付的应对措施
第三方网上支付市场的发展前景巨大,随着近几年电子商务的快速发展,建立满足用户不同支付场景下的支付网络已越发紧迫。但在此时,第三方支付公司并没有静观其变,它们一直在寻求突围之道。
支付宝公司于4月20日宣布与中信银行达成战略合作,双方即将推出的“无限额”快捷支付,打破了信用卡网上支付额度的局限。快捷支付是支付宝创新业务之一,无需开通网银,并且额度以信用卡本身的额度为准,不受网银额度下调等限制,用户使用时只需通过输入卡面信息快速地完成支付。据支付宝方面透露,这种不受支付额度限制的“快捷支付”还将扩大至中国银行、工商银行、建设银行、农业银行、平安银行等10家银行的信用卡。
网上支付服务是近年来增长最快的互联网服务,截至2010年12月,支付宝注册用户突破5.5亿,日交易额超过25亿元,日交易笔数达到850万笔。不过,网上支付体验不佳的问题一直存在。2010年12月底,支付宝和中国银行率先合作推出信用卡快捷支付服务,开始为用户提供前所未有的信用卡网上便捷支付体验。
另据支付宝方面的说法,申请“快捷支付”的用户不需要开通网银,用户在支付宝页面绑定信用卡即可使用支付宝的快捷支付服务,将信用卡网上支付的成功率从原先的60%左右大幅提升到95%。“这种离线支付方式在国外盛行,但在国内网上支付上并不多见。”分析人士表示。
快捷支付方式在方便用户的同时,手机号码与信用卡卡号匹配、信用卡校验码验证、手机动态口令确认等安全措施会保障用户的安全。“快捷支付可以真正做到用户拿起信用卡就能网上付款,95%的支付成功率意味着信用卡网上支付的便利程度首次达到线下刷卡的标准。” 支付宝方面对本刊记者表示。
目前国内的电子签名应用主要运用了以非对称加密为基础的PKI技术。在整个PKI构架中,CA中心是处于核心位置的,其职责是在下发数字证书之前查实其使用者的身份。此外发证机构还要及时公布已经无效的证书,并且负责对发放的证书进行管理。CA中心是整个PKI体系信任链扩展的基础,信息传输双方就是因为信任一个权威的CA中心,从而相信持有CA中心签发证书的人的身份。
在许多实际应用中,第三方的CA发挥着重要的作用。所谓第三方,就是指独立于交易双方当事人的任何一方。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,网上交易就根本无从谈起,而第三方是CA公证性的重要体现。在互联网这种开放、不设防、复杂的信息交互环境中,第三方CA为信息交互双方承担了网上信息安全的部分责任,对交易双方起到规避风险的作用,即在互联网部分由CA通过发放数字证书来保障信息的传输安全。在出现网银纠纷时,第三方CA为当事人双方提供相应的证明。由于种种原因,目前国内一些银行没有使用第三方CA。
另外,第三方认证机构能够更好地证明电子签名的有效性。在《电子签名法》中规定,安全的电子签名才能与手写签名具有同等的法律效力。而第三方CA由于独立于交易双方,能很好地证明这种签名私钥的专有性,技术上也能够有很好的保障。
当然,并不是说所有的交易都要使用第三方的CA认证机构。但是,对于应用领域和范围都很广泛的面向公众的服务来说,是应当采用第三方的认证机构的,因为这些服务要求CA机构必须有足够的公信力和权威性。
电子签名在金融业的应用
金融行业是电子签名应用最活跃、最广泛的领域。其中,作为金融行业统一的第三方安全认证机构,在保障网上交易安全,提供公正、可信的认证服务方面发挥了重要的作用。数字证书和电子签名在网银的应用主要有以下几个特点:
银行审核网银用户身份的真实性。用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。
交易额大、安全性要求高的交易必须使用数字签名。由于数字签名是一种相对复杂的计算方式,签名的过程要耗费一定的系统资源,一般是在交易金额大、安全性要求高的网银业务中使用数字签名。当然,数字签名会在更多的业务中得到应用。
通过协议来保证第三方认证机构和银行及用户之间的权利义务关系。银行对于第三方认证机构来说有两个角色,首先银行作为第三方认证机构的证书注册审批机构RA,是第三方认证服务的一个重要环节,相当于第三方认证系统的延伸;银行的另一个角色就是作为证书的使用者。
当发生争议时,作为第三方的认证机构有义务对数字签名的有效性进行确认。具体包括提供签发该张用户证书的CA证书;提供该张数字证书在交易发生时,在或不在的数字证书废止列表的证明;对数字证书、时间戳、和电子签名的真实性和有效性进行确认等。今后随着《电子签名法》的实施,类似的这种争议或纠纷就能有法可依,能更好地保障银行和用户的权益。
以上是围绕电子签名简单地介绍了电子签名在网银中的应用特点。从应用的范围和广度讲,目前国内的网上银行业务中基本上都采用了数字签名技术。
如何使用网银和电子签名
用户如何获得第三方证书,用户可以通过第三方设在各商业银行分支机构的受理点办理证书申请和审核手续,具体的证书审批方式和流程由各受理机构规定。下面以深圳发展银行的网上支付业务为例来说明。
深圳发展银行早在2002年就建立了电子商务的核心环节――“网上支付”系统,目前已经全面覆盖国内主要电子商务平台,为用户的网上支付结算提供快捷、安全的服务。
使用网上支付系统的用户分为B2C、B2B两种。B2C是个人客户在商户网站购物、代缴水、电、燃气、学费等等支付业务进行网上结算;B2B是企业客户在商户网站购物进行网上结算。
B2C(企业对消费者)网上支付使用银行网站支付的,客户首先通过网上或银行柜台注册成为银行网站个人用户,再到银行柜台开立数字证书,然后便可利用注册的银行卡、活期一本通账户实现无限额网上购物实时支付结算。
对于B2B(企业对企业)网上支付,企业客户须在银行柜台注册成为银行网站企业用户,并开立数字证书,然后由企业网银管理员将结算账户的使用权分配给相应的操作员,该操作员便可使用分配的企业结算账户实现网上结算。
可见,数字证书就是网上交易双方的电子身份证,用于验证网上银行用户的身份和对用户的网上交易等信息进行加密和数字签名,经过数字签名的交易具有不可篡改和不可否认性,因此网上银行的支付、转账等重要操作必须使用证书才有法律和安全保障。
点评
CA运营和PKI建设的体会和建议
1. 在实践中寻找安全和效率的最佳结合点。
数字签名技术的广泛应用必须和用户的实际需求相结合。处理安全和效率的矛盾时要从实际出发加以分类分级,根据重要性和风险程度,提出不同的安全要求和措施。《电子签名法》在法律上肯定了签名的有效性,推动了网上安全措施的普及和强化。随着技术的不断改善提高,使用中的技术障碍会越来越小,认证效率则越来越高。
2. 重视标准和规范,加强对CA机构的管理
中图分类号:F831 文献标识码:A 文章编号:1007―4392(2010)10―0048―03
一、新欧盟电子货币机构监管制度内容
欧盟电子货币监管制度从电子货币机构的准人条件、活动范同、限制以及电子货币可赎回性等各个方面对电子货币机构开业、经营和审慎监管等方面进行了规范:
(一)电子货币和电子货币机构的定义
电子货币是电子货币发行商通过收取货币资金,发行的用于支付交易目的、且能够被其他自然人或法人接受的电子化的货币价值,它表现为持有人对发行人所享有的要求权。电子货币机构是指满足准入条件、经授权可以发行电子货币的法人。
(二)电子货币机构的设立、运行和审慎监管要求
对电子货币机构监管的一般审慎原则,仍沿用2007/64/EC第5款“申请授权”条款,第10-15款的“决议的传达”、“授权的撤销”、“登记”、“授权的维持”、“核算和法定审计”条款,及第17款(第7条)“支付服务外包”条款,并做了必要的修订。
1.建立授权、登记和撤销制度。在欧盟国家,从事第三方网上支付的机构须取得银行业执照或电子货币公司的执照才能开展业务。要获得电子货币机构资格,申请者须向所在会员国主管当局提交一份包含操作方案、商业计划、初始资本金证明、保证资金安全措施、内控机制(符合反洗钱和反恐融资规定)、组织结构、董事和管理者身份、总公司地址等内容在内的申请材料。主管当局在收到该申请材料起三个月内通知申请者是否批准对其授权,若拒绝授权须给出原因。获得授权的电子货币机构需要在主管当局设立的登记部门登记备案,并按照授权从事相关业务。同时,主管当局在特定情况下(如电子货币机构通过错误陈述或非正常手段获得授权,或12个月内未对授权采取行动、6个月以上未从事相应商业活动,或继续经营将对支付系统稳定性构成威胁等),有公开撤销电子货币机构经营资格的权利。
2.重要事项报告制度。明确规定当机构的资金保障措施发生重大变动或决策层出现重大调整时,电子货币机构必须要向主管当局报告并必须获得主管当局的同意,以确保主管当局及时掌握电子货币机构的经营情况。须报告的事项包括但不限于:当已发行电子货币所收取款项的安全措施发生实质变化时,须提前报告主管当局:当电子货币机构中的法人或自然人所持有限定资产资本比例或选举权比例达到、超出或低于20%、30%、50%时,或决定并购或处置、增加或减少这些限定资产时,须向主管当局报告。
3.初始资本金。充足的资本金是电子货币机构安全运转、顺利履行各项义务以及防范化解各种风险的最基本的物质保障。欧盟电子货币监管法令明确提出电子货币机构必须具备不低于35万欧元的初始资本金。而原法令2007/64/EC对以电信、数字或IT设备为支付载体本身只起支付中介作用的第三方支付机构初始资金的界定为不低于50万欧元。
4.自有资金。明确规定电子货币机构持续性自有资金的最低要求。分别对电子货币机构开展电子货币发行业务和其他业务设定了不同的计算标准,如果发行电子货币,其自有资本金的最低持有量不得少于近六个月未兑现电子货币的相关负债总额平均值的2%。
如果不发行电子货币,其自有资金要求按规定的3种方法之一(均来自于条令2007/64/EC第8款,此处不再赘述)来计算。最合适的计算方法由主管当局在国家法令下制定。
5.定义活动范围。除发行电子货币外,电子货币机构还有权从事以下活动:2007/64/EC法令加条款中的支付服务,如开立资本账户、现金存取、支付转账、授予信用、发行或取得电子票据、汇兑、电子支付中介等。对于发行电子货币的机构而言,不得挪用公众的保证金或偿债资金,沿用2006/48/EC的条款5。不发行电子货币的机构可沿用2007/64/EC条令,设立专用的支付交易账户,不得挪用保证金和可偿债资金用于其它商业活动一(第16款第2、第4条)。
6.用户资金保护措施。为保护支付用户的利益不受损害,明确规定电子货币机构要确保通过发行电子货币所获得资金的安全。电子货币机构要将自有资金与未兑现的电子货币兑换资金完全分离,为电子货币兑换资金专门开立账户,此账户只能投资于主管当局认定的具有充分流动性的低风险资产。会员国要求发行电子货币的机构遵循2007/64/EC指令第9款的第1条和第2条。不发行电子货币的机构适用于2007/64/EC的第9款。
(三)电子货币的发行和赎回
2009/110/EC条令第三部分对电子货币的发行和赋回条款中,对有资格发行电子货币的机构发行货币作了相关规定,包括平价发行、随时赎回条款、赎回条件、赎回费用和合同终止。并禁止支付电子货币持有人持有电子货币期间的利息:争议解决的庭外控告和补偿程序:最后的条款和执行措施:委员会程序:成员国间的协调;过渡性条款及对法令2005/60/EC、2006/48/EC的修订。
二、我国对第三方支付机构的监管现状
(一)监管主体不明确
网上第三方支付业务是集团网络和金融业务为一体的综合性业务,与网络运营和金融业务相关的监管机构。如人民银行、银监会、信息产业部门等都可以对网上第三方支付业务的某一方业务进行监管,但目前尚未明确由哪一方机构负责对第三方网上支付业务的全面监管。对第三方网上支付机构的运行管理、银行与第三方支付机构的权责关系等监管都处于真空状态。
(二、监管法律依据不足
我国还没有出台专门针对第三方支付的法律法规,可以依据的只有“三个参考和一个办法”,即2005年4月1日起施行的《电子签名法》,同年10月26日施行的《电子支付指引(第一号)》和2005年6月10日的《支付清算组织管理办法》(征求意见稿),以及2010年6月14日的《非金融机构支付服务管理办法》。其中《非金融机构支付服务管理办法》对第三方支付的市场准入、监督管理等方面问题第一次做出了规定。但是有关的监管法律依据仍存在明显缺陷。
一是电子货币发行的主体资格、电子货币发行量的控制、电子支付业务资格的确定、电子支付活动的监管、客户应负的义务与银行应承担的责任等,还缺乏具体的法律条款加以规范。
二是第三方支付机构法律地位不明确,缺乏市场准入监管条例。第三方网上支付业务主要面临三大法律问题:第一类,通过银行、第三方支付平台或者网络交易平台提供网络服务中的法律问题:第二类,电子货币的法律问题,包括电子货币的范围、监管与规范、安全性等;第三类,安全问题的法律问题,如虚假支付网站、网络支付证据认定、电子认证及网络支付责任承担等问题。
三是第三方支付机构开立结算账户并提供支付结算服务,突破了特许经营限制。根据《中华人民共和国商业银行法》(修正)第三条的规定,结算业务属于商业银行的中间业务必须经过银监会的批准才能从事。而第三方支付平台显然已突破了这种特许经营限制,急需监管部门出台相应的管理措施。规范业务范围,消除“灰色地带”。
(三)滞留资金监管
对第三方支付平台中的大量资金沉淀,缺乏有效的流动性管理。大量的客户资金沉淀可能引发资金流动性风险或引发第三方支付机构从事风险较高的投资活动或其他活动,造成资金安全隐患,引发支付风险、道德风险和企业平台信用风险,从而波及到我国的国家金融体系的安全稳定。但我国并未有相关法律对滞留资金的监管作出解释。此外,滞留资金产生的利息归属也尚未有定论。
(四)对网上支付交易过程的监管
由于网络交易的匿名性、隐蔽性,利用支付平台的网络违法犯罪活动不断出现,其造成的危害令人堪忧。第三方支付平台很难辨别资金的真实来源和去向,使得利用第三方平台进行资金的非法转移、洗钱、贿赂、诈骗、赌博、恐怖融资、套现以及逃税漏税等活动有了可乘之机。
三、建议
(一)出台针对第三方支付的监管法律和政策
在现有的法令基础上尽快出台专门针对第三方支付机构监管的支付清算法规。明确规定第三方支付机构的授权、登记及撤销制度、初始资金额、自有资金额、业务范围、资金安全措施、重要事项报批等条款。加强交易过程中防范信用卡套现、欺诈、洗钱、赌贿、贿赂、反恐融资的监管。向具有一定规模或雄厚实力并符合法律、法规的机构颁发营业执照,明确限定最低注册资本金额并作为进入市场的准入条件,以保障第三方支付机构的支付能力。
制定相应的法规确保第三方支付平台交易的安全,明确第三方支付平台在现实经济中的法律定位,降低第三方支付平台的资金(包括保证金和准备金),给第三方支付系统中在途资金的安全提供制度上的保证。
(二)明确监管主体和监管对象
建立以人民银行为监管主体,商业银行代为保管第三方支付平台的滞留资金的监管体系,可由中国人民银行制定保证金制度,商业银行规范结算周期,提高第三方支付系统整体的支付效率,避免由支付周期带来的其他问题。监管对象为以电信、工作、数字技术为载体从事支付中介业务的第三方支付机构。
(三)明确界定第三方支付机构的业务范围及对交易过程的监管
中国人民银行须详细界定第三方支付机构的业务范围、规范其运作。对发行电子货币的第三方支付机构,应该规范准入审批制度、发行电子货币条件、持续性自有资金、赎回条款、审慎监管等。对未发行电子货币的第三方支付机构,应加强对其沉淀资金的监管,防止沉淀资金的挪用。如果人民银行批准,可以适当投资于人民银行规定的低风险高流动性资产。
在交易过程中,加强立法,防范虚拟交易中的欺诈、洗钱、贿赂等非法活动。对除开展支付服务以外业务的电子货币机构,应加强对其发行电子货币业务的监管。按照审慎原则对其投资、业务范围及风险管理予以监管。建立重大事项报批制度、电子货币发行及其赎回机制和破产保护制度。
中图分类号:F830.4 文献标识码:A 文章编号:1005-5312(2011)33-0243-01
一、网上银行的业务范围
电子商务活动中网上支付方式有网上银行卡、电子现金、电子钱包、电子支票等,其中网上银行卡是应用最为普遍的一种方式。
网上银行也称为网络银行、在线银行,是指利用Internet、Intranet及相关技术处理传统的银行业务及支持电子商务网上支付的新型银行。网上银行就在我们身边,它和我们生活中经常去的银行是非常相似的,基本上柜面能办理的业务,网上银行都能够办理,柜面不能办理的一些业务如网上购物、自动转账、 7 × 24 小时汇款、家庭理财,网上银行也能办理。
招商银行于1998年在银行网站上推出了“一网通”服务,是我国第一家网上银行.目前国内各大商业银行均开通了网上银行业务,而且网上银行业务量在银行总业务中所占比重在不断地上升。
二、如何网上银行申请
网上银行的功能这么强大,如何申请使用呢?只需拿您的身份证件到银行网点开立借记卡、信用卡或理财金账户,然后就可以同步在柜面申请开通网上银行服务了,如果需要大额转账,您还可申请一个类似 U 盘的客户证书(U盾),以确保所有网上交易安全无忧。
有些银行业开通了在线自助注册开通网上银行,如果您不方便到柜台开通网上银行,也可登录其网站进行自助注册开通,如工行。在注册开通后,就可以安心享受网上银行的各种服务了。
三、网银盗窃手段
(一)利用解码网站客户信息来实施犯罪的。犯罪分子通过攻破一家小网站窃取了该网站的客户信息(包括用户名、密码、银行卡号等),而该网站部分客户在普通网站上的密码和网上银行密码设置相同,给了犯罪分子以可乘之机。
(二)“网贼”自行设立假的游戏网站,“一般这种网站的设立成本仅为几百元”。用户在非法的游戏装备交易网站购物时,轻易地在该网站输入了网银的卡号、密码,当时该网站提示密码错误,客户也未做什么补救措施,几天后就会发现自己的账户资金已经被盗。
(三)储户对自己的账户信息外泄被他人利用所造成的损失。
从这3种骗术的共性来看,都是钻了储户麻痹大意的空子,骗取了账户的资料、密码等,与储户的安全意识不强,没有保护好自己的账号、密码等敏感信息直接相关。我们决不能因噎废食。
四、网上银行安全防范措施
为了保证银行账户不受损失,进行网上支付时,建议采取一些必要的安全防范措施:
(一)资金交易最好申请网上银行数字证书
如果您必须要进行网上划账交易时,尽量使用网上银行客户证书加密方式。以工商银行为例,该行与微软等国际知名公司合作推出了网上银行客户证书,采用智能芯片(USBKey)信息加密技术,可以让您的网上银行服务更加安全可靠。您申请客户证书后,在网上办理转账、汇款等业务时必须在计算机上插入USBKey,系统自动调用USBKey内的客户证书进行交易签名。
(二)使用正确网址登录网站
请登录正确网址,访问银行网站要直接在浏览器地址栏内输入网址,不要通过链接登录网上银行,也可以将工商银行、中国银行等银行网站的正确网址添加到浏览器的“收藏夹”,每次从“收藏夹”中选择银行网站的链接进行登录,不要从非银行网站的超级链接间接访问,谨防假冒网站。
(三)保证计算机安全。应在个人电脑上安装银行提供的用于保护客户端的安全组件。并及时安装操作系统和浏览器最新补丁文件,并为计算机设定密码,以防止他人擅自使用。另外,要安装正版杀毒和防火墙软件并及时更新,不要查看来历不明的电子邮件,防止计算机病毒或黑客入侵计算机。
尽量不要在公共场所(如网吧)使用网上银行,因为您无法知道这些计算机是否装有恶意程序进行监测。
(四)保护用户名和密码
电子商务是基于互联网的一种网上交易、网上支付的新型商业模式。随着电子商务的快速发展,电子支付的重要性越来越明显,已经成为整个电子商务产业链中的核心环节。如何实现完全的在线支付功能,并保证交易各方的安全、保密是实现电子商务关键的问题之一。
根据中国社会科学院互联网研究发展中心的调查数据,B2B的交易额占到了整个中国电子商务市场的98%,是电子商务的绝对主流。但是,B2B电子支付却发展缓慢,大多仍然停留在信息流的传递上,还处于电子商务的初级阶段,远远没有实现信息流、资金流和物流的有效协同,而其主要原因之一就在于电子支付这一B2B电子商务重要环节的缺失。
一、电子支付
电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。
电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。
二、B2B电子支付现状
1.企业对B2B电子支付需求迫切
随着B2B电子商务市场的发展和成熟,越来越多的企业与政府组织部门拓展电子商务以及电子政务,这些均迫切需要发展适合中大额网络交易与服务的网络支付手段。信用卡等小额支付结算方式面对这些业务需求有些勉为其难。企业对B2B电子支付需求也越来越迫切。
电子结算充分利用网络资源,只进行信息的交换,而不进行纸币实质的转让,令银行与企大大节省了资源,更方便。充分利用数字签名、隐藏签名等安全技术来保证安全,以防抵赖、防伪造。目前很多企业间的电子商务仍采用网上交易、网下支付的方式,其实质并不是真正意义上的电子商务,电子商务的简单形式上的呈现,电子商务的实时性的优势无从体现。
由于在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件,电子支付的重要性越来越明显,已经成为整个电子商务产业链中的核心环节。基于广泛互联且完全开放的网络平台,电子支付实现了低成本、高效率、全球性的资金流转模式。在实现了网上和寻找信息的简单电子商务后,企业迫切需要在交易过程中,采用实时的在线支付方式,以极大地提高电子商务活动的效率,减少不必要的中间环节。
2.商业银行B2B电子支付业务创新
商业银行是最早的B2B电子支付服务提供方。随着电子商务的深化和发展,各家银行都在寻求新的业务增长点,银行在线交易的功能成为银行最为关注的新业务。
电子商务网上支付业务通过银行支付网关与电子商务网站对接,提供与交易订单紧密捆绑的在线支付服务,使买家通过网上银行安全、轻松地完成在线交易和支付。事实上,迈入1999年,网上银行服务(InternetBanking)已成为业界不可或缺的服务,不少大银行不但有网站,而且还提供网上转账和查询账户的功能。目前银行提供的B2B网上支付方式主要有两种:一种是电子支票类,如电子支票、电子汇款(EFT)、电子划款等;另一种是电子信用证类,即把传统的信用证方式转换成网上发证的方式,利用银行信用和网上银行转账完成买卖双方的网上支付。
3.供应商的风起云涌
第三方支付是B2B电子支付服务的新兴的供给方。
所谓“第三方支付”,是指在电子商务企业与银行之间建立一个中立的支付平台,为网上购物提供资金划拨渠道和服务的企业。随着中国互联网的普及和电子商务的迅速发展,中国的第三方支付市场呈现出勃勃的发展生机。艾瑞市场咨询最新的《2007年中国网上支付第一季度研究报告》数据显示,2007年第一季度中国第三方支付市场交易额规模达到160亿元,比上一季度增长了33.3%,与去年同期相比,增长了4倍多。
第三方支付在C2C和B2C领域取得了很好的业绩,开始逐步涉足B2B交易。第三方支付商的优势在于小银行之间的跨行交易。
三、B2B电子支付存在问题
1.B2B电子支付要求更高的安全性
网上支付的安全问题一直是企业和个人用户关注的焦点。B2B的网络支付结算是企业对企业的大金额网络支付结算,操作较为繁复,因此交易风险较大,B2B电子商务对交易资金的安全级别要求比B2C、C2C要高的多。尤其企业在考虑选择第三方支付平台时,其非金融组织的身份,使它在企业中的可信度还不够。
2.B2B电子支付要求更快的周转速度
目前,很多第三方支付服务机构开展了在线支付、电子钱包等支付手段,但基本模式都是付款方的资金先转入第三方支付服务机构的账户或者电子钱包,然后卖方发货。只有在卖方的货物被买方收到并验货认可后,资金的清算才可以正式进行,货款由第三方支付服务机构转给收款方,但从发货、收货到验货有较长的周期,买方的货款被滞留在第三方支付服务机构,这种模式的收付速度难以达到B2B电子商务的要求。尤其是规模不是很大的电子商务企业,实力较弱,对流动资金有很高的需求,他们无法接受资金滞留。
3.B2B电子支付要求三流更高的协调性
物流、资金流和信息流是电子商务的三要素。网上下单、网上支付并在网上指定配送方式,才构成一个完整统一的电子商务体系。企业开展B2B电子商务业务时,会产生大量订单。如何通过电子支付实现资金流和订单/信息流的统一,从而便利收款企业的对账发货,也是企业非常现实的需求。对于B2B电子支付而言,并不仅仅是在网上进行一次付款便完成了的事情,它背后将涉及到的是物流、库存、信息流等的对接。
第三方支付网关无法对网上交易的货物进行监督,也就不能为买家保证货物的安全,在资金监管、信息流的提供等方面都有不足,在B2B电子支付过程中,发展将更艰难。
除此之外,电子支付相关法律法规还不健全,并且电子支付渠道不统一,目前银行之间还不可能互相提供接口。
四、B2B电子支付的解决对策
1.多方面提供安全保障
电子支付先天具有一定的安全可靠性。企业在进行B2B电子支付时,无需使用现金、支票支付税费,特别是对于本关区以外的企业,免去了邮寄、携带大额票据的风险,极大地提高了企业资金管理的安全性。
但从银行、第三方支付网关的角度,仍需采用多种措施,提高B2B电子支付的安全性。
首先是技术上。B2B电子支付服务提供方,在电子支付的各个环节,采用先进的安全措施。网上银行系统采用国际上安全性强的1024位非对称密钥算法为基础的公钥安全体系;客户证书采用支持非对称密钥算法、带协处理器的CPU智能IC卡为存储介质;网络数据传输方面采用国际通行的SSL协议进行链路层的加密传输;整个系统的网络框架上,设置多重防火墙和安全服务器,并采用著名的ISS黑客扫描程序。
其次从管理上。要确保网络系统的安全与保密,除了对工作环境建立一系列的安全保密措施外,还要建立健全金融网络的各项内部管理制度。根据企业资信状况,从业务角度控制参与B2B在线支付的企业范围。客户的每一笔交易都将按照机密性和完整性的要求进行记录,作为交易的审计备案。以上措施从源头上阻止非法客户的进入,杜绝欺诈行为的发生,为B2B电子商务的开展营造了一个更加安全、规范、便捷的交易环境。
再次,从信用机制上。网上银行通过远程通信手段,借助信用确认程序对借款者的信用等级进行评估。而第三方支付平台通常把用户规模、在线的时间、交易记录、买家评价,以及信息的数目等方面都加以考核,然后对这些方面设置相应的积分,最后根据积分为这些“网上店铺”评定星级。当一家网站有足够的评价机制后,用户根据星级状况便可以选择相对更为稳妥的卖家进行交易,在这种情况下选择线上支付的可能性也会更大。
2.提高速度,缩短资金结算时间
通常的线下支付时间较长、手续复杂。快捷、高效、方便是网上支付最吸引人的地方。B2B电子支付提供了买卖双方企业网上交易资金的实时划拨。电子资金转账系统缩短了银行之间支付指令的传递时间,并减少了在途资金的占压。一些银行和第三方支付平台合作,开始尝试“应收账款质押贷款”,即将卖方尚未结算的订单向银行作为融资的质押,让资金在途和沉淀期缩短。网上银行系统一般分两次向特约网站和收款企业实时反馈每笔电子支付指令的有关信息,以便于供货方掌握并控制交易进度。付款企业作为网上银行客户,可随时登录银行网站或追踪查询指令处理状态,了解支付信息。
3.利用信息技术构建三流一体化平台
由于信息技术的支持,企业可以采用一定规模的ERP、SCM软件,协调整个供应链的机制,实现从客户到供应商的完全连通,企业的内部流程与外部交易完全一体化;通过供应链管理,保证了销售渠道的畅通;实时进行交易,使交易和供应几乎同时发生,使供应商及时了解物料需求状况,实现企业零库存;快速、实时、柔性的交易模式,及其完善而流畅的服务与物流配送体制,使电子商务达到了其高级阶段。
在企业实现物流、库存电子化管理后,符合中国企业需求的第三方电子支付,将能够将电子商务企业交易的“信息流”与“资金流”实现最佳整合,并能作为B2B电子商务中企业渠道资金收付和产业链上下游企业资金来往来的重要平台。
网上银行也能够实现电子商务交易的全过程、如何实现交易资金流与信息流的紧密绑定。实现订单和资金流的统一,便利收款商户对账发货。
4.大中小企业各取所需
一般来说,处于产业链内主导地位大型厂商来说,电子支付的关键是安全与信誉,此时寻找商业银行等金融机构作为电子支付渠道的合作伙伴将显得更为现实。通过金融机构建立大额电子支付渠道,能够有效保障整个产业链上企业相互间安全支付。
对于中小企业,上下游客户随机性较强,第三方支付平台能帮助其拓展客户机会,同时也能保障相互之间的支付安全性。对中小企业来说,快捷、高效、方便是网上支付最吸引人的地方。通常的线下支付时间较长、手续复杂。因此,这些企业适合寻找专业的第三方支付平台搭建适合自身业务的电子支付渠道。
支付网关需要通过银行进行结算,支付商提供的服务是银行业务的延伸,二者是合作和补充的关系。越来越多的银行跟第三方支付公司的联合,为各类型企业又提供了更多的选择。