浅谈电子商务网上支付安全的特征 随着科学技术的进步,网络观念的日益提高,基于互联网的电子商务正在蓬勃发展,网上支付也越来越受到人们的关注和青睐。买卖双方不需见面,直接通过互联网选购商品并支付货款。在电子商务中,网上支付过程是整个商贸活动中重要的一个环节,同时也是电子商务中准确性,安全性要求最高的业务过程。网上支付的安全性从可靠性/不可抵赖性/鉴别有效性、机密性、完整性、身份认证、防火墙等特征出发做一个概述,又对网上支付的安全隐患做出一些诠释及提出相应的解决方案。 一、电子商务网上支付的概述 随着互联网的普及,人们对支付系统的运行效率和服务质量的要求也越来越高,促使支付系统不断从手工操作走向电子化,网络化。网上支付对于很多人来说并不陌生。你也许通过某家商业银行的网上银行转账、支付交易保证金,或是通过一些专业的网上支付服务商进行过网上购物在线支付。所有这些通过互联网进行的支付方式都是网上支付。 网上支付和其它新生事物一起,正悄悄地影响着、改变着人们生活方式和生活态度。任何新生事物刚刚出现的时候,由于人们对其了解甚少,容易产生排斥的心理。随着时间的推移,随着对这些新生事物了解的加深,将会逐渐习惯并接受。 网上支付已成为一种形式,它更能使市场经济走上全球化,网上支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。 二、电子商务网上支付的安全性特征
电子商务中的网上支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在金融体系为一体的综合大系统。因此,网上支付体系的建立不是一蹴而就的事,受多种因素的影响,并与这些因素相互促进,动态地发展,共同走向成熟。网上支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。其特点:信息保密、完整性控制、数字签名和身份认证等 1、信息保密性。在交易时支付密码泄漏,当被一些攻客通过某种方式得到支付密码,可以轻易地冒充持卡通过互联网进行消费,给持卡人带来损失。是网上支付安全的主要担心所在。 2、机密和完整性。支付数据被篡改,在缺乏必要安全防范措施情况下,攻客可以通过修改互联网传输中的数据。例如,攻客可以修改付银行卡号、修改支付金额、修改收款人账号等等,达到谋利目的并制造互联网支付事件。 3、身份认证。攻客可以采用“钓鱼”方式达到目的,具体方式有假冒网站,虚假短信等。这些网站页面、短信等都是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻客诱导,使向其泄漏自己的银行卡支付密码。 4、防火墙。网上支付终端截取或网络截获,攻客可以在持卡人电脑上发布恶意软件(木马)。这些软件能在持卡人输入支付密码时悄无声息地捕获,并偷偷地发送出去。攻客在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。 5、暴力攻击方式。通常支付密码是由数字和字母组成的一段字串。而人受记忆能力的限制,该字串不会太长。当前很多发卡行采用6位数字密码方式。借助某些工具强大运算能力的计算机,攻客可以采用密码词典方式逐个试探。 6、可靠性/不可抵赖性/鉴别。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作,若付款人否认发出资金划出指令,商业银行将处于被动局面;对于资金划入操作,若商业银行否认资金划入操作,收款人将处于不利境地。 7、网上支付的信用问题。在网络支付中由于其虚拟性,超时空性等特点,使双方互不相见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。 三、电子商务网上支付安全的解决方案
对于网上支付安全的基础设施,因特网安全问题至关得要,由于因特网在物理上覆盖全球,在信息内容上无所不包,用户群结构复杂,因此几乎不可能对其进行集中统一管理,控制信路由选择,追踪和监控通信过程,控制和封闭信息流通,保证通信的可靠性和敏感信息的安全,提供源和目标认证,实施法律意义上的公证和仲裁等。 (一)安全技术策略。 为了确保通信的安全性,必须采取必要的措施加以防范。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络(VPN)等技术;在鉴别和认证方面,可以采取加密和认证技术。 1、做好自身电脑的日常安全维护,注意以下几点:一是经常给电脑系统升级,二是安装杀毒软件、防火墙,经常升级和杀毒,三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒,四尽量不要在公共电脑上使用自己的有关资金的账户和密码,五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。 2、网上密码保护 (1)需要持卡人不能设置简单密码如“111111”的简单的数字组合、自己或亲人的生日信息、电话号码。 (2)还注意支付终端的安全性,如不要在网吧进行网上支付、在终端服务器上安装反病毒、反木马软件。同时,还要注意在其它公共场所支付输入密码,谨慎别人用其它行为如偷窥、摄像等,不要把密码记在易被人发现的纸上。 (3)密码能轻易为攻击者骗取、窃取或解破,更为一个重要的原因是支付密码本身缺乏一定的防攻击、窃取能力。因密码通常用字母、数字的简单组合,属于低安全强度的保护机制。而我们应采用高安全强度的加密机制。如数字证书代替或补充支付密码就是一种有效方式,很多商业银行的专业。 (二)用证书技术解决网上支付安全问题 就网上支付安全问题来看,中国的保障体系明显比其完善在中国,网上支付安全问题并没有外界传说的那么可怕,只是目前很多消费者还不了解中国网上支付有诸多的保护措施,也缺乏必要的安全交易常识,这些是导致网上支付所谓不安全的最直接原因。要解决这些问题,可以采取移动证书,浏览型证书或者是动态密码等技术手段。同时培养消费者的使用习惯,增加消费者的安全意识和交易常识。 (三)法律保障。由于电子商务各项活动首先是一种商品的交易,因此安全问题应当通过相关法律加以保护,必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。 (四)完善的管理策略。由于电子商务交易系统是一个人机高度综合的系统,除了网络的安全之外,管理人员的管理也是非常重要的,而且是起决定性作用的因素。因此,对整个系统的管理权限的分配和监督、管理人员的培训和考核、道德和业务水平的培养都必须制定出一套完整的规章制度,以利于培养管理人员敬业爱岗的精神。 四、结论
本文通过对网上支付安全有针对性的提出各种遇到的问题(网上支付的安全隐患)及建议(网上支付的安全解决方案),提出来了从网上交易密码、防止支付数据被篡改需要数据的安全、网上支付系统的安全性保护和完善网络很行系统的安全来保障网上支付的安全。本报告让我收获颇多,让我充分的意识到尽管目前安全技术发展成熟,但商业银行、第三方支付平台等支付服务商都采用各自的安全方案,难免出现安全漏洞。因此,网上支付的发展需要专业的支付安全服务公司、完善的支付安全技术标准,并建立网上支付安全评价体系和准入机制。只有如此,网上支付才能在提升服务价值的同时,通过更好的社会安全环境,保障支付各方的利益,更加健康、快速地发展。其实,这和现实生活中被骗并无区别。提高自身防范意识,就是最好的安全保障。