论文部分内容阅读
摘要 网上支付是电子商务中极其关键的环节。只有实现了网上支付,才能进行真正意义上的电子商务交易,而是否采用网上支付最主要考虑的因素就是安全。本文通过对电子商务网上支付技术方面、信用体系方面和法律建设方面进行介绍,提出了这三个方面存在的问题,改进支付安全性的建议,以及网上支付存在问题的相应解决对策。
关键词 网上支付 安全 问题
中图分类号:F830.49 文献标识码:A
一、电子商务网上支付的安全隐患
(一)网上支付的安全问题。
造成网上支付发展的安全风险主要有三个方面:一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
1、密码管理不善。
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户将姓名、生日、电话号码设置为密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件破解一些安全性低的密码。因此建议用户使用安全性高的复杂密码,防止密码被黑客破译的可能。
2、网络病毒的入侵。
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3、钓鱼平台。
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。中国互联网络信息中心(CNNIC)统计,截至今年2月底,联盟累计认定并处理了钓鱼网站39854个。仅1、2月份,网购、电子商务网站类就占据了举报受理总数的90%。2011年2月,处理钓鱼网站1159个,较2010年2月(574个)相比,同比增长112%,而2011年前两个月处理的钓鱼网站较2010年同期增长2278个。更为惊人的是,在2011年1月和2月通过联盟认定并处理的钓鱼网站中,网购、电子商务网站类约占举报受理总数的90%。
(二)网上支付的信用问题。
在网络支付中由于其虚拟性,超时空性等特点,使双方互不相见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。
根据《中国电子商务诚信状况调查》统计显示,有23.5%的企业和26.34%的个人认为电予商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。调查表明,64.2%的公众和71.1%的企业在网上交易时会查看卖方的信用评价,企业信用状况无疑是解决电子商务诚信问题的一个很大因素,但目前我国还没有一个权威公正的信用体系。
(三)网上支付的法律问题。
目前制约网上支付发展的立法问题主要包括:谁来发行电子货币;如何进行网络银行的资格认定;怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
(四)网上安全认证机构建设混乱。
CA在认证过程中面临许多潜在的风险,这主要表现在:(1)支付的信用安全问题。各CA颁发的电子证书各自为政、交叉混乱的情况仍然存在,身份认证系统不完善不统一,认证作用只是保证一对一的网上交易安全可信,而不能保证多家统一联网交易的便利。(2)缺乏协调统一的规划设计和没有行业技术标准。各个认证中心都是独立构建的,引进的技术和产品各有不同,也没有共同的标准,在这样的情况下,要实现互通确实面临很大困难。
二、解决网线支付安全问题的对策
(一)技术方面的对策。
通过因特网进行网上支付,最核心的问题是安全问题,我们要解决安全问题,在交易中的数据传输真实性主要通过数字证书来解决,机密性主要通过数据加密来解决,完整性主要用消息摘要 来解决,不可否认性主要用数字签名来解决。
1、数据加密技术。
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
2、数字签名技术。
数字签名技术是将摘要 用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要 。数字签名保证了交易信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来识别交易双方的真实身份,这一措施就是数字证书。
3、安全协议。
还可以通过设置电子商务信息安全协议来进行。现有的电子商务交易协议有多种,但是目前常用的只有SSL和SET两种。SSL主要用于提高应用程序之间的数据的安全系数,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
(二)建立统一的认证体系。
要保证网上支付的安全性,建立统一的安全认证体系己成当务之急。各方的认证机构必须统一技术标准,还有必要建立全国统一的网上支付资金清算中心,主要承担跨行之间的网上支付信息的交换和网上支付资金清算的职能,这样不仅可以解决跨行支付的问题,还可以进行信息共享,节约社会资源。只有国家出面建设统一公用的认证中心,才能起到认证中心公正、权威的作用,才能避免各方各自为政造成市场的混乱。在目前的情况下我认为应将现有各商业银行的数字证书进行整合,使各商业银行数字证书可以相互通用,相互认可,逐步达到统一数字证书的目标,并通过加强我国CFCA的身份认证的技术和后台管理,进一步方便各商业银行统一证书的维护与管理。
(三)建立可靠的电子支付信用体系。
为促进电子商务快速健康发展,构建安全高效的电子支付信用评估体系,需要从以下几方面入手:(1)信用评估指标体系的制定与研究、落实账户实名制、建立网上信用信息数据库。(2)要尽早建立跨区域的网上信用信息数据库。(3)政府有关部门可根据客观、中立、公正的原则,整合税务、统计、工商、质监、金融等系统中涉及企业信用的信息资源,建立网上信用信息数据库,通过提供信用查询、公示企业守信或诚信信息、受理信用的投诉、受理信用的异议等服务,来营造电子商务信用环境。
(四)加强法律体系的建设和人才培养。
1、消费者的个人信息存储在银行,假如银行的网络遭到攻击,私人信息可能会泄露,若补救不及时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。
2、在人才培养中,要注重加强与国外的经验技术交流,及时把握国际上最先进的安全防范手段和技术措施,加快立法进程,健全法律体系。
3、结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内答应标保的财产进行标保,并在出险后进行理赔。
4、进行网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。以创新的思想,建立具有中国特色的信息安全体系,建立统一的技术规范,把局部性的网络就进行互连、互通、互动。目前,国际上出现许多关于网络支付安全的技术规范、技术标准,目的就是要在统一的网络环境中保证在电子支付中的个人隐私信息的绝对安全。
(作者:新疆财经大学工商管理学院讲师, 中央财经大学信息学院博士生,研究方向:电子商务)
参考文献:
[1]吴阳波,林莹.谈我国网上支付的发展与存在的问题.集团经济研究,2007.
[2]江永波,等.电子商务中的网上支付问题讨论 .中国科技信息,2005.
[3]孙君.我国网上支付存在的问题与建议.江苏商论,2005.
[4]张伟,焦萍.网上支支付发展问题研究. 商场现代化,2005.
[5]张卓其.网上支付与网上金融服务.东北财经大学出版社,2006.
关键词 网上支付 安全 问题
中图分类号:F830.49 文献标识码:A
一、电子商务网上支付的安全隐患
(一)网上支付的安全问题。
造成网上支付发展的安全风险主要有三个方面:一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
1、密码管理不善。
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户将姓名、生日、电话号码设置为密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。许多攻击者还会直接使用软件破解一些安全性低的密码。因此建议用户使用安全性高的复杂密码,防止密码被黑客破译的可能。
2、网络病毒的入侵。
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3、钓鱼平台。
“网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。中国互联网络信息中心(CNNIC)统计,截至今年2月底,联盟累计认定并处理了钓鱼网站39854个。仅1、2月份,网购、电子商务网站类就占据了举报受理总数的90%。2011年2月,处理钓鱼网站1159个,较2010年2月(574个)相比,同比增长112%,而2011年前两个月处理的钓鱼网站较2010年同期增长2278个。更为惊人的是,在2011年1月和2月通过联盟认定并处理的钓鱼网站中,网购、电子商务网站类约占举报受理总数的90%。
(二)网上支付的信用问题。
在网络支付中由于其虚拟性,超时空性等特点,使双方互不相见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。
根据《中国电子商务诚信状况调查》统计显示,有23.5%的企业和26.34%的个人认为电予商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。调查表明,64.2%的公众和71.1%的企业在网上交易时会查看卖方的信用评价,企业信用状况无疑是解决电子商务诚信问题的一个很大因素,但目前我国还没有一个权威公正的信用体系。
(三)网上支付的法律问题。
目前制约网上支付发展的立法问题主要包括:谁来发行电子货币;如何进行网络银行的资格认定;怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
(四)网上安全认证机构建设混乱。
CA在认证过程中面临许多潜在的风险,这主要表现在:(1)支付的信用安全问题。各CA颁发的电子证书各自为政、交叉混乱的情况仍然存在,身份认证系统不完善不统一,认证作用只是保证一对一的网上交易安全可信,而不能保证多家统一联网交易的便利。(2)缺乏协调统一的规划设计和没有行业技术标准。各个认证中心都是独立构建的,引进的技术和产品各有不同,也没有共同的标准,在这样的情况下,要实现互通确实面临很大困难。
二、解决网线支付安全问题的对策
(一)技术方面的对策。
通过因特网进行网上支付,最核心的问题是安全问题,我们要解决安全问题,在交易中的数据传输真实性主要通过数字证书来解决,机密性主要通过数据加密来解决,完整性主要用消息摘要 来解决,不可否认性主要用数字签名来解决。
1、数据加密技术。
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
2、数字签名技术。
数字签名技术是将摘要 用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要 。数字签名保证了交易信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来识别交易双方的真实身份,这一措施就是数字证书。
3、安全协议。
还可以通过设置电子商务信息安全协议来进行。现有的电子商务交易协议有多种,但是目前常用的只有SSL和SET两种。SSL主要用于提高应用程序之间的数据的安全系数,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
(二)建立统一的认证体系。
要保证网上支付的安全性,建立统一的安全认证体系己成当务之急。各方的认证机构必须统一技术标准,还有必要建立全国统一的网上支付资金清算中心,主要承担跨行之间的网上支付信息的交换和网上支付资金清算的职能,这样不仅可以解决跨行支付的问题,还可以进行信息共享,节约社会资源。只有国家出面建设统一公用的认证中心,才能起到认证中心公正、权威的作用,才能避免各方各自为政造成市场的混乱。在目前的情况下我认为应将现有各商业银行的数字证书进行整合,使各商业银行数字证书可以相互通用,相互认可,逐步达到统一数字证书的目标,并通过加强我国CFCA的身份认证的技术和后台管理,进一步方便各商业银行统一证书的维护与管理。
(三)建立可靠的电子支付信用体系。
为促进电子商务快速健康发展,构建安全高效的电子支付信用评估体系,需要从以下几方面入手:(1)信用评估指标体系的制定与研究、落实账户实名制、建立网上信用信息数据库。(2)要尽早建立跨区域的网上信用信息数据库。(3)政府有关部门可根据客观、中立、公正的原则,整合税务、统计、工商、质监、金融等系统中涉及企业信用的信息资源,建立网上信用信息数据库,通过提供信用查询、公示企业守信或诚信信息、受理信用的投诉、受理信用的异议等服务,来营造电子商务信用环境。
(四)加强法律体系的建设和人才培养。
1、消费者的个人信息存储在银行,假如银行的网络遭到攻击,私人信息可能会泄露,若补救不及时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。
2、在人才培养中,要注重加强与国外的经验技术交流,及时把握国际上最先进的安全防范手段和技术措施,加快立法进程,健全法律体系。
3、结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内答应标保的财产进行标保,并在出险后进行理赔。
4、进行网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。以创新的思想,建立具有中国特色的信息安全体系,建立统一的技术规范,把局部性的网络就进行互连、互通、互动。目前,国际上出现许多关于网络支付安全的技术规范、技术标准,目的就是要在统一的网络环境中保证在电子支付中的个人隐私信息的绝对安全。
(作者:新疆财经大学工商管理学院讲师, 中央财经大学信息学院博士生,研究方向:电子商务)
参考文献:
[1]吴阳波,林莹.谈我国网上支付的发展与存在的问题.集团经济研究,2007.
[2]江永波,等.电子商务中的网上支付问题讨论 .中国科技信息,2005.
[3]孙君.我国网上支付存在的问题与建议.江苏商论,2005.
[4]张伟,焦萍.网上支支付发展问题研究. 商场现代化,2005.
[5]张卓其.网上支付与网上金融服务.东北财经大学出版社,2006.