电子商务网上支付的安全问题研究
摘 要
随着我国信息化产业的迅速发展,电子商务产业在阿里巴巴、京东、1号店等主流电子商务公司的驱动下,电子商务已经深入国民经济和百姓日常生活的各个方面。但是,产业快速发展的同时人们对网上支付安全问题表示担忧,作为电子商务交易过程中最重要的环节之一,其安全问题也就越来越受到人们的重视。本文从网络环境、系统安全、身份认证和社会环境等方面综合的对网上支付安全问题进行了研究,通过对现阶段网上支付出现的安全问题进行了分析,提出了解决这些安全问题的应对措施,保障网上支付的安全,促进我国电子商务产业持续健康的发展。
关键词:网上支付安全;信息安全技术;安全管理;支付安全问题及对策
目 录
一、电子商务网上支付的概述....................................................................................................... 3
(一)电子商务....................................................................................................................... 3
(二)网上支付....................................................................................................................... 3
1、网上支付方式 ............................................................................................................. 3
(三)电子商务网上支付安全现状 ....................................................................................... 3
二、电子商务网上支付存在的安全问题 ....................................................................................... 4
(一)网络环境安全问题 ....................................................................................................... 4
(二)系统安全问题............................................................................................................... 4
(三)身份安全问题............................................................................................................... 6
(四)社会环境问题............................................................................................................... 6
三、电子商务网上支付安全问题的应对措施 ............................................................................... 7
(一)提高网上支付的安全性 ............................................................................................... 7
(二)建立社会诚信体系 ....................................................................................................... 7
(三)加强安全意识的教育和宣传 ....................................................................................... 7
(四)完善法律法规体系 ....................................................................................................... 8
(五)社会道德的规范 ........................................................................................................... 8
四、结束语 ...................................................................................................................................... 8
五、参考文献: .............................................................................................................................. 8
一、电子商务网上支付的概述
(一)电子商务
电子商务源于英文Electronic Commerce,简写为EC。电子商务通常是指是在全球各地广泛的商业贸易活动中,在互联网环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。
(二)网上支付
网上支付是电子支付的一种形式,它是通过第三方提供的与银行之间的支付接口进行的即时支付方式,这种方式的好处在于可以直接把资金从用户的银行卡中转账到网站账户中,汇款马上到账,不需要人工确认。客户和商家之间可采用信用卡、电子钱包、电子支票和电子现金等多种电子支付方式进行网上支付,采用在网上电子支付的方式节省了交易的开销。
1、网上支付方式
1.1 网银支付
直接通过登录网上银行进行支付的方式。要求:开通网上银行之后才能进行网银支付,可实现银联在线支付,信用卡网上支付等等,这种支付方式是直接从银行卡支付的。
1.2第三方支付
第三方支付本身集成了多种支付方式,流程如下:
1、将网银中的钱充值到第三方。
2、在用户支付的时候通过第三方中存款进行支付。
3、花费手续费进行提现。第三方的支付手段是多样的,包括移动支付和固
定电话支付。
最常用的第三方支付是支付宝、财付通、易宝支付、快钱、网银在线等,其中做为独立网商或有支付业务的网站而言,最常选择的不外乎支付宝、易宝支付、快钱这三家。
主要是以支付宝为代表的信用担保型第三方支付平台。此种形式的第三方支付过程是买家在通过在线支付在网上把钱付给支付宝公司,支付宝收到货款之后通知卖家发货,等买家收到货物之后再通过确认收货通知支付宝,支付宝才把钱转到卖家的账户上。在整个交易过程中,如果出现欺诈行为,平台提供方将进行赔付。这种第三方代收款制度,不仅保证了双方资金的安全,还可担任货物的信用中介,从而约束交易双方行为,在一定程度上提高了消费者对网上购物的可信度,大大减少了网络交易欺诈行为。
(三)电子商务网上支付安全现状
随之电子商务的快速发展,现如今,网上购物已经成为大众消费者的购物选择之一,逐渐成为消费的主流。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险
的可能。电子商务是在公开的网上进行的,支付信息、订货信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理,由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还可能受到计算机病毒感染,这使得电子商务安全问题面临着严重的威胁,电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,我国正处于信用卡传统支付方式的推进以及银行卡互联网支付系统推进并行发展的阶段。虚拟帐户方案已经在各类电子服务公司中得到广泛的应用,但各网站推出的虚拟货币、帐户几乎都是在各自的网站内使用,缺少网站间成熟的流通机制,网民的数量以及消费规模已经形成了一定的市场需求,但还没有足够的动力促使此类支付系统走向成熟与深入应用。
电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,由此可见,随着电子商务日益普及,电子商务网上支付安全问题显得异常突出,安全隐患已成为电子商务发展的严重阻碍,解决支付安全问题已成为我国电子商务产业发展的当务之急。
二、电子商务网上支付存在的安全问题
(一)网络环境安全问题
电子商务的基础是网络,而网络的物理支撑是各种硬件设施,这些硬件设施会由于各种原因带来安全风险。计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响以及人为的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络检测及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。
(二)系统安全问题
对于任何一个系统来说安全都是相对的。作为系统管理者要始终保持敏锐的洞察力,针对出现的隐患和问题不断研究相应的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度
的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。尽管网上支付发展普遍被人看好,但近来暴露出来的一些网上安全问题仍然使网上支付蒙上了阴影。
美国《电脑安全威胁报告》显示,目前美国制造的恶意电脑攻击数量远超过其它任何一个国家。以下是典型的几类系统安全问题:
1、不安全的根源
不法之徒通过设立仿冒网站、发送伪造电子邮件甚至利用电脑病毒等手段,骗取用户的银行账户、密码等信息。 2
大部分公司和个人受到网络攻击的主要原因是密码政策管理不善,大部分用户所用的密码是字典中可查到的普通单词姓名或者其他简单的密码,有80%的用户在所有网站上使用的都是一个密码或者有限的几个密码。
许多攻击者还会使用一些软件破解一些安全性密码。因此建议客户使用复杂密码,降低被病毒破解的可能性提高计算机系统的安全性。需要注意:一是不要把密码设置成为姓名,普通单词,电话号码生日等简单密码;二是结合大小写字母,数字共组密码;三是密码数字要尽量大于9位。
3、网络钓鱼
“网络钓鱼”是近来出现的一种比较典型的诈骗方式,顾名思义,就是骗子利用一些不被人注意的诱饵,来骗取用户的账号和密码,从而坐收渔翁之利。通常骗子都是利用向别人发送垃圾邮件,将受害者引导到一个假的网站,这个假网站会做得与某些电子银行网站一模一样,粗心的用户往往会将自己的账户和密码送到骗子那里。
4、
现今流行的很多木马病毒都是专门用于盗窃网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现客户正在登陆网上银行,直接记录键盘上所输入的账号,密码,或者弹出伪造的对话框,诱骗用户输入用户名和密码,然后通过邮件将截取的信息发送出去。比如:“鸡尾酒钓鱼术”更让人防不胜防。与使用仿冒站点和假链接行骗的“网络钓鱼”不同,“鸡尾酒钓鱼术”直接利用真的银行站点行骗,即使是有经验的用户也可能会陷入骗子的陷阱。据光华反病毒中心的专家介绍,“鸡尾酒钓鱼术”是通过用户点击邮件中包含这种技术的链接触发。当用户点击邮件中的链接以后,的确能登录网上银行的正常站点,但是骗子的恶意代码会让网上银行的站点上出现一个类似登录框的弹出窗口,毫无戒心的用户往往会在这里输入自己的账号和密码,而这些信息就会通过电脑病毒发送到骗子指定的邮箱中。由于骗子利用了客户端技术,银行方面也很难发现自己的站点有异常。
5、信息破坏与篡改
信息破坏既包括网络硬件和软件的问题而导致信息传递的丢失与谬误,也包括一些恶意程序而导致的电子商务信息遭到破坏。由于攻击者可以接入网络,攻
击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性,其后果是非常严重的。
6、交易抵赖
传统的交易方式是通过手写签名和印章来完成交易,而电子商务则是通过网络来完成,这就容易造成交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息、收信者事后否认曾经收到过某方面的消息,或是购买者做了定货单不承认,商家因价格差异而否认原有的交易等。
(三)身份安全问题
1、卖方面临的信息安全威胁主要有:恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。
2、买方面临的信息安全威胁主要有:发送的商务信息不完整或被篡改,用户无法收到商品;用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏,计算机设备发生故障导致信息丢失。
3、窃取假冒他人身份
在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,有些人会以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会容易被人窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
4、网上安全认证机构(CA)建设混乱
在网络上,为了完成交易,交易双方的身份都必须通过第三方得到确认,电子商务认证机构由此产生。电子认证机构的职责是核实使用者的身份.负责电子证书的发放管理.及时公布无效的证书。
(四)社会环境问题
1、法律环境
电子商务是一种新型的商务,缺少电子合同和网上契约的效力、纳税、隐私或产权的保护的等法律法规,由此衍生了新的法律问题,例如交易纠纷的仲裁等问题,而目前我国的有关电子商务的法律法制体制体系还不够完善。急需要出台
相应的法律来保障消费者和企业的权益。由于电子商务发展较快,我国有关的立法工作还没有来的及跟上电子商务发展的脚步,显得落后,出现了法律空白,使许多电子商务纠纷的无法可依,这成为电子商务中一个重要安全隐患。
2、缺乏诚信体系
诚信经营是经济贸易的前提条件。正是由于电子商务的开放性、虚拟性,交易双方不直接见面,真实身份的确认等方面都存有很大困难。因此,对于电子商务而言,信用风险远较传统交易发生的概率相当大。我国电子商务目前主要就是缺乏诚信,因为整个社会信用体系不完善,这使得利用互联网进行商务交易的企业和个人带来不可预料的风险。例如商业欺诈、交易信息泄露、个人隐私问题、商业信用问题、是否真实交易等。其典型表现为:消费者在网上看到的商品和实际收到的商品有明显区别;有质量问题的商品不能顺利退回,而且有可能损失邮费;网上支付存在不安全的风险。
三、电子商务网上支付安全问题的应对措施
(一)提高网上支付的安全性
提高网上支付的安全性,必须采取必要的措施加以防范。从技术上、支付工具上,从风险措施上、防范措施,全方位、多层次提供安全的保障手段。在通信连接方面,可以使用防火墙、代理服务器、虚拟专用网络{VPN)等技术;在鉴别和认证方面,可以采取加密和认证技术。利用加密技术保证电子商务支付的机密性。利用数字签名技术保证电子商务支付的真实性、完整性。
(二)建立社会诚信体系
网上交易的诚信是我国发展电子商务的巨大障碍,我们要全面提升商业信用,积极建立诚信长效机制。一是通过宣传教育、社会舆论、借鉴国外经验等各种措施全面强化信用观念,树立市场经济是信用经济的观念,为电子商务的发展构建起码的信用基础;二是政府应发挥组织指导的优势,为电子商务的运行建立公平的交易平台,建立统一的、权威的、全国性的证书管理机构(CA)认证中心;三是研究网上支付市场规则,解决好网上支付法律滞后和业务监管薄弱的问题,任何行业规范发展离不开配套的法律法规正确指引和业务监管,随着近年来电子商务的发展,网上支付领域出现一些新的交易形式,针对网上支付业务法律法规建设以及业务监管也提出新的要求和挑战,需要相关法律法规的配套和规范的操作,建立覆盖全社会的支付信用网络系统,完善信用认证的保险制度。
(三)加强安全意识的教育和宣传
一是强化上网人员的信息安全意识,让上网人员认识到网络支付安全是电子商务的核心保障,普及电子商务的安全知识,提高用户的安全意识。二是积极组织培养电子商务网上支付领域的人才,促进网上支付的技术保障和创新发展;三是在使用网络过程中,不要使用简单的密码,不要轻易打开邮件附件,禁用IE的自动完成功能,不要轻易安装和运行下载的软件和来历不明的软件,定期升级系统,使用防火墙,禁止文件共享,系统后门和安全补丁,进行身份认证。
(四)完善法律法规体系
电子商务法律法规是市场经济条件下电子商务活动顺利进行的根本保障。由于电子商务的飞速发展,所遇到的法律问题随着信息技术的发展而不断呈现。因而,结合我国实际,不断的建立健全电子商务相关法律法规,构建有利于促进我国电子商务健康发展的法律体系,达到规范交易程序和行为、保障交易公平和安全、清晰界定责任的法律功效。保证电子合同和数字签名的法律地位。签约双方对电子合同的认可、电子合同的不可否认或修改,确保电子合同能够得以实施。
(五)社会道德的规范
由于电子商务中交易双方不是直接面对面的特点,传统交易过程中屡屡出现的欺诈行为势必会对电子商务产生安全方面的影响。所以,电子商务的健康发展有赖于社会道德规范的建立和完善。
四、结束语
电子支付的安全保障是一个复杂的系统工程,它涉及诸如法律法规、技术、设备、管理制度等方面。要想发展电子商务,就一定要保证其安全性。一个安全的电子商务系统既要建立病毒及黑客防范技术、防火墙技术保证其计算机系统不受非法攻击;而且要通过加密技术的结合解决商务活动中的身份认证、数据加密、数据签名等问题;同时还要有配套的法律制度和管理制度来加以制约和规范,只有这样才能构建电子商务的网上支付安全体系,从而保障电子商务的持续发展,相信未来的网上交易会越来越安全。
五、参考文献:
[1] 帅青红.网上支付与安全.北京:北京大学出版社,2010
[2] 刘英卓.电子商务安全与网上支付.北京:电子工业出版社,2010
[3] 胡伟雄.电子商务安全技术.北京:华中师范大学出版社,2011
[4] 屈武江.电子商务安全与支付技术.北京:中国人民大学出版社,2013
[5] 沈美莉.电子商务信息安全技术.北京:机械工业出版社,2011
[6] 肖德琴.电子商务安全保密技术与应用.广州:华南理工大学出版社,2008
[7] 刘建国.电子商务安全管理与支付.上海:立信会计出版社,2011
[8] 曾子明.电子商务安全与支付.北京:科学出版社,2008
[9] 沈美莉.电子商务信息安全技术.北京:机械工业出版社,2011
[10] 胡伟雄.电子商务安全与认证.北京:高等教育出版社,2011