電子支付安全問習(xí)題分析

1、PAGE3一 電子支付安全問題分析 社會信用度欠缺,用戶對電子支付的安全性信心不足 據(jù)中國電子商務(wù)誠信狀況調(diào)查顯示,有%的企業(yè)和26. 34%的個人認(rèn)為電子商務(wù)最讓人擔(dān)心的是誠信問題,電子商務(wù)的誠信已經(jīng)成為公眾和企業(yè)最關(guān)注的問題之一。目前，在網(wǎng)上傳得沸沸揚揚的“江西精彩生活”利用傳銷電子商務(wù)“外衣”拉人事件就給了人們不良印象，唐慶南創(chuàng)辦開通的太平洋直購官方網(wǎng)站，以“收取保證金”“購物返利”等形式推出了涉及供應(yīng)商、渠道商、消費者和電子商務(wù)平臺四方的BMC模式。以“拉人頭”“收取入門費”等方式發(fā)展渠道商，收取保證金，獲取非法利益，造成了嚴(yán)重的社會危害，涉嫌傳銷違法犯罪。這一案例使得人們對于網(wǎng)上交易

2、又開始望而卻步。 電子支付產(chǎn)業(yè)發(fā)展迅速,但市場秩序仍不規(guī)范 隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)上金融服務(wù)在世界范圍內(nèi)部如火如荼地開展了起來。2010年，江西省農(nóng)村信用社網(wǎng)上銀行-“百福網(wǎng)上銀行”正式開通，江西省農(nóng)村信用社發(fā)放的百福借記卡數(shù)量增長明顯，同時積極與第三方機構(gòu)合作，成功開發(fā)多功能受理終端并快速實現(xiàn)投放和應(yīng)用，有效滿足了江西省農(nóng)村信用社持卡用戶和中小商戶的支付需求。與以往相比,用戶可選擇的支付手段和方式豐富了許多。 然而,電子支付的巨大市場前景與目前整體產(chǎn)業(yè)環(huán)境形成較大落差,造成了這一產(chǎn)業(yè)方向不明的現(xiàn)狀。目前國內(nèi)有關(guān)法律法規(guī)對電子支付的權(quán)利和義務(wù)規(guī)定不清晰,缺乏網(wǎng)絡(luò)消費和服務(wù)權(quán)益保護管理規(guī)則,沒

3、有專門的法律來規(guī)范網(wǎng)絡(luò)銀行的經(jīng)營和使用。特別是在客戶信息披露和隱私權(quán)保護方面,還缺乏比較成熟的經(jīng)驗。第三方支付企業(yè)的法律性質(zhì)的定位問題;第三方支付企業(yè)是否具備向用戶提供電子支付服務(wù)的資質(zhì)與能力的問題;銀行與第三方支付機構(gòu)對電子支付過程中應(yīng)當(dāng)采取哪些風(fēng)險防范的問題;在電子支付過程中發(fā)生糾紛時責(zé)任的劃分與舉證責(zé)任的認(rèn)定問題等。另外,我國網(wǎng)絡(luò)銀行的信息跟蹤、檢測、信息報告交流制度的相關(guān)法律規(guī)則都未建立,在利用網(wǎng)絡(luò)簽訂經(jīng)濟合同、提供金融服務(wù)和保護銀行與客戶雙方權(quán)利的過程中存在諸多尚待改進(jìn)之處。 網(wǎng)絡(luò)侵權(quán)行為和網(wǎng)絡(luò)信息惡意被盜行為時有發(fā)生 網(wǎng)絡(luò)侵權(quán)行為主要有: (1)互聯(lián)網(wǎng)服務(wù)提供商(ISP Inter

4、net ServiceProvider)的侵權(quán)行為。例如:ISP把其客戶的郵件轉(zhuǎn)移或關(guān)閉,造成客戶郵件丟失、個人隱私、商業(yè)秘密泄露。 (2)互聯(lián)網(wǎng)內(nèi)容提供商( ICP InternetContent Provider)的侵權(quán)行為。ICP是通過建立網(wǎng)站向廣大用戶提供信息,如果ICP發(fā)現(xiàn)明顯的公開宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散, ICP構(gòu)成侵害用戶隱私權(quán)。 (3)網(wǎng)絡(luò)信息惡意被盜,這個問題直接關(guān)系到交易各方的利益。買方存在信用卡密碼被盜或泄露從而導(dǎo)致資金流失的風(fēng)險,商家弄虛作假從而導(dǎo)致買方已付款卻收不到貨的局面;賣方存在未能識別電子偽鈔進(jìn)而向不真實的買主交貨,導(dǎo)致“錢貨兩空”的風(fēng)險;銀

5、行則存在向虛假商家兌現(xiàn)后因買方收不到貨從而拒付的風(fēng)險,買方、賣方和銀行都面臨著巨大的風(fēng)險。網(wǎng)上交易所能帶來的巨大機遇和豐厚利潤也無時無刻不在吸引著那些喜歡冒險的絡(luò)入侵者,今年央視315晚會曝光的網(wǎng)盜揭示了一個可怕的事實:地下木馬產(chǎn)業(yè)正通過灰鴿子、上興遠(yuǎn)控、Ghost木馬等各種“肉雞”控制工具,瘋狂侵蝕著互聯(lián)網(wǎng)安全甚至財富。隨著“網(wǎng)上大盜”數(shù)量的不斷增多,這一黑色產(chǎn)業(yè)也在不斷壯大和分工。目前已經(jīng)發(fā)展為包括木馬制造、木馬傳播、密碼竊取、洗錢等環(huán)節(jié)在內(nèi)的完整產(chǎn)業(yè)鏈形態(tài)。根據(jù)360安全中心的監(jiān)測數(shù)據(jù),央視所揭露的僅為木馬產(chǎn)業(yè)的冰山一角:整個地下木馬產(chǎn)業(yè)從業(yè)人員已接近百萬的規(guī)模,光是2008年就制造種旨

6、在盜號、竊取隱私、抓“肉雞”的木馬9743122種,目前全國的“肉雞”最少有400萬臺,如果黑客大規(guī)模操縱起來,會造成極大的社會危害。 二 電子支付安全的防范 提高電子支付安全性的對策為推動電子支付的健康發(fā)展,提高電子支付的安全性,需要從以下范圍構(gòu)筑防范體系: 構(gòu)建嚴(yán)密的電子支付監(jiān)管體系 由于我國對電子支付提供商監(jiān)管的缺失,少數(shù)第三方電子支付企業(yè)在處理電子商務(wù)過程中龐大的資金流時,突破經(jīng)營限制,從事吸收存款等違法活動。構(gòu)建安全高效的電子支付流程監(jiān)管體系,可以對電子支付服務(wù)提供商進(jìn)行有效的管理和控制,以防范與電子支付相關(guān)的金融風(fēng)險。需要從以下幾方面入手: (1)嚴(yán)格制定電子商務(wù)的準(zhǔn)入機制 (2)

7、電子支付大額資金流監(jiān)測 (3)建立反洗錢系統(tǒng) (4)加強賬戶管理。 在實際生活中從事贏利性的行為都需要營業(yè)執(zhí)照,但目前電子商務(wù)卻在這方面比較寬松,很多中小企業(yè)和個人商戶并無營業(yè)執(zhí)照,使得消費者難以確認(rèn)身份, 商品質(zhì)量也沒有保障,應(yīng)該加快步伐通過立法,嚴(yán)格電子支付提供商的準(zhǔn)入機制。 構(gòu)建覆蓋全社會范圍的信用評估體系 調(diào)查表明, 64. 2%的公眾和71. 1%的企業(yè)在網(wǎng)上交易時會查看賣方的信用評價,企業(yè)信用狀況無疑是解決電子商務(wù)誠信問題的一個很大因素,但目前我國還沒有一個權(quán)威公正的信用體系。為促進(jìn)電子商務(wù)快速健康發(fā)展,構(gòu)建安全高效的電子支付信用評估體系,需要從以下幾方面入手: 信用評估指標(biāo)體系的

8、制定與研究、建立支付信用信息系統(tǒng)、落實賬戶實名制。制定相關(guān)統(tǒng)一的第三方支付標(biāo)準(zhǔn),實現(xiàn)與傳統(tǒng)支付清算的對接,采用類似銀聯(lián)的模式,解決用戶、商家、銀行之間的相互選擇問題,提供透明、便利的電子支付服務(wù)。建設(shè)為政府管理部門金融機構(gòu)和社會公眾提供支付信用信息特別是票據(jù)信用信息查詢服務(wù)的支付信用信息系統(tǒng),為落實賬戶實名制,可與公安部合作,建設(shè)聯(lián)網(wǎng)核查公民身份信息轉(zhuǎn)接平臺,面向全國所有的商業(yè)銀行提供公民身份信息核查、查詢功能。在此之上,繼續(xù)研究電子支付信用數(shù)據(jù)交換模型和網(wǎng)絡(luò)服務(wù)方案,結(jié)合目前人民銀行的征信體系數(shù)據(jù),客觀、公正、全面地提供電子信用評價服務(wù),完善信用評價指標(biāo)體系,設(shè)計與其他相關(guān)系統(tǒng)和部委之間的網(wǎng)

9、絡(luò)服務(wù)平臺,設(shè)計數(shù)據(jù)交換模型,制定與其他相關(guān)誠信系統(tǒng)互聯(lián)互通的服務(wù)方案。 完善網(wǎng)絡(luò)信息安全技術(shù) 通過因特網(wǎng)上進(jìn)行電子支付,確保網(wǎng)上帳戶和個人信息的安全性,還可以通過網(wǎng)絡(luò)信息安全技術(shù)來實現(xiàn).網(wǎng)絡(luò)安全技術(shù)主要從以下幾方面來解決電子支付安全性問題: (1)架設(shè)防火墻。它是近來發(fā)展的最重要的安全技術(shù),它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。 (2)數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數(shù)據(jù)加密原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保

10、數(shù)據(jù)的保密性。 (3)數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。 (4)數(shù)字時間戳技術(shù)。在電子商務(wù)交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標(biāo)記,即有數(shù)字時間戳數(shù)字簽名方案:驗證簽名的人或以確認(rèn)簽名是來自該小組,卻知道是小組中的哪一個人簽署的。指定批準(zhǔn)人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。 (5)

11、還可以通過設(shè)置電子商務(wù)信息安全協(xié)議來進(jìn)行?，F(xiàn)有的電子商務(wù)交易協(xié)議有多種,但是目前常用的只有SSL和SET兩種。安全套接層協(xié)議(Secure Sockets Layer, SSL),SSL協(xié)議向基于TCP/IP的客戶、服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。安全電子交易公告(Secure Elec-tronicTransactions, SET)。SET是為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認(rèn)證的前提下,又增加了對商家身份的認(rèn)證。P2P(Peer-to-Peer,即對等網(wǎng)絡(luò))技術(shù)是近年來廣受IT業(yè)界關(guān)注的網(wǎng)絡(luò)安

12、全技術(shù)。P2P是一種分布式網(wǎng)絡(luò),最根本的思想,在于網(wǎng)絡(luò)中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務(wù),同時,又是資源或服務(wù)的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡(luò)中每一個節(jié)點所擁有的的權(quán)利和義務(wù)都是對等的,包括通訊、服務(wù)和資源等電子支付安全問題分析與對策費。在P2P中,系統(tǒng)要求每個匿名用戶同時也是服務(wù)器,為其他用戶提供匿名服務(wù)。由于信息的傳輸分散在各節(jié)點之間進(jìn)行而無需經(jīng)過某個集中環(huán)節(jié),用戶的隱私信息被竊聽和泄漏的可能性大大縮小。P2P系統(tǒng)的另一個特點是攻擊者不易找到明確的攻擊目標(biāo),在一個大規(guī)模的環(huán)境中,任何一次通信都可能包含許多潛在的用戶。P2P中,所有的通訊參

13、與者都可以提供中繼轉(zhuǎn)發(fā)的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。 構(gòu)建統(tǒng)一的電子支付安全認(rèn)證平臺 為確保電子支付信息的真實性,還需要有相應(yīng)的電子商務(wù)認(rèn)證機構(gòu),為買賣雙方提供值得信任的認(rèn)證服務(wù)。為電子支付業(yè)務(wù)應(yīng)用提供保障的安全認(rèn)證技術(shù)在我國已經(jīng)了較好的研究與應(yīng)用。 我國自主研制出入侵容忍PKI系統(tǒng)、PMI權(quán)限管理系統(tǒng)、電子證書認(rèn)證系統(tǒng)、PKI中間件等一批認(rèn)證產(chǎn)品和支撐系統(tǒng)。這些技術(shù)和產(chǎn)品在在人民銀行多個主要業(yè)務(wù)系統(tǒng)中得到應(yīng)用。CFCA證書及各商業(yè)銀行的CA證書已經(jīng)在銀業(yè)務(wù)領(lǐng)域得到廣泛應(yīng)用。 加強電子支付的立法工作 我國對電子商務(wù)的立法還是很積極的,目前我國的相關(guān)法律有電子簽名法、支