網(wǎng)上支付安全措施8篇

時間：2024-02-22 14:41:56

緒論：在尋找寫作靈感嗎？愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)上支付安全措施，愿這些內(nèi)容能夠啟迪您的思維，激發(fā)您的創(chuàng)作熱情，歡迎您的閱讀與分享！

篇1

支付安全受到各方重視安全措施頻頻亮相

不只是支付企業(yè)重視支付安全，最近，銀行方面也加強(qiáng)了網(wǎng)上支付安全方面的投入，相繼推出的各項措施都十分引人注目。

9月19日，招商銀行安全通告，2007年9月20日對安全控件進(jìn)行升級。

2007年11月1日，中國農(nóng)業(yè)銀行正式推出一款保障電子銀行安全的新產(chǎn)品――動態(tài)口令卡，還特別推出口令卡免費領(lǐng)取活動。

2007年10月11日，中國工商銀行了關(guān)于預(yù)防在線支付網(wǎng)頁詐騙資金的安全提示，提醒人們注意識e不法分子通過即時聊天工具、電子郵件等向客戶的虛假信息。

此外，中國人民銀行副行長蘇寧也指出，“人民銀行非常關(guān)注網(wǎng)上貨幣的發(fā)展，正在研究各種措施，使它規(guī)范運行，既給企業(yè)、居民提供一個良好的新的支付工具，同時又防范風(fēng)險，保護(hù)老百姓權(quán)益。”

支付安全受到如此重視，一方面是因為電子商務(wù)蓬勃發(fā)展，網(wǎng)上支付已經(jīng)成為人們生活中的重要工具；另一方面，則是因為支付安全仍然是阻礙人們使用網(wǎng)上支付的主要因素。《2007中國消費者網(wǎng)上支付應(yīng)用調(diào)查報告》調(diào)查表明，61.7％的被訪者在進(jìn)行網(wǎng)上購物時首選網(wǎng)上支付，79.5％的被訪者認(rèn)為安全或便捷是影響網(wǎng)上支付主要因素。安全、便捷的支付方式，成為當(dāng)前網(wǎng)上支付市場主要的需求點。

網(wǎng)上盜號風(fēng)起云涌網(wǎng)上犯罪或進(jìn)入高發(fā)期

近年來國內(nèi)網(wǎng)上支付市場交易額增長迅猛，2007年Q3中國第三方網(wǎng)上支付市場交易額達(dá)到了255億元，但是網(wǎng)上盜號也是風(fēng)起云涌。中國金融認(rèn)證中心總經(jīng)理李曉峰說，網(wǎng)銀在給公眾和企業(yè)帶來方便的同時，也引起了不法分子的窺視。“過去針對網(wǎng)上銀行犯罪的黑客，開始是非獲利性質(zhì)的，但現(xiàn)在正向獲利性、團(tuán)伙性和產(chǎn)業(yè)化方向發(fā)展，網(wǎng)上銀行的犯罪分工日漸細(xì)化。如果一個領(lǐng)域犯罪的分工細(xì)化到這個程度，這個領(lǐng)域就可能進(jìn)入一個犯罪的高發(fā)期。”因此，及時制定安全保護(hù)措施是當(dāng)前網(wǎng)上支付工作的重中之重。

業(yè)內(nèi)人士指出，要避免這些問題，需要各方面的協(xié)同配合：銀行方面要采取足夠的安全手段，或者根據(jù)不同用戶特點、交易特點提供不同的安全手段；政府需要加強(qiáng)行業(yè)監(jiān)管，盡快頒布實施相應(yīng)法規(guī)，用戶則需要提高安全保護(hù)意識等；但是最直接、最有效的措施還是從技術(shù)上進(jìn)行防護(hù)。

安全保護(hù)出現(xiàn)三大類型安全技術(shù)完成三級跳

目前，人們使用的安全保護(hù)技術(shù)主要分為三大類：一類就是最初出現(xiàn)的動態(tài)密碼，現(xiàn)在已經(jīng)普遍為各類網(wǎng)站采用；第二類就是數(shù)字簽名、數(shù)字證書，例如建行推出的UKEY、支付寶推出的數(shù)字證書等；第三類是硬件保護(hù)措施，例如工行推出的U盾、快錢推出的快錢盾等；三類保護(hù)技術(shù)的安全系數(shù)基本上呈遞增關(guān)系。此外，剛剛開始應(yīng)用的生物特征識別技術(shù)也值得關(guān)注，但目前其安全系數(shù)還比較難確定。

動態(tài)密碼作為基礎(chǔ)的保護(hù)措施，能防止最基本的暴力破解，但是也基本處于不斷變換外表、防止機(jī)器識別的狀態(tài)。

數(shù)字證書被認(rèn)為是目前安全級別相當(dāng)高的保護(hù)措施，但是并非無懈可擊，數(shù)字證書的使用都是在用戶登陸支付頁面時下載并安裝，防御手法還是被動式防止破解。安全專家分析說，手段高明的駭客仍舊可以截獲用戶沒有來得及發(fā)出的數(shù)據(jù)。

U盾等的推出是對數(shù)字證書的一項提升，它將密鑰存儲于安全介質(zhì)之中，無法從外部直接讀取，對密鑰文件的讀寫和修改都必須由內(nèi)部的程序調(diào)用。但是由于與網(wǎng)絡(luò)直接接觸，還是要防止更加高端的暴力破解技術(shù)攻擊。

不久前，快錢為嚴(yán)防木馬和黑客，推出了國內(nèi)第一款硬件安全設(shè)備“快錢盾”，將安全保護(hù)措施提升到了新的層次，也完成了支付安全保護(hù)措施――動態(tài)密碼、數(shù)字證書、硬件保護(hù)產(chǎn)品的三級跳。

篇2

[關(guān)鍵詞] 電子商務(wù) 第三方支付安全性

在電子商務(wù)中，網(wǎng)上交易的支付問題的安全性問題越來越突出，為確保顧客在購買東西的時候不會錢財兩空，一種新的支付方式――第三方支付出現(xiàn)了，第三方支付平臺的出現(xiàn)解決了電子商務(wù)的瓶頸――網(wǎng)上支付信用與安全問題,充當(dāng)商家與消費者之間的信用紐帶,作為交易各方與銀行的接口,消除消費者對商家的疑慮，提供方便快捷簡易的支付方式,在很大程度上推動了電子商務(wù)的發(fā)展。

那么，第三方支付具體指的是什么呢？所謂第三方支付，是指為了保障電子商務(wù)的支付安全，支付通過買賣雙方之間完全中立的一家企業(yè)來完成。用E-mail來進(jìn)行網(wǎng)上支付；打個電話報上信用卡號就能預(yù)訂機(jī)票；用手機(jī)上網(wǎng)交水費電費游戲費……在中國人還沒有完全適應(yīng)從紙制貨幣進(jìn)化到“塑膠貨幣”（信用卡）的今天，網(wǎng)絡(luò)銀行、手機(jī)錢包等第三方支付工具已經(jīng)迫不及待地登場了。

近日，有媒體報道，有網(wǎng)民利用三方支付工具從信用卡套現(xiàn)。就此，該文進(jìn)而對第三方支付的安全性問題提出質(zhì)疑，認(rèn)為電子支付有可能被金融犯罪分子所利用，充當(dāng)其洗錢的工具。且不管該文提到的套現(xiàn)現(xiàn)象是否屬于依然在可控范圍內(nèi)的小概率事件，也不提所謂的套現(xiàn)行為是否緣于第三方支付的安全漏洞，單就所謂洗錢的擔(dān)心而論，可以說，該文是嚴(yán)重低估了央行以及各商業(yè)銀行的風(fēng)險控制能力，也大大低估了各大第三方支付公司的風(fēng)險把控能力。

實際情況是，早在1996年4月1日，中國人民銀行就頒布并實施了《信用卡業(yè)務(wù)管理辦法》，其中明確規(guī)定，持卡人不允許利用信用卡套取現(xiàn)金以及惡意透支。對于信用卡套現(xiàn)這個問題，不光招商銀行等商業(yè)銀行關(guān)注有加，第三方支付公司支付寶、貝寶等亦是小心翼翼，如履薄冰，先后出臺了多項嚴(yán)格的風(fēng)險控制系統(tǒng)，協(xié)助銀行解決問題。

在如何對待信用卡套現(xiàn)的問題上，國內(nèi)領(lǐng)先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。

例如，PAYPAL(貝寶)在防止盜號、提供密碼加密以及減少信用卡套現(xiàn)等方面，已經(jīng)配合銀行做了大量工作;快錢除了從技術(shù)手段上防范盜卡之外，還在安全方面加設(shè)了用戶的認(rèn)證系統(tǒng)等六道功能，試圖將安全隱患壓低到最小程度。

作為國內(nèi)最大的第三方支付平臺，支付寶的做法就更為完備。早在2006年7月，支付寶就推出“支付寶認(rèn)證”服務(wù)，對所有使用支付寶的賣家進(jìn)行雙重身份認(rèn)證，即身份證認(rèn)證和銀行卡認(rèn)證。除了與公安部全國公民身份證號碼查詢服務(wù)中心合作校驗身份證的真?zhèn)危Ц秾氝€與各大商業(yè)銀行進(jìn)行合作，利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準(zhǔn)確，摒棄了某些購物網(wǎng)站僅憑一個手機(jī)號碼或者身份證號碼進(jìn)行簡單認(rèn)證的模式。支付寶公司還在國內(nèi)率先推出了“全額賠付”制度和交易安全基金，網(wǎng)絡(luò)欺詐發(fā)生率僅為萬分之二。

為了保證支付寶的安全性，支付寶技術(shù)團(tuán)隊還自發(fā)研制了數(shù)字證書，其安全性能得到各銀行認(rèn)同。相對于目前國內(nèi)所有第三方認(rèn)證公司采用的認(rèn)證形式，支付寶的數(shù)字證書從技術(shù)上擺脫了普通6位密碼驗證，改以1024位加密的數(shù)字簽名技術(shù)，因而更為安全。而數(shù)字密碼的惟一性，也更有助于客戶身份的識別。

央行的《電子支付指引》規(guī)定，銀行通過互聯(lián)網(wǎng)為個人客戶辦理電子支付業(yè)務(wù)，除采用數(shù)字證書、電子簽名等安全認(rèn)證方式外，單筆金額不應(yīng)超過1000元人民幣，每日累計金額不應(yīng)超過5000元人民幣，并規(guī)定信用卡的網(wǎng)上支付不得超過提現(xiàn)額度。國內(nèi)目前沒有一家銀行和任何一家網(wǎng)上支付公司允許網(wǎng)上“單日支付額度由信用卡額度決定”。在這方面，支付寶也早已主動和和很多發(fā)卡銀行聯(lián)手，針對套現(xiàn)現(xiàn)象做了信用卡網(wǎng)上支付單筆限額的規(guī)定，例如，招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性，支付寶還有CTU風(fēng)險控制系統(tǒng)來隨時掃描和監(jiān)控交易的進(jìn)行，防范可能存在的盜卡及套現(xiàn)行為。

實際上，從2006年5月開始，支付寶就已委托中國工商銀行對支付寶公司開立在各家銀行的客戶交易保證金賬戶的余額進(jìn)行核查，工行并定期出具《支付寶客戶交易保證金托管報告》。這是中國銀行界第一次為第三方支付平臺做資金托管的審核報告，也是當(dāng)前唯一銀行愿意托管的第三方支付平臺。2006年12月8日，從工行對11月1日～11月30日期間所有發(fā)生的支付寶公司的客戶提現(xiàn)及余額支付進(jìn)行的抽查情況看，支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達(dá)款余額之和，報告期間內(nèi)未發(fā)現(xiàn)支付寶客戶交易保證金被挪用情況。

值得一提的是，截至目前工行、農(nóng)行都已經(jīng)開始把以支付寶為主的阿里巴巴中小企業(yè)信用體系作為他們給中小企業(yè)貸款的一個衡量指標(biāo);而浦東發(fā)展銀行等也看到了里面的巨大商機(jī)紛紛加入。

篇3

[論文摘要]在如何對待信用卡套現(xiàn)的問題上,國內(nèi)領(lǐng)先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。

在電子商務(wù)中，網(wǎng)上交易的支付問題的安全性問題越來越突出，為確保顧客在購買東西的時候不會錢財兩空，一種新的支付方式——第三方支付出現(xiàn)了，第三方支付平臺的出現(xiàn)解決了電子商務(wù)的瓶頸——網(wǎng)上支付信用與安全問題,充當(dāng)商家與消費者之間的信用紐帶,作為交易各方與銀行的接口,消除消費者對商家的疑慮，提供方便快捷簡易的支付方式,在很大程度上推動了電子商務(wù)的發(fā)展。

在如何對待信用卡套現(xiàn)的問題上，國內(nèi)領(lǐng)先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。

篇4

［關(guān)鍵詞］網(wǎng)上書店；信息安全；問題；對策

網(wǎng)上書店是電子商務(wù)的一種具體形式，它是企業(yè)通過在互聯(lián)網(wǎng)上開設(shè)網(wǎng)上書店，消費者通過網(wǎng)絡(luò)瀏覽圖書信息，并在網(wǎng)上下訂單，采用多種方式支付的一種經(jīng)營模式。網(wǎng)上書店利用信息技術(shù)，將出版者、供應(yīng)商、作者、讀者及其他相關(guān)環(huán)節(jié)如銀行、運輸業(yè)等聯(lián)系在一起，改變了圖書運作流程與交易模式。

目前以網(wǎng)上書店為代表的出版物在線銷售面臨著良好的發(fā)展機(jī)遇，隨著網(wǎng)上書店在我國的普及，其信息安全問題顯得尤為重要。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達(dá)到保守機(jī)密的目的。而互聯(lián)網(wǎng)是開放性的技術(shù)，網(wǎng)上書店則建立在這樣一個開放的網(wǎng)絡(luò)環(huán)境之中，很多人可以匿名、隱身連接在互聯(lián)網(wǎng)上，造成諸多不安全的因素，其中既有網(wǎng)絡(luò)自身的技術(shù)安全問題，比如病毒、黑客攻擊，還包括網(wǎng)上書店這一電子商務(wù)交易形式自身的眾多信息安全問題。

一、網(wǎng)上書店的信息安全問題

由于網(wǎng)絡(luò)的虛擬性，網(wǎng)上書店交易的雙方并不見面，其交易完全通過網(wǎng)絡(luò)進(jìn)行，網(wǎng)上書店的運營模式與傳統(tǒng)圖書發(fā)行相比在信息、購買支付、物流發(fā)送等環(huán)節(jié)更依托網(wǎng)絡(luò)手段。因此信息的真實性、可靠性受到特別的重視。目前在圖書信息的真實性、書商及購書客戶身份的合法性、網(wǎng)上支付購書費用信息的完整性與不可否認(rèn)性，特別是安全認(rèn)證問題和網(wǎng)上支付的安全性等方面都不能完全消除人們的疑慮。

對于網(wǎng)絡(luò)自身的技術(shù)安全問題，可以采用防火墻、防病毒、訪問控制和防攻擊等常用網(wǎng)絡(luò)安全措施來解決。而網(wǎng)上書店購書的安全問題主要來自于：購書客戶私人信息被截獲和竊取；購書物流中訂單信息的篡改；網(wǎng)上書商及購書客戶的信息假冒；購書交易網(wǎng)上的在線支付安全和支付抵賴等，都需要采取專門的措施來應(yīng)對。

二、網(wǎng)上書店信息安全問題的解決對策

1．加強(qiáng)個人身份驗證

通過對網(wǎng)上支付認(rèn)證手段的分析來看，身份確認(rèn)是信息安全的薄弱環(huán)節(jié)，而銀行的數(shù)據(jù)也表明支付否認(rèn)是發(fā)生交易爭議的主要原因。采用個人身份驗證技術(shù)能夠保護(hù)購書客戶私人信息及商務(wù)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸時不被竊聽、篡改、頂替及非法使用。認(rèn)證手段通常有4種：一是用戶名和密碼；二是動態(tài)密碼，分為有源動態(tài)密碼和無源動態(tài)密碼；三是多因子的論證，包括手機(jī)短信和個人信息等；四是證書認(rèn)證。

首先，在網(wǎng)上書店交易過程中，每個購書客戶都有自己獨有的用戶名和密碼，而在提交任何關(guān)于自己的敏感信息或私人信息尤其是信用卡號之前，一定要確認(rèn)數(shù)據(jù)已經(jīng)加密，并且是通過安全連接傳輸?shù)摹Ｙ彆蛻舻臑g覽器和web站點的服務(wù)器都要支持有關(guān)的工業(yè)標(biāo)準(zhǔn)，如set（secure electronic transaction）和ssl（secure sockets layer）等。在客戶購書下訂單確定以及付款，書商正式發(fā)書之后，購書系統(tǒng)都應(yīng)該有實時的手機(jī)短信提醒，雙方進(jìn)一步確認(rèn)。

其次，采用數(shù)字證書身份認(rèn)證加上口令加密的雙因子身份認(rèn)證技術(shù)。每個購書客戶可申請一張數(shù)字證書，上網(wǎng)進(jìn)行賬戶查詢時，網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法，然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機(jī)，對口令再次進(jìn)行認(rèn)證。當(dāng)服務(wù)器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。作為一個安全的網(wǎng)上購書系統(tǒng)，需要由一個權(quán)威的第三方擔(dān)任信用認(rèn)證機(jī)構(gòu)來確認(rèn)買賣雙方的身份，即電子商務(wù)的安全證書認(rèn)證中心（ca中心）。 ca中心的作用在于確保網(wǎng)上交易合同的有效性，確保交易內(nèi)容、交易雙方賬號、密碼不被他人識別和盜取，確保交易合同的完整性，防止單方面對交易信息的生成和修改。這個第三方可以是政府部門，也可以是行業(yè)主管部門，還可以是交易雙方共同信任的其他組織。

2．網(wǎng)上書店購書過程中的數(shù)據(jù)加密

書刊的物流信息在網(wǎng)絡(luò)中傳輸時，通常不是以明文方式而是以密文的方式進(jìn)行通信傳輸。加密技術(shù)就是把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。加密技術(shù)包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)上書店物流信息的通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應(yīng)地，對數(shù)據(jù)加密的技術(shù)也分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。密鑰的保密是很關(guān)鍵的，否則，網(wǎng)絡(luò)攻擊者掌握加密、解密算法，又得到密鑰，會使購書客戶遭受損失。因此加強(qiáng)對密鑰的管理，要貫穿于密鑰的整個生存期：密鑰的生成、驗證、傳遞、保管、使用和銷毀。

還可以采用短信加密技術(shù) ，用戶購書過程中的訂單、付款等可以短信的形式確認(rèn)，而豐富多樣的短信息服務(wù)的實現(xiàn)借助于sim卡片以及在sim卡片上開發(fā)應(yīng)用和菜單的stk（sim card tool kits）技術(shù)。sim卡片加密技術(shù)的直接應(yīng)用就是對短信息完成加密和解密，無線網(wǎng)絡(luò)和短信中心為應(yīng)用服務(wù)器提供了接收和發(fā)送短信息的通道，手機(jī)內(nèi)發(fā)出和接收的短信報文利用sim卡片加密和解密，在應(yīng)用服務(wù)器一側(cè)可以借助專用的交易安全服務(wù)器來完成對短信息報文的加解密。除了加密和解密外，系統(tǒng)還通過mac算法完成報文的完整性校驗。由于sim卡片具備完成des、3des等多種加密運算的功能，應(yīng)用stk技術(shù)可以在sim卡片上開發(fā)信息安全功能。

3．完善網(wǎng)上支付手段

從購書客戶角度來說，使用網(wǎng)上支付時首先要核對正確網(wǎng)址，要開通網(wǎng)上銀行功能，通常事先要與銀行簽訂協(xié)議。用戶在登錄網(wǎng)銀時應(yīng)留意核對所登錄的網(wǎng)址與協(xié)議書中的法定網(wǎng)址是否相符。其次做好交易記錄，應(yīng)對網(wǎng)上銀行辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看“歷史交易明細(xì)”，定期打印網(wǎng)上銀行業(yè)務(wù)對賬單，如發(fā)現(xiàn)異常交易或賬務(wù)差錯，立即與銀行聯(lián)系，避免損失。另外管理好數(shù)字證書，應(yīng)避免在公用的計算機(jī)上使用網(wǎng)上銀行，以防數(shù)字證書等機(jī)密資料落入他人之手，從而使網(wǎng)上身份識別系統(tǒng)被攻破，網(wǎng)上賬戶遭盜用。

購書客戶還可以通過與銀行合作，使用u盾等一系列安全措施；可以采用貨到付款支付方式；也可以與擁有相當(dāng)用戶的支付工具合作，如易趣的“安付通”、淘寶的“支付寶”都已經(jīng)與工商銀行、招商銀行等國內(nèi)的許多銀行建立起戰(zhàn)略合作關(guān)系，充當(dāng)起第三方保障的角色。以支付寶為例，其具體流程是：首先，書商與購書客戶就購書達(dá)成協(xié)議后，購書客戶先把書款打到支付寶這個第三方賬戶上，等購書客戶向支付寶和淘寶發(fā)出信息確認(rèn)收到書并且收到的書與所購買的書相符時，支付寶再把貨款劃至?xí)痰馁~號。當(dāng)然，這些都需要依賴網(wǎng)上支付的法律保障，相關(guān)的法律建設(shè)需要進(jìn)一步加強(qiáng)。

4．建立網(wǎng)上書店的實名制和信用制度

許多網(wǎng)上書店的商家利用網(wǎng)絡(luò)的虛擬性，使用不切合實際的書刊產(chǎn)品廣告描述來誤導(dǎo)購書用戶。很多購書客戶也常會因為剛剛接觸網(wǎng)上購物而上當(dāng)。除此之外，也有一部分蓄意欺詐的書商收到了購買者匯來的錢而故意不發(fā)貨。對于這類情況，可以對網(wǎng)上書店的商家采用實名登記注冊，并通過一系列的信用等級評價機(jī)制，透明地、如實地反映書商的信用情況以及過去的每一筆交易的明細(xì)，以減少這種不安全性，買家可以參考這些信息，或與曾經(jīng)與此賣家交易過的買家溝通。然而這些方式都只能降低商家網(wǎng)上欺騙成功的概率，不能從根本上杜絕。要想徹底根治，還是要從商家本身以及網(wǎng)上書店交易平臺的總體設(shè)計入手來改進(jìn)。

5．提高網(wǎng)上書店管理人員的技術(shù)素質(zhì)

網(wǎng)上書店應(yīng)該定位于高科技產(chǎn)業(yè)，而不是傳統(tǒng)的流通業(yè)。網(wǎng)上書店的經(jīng)營需要計算機(jī)操作人員、網(wǎng)頁編輯、數(shù)據(jù)庫維護(hù)人員，特別是懂得網(wǎng)絡(luò)經(jīng)營管理人員的商務(wù)人員。為提高網(wǎng)上書店的信息安全性，不僅要求其工作人員熟練掌握it技術(shù)，如網(wǎng)絡(luò)協(xié)議osi、tcp／ip，網(wǎng)絡(luò)與互聯(lián)設(shè)備，e－mail、telnet、fpt等服務(wù)方式，還要求熟悉電子商務(wù)的運作平臺（信息流網(wǎng)絡(luò)、知識流網(wǎng)絡(luò)、資金流網(wǎng)絡(luò)、物流網(wǎng)絡(luò)、契約網(wǎng)絡(luò)），電子商務(wù)管理（erp系統(tǒng)管理、scm供應(yīng)鏈管理、crm客戶關(guān)系管理）等，所以網(wǎng)上書店售書方應(yīng)該聘請或培養(yǎng)專業(yè)人員對書店網(wǎng)站進(jìn)行管理和維護(hù)，并積極與銀行系統(tǒng)合作，開發(fā)操作性強(qiáng)、安全性高的在線客服系統(tǒng)和支付系統(tǒng)，提高網(wǎng)上書店的服務(wù)質(zhì)量和購書雙方的安全保障水平。

主要參考文獻(xiàn)

［1］胡紅升，馬東平．電子商務(wù)安全策略［j］．電子商務(wù)世界，2001（2）．

［2］吉絢，胡曼，劉廣宇．網(wǎng)上購物安全性現(xiàn)狀分析［j］．中國水運：理論版，2006（12）．

篇5

［關(guān)鍵詞］網(wǎng)上書店；信息安全；問題；對策

一、網(wǎng)上書店的信息安全問題

二、網(wǎng)上書店信息安全問題的解決對策

1．加強(qiáng)個人身份驗證

首先，在網(wǎng)上書店交易過程中，每個購書客戶都有自己獨有的用戶名和密碼，而在提交任何關(guān)于自己的敏感信息或私人信息尤其是信用卡號之前，一定要確認(rèn)數(shù)據(jù)已經(jīng)加密，并且是通過安全連接傳輸?shù)摹Ｙ彆蛻舻臑g覽器和Web站點的服務(wù)器都要支持有關(guān)的工業(yè)標(biāo)準(zhǔn)，如SET（SecureElectronicTransaction）和SSL（SecureSocketsLayer）等。在客戶購書下訂單確定以及付款，書商正式發(fā)書之后，購書系統(tǒng)都應(yīng)該有實時的手機(jī)短信提醒，雙方進(jìn)一步確認(rèn)。

其次，采用數(shù)字證書身份認(rèn)證加上口令加密的雙因子身份認(rèn)證技術(shù)。每個購書客戶可申請一張數(shù)字證書，上網(wǎng)進(jìn)行賬戶查詢時，網(wǎng)上銀行系統(tǒng)首先驗證該用戶數(shù)字證書是否合法，然后將查詢請求和口令一起發(fā)送給業(yè)務(wù)前置機(jī)，對口令再次進(jìn)行認(rèn)證。當(dāng)服務(wù)器獲得用戶證書后，還要檢索該證書是否在廢止證書列表之中。作為一個安全的網(wǎng)上購書系統(tǒng)，需要由一個權(quán)威的第三方擔(dān)任信用認(rèn)證機(jī)構(gòu)來確認(rèn)買賣雙方的身份，即電子商務(wù)的安全證書認(rèn)證中心（CA中心）。CA中心的作用在于確保網(wǎng)上交易合同的有效性，確保交易內(nèi)容、交易雙方賬號、密碼不被他人識別和盜取，確保交易合同的完整性，防止單方面對交易信息的生成和修改。這個第三方可以是政府部門，也可以是行業(yè)主管部門，還可以是交易雙方共同信任的其他組織。

2．網(wǎng)上書店購書過程中的數(shù)據(jù)加密

還可以采用短信加密技術(shù)，用戶購書過程中的訂單、付款等可以短信的形式確認(rèn)，而豐富多樣的短信息服務(wù)的實現(xiàn)借助于SIM卡片以及在SIM卡片上開發(fā)應(yīng)用和菜單的STK（SIMcardToolKits）技術(shù)。SIM卡片加密技術(shù)的直接應(yīng)用就是對短信息完成加密和解密，無線網(wǎng)絡(luò)和短信中心為應(yīng)用服務(wù)器提供了接收和發(fā)送短信息的通道，手機(jī)內(nèi)發(fā)出和接收的短信報文利用SIM卡片加密和解密，在應(yīng)用服務(wù)器一側(cè)可以借助專用的交易安全服務(wù)器來完成對短信息報文的加解密。除了加密和解密外，系統(tǒng)還通過MAC算法完成報文的完整性校驗。由于SIM卡片具備完成DES、3DES等多種加密運算的功能，應(yīng)用STK技術(shù)可以在SIM卡片上開發(fā)信息安全功能。

3．完善網(wǎng)上支付手段

網(wǎng)上書店的一個重要環(huán)節(jié)是網(wǎng)上支付。在網(wǎng)上支付的技術(shù)方面國際上已經(jīng)形成了一些比較成熟的安全機(jī)制，我國的電子商務(wù)企業(yè)已經(jīng)廣泛應(yīng)用了這些安全保障技術(shù)，主要是由安全協(xié)議支持的。目前國際上流行的電子商務(wù)所采用的協(xié)議主要包括：基于信用卡交易的安全電子交易協(xié)議（SecureElectronicTransaction，SET）、用于接入控制的安全套接層協(xié)議（SecureSocketLayer，SSL）、Netbill協(xié)議、安全HTTP（S－HTTP）協(xié)議、安全電子郵件協(xié)議（如PEM、S／MIME等）、用于公對公交易的InternetEDI等。從購書客戶角度來說，使用網(wǎng)上支付時首先要核對正確網(wǎng)址，要開通網(wǎng)上銀行功能，通常事先要與銀行簽訂協(xié)議。用戶在登錄網(wǎng)銀時應(yīng)留意核對所登錄的網(wǎng)址與協(xié)議書中的法定網(wǎng)址是否相符。其次做好交易記錄，應(yīng)對網(wǎng)上銀行辦理的轉(zhuǎn)賬和支付等業(yè)務(wù)做好記錄，定期查看“歷史交易明細(xì)”，定期打印網(wǎng)上銀行業(yè)務(wù)對賬單，如發(fā)現(xiàn)異常交易或賬務(wù)差錯，立即與銀行聯(lián)系，避免損失。另外管理好數(shù)字證書，應(yīng)避免在公用的計算機(jī)上使用網(wǎng)上銀行，以防數(shù)字證書等機(jī)密資料落入他人之手，從而使網(wǎng)上身份識別系統(tǒng)被攻破，網(wǎng)上賬戶遭盜用。

購書客戶還可以通過與銀行合作，使用U盾等一系列安全措施；可以采用貨到付款支付方式；也可以與擁有相當(dāng)用戶的支付工具合作，如易趣的“安付通”、淘寶的“支付寶”都已經(jīng)與工商銀行、招商銀行等國內(nèi)的許多銀行建立起戰(zhàn)略合作關(guān)系，充當(dāng)起第三方保障的角色。以支付寶為例，其具體流程是：首先，書商與購書客戶就購書達(dá)成協(xié)議后，購書客戶先把書款打到支付寶這個第三方賬戶上，等購書客戶向支付寶和淘寶發(fā)出信息確認(rèn)收到書并且收到的書與所購買的書相符時，支付寶再把貨款劃至?xí)痰馁~號。當(dāng)然，這些都需要依賴網(wǎng)上支付的法律保障，相關(guān)的法律建設(shè)需要進(jìn)一步加強(qiáng)。

4．建立網(wǎng)上書店的實名制和信用制度

5．提高網(wǎng)上書店管理人員的技術(shù)素質(zhì)

網(wǎng)上書店應(yīng)該定位于高科技產(chǎn)業(yè)，而不是傳統(tǒng)的流通業(yè)。網(wǎng)上書店的經(jīng)營需要計算機(jī)操作人員、網(wǎng)頁編輯、數(shù)據(jù)庫維護(hù)人員，特別是懂得網(wǎng)絡(luò)經(jīng)營管理人員的商務(wù)人員。為提高網(wǎng)上書店的信息安全性，不僅要求其工作人員熟練掌握IT技術(shù)，如網(wǎng)絡(luò)協(xié)議OSI、TCP／IP，網(wǎng)絡(luò)與互聯(lián)設(shè)備，E－mail、Telnet、FPT等服務(wù)方式，還要求熟悉電子商務(wù)的運作平臺（信息流網(wǎng)絡(luò)、知識流網(wǎng)絡(luò)、資金流網(wǎng)絡(luò)、物流網(wǎng)絡(luò)、契約網(wǎng)絡(luò)），電子商務(wù)管理（ERP系統(tǒng)管理、SCM供應(yīng)鏈管理、CRM客戶關(guān)系管理）等，所以網(wǎng)上書店售書方應(yīng)該聘請或培養(yǎng)專業(yè)人員對書店網(wǎng)站進(jìn)行管理和維護(hù)，并積極與銀行系統(tǒng)合作，開發(fā)操作性強(qiáng)、安全性高的在線客服系統(tǒng)和支付系統(tǒng)，提高網(wǎng)上書店的服務(wù)質(zhì)量和購書雙方的安全保障水平。

主要參考文獻(xiàn)

［1］胡紅升，馬東平．電子商務(wù)安全策略［J］．電子商務(wù)世界，2001（2）．

［2］吉絢，胡曼，劉廣宇．網(wǎng)上購物安全性現(xiàn)狀分析［J］．中國水運：理論版，2006（12）．

篇6

【關(guān)鍵詞】在線支付；支付安全；對策

隨著互聯(lián)網(wǎng)絡(luò)與個人終端技術(shù)的飛速發(fā)展，越來越多的人把工作甚至生活都與網(wǎng)絡(luò)緊密連接起來。2013年1月30日，根據(jù)中國電子商務(wù)研究中心《2012年度中國網(wǎng)絡(luò)零售市場數(shù)據(jù)監(jiān)測報告》顯示，截止2012年12月中國網(wǎng)絡(luò)零售市場交易規(guī)模達(dá)13205億元，同比增長64.7%。網(wǎng)購改變零售業(yè)格局已經(jīng)開始。但任何的交易都會包含一個非常重要的環(huán)節(jié)，就是資金的轉(zhuǎn)移，無論是有形的或無形的商品都必須面對資金流的問題。

一、網(wǎng)購中的支付方式

目前，網(wǎng)購中的支付方式有以下幾種：

1.貨到付款

按照顧客提交的訂單內(nèi)容，在承諾配送時限內(nèi)送達(dá)顧客指定交貨地點后，雙方當(dāng)時驗收商品、當(dāng)時交納貨款的一種結(jié)算支付方式。

2.郵局匯款

顧客將訂單金額通過郵政部門匯到指定商家的一種結(jié)算支付方式。

3.銀行電匯

銀行以電報、電傳或環(huán)球銀行間金融電訊網(wǎng)絡(luò)方式指示行將款項支付給指定收款人的匯款方式。

4.網(wǎng)上在線支付

賣方與買方通過因特網(wǎng)上的電子商務(wù)網(wǎng)站進(jìn)行交易時，銀行為其提供網(wǎng)上資金結(jié)算服務(wù)。在線支付的方式又分為兩種。

（1）網(wǎng)銀支付

直接通過登錄網(wǎng)上銀行進(jìn)行支付的方式。要求：有個人網(wǎng)上銀行。開通網(wǎng)上銀行之后的操作就不是很麻煩了，可實現(xiàn)銀聯(lián)在線支付，信用卡網(wǎng)上支付等等。

（2）第三方支付

第三方支付本身集成了多種支付方式，支付流程如下：①、將網(wǎng)銀中的錢充值到第三方；②、在用戶支付的時候通過第三方中存款進(jìn)行支付；③、花費手續(xù)費進(jìn)行提現(xiàn)。最常用的第三方支付是支付寶、財付通、貝寶、易寶支付、快錢、網(wǎng)銀在線了，其中做為獨立網(wǎng)商或有支付業(yè)務(wù)的網(wǎng)站而言，最常選擇的不外乎支付寶、貝寶、易寶支付、快錢這四家。

二、在線支付過程中存在的安全隱患

雖然支付方式由很多種，但是在線電子支付是網(wǎng)購的關(guān)鍵環(huán)節(jié)，也是網(wǎng)購得以順利發(fā)展的基礎(chǔ)條件，網(wǎng)購過程中在線支付的安全問題便成為大家最關(guān)心的話題了。首先，計算機(jī)網(wǎng)絡(luò)安全與終端用戶機(jī)安全是保證在網(wǎng)上進(jìn)行安全交易的首要條件，即使不使用計算機(jī)進(jìn)行網(wǎng)購，計算機(jī)網(wǎng)絡(luò)的安全問題與終端用戶機(jī)的安全問題也一直在困擾著不少用戶，但因為不直接與資金有聯(lián)系，故即使出現(xiàn)了差錯，用戶的損失相對來說也要小一些；其次，交易雙方的身份真實性問題也是網(wǎng)購中需要特別注意的，將傳統(tǒng)的當(dāng)面交易搬到買賣雙方互不見面的網(wǎng)絡(luò)上來進(jìn)行交易，買方不認(rèn)識商家，商家不能確定銀行卡等網(wǎng)絡(luò)支付工具是否真實可信，以及由誰來支付和資金如何入賬等。這就讓一些不法商家或個人利用網(wǎng)絡(luò)貿(mào)易的非面對面的特點進(jìn)行欺詐活動有了可趁之機(jī)，所以需要為參與交易的各方提供可靠標(biāo)識，使他們能正確識別對方并能互相證明身份；再然后，在傳統(tǒng)的商務(wù)交易中，雙方為了預(yù)防抵賴行為的發(fā)生，可以在書面文件上的手寫簽名或蓋印章，但在網(wǎng)購中則是不可能的，因此就有可能出現(xiàn)這樣的情況，當(dāng)交易一方發(fā)現(xiàn)交易行為對自己不利時，可能會否認(rèn)電子交易行為，這必然會損害另一方的利益；最后，有關(guān)交易的各種信息，如付款人和收款人的標(biāo)識、交易的內(nèi)容和數(shù)量，交易的銀行賬號和密碼等，這些信息只能讓交易的參與者知道，有時甚至要求只讓參與方的部分人知道，因此網(wǎng)上支付就涉及到數(shù)據(jù)保密性的問題了

三、實現(xiàn)安全支付的對策

1.技術(shù)方面的對策

（1）數(shù)據(jù)加密

數(shù)據(jù)加密是通過一定的加密算法，利用密鑰來對敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)和密鑰通過安全方式發(fā)送給接收者；接收者可利用同樣的算法和傳遞過來的密鑰對數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息并保證網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。

（2）數(shù)字簽名

數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明。

（3）安全協(xié)議

在國際上，比較有代表性的電子支付安全協(xié)議有SSL和SET。 SSL協(xié)議是由Netscape公司研究制定的安全協(xié)議，是在客戶和商家通信之前，在Internet上建立了一個“秘密傳輸信息的信道”，這個通道用來保障傳輸信息的機(jī)密性、完整性和認(rèn)證性。該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前通過交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。SSL協(xié)議運行的基點是商家對客戶信息保密的承諾，客戶的信息首先傳到商家，商家閱讀后再傳到銀行。這樣，客戶資料的安全性便受到威脅。另外，整個過程只有商家對客戶的認(rèn)證，缺少客戶對商家的認(rèn)證。在網(wǎng)購的初始階段，由于參加網(wǎng)購的公司大都信譽(yù)較好，這個問題沒有引起人們的足夠重視，今后隨著越來越多的公司參與網(wǎng)購后，對商家的認(rèn)證問題也就越來越突出，這樣SSL的缺點就會逐漸暴露出來。SSL協(xié)議也就逐漸被新的SET協(xié)議所代替。SET向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和Mastercard組織共同制定的一個能保證通過開放網(wǎng)絡(luò)（包括Internet）進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。SET在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證。由于設(shè)計較為合理，得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持，已成為實際上的工業(yè)技術(shù)標(biāo)準(zhǔn)。

2.法制方面的對策

（1）加強(qiáng)社會信用機(jī)制建設(shè)。法律為保障網(wǎng)上支付必須推動社會信用制度的建立。發(fā)達(dá)的商業(yè)社會對社會包括個人的信用有著很高的要求，并通過一系列公開透明的制度來維護(hù)和保障信用制度體系。我國目前在對信用概念內(nèi)涵的理解、信用信息公開的方式和程度、信用服務(wù)企業(yè)的市場發(fā)展程度，以及對失信者的懲戒制度方面都還十分落后，甚至存在空白，應(yīng)當(dāng)承認(rèn)我國還屬于非誠信國家，信用制度還很不健全。因此，我們應(yīng)當(dāng)著手網(wǎng)上支付信用機(jī)制的建設(shè)，建立個人社會信用體系，及時收集和反饋用戶信息并做出相應(yīng)解決方案，促進(jìn)用戶建立網(wǎng)絡(luò)信用。

（2）加強(qiáng)對網(wǎng)上銀行和第三方支付機(jī)構(gòu)等相關(guān)組織的監(jiān)管。加強(qiáng)電子商務(wù)行業(yè)的監(jiān)管，規(guī)范市場主體行為。首先要加強(qiáng)對網(wǎng)絡(luò)銀行的監(jiān)管，網(wǎng)上銀行不同于傳統(tǒng)銀行，應(yīng)該制定新的準(zhǔn)入條件，加強(qiáng)對客戶開戶的監(jiān)管，落實責(zé)任審查客戶資料等信息，明確網(wǎng)上銀行業(yè)務(wù)終止條件、清算辦法等，制定電子貨幣退出機(jī)制，規(guī)范電子貨幣市場。其次要加強(qiáng)對第三方支付機(jī)構(gòu)的監(jiān)管，要讓第三方支付機(jī)構(gòu)受銀監(jiān)會監(jiān)督，第三方無權(quán)動用客戶資金，必須確保資金安全和支付的效率。

3.管理方面的對策

在管理方面，由于網(wǎng)上支付涉及到許多部門和機(jī)構(gòu)，容易造成混亂的局面。通常來說，電子商務(wù)的網(wǎng)上支付系統(tǒng)是融購物流程、支付工具、安全技術(shù)、認(rèn)證體系、信用體系以及現(xiàn)在有的金融體系為一體的綜合大系統(tǒng)。因此，統(tǒng)一而先進(jìn)的管理和規(guī)范就顯得尤為重要。另外還要建立一個在系統(tǒng)操作過程中的完善的管理制度。支付的過程盡管是在計算機(jī)和網(wǎng)絡(luò)上自動進(jìn)行的，但總離不開人的介入。從世界范圍內(nèi)的經(jīng)驗可以知道，銀行系統(tǒng)資金不安全或者各類詐騙活動的發(fā)生，不是技術(shù)不安全造成的，而是制度上的缺陷所出現(xiàn)的。因此嚴(yán)格的管理制度建設(shè)就非常重要

四、結(jié)束語

作為一種商務(wù)活動過程，網(wǎng)購將帶來一場史無前例的革命，而電子商務(wù)在線支付的安全性問題也越來越受到人們的重視.其安全認(rèn)證也已從最初的邏輯認(rèn)證發(fā)展到物理認(rèn)證，最終將達(dá)到生物認(rèn)證，在不久的將來安全可靠的網(wǎng)購會將人類帶入真正的信息社會。

參考文獻(xiàn)：

[1]史萌. 電子商務(wù)下的網(wǎng)上支付方式分析研究[J]電子商務(wù)，2009年第8期，24頁.

篇7

認(rèn)證機(jī)構(gòu)的重要作用

目前國內(nèi)的電子簽名應(yīng)用主要運用了以非對稱加密為基礎(chǔ)的PKI技術(shù)。在整個PKI構(gòu)架中，CA中心是處于核心位置的，其職責(zé)是在下發(fā)數(shù)字證書之前查實其使用者的身份。此外發(fā)證機(jī)構(gòu)還要及時公布已經(jīng)無效的證書，并且負(fù)責(zé)對發(fā)放的證書進(jìn)行管理。CA中心是整個PKI體系信任鏈擴(kuò)展的基礎(chǔ)，信息傳輸雙方就是因為信任一個權(quán)威的CA中心，從而相信持有CA中心簽發(fā)證書的人的身份。

在許多實際應(yīng)用中，第三方的CA發(fā)揮著重要的作用。所謂第三方，就是指獨立于交易雙方當(dāng)事人的任何一方。如果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性，網(wǎng)上交易就根本無從談起，而第三方是CA公證性的重要體現(xiàn)。在互聯(lián)網(wǎng)這種開放、不設(shè)防、復(fù)雜的信息交互環(huán)境中，第三方CA為信息交互雙方承擔(dān)了網(wǎng)上信息安全的部分責(zé)任，對交易雙方起到規(guī)避風(fēng)險的作用，即在互聯(lián)網(wǎng)部分由CA通過發(fā)放數(shù)字證書來保障信息的傳輸安全。在出現(xiàn)網(wǎng)銀糾紛時，第三方CA為當(dāng)事人雙方提供相應(yīng)的證明。由于種種原因，目前國內(nèi)一些銀行沒有使用第三方CA。

另外，第三方認(rèn)證機(jī)構(gòu)能夠更好地證明電子簽名的有效性。在《電子簽名法》中規(guī)定，安全的電子簽名才能與手寫簽名具有同等的法律效力。而第三方CA由于獨立于交易雙方，能很好地證明這種簽名私鑰的專有性，技術(shù)上也能夠有很好的保障。

當(dāng)然，并不是說所有的交易都要使用第三方的CA認(rèn)證機(jī)構(gòu)。但是，對于應(yīng)用領(lǐng)域和范圍都很廣泛的面向公眾的服務(wù)來說，是應(yīng)當(dāng)采用第三方的認(rèn)證機(jī)構(gòu)的，因為這些服務(wù)要求CA機(jī)構(gòu)必須有足夠的公信力和權(quán)威性。

電子簽名在金融業(yè)的應(yīng)用

金融行業(yè)是電子簽名應(yīng)用最活躍、最廣泛的領(lǐng)域。其中，作為金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機(jī)構(gòu)，在保障網(wǎng)上交易安全，提供公正、可信的認(rèn)證服務(wù)方面發(fā)揮了重要的作用。數(shù)字證書和電子簽名在網(wǎng)銀的應(yīng)用主要有以下幾個特點：

銀行審核網(wǎng)銀用戶身份的真實性。用戶的身份必須是真實可靠的，簽名才有實際意義，這是使用數(shù)字簽名的基礎(chǔ)。

交易額大、安全性要求高的交易必須使用數(shù)字簽名。由于數(shù)字簽名是一種相對復(fù)雜的計算方式，簽名的過程要耗費一定的系統(tǒng)資源，一般是在交易金額大、安全性要求高的網(wǎng)銀業(yè)務(wù)中使用數(shù)字簽名。當(dāng)然，數(shù)字簽名會在更多的業(yè)務(wù)中得到應(yīng)用。

通過協(xié)議來保證第三方認(rèn)證機(jī)構(gòu)和銀行及用戶之間的權(quán)利義務(wù)關(guān)系。銀行對于第三方認(rèn)證機(jī)構(gòu)來說有兩個角色，首先銀行作為第三方認(rèn)證機(jī)構(gòu)的證書注冊審批機(jī)構(gòu)RA，是第三方認(rèn)證服務(wù)的一個重要環(huán)節(jié)，相當(dāng)于第三方認(rèn)證系統(tǒng)的延伸；銀行的另一個角色就是作為證書的使用者。

當(dāng)發(fā)生爭議時，作為第三方的認(rèn)證機(jī)構(gòu)有義務(wù)對數(shù)字簽名的有效性進(jìn)行確認(rèn)。具體包括提供簽發(fā)該張用戶證書的CA證書；提供該張數(shù)字證書在交易發(fā)生時，在或不在的數(shù)字證書廢止列表的證明；對數(shù)字證書、時間戳、和電子簽名的真實性和有效性進(jìn)行確認(rèn)等。今后隨著《電子簽名法》的實施，類似的這種爭議或糾紛就能有法可依，能更好地保障銀行和用戶的權(quán)益。

以上是圍繞電子簽名簡單地介紹了電子簽名在網(wǎng)銀中的應(yīng)用特點。從應(yīng)用的范圍和廣度講，目前國內(nèi)的網(wǎng)上銀行業(yè)務(wù)中基本上都采用了數(shù)字簽名技術(shù)。

如何使用網(wǎng)銀和電子簽名

用戶如何獲得第三方證書，用戶可以通過第三方設(shè)在各商業(yè)銀行分支機(jī)構(gòu)的受理點辦理證書申請和審核手續(xù)，具體的證書審批方式和流程由各受理機(jī)構(gòu)規(guī)定。下面以深圳發(fā)展銀行的網(wǎng)上支付業(yè)務(wù)為例來說明。

深圳發(fā)展銀行早在2002年就建立了電子商務(wù)的核心環(huán)節(jié)――“網(wǎng)上支付”系統(tǒng)，目前已經(jīng)全面覆蓋國內(nèi)主要電子商務(wù)平臺,為用戶的網(wǎng)上支付結(jié)算提供快捷、安全的服務(wù)。

使用網(wǎng)上支付系統(tǒng)的用戶分為B2C、B2B兩種。B2C是個人客戶在商戶網(wǎng)站購物、代繳水、電、燃?xì)狻W(xué)費等等支付業(yè)務(wù)進(jìn)行網(wǎng)上結(jié)算；B2B是企業(yè)客戶在商戶網(wǎng)站購物進(jìn)行網(wǎng)上結(jié)算。

B2C(企業(yè)對消費者)網(wǎng)上支付使用銀行網(wǎng)站支付的，客戶首先通過網(wǎng)上或銀行柜臺注冊成為銀行網(wǎng)站個人用戶，再到銀行柜臺開立數(shù)字證書，然后便可利用注冊的銀行卡、活期一本通賬戶實現(xiàn)無限額網(wǎng)上購物實時支付結(jié)算。

對于B2B(企業(yè)對企業(yè))網(wǎng)上支付，企業(yè)客戶須在銀行柜臺注冊成為銀行網(wǎng)站企業(yè)用戶，并開立數(shù)字證書，然后由企業(yè)網(wǎng)銀管理員將結(jié)算賬戶的使用權(quán)分配給相應(yīng)的操作員，該操作員便可使用分配的企業(yè)結(jié)算賬戶實現(xiàn)網(wǎng)上結(jié)算。

可見，數(shù)字證書就是網(wǎng)上交易雙方的電子身份證，用于驗證網(wǎng)上銀行用戶的身份和對用戶的網(wǎng)上交易等信息進(jìn)行加密和數(shù)字簽名，經(jīng)過數(shù)字簽名的交易具有不可篡改和不可否認(rèn)性，因此網(wǎng)上銀行的支付、轉(zhuǎn)賬等重要操作必須使用證書才有法律和安全保障。

點評

CA運營和PKI建設(shè)的體會和建議

1．在實踐中尋找安全和效率的最佳結(jié)合點。

數(shù)字簽名技術(shù)的廣泛應(yīng)用必須和用戶的實際需求相結(jié)合。處理安全和效率的矛盾時要從實際出發(fā)加以分類分級，根據(jù)重要性和風(fēng)險程度，提出不同的安全要求和措施。《電子簽名法》在法律上肯定了簽名的有效性，推動了網(wǎng)上安全措施的普及和強(qiáng)化。隨著技術(shù)的不斷改善提高，使用中的技術(shù)障礙會越來越小，認(rèn)證效率則越來越高。

2．重視標(biāo)準(zhǔn)和規(guī)范，加強(qiáng)對CA機(jī)構(gòu)的管理

不同PKI域的互通是必然的發(fā)展趨勢，而互通的基礎(chǔ)就是重視標(biāo)準(zhǔn)，強(qiáng)調(diào)統(tǒng)一。《電子簽名法》中雖然對第三方認(rèn)證機(jī)構(gòu)的必備條件提出了要求，但實踐中還需要相關(guān)法規(guī)和具體的實施細(xì)則，包括對CA機(jī)構(gòu)準(zhǔn)入、對CA的管理和評級、對CA運行的審計等。

篇8

當(dāng)前國內(nèi)網(wǎng)絡(luò)安全問題依然突出

人們使用網(wǎng)上銀行最為關(guān)心的莫過于網(wǎng)絡(luò)安全問題。目前，國內(nèi)互聯(lián)網(wǎng)風(fēng)險形勢嚴(yán)峻，網(wǎng)上交易的安全性成為公眾使用網(wǎng)上銀行時心中最大的隱憂。根據(jù)國內(nèi)互聯(lián)網(wǎng)安全公司金山網(wǎng)絡(luò)2012年2月20日的《2011～2012中國互聯(lián)網(wǎng)安全研究報告》，2011年金山毒霸累計捕獲新增病毒約1 230萬個，全國平均每天在4%～8%的電腦上會發(fā)現(xiàn)病毒，金山毒霸保護(hù)用戶免于病毒攻擊的次數(shù)約每天500萬次。雖然2011年新增病毒總數(shù)自2010年以來再次下滑，而針對網(wǎng)購的攻擊則日益普遍，釣魚網(wǎng)站取代病毒木馬成為互聯(lián)網(wǎng)第一大安全威脅，每月攔截網(wǎng)民訪問次數(shù)比去年激增了100倍。金山毒霸云安全中心數(shù)據(jù)顯示，2011年，金山毒霸網(wǎng)購保鏢日平均保護(hù)2 000萬次網(wǎng)購操作，日均覆蓋500萬網(wǎng)民。病毒產(chǎn)業(yè)追逐經(jīng)濟(jì)利益的趨勢不會改變，隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的飛速發(fā)展，2012年，病毒制造者會通過各種手段給用戶帶來新的安全威脅。

網(wǎng)上銀行業(yè)務(wù)的主要風(fēng)險點

與傳統(tǒng)的銀行業(yè)務(wù)相比，網(wǎng)上銀行具有開放性的特征。主要體現(xiàn)在：一是網(wǎng)絡(luò)社會化，互聯(lián)網(wǎng)是社會化網(wǎng)絡(luò)；二是終端社會化，進(jìn)行網(wǎng)上銀行操作的計算機(jī)都不是銀行的終端；三是客戶自助操作，網(wǎng)上銀行業(yè)務(wù)是由客戶操作，而非銀行柜員進(jìn)行操作。這些開放性的特征，形成了網(wǎng)上銀行業(yè)務(wù)特有的風(fēng)險。

網(wǎng)上銀行的風(fēng)險點主要存在于三個方面：用戶端、信息傳輸過程、銀行端和商戶端。用戶端的風(fēng)險主要由于用戶風(fēng)險防范意識不強(qiáng)、操作不規(guī)范或被欺詐而引起個人信息泄露或?qū)е陆灰罪L(fēng)險，例如，用戶不注意計算機(jī)使用環(huán)境、未能有效防范各種類型的木馬病毒，登錄假網(wǎng)站或釣魚網(wǎng)站，泄漏自己的賬戶信息、身份證信息、網(wǎng)上銀行登錄密碼，未使用或丟失U盾或動態(tài)密碼卡等等，這些都是可能導(dǎo)致風(fēng)險事件的原因。信息傳輸過程中的風(fēng)險是由于網(wǎng)上交易的信息是在互聯(lián)網(wǎng)上公開傳遞的，如沒有采取必要的安全措施加以防范，則存在著交易信息被篡改和竊取的可能性。銀行端和商戶端的風(fēng)險主要來自于黑客入侵、銀行和商戶的相關(guān)業(yè)務(wù)和產(chǎn)品設(shè)計缺陷、內(nèi)控管理不嚴(yán)、網(wǎng)站風(fēng)險防控能力不足、網(wǎng)上交易風(fēng)險監(jiān)控能力不足等。盡管目前各家銀行、商戶網(wǎng)站均采取了防火墻和網(wǎng)絡(luò)檢測等安全措施，然而2011年底以來CSDN等網(wǎng)站的暴庫事件表明，針對運營商服務(wù)器展開的攻擊仍然存在。

商業(yè)銀行防范網(wǎng)上銀行業(yè)務(wù)的風(fēng)險措施

網(wǎng)上銀行風(fēng)險防范不僅僅是銀行的責(zé)任，也是整個社會的責(zé)任。本文僅從商業(yè)銀行角度，從事前、事中、事后三個方面提出網(wǎng)上銀行風(fēng)險防范對策。

（一）事前防范措施

1.確定風(fēng)險管理原則，即審慎性原則和安全性與便利性均衡原則。銀行是經(jīng)營風(fēng)險的特殊企業(yè)，銀行要防范風(fēng)險，規(guī)避風(fēng)險，減少客戶的資金損失，保障銀行的資金安全，因此，要堅持審慎性原則。同時，銀行也是服務(wù)行業(yè)，面向廣大客戶提供服務(wù)，要秉承“以客戶為中心”的宗旨，最大程度滿足客戶的需求，方便客戶使用。網(wǎng)上銀行是客戶自助操作，通過互聯(lián)網(wǎng)公開透明渠道提供服務(wù)，因此必須采取必要的安全措施、安全手段；然而風(fēng)險防范措施過于嚴(yán)密，采取過多的安全手段、措施，為防范個別、少數(shù)不法分子的作案而采取過高、過多的安全手段，會影響廣大用戶的方便性，因此，過分強(qiáng)調(diào)方便也是不現(xiàn)實的。處理好安全性與便利性的關(guān)系是一個難題。銀行應(yīng)以滿足廣大客戶最基本的安全手段、安全措施為基礎(chǔ)，在設(shè)計管理制度、風(fēng)險控制手段時應(yīng)考慮廣大客戶最基本的需求，統(tǒng)籌兼顧便利性與安全性的平衡。

2.把風(fēng)險防范嵌入到產(chǎn)品創(chuàng)新和流程優(yōu)化工作之中。商業(yè)銀行設(shè)計新產(chǎn)品、新業(yè)務(wù)流程和編寫業(yè)務(wù)需求時，必須同時分析風(fēng)險點和風(fēng)險環(huán)節(jié)，并相應(yīng)制定防范措施，杜絕制度缺陷、流程缺陷和系統(tǒng)缺陷。

3.普及網(wǎng)上銀行安全知識，提高公眾的風(fēng)險防范意識。當(dāng)用戶通過銀行網(wǎng)站或柜臺開辦網(wǎng)上銀行業(yè)務(wù)時，銀行可結(jié)合口頭提示、宣傳資料、網(wǎng)站、手機(jī)短信等多種形式對其進(jìn)行風(fēng)險提示，向其揭示網(wǎng)上銀行的相關(guān)風(fēng)險，并進(jìn)行安全知識教育，提高客戶的自我保護(hù)意識。加強(qiáng)用戶身份驗證管理，嚴(yán)格審核用戶身份證件，防止代人簽約網(wǎng)上銀行或利用虛假身份證件開立賬戶和簽約網(wǎng)上銀行。此外，還應(yīng)通過各種宣傳渠道向公眾明示本行正確的網(wǎng)上銀行官方網(wǎng)址和呼叫中心號碼。網(wǎng)上銀行用戶自身也要加強(qiáng)學(xué)習(xí)，掌握基本的安全知識，培養(yǎng)良好的安全操作習(xí)慣，增強(qiáng)風(fēng)險防范意識。

（二）事中防范措施

1.合理制訂網(wǎng)上銀行相關(guān)業(yè)務(wù)制度和操作流程，嚴(yán)格內(nèi)控管理。在科學(xué)論證基礎(chǔ)上，合理設(shè)置網(wǎng)上銀行有關(guān)參數(shù)，并進(jìn)行規(guī)范管理，規(guī)范操作人員和操作權(quán)限。參數(shù)管理中，最重要的莫過于網(wǎng)上銀行的交易限額管理，銀行要對客戶的不同情況（例如，使用安全產(chǎn)品的情況），針對不同交易種類合理設(shè)置交易限額，防范大額資金風(fēng)險。

2.加強(qiáng)安全防護(hù)手段，根據(jù)當(dāng)前互聯(lián)網(wǎng)安全形勢，持續(xù)優(yōu)化安全產(chǎn)品和手段，不斷加固防范措施。積極研發(fā)和應(yīng)用各類維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。加快網(wǎng)上銀行安全產(chǎn)品升級換代，提高客戶使用網(wǎng)上銀行的安全性。近期，建設(shè)銀行、工商銀行推出了二代U盾，與原有普通U盾相比，二代U盾增加了液晶顯示屏回顯交易信息、物理按鈕確認(rèn)交易兩道安全環(huán)節(jié)，液晶顯示屏回顯交易信息可讓客戶再次確認(rèn)收款人賬號和交易金額等信息，防止不法分子利用惡意軟件篡改客戶提交的交易信息；通過物理按鍵來增加客戶干預(yù)，可防止不法分子遠(yuǎn)程控制客戶計算機(jī)、利用客戶插在計算機(jī)上的原有普通U盾進(jìn)行網(wǎng)銀交易而給客戶造成損失。同時，銀行還可提升多渠道信息交互的產(chǎn)品研發(fā)，針對較高風(fēng)險的交易。例如，銀行在驗證證書或動態(tài)口令后，仍不對交易進(jìn)行處理，而是將登錄狀態(tài)、賬戶、金額等敏感信息即時通過短信方式發(fā)送至用戶手機(jī)，待用戶核實后，最終決定對交易進(jìn)行確認(rèn)或取消。

3.加強(qiáng)假網(wǎng)站監(jiān)測，定期搜索與本行相關(guān)的假冒網(wǎng)站（郵件、電話、短信號碼等），做好對“釣魚”網(wǎng)站的24小時監(jiān)測和防控工作，并通過專業(yè)化工具進(jìn)行主動搜索、關(guān)停。檢查本行網(wǎng)頁上對外鏈接的可靠性，并開辟專門渠道接受公眾舉報，發(fā)現(xiàn)風(fēng)險立即采取防范措施，并向公眾進(jìn)行通報提示。

4.構(gòu)建科學(xué)的電子銀行風(fēng)險管理體系，提高風(fēng)險管理水平。建立網(wǎng)上銀行風(fēng)險監(jiān)控系統(tǒng)，對網(wǎng)上銀行系統(tǒng)資源使用情況、業(yè)務(wù)覆蓋區(qū)域網(wǎng)絡(luò)性能、外部系統(tǒng)訪問情況等進(jìn)行監(jiān)控，有效識別、衡量、監(jiān)督和控制網(wǎng)上銀行風(fēng)險。首先，要建立有效實用的網(wǎng)上銀行風(fēng)險稽核模型，確定具有什么樣特征的交易是可疑的交易，進(jìn)而采用事中監(jiān)控手段。在日常工作中，應(yīng)實現(xiàn)對風(fēng)險稽核模型的動態(tài)管理，隨著業(yè)務(wù)發(fā)展和客戶交易習(xí)慣的變化而作相應(yīng)調(diào)整。其次，在此基礎(chǔ)上，制訂監(jiān)控規(guī)則，并依據(jù)監(jiān)控規(guī)則，分析客戶交易行為，識別高風(fēng)險交易，進(jìn)行事中監(jiān)控管理。在監(jiān)控中，應(yīng)重點加強(qiáng)對大額、頻繁、跨地區(qū)操作等交易的分析、識別和事中監(jiān)控，實現(xiàn)對高風(fēng)險交易的實時監(jiān)測、事中干預(yù)、事后核實、事后提醒等功能，對風(fēng)險等級高的交易實施事中干預(yù)。此外，要完善黑名單的監(jiān)控類型和控制措施，以作為事中監(jiān)控的有力補(bǔ)充。對已經(jīng)發(fā)生風(fēng)險事件的，通過客戶服務(wù)中心、業(yè)務(wù)部門以及其他渠道收集風(fēng)險事件涉及的賬號、手機(jī)號、證件號以及IP地址，經(jīng)過一定的審批程序，將涉嫌信息在黑名單中進(jìn)行登記，關(guān)閉其今后的電子銀行交易，防止損失擴(kuò)大。

5.建立風(fēng)險防范信息共享機(jī)制，實現(xiàn)風(fēng)險信息跨系統(tǒng)、跨渠道共享和聯(lián)動。建立銀行同業(yè)之間，以及銀行與合作伙伴間的風(fēng)險聯(lián)防機(jī)制，推進(jìn)可疑交易跨行追索機(jī)制，實現(xiàn)跨行可疑交易賬戶的快速鎖定和資金凍結(jié)。

（三）事后補(bǔ)救措施

推薦范文