浅谈电子商务网络支付安全问题研究
2017-10-18陆斌华
陆斌华
【摘 要】网络支付,是网上银行的发展方向。它改变了传统的支付结算处理方式,使支付活动不再受地域、时间的限制,为客户提供了便捷的支付渠道,适应现代经济发展的需要。同时我们也应该注意网络支付的潜在安全风险,在网上支付的同时,必须确保网络支付的安全。本文从网络支付面临的安全问题出发,利用相关安全技术有针对性地探讨了种种网络支付安全问题的解决方法。
【关键词】网络支付;电子商务;安全
目前,网络的爆炸性发展和应用,不仅使其成为全球最大的、最具发展前途的通信媒介和交换共享信息的新媒体,还开辟了一种崭新的商业交易方式,即电子商务。电子商务覆盖面广、运作时间长、跨时空等鲜明特点大大增加了企业商业机会,但同时也带来了一系列的问题。其中最突出的一点就是安全问题。由于电子商务的远距离网络操作性而非传统的面对面方式,它已成为大家关注电子商务运行安全的首要方面。完成了电子商务中资金流的网络支付,因涉及商务实体最为敏感的资金流动,所以是紧需要保证安全的方面,也是紧容易出现安全问题的地方。因此,电子商务的安全实际上很大部分就是保证电子商务过程中网络支付结算流程的安全,这正是银行与商家,特别是客户关心的焦点问题。
一、网络支付的概念
网络支付,也称网络支付与结算,它指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统特别是Internet,以电子信息传递形式来實现资金的流通和支付。
我们也可以将它理解为电子支付的高级方式。它是电子支付的一个最新发展阶段,以电子商务为商业基础,以商业银行为主体,使用安全的主要基于Internet平台的运作平台,通过网络进行的、为交易的客户间提供货币支付或资金流转等的现代化支付结算手段。从这里可以看出,基于Internet的即时网络支付是电子商务业务流程的一个关键环节,高水平电子商务发展的需求直接导致网络支付结算的兴起。
二、网络支付面临的安全隐患
在网络支付与结算中,资金支付结算体系问题是电子商务中主要的安全隐患发生点。具体来说,目前电子商务下网络支付结算流程中面临的主要安全问题现阶段的支付风险主要存在于:支付密码泄漏。一旦攻击者通过某种方式得到支付密码,可以轻易地冒充持卡人通过互联网进行消费,给持卡人带来损失。这是人们对网上支付安全的主要担心所在。支付数据被篡改。在缺乏必要的安全防范措施情况下,攻击者可以通过修改互联网传输中的支付数据。譬如,攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等,达到谋利目的并制造互联网支付事件。支付否认。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作,若付款人否认发出资金划出指令,商业银行将处于被动局面;对于资金划入操作,若商业银行否认资金划入操作,收款人将处于不利境地。无法有效验证身份。支付方不知商家到底是谁,商家不能清晰确定网络支付工具是否真实,以及资金何时入账等。一些不法商家或个人利用网络贸易的非面对面性,以及网上站点的开放性和不确定性进行欺诈活动。系统错误。由于客户的电子贷币信息存放在相应的银行后台服务器中,当银行网络遭到非人为的损害或黑客的故意攻击而导致银行后台服务器出现错误、运行中断或瘫痪时,客户肯定无法使用其电子贷币;或者导致正在进行的网络支付进程中断,这必定影响客户的支付行为。
三、保证网络支付安全的解决方法
(一)对支付流程中涉及各方身份的认证和支付密码的保护
采用建立第三方公正的CA认证中心,使用X.509数字签名和数字证书,实现对交易各方的认证,证实身份的合法性、真实性等。作为支付方则应特别注意防止支付密码泄漏,它是网上支付案件的主要原因。持卡人应注意的问题主要有:1.识别假冒网站。消费者在认清网站域名的同时,在提交重要信息时也要验明服务器的身份。其中验证服务器证书最简明的做法,是在提交重要信息网页页面右下角会出现一个金黄色的小锁,点击它就可以查看所有该服务器证书的信息,包括服务器证书的颁发机构、证书有效期限等信息。除了服务器证书之外,还应该使用个人数字证书。2.识别虚假短信(邮件)。持卡人在收到任何与银行卡、支付有关的短信后,应确认短信发送者的真实身份或短信内容。3.不要设置简单的密码。不要采用简单数字组合、自己或亲人的生日信息、电话号码。此外,还应注意支付终端的安全性,如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时,还要注意在其他场所输入支付密码时不轻易被他人偷窥、摄像等,不要将密码记录在容易被人看到的纸片上。
(二)保证网络支付数据流内容的保密性和完整性
使用相关的加密算法对资金流数据进行加密,防止未被授权的非法第三者获取数据的真正含义。如采用DES私有密钥加密法、RSA公开密钥加密法、数字信封等保密手段。并使用如数字指纹算法等方法确认资金流信息(如支付指令)的完整性。防止支付数据被篡改需要网上支付平台采用完善的信息安全措施。当前普遍采用数字签名技术确认支付电子信息的真伪。保护数据不被未授权者建立、嵌入、删除、篡改、重放等,完整无缺地到达接收者一方。数字签名在保护数据完整性方面有两个功能,一是能标明支付数据特征值。其次,能表明特征值是由谁产生的。
(三)保证对网络支付行为和内容的不可否认性
当交易双方因网络支付出现异议或纠纷时,可采用数字任免、数字指纹、数字时间戳等技术并配合CA中心,以实现其不可否认性。支付否认是网上支付服务提供商(商业银行或专业网上支付公司)和收款人的关注点。通过数字签名可以解决否认支付问题。我们在银行柜面办理存款、取款,或是在POS刷卡、ATM 存取款,通过银行会给你一张支付回单。一旦出现争议,你可以将该回单作为交易操作的证明。互联网支付,数字签名记录可以充当“电子回单”。
为解决付款人否认支付,商业银行要求付款人在进行支付时必须附带其确认支付的签名。商业银行保存该签名结果和支付记录。一旦付款方否认支付,商业银行可以出示该支付指令签名作为证据。为解决商业银行否认结算资金转入收款人账户,收款人要求商业银行提交资金划入操作记录的数字签名。收款人验证该签名结果有效的,才确认已经收款,才能与付款人继续后续的商务活动。否则,收款人拒绝进行后续活动。
四、结论
上述安全技术可以说是信息网络技术中较为尖端的技术,都是非常先进的技术手段,只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全。但这也并非绝对安全,尽管目前安全技术发展成熟,但商业银行、第三方支付平台等支付服务商都采用各自的安全方案,难免出现安全漏洞。因此,网络支付的发展需要专业的支付安全服务公司、完善的支付安全技术标准,并建立网络支付安全评价体系和准入机制。相信随着信息网络安全技术的进步与信用机制的完善,网络支付一定能在提升服务价值的同时,通过更好的社会安全环境,保障支付各方的利益,更加健康、快速地发展。同时,让电子商务真正发挥出它交易快捷与便利的优势。
【参考文献】
[1]张海霞.网络支付的安全问题及安全策略研究[J ].山西财经大学学报,2008.
[2]卓婷婷.电子商务网上支付风险问题探析[J ].经济研究导刊,2008.
[3]李爱红.浅议电子商务网上支付的安全问题[J ].科技创业月刊,2006.endprint