淺談電子商務網上支付安全的特征

 淺談電子商務網上支付安全的特征
 
 隨著科學技術的進步，網絡觀念的日益提高，基于互聯網的電子商務正在蓬勃發展，網上支付也越來越受到人們的關注和青睞。買賣雙方不需見面，直接通過互聯網選購商品并支付貨款。在電子商務中，網上支付過程是整個商貿活動中重要的一個環節，同時也是電子商務中準確性，安全性要求最高的業務過程。網上支付的安全性從可靠性/不可抵賴性/鑒別有效性、機密性、完整性、身份認證、防火墻等特征出發做一個概述，又對網上支付的安全隱患做出一些詮釋及提出相應的解決方案。
 一、電子商務網上支付的概述
 
 隨著互聯網的普及，人們對支付系統的運行效率和服務質量的要求也越來越高，促使支付系統不斷從手工操作走向電子化，網絡化。網上支付對于很多人來說并不陌生。你也許通過某家商業銀行的網上銀行轉賬、支付交易保證金，或是通過一些專業的網上支付服務商進行過網上購物在線支付。所有這些通過互聯網進行的支付方式都是網上支付。
 網上支付和其它新生事物一起，正悄悄地影響著、改變著人們生活方式和生活態度。任何新生事物剛剛出現的時候，由于人們對其了解甚少，容易產生排斥的心理。隨著時間的推移，隨著對這些新生事物了解的加深，將會逐漸習慣并接受。
 網上支付已成為一種形式，它更能使市場經濟走上全球化，網上支付具有方便、快捷、高效、經濟的優勢。用戶只要擁有一臺上網的PC機，便可足不出戶，在很短的時間內完成整個支付過程。
 
 二、電子商務網上支付的安全性特征

 電子商務中的網上支付結算體系應該是融購物流程、支付工具、安全技術、認證體系、信用體系以及現在金融體系為一體的綜合大系統。因此，網上支付體系的建立不是一蹴而就的事，受多種因素的影響，并與這些因素相互促進，動態地發展，共同走向成熟。網上支付具有方便、快捷、高效、經濟的優勢。用戶只要擁有一臺上網的PC機，便可足不出戶，在很短的時間內完成整個支付過程。支付費用僅相當于傳統支付的幾十分之一，甚至幾百分之一。其特點：信息保密、完整性控制、數字簽名和身份認證等
 1、信息保密性。在交易時支付密碼泄漏，當被一些攻客通過某種方式得到支付密碼，可以輕易地冒充持卡通過互聯網進行消費，給持卡人帶來損失。是網上支付安全的主要擔心所在。
 2、機密和完整性。支付數據被篡改，在缺乏必要安全防范措施情況下，攻客可以通過修改互聯網傳輸中的數據。例如，攻客可以修改付銀行卡號、修改支付金額、修改收款人賬號等等，達到謀利目的并制造互聯網支付事件。
 3、身份認證。攻客可以采用“釣魚”方式達到目的，具體方式有假冒網站，虛假短信等。這些網站頁面、短信等都是他們的“誘餌”。不能識別這些詐騙手段的持卡人容易被攻客誘導，使向其泄漏自己的銀行卡支付密碼。
 4、防火墻。網上支付終端截取或網絡截獲，攻客可以在持卡人電腦上發布惡意軟件（木馬）。這些軟件能在持卡人輸入支付密碼時悄無聲息地捕獲，并偷偷地發送出去。攻客在支付終端和其它網絡設備等節點通過智能識別和密鑰破解手段得到支付密碼。
 5、暴力攻擊方式。通常支付密碼是由數字和字母組成的一段字串。而人受記憶能力的限制，該字串不會太長。當前很多發卡行采用6位數字密碼方式。借助某些工具強大運算能力的計算機，攻客可以采用密碼詞典方式逐個試探。
 6、可靠性/不可抵賴性/鑒別。網上支付是一個通過商業銀行提供的網上結算服務將資金從付款人賬戶劃撥到收款人賬戶的過程。對于資金劃出操作，若付款人否認發出資金劃出指令，商業銀行將處于被動局面；對于資金劃入操作，若商業銀行否認資金劃入操作，收款人將處于不利境地。
 7、網上支付的信用問題。在網絡支付中由于其虛擬性，超時空性等特點，使雙方互不相見，也難以客觀地判斷對方的信用等級，致使網絡支付雙方對對方的信用產生懷疑，也因此阻礙了網絡支付的發展。
 
 三、電子商務網上支付安全的解決方案

 對于網上支付安全的基礎設施，因特網安全問題至關得要，由于因特網在物理上覆蓋全球，在信息內容上無所不包，用戶群結構復雜，因此幾乎不可能對其進行集中統一管理，控制信路由選擇，追蹤和監控通信過程，控制和封閉信息流通，保證通信的可靠性和敏感信息的安全，提供源和目標認證，實施法律意義上的公證和仲裁等。
 （一）安全技術策略。
 為了確保通信的安全性，必須采取必要的措施加以防范。在通信連接方面,可以使用防火墻、代理服務器、虛擬專用網絡(VPN)等技術；在鑒別和認證方面，可以采取加密和認證技術。
 1、做好自身電腦的日常安全維護，注意以下幾點：一是經常給電腦系統升級，二是安裝殺毒軟件、防火墻，經常升級和殺毒，三在平時上網是盡量不上一些小型網站，選大型網站，知名度比較高的網站，避免網站掛有病毒、木馬造成中毒，四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼，五有條件的情況下，在初裝系統后確認電腦安全的后，給自己的電腦做上備份，在使用資金賬戶前做一次系統恢復。
 2、網上密碼保護
 （1）需要持卡人不能設置簡單密碼如“111111”的簡單的數字組合、自己或親人的生日信息、電話號碼。
 （2）還注意支付終端的安全性，如不要在網吧進行網上支付、在終端服務器上安裝反病毒、反木馬軟件。同時，還要注意在其它公共場所支付輸入密碼，謹慎別人用其它行為如偷窺、攝像等，不要把密碼記在易被人發現的紙上。
 （3）密碼能輕易為攻擊者騙取、竊取或解破，更為一個重要的原因是支付密碼本身缺乏一定的防攻擊、竊取能力。因密碼通常用字母、數字的簡單組合，屬于低安全強度的保護機制。而我們應采用高安全強度的加密機制。如數字證書代替或補充支付密碼就是一種有效方式，很多商業銀行的專業。
 （二）用證書技術解決網上支付安全問題
 就網上支付安全問題來看，中國的保障體系明顯比其完善在中國,網上支付安全問題并沒有外界傳說的那么可怕，只是目前很多消費者還不了解中國網上支付有諸多的保護措施，也缺乏必要的安全交易常識,這些是導致網上支付所謂不安全的最直接原因。要解決這些問題，可以采取移動證書，瀏覽型證書或者是動態密碼等技術手段。同時培養消費者的使用習慣，增加消費者的安全意識和交易常識。
 （三）法律保障。由于電子商務各項活動首先是一種商品的交易，因此安全問題應當通過相關法律加以保護，必須保證電子合同和數字簽名的法律地位、簽約雙方對電子合同的認可、電子合同的不可否認或修改,確保電子合同能夠得以實施。
 （四）完善的管理策略。由于電子商務交易系統是一個人機高度綜合的系統,除了網絡的安全之外，管理人員的管理也是非常重要的，而且是起決定性作用的因素。因此，對整個系統的管理權限的分配和監督、管理人員的培訓和考核、道德和業務水平的培養都必須制定出一套完整的規章制度，以利于培養管理人員敬業愛崗的精神。
 
 四、結論

 本文通過對網上支付安全有針對性的提出各種遇到的問題（網上支付的安全隱患）及建議（網上支付的安全解決方案），提出來了從網上交易密碼、防止支付數據被篡改需要數據的安全、網上支付系統的安全性保護和完善網絡很行系統的安全來保障網上支付的安全。本報告讓我收獲頗多，讓我充分的意識到盡管目前安全技術發展成熟，但商業銀行、第三方支付平臺等支付服務商都采用各自的安全方案，難免出現安全漏洞。因此，網上支付的發展需要專業的支付安全服務公司、完善的支付安全技術標準，并建立網上支付安全評價體系和準入機制。只有如此，網上支付才能在提升服務價值的同時，通過更好的社會安全環境，保障支付各方的利益，更加健康、快速地發展。其實，這和現實生活中被騙并無區別。提高自身防范意識，就是最好的安全保障。