1、阳泉学院毕业论文评阅书题目:论电子商务支付安全 管理工程系 电子商务 专业 姓名习惯了华 设计时间:2012 年03月07日2012 年05月06日 评阅意见:成绩: 指导教师:(签字) 职务:200 年月日阳泉学院毕业论文答辩记录卡 管理工程 系电子商务 专业 姓名樊习惯了华答 辩 内 容问 题 摘 要评 议 情 况 记录员: (签名)成 绩 评 定指导教师评定成绩答辩组评定成绩综合成绩注:评定成绩为100分制,指导教师为30%,答辩组为70%。专业答辩组组长:(签名) 200 年月日iii前 言随着Internet的迅速发展和广泛应用,人们开始习惯于利用开放快捷的网络进行各种采购和交易,从
2、而导致了电子商务的出现,并使其成为业界新热点。电子商务的显著特点就是增加贸易机会,降低贸易成本,简化贸易流程,提高贸易效率。在交易过程中,消费者、商家、企业、中间结构和银行等需要通过Internet网络进行资金的流转,这就需要通过网络支付或电子支付的手段来实现.因此,电子商务活动必然牵涉到支付,安全有效的支付是电子商务的重要环节.从技术上讲,电子商务最关键的问题是如何安全地实现支付功能,并保证交易各方的安全保密。因此,支付安全是整个电子商务安全的瓶颈。随着电子商务的深入发展,支付领域的创新成为可能,尤其对于潜力巨大的C2C市场,合适的支付机制将改变目前在线竞价市场热闹而缺乏交易的局面。我国的网
3、上支付业务随着电子商务的发展而不断发展,进步,但是要想赶上国外,尤其是欧美国家的电子商务发展,还有一定的距离。因为要想赶上甚至超越国外的电子商务,就要学习和分析我国的不足和国外的先进技术,尤其是在网上支付平台上的差距。目 录摘要11. 绪论31.1选题的背景31.2研究现状31.3主要内容31.4研究方法42电子支付的概述42.1电子支付与电子商务的概念42.1.1电子支付的概念42.1.1电子商务的概念42.2电子支付与电子商务的关系53. 电子支付发展概述53.1全球的电子支付发展概况及发展趋势53.1.1全球电子支付发展概况53.1.2全球电子支付发展趋势63.2我国的电子支付发展概况及
4、发展趋势63.2.1我国电子支付发展概况63.2.2我国电子支付发展趋势74网上支付安全问题及对策84.1 网上支付的定义84.2网上支付的功能84.3网上支付存在的安全问题94.3.1网上支付中银行面临的风险和安全问题94.3.2网上支付中客户面临的风险和安全问题114.4例建行的网银盾154.5网上银行安全案例分析175.电话支付存在的安全问题及相应对策185.1电话支付概述185.1.1电话支付基本概念195.1.2 电话支付的特点195.2电话支付的存在的安全问题及近年的案例195.2.1电话支付的存在的安全问题195.2.2案例分析205.3电话支付的安全策略225.3.1客户保障自
5、己电话支付账户安全需注意225.3.2电话支付计算机系统方面的安全策略236.自助支付存在的安全问题及相应对策236.1自助支付概述246.2自助支付存在的安全问题246.2.1 ATM交易存在的安全问题246.2.2 POS安全问题266.3.针对自助支付安全问题的对策276.3.1 ATM276.3.2 POS287.移动支付存在的安全问题及相应对策297.1移动支付概述297.1.1移动支付的简介297.1.2.移动支付分类297.1.2.1根据用户账户的不同分类297.1.2.2根据技术实现方式分类297.1.2.3根据支付方式不同分类307.2.1.移动支付面临的安全威胁307.3移
6、动支付的安全对策307.3.1移动支付身份认证技术317.4例建行手机银行的安全机制31结束语35参考文献36致谢37阳泉学院-毕业论文论电子商务支付安全摘要:电子支付作为一种全新的支付方式,它有很大的发展前途,且随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电于支付环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务支付的核心问题。分析了电子商务支付中存在的安全问题,并阐述目前解决电子商务支付安全隐患的主要安全技术及相关策略。 关键词:电子支付;安全问题;安全策略E-commerce payment security summaryelectronic
7、payment as a new way of paying, it has a great future, and the consequent security problems have also become more and more prominent, how to build a safe, convenient for payment environment, provide adequate protection for information, are businesses and users are very concerned about the topic. Sec
8、urity has become a central issue of electronic payment. Analysis of security issues in e-commerce payment, and now that key security technology of e-commerce payment security risks and related policies. Keywords: electronic payment; security; security policy1. 绪论1.1选题的背景近几年,Internet作为通信技术、网络技术和信息技术的
9、载体与表现形式,呈现了爆炸式的增长方式,而基于Internet的电子商务应用也得到了空前绝后的发展,并出现了各种各样的商务交易方式和电子支付方式。虽然电子商务在商务流程和购物流程电子化等方面积累了很多的经验,奠定了强大的技术基础和商务基础,但现在很多消费者不愿意或惧怕在网上进行购物和网上支付,究其原因,安全性一直是人们所担心和关注的话题,如何保证电子商务支付的安全性、对敏感和个人信息提供机密性保障、认证交易双方的合法身份,保证数据的完整性和交易性的不可否认性等,已经成为制约电子商务支付发展的瓶颈,也成为众多学者、研究开发人员、政府人员和管理人员所共同关注的目标。1.2研究现状随着我国互联网的高
10、速发展,电子商务越来越成为我国经济重要的组成部分,各种网上商务行为的逐渐普及,让电子支付得到了更加广泛的应用,也得到了国家层面的更大重视,最近一年来,国家级超级网银和央行关于规范第三方支付市场的相关规定的相继出台,都一方面证明电子支付目前的市场地位,也从旁证明了电子支付行业广阔和光明的未来,但是不可忽视的是,安全问题也越来也突出。这两年来,我国的电子支付得到进一步的发展,电子商务逐渐行业化、细分化,很多行业在电子商务领域深度发展,甚至出现了很多以前没有的行业和领域,电子商务领域行业化细分的结果,造成各行业在电子支付上,不再满足于通用的常规支付产品,而是根据自己行业的电子商务特点,衍生出不少独特
11、的支付需求,在这种支付需求的引导下,电子支付行业进入细分阶段,各个支付企业分别针对不同行业的不同需求,定制开发了适应了行业需求的电子支付产品。2011年是“十二五”规划实施的第一年,也是我国电子支付企业发展与突破的一年。在经历了新一轮调整后的经济复苏时期,大量传统行业寻求借助信息技术提高运营效率、拓展营收渠道,这一趋势带动了各企业开始在创新金融方面进行大量有益尝试,客观上为电子支付市场的迅猛发展提供了充分条件。1.3主要内容本文分为五个部分进行电子商务与支付安全的探讨,第一部分绪论研究了写作本文的背景、目的、意义和内容。第二部分是电子支付的一些相关概念和电子支付与电子商务的关系,主要有电子支付
12、及电子商务的概念,其次是电子支付与电子商务的关系,主要阐述了支付是电子商务的重要组成部分;电子商务极大地推动了电子支付的发展。第三部分主要分析我国及全球的电子支付发展概况和发展趋势。第四部分根据支付渠道的不同从四个方面对安全问题展开说明,分别介绍了网上支付、电话支付、自助支付、移动支付和第三方支付在支付中存在的安全问题,面临的安全威胁以及应对这些问题的的安全对策。1.4研究方法本论文采用了以下研究方法:(1)例证法。举例论述了一些支付方式在实际运用时所体现的安全问题,并分析出现这些问题的原因,及预防措施。(2)总结归纳法。总结了各种电子支付方式在支付过程中存在的安全问题和针对这些问题的解决措施
13、。(3)调查法。搜集并查阅资料进行分析、综合、比较、归纳,从而全面的分析各种支付存在问题及相应对策。2电子支付的概述2.1电子支付与电子商务的概念2.1.1电子支付的概念电子支付,是指以电子计算机及其网络为手段,将负载有特定信息的电子数据取代传统的支付工具用于资金流程,并具有实时支付效力的一种支付手段。它具有两个层面的含义:一是计算机及其网络为手段,将传统的支付方式电子化,即以电子通讯取代传统的信函、电报等用来进行资金流动的信息传递,如通过ATM转账或通过POS进行结算等;二是以某种形式的电子信息完全取代现金、票据等传统的支付工具进行资金的传递,如网上支付、第三方支付方式等。2.1.1电子商务
14、的概念电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。2.2电子支付与电子商务的关系支付是电子商务的重要组成部分,信息流、资金流、和物流是电子商务的三大环节,其中资金流即支付处于核心地位。电子商务的快速发展要求支付的同步。电子商务没有了支付,也就真正意义上的“虚拟商务”,只能是电子商情、电子合同,无法实现网上成交。因此,支付是电子商务发展的关键环节,也是它发展基础。电子商
15、务极大地推动了电子支付的发展,但是,在追求速度的电子商务环境下,如果依赖传统的支付方式,如现金、银行汇票、票据等,付款及清偿的流程将成为电子商务交易的瓶颈。例如,各种票据支付的方式普遍速度过慢;货到付款虽然省去了网上付款的设置成本,却存在延迟与不确定性;银行卡付款虽然方便,但若无任何措施保护下在网上直接进行信用卡资料的传输,无疑非常危险。此外,Internet上许多交易都是小额交易,传统的支付方式处理成本太高,不适宜进行电子商务支付。可以看出,电子支付是电子商务的关键环节。特别是网上支付作为电子支付发展的高级阶段,更是电子商务得以顺利发展的基础条件。电子商务的需求直接导致了电子支付中网上支付如
16、在线直接转账、手机支付、第三方支付的兴起。值得注意的是,尽管电子商务的快速发展催生了电子支付,且电子支付也是电子商务的重要组成部分,但是单子支付与电子商务支付方式之间存在着一些范围上的区别。从电子支付的概念来看,电子支付包括自助银行支付、网上银行支付、第三方支付、电话银行支付、移动支付等;而电子商务支付则只包括网上银行、第三方支付、电话银行支付、移动支付。3. 电子支付发展概述3.1全球的电子支付发展概况及发展趋势3.1.1全球电子支付发展概况目前全球电子支付产业正处于高速发展期,且全球电子支付的发展处于非平衡状态,发展最快的为西欧和亚太地区。电子支付工具在金融信息化的推动下蓬勃发展,科学技术
17、的浪潮席卷全球,计算机技术、通信技术、新材料技术、生物技术等飞快发展,给世界经济和人们的日常生活带来了日新月异的变化。其中信息技术的发展最为迅速,影响也最为深远。信息技术普遍应用于银行、证券、保险等金融领域,使古老的金融也迎来了新的发展机遇,一银行卡为代表的电子支付工具,就是信息技术应用于金融领域的成功典范。电子支付工具提供电子支付渠道实现不同帐户间资金所有权的转移,因其突破了现金支付的诸多局限性,受到人们的广泛欢迎,因此逐渐成为除现金外,人们应用最广泛的支付方式。另外,初了银行卡外,如储值卡、虚拟卡等也得到了快速应用和发展;而电话银行支付、移动支付等方式的纷纷涌现,方便了人们的生活和购物;在
18、我过,第三方支付方式也以独特的身份存在于电子支付之中,其发展规模不断扩大,发展前景看好。3.1.2全球电子支付发展趋势经过几十年德发展,电子支付产业已经形成了明确的分工合作格局,发卡、转接、收单等各领域都有专门的参与主体各司其职,例如银行专注于经营发卡业务;银行卡组织机构专注于发展通用的支付渠道网络,等等。它们在各自的分工领域进行专业化的运作,不断的构建和形成在该领域的核心竞争力,取得了卓著的经营成效。随着产业的进一步发展,这种分工还有继续细化的趋势,以使产业的专业化运作程度进一步提高,资源的配置更合理、高效。同时,由于电子支付产业是一个规模经济产业,因此,随着产业的不断发展和竞争的优胜劣汰,
19、在每一个分工领域,基本都形成了垄断竞争的局面,除网络运营和收单之外,在发卡领域这种格局也非常明显。2003年,以花旗、MBNA等为代表的十大发卡机构的市场份额就占全美的80.5%。以后,在分工合作的同时,各参与主体又纷纷向其他业务领域进行渗透和融合,以维持和巩固其原有的核心竞争地位。归纳起来,电子支付的发展将呈现出以下趋势:(1)电子支付替代纸质支付(如钞票和票据)的趋势不可逆转,电子支付交易量和交易金额在总体支付交易量和交易金额中所占的比重将不断增大,电子支付在支付体系中的地位将日益重要。传统落后的支付方式必定会脱离支付系统,新兴的支付方式会具有更强的生命力。(2)电子支付的形成将呈现出多样
20、化。随着电子信息产业峪通信技术的发展,支付工具的电子化和支付系统的电子化已成为电子支付的表现形式。同时电子支付的具体形式呈现多样化的趋势,生物识别、智能卡、移动商务等众多新兴形式的出现,为电子支付市场提供了个性化的支付服务产品。(3)电子支付总体上朝着安全、高效、便捷的方向发展。高效、便捷、迅速是电子支付固有的优势。同时,随着安全认证技术的使用和相关法规制度的完善,电子支付面临的运行风险和法律风险也逐步得到控制,因而整体上变得更加安全。3.2我国的电子支付发展概况及发展趋势3.2.1我国电子支付发展概况目前国内电子支付市场主要有几大阵营:一是独立的第三方支付企业,比如快钱、易宝支付等;二是国内
21、电子商务交易平台价值链延伸的在线支付工具,比如支付宝、财付通、百付宝等;三是银行阵营,比如中国银联的ChinaPay以及各个银行自己的网上银行等;四是以中国移动等电信运营商为代表的移动支付企业。 作为支付市场之一,第三方支付市场竞争激烈,网络消费对其贡献巨大。EnfoDesk数据显示,2011年第四季度,中国第三方互联网在线支付市场格局继续保持稳定。支付宝以46.9%的市场交易额份额占据市场第一的位置,财付通和银联网上支付分别以21.4%和10.4%排名第二和第三。2010年,中国通过网络支付完成的交易总额首次超过1万亿人民币。根据央行的数据,在电子支付领域占据庞大份额的各种卡类2010年的零
22、售额达到10.4万亿人民币,约占零售总额的35%。而在十年前,中国人在购物时几乎完全使用现金。据数据显示,2013年的交易额有望达到现在的3倍。3.2.2我国电子支付发展趋势长远来看,第三方网上支付占社会支付交易额比重任然较低,未来电子支付的比重会加大,而第三方网上支付运营商是电子支付产业链中最有竞争力的一环;目前电子商务一定程度上改变了中国的商业环境,未来这种改变仍将继续,2010-2015年是初见成效和继续推进的时期;网上支付行业竞争较为良性,与产业链合作较为紧密,能够为多方创造价值。用户的选择是网上支付发展的基础和动力。2009年网上支付用户规模增速73.1%,而深度用户的增速不及20%
23、。提高用户的使用黏性是网上支付发展的关键。2010-2015年电子支付会以网上支付、电话支付、移动支付为主要手段,渗透到生活的三大方面,一是文教娱乐,包括游戏、电影、演出、教育等一切可以电子化参与的内容;二是日常消费,比如手机充值、网上商城购物、预订机票酒店、订购鲜花礼品等;三是个人理财,包括信用卡还款、保险、基金投资,自助整理银行帐户等。从电子支付行业的发展过程可以看出,这些年的电子支付发展,走的是一条从合到分的历程,一开始由于电子商务形态单一,对电子支付的功能需求也较为单一,电子支付仅仅作为电子商务的一个服务产品或者软件存在,依附于各个电子商务中,而没有形成自己的平台,到后来,随着网上支付
24、的需求越来越多,各大电子支付企业都相继推出了适应了大众化需求的电子支付平台,这些平台使用简单、操作方便,适合于各个行业的简单需求,满足最基本的电子支付功能,目前我们常用的很多支付平台基本都属于这种性质。这两年来,我国的电子支付得到进一步的发展,电子商务逐渐行业化、细分化,很多行业在电子商务领域深度发展,甚至出现了很多以前没有的行业和领域,电子商务领域行业化细分的结果,造成各行业在电子支付上,不再满足于通用的常规支付产品,而是根据自己行业的电子商务特点,衍生出不少独特的支付需求,在这种支付需求的引导下,电子支付行业进入细分阶段,各个支付企业分别针对不同行业的不同需求,定制开发了适应了行业需求的电
25、子支付产品,比如针对信用卡的电子支付,环迅就推出了ICPAY(国际信用卡卡支付系统)产品,主要是基于国际信用卡支付的模式,在一般支付产品的基础功能上,强调了强大的支付功能和极高的风险控制标准等。然而作为电子商务的服务领域的电子支付行业,势必还要随着电子商务的发展继续发展,电子商务领域在行业化细分之后,又出现了行业内或者企业内支付多元化的趋势,这是我国电子商务深入发展所带来的,以往电子商务对电子支付的需求,往往只限于供销环节,而没有涉及到其他经营环节,而随着电子商务在企业经营中的逐渐扩散,对支付的需求也不仅仅限于供销,这就对电子支付提出了新的要求,电子支付必须要满足企业或者行业的多方面需求,并且
26、能够打通各个支付环节,甚至还需要在各个行业之间,尤其是上下游行业起到资金链整合和顺畅流通的作用。换句话说,在电子支付行业细分产品之后,又到了需要电子支付行业整合细分产品的时候了。4网上支付安全问题及对策4.1 网上支付的定义网上支付是指电子交易的当事人,包括消费者、企业和金融机构,使用安全的电子支付手段通过网络进行的货币支付或资金流转。4.2网上支付的功能1. 自助开通,开通/取消网上支付功能:在登录网上银行后,可以在电子支付模块设置开通或者取消网上支付功能;2. 设置网上支付帐户:用户的信用卡关联到网上银行后,可以自行设置一个或多个银行卡账户用于网上支付,也可取消已设置的支付账户;3. 在线
27、查询支付记录:可在网上银行中查询过去一年内的网上支付交易记录,方便地管理自己的购物账单;4. 定制免费短信提醒:在开通网上支付时,可选择开通免费的网上支付短信提醒服务。在成功完成一笔网上支付功能后,系统将发送支付结果信息给用户,帮助用户随时掌控网上支付信息;5. 设置交易限额:用户可自行设置网上支付交易的每日累计限额。4.3网上支付存在的安全问题4.3.1网上支付中银行面临的风险和安全问题站在银行的立场上来说,银行是一个特殊的行业,在国民经济和社会生活中扮演者重要角色,发挥着重要作用。银行的业务数据多种情况下是与储户账户相关的敏感数据,如储户的账户号码、账户密码、账户中的存款余额等,而互联网是
28、一个开放的公共网络,在这样一个开放的网络上拓展银行的传统业务,安全性是需要考虑的首要问题。一般来说,网上银行支付系统在运行过程中会有安全威胁,网上银行支付业务的发展离不开技术手段的支持和应用。因此,网上银行支付业务给银行带来了各种各样的与技术相关的风险,特别是操作风险、战略风险、信誉风险和法律风险等。下面就银行面临的安全威胁和风险分别进行叙述:因为网上支付过程是在一个开放的公共网络上进行的,一般来说,网上银行支付系统在运行过程中收到的安全威胁主要来自以下方面:(1)假冒用户身份。攻击者盗用合法用户的身份信息,以假冒的身份于他人进行通信。这是最常见的网络攻击方式,传统的对策才用用户名和登录密码来
29、对用户进行身份认证,用户名和登录密码是以明文的形式在网上传送,这就很容易被攻击者截获,攻击者可以据此非法访问系统,冒充授权者发送和接受信息,造成信息的丢失和泄露。(2)窃取网络上的信息。攻击者在网络的传输链路上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通讯电文中的敏感信息。系统中的用户及外来者未经授权偷看或窥视他人的电文内容以获取商业秘密,损害他人的经济利益。(3)篡改网络上的信息。攻击者在截取到网络上的信息后,可能篡改其内容。(4)否认所发的信息。用户可能对自己发出的信息进行恶意的否认,例如否认自己发出的转账信息等。(5)重发信息。除了以上情况外,还存在“信息重发”的攻击方
30、式,即攻击者再截获网络上的密文信息后,并不将其破译,而是把这写数据包再次发送,以实现恶意攻击的目的。(6)电文丢失。安全措施不当会导致丢失电文,如误删。(7)抵赖。某些用户会恶意否认自己曾进行过的网上交易,易造成银行经济损失。(8)拒绝服务。局部系统的失误及通信各部分的不一致所引起的事故二导致系统停止工作货不能对外服务,即所谓的拒绝服务。局部系统出自于自我保护目的二故意中断通信也会导致拒绝服务。正因为网上银行支付系统尊在着许多安全威胁,网上银行支付业务难免会面临一些风险。下面介绍开展网上银行支付银行可能遇到的风险:1.系统风险 (1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接
31、和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准Common Criteria for IT Security Evaluation(简称CC标准),微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。 (2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错
32、误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。 在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。 (3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。 (4)数据传输风险。数据传输过程中被窃取、修改等风险。 2.操作风险 网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点: (1)网络银行操作风险意识淡薄。 (2)组织机构职责不清。 (3)内控制度不健全或执行不力。 (4)没
33、有适合的网络银行稽核审计部门。 3.信用风险 网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。 4.信息不对称风险 信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。 5.法律风险 我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。4.
34、3.2网上支付中客户面临的风险和安全问题对于个人消费者,习惯了一手交钱一手交货的购买方式,对网上银行支付的技术安全不免担心,敲几个键、点几下鼠标,就把钱拨了出去,心里总感觉不踏实。网上银行支付安全涉及客户的网上信息资料、帐户密码、资金与资产等各个方面,在使用网上银行支付时,消费者可能遇到的安全问题可以概括为以下几点:(1)用户卡号和密码被盗。据金融部门分析,客户安全意识薄弱是影响网上银行支付交易安全的一个重要原因,不少网上银行用户设置密码过于简单,容易被不法分子试出,或将自己网上银行密码设为与其他网站的用户密码相同的密码,而其他网站由于缺乏严密的安全控制机制,密码数据库容易被攻破或泄露并殃及网
35、上银行密码。部分网上银行用户还在公共计算机上使用网上银行支付服务,极易被隐藏在公共计算机上的病毒、木马程序等通过键盘记录盗取密码。同时,我国的金融企业的网址域名还没有规范,因此从网址名称上很难判断真假,不法分子利用这一点,制作与真正网上银行网站极为类似的假网站、假支付页面等“网络钓鱼”形式,利用部分客户安全意识薄弱,要求客户填写个人帐号、密码等银行资料信息,骗取客户网上银行登录和交易密码。(2)用户误操作,造成消费者经济损失。网上银行的业务都需要客户具备一定的操作技能,如果客户操作不当,就会造成不可挽回的损失;更严重的是犯罪分子利用邮件、假网站等方式骗取客户的网上银行信息,盗取资金,给客户造成
36、巨大损失。(3)双方的身份确认出现问题。在互联网上,银行和用户间需要双向的身份识别和确认。这也是所有互联网上的电子商务都要解决的问题。对用户来说,在互联网上存在一些假冒的银行网站,用户需要正确的识别和登录到银行的网站,一旦登陆的网站错误,用户发送的所有信息都会被非法网站所截获和利用。另一方面,银行要正确的识别和确认用户身份,确认用户身份的方式有的比较安全,而有的仅靠用户名和密码构成用户帐号,一旦用户帐号被盗取,银行的计算机是无法识别出非法用户。(4)客户的计算机被攻击。无论是个人还是企业对于在网上开展支付业务都要非常谨慎,因为网上银行支付在利用互联网公共资源的同时也有可能暴露出银行系统中的某些
37、弱点,从而让那些利用电脑犯罪的罪犯有机可乘,网上银行支付所推出的金融产品、服务方式和服务内容,就将在开放的环境下一览无余,更利于犯罪分子的研究、跟踪,这样的案例在国外并非鲜见。比如,“黑客”于2000年2月大规模地袭击了全球重要的电子商务网站,一直相对安全的世界最大的门户网站之一雅虎也难以幸免。当然面对实际网上交易可能引来网络入侵者,不管是盗窃还是更改电子资金资料,对于网上支付用户来说,都是冒着极大的风险。4.3网上银行支付的安全对策1.系统风险的防范 (1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减
38、少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。 (2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平
39、台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。 (3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。 对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便
40、。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。 (4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协
41、议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。 加强应用系统开发过程的审计,应用系统运行过程中的实时审计。 (5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。 (6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录
42、、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。 2.操作风险的防范 操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。 建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对
43、网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。 来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。 3.信用风险的防范 建立全国
44、性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。 4.信息不对称风险的防范 建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。 5.法律风险的防范 应充分利用和执行网络银行业务管理暂行办法,应充分利用合同法、会计法、票据法、支付结算办法等
45、法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如计算机信息系统安全保护条例、计算机信息网络国际联网管理暂行规定等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。 建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立电子银行法、电子签名法、电子资金划拨法等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据
46、法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。4.4例建行的网银盾建行网银盾,是建设银行近期新推出的高强度网上银行安全产品,是将预先制作好的电子证书在银行内部环节就直接写入USB Key中,即领即用。客户在网上银行操作时,如果签约并领取了预制证书即“建行网银盾”,其以后的网上银行操作将不再需要下载数字证书,改变了以往客户在取得空白USB Key后,使用网上银行之前还须手动下载证书的做法。操作流程更简单、快捷。315消费投诉榜日前发布,网购欺诈成为投诉重灾区。与此同时,“网银刺客”等木马也严重威胁着消费者的资金安全。根据360网购保镖监测,“网银刺客”会暗中劫持受害者网银支付资金,影响十余家主流网上银行,建议广大消费者上网购物时开启安全软件防护。作为“网银刺客”的受害者,网友赵女士上周末在微博表示,“在
浙ICP备2021020529号-1 | 浙B2-20240490 
