《2022年电子支付安全问题分析 .pdf》由会员分享,可在线阅读,更多相关《2022年电子支付安全问题分析 .pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、一 电子支付安全问题分析1。1 社会信用度欠缺,用户对电子支付的安全性信心不足据中国电子商务诚信状况调查显示,有 23。5%的企业和26。 34的个人认为电子商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。目前,在网上传得沸沸扬扬的“江西精彩生活利用传销电子商务“外衣 拉人事件就给了人们不良印象 ,唐庆南创办开通的太平洋直购官方网站,以“收取保证金”“购物返利”等形式推出了涉及供应商、渠道商、消费者和电子商务平台四方的BMC 模式。以“拉人头” “收取入门费”等方式发展渠道商,收取保证金,获取非法利益,造成了严重的社会危害,涉嫌传销违法犯罪。这一案例使得人们对于网
2、上交易又开始望而却步。1。 2 电子支付产业发展迅速,但市场秩序仍不规范随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来.2010 年,江西省农村信用社网上银行-“百福网上银行正式开通,江西省农村信用社发放的百福借记卡数量增长明显, 同时积极与第三方机构合作,成功开发多功能受理终端并快速实现投放和应用, 有效满足了江西省农村信用社持卡用户和中小商户的支付需求。与以往相比, 用户可选择的支付手段和方式丰富了许多。然而 ,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。 目前国内有关法律法规对电子支付的权利和义务规定不清晰,缺乏网络消费和服务
3、权益保护管理规则,没有专门的法律来规范网络银行的经营和使用.特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。第三方支付企业的法律性质的定位问题;第三方支付企业是否具备向用户提供电子支付服务的资质与能力的问题;银行与第三方支付机构对电子支付过程中应当采取哪些风险防范的问题;在电子支付过程中发生纠纷时责任的划分与举证责任的认定问题等.另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处. 1.3 网络侵权行为和网络信息恶意被盗行为时有发生网络侵权行为主要有:(1)互联网服务提
4、供商(ISP Internet ServiceProvider) 的侵权行为。例如:ISP 把其客户的邮件转移或关闭, 造成客户邮件丢失、个人隐私、 商业秘密泄露。(2)互联网内容提供商 ( ICP InternetContent Provider)的侵权行为。ICP 是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散, ICP 构成侵害用户隐私权. (3)网络信息恶意被盗,这个问题直接关系到交易各方的利益。买方存在信用卡密码被盗或泄露从而导致资金流失的风险,商家弄虚作假从而导致买方已付款却收不到货的局面;卖方存在未能识别电子伪钞进而向不真实的
5、买主交货,导致“钱货两空”的风险;银行则存在向虚假商家兑现后因买方收不到货从而拒付的风险,买方、卖方和银行都面临着巨大的风险。网上交易所能带来的巨大机遇和丰厚利润也无时无刻不在吸引着那些喜欢冒险的络入侵者,今年央视315 晚会曝光的网盗揭示了一个可怕的事实:地下木马产业正通过灰鸽子、上兴远控、 Ghost 木马等各种“肉鸡控制工具 ,疯狂侵蚀着互联网安全甚至财富。随着“网上大盗”数量的不断增多,这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内的完整产业链形态。根据360 安全中心的监测数据,央视所揭露的仅为木马产业的冰山一角:整个地下木马产业从业人
6、员已接近百万的规模,光是2008 年就制造种旨在盗号、窃取隐私、抓“肉鸡”的木马9743122 种,目前全国的“肉鸡”最少有 400 万台,如果黑客大规模操纵起来,会造成极大的社会危害。二 电子支付安全的防范提高电子支付安全性的对策为推动电子支付的健康发展,提高电子支付的安全性,需要从以下范围构筑防范体系: 2.1 构建严密的电子支付监管体系名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 3 页 - - - - - - - - - 由于我国对电子支付提供商监管的缺失,少数
7、第三方电子支付企业在处理电子商务过程中庞大的资金流时,突破经营限制,从事吸收存款等违法活动.构建安全高效的电子支付流程监管体系,可以对电子支付服务提供商进行有效的管理和控制,以防范与电子支付相关的金融风险.需要从以下几方面入手: (1)严格制定电子商务的准入机制( 2)电子支付大额资金流监测 (3)建立反洗钱系统(4)加强账户管理。在实际生活中从事赢利性的行为都需要营业执照,但目前电子商务却在这方面比较宽松,很多中小企业和个人商户并无营业执照,使得消费者难以确认身份, 商品质量也没有保障,应该加快步伐通过立法, 严格电子支付提供商的准入机制. 2.2 构建覆盖全社会范围的信用评估体系调查表明,
8、64。 2的公众和71. 1%的企业在网上交易时会查看卖方的信用评价,企业信用状况无疑是解决电子商务诚信问题的一个很大因素,但目前我国还没有一个权威公正的信用体系。 为促进电子商务快速健康发展,构建安全高效的电子支付信用评估体系,需要从以下几方面入手 : 信用评估指标体系的制定与研究、建立支付信用信息系统、落实账户实名制。制定相关统一的第三方支付标准,实现与传统支付清算的对接,采用类似银联的模式,解决用户、商家、银行之间的相互选择问题,提供透明、便利的电子支付服务。建设为政府管理部门金融机构和社会公众提供支付信用信息特别是票据信用信息查询服务的支付信用信息系统,为落实账户实名制,可与公安部合作
9、,建设联网核查公民身份信息转接平台,面向全国所有的商业银行提供公民身份信息核查、查询功能。 在此之上, 继续研究电子支付信用数据交换模型和网络服务方案,结合目前人民银行的征信体系数据,客观、公正、全面地提供电子信用评价服务,完善信用评价指标体系,设计与其他相关系统和部委之间的网络服务平台,设计数据交换模型,制定与其他相关诚信系统互联互通的服务方案。2.3 完善网络信息安全技术通过因特网上进行电子支付,确保网上帐户和个人信息的安全性,还可以通过网络信息安全技术来实现。网络安全技术主要从以下几方面来解决电子支付安全性问题: (1)架设防火墙。它是近来发展的最重要的安全技术,它的主要功能是加强网络之
10、间的访问控制 ,防止外部网络用户以非法手段通过外部网络进入内部网络。(2)数据加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。(3)数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。(4)数字时间戳技术。 在电子商务交
11、易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳数字签名方案:验证签名的人或以确认签名是来自该小组,却知道是小组中的哪一个人签署的.指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。(5)还可以通过设置电子商务信息安全协议来进行.现有的电子商务交易协议有多种,但是目前常用的只有SSL 和 SET 两种。安全套接层协议(Secure Sockets Layer, SSL) ,SSL 协议向基于TCP/IP 的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。安全电子交易公告(
12、Secure ElectronicTransactions, SET) 。SET 是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET 在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。P2P(Peer-to-Peer,即对等网络)技术是近年来广受IT 业界关注的网络安全技术。P2P 是一种分布式网络,最根本的思想,在于网络中的节点( peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
13、第 2 页,共 3 页 - - - - - - - - - Client 和 Server的双重身份。 一般 P2P网络中每一个节点所拥有的的权利和义务都是对等的,包括通讯、服务和资源等电子支付安全问题分析与对策费.在 P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P 系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。 P2P 中,所有的通讯参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠
14、性,能够为用户提供更好的隐私保护. 2。 4 构建统一的电子支付安全认证平台为确保电子支付信息的真实性,还需要有相应的电子商务认证机构,为买卖双方提供值得信任的认证服务。 为电子支付业务应用提供保障的安全认证技术在我国已经了较好的研究与应用. 我国自主研制出入侵容忍PKI 系统、 PMI 权限管理系统、 电子证书认证系统、PKI 中间件等一批认证产品和支撑系统。这些技术和产品在在人民银行多个主要业务系统中得到应用。CFCA 证书及各商业银行的CA 证书已经在银业务领域得到广泛应用。2.5 加强电子支付的立法工作我国对电子商务的立法还是很积极的,目前我国的相关法律有电子签名法 、 支付清算组织管
15、理办法和电子支付指引(第一号) 。确保电子支付中资金的安全是我们最关注的问题。除了银行要做好安全工作外,第三方支付平台也要不断加强这方面的工作,同时,政府在这方面做一些规范也十分必要。电子支票的功能和运做更接近于ATM 卡类的支付工具。在我国应制定专门的电子票据法,对电子票据尤其是电子支票的相关问题进行规范和调整。同时银行同业要尽快统一电子支付体系与规范,进一步消除制约网上结算业务发展的不利因素。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 3 页 - - - - - - - - -