陸斌華

【摘 要】網(wǎng)絡(luò)支付，是網(wǎng)上銀行的發(fā)展方向。它改變了傳統(tǒng)的支付結(jié)算處理方式，使支付活動(dòng)不再受地域、時(shí)間的限制，為客戶提供了便捷的支付渠道，適應(yīng)現(xiàn)代經(jīng)濟(jì)發(fā)展的需要。同時(shí)我們也應(yīng)該注意網(wǎng)絡(luò)支付的潛在安全風(fēng)險(xiǎn)，在網(wǎng)上支付的同時(shí)，必須確保網(wǎng)絡(luò)支付的安全。本文從網(wǎng)絡(luò)支付面臨的安全問(wèn)題出發(fā)，利用相關(guān)安全技術(shù)有針對(duì)性地探討了種種網(wǎng)絡(luò)支付安全問(wèn)題的解決方法。

【關(guān)鍵詞】網(wǎng)絡(luò)支付；電子商務(wù)；安全

目前，網(wǎng)絡(luò)的爆炸性發(fā)展和應(yīng)用，不僅使其成為全球最大的、最具發(fā)展前途的通信媒介和交換共享信息的新媒體，還開辟了一種嶄新的商業(yè)交易方式，即電子商務(wù)。電子商務(wù)覆蓋面廣、運(yùn)作時(shí)間長(zhǎng)、跨時(shí)空等鮮明特點(diǎn)大大增加了企業(yè)商業(yè)機(jī)會(huì)，但同時(shí)也帶來(lái)了一系列的問(wèn)題。其中最突出的一點(diǎn)就是安全問(wèn)題。由于電子商務(wù)的遠(yuǎn)距離網(wǎng)絡(luò)操作性而非傳統(tǒng)的面對(duì)面方式，它已成為大家關(guān)注電子商務(wù)運(yùn)行安全的首要方面。完成了電子商務(wù)中資金流的網(wǎng)絡(luò)支付，因涉及商務(wù)實(shí)體最為敏感的資金流動(dòng)，所以是緊需要保證安全的方面，也是緊容易出現(xiàn)安全問(wèn)題的地方。因此，電子商務(wù)的安全實(shí)際上很大部分就是保證電子商務(wù)過(guò)程中網(wǎng)絡(luò)支付結(jié)算流程的安全，這正是銀行與商家，特別是客戶關(guān)心的焦點(diǎn)問(wèn)題。

一、網(wǎng)絡(luò)支付的概念

網(wǎng)絡(luò)支付，也稱網(wǎng)絡(luò)支付與結(jié)算，它指以金融電子化網(wǎng)絡(luò)為基礎(chǔ)，以商用電子化工具和各類交易卡為媒介，采用現(xiàn)代計(jì)算機(jī)技術(shù)和通信技術(shù)作為手段，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)特別是Internet，以電子信息傳遞形式來(lái)實(shí)現(xiàn)資金的流通和支付。

我們也可以將它理解為電子支付的高級(jí)方式。它是電子支付的一個(gè)最新發(fā)展階段，以電子商務(wù)為商業(yè)基礎(chǔ)，以商業(yè)銀行為主體，使用安全的主要基于Internet平臺(tái)的運(yùn)作平臺(tái)，通過(guò)網(wǎng)絡(luò)進(jìn)行的、為交易的客戶間提供貨幣支付或資金流轉(zhuǎn)等的現(xiàn)代化支付結(jié)算手段。從這里可以看出，基于Internet的即時(shí)網(wǎng)絡(luò)支付是電子商務(wù)業(yè)務(wù)流程的一個(gè)關(guān)鍵環(huán)節(jié)，高水平電子商務(wù)發(fā)展的需求直接導(dǎo)致網(wǎng)絡(luò)支付結(jié)算的興起。

二、網(wǎng)絡(luò)支付面臨的安全隱患

在網(wǎng)絡(luò)支付與結(jié)算中，資金支付結(jié)算體系問(wèn)題是電子商務(wù)中主要的安全隱患發(fā)生點(diǎn)。具體來(lái)說(shuō)，目前電子商務(wù)下網(wǎng)絡(luò)支付結(jié)算流程中面臨的主要安全問(wèn)題現(xiàn)階段的支付風(fēng)險(xiǎn)主要存在于：支付密碼泄漏。一旦攻擊者通過(guò)某種方式得到支付密碼，可以輕易地冒充持卡人通過(guò)互聯(lián)網(wǎng)進(jìn)行消費(fèi)，給持卡人帶來(lái)?yè)p失。這是人們對(duì)網(wǎng)上支付安全的主要擔(dān)心所在。支付數(shù)據(jù)被篡改。在缺乏必要的安全防范措施情況下，攻擊者可以通過(guò)修改互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)。譬如，攻擊者可以修改付款銀行卡號(hào)、修改支付金額、修改收款人賬號(hào)等，達(dá)到謀利目的并制造互聯(lián)網(wǎng)支付事件。支付否認(rèn)。網(wǎng)上支付是一個(gè)通過(guò)商業(yè)銀行提供的網(wǎng)上結(jié)算服務(wù)將資金從付款人賬戶劃撥到收款人賬戶的過(guò)程。對(duì)于資金劃出操作，若付款人否認(rèn)發(fā)出資金劃出指令，商業(yè)銀行將處于被動(dòng)局面；對(duì)于資金劃入操作，若商業(yè)銀行否認(rèn)資金劃入操作，收款人將處于不利境地。無(wú)法有效驗(yàn)證身份。支付方不知商家到底是誰(shuí)，商家不能清晰確定網(wǎng)絡(luò)支付工具是否真實(shí)，以及資金何時(shí)入賬等。一些不法商家或個(gè)人利用網(wǎng)絡(luò)貿(mào)易的非面對(duì)面性，以及網(wǎng)上站點(diǎn)的開放性和不確定性進(jìn)行欺詐活動(dòng)。系統(tǒng)錯(cuò)誤。由于客戶的電子貸幣信息存放在相應(yīng)的銀行后臺(tái)服務(wù)器中，當(dāng)銀行網(wǎng)絡(luò)遭到非人為的損害或黑客的故意攻擊而導(dǎo)致銀行后臺(tái)服務(wù)器出現(xiàn)錯(cuò)誤、運(yùn)行中斷或癱瘓時(shí)，客戶肯定無(wú)法使用其電子貸幣；或者導(dǎo)致正在進(jìn)行的網(wǎng)絡(luò)支付進(jìn)程中斷，這必定影響客戶的支付行為。

三、保證網(wǎng)絡(luò)支付安全的解決方法

（一）對(duì)支付流程中涉及各方身份的認(rèn)證和支付密碼的保護(hù)

采用建立第三方公正的CA認(rèn)證中心，使用X.509數(shù)字簽名和數(shù)字證書，實(shí)現(xiàn)對(duì)交易各方的認(rèn)證，證實(shí)身份的合法性、真實(shí)性等。作為支付方則應(yīng)特別注意防止支付密碼泄漏，它是網(wǎng)上支付案件的主要原因。持卡人應(yīng)注意的問(wèn)題主要有：1.識(shí)別假冒網(wǎng)站。消費(fèi)者在認(rèn)清網(wǎng)站域名的同時(shí)，在提交重要信息時(shí)也要驗(yàn)明服務(wù)器的身份。其中驗(yàn)證服務(wù)器證書最簡(jiǎn)明的做法，是在提交重要信息網(wǎng)頁(yè)頁(yè)面右下角會(huì)出現(xiàn)一個(gè)金黃色的小鎖，點(diǎn)擊它就可以查看所有該服務(wù)器證書的信息，包括服務(wù)器證書的頒發(fā)機(jī)構(gòu)、證書有效期限等信息。除了服務(wù)器證書之外，還應(yīng)該使用個(gè)人數(shù)字證書。2.識(shí)別虛假短信（郵件）。持卡人在收到任何與銀行卡、支付有關(guān)的短信后，應(yīng)確認(rèn)短信發(fā)送者的真實(shí)身份或短信內(nèi)容。3.不要設(shè)置簡(jiǎn)單的密碼。不要采用簡(jiǎn)單數(shù)字組合、自己或親人的生日信息、電話號(hào)碼。此外，還應(yīng)注意支付終端的安全性，如不要在公用網(wǎng)吧進(jìn)行網(wǎng)上支付、在支付終端上安裝反病毒、反木馬軟件。同時(shí)，還要注意在其他場(chǎng)所輸入支付密碼時(shí)不輕易被他人偷窺、攝像等，不要將密碼記錄在容易被人看到的紙片上。

（二）保證網(wǎng)絡(luò)支付數(shù)據(jù)流內(nèi)容的保密性和完整性

使用相關(guān)的加密算法對(duì)資金流數(shù)據(jù)進(jìn)行加密，防止未被授權(quán)的非法第三者獲取數(shù)據(jù)的真正含義。如采用DES私有密鑰加密法、RSA公開密鑰加密法、數(shù)字信封等保密手段。并使用如數(shù)字指紋算法等方法確認(rèn)資金流信息（如支付指令）的完整性。防止支付數(shù)據(jù)被篡改需要網(wǎng)上支付平臺(tái)采用完善的信息安全措施。當(dāng)前普遍采用數(shù)字簽名技術(shù)確認(rèn)支付電子信息的真?zhèn)巍１Ｗo(hù)數(shù)據(jù)不被未授權(quán)者建立、嵌入、刪除、篡改、重放等，完整無(wú)缺地到達(dá)接收者一方。數(shù)字簽名在保護(hù)數(shù)據(jù)完整性方面有兩個(gè)功能，一是能標(biāo)明支付數(shù)據(jù)特征值。其次，能表明特征值是由誰(shuí)產(chǎn)生的。

（三）保證對(duì)網(wǎng)絡(luò)支付行為和內(nèi)容的不可否認(rèn)性

當(dāng)交易雙方因網(wǎng)絡(luò)支付出現(xiàn)異議或糾紛時(shí)，可采用數(shù)字任免、數(shù)字指紋、數(shù)字時(shí)間戳等技術(shù)并配合CA中心，以實(shí)現(xiàn)其不可否認(rèn)性。支付否認(rèn)是網(wǎng)上支付服務(wù)提供商（商業(yè)銀行或?qū)I(yè)網(wǎng)上支付公司）和收款人的關(guān)注點(diǎn)。通過(guò)數(shù)字簽名可以解決否認(rèn)支付問(wèn)題。我們?cè)阢y行柜面辦理存款、取款，或是在POS刷卡、ATM 存取款，通過(guò)銀行會(huì)給你一張支付回單。一旦出現(xiàn)爭(zhēng)議，你可以將該回單作為交易操作的證明。互聯(lián)網(wǎng)支付，數(shù)字簽名記錄可以充當(dāng)“電子回單”。

為解決付款人否認(rèn)支付，商業(yè)銀行要求付款人在進(jìn)行支付時(shí)必須附帶其確認(rèn)支付的簽名。商業(yè)銀行保存該簽名結(jié)果和支付記錄。一旦付款方否認(rèn)支付，商業(yè)銀行可以出示該支付指令簽名作為證據(jù)。為解決商業(yè)銀行否認(rèn)結(jié)算資金轉(zhuǎn)入收款人賬戶，收款人要求商業(yè)銀行提交資金劃入操作記錄的數(shù)字簽名。收款人驗(yàn)證該簽名結(jié)果有效的，才確認(rèn)已經(jīng)收款，才能與付款人繼續(xù)后續(xù)的商務(wù)活動(dòng)。否則，收款人拒絕進(jìn)行后續(xù)活動(dòng)。

四、結(jié)論

上述安全技術(shù)可以說(shuō)是信息網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù)，都是非常先進(jìn)的技術(shù)手段，只要運(yùn)用得當(dāng)，配合相應(yīng)的安全管理措施，基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全。但這也并非絕對(duì)安全，盡管目前安全技術(shù)發(fā)展成熟，但商業(yè)銀行、第三方支付平臺(tái)等支付服務(wù)商都采用各自的安全方案，難免出現(xiàn)安全漏洞。因此，網(wǎng)絡(luò)支付的發(fā)展需要專業(yè)的支付安全服務(wù)公司、完善的支付安全技術(shù)標(biāo)準(zhǔn)，并建立網(wǎng)絡(luò)支付安全評(píng)價(jià)體系和準(zhǔn)入機(jī)制。相信隨著信息網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善，網(wǎng)絡(luò)支付一定能在提升服務(wù)價(jià)值的同時(shí)，通過(guò)更好的社會(huì)安全環(huán)境，保障支付各方的利益，更加健康、快速地發(fā)展。同時(shí)，讓電子商務(wù)真正發(fā)揮出它交易快捷與便利的優(yōu)勢(shì)。

【參考文獻(xiàn)】

[1]張海霞.網(wǎng)絡(luò)支付的安全問(wèn)題及安全策略研究[J ].山西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2008.

[2]卓婷婷.電子商務(wù)網(wǎng)上支付風(fēng)險(xiǎn)問(wèn)題探析[J ].經(jīng)濟(jì)研究導(dǎo)刊，2008.

[3]李愛紅.淺議電子商務(wù)網(wǎng)上支付的安全問(wèn)題[J ].科技創(chuàng)業(yè)月刊，2006.endprint