时间:2024-01-26 14:40:12
导语:在网络支付安全的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
从信息安全的角度来看,要关注网络支付的数据信息安全。随着信息技术的发展,对支付信息进行大量数据筛选、分析、挖掘、统计的需求和能力不断提高。支付交易产品或沉淀的数据信息分析会成为未来网络支付领域的一个非常巨大且具有很高商业价值的金矿。当然支付交易信息的分析必须要严格遵循数据信息安全的基本规则,切实保护客户的信息。
要从前瞻性的角度,关注网络支付安全对网络支付行业国际竞争力的影响。网络跨境支付发展到一定阶段后,游戏规则及安全要求发生了变化。大家非常关注的华为、中兴这些中国的IT企业被美国众议院情报委员会认定为可能会威胁美国国家通讯安全。网络支付是否会遇到及如何避免这些问题,也关乎到中国的互联网企业的国际竞争力。另外,国际互联网、银行卡支付机构和组织之间的安全合作也很重要。
网络支付安全和效率的关系是网络支付发展中的关键问题。效率和安全的平衡是网络支付的核心,过于关注安全会大幅度降低企业的经营效率,给消费者带来不便;忽略了安全同样会给商户、用户、支付企业带来损失。亚洲地区人口稠密、信用体系不太健全,安全投入相应较多,风险控制技术创新也比较领先,适当地允许一定的风险水平,有助于激励企业向风险纵深处探索、创新,研发更加有效的新型安全技术。
1 在线支付网络存在的安全风险分析
1.1 宏观因素的影响
在线支付同样会受到经济波动的影响,宏观的经济环境在很大程度上决定着电子商务的发展速度,经济低迷时,电子商务也可能因此受到影响。此外,由于与在线支付网络本身相关的法律体系与监管系统还尚未完善,未来出台的新法规政策很有可能给其带来一些损失。
1.2 业务本身的安全风险
由于网络支付结算系统本身的特性,无论是偶然的业务疏忽或是自身的操作失误都可能带來巨大的损失;网络支付交易的虚拟性致使人们很难验证交易对象的真实身份以及信用历史等,并且由于目前相关的法律法规尚未完善,人们很有可能因为交易对象身份的不确定性而面临损失;电子商务的发展一定程度影响了纸币的流通速度,如果纸币发行量因此减少,也就意味着在线支付网络中变现能力的减弱,并且由于网络还存在病毒,系统错误等等问题,这都会影响到在线支付网络中财产变现的及时有效性;由于各国目前对于在线支付网络的法律法规制定尚未统一,国际间的在线网络支付存在很大的风险;在线支付网络所依靠的虚拟银行,用户与其存在着严重的信息不对称性,用户如果不慎选择了存在问题的虚拟银行进行交易,就很有可能出现风险;我国的网络银行发展才刚刚起步,法律法规与监管制度的不完善性导致许多监管空白区的存在,如果有不法分子在这些空白区做手脚,就很有可能导致用户在使用在线支付网络时财产遭受损失。
2 针对在线支付网络存在的安全风险所制定的有效防范技术
2.1 在宏观上做好监管工作
所谓宏观做好监管工作,就是从国家层面来做好在线支付网络安全的监管工作。我国相对于其他发达国家在线网络支付起步较晚,发展时间也较短,要想做好在线支付网络这一行业,保证在线支付网络的安全,国家监管机构必须要做好自身的工作,并对交易机构的准入与退出制度做好明确的规定,其次,我国可以建立和完善网络支付的法律法规,对于一些情节严重的网络支付犯罪一定要严惩不贷,防止因为法律的空白给一些不法分子钻漏洞的机会,国家还可以针对我国在线网络支付的实际情况来制定出完善的管理制度。我国的相关的监管机构一定要负起自己的责任,做好其中的监管工作,一旦发现问题要及时的指出并上报,要规范用户和机构双方的权利与义务,做到交易过程中的公正与公平。最后也是最重要的一点就是第三方支付机构一定要做好保密的工作(例如,客户的信息、交易的数据),降低在线网络支付的风险。
2.2 从安全技术方面做好防范措施
由于线上交易量的增加,在线网络支付的安全问题受到了越来越多的人的关注,我们可以通过提高和完善安全技术来提高在线网络支付安全系数。通过提高鉴别认证技术、生物特征技术以及加密技术来对网络层进行加密,各个商业银行可以在提高支付结算的安全技术上进行研究并对其进行升级,避免支付结算中出现一些问题从而造成不可挽回的损失。此外,支付网络系统一定要做好访问控制工作,系统要对访问的人员身份进行审核,技术人员可以通过设置访问权限、防火墙,来禁止非法人员、病毒等入侵系统。各个银行可以针对我国目前一些计算机病毒来安装专门的杀毒软件,定期的给在线支付网络系统杀毒,排除一些安全隐患。此外,数字签名等加密协议的应用也有效提升了支付的安全性,互联网是开放性的网络,消费者在传输交易指令、密码等敏感信息的通信过程中,会有破译、篡改以及截获的可能性,为了避免该种问题的产生,网上银行都会使用加密传输交易措施,应用协议法来保障信息传递的安全性,这也是网络银行的一种重要安全策略,目前,网上银行常用的接入协议主要为SET(Secure Electronic Transaction)与SSL(Secure Sockets Layer)。SSL是国际上最早应用于电子商务的一种网络安全协议,它最初是由网景公司设计开发,其目的主要是提高应用程序之间的数据的安全性。
2.3 加强我国网络制度建设
我国网络在发展过程中存在着很多不完善的地方,因此在使用的过程中也存在着很多的问题。我们可以不断完善我国的网络制度,提高在线支付网络的安全性。我国可以制定一个统一的银行发展的标准,当然也可以与国外合作,借鉴国外一些先进的制度或者与国际的银行发展制度,最大限度提升在线支付的安全性。
2.4 消费者要树立起网络安全意识
从已经曝光的网上购物安全事件中来看,由于账号密码泄漏引起支付安全问题占据了其中的一大部分。在网络世界中,有大量的黑客和病毒程序,这些程序都会威胁用户的信息安全,为了降低安全风险的发生,必须要帮助消费者树立起网络安全意识,养成良好的操作习惯,杜绝安全问题的发生。例如,不在网吧等公共场合中使用网银,不轻易告诉他人自己的身份证与银行账号,不轻易点击陌生的网页链接,不在无名网站上下载声音视频文件,安装好防火墙与杀毒软件,每天定时杀毒。
【关键词】SET Web服务 网络支付
1 引言
自互联网诞生以来,通过网络达成传统商务贸易就是人类一直孜孜不倦的追求目标。而在互联网发展到今天,人们对电子商务的认识早已经远远超过以往仅仅代替传统商务业务的需要了。
本文将就在新的网络条件下SET协议的应用以及对其不足进行完善和改进,尤其针对避免网络贸易上的虚假贸易提出自己的建设性意见。
2 SET协议及不足
SET协议(Secure Electronic Transaction安全电子交易协议)最早由Visa和MasterCard提出,后来得到IBM和Microsoft支持,由几家公司共同联合开发。这一协议主要针对信用卡用户而设计,它不仅制定了相应的加解密算法、认证方法等技术手段,而且还详细规定了客户、商家、银行等各方的数字证书的含义、响应动作以及与交易相关的责任认定等。
2.1 SET协议模型
SET协议的支付模型如图1所示,交易的每个阶段包括了身份认证、信息的加解密、数字签名/验证、数字信封、消息摘要生成/验证等过程。
2.2SET协议的不足
因为具有高安全复杂性,造成了SET协议在应用上的较高成本代价,以及完成一个交易的较高时间代价。这就使其普及应用受到了很大的影响。随着计算机成本的降低和计算机网络的普及,相信SET协议在互联网上的应用又将活跃起来。
不过,当前SET协议,就如何在支付的时候更大的保护交易双方的利益,防止虚假交易和洗钱活动在网络的掩护下肆虐进行,还是无法解决这样的问题。而就虚假交易来说,现在各国银行也无法判断,仅仅是通过限制网上贸易的额度对这些问题进行象征性的管制。这些都是现有SET协议本身所无法克服的问题。
我们将在接下来的部分讨论利用当前的流行技术Web Services来融入第三方物流信息,以弥补对以上SET协议在这些方面的不足之处。
3 Web服务
3.1 Web服务模型
Web服务体系结构基于三种角色(服务提供者、服务注册中心和服务请求者)之间的交互。图 2显示了这些操作、提供这些操作的组件及它们之间的交互。
4 改进后的模型设计
仅仅通过对SET协议本身加解密算法或者认证手段等等技术条件进行增减或效率改进是很难针对防范虚假交易和洗钱活动的。我们在这里提出一种将可信赖的第三方物流承运商加入到整个交易流程中来的办法,不但可以达到比设定交易资金限额方法更有效的结果,而且还能更大的保护交易各方的利益,尽量避免交易中产生的不必要纠纷。本文设计的改进后的模型具体如图3所示。
其中客户与商家进行订单协商的过程因与图1重复,故这里就直接从商家向客户发出购物响应后开始描述,主要过程如下:
(1)商家向客户发出购物响应后,客户的购物行动基本完成,商家按照客户订单信息备货,并通知承运商到商家仓库收货;
(2)承运商到商家确认收货,并将货物的物流信息以Web Service的方式提供给商家服务器,以便商家和客户实时跟踪自己的货物状态,以及有利于客户安排接货;
(3)承运商将货物运送到客户地址,通知客户准备接货;
(4)客户验货并确认收货,承运商通过移动商务系统或本地网络实时地将信息传送回承运商服务器;
(5)承运商将客户确认收货信息(包括承运商的证书)通过Web Service的方式实时回送给商家,以便商家在第一时间向支付网关发出获款请求;
(6)商家向支付网关发出获款请求,其中包括承运商的证书和承运商发送货物的track number,支付网关检查商家和承运商的证书,并以调用承运商服务器提供的Web服务验证货物发送情况;
(7)承运商服务器提供相应的货物状态信息查询服务,支付网关获得相关确认后判断这是一次真实的交易,然后向银行发出放款请求,得到响应后支付网关立即向商家作出获款响应。
这样,整个交易至此就完全结束了。
而在这个模型中,承运商并不需要像SET协议里那样提供完整的加解密、数字信封、数字摘要、双重签名等操作,而只需通过注册相应的Web服务,然后向支付网关提供自己的数字证书就可以了。所以其带来的系统开销和网络开销并不太大。
最重要的一点是,有这样的一个可信赖的第三方承运商的参与,我们就可以大大提高防范虚假交易和洗钱活动的效率。尤其针对SET协议有相当大的意义,因为信用卡网上支付是SET协议的最大支持对象,而通过虚假网上实现信用卡套现或洗钱的活动确实有些防不胜防,如果采用本文的模型那么实现这样的防范将相对容易得多。
5 结束语
电子商务安全涉及到方方面面,而其中支付的安全(包括技术安全和社会安全)是一个非常重要的课题。本文仅就SET协议在提供更好的交易各方利益保护方面和防范虚假交易方面提出了相应的改进模式,而其中主要涉及到对Web Services的应用。相信利用Web服务和分布式网络架构提出电子商务新的支付模式和开发新支付平台在不远的将来就会出现,这也将推动整个电子商务走向新的。
参考文献:
[1]柯新生.网络支付与结算.北京:电子工业出版社,2004,182-194.
[2]International Technical Support Organization,Secure Electronic Transactions:Credit Card Payment on the Web in Theory and Practice,IBM Corporation, 1997, 17-49.
[3]苏成,胡庆锋,赵飞芙.SET协议的分析与改进.计算机时代,2004,(3):20-21.
[4]陈炎,杨庚.基于Web Services的电子钱包系统的分布式解决方案研究.南京邮电学院学报,2005,(1):42-45.
[5]马强,李燕军.网络安全之GAP技术研究.
当前,智能电网的研究方兴未艾,一定程度上讲,智能电网代表了未来电网的主流发展趋势。
从近年电力系统科技发展的脉络上看,广义而言,可以认为智能电网有两大起源:文提出的数字电力系统理念,其重点在于输电网的智能调度与控制文提出的“友好电网”,其重点在于建设互动型配电网。尤其是文工作的提出,揭开了数字电网乃至智能电网研究工作序幕;2006年国家电网公司实施SG186工程,开始进行数字化电网和数字化变电站的框架研究和示范工程建设,南方电网公司委托清华大学开展数字南方电网研究;2009年,国家电网公司提出了建设我国“坚强智能电网”的宏伟蓝图。国际上,欧美等国纷纷出台了各自的智能电网发展计划。与此同时,国内外学者从各个方面对智能电网基础理论和关键技术进行了深人研究,取得了一大批重要成果,其中多指标自趋优运营能力被认为是智能电网与传统电网的最大区别。
毋庸置疑,智能电网的建设进程伴随着电力系统中数字化和信息化程度的不断提高,系统中的能量流和信息流的交换与互动亦日益频繁,最终使得未来智能电网在很大程度上将发展成一类由信息网和物理(电力)网构成的相互依存的二元复合网络(cyber-physicalpowergrid,CPPG)。在此背景下,研究信息网和物理网相互依存的新一代电力网络的拓扑结构特征、连锁故障传播机理、安全水平和生存能力以及相应的预防控制措施在理论和工程两方面均具有重要意义,这主要缘于以下3方面的因素。
(1)智能电网在规模和动态上的复杂特性对复杂网络理论本身的发展提出了更高的要求。随着智能电网建设的深人,CPPG的网络规模不断扩大、网络动态的新特性日益增多,从而导致CPPG的网络复杂性持续增强,主要体现在如下两个方面:
(2) CPPG是由信息网/物理网耦合而成的超大规模二元复杂网络,它对复杂网络理论研究提出了新的重大挑战。
1998年发表于Nature上的题为《“小世界”网络的集体动力学》(collectivedynamicsof‘small-world,networks)和1999年在Science上发表的题为《随机网络中标度的涌现Kemergenceofscal¬inginrandomnetworks)的文章分别揭示了复杂网络理论的小世界和无标度特性,开创了复杂网络理论研究的新纪元。基于统计特性与结构模型,研究者对网络性能进行了详细的分析,并在网络的社团结构、脆弱度评估和传播动力学等方面取得了较大的进展。2009年7月Scence杂志出专栏介绍复杂网络理论的新发展,例如将其用于预测种族冲突1和识别恐怖组织中的关键人物等问题。特别需要指出的是,复杂网络理论在电力系统巳得到成功应用,文基于该理论建立了电力系统自组织临界一般理论,包括电网演化机制模型、连锁故障模拟方法、电网脆弱度及风险评估方法和电力系统应急管理平台4项创新。
(3) 未来电网若干关键功能,如对分布式发电的接纳、需求侧管理等,无疑加大了CPPG在动态特性上的复杂度。
在资源和环保的压力下,以新能源发电为主体的分布式发电(distributedgeneration,DG)成为电力系统发电的一个重要方向。通常位于近负荷侧的分布式发电改变了传统电力系统中功率单向流动的特点,也使得电力系统的负荷预测、规划和运行与过去相比具有更大的不确定性;同时分布式发电的加人,必然需要增加大量通信装置以实现分布式发电的自身控制以及与传统电网的协调。
此外,借助于先进的测量和通讯系统,基于政策和电价激励的需求侧响应技术被认为是提高系统可靠性和实现节能环保的有效方法,如通过推广电动汽车平抑负荷峰谷差和减少系统备用,即是一种用户参与需求侧响应的有效方式。
综上所述,现有工作的研究对象无论其规模和结构多么复杂,大多针对单一复杂网络,或者信息网,或者物理(电力)网,而对于CPPG这类二元网络的复杂网络特性研究则鲜有先例可循,因此,迫切需要发展现有的复杂网络理论,以满足未来智能电网发展的需要。
(4)智能电网主要目标的实现需要信息技术的发展来提供保障。
信息化在实现智能电网主要目标(灵活、高效、可持续、节能环保、高可靠性和高安全性等)的过程中起着举足轻重的作用。然而,目前大多数的研究和实践更加侧重于信息化引人新功能的实现和挖掘,而对信息化背景下智能电网的安全性问题则缺乏足够的重视。信息化程度的提高给电网带来诸多安全隐患,如信息采集环节、传输环节、智能控制和电网与用户互动环境下均存在不同程度的安全风险。
信息化带来的种种安全隐患或危害,均可视为对信息网的有意或无意攻击,其影响一般表现为信息网的相继故障从而可能引发信息网瘫痪,严重时故障可能穿越信息网边界波及物理网,进而导致物理网连锁故障。极端情况下,相继或连锁故障在信息网和物理网之间交替传播,严重威胁电力系统安全运行。
(5)对信息安全问题的关注应贯穿智能电网重大工程实践的全过程。
在智能电网重大工程建设过程中,评估系统运行风险、辨识系统薄弱环节并制定相应的预防控制措施贯穿全程,需要充分考虑CPPG中信息网与物理(电力)网紧密融合后带来的新变化。
(1) 信息网比物理(电力)网的运行风险更高。
文中指出,广义电力系统是由电力系统(EPS)、信息通信系统(ICS)和监测控制系统(MCS)融合而成的3S系统:这里的ICS/MCS即为本文所指的信息网,它是安全供电不可或缺的工具;由于ICS/MCS存在的潜在漏洞、缺陷和故障,使其成为3S系统安全风险的主要来源。如果信息网遭到攻击,则可能给物理(电力)网造成严重的故障,使得电力系统出现大面积停电事故或重要电力设备损坏。例如,2010年9月,伊朗布什尔核电站的计算机系统遭Stuxnet蠕虫病毒攻击,大大延迟了伊朗的核进程[27]。由此可见,智能电网的安全性不容忽视,而信息网的安全性则是重中之重,主要原因有:从网络本身受攻击的容易程度来看,信息网更容易受到攻击从网络的相互依赖程度来看,物理网对信息网的依赖程度更大从网络故障影响的范围来看,信息网故障的可影响范围更广。
(2) 保障CPPG中的信息网安全是全面建设智能电网的前提和必要环节。
建立信息/物理网一体化的新一代电力系统是未来电网发展的一个重要趋势,而保障其中的信息网安全则是全面建设智能电网的前提和必要环节,主要体现在两个方面:一方面,在建设CPPG之前考虑系统的安全问题,有利于清晰认识系统建成后可能面临的各种风险;一方面,在认知系统安全水平以及可能面临的各种攻击的基础上,从制定系统安全标准和政策法规等方面做好事先的安全预防,以保证系统的安全运行。
综上,可以得出以下结论:
信息化在提升电力自动化水平、提高社会生产效率和改善用户体验的同时也给智能电网的安全性带来了诸多隐患。一方面,信息网本身存在许多尚未解决的安全性问题,当电力系统高度信息化后,将在电力系统中埋下许多安全隐患[28—31]’另一方面,信息网和物理网作为未来智能电网的两大主要组成网络,其相互影响和相互作用机理尚不明确,该复合网络的脆弱性有可能被攻击者加以利用从而造成更大的危害。因此,有必要对智能电网中存在的信息安全隐患及其对全系统存活性的影响加以讨论并思考相应的解决方案。
1国内外研究现状
目前国内外对CPPG的研究尚处于起步阶段,主要集中在电力系统信息安全标准的制定、CPPG基本框架的建立以及可靠性等几个方面,详述如下:
(1) 电力系统信息安全标准制定
国外在电力系统信息安全标准的制定方面起步较早:2006年,北美电力可靠性委员会(NERC)为保证电力系统中所有实体均对北美大电网的可靠性承担部分职责,同时保护可能影响到大电网可靠性的重要信息资产,制订了信息安全标准CIP-002-1〜CIP-009-1;国际电工委员会针对数字和通讯安全提出了IEC62351标准。
国内目前尚未明确制定信息安全的相关标准,只是为保障信息安全提供了一系列原则。文[5]提出智能电网信息安全工作一定要坚持安全分区、网络专用、横向隔离和纵向认证的原则;同时对大量分散用户的信息介人,也要采取类似方法,将其影响范围局限在变电站甚至更低的等级,以防止对整个电网产生灾难性的后果。文[36-38]强调在智能电网的研究中,应特别关注建立电网信息支撑平台的必要性,这是因为开放的信息系统和共享的信息模式是智能电网的基础,开发与建造一个能够覆盖电网全域的、统一的信息系统是智能电网发展的关键所在,而要消除信息共享障碍就必须对信息进行标准化和规范化。
(2) 信息/物理网安全性研究框架
文中将智能电网的信息安全相关问题分解为如何保障智能电表(AMI)和无线网络的安全,以及如何制定政策奖励维护网络安全的电力生产运营商等。
文中提出采用由安全管理、安全策略和安全技术组成的电力信息系统安全防护总体框架,其中安全管理包括组织保证体系、安全管理制度及安全培训机制;安全策略分为分区防护和强化隔离;安全技术则涵盖身份认证、访问控制、内容安全、审计和跟踪及响应和恢复等。
文[1]提出统一信息系统必须包括以下4个独立存在又相互依赖的信息处理子系统:用于存储和管理电网中的所有信息数据的分布和分层的数据库群子系统;分布和分层的用于电网控制与管理的任务处理应用子系统;分布和分层的电网状态检查和监视应用子系统;分布和分层的电网全域可达的人机信息交互子系统。
基于信息物理系统(cyberphysicalsystem,CPS)的概念和电力系统的特点,文[42]构建了电力CPS的思路和框架并提出建设电力CPS面临的挑战,认为电力CPS主要由大量的计算设备(服务器、计算机、嵌人式计算设备等)、数据采集设备(传感器、PMU、嵌人式数据采集设备等)和物理设备(大型发电机组、分布式电源、负荷等)组成,其中前者通过信息网络互联,后者则构成物理的电力网络。具体地,电力CPS包括控制中心、分布式计算设备、通信网络、输配电网络、电源和负荷。同时,电力CPS可以与其他的CPS子系统通过网络连接协同工作。该文进一步提出发展电力CPS的关键技术涉及全局优化与局部控制的协同技术、大规模分布式计算技术、CPS通信协议、动态网络和延迟/终端容忍网络、集群智能和虚实空间的自动映射一致性等。
(3)信息/物理网安全性建模分析
在一般信息-物理二元网络的建模方面,采用如下的两个步骤进行建模:首先通过物理和信息的输人输出信号、内部动态和局部传感信息等要素对各个(或组)元件建立状态空间模块;进一步在网络拓扑的基础上将各模块整合在一'起以建立系统的信息,理二元复合网络模型。
在网络攻击对电力系统系统的可靠性影响方面,目前巳有初步进展。文章构建了系统性评估信息物理依存网络脆弱度的基本框架,进一步该文研究了网络攻击对电力系统的数据采集和监控(SCADA)系统的影响。文章通过信息-物理的连接桥建立信息攻击与物理元件之间的通道,以此表征由于某处信息攻击所导致的电力设备的意外故障,进而在巳知信息攻击概率的基础上,评估系统遭受信息攻击时的可靠性。
更有意义的是,文章提出研究相互依存网络灾变的重要性,并基于意大利的电力网和信息网的网络关系图(如图1所示)模拟了该网络上由于一个变电站故障退出运行后,故障在物理(电力)网络与信息网络之间的交替传播及整个网络的崩溃过程。其基本思路是某个网络中一个节点的故障可能会造成与其耦合的网络中相关联节点的故障,通过建立连锁故障传播模型,分析指出某个网络中小部分节点的故障可能导致整个耦合系统的崩溃。
(4)其他方面
文章指出新一代电力系统的SCADA采用越来越多的无线通信可能面临的信息安全方面的6个障碍和挑战,涵盖量测的机密性、测量环境的模糊化、数据的安全聚集、拓扑模糊化、可扩展的信任管理以及数据聚集的隐私性等。文[1]指出目前电力系统的信息系统存在信息难以综合和深化利用、信息处理及控制管理设备和系统上的重叠以及开发基于信息综合的高级控制管理功能(如自适应性、自组织和智能决策等)受限等问题。
2 CPPG信息安全性研究关键课题
CPPG作为一类信息/物理网高度依存的二元复合网络,分析其连锁故障机理及脆弱度评估方法是保障CPPG信息安全乃至全系统安全的重要前提。为此,本节从复杂网络视角提出以下4个前瞻性课题。
2.1 CPPG中信息网和物理网异构特性及相互依存关系分析、一体化网络模型建立及拓扑结构特征提取
一般而言,CPPG中信息、物理两个网络往往呈现截然不同的结构特性,如有研究表明,信息网呈现无标度特性,而很多实际电网具有小世界特性。在此背景下,CPPG将是由信息/物理网相互依存演化成的二元异构网络(如无标度信息网与小世界物理网),如图2所示。
对该网络的拓扑结构特征提取有助于从本质上揭示其功能特性,具体可以开展如下研究:
(1) 分析并揭示CPPG中信息网与物理网的异构特性,建立连接信息/物理网的联络线网络化数学表述模型,研究不同类型信息网与物理网(如无标度网与小世界网)中信息流和能量流的输送特性。基于电力系统动态特性(如潮流)建立物理网功能有效性模型,基于信息系统静态特性(如网络拓扑结构和元件级联失效等)建立信息网功能有效性模型。这里的功能有效性是指网络节点和边的动态均受到一定的容量限制,在限制值之内称为有效。
(2) 深人分析CPPG中信息网和物理网的耦合
机理,研究信息过程和物理过程的相互影响。
(3) 研究信息网和物理网内部以及二者之间的拓扑连接或者信号传送关系,进一步将上述信息/物理功能有效性模型集成,以建立能够反映CPPG中信息网和物理网交互过程的一体化网络模型。
(4) 基于复杂网络理论中网络结构影响网络功能的基本思路,选用适当的指标,提取并分析CPPG拓扑结构特征,即从统计的角度考察CPPG中大规模节点及其连接之间的性质,这些性质的不同意味着网络内部结构的不同,进而将导致系统功能有所差异。因此,对CPPG拓扑结构特征的描述和分析是进行CPPG研究的必要步骤。
2.2CPPG的连锁故障研究
到目前为止,巳有较多针对信息网或物理网连锁故障建模分析的研究成果[16—17],尽管人们对单一网络(信息网或物理网)的连锁故障过程有了一定程度的认识,但连锁故障在CPPG上的发生和传播过程可能与单一信息网或物理网情形大不相同。研究
CPPG的连锁故障发生过程需要根据信息网和物理网的依存关系,将两个网络中的故障传播过程进行合理的对接。
在上述CPPG—体化网络模型的基础上,同时考虑物理设备和数据采集计算设备等对系统连锁故障发生、发展过程的影响,分析CPPG的连锁故障特性,具体包括以下几个方面:
(1) 构建CPPG连锁故障模型。具体地,根据信息流的传输特性,建立CPPG中信息网连锁故障模型,同时提出适当的指标分析其连锁故障影响后果;考虑未来智能电网中高渗透率的分布式发电以及广泛的用户侧响应,分析CPPG中物理网的连锁故障发生、发展过程,并采用适当的指标(如负荷损失量)表征其连锁故障规模;在信息网与物理网耦合机理分析的基础上,将信息网与物理网连锁故障模型进行合理对接,构建CPPG连锁故障模型并模拟其连锁故障传播过程。
(2) 辨识影响连锁故障发生的关键因素,既要包含物理网上的关键发电和输电设备,又需计及信息网上的关键计算机和信号传输单元。
(3) 定量分析CPPG上发生的连锁故障,借鉴风险价值和条件风险价值指标[16—17],分析其灾变风险;对比CPPG和传统物理电力系统连锁故障的异同,重点分析信息网对CPPG连锁故障的影响。
2.3 CPPG的脆弱度评估研究
CPPG的脆弱度水平指其遭受攻击时造成的性能下降程度,下降程度越大则系统越脆弱。此处CPPG遭受的攻击既可能来自物理网,又可能来自信息网(如图3),而对物理网的攻击可以等效为设备故障(包括退出运行),而对信息网的攻击形式多种多样(常见信息攻击和防守形式见图4),包括信息的窃取、篡改等。
在综合评估CPPG脆弱度水平的同时,可寻找对其脆弱度水平影响较大的攻击模式和最坏干扰信息激励。具体研究内容如下:
(1) 建立CPPG的脆弱度评估指标体系,同时从结构和状态角度评价CPPG的性能水平。这里,所提脆弱度指标应兼顾物理网的安全、可靠和经济性以及信息网对数据机密性、完整性、可用性、可控性和可审查性的要求。
(2) 基于连锁故障模型,模拟CPPG遭受随机攻击和蓄意攻击后可能引发的连锁故障发生、发展过程,评估不同攻击模式下系统性能的变化,同时辨识出严重恶化CPPG性能的攻击模式以及系统脆弱环节。
此外,信息攻击形式需要考虑如下因素:
图4信息网安全的攻击与防守
①信息攻击的影响范围;
②信息攻击源与受影响位置的距离;
③信息攻击带来的后果多样性,例如有些攻击损害信息的机密性,而有些攻击损害信息的完整性和可用性,可以等效为相关服务的中断。
(3)通过对比CPPG和传统物理电力系统面临节点或者线路攻击时的脆弱度水平异同,明晰信息网对CPPG脆弱度的影响。
2.4灵活协调的优化控制方法
在脆弱度评估的基础上,针对系统的薄弱环节,可以从物理和信息网两方面设计有针对性的灵活协调优化控制方法,具体可以研究:
(1) 根据脆弱度评估辨识出的物理网薄弱环节,如关键发电机、线路和负载节点信息,采取适当的措施,例如建设新的电厂或者输电线路,以保证CPPG在面临攻击时依然能够运行在满意的状态。
(2) 根据脆弱度评估辨识出的信息网薄弱环节,如关键信号传输通道和网络设备等信息,有针对性地增强其安全保密水平,保证信息攻击“进不来、拿不走、看不懂、改不了、跑不了”48],提高CPPG在故障下的安全稳定能力。此外,还应在连锁故障模拟结果的基础上,针对高风险故障制定相应的预防控制与应急预案。
摘 要 随着信息化水平和互联网技术的飞速发展,网上电子支付服务已成为引领电子商务的主流趋势,虽然相关法律政策的出台和实施,进一步规范了我国电子支付各种交易行为,强化了人们对于电子支付的安全信任度,但是电子支付的安全问题仍然是抑制电子商务发展的瓶颈所在。本文针对电子支付的网络安全问题进行了详细、深入分析,并提出了加强电子支付安全性的具体对策。
关键词 电子支付;网络安全问题;解决对策
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)70-0186-02
0 引言
电子支付主要指进行网络化商务交易的双方当事人,通过快捷、安全的支付手段实施的货币支付行为。基于电子支付具有节省时间、操作方便以及成本低等基本优点,是目前电子商务普遍采用的一种方式。
随着我国电子支付产业的进一步发展,电子支付的安全问题已成为制约我国电子商务发展的关键问题。
当前我国仍有许多网络用户对于电子支付方式存在心理层面上的担忧,据最新数据调查显示,我国网络用户对于电子支付安全性存在极大担忧的比例已超过30%,显然如何加强电子支付的安全管理,已成为我国电子商务领域亟待于解决的重大课题。
1 电子支付存在的网络安全问题
1.1 网络用户对于电子支付安全性缺失足够信任度
据社会调查显示,约为23.5%的企业和26. 34%的个人一致认为诚信问题是电子商务最让人担忧的问题,诚信已成为发展电子商务备受关注的焦点问题。基于互联网交易具有开放性、广泛性的特点,交易双方不需见面,交易真实性缺乏实际的验证,因而对于社会信用度具有更高的要求。
由于我国目前电子商务信用体系仍不健全,使电子支付活动缺失可信赖的信誉基础,社会诚信度有待于进一步加强。另外,企业和个人各种数据信息资料不完备,海关和税务等部门不能和银行信息资源共享,银行对于客户信息资料不能完全掌握,也影响了电子支付系统的顺利开展。
据网上支付研究报告显示,约有80.5%的网络用户表示将会继续使用电子支付业务,仅为5%的网络用户明确表示不继续使用,大概有14.5%的网络用户不太确定,在抵触使用电子支付的网络用户中,约为70%以上的用户是过分担忧资金交易的安全问题。
1.2 电子支付市场秩序不够规范化
随着电子支付的高速发展,市场秩序的不规范抑制了电子商务的健康、有序发展,导致电子支付产业出现目标不明确的现状。
目前我国仍没有相关法律法规明确规定电子支付权利和义务的内容,同时尚未制定关于保护网络消费权益保护的具体规则,对于网上银行的运营仍没有专门法律加以规范和约束。尤其对于客户信息资料的安全保护方面,目前仍没有先进的技术措施和成熟的经验。
比如,第三方支付企业关于法律方面的定性问题;第三方支付企业不具备提供电子支付服务的资质问题;银行和第三方支付企业对于电子支付过程采取哪种风险防范措施;在电子支付行为过程中发生纠纷时责任的举证以及确定问题等。
此外,我国电子商务信息跟踪、检测等各种法律法规尚未建立,通过网络进行合同签订、资金交易服务等电子商务行为中存在诸多尚待完善之处。
1.3 电子支付市场网盗事件难以避免
经过理论和实践证明,电子支付技术维护能很大程度上确保电子支付的网络安全,网上支付安全性问题主要从两方面来追溯,主要是指信息被窃取和追溯根源方面的可能性。
从信息被窃取的角度考虑,无论哪一种电子支付安全保护措施,都是经过反复推敲和论证,并得到完全证实才得以采纳,电子支付的数据传输信息,利用当前的维护技术是无法破解的。
从信息可追溯性角度考虑,网上交易所留下的信息痕迹较现实交易要多,主要是每次网络交易都会在各层面被系统记录,因而埋下了重大的安全隐患。
无庸置疑,进行电子支付必然存在诸多不安全隐患,各种不安全问题的产生并不源自电子支付技术维护方面,而源自于非网络方面。基于网络交易的开放性和广泛性,为各种计算机病毒和木马程序等对于网络银行系统的攻击提供了可能,尤其是很多网络用户缺失安全防范意识和安全保护知识,进一步加大了风险发生的可能性。
2 解决电子支付安全问题的基本对策
2.1 增强电子支付的社会诚信度
1)严格限定电子商务准入体制。一般来讲,进行各种经营活动的赢利性企业必须具备营业执照,但电子商务目前却缺乏这方面的严格控制,很多经营商家并不具备营业执照,难以为消费者提供可靠的信誉保证,产品质量也缺乏足够保障,因此,应加快通过立法的步伐,严格电子商务的准入体制;
2)建立和健全电子商务信用评价机制。据现实调查显示,71.1%的企业和64.2%的个人用户进行网络交易时定会关注卖方的信用评价指数,这就完全证实提高电子商务诚信度的一个重要方式就是增强企业自身的信用度,因此,应建立和健全公正、严格的电子商务信用评价机制。
2.2 逐步整顿和规范电子支付市场环境
我国电子商务得以顺利发展很大程度上有赖于一个健康、有序的电子支付市场环境。有效确保电子支付的资金交易安全则是备受电子商务领域关注的重点问题,支付清算作为电子支付事务中的重要环节。
近些年来,人们逐渐将支付清算作为关键要素突出加强以促进网络金融交易的顺利发展。一方面除了银行要加强安全维护工作外,另一方面第三方支付平台也应把加强安全维护工作作为重点来抓。
同时,政府应强化电子商务市场环境的规范化管理。并尽快贯彻和落实《支付清算组织管理办法》和《电子支付指引》的相关政策,逐步促进电子支付市场的规范化发展,不断规范支付清算行为,以增强清算效率和防范金融风险,确保为电子商务的健康发展奠定基础。
关键词:电子商务;支付;安全问题;对策
中图分类号:TP39 文献标识码:A 文章编号:1672-8122(2017)06-0018-02
随着电子商务的不断升温,其安全性问题已引起各界人士和普通群众的热切关注,根据中国互联网信息中心近几年的调查表明,人们越来越关心电子商务的支付安全。更有数据显示,与一般传统模式的公司比起来,涉及电子商务的公司网站更容易遭到“黑客”的恶意袭击,这极大地威胁了网上支付的安全性。
一、电子商务支付现状
根据艾瑞咨询统计数据可知,2015年第二季度中国电子商务市场的整体交易规模为3.75万亿元,同比增长了22.1%,环比增长了7.8%。3G、4G网络技术和智能手机的成功运用及成熟,手机购物变得愈发便捷,也很大程度上促进了电子商务的发展[1]。此外,团购、O2O、众筹等模型对电子商务的发展起到了巨大的推动作用。
作为经济增长的一个新的驱动力,网络购物的影响,从消费领域蔓延到生产领域再到服务领域,真正的经济的发展是实现其深度的整合。近期,中国互联网络信息中心(CNNIC) 了《第37次中国互联网络发展状况统计报告》。报告显示,截至2015年12月,中国的网购用户规模已达4亿1300万,同时,网民使用网络购物的比例已达60%。在2015年网购用户新增了5183万,增长率为14.3%。中国的移动电话网络购物用户规模增长迅速,达到43.9%的增长率,移动互联网购物的比例从42.4%上升到54.8%[2]。
二、电子商务支付存在的安全问题
电子商务支付中存在着许多安全问题,包括网络安全、系统安全、信息安全、支付系统协议和监管。
1.网络安全问题。网络安全问题一般主要涉及下述三个方面:(1)钓鱼平台:网络钓鱼者通过仿冒URL地址或者向网民发送欺诈性电子邮件或篡改网站来开展活动。通常是钓鱼者将自己伪装成知名企业或银行,并伪建一个与真实原网站相似并有相同产品的网站,受骗用户往往会在网页中输入登陆用户名和密码甚至会泄露银行卡账号、密码及口令;(2)业务拒绝:用户合法访问信息或网络资源会被拒绝。攻击者会对操作系统的漏洞进行利用,并且对系统进行非常大数量的合法或非法、根本不可能成功的访问请求,或者故意重复输错支付密码,让系统负荷过量最后账户冻结,导致系统资源不能被合法用户使用[3];(3)网络跟踪:通过对用户网站使用痕迹的跟踪,利用跟踪监测软件,监测终端支付过程,用户的登陆账号及密码有可能被得到,并且个人财产将会被盗取,肆意修改账户信息,破坏用户数据,甚至病毒会被放进其中,整个系统最终将会瘫痪。
2.系统安全问题。系统安全问题一般主要涉及下述两个方面:(1)黑客攻击:黑客自己编写程序或者利用系统现有的常用工具、技术,入侵并攻击服务器,达到破坏系统盗取信息的目的。黑客的攻击方式一般有网络中断、破解密码、窃听等;(2)木马、病毒入侵:传统病毒通过移动设备进行传播,现在主要通过网络造成病毒侵害,在网页中恶意代码,用户在访问有安全问题的网页时即会被感染。木马则是黑客的一种攻击手段,可帮助黑客实时掌握上线用户信息,远程监视用户访问记录甚至控制计算机。将木马植入在计算机系统中,且不易被用户察觉,等待外界的指令,两者都是黑客编写的恶意程序。
3.信息安全问题。信息安全问题一般主要涉及下述三个方面:(1)假冒合法用户:有一些人利用交易双方互不相见无法客观判断对方可信程度、难以有效身份验证识别的漏洞,采取各种不正当手段取得合法用户的身份信息,并将得来资料展示给网络安全拦截者使之判定其为合法实体,然后不法分子冒充合法用户进行活动攫取非法利益;(2)信息泄露窃取:信息泄露被主w外的人得到,网络攻击者通过互联网等各种介质利用非法手段截取交易双方传输的内容数据来窃取用户支付密码等关键信息,或者是对信息进行参数分析得出结果。用户使用过于简单重复密码,以及在各门户网站设置统一密码的现象也普遍存在,用强效的破解软件即可瓦解泄露出去。攻击者通常非法使用窃取的信息骗取信任再与他人进行交易;(3)信息篡改破坏:攻击者熟知网站结构编写方式,通过技术手段恶意破坏程序,删除、修改传输过程中的信息,破坏交易支付过程的准确性和真实性。除了被攻击之外,也可能由于网络系统自身问题而导致信息的丢失和错误。
4.支付系统协议问题。目前,网上支付协议SSL(安全套接层协议)和SET(安全电子交易协议)更是众所周知的,是电子商务交易系统中常用的协议和标准体系[4]。两者都具有显著地优势,但同时本身也带有缺点。SSL协议在将客户账户信息传递给商户过程中利用加密手段建立起安全的信息通行渠道,有利于商家验证客户的身份信息,使用起来相对SET要便捷,但也只是认证服务器与客户双方,并不能向客户验证商家的合法性,这一协议不能很好地保护客户的利益,阻止不了商家的恶意欺瞒。SET协议则是对商家、持卡人和收支方银行传送资料的规范,保护数据在支付过程中更加完整和安全,这点已得到被国际标准化组织的认可,但是操作复杂麻烦,不方便生疏者使用。
5.监管问题。我国对电子商务网络支付法律法规缺乏专门的监管。虽然近几年我国的合同法和侵权行为法进行了调整,但消费者始终处于劣势,难以有效维护合法权益。另外电子商务支付还缺乏监管,例如,双方对产品的监管、税收监管、信用监管和信息监管,电子合同也是模糊网络安全支付的重要问题。
三、解决电子商务支付安全问题的对策
电子商务支付安全的对策主要是与前文中出现的网络安全问题、系统安全问题、信息安全问题、支付系统协议和监管问题方面一一对应的。
1.解决网络安全问题的对策。加强预防病毒,支付安全级别的上升,将推动网络交易速率。而高交易率也会给病毒入侵提供很大的便利。所以要经常对计算机进行,清除计算机中的病毒。除了经常检查硬盘外,多采用先进技术,全面封锁病毒。
加强防火墙技术,防火墙是保证计算机的正常运行,是安全运行的重要措施之一,它能有效阻止网络对邪恶的攻击,形成一个保护屏障,相当于提高通信的门槛,让未授权的访问者不能进入,有效的提升了网络安全。
2.解决系统安全问题的对策。加大对黑客的打击力度,严厉打击,加大处罚力度,一旦发现有黑客攻击破坏他人利益就严加搜索,一旦逮捕必将严惩不贷。另外,要加强对青少年的思想道德素质教育,在让他们学好知识的同时,更多的是为社会做贡献,而不是为一己之私,危害他人财产安全。加强杀毒软件的开发与利用,最大程度上避免木马和病毒入侵,对恶意软件和程序进行封杀。加强对工作人员的安全意识教育,如果发现因工作人员不负责任而造成财产损失,对工作人员采取严厉的处罚措施。
3.解决信息安全问题的对策。中国的社会信用体系依旧很不健全,有些人在电子商务中利用技术进行商务欺诈,危害到消费者和金融行业的利益,但是难以被发现仍然逍遥法外。需要加紧建立合理科学、公正而又具有权威性的一套完整社会信用服务机构,创造信息资源交流的共享平台,逐渐形成与国际接轨又符合我国形势的信用体系。若发现某些人对电子商务的安全造成了威胁,便将个人的不良行为纳入其中,可以通过查询系统得知个人的信用记录。这一定程度上能阻止体动歪念头,遏制网上犯罪,对电子商务支付安全具有辅助作用。
电子商务支付的安全离不开每个人的责任认知。我们不可轻易相信钓鱼网站、诈骗分子的糖衣炮弹,改善不良消费习惯,要不断学习互联网知识,提升计算机安全技术的掌握和支付手段熟练程度以及提高电子商务的安全意识[5]。我们也应具有良好的道德品质,即使它只是一小部分,也要坚持个人道德和维护网络秩序。
4.解决支付系统协议问题的对策。由我国电子商务支付发展的现状,针对我国目前在电子商务在线支付中信用卡的使用不普及,多是借记卡的特殊性,对PIN数据项进行扩展,为SET协议在我国的推广与使用提供了一个实际且可行的方法,增强了SET协议在我国的适用性,这在很大程度上减小了其复杂性,变得更加好操作。另外,提高SSL的安全性能,根据消费者的需要选择不同安全级别和复杂程度,这样使得安全协议有着更好的适用性。
5.解决监管问题的对策。政府和企业间应该进行合作,一起制定和完善相应的法律法规。如果发现问题要及时的采取措施,并且追究负责人的责任,保证电子商务支付安全。
制定有关电子支付的法律或者行政法规,大多数问题背后的根本问题是监管法律层级太低。由国务院制定的电子商务支付行政法规、法律或行政法规,对电子商务支付机构注册资金的最低金额,这样就不会违反公司法的规定。
降低准入门槛,加强对电子商务在虚拟互联网的监管,始终是一个巨大的风险。鉴于此,互联网金融监管必须考虑到市场的发展需要和创新[6]。政府应由注重事前转为更加的去注重事中和事后的监管,这对长期重视事前审批、轻视事中事后监管的当局来讲,是新的考验和挑战。但具体实施情况和此前监管部门的监管远不如事前审批,行政审批通常是几百次,而事后监管的措施也不多,也缺乏经验。但是相关单位必须要将人民的利益放在首位,努力提高自身的监管水平。
四、结 语
尽管文中针对电子商务支付安全出现的问题都提出了相应的对策,可是计算机领域的不断进步以及不断更新的网络技术,黑客也在不断进步着,他们更加聪明,发出的攻击也更加猛烈和复杂,电子商务支付安全还是令人如履薄冰。所以,我们不能只从一方面去考虑问题,我们需要不断开发新的技术的同时,增强民众的安全支付意识,不去破坏他人财物。另外,电子商务支付安全的相关法律也需不断完善。每个人都有责任去保护好我们的支付环境,这样,电子商务才能更加进步,更好地服务大众。
参考文献:
[1] 栗李川.流数据挖掘在电子商务中的应用与研究[D].天津工业大学,2014.
[2] 孟凡新.中国网络购物市场研究报告[J].互联网天地,2013(6).
[3] 薛飞.浅析网络安全及常用安全技术[J].科学家,2015(9).
[4] 高艳丽.浅析移动支付安全[J].商场现代化,2012(6).
关键词:网上支付 电信诈骗 手机木马
中图分类号: TP393.08 文献标识码:A 文章编号:1007-9416(2016)12-0193-02
随着信息技术的飞速发展,以及人们对工作、学习、娱乐、消费的便捷性要求越来越高,各种信息技术产品层出不穷。尤其是因特网普及后,消费者和服务商之间面对面的交易不再是必须,网上支付带来了极大的便捷性,交易各方利用银行所支持的数字金融工具,通过因特网进行交融交换,实现用户到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,为电子商务和其他服务提供金融支持[1]。
现金转帐、购物支付、网上缴费等网上支付业务极大地方便了人们的生活和工作,这种新颖快捷的支付方式被越来越多的消费者接受。足不出户,就可以实现轻松生活,网上支付成为许多人日常生活不可缺少的支付方式。
但与此同时,网上支付的安全事件不时发生,给用户造成了或多或少的财产损失和大量的个人信息泄露,令人们在使用网上支付时难以真正放心。
1 网上支付过程
通过分析网上交易参与各方的活动,网上支付的组成要素有:因特网(Internet),客户,商家,开户银行,支付网关,银行网络,认证中心。其工作流程如图1所示。客户通过个人计算机或者移动终端访问商户的网站,登录时与认证中心交互,取得自己的个人信息用于身份鉴别;客户选择商品或服务后,确认下单,其信息及购物款项信息就会被加密发送到支付网关,支付网关与客户的购物支付卡发卡银行通信,验证其合法性;通过后,确认支付和购物交易合法有效;其后,物流将商品送至客户处,客户确认收货后,交易完成。
目前,网上支付方式包括通过网上银行进行的转账支付(即银行网关模式)、通过第三方平成的支付(即第三方支付平台模式)[2],银联模式和电子现金等。其工作原理分别如下:
(1)银行网关模式:商家与银行签约,其网站平台直接链接到银行网银系统,客户购物交费实际上就是将现金直接转帐到商家。
(2)第三方支付平台模式:电子商务平台先链接到第三方支付平台,支付平台再和银行链接而完成支付手段的一种方式。我国的第三方支付行业发展迅猛,有独立的支付企业诸如快钱、易宝、首信易等,而作为电子商务平台延伸的在线支付工具如淘宝的支付宝、腾讯的财付通、百度的百付宝等[3]。
(3)银联模式:在银联在线支付的网站完成的支付模式。
(4)电子现金。在支付机构注册虚拟账户,通过向虚拟账户充值进行相关支付业务,如购买游戏币、QQ币等。
这些支付模式既可以通过PC机支付,也可以通过手机、平板等移动智能终端完成。分析网上支付过程和支付形式,客户端、网络协议、互联网基础设施、支付网关等处都可能存在风险。网络支付安全是一个系统工程,需要银行、支付机构、安全厂商、商户、网络管理部门以及消费者共同努力。
从目前网络支付的发展水平和出现的网络支付案例来看,各个银行针对网上支付采用的安全技术和手段(如一次性口令、USB KEY、短信验证码等)都较成熟,达到了很高的安全性。而网上支付安全事件的发生在大多数情况是用户安全防范意识薄弱和相应的安全技能不足所致。下面列出网上支付可能存在的一些风险。
3 网上支付的风险分析
3.1 用户的身份冒充
这种攻击基于用户身份信息被盗用。攻击者通过非法手段(如植入木马、钓鱼等)盗取合法用户的身份信息,仿冒其身份进行转帐或与他人交易,或实施诈骗以获得非法利益。
已发生的诸多案例都表明,国内很多网站都存储了用户的基本信息(包括姓名、银行卡号等),但其都或多或少存在安全漏洞,容易被入侵而导致大量完整的用户信息被泄露。国内外都有复制信用卡,盗刷的事件报道。除此之外,电信诈骗、二维码含恶意链接、钓鱼网站、手机木马等威胁也会造成大量银行卡信息的泄露。而目前正在快速发展的很多带有闪付功能的银行卡,还能在近距离非接触的情况下通过特定终端读取用户信息,这种读取方式静默,很难发现。
3.2 敏感数据泄露
网上支付的敏感数据一般包括个人信息(姓名、银行卡号、通信地址等)和购物信息(商品名称、价格、数量、购买时间等)。这些数据有可能在传输中泄漏、丢失或被篡改,如攻击者利用电磁泄漏或搭线窃听等方式截获还原传输的这些敏感信息,或通过对信息流向、流量、通信频度和长度等参数的分析,探测和分析有用信息。
3.3 交易数据篡改
攻击者通过在客户的计算机上植入木马、制作钓鱼网页或截获传输中的信息,篡改其交易数据,如修改消息次序、时间、数量、金额,注入伪造消息、重放交易等,使信息失去真实性和完整性。
3.4 商家假冒或欺诈
商家被别人假冒,提供假货或者收到付款后抵赖交易。
4 网上支付的安全对策
为加强网上支付的安全,需参与各方从技术和管理两方面同时着手,在技术上提高安全性,同时在规范管理上防范非法行为。技术上包括:
4.1 个人计算机或移动终端安全
一般硭担作为公共基础设施的支付网关和电子商务网站等的安全性都是较高的。而个人使用的计算机和移动终端的安全性堪忧。因此,个人计算机要及时安装和更新病毒木马查杀软件,及时升级操作系统和应用软件,不轻易打开不明文件和访问安全性未知的网站,不下载安装安全性未知的软件,不接入公共wifi和使用公共计算机进行登录和支付,以防止计算机被黑客攻击,导致个人信息泄露。
4.2 密码技术
一方面,采用密码相结合的多因子身份认证技术,加强身份认证的强度,防止身份信息被窃取、盗用和假冒,如数字证书、短信验证码、动态口令、USB Key等。另一方面,采用加密技术对用户信息和支付数据进行加密,防止敏感信息泄露和被篡改。计算机或手机上安装基于密码技术的数字证书后,即使账户支付密码被盗,也需要在已经安装了数字证书的计算机上才能支付,保障资金安全。
4.3 网络基础设施安全
采用多种措施保证网络基础设施安全,包括操作系统、网络协议、数据库、硬件设施等,这与技术的发展紧密相关。
管理方面的措施,主要针对组织和人而言。其主要工作是加强网上支付的监管,要求监管机构、银行和商家做好安全措施,并教育消费者树立安全意识,养成良好的安全习惯。
4.4 建立与完善网上支付的法律法规
随着网上业务在我国的发展,国家相继出台了多部法律法规,如《中华人民共和国电子签名法》明确了电子签名的法律有效性,使得网上业务受到法律保护;《电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》和《电子银行安全评估指引》等法律法规针对网上业务领域给出了一些具体的指导意见。但违法交易所要承担的法律责任,法定的电子货币发行人、合理的货币识别制度以及电子货币使用中各方隐私权保护制度等法律问题[4]上还需要进一步明确。而作为金融监管机构的中央银行则要结合我国国情并借鉴国外发展经验,严格技术标准,强化业务监管。
今年11月,国家出台《中华人民共和国网络安全法》,在网络安全各方面将做出指导性规定。而在这部法律出台后,各领域相关配套的法律法规,包括网上支付方面的法规也会随后推出,以规范网上支付活动,打击违法犯罪,保护合法权益。
4.5 加强法制和安全意识宣传
通过多种途径宣传和公开典型案例,警示用户树立安全意识,培养良好的安全习惯,比如电信诈骗案例、短信二维码恶意链接案例、网络钓鱼案例、其他社工案例等。通过宣传,促使用户采用银行等机构提供的安全产品和采纳银行等机构的安全建议,提高安全防护能力,如密码强度足够,并与其它密码不同,支付卡专用,金额随用随存等。在网络支付发现情况有异时,如页面跳转、不停要求输入信息或弹出无关提示等时,停止操作以止损,并报警和保护现场。同时,加强对网络不法行为的追查处罚力度,威慑不良企图者,减少违法行为发生的可能性。
4.6 网络实名制
今年电信实名制也真正落实实施,将对电信诈骗起到很强的防范作用。
同样,通过网络实名制,使得网络上的虚拟身份能与现实社会的身份对应,防止交易抵赖,方便追究和落实相关责任人。同时,网络实名制也将对攻击者形成强大的威慑力,利用网上支付实施的违法犯罪行为也将大大减少。
5 结语
网络支付应用已非常广泛,只有保证其安全性才能健康稳定发展。本文基于网络支付可能存在的风险,从技术、管理等方面提出了相应的安全对策,防止用户的财产损失和个人信息泄露。
参考文献
[1]刘亚军.网上支付系统的安全性研究[J].现代电子技术,2013,36(8):74-76.
[2]王淦银.我国网上支付六大瓶颈待破[J].中国银行业,2015,(1):85-87.
关键词:电子商务;支付;SET;SSL;安全
1 电子商务网上支付系统概况
电子商务主要涉及到三个方面的内容:信息,电子数据交换(EDI)和电子资金转帐。电子商务的交易过程一般可分为三步:第一步,交易各方在网上和寻找交易机会,比较价格和条件,选择交易对象;第二步,进行银行、运输、税务、海关等方面的电子数据交换,即EDI;第三步,将商品交付运输公司起运,银行按照合同约定,依据提供的单据进行支付。由此可见,电子商务的整个交易过程都涉及到支付问题,支付是电子商务的中心环节。
1.1 电子商务支付系统的概念
电子商务支付系统是电子商务系统的重要组成部分,它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务,即把新型支付手段(包括电子现金(E-CASH)、信用卡(CREDIT CARD)、借记卡(DEBIT CARD)、智能卡等)的支付信息通过网络安全传送到银行或相应的处理机构,来实现电子支付。
1.2 电子商务支付系统的发展情况
电子商务于20世纪90年代初兴起于美国、加拿大等国,但在近几年电子支付才被人们普遍接受。各厂商如IBM、惠普、微软、SUN等纷纷推出自己的电子商务产品和各自的解决方案。随着电子商务的发展,各种法规也随之健全,德国、韩国、意大利、西班牙和美国的许多州已经通过数字签名和身份认证法律。1996年下半年,美国财政部颁布有关《全球电子商务选择税收政策》白皮书;联合国国际贸易法委员会(UNCITRAL)已经完成模型电子商务法的制定工作,为电子交易制订出统一通用的规则。另外,两大国际信用卡组织VISA和MASTER合作制订的安全电子交易(SET)协议定义了一种电子支付过程标准,其目的就是保护万维网上支付卡交易的每一个环节。SET是专为网上支付卡业务安全所制定的标准。
这几年来,我国的北京、上海、广州等信息产业发展较快的城市的信息产业部门开始了电子商务相关的研究,并在1998开通了自己的电子商务系统,其他省市也纷纷开始建立电子商务系统。
2 电子商务支付业务存在的突出问题
目前,虽然国内网上购物方兴未艾,网上书店、网上商场频频亮相,图书、音像制品、软件光碟、小家电等琳琅满目,然而实际采取行动的购买者微乎其微,究其原因,固然有人们对网络交易的疑虑及购买习惯等因素的影响,但付款手续的复杂及其电子支付的安全性难以体现网上购物便利优势,致使用户的热情大打折扣。
因此,解决电子支付问题成为国内网上银行所面临的严峻挑战。这其中包括网络银行本身业务系统的问题以及如何为企业及个人提供完善服务的问题,还有一个重要的方面就是电子支付的安全性问题。电子支付的安全性直接影响电子商务的发展,解决不好,将成为制约电子商务发展最严重的瓶颈。
2.1 信用障碍
良好的信用机制是网络银行发展的基本条件之一,我国在这方面差距很大。在美国,由于信用机制基础牢固,持卡人可以通过信用卡消费,风险小而且方便快捷。他们以银行为商品交易的核心,和买卖双方建立起一种三角形的稳定关系,以相互制约和相互监督的形式,把交易建立在以信用、担保为基础的平台之上。
由于基于Internet的电子商务,买卖双方可以互不见面,其信用问题就显得格外重要了。市场经济发展的两大支柱是社会保障体系和社会信用体系。就目前而言,我国无论是企业还是个人,还未普遍建立完善的信用体系,现金交易还占主导地位。买方担心付款后能否收到货物或能否收到满意的货物,卖方担心发货后能否按期如数收到货款。由此可见,信用问题对于电子商务的健康发展是多么重要。
2.2 电子商务活动中电子支付与认证标准有待统一
目前安全协议有两种:SET与SSL。SET(Secure E1ectronic Transaction,简称SET),即“安全电子交易”,是VISA、MASTER两大国际卡组织和多家科技机构共同制订的进行在线交易的安全标准。SSL(Secure Socket Layer,安全套接层)协议,是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话过程进行加密的协议。在SSL中,采用了公开密匙和私有密匙两种方法。
SET协议比SSL协议复杂,在理论上安全性也更高,因为前者不仅加密两个端点间的单人会话,还可以加密和认定三方面的多个信息,而这是SSL协议所不能解决的问题。但是SET也有自己的缺陷,由于过于复杂,所以对消费者、商户和银行方面的要求都非常高,推行起来遇到的阻力也比较大。相比之下,SSL则以其便捷和可以满足现实要求的安全性得到了不少人的认可。目前国际上对这两种网络安全协议到底哪种是未来的发展方向还没有完全形成共识。转贴于
2.3 相关法规有待完善
我国电子商务立法明显滞后,在一定程度上影响了网上银行的发展。目前尚有如下问题需解决:
(1)电子支付的定义和特征。电子支付是通过网络实施的一种行为,与传统的支付方式类似,它要引起涉及资金转移方面的法律关系发生、变更和消灭。
(2)电子支付权利。电子支付的当事人包括付款人、收款人和银行,有时还存在中介机构。各当事人在支付活动中的地位问题必须明确,进而确定各当事人的权利的取得和消灭。
(3)涉及电子支付的伪造、更改与涂销问题。在电子支付活动中,由于网络黑客的破坏,支付数据的伪造、更改与涂销问题越来越突出,对社会的影响越来越大。
2.4 银行业科技水平与国际先进技术相比滞后
到目前为止,在我国的金融系统中还没有出现提供信用支付手段的信用卡公司。“手机银行”与“网络银行”实际上都不过是利用电子终端设备的金融工具,这两种利用高技术手段的工具并未在金融服务的功能方面提供实质意义的突破,而且这两种工具的安全性目前尚有缺陷。毫无疑问,我国应当加快新型金融工具的发展步伐。
2.5 支付的安全无法保证
网络的安全即便在电子商务发达的美国也是消费者十分担心的问题。世界各国发展电子商务也都存在着这样或那样的问题.
3 促进我国电子商务支付业务发展的对策
3.1 加强网络基础设施和现代化系统的建设,提高信息化普及率
政府应坚持建设“三金”工程和国家现代化支付系统。持续加大对金融网络基础设施的投入,成立专业的金融数据网络公司来经营管理数据通信网,为金融系统提供安全、快捷、高效、经济的通信服务;全面推进我国的金融电子化,提高各国有商业银行的服务水平和国际竞争力。在银行硬件方面,银行应该投入足够的资金购买先进的电子设备,从储蓄所里的柜员机到大型计算机、从局域网到广域网,电子设备应深入到银行内部的各个领域,将电子化网点和营业网点电子化覆盖率逐步提高。同时,银行应加大软件开发力度,推出系列应用系统软件,主要包括全国性和全行性的网络系统。
3.2 健全社会整体信用制度,提升电子商务主体对在线支付安全的认知度
在线支付只有在广大客户的热情参与下,才有可能得到进一步发展。为增强客户的信任,可通过提升网络安全技术、及时收集反馈信息、密切与第三方合作等途径来实现。
首先,应提升网络安全技术,普及CA认证,以增大支付网络安全系数。网络安全技术问题的重要性是显而易见的,如果在线支付存在明显的漏洞,很容易受到外部的攻击,经常出现客户支付信息丢失或出错等情况,怎么能期望客户建立起对它的信任?网络信息的安全技术有很多,如防火墙技术、数据加密传输技术、身份鉴别技术、病毒防治技术等。然而,绝大多数客户对于具体的技术是不可能完全了解的。应使客户真正了解所受到的安全保护,从而打消对在线支付技术方面的顾虑。
其次,在线支付服务机构应发挥网络的低成本、高效率的特点,及时收集和反馈信息,了解客户的要求、抱怨和建议,并及时做出相应的解决方案。为争取客户,保持市场份额,在线服务机构必须调整经营管理构架,实施自身业务再造,为客户提供包括银行、保险、证券经纪和基金等多样化服务,体现“客户中心主义”理念。
最后,支付系统应借助于与第三方的合作,促进客户建立网络信任。据调查显示,在主页上标明与知名的第三方安全认证机构进行合作的在线支付系统更容易赢得客户的信任。这种有利于建立并维持客户网络信任的第三方合作还可以包括与银行的合作(包括支付渠道的通畅与安全),以及与信用度较高的网站建立联盟等,这样可以使在线支付获得更大发展。
3.3 实现在线支付经营主体银行的自身制度创新
在国民经济体系中,在线支付的经营主体仍将是占据金融中枢地位的商业银行。商业银行应以其传统的人才、资金、技术和信息优势介入到在线支付业务,对自身管理和业务体系重新构造。
首先应实行经营方式的转轨。在线支付业务的需求为传统银行提供了新的发展方向,在线支付经营主体应将传统营销渠道和网络营销渠道相结合,走“多渠道并存”的道路,在开展传统业务的同时,不断开发出新的金融服务项目。银行应通过在线经营方向的调整,维持和增加客户资源,谋求自身更大的发展空间。
第二,应重构金融业务体系。电子商务对在线支付经营主体提出了整合和协同的要求,各参与银行应加强合作,通过建立金融门户的形式共享资源,把网络作为银行与证券、保险、基金等金融企业合作的平台,走综合化、全能化业务发展道路,银行对结算业务的支持应从单纯的在网上为企业用户提供转帐结算服务,发展为介入企业的采购和分销系统,以提高经营效率,为客户提供“一体式”的全方位服务,推进我国电子商务的发展。
3.4 加强系统的风险防范,加快标准、法律等的制定
【关键词】第三方 网上支付 支付宝 风险
一、引言
网络世界,虽是一个虚拟的存在,却同样是商家一块必争的宝地。先后崛起,相互竞争,可谓群雄并立。这是一个创造神话的世界,这是一个英雄辈出的世界,正如美国战略大师加里・哈默尔在《竞争大未来》(Competing for the Future)一书中宣称“当下是改写游戏规则的天赐良机。”从网络诞生的那一刻开始,注定这是一个创造无限可能的地方。阿里巴巴就是在这样的时代里出现的神话。如果要研究中国的网络市场,是无论如何也不能忽略掉阿里巴巴的。虽然不可否认,中国的网络市场正在蓬勃发展,然而在阿里巴巴试图将“互联网带入网商时代”作为自己使命时,也不得不面临这么一种挑战,如何让网商们在一个安全可信任的环境中自由交易,如何处理庞大的在途资金,如何实现对网络资本的有效监督,这些都是目前网络交易面临的挑战。在马云向天下网商发出的“只有诚信的人才能富起来”的口号下,“支付宝”横空出世,开创了一个电子商务里程碑,迅速占据了国内第三方网上支付市场近一半的份额,稳坐第一把交椅,离实现“天下无贼”的梦又近了一步。
二、看网络市场,谁主沉浮
截至2005年6月30日,我国上网用户总数已突破1亿,网上购物大军达到2000万人,网上购物者半年内累计购物金额达到100亿元,网上购物市场巨大。受到电子商务发展的有力拉动,我国网上支付的市场规模发展迅速。艾瑞《网上支付报告》数据显示,2001年中国网上支付的市场规模为1亿元,2004年增长为75亿元,年均复合增长率(CAGR)102.7%。
那么究竟什么是网上支付?
从电子商务的含义可以看出,网上支付是电子支付的一种形式。从本质看,其只是一种电子支付手段。在具体的定义上,有着多种大同小异的说法,本文给予网上支付的定义为:广义地讲,网上支付是基于互联网平台的一种财务结算过程,其利用相关数字金融工具,在交易者之间实现金融交换,进行交易双方、金融机构之间的在线货币支付、现金流转、资金清算等过程。网上支付一出现便大大改变了金融市场。在西方,网上银行的业务量已相当传统银行业务量。亚太地区的网上支付和网络银行也在急起直追,有了很大的发展。目前,美国、加拿大网上用户在10万户以上的金融机构有十几家。美国技术市场调查公司加特纳公司则在2002年10月9日公布,1999年约有450万户家庭每月至少使用一次Internet的网上支付或网上银行其他功能,这个数字到2005年上升为3350万,占美国家庭总数的31%,其中使用网上账户和电子付账的消费者比例将上升到45%。而在网上支付中,使用网上票据支付的数量也迅猛增长。据统计,2000年的全球网上支付中票据支付已达到882亿次,已经超过传统纸质票据的830亿次;在2003年,全球网上支付中票据支付达到1220亿次,远远超过传统纸质票据支付数量。
在全球化的趋势下的中国,网上支付起步于1997年,招商银行率先推出网上银行“一网通”,主要提供企业对企业的资金结算,成为中国网上银行业务的市场导引者。据《2005-2006年中国电子商务市场及投资机会年度研究报告》显示,我国2005年电子商务交易额达到7400亿元,较2004年增长了54.2%,而近3年来,电子支付市场每年也都以高于30%的速度在增长。虽然电子商务与电子支付均发展迅速,但我国互联网电子支付与国外电子支付市场相比,国内的电子支付市场只能算是刚刚起步。同年,全球电子商务的交易额达到4万亿美元。2005年被业内称为“网上支付年”,也被称为网上支付的破冰之年,我国电子支付市场开始迅速发展。这一年很多电子支付法规得到完善,中国电子支付实现了飞跃式增长。2005年我国电子支付市场规模达到了161亿元人民币,增长率超过100%。据赛迪顾问公司调查,我国的网民目前约1.23亿人,从1998年3月第一笔网上银行进行的电子支付交易成功开始,这项业务发展十分迅猛,2004年电子支付交易额约74亿元人民币,2005年便增到160多亿元。电子支付开始为更多的人所接受。
根据专家预测,2008年中国电子支付交易规模将突破1000亿元,电子支付发展将呈现多样化的趋势,2010年移动支付和电话支付的份额也会进一步扩大。
根据中国互联网络信息中心第16次调查统计数据表明,2005年6月底,中国的上网用户总数达到10300万,比去年同期增长了8%。从网上消费者的现实情况来看,通过网络商店购买商品或服务的用户比例为31.2%,与去年底的31.6%和去年同期的31%基本持平。其中,采用网上支付方式付款的比例由去年底的37.9%上升到41.5%,提高了3.6%,采用货到付款方式则由去年底的24.4%略涨到24.7%,提高了0.3%。网上支付手段开始为更多的人所接受。
图1显示的是根据中国互联网络信息中心(CNNIC)的中国互联网发展状况统计报告,当交易金额超过1000元的时候消费者愿意采用的支付的调查结果。可以看出网上支付方式也在随着计算机技术的发展和网民的防范意识的增强处于不断变换中。从以上调查数据中可以看出,随着电子商务的不断推进,当人们在网上购物涉及的商品价值较大时,出于交易习惯和安全、信用各方面的因素考虑,习惯的支付方式是货到付款,货到付款方式结算的比例要远高于网上支付结算的方式。这反映出习惯于面对面一手交钱一手交货的人们在从事网上交易时的普遍心态,也反映出人们对交易的安全性方面的担忧在不断降低,对交易信用的关注度在不断增加。因此支撑电子商务发展的信用及安全支付体系等环节仍然是电子商务发展的障碍所在。
并且,据中国互联网络信息中心(CNNIC)于2005年1月的第15次中国互联网发展状况统计报告,消费者在回答有关“网上交易存在的最大问题”时,“产品质量、售后服务及厂商信用得不到保障”和“安全性得不到保障”是被调查者中最关心的两个方面。
正是在中国目前这样的网络市场现状下,第三方网上支付方式“千呼万唤始出来”。大浪淘沙后,“阿里巴巴”旗下的支付宝公司的“支付宝”业务逐渐从众多厂商竞逐中脱颖而出,以其特定的技术优势,细分的服务市场,独特的经营处方,在电子商务中的第三方支付市场中大显身手。支付宝一直致力于为中国电子商务提供各种安全、方便、个性化的在线支付解决方案。目前,支付宝是中国最大的第三支付平台。
2003年10月,阿里巴巴创办的支付宝网站首先在淘宝网推出,就迅速成为会员网上交易通用的支付方式。2004年,支付宝实现了独立运营,从其母公司独立出来成立了支付宝公司。2005年支付宝公司“用支付宝,网上无贼”等安全服务概念频繁出现在众人面前,并捧走了由《电子商务世界》杂志主办的“2005年网上支付高峰论坛”的“最佳人气奖”。在由《21世纪经济报道》和《21世纪商业评论》联合发起的2005年“中国创造奖”中,“支付宝”荣获“2005年中国最具创造力产品”称号。评价认为支付宝在目前中国金融服务及网络安全并不十分完善的环境下,最大程度地保证了网上交易的安全,大大促进了中国电子商务的健康发展。
三、第三方网上支付平台支付模式
第三方支付平台是指已经和国内外各大银行签约、能与公用网更好地挂接,以解决银行与公用网挂接经营单一和可能出现安全隐患的问题;同时可以向社会提供信用保障,承担因不安全而出现索赔等方面的经济问题,因此,本身有风险承担能力的第三方独立机构提供的这样一个交易支持平台。通过第三方支付平台的交易,买方选购商品后,使用第三方平台提供的账户进行货款支付,由对方通知卖家货款到达、进行发货;买方检验物品后,就可以通知付款给卖家。2005年,网上支付的发展是无疑是我国电子商务市场的一大看点。网上支付第三方服务平台2001年是1.6亿元,而2004年则达到23亿元,根据预测2007年中国第三方支付平台市场规模将达到215亿元的水平。2004年第三方网上支付平台交易额占网上支付总规模的30.8%。IResearch预测在未来的几年内,随着市场对网上支付方式的认可以及单个第三方网上支付平台承载交易量的提高,该比例会持续上升,2007年有可能达到36%左右,见图2。
具体到支付宝的支付流程。支付宝的功能简单来说就是为网上交易的双方提供“代收代付的中介服务”和“第三方担保”,其实质是以支付宝为信用中介,在买家确认收到商品前,由支付宝替买卖双方暂时保管货款的一种增值服务。使用支付宝进行网上购物的具体流程如图3所示。
四、结语
在方兴未艾的网络市场里,英雄路,亦乃荆棘路,正可谓“在大海上航行的船没有不带伤的。”在一个重新洗牌的游戏规则里,谁先走一步,也许就决定了未来的市场。从支付宝这个第三方网上支付方式的成功背后,也隐藏着决策者的谋略与眼光。不论是中国,还是放眼全球,没有人可以说这块网络蛋糕注定就是属于谁的。在一个新兴的行业,机遇与挑战并存。中国的网络市场并不健全,然而却一直努力地创设一个公平合理的竞争环境。本文正是基于这样一个时代背景下,从构建第三方网络支付平台模式的研究入手,去探讨目前中国的网络市场现状,并且力图带领读者拨开云雾,在支付宝的牵引下,去思考中国在构建网络支付平台的种种努力以及不足,并尝试做出有根据的比较判断,我国的网络市场的有序发展提供一些建设性的意见。
参考文献:
[1]吴荣梅.EDI在我国电子商务中的应用与发展.科技情报开发与经济,2007,(1).
[2]孙占利.国际电子商务立法评介.集团经济研究[J].2006,(9).
[3]全球网上金融服务用户己突破5000万.人民日报,2002,(6).
购物车(0)