时间:2024-02-08 14:57:36
导语:在电子支付存在的安全问题的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
摘 要 随着经济、金融、电子商务的发展,我国的支付市场和支付体系也正在发生重大变化。非银行机构开始介入支付市场,电子支付机构也随着经济的发展正在日益兴起。本文从多个方面对我国电子支付所面临的问题进行分析研究。
关键词 电子支付 网上支付 问题
一、电子支付的概念
广义的电子支付是指电子交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段,通过网络进行的货币支付或资金流转。按照电子支付指令发起方式可分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。为研究的方便,本文所说的电子支付主要是指网上支付。
二、电子支付发展现状
我国电子支付市场发展迅猛,特别是第三方支付平台的出现,引发了支付方式的变革。电子支付的发展,疏通了电子商务交易过程的资金流,打通了电子商务发展的支付瓶颈。从整个支付体系看,电子支付将逐步成为我国支付市场和支付体系的重要组成部分。目前,我国主要的商业银行都开办了电子银行业务,并且大部分都设立了专门的电子银行部门,为网上银行的发展奠定了良好的基础。
三、电子支付面临的问题
(一)安全问题
根据对电子支付使用情况的调查显示,目前网民不使用电子支付的原因,最主要是因为担心安全,其次是个人隐私,以及注册麻烦和不太习惯使用这些工具等因素。央视生活频道近日播出的节目中,披露了一种新型金融造假手段,不法分子在网民网上购物交易时,利用与银行网站相类似的网络页面,盗取银行卡密码等私人信息,然后通过网上转账的方式将资金转走,导致网民在支付的过程中受到损失。另外,黑客、木马病毒的攻击让网民在支付的过程中防不胜防。木马潜伏在计算机中,时刻监视用户的一举一动,从而盗取帐户密码和信息。而黑客,则利用系统漏洞、用户的安全意识薄弱入侵用户的计算机,盗取用户的相关信息和密码,导致网民在电子支付受损。安全问题已经成为影响电子支付发展的主要因素。
(二)金融监管问题
电子支付虽然给网民带来很多方便,解决了电子商务的支付瓶颈问题,但由于目前我国关于电子支付的法律法规并不完善,电子支付无序的发展存在一定金融安全隐患。
1.缺乏对吸储行为的监管
目前,第三方支付平台利用资金暂时停留,在交易过程中约束和监督了买家和卖家,保护了买卖双方的利益。但是,随着将来用户数量的急剧增长,这个滞留资金的沉淀量将会非常巨大。据测算,交易平台中随时都有数以千万的资金停留。如果他们出现经营风险,则必将危及其吸存资金安全,损害买卖交易双方的利益,如果支付服务商(特别是专门从事支付服务的第三方服务商)的服务领域扩大到一定程度,交易客户和沉淀资金达到一定规模,很有可能引发系统性支付风险,并引发社会问题。
2.电子货币发行合法性有待确定
目前许多电子支付平台实际上发行了某种形式的电子货币,客户以法定货币购买电子货币后即能用该电子货币购买注册在相应电子商务企业的不特定卖家提供的商品或服务,从而使该电子货币具有了广泛的支付能力。而对于这种电子货币,尽管从国际电子支付业务发展趋势来看,基于网络发行的电子货币将成为今后电子商务中的重要支付工具,但由于目前国内缺乏对其性质、发行主体、使用范围等方面的法律规定,其合法性有待明确。
3.第三方机构提供支付结算服务,突破了现行特许经营限制
许多支付服务机构为交易双方开立账户,并通过充值账户后以电子货币为载体进行账户间的支付结算,完成交易款项划拨。这种行为在事实上突破了商业银行“结算”业务和“收付款业务”专营的法律规定。此类业务的进一步发展特别是当其达到一定规模后,势必对银行支付结算业务产生影响。
4.加大资金非法转移监管
由于对网上交易的真实交易背景难以查证,电子支付平台有可能成为不法分子资金非法转移、套现资金的便利工具。买卖双方通过制造虚假交易,利用电子支付平台顺利完成资金转移,从而达到非法交易的目的,如洗钱、贿赂、非法回扣等。
(三)市场规范问题
1.缺乏市场准入标准
目前,在国家政策和经济环境的推动下,电子支付服务产业呈现出良好的发展趋势,第三方服务机构出现了爆炸式增长。但是这些机构因为技术实力和经济实力的区别,提供的服务良莠不齐。目前,有些支付服务商开始着眼于“价格秀”,使整个市场看起来热闹而又显得有些无序。无序的竞争将影响产业的发展,影响服务的质量,而且存在潜在的金融风险。
2.缺乏相应法律法规
目前,具体到为电子商务服务的电子支付业务,法律上基本还是一个空白。传统的支付结算规则在电子支付业务规范中有一定的作用,但局限性很大。另外,目前涉及电子支付的法律只有《电子签名法》(解决了类似传统结算业务中签章的问题),规章有人民银行的《网上银行业务管理办法》、银监会的《电子银行业务管理办法》和人民银行的《电子支付指引》,除此没有其他规范。
四、解决这些问题的对策
首先是政府相关部门抓紧建立支付市场的准入制度,提高整个支付产业的服务水平和竞争力。其次要加强有关立法建设,完善对网络支付的监管,使网络支付的运行有一个好的外部环境。第三是坚决打击网络犯罪,并通过其他措施提供网络交易的安全度,使人们能够放心地进行网络交易。
参考文献:
【关键词】:电子商务;支付方式;网络安全
1.电子商务支付方式在发展中存在的问题
1.1信用和安全问题
无论在哪个国家的哪种电子交易方式下,网络安全问题总是令消费者十分担心和在意。而令人不甚满意的是,这一问题在世界各国均存在,我国自然也不例外,浙江就曾经发生过“银行卡”案件。如果消费者在每次使用银行卡后,对方都能通过电脑得到你的全部财务记录,该是多么可怕的事情,事实上,这一现象也令很多消费者对使用银行卡进行网络购物望而却步,因为消费者不知道这些进去你账户的人会是怎样的电脑专家或金融高手,但他们却知道自己对金融与电子商务的掌握程度有多深。
1.2电子支付与认证统一上的问题
在这里,主要有SET 与 SSL 两种安全协议,前者是一套在线交易的安全标准,由 VISA 和 MASTER和多加科技机构共同制定。后者是一种安全通信协议。国际上并未确定该由这两种协议中的哪一方作为未来发展方向,而这一现象的产生也是由于这两种协议自身的优缺点导致。SET 协议比 SSL 协议复杂,但在理论上,也占据着更高的安全性,因为它不仅加密两个端点之间的单人对话,也加密认定三方面的信息,但 SSL 却只是加密第一项。但是 SET 却由于过于复杂而对消费者、商户和银行方面的要求过高,由此在推行中难免遇到一些阻力,但 SSL 却并不受此项因素干扰,它相对便捷,同时又能满足人们现实中的安全需求。
1.3相关法律不够完善
相比于发达国家,我国电子商务起步较晚,发展较慢,因此导致了电子商务立法的滞后,这给网上银行的发展带来了一定的影响。而在相关法规的完善问题上,目前还有下列一些问题需要解决。
首先是关于电子支付的定义和特征。由于其是借助网络发生的一种行为,与传统支付相异,因此,在资金转移方面必须要有相关法律坐镇。
其次是关于电子支付权利上的问题。电子支付的当事人涉及到多方,包括付款方、收款方以及银行,某些时候还会涉及到中介机构。因此需要有相关法律来确定各当事人在支付活动中享受的权利和需履行的责任。
再者是关于电子支付的伪造、更该及涂销问题。在进行电子商务支付的活动中,我们不得不提防网络黑客对于数据的破坏、伪造、更改以及涂销问题,因为这一现象给社会带来的恶劣影响十分突出。
1.4银行业科技水平与国际先进技术存在差异
在我国,虽然有“手机银行”与“网络银行”这两种支付手段,但归根结底,它们都不过是利用电子终端设备的金融工具,通过利用高技术手段的工具并不能再金融服务的功能上做出一些实质性的突破,况且还面临着安全方面的缺陷,因此,为了在电子商务及电子商务支付的道路上达到世界先进水平,我们有必要加强加快新型金融工具的开发。
2.电子商务支付方式的发展对策
2.1加强网络基础设施和现代化系统建设
银行需要从硬件和软件两个角度进行。在硬件上,银行要投入足够的资金进行先进电子设备的购买,包括柜员机和大型计算机、包括局域网和广域网等深入到银行内部各个领域的电子设备,以提高电子化网点和营业网点的电子覆盖率。在软件上,银行方面要加大开发力度,对全国性和全行性的网络系统做系列应用系统软件的研发。
2.2加强对社会整体信用制度和在线支付安全问题的管理
首先,我们需要提升网络安全技术,最好普及 CA 认证。我们可以通过防火墙技术、数据加密传输技术、身份鉴别技术、病毒防治技术等安全技术来提高网络信息的安全性。其次,电子商务支付机构需要充分发挥网络的低成本、高效率的特点来进行反馈信息的及时收集。最后,支付系统如果可以实现与第三方的密切合作,则对于客户建立网络信任具有极大的促进作用。
2.3加强在线支付主体方――银行自身制度的创新
纵观现今我国电子商务的发展态势,我们不难得出在线支付业务的需求十分巨大,这为传统银行提供了新的发展方向,因此,银行如果可以将传统营销渠道和网络营销渠道进行有机结合,必然可以谋求自身更大的发展空间。其次需要提到的是对金融业务体系的重构,由于电子商务的自身特性,它要求在线支付主体进行一定的整合与协同,因此,参与在线支付的各银行应加强合作,以建立金融门户的形式实现资源共享,由此,网络将被作为银行和证券、保险、基金等金融企业合作的平台。通过“一体化”的全方位服务来推进我国电子商务的发展。
2.4加快相应法律和支付系统的完善进度
一个完善严格的法律环境是进行电子商务支付发展的必备条件,因此,我国需要加快这一方面的步伐,建立出相应法律法规体系。但仍需注意的是在线支付往往设计国际交际,因此,各国政府与金融业需要进行必要的合作和谈判,共同制定和完善相应法规。例如国际商会指定的《电子贸易和结算规则》即可作为我国在线支付立法的借鉴。此外,在对电子商务活动进行监管的过程中,一旦发现问题要做及时的查处,追究相关人员法律责任,以此保证一个健康、有序的电子商务与在线支付的发展。
结 语
在信息化的 21 世纪,电子商务正在以一种前所未有的方式改变着传统商务活动的模式和格局,它在创造丰厚利润的同时渗入到了每个参与者的商务理念与生活方式之中。做好电子商务支付方式的相关研究对于保障电子商务平稳快速发展有着积极的基石作用,可以更好的推动电子商务的新发展。
参考文献
[1] 杨磊. 电子商务支付方式的问题及对策探讨[J]. 微型电脑应用,2014,08:56-58+64.
一、网络支付的发展现状
网上支付是以互联网为基础,利用银行所支持的某种数字金融工具,发生在购买者和销售者之间的金融交换,而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,对电子商务服务和其它服务提供金融支持。国际上通用的网上支付工具有银行支付、电子支票、电子钱包和网上银行。网上支付具有交易与支付同步的特点,并且没有时间与空间的限制。
二、国际贸易网上支付的优点
一是降低了国际贸易中的交易成本,一方面直接降低了交易费用,通过网上银行的网上支付方式,中介机构的手续费大大低于普通的支付操作;另一方面节约了交易时间,采用网上支付后,由于买卖双方对彼此的信用等级十分了解,所以交货与付款基本上是同步进行,这就提高了资本的利用率,降低了交易成本。
二是能够降低国际贸易买卖双方在贸易交割期间带来的汇率波动风险。由于通过网络支付的方式,合同从签署到履行的时间大大缩短,这就降低汇率波动对双方的影响。
三、国际贸易网上支付存在的问题
一是网上支付的安全问题。一方面网络支付系统的风险,这种风险是软硬件的系统风险。全球电子信息系统的技术和管理中的缺陷或问题成为电子支付运行的最为重要的系统风险。现今发达国家零售和金融业的经营服务已在相当程度上依赖于信息系统的运行。信息系统的平衡、可靠和安全运行成为电子支付各系统安全的重要保障。但由于网络技术的高度知识化和专业性,又出于对降低运营成本的考虑,金融机构往往要依赖外部市场的服务支持来解决内部的技术或管理难题,如聘请金融机构之外的专家来支持或直接操作各种网上业务活动。这种做法使自身暴露在可能出现的操作风险之中。另一方面,网络支付的操作风险大量存在。电子扒手,网上诈骗,黑客攻击,电脑病毒破坏等网络中的不安全因素对国际贸易中的网络支付产生了极大的安全问题。
二是信用风险。网上银行通过远程通信手段,借助信用确认程序对借款者的信用等级进行评估,这样的评估有可能增加网上银行的信用风险。因为借款人很可能不履行对电子货币的借贷应承担的义务,或者由于借贷人网络上运行的金融信用评估系统不健全造成信用评估失误。此外,从电子货币发行者处购买电子货币并用于转卖的国际银行,也会由于发行者不兑现电子货币而承担信用风险。有时,电子货币发行机构将出售电子货币所获得的资金进行投资,如果被投资方不履行业务,就可能为发行人带来信用风险。社会信用体系的不健全是信用风险存在的根本原因,也是制约电子支付业务甚至电子商务发展的重要因素。
三是法律问题带来的风险。电子支付业务常涉及银行法、证券法、消费者权益保护法、财务披露制度、隐私保护法、知识产权法和货币银行制度等。目前,全球对于电子支付立法相对滞后。现行许多法律都是适用于传统金融业务形式的。在电子支付业务中出现了许多新的问题。如发行电子货币的主体资格、电子货币发行量的控制、电子支付业务资格的确定、电子支付活动的监管、客户应负的义务与银行应承担的责任,缺乏法律规范调整的后果表现在两个方面,要么司法者或仲裁者必须用传统的法律规则和法律工具来分析网上业务产生的争议;要么法官或仲裁者不得不放弃受理这类纠纷。由于网络纠纷的特殊性,用传统法律规则来解决是一个非常吃力的问题;但是,消极地拒绝受理有关争议同样无助于问题的解决。法律规定的欠缺使得金融机构面临巨大的法律风险。
四、国际贸易网上支付问题的解决方案探讨
一是完善电子商务法规制度建设。必须建立和完善相关的法律法规,以保障各方的利益,考虑到电子商务快速发展与法律法规建设的相对稳定性之间的矛盾,新的法律法规必须有一个较为灵活的框架,防止其制约电子商务的发展。
二是加强社会信用体系的建设。银行要协调工商、税务、公安、保险等部门关系,实现信用资源共享,培育专业的信用服务机构,采用同一种规划平台、同一种标准手段、同一种技术流程,建立统一、高效、客观、公正的社会信用体系,降低金融信用危机,以提高人们对网络银行支付方式的信任程度,为网络银行的发展奠定良好的信用基础。
电子商务是指利用计算机网络进行的商务活动。即交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的商业交易。
中国同世界上许多科学技术发展较快的国家一样,从20世纪90年代,计算机网络信息技术得到了飞速发展。特别是近几年来,中国银行业的电子化水平也有了很大的提高,但如何使电子商务在银行业中得到更好的发展,仍是需要研究的课题。
我国银行业发展电子商务面临的困难
其一是认识问题。电子商务是新生事物,中国推行电子商务的最大障碍不是技术而是观念。要想转变观念,一是通过实例加强认识;二是加大宣传力度,使居民、企业及政府对电子商务有个新的认识,还必须切实解决电子商务发展中所面临的种种问题,包括技术问题、管理问题和法律问题,以消除人们对电子商务的种种疑虑。美国政府近年来大力发展密码技术,广泛推广网络结算标准,使消费者对经由网络结算的信任程度有了显著提高。以前有70%的网友对网络上使用信用卡有疑虑,如今已经降到30%左右,从而使电子商务的购销金额有了明显的增加,这种情况说明,宣传推广与实际推广的密切结合,才能真正提高全民对电子商务的认识。
其二是网络建设问题。中国电信业的迅猛发展,推动了网络建设。银行网络通信以前主要依赖于卫星通信解决异地信息传递,现在可以利用以光纤通信为基础的宽带高速数字化通信技术来解决中心城市之间的金融信息传输。特别是中国国家金融网(CNFN)的建设,使金融专用网络更具规模。但是,各个商业银行的专用网络CNFN之间存在着网间互联的问题。为了利用商业银行的网络,建议使用统一的互联网协议来实现不同的网络接口协议之间的互联。
其三是安全问题。虽然计算机专家在网上银行的安全问题上下了极大的功夫,采取了多种措施,然而,道高一尺,魔高一丈,网络黑客的攻击仍然使专家们头疼不已。安全问题仍旧是电子支付中最关键、最重要的问题。这个问题直接关系到电子交易各方的利益:买方存在信用卡密码被窃或泄露从而导致资金流失的风险,以及商家是虚假的从而造成钱付了却收不到货的局面;卖方存在未能识别电子伪钞而向不真实的买主交货,进而导致“钱货两空”的结果;银行则存在向虚假商家兑现后因买方收不到货从而拒付的风险。由于种种风险的存在,各方当事人对在Internet网上从事电子交易就不免心存疑虑。同时,网上交易所能带来的巨大机遇和丰厚利润也无时无刻不在吸引着那些喜欢冒险的网络入侵者,买方、卖方和银行都必须承担来自外部的风险。
银行业发展电子商务信息安全与一般情况下所说的信息安全有一定的区别。它除了具有一般信息的含义外,还具有金融业和商业信息的特征。更多的、更重要的方面还在于它的进一步发展,必须涉及国民经济建设中资金的调拨,涉及国家经济命脉的重要内容。所以,必须高度重视银行业发展电子商务的安全。
其四是支付方式和信用卡处理统一化问题。在电子支付中存在着若干种支付方式,每一种方式都有其自身的特点,且有时两种支付方式之间不能做到互相兼容,这样,当电子交易中的当事人采用不同的支付方式且这些支付方式又互不兼容时,双方就不可能通过电子支付的手段来完成款项支付,从而也就不能实现英特网上的交易。因此,从推动电子商务的角度出发,有必要努力将各种不同的支付方式统一起来,将各种不同的支付方式融会贯通、取长补短,结合形成为一种较为完美的支付方式。当然,这只是理论上的一种思考,要真正做到这一点是很不容易的。这中间不仅涉及各国的金融网络问题,也牵涉到各利益集团的利益问题。此外还包括与之相关的软硬件及其他配套设施的一致性问题。支付方式的统一对各国、各家银行都是大有裨益的,它不仅可以免去支付方式不统一所带来的种种不便,而且能够确保电子商务在世界范围内顺利地开展,从而使各国都能从中受益。加快支付方式的统一,也是我们迫切需要解决的难题。
信用卡在一定时期将成为我国最主要的个人支付工具之一。但是,由于我国商业银行各自为政,各行信用卡只能在本行的ATM机和POS机上使用,造成大量的重复建设,也限制了信用卡的推广。上海市于1999年4月成功地解决了各行信用卡使用地银行POS和ATM机的问题,大大推动了我国信用卡的发展。笔者认为,中国应该建立一个统一的银行卡管理机构,即独立于银行和商家的第三方机构进行银行卡业务处理。这样,就可以制订统一的标准,避免重复建设和资源浪费,集中力量开发信用卡的新业务,进行技术创新。
其五是企业应用系统开发问题。目前,我国为企业在线销售而设计的软件系统极为缺乏。用户只能进入银行的Web页通过网上银行来购买产品,而不是用户直接向厂家订购。一个真正的支付系统应该将企业纳入其中。企业在网上产品信息并提供联机订单,由银行承担支付的中介,这是未来支付系统的发展方向,我国金融业应早做准备。
其六是法律问题。怎样运用法律来保护银行和客户在网上交易的合法权益,也是电子商务是否能迅速发展的关键,我国目前有关电子商务的法律制订应注意以下几种情况。(1)电子支付的定义和特征。电子支付是通过网络而实施的一种支付行为,与传统的支付方式类似,它也要涉及资金转移方面的法律关系,国外提出的电子支付的法律定义是否适合我国的情况,需要做哪些修改,其行为特征等都应该加以研究。(2)电子支付权利。电子支付的当事人包括付款人、收款人和银行,有时还存在中介机构。各当事人在支付活动中的地位问题必须明确,进而确定各当事人的权利的取得和消灭。涉及这方面的问题相当复杂。比如说,电子支付权利是否只有原始取得而无继受取得?电子支付权利的消灭,是否也存在因超过了法定失效而消灭的情况?如果电子支付过程中出现数据信息遗失的情况,怎样定义权利的绝对丧失和相对丧失?(3)涉及电子支付的伪造、变造、更改与涂销问题。在电子支付活动中,由于网络黑客的猖獗破坏,支付数据的伪造、变造、更改与涂销问题越来越突出,对社会的影响越来越大。我国1997年10月1日实施了新的《中华人民共和国刑法》,其中的第一百九十六条是专门针对信用卡犯罪的,包括使用伪造的信用卡,使用作废的信用卡,冒用他人的信用卡,恶意透支等。智能卡和信用卡类似,犯罪的界定尚可参照信用卡的有关条款,但电子现金、电子钱包、电子支票的问题却完全是一类新问题,责任的认定和追究需要全新的法律条文。(4)刑事侦察技术的发展问题。由于计算机技术的飞速发展,新的电子支付方式层出不穷。每一种方式都有自己的技术特点,都会产生新的法律纠纷。这些纠纷出现后,调查、认定是一个非常复杂的刑事侦察技术问题。在信息化时代,传统的实物证据逐渐被虚拟证据所代替。目前法学教育中的物证技术课程仍然停留在刑事照相、文书检验、痕迹取证等传统的侦察技术上,已经远远不能适应新的技术发展要求。
加快我国银行业电子商务发展的建议
一是提高全民族电子商务意识,增强商业信誉,加强人才培养。电子商务的发展需要一个强大的软硬件环境和深厚的社会氛围作支持,但目前我国人们电子商务意识还很淡薄,企业尤其是中小企业对电子商务不完全清楚。这些问题使运用电子商务客户的群体发展慢,从而影响了我国网上银行的建设。另外,商业信誉较低,造成人们对使用电子商务的担心;电子商务人才缺额成为我国电子商务发展的主要障碍。因此,必须尽快宣传普及电子商务的有关知识,增强商业信誉,加强相关人才培养,使我国的电子商务得以迅猛发展。
二是构造银行业电子商务交易安全的综合保障体系。交易安全是关系到交易双方和整个市场稳定的关键问题,也是电子商务在银行业中推广的最大障碍,面对Internet这个开放的环境,面对网络安全一次又一次受破坏的现实,我们应从以下几个方面人手:(1)积极向电子支付国际通用标准靠拢。虽然目前尚未公布正式的电子支付的国际标准,但西方国家较多采用的是Visa和MasterCard共同开发的SET标准。由于该标准得到了IBM、HP、Microsoft、Netscape、Veri-Fone、GTE、VeriSign等很多大公司的支持,它已成为事实上的工业标准,并获得IETF标准的认可。就目前情况看,SET是电子支付安全的一种较好的解决方案,需要组织力量认真地加以研究。各单位在设计电子支付系统时,也应考虑今后与国际接轨的问题。(2)发挥认证中心(CA)的作用。我国的金融认证中心虽然已经成立,但如何发挥作用,仍是电子商务在银行业中发展快慢的关键。现在的问题是,必须确定CA认证权的归属问题。各家银行希望拥有CA的认证权,以便今后能够自由地选择高服务质量的信息服务商。所以,如何克服部门的局限性,从整个国家的利益出发,尽快合理发挥认证中心的作用,是一项极为紧迫的任务。(3)大力发展电子支付的安全技术。
三是建立适合银行业务实际的金融互联网络。组建银行Internet体系,拥有永久的域名、电子信箱,建立优质的网站和主页是对外宣传企业文化的窗口。通过这个窗口使银行树立良好形象,大力开拓网络投资者市场;确立个性化投资指南,为投资者提供准确快捷的服务。完善防火墙等安全防范体系,严防黑客及病毒的侵扰,在此基础上与银行的Intranet体系相连,建立统一的大型数据库和各种信息数据查询系统,与国内外各大相关银行网络连接,做到信息资源共享。为各类投资者提供简单方便、快捷、准确的全方位信息服务。银行管理层和各地分支机构及投资者采用网上交谈、E—Mail等形式得到实时的市场反馈信息,开拓新市场、完善新型管理机制,吸引网上投资者为网上银行商务环境创造良好条件。
组建银行Intranet体系。Intranet与Internet同样采用Web技术,使用范围在银行局部网络中,确立分层管理权限,建立银行员工和客户使用的各种信息数据查询系统。银行员工和客户可以简单、便捷地定位到各自所需的信息及数据上。网上各类通知、邮件、报表等加快了办公速度,提高了办事效率,节省了办公开支,同时可对客户及员工进行各类培训、多媒体期货行情及分析演示、期货理论教学和各类研讨活动。用户经授权可直接联上Internet或把Internet的相关信息经过筛选和分类后放在Intrant上以便浏览。
四是创造发展环境,完善保障机制。加快电子商务立法、统一技术标准,建立专门的政策与法规研究机构,加强银行网络和电子支付系统的基础设施建设。
五是尽快构建国家电子商务发展的总体框架。国家电子商务发展总体框架是指导我国电子商务发展的方向指南,建立国家电子商务发展的总体框架有利于电子支付系统和网络银行的建设,使各家银行能够坚持在国家总体框架下,实现政策的统一和组织的协调。各国电子商务发展的实践证明:必须发挥政府的作用。比如新加坡的所有电子商务均由政府控制,政府实施了“新加坡一号”计划。即使一向主张放松政府管制的美国也认为:在必要性非常清楚时政府要采取准确的行动。
[关键词] 电子支付 安全技术 分析
一、电子支付的概念
随着互联网的迅猛发展,网络商务作为一种新的贸易形式正在逐渐被引入成为商务的一种大发展趋势,网上金融服务也已经开始在世界范围内如火如荼地开展起来。网络金融服务包括人们的各种需求,如网上消费、家庭银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行网上电子支付与结算。“电子支付”,顾名思义是通过网络进行货币支付。“电子支付”就是电子商务发展的一个关键环节。电子货币是利用银行的电子存款系统和各种电子清算系统记录和转移资金的。电子货币的优点是明显的,彻底地改变了银行传统的手工记帐、手工算帐、邮寄凭证等操作方式,使用和流通更方便,而且成本低,尤其是大笔的资金流动。同时,电子货币的广泛使用也给普通消息费在购物、饮食、旅游和娱乐方面的付款带来了更多的便利。
目前,电子支付工具主要包括:电子现金、电子零钱、安全零钱、电子信用卡、智能卡(IC卡)、在线货币、数字货币和网络货币等。其支付信息是通过安全的网络传送到网络银行或相应的处理机构来实现电子支付。电子货币最大问题是安全问题,电子货币没有具体的实物形态,完全凭借计算机里的记录。那么,一旦银行计算机系统出现故障,或遭受恶意攻击就可能造成数据丢失、篡改,产生严重的后果。
由于网络环境的开放性、信息传递的快捷性,电子支付手段的应用,大大丰富和提高了商品交易的营销宣传,扩大了贸易范围、增加了贸易伙伴参与、沟通和交易机会,使企业的经营范围扩大,商务效率和效益提高。但电子商务带来效益的同时,也伴随着全新的商业风险,即存在交易,总会有风险存在。
二、电子支付不安全因素分析
从我国当前的电子支付实践来看,由于开展网络银行业务的支付业务时间短,结合具体国情在中国实施电子商务支付存在的问题主要有如下几点:
1.社会信用度欠缺,制约电子支付系统的发展
互联网具有充分开放的特点,网上交易双方互不见面,交易的真实性不易考察和验证,对社会信用有较高要求。我国目前的信用体系发展程度低,经济活动缺乏可靠的信誉基础,社会诚信观念有待加强。另外,企业和个人客户资信资料零散不全,海关、税务等部门与银行信息不能共享,银行对客户的资信情况不能完全了解,也制约了电子商务支付系统的发展。
2.经济法律体系不健全,执法环境权威性欠佳
目前国内有关法律法规对网上交易的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验,在出现争端时,责任的认定、划分、仲裁结果的执行等法律问题在现有法律框架下难以解决。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。如网络提供商的侵权行为:(1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。(2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。(3)由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。现在,通过互联网进行跨国交易时的国际税收问题已经发生,将来会更加突出,为了解决这个问题,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收问题,由于不可跟踪性,电子现金很可能被不法分子所逃税。电子现金使洗钱变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是对立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经了这种做法。
3.银行内部决策机制不畅通,国际化程度低
国内网络银行决策大体分为两种,一种是由传统银行业务人员负责制定发展规划,另一种是由技术人员决定网络银行的发展方向。两种决策模式都需要业务、管理和技术的有机结合,问题的关键在于两种模式中,不论是业务人员还是技术人员,基本都从事实务工作,成对当前自己着手的工作情况很了解,但对业务发展缺乏高瞻远瞩。
4.技术上存在许多问题,存在潜在的高风险
由于国内银行的关键部件依赖于国外公司,网络客户端到服务端的电脑又都储存着重要的信息,因此信息资料被修改和破坏的概率不可低估。国内银行重视硬件的采购和网络的构建,对技术人员的业务培训还不够,基层银行普遍存在技术人员知识更新缓慢的现象。国外网络银行对一些敏感的数据通常采取严格的保护措施,而国内银行界目前缺乏机密信息的加密存储意识,部分银行没有建立交易业务数据的管理制度,无法对交易业务数据实施严格的安全保密管理。致使出现商业组织的侵权行为和个人的侵权行为以及部分软硬件设备供应商的蓄意侵权行为。如专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。如个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。如某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。
三、针对电子支付不安全的对策研究
电子支付的信息安全在很大程度上依赖于网络信息安全技术的完善,这些技术包括很多,其中有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等等,针对这些技术上的问题,应该用技术和法制人制方面来解决,为此我提出如下解决方法:
1.对电子支付安全性的全面认识
通过因特网上进行电子支付,最核心的问题是安全问题,我们要解决安全问题,主要通过数据传输真实性主要用数字证书来解决,机密性主要用数据加密来解决,完整性主要用消息摘要来解决,不可否认性主要用数字签名和事件日志来解决。利用密码技术,并通过上边所述的解决方法,人们也制定了很多电子商务协议,用其来达到完成电子商务交易(包括电子支付)的目的。本人认为可以从以下几方面来解决安全性问题:(1) 可以通过架设防火墙,它是近来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。(2)还可以通过数据加密技术来。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。(3)数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。(5)还可以通过设置电子商务信息安全协议来进行。现有的电子商务交易协议有多种,但是目前常用的只有 SSL 和 SET 两种。①安全套接层协议(Secure Sockets Layer,SSL),SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。②安全电子交易公告(Secure Electronic Transactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。③安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HTTP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。④安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。⑤UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。(6)P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。隐私安全性:①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。 ②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。
2.建立可靠的电子支付信用体系
电子商务作为一种商业活动,信用同样是其存在和发展的基础。电子商务和信用服务都是发展很快的新兴领域,市场前景广阔。从二者的关系看,一方面,电子商务需要信用体系,而信用体系也很可能最先在电子商务领域取得广泛的应用并体现其价值。因为电子商务对信用体系的需求最强,没有信用体系支持的电子商务风险极高;而在电子商务的基础上又很容易建立信用体系,电子商务的信息流、资金流、物流再加上电子签章,四者相互呼应交叉形成一个整体,在这个整体之上,只要稍加整合分析,进行技术处理就可以建立信用体系,并且该信用体系对电子商务是可控的。于是,整合电子商务与信用体系,或者建立电子商务的信用体系,就成为一种需求、一种目标、一项任务。为了使诚信体系能在电子支付系统中使用,本人研究了P2P技术,为了使P2P技术能在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。 每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为: Sij=sat(i,j)-unsat(i,j)
信用体系可以说是一种最为灵活且最有可能与电子商务本身实现良性互动的规范模式,它可以无处不在,同时,却能做到大相无形。正如我们前面分析的,由于电子商务与信用体系在本质上的一致性,它们可以很容易地做到无缝连接,这种无缝连接所带来的效率和便捷正是电子商务所必需的。而在行政管理及法律制裁中,我们发现,要实现它们与电子商务的无缝连接还是十分困难的。
3.加强法制人制上的管理力度
(1)我国电子支付安全管理除现有的部门分工外,还需要建立建立合理的电子现金识别制度,发行统一的电子现金是不可能的,所以必须建立合理的电子现金识别制度。
(2)限制电子现金的发行人。目前情况下,可以只允许银行发生电子现金。这样,许多现行的一些货币政策和法规可以应用于电子现金,而无须太大的改动。当电子商务环境成熟时,再扩展到有实力和有信誉的大公司和网络服务提供商。
(3)消费者的个人信息存储在银行,如果银行的网络遭到攻击,私人信息可能会泄露,若补救不及时时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。
(4)在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。加快立法进程,健全法律体系。
(5)结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
(6)进行网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论,以创新的思想,建立具有中国特色的信息安全体系。建立统一的技术规范,把局部性的网络就进行互连、互通、互动。目前,国际上出现许多关于网络支付安全的技术规范、技术标准,目的就是要在统一的网络环境中保证在电子支付中的个人隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
参考文献:
[1]屈云波:电子商务[M].北京:企业管理出版社,1999
[2]赵立平:电子商务概论[M].上海:复旦大学出版社,2000
[3]赵战生:我国信息安全及其技术研究[J].中国信息导报,1999,(8)
[4]曹亦萍:社会信息化与隐私权保护[J].政法论坛,1998,(1)
[5]林聪榕:世界主要国家信息安全的发展动向[J].中国信息导报,2001,(1)
[6]胡淑红:论电子商务中网络隐私安全的保护 ,,2007,3,14
根据中国互联网络信息中心的《第十八次中国互联网络发展状况统计报告》,截止到2006年6月30日,我国网民人数达到了12300万人,其中宽带上网网民人数为7700万人,在所有网民中的比例接近2/3,这标志着长期限制我国电子商务发展的带宽瓶颈已经实现了突破,中国已经进入宽带时代。宽带时代的来临,意味着政府提供公共服务、企业开展经营活动有了更广阔的网络平台。
此外,随着经济交往范围的扩大以及人员流动性的不断增强,移动电子商务日益发展起来。其中最具代表性的就是以手机为媒体的“拇指经济”。由于具有比电脑更普及,比报纸更互动,比电视、广播更便携的特点,手机也被称为“第五媒体”,并正承载着越来越多的移动电子商务活动。信息产业部的数据显示,到2006年5月底,中国移动电话用户数已经超过4.2亿户;2006年前5个月中国手机用户共发送移动短信1679.5亿条,比2005年同期增长46.3%。目前,我国移动电话用户与网民的比例为3.5:1,而美国为0.8:1。
宽带和无线互联已经成为我国目前电子商务发展的主旋律。用户可以便捷地使用远程教育、视频点播等宽带电子商务服务,也可以直接从手机上获取专门定制的内容以及进行商务活动,包括新闻、航班信息、手机炒股以及通过手机实现银行账户管理等。以宽带和无线互联为基础的电子商务正在深入到社会经济生活的各个角落。
按照赛迪顾问的研究报告,2005年中国电子商务交易额达到了7400亿元人民币,较2004年增长了54.2%,在全球电子商务交易额中的比例由2004年的2.08%提高到了2.23%。毫无疑问,中国的电子商务正处于发展的快车道。
喜悦中的冷思考
在感受电子商务为我们的工作和生活带来便捷和快乐的同时,冷静的思考其中存在的问题可能更为重要。
其一是安全问题。在历次CNNIC进行的调查中,安全问题都被人所关注,安全问题已经成为阻碍电子商务广泛应用的重要障碍。尽管安全技术在不断地进步,但并没有也不可能达到百分之百的安全,比如计算机病毒。Dataquest公司所作的调查表明,全球企业网络已有95%遭受过病毒感染,而且一旦遭受感染就会造成平均25000美元的经济损失,并且需要花近一个月的时间才能完全修复。如果企业没有采取进一步的防范措施,25%的企业将会在30天内重新染上病毒。此外,还有很大部分安全问题出现在企业内部,这些安全问题是由于管理不善或员工的道德风险引起的。
其二是法律问题。世界各国至今都没有制定有关互联网的完整的法律。联合国国际贸易委员会1996年6月14日通过了《电子商务示范法》,为各国电子商务立法提供了一个范本。该法由两大部分组成:一是电子商务法律的总原则;二是这些总原则在具体贸易领域里的运用。但该示范法对联合国成员不具有约束力,只作为各国立法机构调整和制定本国相应法律的一个示范。此外,在电子商务还没有出现的时候,如何协调各国的法律就是一件棘手的工作。电子商务的出现使得这项工作更加困难,如何制定统一规范的电子商务法律,有待于长期的努力。
其三是网上支付问题。要想在网络上进行交易,就需要通过银行的信用卡等方式来完成。而目前我国各银行网络选用的通信平台不统一,尽管银联发挥了一定的作用,但各银行仍大多采用各自的支付网关,这将不利于网上支付活动的进行。此外,虽然金融业、证券公司等领域已成功进行了大量的、可靠的网上交易,为电子商务的进一步发展积累了丰富的经验,但从总体上来说,我国电子商务的交易手段、交易方式、安全认证等仍处于探索阶段;几十个CA认证中心各自为政,群雄并立,且都抱着较高的期望值。所以,中国的CA市场还很不成熟,经营亏损现象比较普遍,还需要一段时间的市场培育和整合。
其四是观念障碍。网上购物不直观,很多商品不适合在网上销售(比如古董、易腐烂变质的商品等),以及传统的购物习惯和心理根深蒂固,这是导致大多数B2C网站不景气的重要原因,这一点在短期内难以得到根本改变。改变消费者的消费习惯是需要支付很大的代价的。在传统商业中,消费者通过视觉、触觉、嗅觉等多种感觉来判断与选择商品。而在网上购物,只提供了“看”这一种可能性。另外,企业开展电子商务,还需克服网上商品种类和数量不足的缺陷,这是影响网上销售成功与否的重要因素。同时,消费者在网上购物需要多多少少地使用一些信用支付手段,如信用卡等。但我国消费者对信用卡的使用还不普遍,对这种方式也不习惯和熟悉。要改变消费者对网络的态度,就需要进行大量的宣传,并要付出等待的代价。这显然会导致一种企业成本大于社会成本,单个企业收益小于社会收益的外部效应。
其五是信用障碍。安全产品永远没有终极版本,法律永远不能穷尽规则。良好的电子商务环境需要良好的信用体系作为保障。所以,信用障碍成为了制约我国电子商务发展的最大障碍。我国社会信用程度较低,信用制度本来就不完善,企业和个人信用难以评估,再加上支付手段的虚拟化,使得我们的交易活动更加充满不确定性。相比较而言,美国等西方国家却已经具有比较健全的社会信用评价系统,信用卡普及率很高。所有的个人和企业都包容在一个信用世界之中,所以其社会经济的发展具有良好的信用环境和支付渠道。但在我国,人们大多把注意力和资金集中在网站建设、数据库建设和物流配送等技术性环节上,而忽略了培育商务活动的信用机制。
创新推动发展
对于上述问题,我国目前还很难立刻予以全部解决。对于开展电子商务的企业以及制定电子商务相关政策的政府而言,只有不断进行创新,才能突破这些瓶颈的限制,推动我国电子商务的健康发展。
第一,业务创新。以物流为例,通过业务创新,可以在一定物流基础设施条件下,比较好地解决物流问题。日本的便利店(连锁店)与网上销售商相结合,就成功地解决了物流配送这一问题。
日本最大的连锁便利店7-Eleven与雅虎日本网站进行合作。通过雅虎进行购物的网上购物者,可以从全日本的8000家7-Eleven便利店中选定一家,7-Eleven公司将消费者网上订购的货物送到该消费者选定的7-Eleven分店,消费者再到该店中付款并收取货物。7-Eleven的另一个合作伙伴,日本的主要图书批发商Tohan公司也将把网上个人订购的图书和批发的杂志及平装书一起送到其分布日本的各连锁店。便利店的电子零售方式对于不愿使用信用卡的日本人特别适合。
第二,制度创新。不论采取何种电子商务形式,都离不开货币支付这一环节,而货币作为一种支付手段,实际上体现的是社会的信用程度。社会信用程度越高,货币支付形式就越虚拟化。因此,要保证电子商务的良性发展,就需要对我国的信用制度进行创新。制度创新的意义在于:通过制定电子商务的交易规则,帮助建立电子商务活动中的信用体系。
信用制度的创新主要通过电子支付制度创新体现出来。随着电子商务的发展,传统的在相对封闭的环境中运作的、相对比较安全的支付系统已经不能适应经济发展的需要,社会、企业和公众对于开放的、尤其是基于互联网的电子支付的需求越来越大。电子支付起着连接买卖双方的纽带作用,它是社会经济中必不可少的重要组成部分,是开展电子商务的必要条件,是网络经济良好运行的基础和催化剂。但是,电子支付在为社会、企业和公众带来便利的同时,其中的各种问题和矛盾(比如安全问题、欺诈问题等)也日益突出。针对上述问题,2005年,我国出台了《电子支付指引》,这一制度创新的真正价值就在于帮助构建社会信用体系。当然,一个《电子支付指引》不能完全解决我国的信用制度问题,还需要更多的制度创新来为电子商务的发展提供良好的商务环境和信用体系。
第三,体制创新。电子商务的发展离不开信息通信技术的发展和创新。但是,比技术创新更重要的是体制创新。通过体制创新,有效地打破行业垄断,引入竞争机制,才能更有效地推动电子商务的发展。
以3G为例。国际电信联盟(ITU)确定3G通信的三大主流标准分别是WCDMA(欧洲标准)、CDMA2000(美国标准)和TD-SCDMA(中国标准)。在我国,中国移动和中国联通作为目前仅有的两个移动运营商,分别支持的是欧洲标准和美国标准。中国TD-SCDMA标准的应用,则需要由新的移动运营商来进行,这就是体制创新。所以,三分天下的格局在3G标准实施后就会形成。3G的体制创新需要用户、3G运营商、终端设备制造商、增值应用服务商以及标准拥有者组成的产业链的共同协作。从运营商的角度看,随着竞争的加剧,运营商不可避免地要争夺用户,此时,品牌、培育用户市场和有效竞争秩序的形成是至关重要的;对于用户而言,则存在着很强的网络效应,即哪个移动网络的用户多,用户就倾向于选择哪个网络;设备制造商和增值服务提供商也面临着同样的选择,因为庞大的用户数量才可能为其带来丰厚的利润。
[关键词]电子支付ca认证安全认证
随着互联网的迅速普及,电子商务在全球取得了快速的发展。电子商务的核心由三部分组成:一是电子交易平台,二是电子支付体系,三是物流配送体系。而其核心环节是电子支付,电子支付的实现必须建立一个第三方的安全认证机构—cacertificateauthority,以作为消费者、电子商场和银行身份认证的权威中介。它是电子商务和网上银行交易的权威、可信赖及公正的第三方机构;它为电子商务环境中各个实体颁发电子证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。
一、ca认证过程简介
ca是通过对持卡人核对数字签名的方法进行认证的,其具体过程为:首先,持卡人向发卡银行提出书面申请,发卡银行会对持卡人的资信进行调查;如果符合银行要求的条件,则发卡银行将持卡人的账户信息(pan)根据传统方式(如信函)发送给ca认证机构;然后,ca认证机构用私人密钥(privatekey)对pan进行加密,生成持卡人的数字签名,该数字签名即是为保证接受方能够对公正的第三方证明其收到的报文的真实性和发送源的真实性而采取的一种安全措施;最后持卡人获得属于他的数字签名,同时电子商场也需要获得相应的电子许可证id号,以作为鉴别身份的唯一标识,从而成为网络成员。
通过ca系统进行交易时,ca系统将同时检验交易各方的ca认证,认证购买者是否为有购买能力且经过认证的有相应消费能力的消费者;认证销售商是否为ca认证的可信任的销售组织,是否为通过ca认证的可信任的销售商;认证银行是否是通过ca认证可以承担网上安全支付的银行。如果三方验证无误,ca系统将通过交易请求。简单的理解就是交易的各方必须通过ca这个公正的第三方机构来领取一个可以通过验证的身份识别标识,也就是ca的电子证书,这样才能进行电子商务交易并进行网上支付费用。消费者在网上进行购物时必须持有此证书,在交易前进行认证,认证后确认交易生效。
二、ca认证在我国的发展现状
我国ca系统的起步始自1999年年初经过市场调研和一系列可行性研究,由中国人民银行牵头,联合12家全国性商业银行共同建立国家级金融认证机构——中国金融认证中心(cfca)。该机构于2000年6月建设完毕并开始运营,成为我国第一家支持网上金融业务权威而公正的第三方认证机构。目前中国金融ca系统主要由setca和non-setca两部分构成。setca是为了在网上购物时使用特定的银行卡来进行结算类型的业务建立,这种业务安全性及可靠性高。non-set对于业务应用的范围没有严格的定义,结合电子商务具体的、实际的应用,根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业证书)。non-set对于用户认证的要求比起set系统来要低一些,同时也灵活一些。
cfca的成立可以说是中国ca认证工作的奠基石,目前证书的使用对象主要是网上银行,已有相当数量银行使用证书进行网上支付和转账,如建设银行、中信实业银行、光大银行、华夏银行等都已开始使用cfca证书,而自2002年起证券业也开始使用ca证书进行网上交易。
目前全国ca认证系统的建设资金已超过5亿元,从事ca运营人员已达2000人,但是2002年全国证书发放量不超过30万张(包含测试证书),业务总收入不超过1500万元。目前ca认证市场主要由各大行业或地方政府部门组成的认证机构构成,如中国电信ca安全认证体系(ctca)、上海电子商务ca认证中心(sheca)、广东省电子商务认证中心(cnca)等。由此看来,中国的ca市场还没有形成,还处于市场培育阶段。
三、当前存在的问题
中国ca市场从零到起步,也是一个需要逐步实践与规范的过程,只有正视当前存在的问题,脚踏实地做工作,ca认证市场才能取得健康快速发展。
1.安全问题。一是支付的技术安全问题:许多做ca产品的厂商目前讲的安全基本上是指解决了加密和签名的问题,其实ca涉及的安全远不止这些。因为ca跟密码不一样,它不是放在一个台上面独立的屋子里面就能运行的,而是处于动态运行和实时运行的一种环境。特别是大部分计算机硬件设备主要依靠从国外进口,许多国产的安全产品其核心技术也是外国的,这些都成为网上支付安全的隐患。二是支付的信用安全问题:各ca颁发的电子证书各自为政、交叉混乱的情况仍然存在,身份认证系统不完善不统一,认证作用只是保证一对一的网上交易安全可信,而不能保证多家统一联网交易的便利,所以各网上银行彼此授信建立互联网络仍需加强。
2.缺乏协调统一的规划设计和没有行业技术标准。各个认证中心都是独立构建的,引进的技术和产品各有不同,也没有共同的标准,在这样的情况下,要实现互通确实面临很大困难。认证中心的理想状态是全国建立一个统一认证体系,由若干个机构来颁发证书。要实现全国统一认证需满足以下条件:构建统一的认证体系、执行共同的证书认证标准和统一的实施策略、建立配套的法律法规环境等。另外,不同行业认证需求也不同,有些行业除了要求网上身份鉴别的基本需求外,还要求在证书中包含有行业信息,如银行目前使用的set协议就只是面对银行应用的协议。在这个协议中规定了证书中某一个字段对应银行卡的卡号,所以只能在银行业使用,不适合其他行业。从目前来看,只有网上身份认证可以实现互联互通。从技术的角度来讲,国家可以建一个统一的根ca(如美国的邮政ca),其他各地各行业的ca设置在这个根ca之下,信任链可以通过根ca交汇在一起,从而实现互通。
3.相关行业法规的建立健全问题。电子商务这一全新的商务模式发展迅猛,使得世界各国原有的法律体系出现了漏洞和空白点,所以用法律手段规范电子商务支付结算中的基本关系是当务之急。尽管中国金融ca在建立的同时也制定了“证书运作管理规范”(cps),在中国目前电子商务法律环境尚不健全的情况下,cps实际上就是认证中心的法规,但机构级别的规范毕竟不能代替行业法规,一旦发生电子商务引起的大额经济纠纷,法律缺失情况下的认定方式必将引起一系列的连锁反应,对电子商务及相关行业的发展可能产生不同程度的消极影响。
四、发展方向
从长远来看,我国的ca认证市场最需要的还是改变经营体制和理念,即ca认证机构急需引进商业化运作模式。虽然金融业、证券公司等领域已成功进行了大量的、可靠的网上交易,为ca认证的进一步发展积累了丰富的经验,但从总体上来说仍处于探索阶段;相关的法律、法规尚未配套,而且经营亏损现象比较普遍。随着中国互联网的发展日益完善,电子商务的应用将逐步展开并走向成熟,“以应用促ca,以ca助应用”已成为中国ca市场发展的一种共识。遵循着这条路继续探索与发展,必将使中国ca市场走向良性循环。
参考文献
1刘东.ca认证技术初探[j].宁夏科技,2003
2曹玫.中国金融认证中心的市场化之路[j].电子商务世界,2003
[关键词] 电子支付 SET协议 WAP 数字证书
移动通信和Internet是通信业发展最快的两个领域,两个领域的结合愈来愈紧密,催生了新的电子商务支付方式,即移动支付。利用SET协议在无线通讯环境下应用的可行性和优越性,可以确保在移动支付的交易中保证交易过程的安全性。本文建立了一个支持移动终端的SET协议模型――优化的电子钱包。解决了电子钱包客户端和电子钱包服务器端在无线环境下的安全连接、证书保存和身份认证等问题。该策略降低了对持卡人设备和网络传输速度的要求。
一、WAP的网络架构
WAP网络架构由3部分组成,即WAP网关、移动终端和WAP源服务器。WAP网关起着“翻译”协议的作用,是联系GSM网和Internet的桥梁;移动终端为用户提供了上网用的微浏览器以及信息命令的输入方式;WAP源服务器存储大量信息,以供移动终端用户访问浏览和查询。
终端用户键入要访问的WAP源服务器的URL后,WAE根据命令产生格式化请求,进行压缩解码后发送给WAP网关,WAP网关将请求解码,由WAP协议格式转换为Internet协议格式,然后发送给包含对应请求内容的WAP源服务器。最后WAP网关将服务器返回的内容压缩、处理成二进制流,并返回到客户的移动终端屏幕上。
二、传统电子钱包的局限性
SET协议没有定义如何设计安装在持卡者端的应用软件,目前应用的电子钱包将全部功能集中在持卡者计算机上,该软件能够完成这些需要的功能,但存在一定的局限性。主要存在的问题是:
1.对持卡人来说,交易之前需要下载安装电子钱包软件,简便性不够。
2.电子钱包集成的功能较多,软件较大,对非PC设备的应用有局限性。
3.数字证书等重要信息存放在个人计算机上,容易引发安全隐患。
4.处理支付流和交换数据对网速要求较高,不适于SET协议应用的扩展。
三、电子钱包的优化策略及电子钱包的模型
由于SET协议中电子钱包的局限性,我对传统的电子钱包进行优化, 优化后的电子钱包体系结构如图1所示。主要特点是:将付款请求和与其它参与实体的交易过程处理、维护账户信息、交易记录等功能分成两部分,分别在移动终端和远程钱包服务器中实现。将大部分处理功能放在钱包服务器端,移动终端只需要发出付款申请和接收处理信息。这个方案大大减轻了移动终端处理压力,可以考虑利用此方案改进SET协议,克服传统SET协议中电子钱包的局限性。
基于SET协议的电子钱包模型中,电子钱包接口安装在WAP终端,服务器钱包代表持卡人与其他SET实体(商家、支付网关、CA)进行通讯,WAP终端和服务器钱包之间采用WAP的WTLS和SSL安全协议,实现两者之间的安全通讯。
四、总结
本文研究WAP协议的网络架构,分析了SET协议在WAP通讯环境下应用的可行性。将传统的电子钱包进行了优化,并把该优化策略的可行性进行分析,克服了WAP移动终端内存小、处理能力低和无线网络带宽窄等局限性,将SET协议的使用范围扩展到无线环境。对SET协议新的参与者电子钱包服务器和客户端之间的安全连接、证书保存和身份认证方式进行了讨论,构建了一个支持借记卡的基于SET协议的电子钱包模型。
参考文献:
[1]曹建:WAP编程与开发实例教程[M].北京:电子工业出版社,2001
[2]刘二军 计晓云 喻 东:一种SET协议中持卡者端的实现策略[J].计算机工程, 2003,29(5):64~66
关键词:电子商务 SSL协议 SET协议
1引言
随着计算机网络技术向整个经济社会各层次延伸,网络安全已成为现代计算机网络应用的最大障碍,也是继续解决的难题之一。能否在网上实现安全的电子支付是电子商务交易的一个重要环节。从目前来看,虽然电子支付安全问题还没有形成公认的成熟的解决方法,但是自从SSL安全协议和SET安全协议问世后,困扰人们心中的这一问题得到了缓解,现在SSL安全协议和SET安全协议已经被广泛地应用在电子商务活动中的安全支付环节。
2 SSL安全协议
2.l SSL安全协议概念
SSL安全协议又叫安全套接层(Secure Sockets Layer)协议,是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。它是根据邮件通路的原理设计的。它是基于TCP/IP协议之上的应用程序,主要用于提高应用程序之间数据的安全系数。
2.2 SSL安全协议主要服务
(1)用户和服务器的合法性认证。认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。
(2)加密数据以隐藏被传送的数据。SSL所采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别,这样就可以防止非法用户进行破译。
(3)保护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2.3 SSL安全协议的使用步骤
SSL安全协议的使用步骤包括:
(1)建立连接阶段。客户通过网络向服务商打招呼,服务商回应。
(2)密码交换阶段。客户与服务商之间交换双方认可的密码。
(3)会谈密码阶段。客户与服务商之间产生彼此交谈的会谈密码。
(4)检验阶段。检验服务商取得的密码。
(5)客户认证阶段。检验客户的可信度。
(6)结束阶段。客户与服务商之间相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一端收到资料后,再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。
2.4 对SSL安全协议的评价
SSL安全协议虽说是国际上最早应用于电子商务的一种网络安全协议,但是目前仍受一些网上商家的青睐。主要原因是它解决了传统交易方式中的“信任危机”问题。我们知道SSL协议根据邮购的原理进行了流程改造,因而希望银行能为它们的交易信用给予认证,以避免商家发货后客户不付款或者客户付款后商家不发货的情况发生,正当更多的人对电子商务活动感到缺乏安全性时,SSL安全协议的出现多少取消了人们这方面的顾虑。
但是,SSL协议也存在一些缺点:在SSL协议中,客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。SSL协议的安全性基于商家对客户信息保密的承诺,因此说客户信息的安全性系于商户的承诺基础之上.所以说SSL协议是一个有利于商家而不利于顾客的协议。
3 SET安全协议
为了促进电子商务的发展,彻底解决在线交易中商家和客户信息的安全传输问题,同时为了改进SSL安全协议不利于客户的缺陷,全球著名的信用卡集团Visa Card和Master Card联袂开发了SET电子商务交易安全协议。这是一个为了在因特网上进行在线交易而设立的开放的安全电子支付体系。SET克服了SSL安全协议有利于商家而不利于顾客的缺点,它在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。
3.1 SET安全电子交易协议的概念
安全电子交易协议(Secure Electronic Transaction)是由Visa Card和Master Card于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商家及持卡人的合法身份以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。SET协议主要是为了在因特网上进行在线交易时,保证使用信用卡进行支付的安全而设立的一个开放的协议,是面向网上交易、针对利用信用卡进行支付而设计的电子支付规范,由于SET协议得到了HP、IBM,Microsot等公司的支持,因此,迅速在全世界得到广泛应用。
3.2 SET安全协议的安全目标
SET安全协议要达到的目标主要有5个:
(1)保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。
(2)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的帐户和密码信息。
(3)解决多方认证问题.不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。
(4)保证网上交易的实时性,使所有的支付过程都是在线的。
(5)效仿EDI贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.3 SET协议的工作流程
(1)购物阶段
消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上输入货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
(2)商品交易确认阶段
通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否变化。
(3)支付初始化请求和响应阶段
当客户决定要购买商家的商品并使用SET钱夹付钱时,商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱,SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息,使客户和商家相互确认,即客户确认商家被授权可以接受信用卡,同时商家也确认客户是一个合法的持卡人。
(4)支付请求阶段
客户发一报文包括订单和支付命令。在订单和支付命令中必须有客户的数字签名,同时利用双重签名技术保证商家看不到客户的账户信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。
(5)授权请求阶段
在线商家收到订单后,向消费者所在银行请求支付认可。POS组织一个授权请求报文,其中包括客户的支付命令,发送给支付网关。授权请求报文到达收单银行后,收单银行再到发卡银行确认。批准交易后,返回确认信息给在线商店。
(6)授权响应阶段
收单银行得到发卡银行的批准后,通过支付网关发给商家授权响应报文。
(7)支付响应阶段
商家发送购买响应报文给客户,客户记录交易日志备查。在线商店发送货物或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。在处理过程中,通信协议、请求信息格式、数据类型的定义等,SET都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA来验证通信主体的身份,以确保通信和对方不是冒名顶替。所以,也可以简单地认为,SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。
3.4 对SET安全协议的评价
SET安全协议从面市以来,由于设计合理,得到了IBM,HP,Microsoft,Netscape等许多大公司的支持,保持了良好的发展趋势。因为SET改进了SSL安全协议有利于商家而不利于顾客的缺点,它在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET安全电子交易是基于因特网的卡式支付,是授权业务信息传输的安全标准,它采用RSA公开密钥体系对通信双方进行认证,利用对称加密方法进行信息的加密传输,并用HASH算法来鉴别消息真伪、有无涂改。在SET体系中有一个关键的认证机构(CA),CA负责和管理证书。
但是随着进一步应用我们也会发现一些问题。(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。如果在线商品提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购不是由签署证书的消费者发出的。(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。
4总结
在现有的网上交易的安全协议中主要有SSL和SET两种, 由于宿舍SSL协议的成本低、速度快、使用简单, 对现有网络系统不需进行大的修改, 因而目前取得了广泛的应用。而在SET协议中, 客户端需安装专门的电子钱包软件, 在商家服务器和银行网络上也需安装相应的软件;并且SET协议非常复杂、庞大,处理速度慢。但是, 由于SET协议位于应用层, 它不仅规范了整个商务活动的流程, 而且制定了严格的加密和认证标准, 具备商务性、协调性和集成;SET协议对交易的各个环节都进行了认证, 所以, SET协议的安全性更高。
其实网上银行的安全涉及到方方面面,不只是一个完善的安全支付协议,一堵安全的防火墙或者一个电子签名就能简单解决的问题。所以,现在银行必须加大加强管理力度,加大宣传力度,帮助顾客树立起安全意识,指导用户该如何正确使用网上银行,并发动社会各方面的力量,寻求多方联动的策略来保证网上银行的安全。只有社会各界一起努力,才能保证电子支付的安全;只有社会各界一起努力,才能保证网上银行的安全;也只有社会各界一起努力,才可以保证电子商务的安全,保证电子商务的快速有序的发展。
参考文献:
[1]刘卫宁, 宋伟.电子商务中在线支付的安全保障[M].北京;万方数据电子出版社,2004
购物车(0)