論電子商務(wù)支付安全_第1頁
論電子商務(wù)支付安全_第2頁
論電子商務(wù)支付安全_第3頁
論電子商務(wù)支付安全_第4頁
論電子商務(wù)支付安全_第5頁
已閱讀5頁,還剩34頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

35/39陽泉學(xué)院畢業(yè)論文評(píng)閱書題目:論電子商務(wù)支付安全管理工程系電子商務(wù)專業(yè)姓名習(xí)慣了華設(shè)計(jì)時(shí)間:2012年03月07日~2012年05月06日評(píng)閱意見:成績:指導(dǎo)教師:(簽字)職務(wù):200年月日陽泉學(xué)院畢業(yè)論文答辯記錄卡管理工程系電子商務(wù)專業(yè)姓名樊習(xí)慣了華答辯內(nèi)容問題摘要評(píng)議情況記錄員:(簽名)成績?cè)u(píng)定指導(dǎo)教師評(píng)定成績答辯組評(píng)定成績綜合成績注:評(píng)定成績?yōu)?00分制,指導(dǎo)教師為30%,答辯組為70%。專業(yè)答辯組組長:(簽名)200年月日前言隨著Internet的迅速發(fā)展和廣泛應(yīng)用,人們開始習(xí)慣于利用開放快捷的網(wǎng)絡(luò)進(jìn)行各種采購和交易,從而導(dǎo)致了電子商務(wù)的出現(xiàn),并使其成為業(yè)界新熱點(diǎn)。電子商務(wù)的顯著特點(diǎn)就是增加貿(mào)易機(jī)會(huì),降低貿(mào)易成本,簡化貿(mào)易流程,提高貿(mào)易效率。在交易過程中,消費(fèi)者、商家、企業(yè)、中間結(jié)構(gòu)和銀行等需要通過Internet網(wǎng)絡(luò)進(jìn)行資金的流轉(zhuǎn),這就需要通過網(wǎng)絡(luò)支付或電子支付的手段來實(shí)現(xiàn)。因此,電子商務(wù)活動(dòng)必然牽涉到支付,安全有效的支付是電子商務(wù)的重要環(huán)節(jié)。從技術(shù)上講,電子商務(wù)最關(guān)鍵的問題是如何安全地實(shí)現(xiàn)支付功能,并保證交易各方的安全保密。因此,支付安全是整個(gè)電子商務(wù)安全的瓶頸。隨著電子商務(wù)的深入發(fā)展,支付領(lǐng)域的創(chuàng)新成為可能,尤其對(duì)于潛力巨大的C2C市場,合適的支付機(jī)制將改變目前在線競價(jià)市場熱鬧而缺乏交易的局面。我國的網(wǎng)上支付業(yè)務(wù)隨著電子商務(wù)的發(fā)展而不斷發(fā)展,進(jìn)步,但是要想趕上國外,尤其是歐美國家的電子商務(wù)發(fā)展,還有一定的距離.因?yàn)橐脍s上甚至超越國外的電子商務(wù),就要學(xué)習(xí)和分析我國的不足和國外的先進(jìn)技術(shù),尤其是在網(wǎng)上支付平臺(tái)上的差距。目錄TO(shè)C\o”1—4”\h\z\u摘要 PAGEREF_Toc324766716\h11.緒論 PAGEREF_Toc324766717\h31.1選題的背景 PAGEREF_Toc324766718\h31.2研究現(xiàn)狀 PAGEREF_Toc324766719\h31.3主要內(nèi)容?PAGEREF_Toc324766720\h31.4研究方法 6721\h42.電子支付的概述?PAGEREF_Toc324766722\h42.1電子支付與電子商務(wù)的概念 23\h42.1。1電子支付的概念?PAGEREF_Toc324766724\h42。1。1電子商務(wù)的概念 PAGEREF_Toc324766725\h42.2電子支付與電子商務(wù)的關(guān)系 PAGEREF_Toc324766726\h53。電子支付發(fā)展概述?PAGEREF_Toc324766727\h53.1全球的電子支付發(fā)展概況及發(fā)展趨勢 324766728\h53。1.1全球電子支付發(fā)展概況 PAGEREF_Toc324766729\h53.1.2全球電子支付發(fā)展趨勢 PAGEREF_Toc324766730\h63.2我國的電子支付發(fā)展概況及發(fā)展趨勢?PAGEREF_Toc324766731\h63.2.1我國電子支付發(fā)展概況?PAGEREF_Toc324766732\h63.2.2我國電子支付發(fā)展趨勢?PAGEREF_Toc324766733\h74網(wǎng)上支付安全問題及對(duì)策 PAGEREF_Toc324766734\h84.1網(wǎng)上支付的定義?PAGEREF_Toc324766735\h84。2網(wǎng)上支付的功能 PAGEREF_Toc324766736\h84.3網(wǎng)上支付存在的安全問題?94.3.1網(wǎng)上支付中銀行面臨的風(fēng)險(xiǎn)和安全問題?PAGEREF_Toc324766738\h94.3。2網(wǎng)上支付中客戶面臨的風(fēng)險(xiǎn)和安全問題 PAGEREF_Toc324766739\h114.4例建行的網(wǎng)銀盾 PAGEREF_Toc324766740\h154。5網(wǎng)上銀行安全案例分析 PAGEREF_Toc324766741\h175.電話支付存在的安全問題及相應(yīng)對(duì)策?PAGEREF_Toc324766742\h185.1電話支付概述?PAGEREF_Toc324766743\h185。1.1電話支付基本概念 PAGEREF_Toc324766744\h195。1。2電話支付的特點(diǎn) PAGEREF_Toc324766745\h195.2電話支付的存在的安全問題及近年的案例?PAGEREF_Toc324766746\h195.2。1電話支付的存在的安全問題 PAGEREF_Toc324766747\h195.2。2案例分析?PAGEREF_Toc324766748\h205。3電話支付的安全策略?PAGEREF_Toc324766749\h225。3.1客戶保障自己電話支付賬戶安全需注意?PAGEREF_Toc324766750\h225.3。2電話支付計(jì)算機(jī)系統(tǒng)方面的安全策略?PAGEREF_Toc324766751\h236。自助支付存在的安全問題及相應(yīng)對(duì)策?PAGEREF_Toc324766752\h236.1自助支付概述 PAGEREF_Toc324766753\h246.2自助支付存在的安全問題?PAGEREF_Toc324766754\h246.2。1ATM交易存在的安全問題?PAGEREF_Toc324766755\h246。2。2POS安全問題 PAGEREF_Toc324766756\h266。3.針對(duì)自助支付安全問題的對(duì)策 PAGEREF_Toc324766757\h276.3.1ATM?PAGEREF_Toc324766758\h276.3.2POS?PAGEREF_Toc324766759\h287.移動(dòng)支付存在的安全問題及相應(yīng)對(duì)策?PAGEREF_Toc324766760\h297.1移動(dòng)支付概述?PAGEREF_Toc324766761\h297.1。1移動(dòng)支付的簡介 PAGEREF_Toc324766762\h297.1.2。移動(dòng)支付分類?PAGEREF_Toc324766763\h297.1.2。1根據(jù)用戶賬戶的不同分類?PAGEREF_Toc324766764\h29根據(jù)技術(shù)實(shí)現(xiàn)方式分類?PAGEREF_Toc324766765\h297.1。2.3根據(jù)支付方式不同分類?PAGEREF_Toc324766766\h307.2。1.移動(dòng)支付面臨的安全威脅 PAGEREF_Toc324766767\h307。3移動(dòng)支付的安全對(duì)策?PAGEREF_Toc324766768\h307。3。1移動(dòng)支付身份認(rèn)證技術(shù) PAGEREF_Toc324766769\h317.4例建行手機(jī)銀行的安全機(jī)制 PAGEREF_Toc324766771\h31結(jié)束語 PAGEREF_Toc324766772\h35參考文獻(xiàn) PAGEREF_Toc324766773\h36致謝 PAGEREF_Toc324766774\h37論電子商務(wù)支付安全摘要:電子支付作為一種全新的支付方式,它有很大的發(fā)展前途,且隨之而來的安全問題也越來越突出,如何建立一個(gè)安全、便捷的電于支付環(huán)境,對(duì)信息提供足夠的保護(hù),是商家和用戶都十分關(guān)注的話題。安全問題己成為電子商務(wù)支付的核心問題。分析了電子商務(wù)支付中存在的安全問題,并闡述目前解決電子商務(wù)支付安全隱患的主要安全技術(shù)及相關(guān)策略。關(guān)鍵詞:電子支付;安全問題;安全策略E-commercepaymentsecuritysummaryelectronicpaymentasanewwayofpaying,ithasagreatfuture,andtheconsequentsecurityproblemshavealsobecomemoreandmoreprominent,howtobuildasafe,convenientforpaymentenvironment,provideadequat(yī)eprotectionforinformation,arebusinessesandusersareveryconcernedaboutthetopic.Securityhasbecomeacentralissueofelectronicpayment.Analysisofsecurityissuesine-commercepayment,andnowthatkeysecuritytechnologyofe-commercepaymentsecurityrisksandrelatedpolicies.Keywords:electronicpayment;security;securitypolicy1。緒論1。1選題的背景近幾年,Internet作為通信技術(shù)、網(wǎng)絡(luò)技術(shù)和信息技術(shù)的載體與表現(xiàn)形式,呈現(xiàn)了爆炸式的增長方式,而基于Internet的電子商務(wù)應(yīng)用也得到了空前絕后的發(fā)展,并出現(xiàn)了各種各樣的商務(wù)交易方式和電子支付方式.雖然電子商務(wù)在商務(wù)流程和購物流程電子化等方面積累了很多的經(jīng)驗(yàn),奠定了強(qiáng)大的技術(shù)基礎(chǔ)和商務(wù)基礎(chǔ),但現(xiàn)在很多消費(fèi)者不愿意或懼怕在網(wǎng)上進(jìn)行購物和網(wǎng)上支付,究其原因,安全性一直是人們所擔(dān)心和關(guān)注的話題,如何保證電子商務(wù)支付的安全性、對(duì)敏感和個(gè)人信息提供機(jī)密性保障、認(rèn)證交易雙方的合法身份,保證數(shù)據(jù)的完整性和交易性的不可否認(rèn)性等,已經(jīng)成為制約電子商務(wù)支付發(fā)展的瓶頸,也成為眾多學(xué)者、研究開發(fā)人員、政府人員和管理人員所共同關(guān)注的目標(biāo)。1.2研究現(xiàn)狀隨著我國互聯(lián)網(wǎng)的高速發(fā)展,電子商務(wù)越來越成為我國經(jīng)濟(jì)重要的組成部分,各種網(wǎng)上商務(wù)行為的逐漸普及,讓電子支付得到了更加廣泛的應(yīng)用,也得到了國家層面的更大重視,最近一年來,國家級(jí)超級(jí)網(wǎng)銀和央行關(guān)于規(guī)范第三方支付市場的相關(guān)規(guī)定的相繼出臺(tái),都一方面證明電子支付目前的市場地位,也從旁證明了電子支付行業(yè)廣闊和光明的未來,但是不可忽視的是,安全問題也越來也突出。這兩年來,我國的電子支付得到進(jìn)一步的發(fā)展,電子商務(wù)逐漸行業(yè)化、細(xì)分化,很多行業(yè)在電子商務(wù)領(lǐng)域深度發(fā)展,甚至出現(xiàn)了很多以前沒有的行業(yè)和領(lǐng)域,電子商務(wù)領(lǐng)域行業(yè)化細(xì)分的結(jié)果,造成各行業(yè)在電子支付上,不再滿足于通用的常規(guī)支付產(chǎn)品,而是根據(jù)自己行業(yè)的電子商務(wù)特點(diǎn),衍生出不少獨(dú)特的支付需求,在這種支付需求的引導(dǎo)下,電子支付行業(yè)進(jìn)入細(xì)分階段,各個(gè)支付企業(yè)分別針對(duì)不同行業(yè)的不同需求,定制開發(fā)了適應(yīng)了行業(yè)需求的電子支付產(chǎn)品。2011年是“十二五”規(guī)劃實(shí)施的第一年,也是我國電子支付企業(yè)發(fā)展與突破的一年。在經(jīng)歷了新一輪調(diào)整后的經(jīng)濟(jì)復(fù)蘇時(shí)期,大量傳統(tǒng)行業(yè)尋求借助信息技術(shù)提高運(yùn)營效率、拓展?fàn)I收渠道,這一趨勢帶動(dòng)了各企業(yè)開始在創(chuàng)新金融方面進(jìn)行大量有益嘗試,客觀上為電子支付市場的迅猛發(fā)展提供了充分條件。1。3主要內(nèi)容本文分為五個(gè)部分進(jìn)行電子商務(wù)與支付安全的探討,第一部分緒論研究了寫作本文的背景、目的、意義和內(nèi)容。第二部分是電子支付的一些相關(guān)概念和電子支付與電子商務(wù)的關(guān)系,主要有電子支付及電子商務(wù)的概念,其次是電子支付與電子商務(wù)的關(guān)系,主要闡述了支付是電子商務(wù)的重要組成部分;電子商務(wù)極大地推動(dòng)了電子支付的發(fā)展。第三部分主要分析我國及全球的電子支付發(fā)展概況和發(fā)展趨勢。第四部分根據(jù)支付渠道的不同從四個(gè)方面對(duì)安全問題展開說明,分別介紹了網(wǎng)上支付、電話支付、自助支付、移動(dòng)支付和第三方支付在支付中存在的安全問題,面臨的安全威脅以及應(yīng)對(duì)這些問題的的安全對(duì)策.1。4研究方法本論文采用了以下研究方法:(1)例證法。舉例論述了一些支付方式在實(shí)際運(yùn)用時(shí)所體現(xiàn)的安全問題,并分析出現(xiàn)這些問題的原因,及預(yù)防措施。(2)總結(jié)歸納法.總結(jié)了各種電子支付方式在支付過程中存在的安全問題和針對(duì)這些問題的解決措施。(3)調(diào)查法。搜集并查閱資料進(jìn)行分析、綜合、比較、歸納,從而全面的分析各種支付存在問題及相應(yīng)對(duì)策。2.電子支付的概述2。1電子支付與電子商務(wù)的概念2.1.1電子支付的概念電子支付,是指以電子計(jì)算機(jī)及其網(wǎng)絡(luò)為手段,將負(fù)載有特定信息的電子數(shù)據(jù)取代傳統(tǒng)的支付工具用于資金流程,并具有實(shí)時(shí)支付效力的一種支付手段。它具有兩個(gè)層面的含義:一是計(jì)算機(jī)及其網(wǎng)絡(luò)為手段,將傳統(tǒng)的支付方式電子化,即以電子通訊取代傳統(tǒng)的信函、電報(bào)等用來進(jìn)行資金流動(dòng)的信息傳遞,如通過ATM轉(zhuǎn)賬或通過POS進(jìn)行結(jié)算等;二是以某種形式的電子信息完全取代現(xiàn)金、票據(jù)等傳統(tǒng)的支付工具進(jìn)行資金的傳遞,如網(wǎng)上支付、第三方支付方式等.2.1。1電子商務(wù)的概念電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng),實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)、交易活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營模式。2.2電子支付與電子商務(wù)的關(guān)系支付是電子商務(wù)的重要組成部分,信息流、資金流、和物流是電子商務(wù)的三大環(huán)節(jié),其中資金流即支付處于核心地位。電子商務(wù)的快速發(fā)展要求支付的同步。電子商務(wù)沒有了支付,也就真正意義上的“虛擬商務(wù)”,只能是電子商情、電子合同,無法實(shí)現(xiàn)網(wǎng)上成交。因此,支付是電子商務(wù)發(fā)展的關(guān)鍵環(huán)節(jié),也是它發(fā)展基礎(chǔ).電子商務(wù)極大地推動(dòng)了電子支付的發(fā)展,但是,在追求速度的電子商務(wù)環(huán)境下,如果依賴傳統(tǒng)的支付方式,如現(xiàn)金、銀行匯票、票據(jù)等,付款及清償?shù)牧鞒虒⒊蔀殡娮由虅?wù)交易的瓶頸。例如,各種票據(jù)支付的方式普遍速度過慢;貨到付款雖然省去了網(wǎng)上付款的設(shè)置成本,卻存在延遲與不確定性;銀行卡付款雖然方便,但若無任何措施保護(hù)下在網(wǎng)上直接進(jìn)行信用卡資料的傳輸,無疑非常危險(xiǎn)。此外,Internet上許多交易都是小額交易,傳統(tǒng)的支付方式處理成本太高,不適宜進(jìn)行電子商務(wù)支付??梢钥闯?,電子支付是電子商務(wù)的關(guān)鍵環(huán)節(jié)。特別是網(wǎng)上支付作為電子支付發(fā)展的高級(jí)階段,更是電子商務(wù)得以順利發(fā)展的基礎(chǔ)條件。電子商務(wù)的需求直接導(dǎo)致了電子支付中網(wǎng)上支付如在線直接轉(zhuǎn)賬、手機(jī)支付、第三方支付的興起。值得注意的是,盡管電子商務(wù)的快速發(fā)展催生了電子支付,且電子支付也是電子商務(wù)的重要組成部分,但是單子支付與電子商務(wù)支付方式之間存在著一些范圍上的區(qū)別。從電子支付的概念來看,電子支付包括自助銀行支付、網(wǎng)上銀行支付、第三方支付、電話銀行支付、移動(dòng)支付等;而電子商務(wù)支付則只包括網(wǎng)上銀行、第三方支付、電話銀行支付、移動(dòng)支付.3。電子支付發(fā)展概述3.1全球的電子支付發(fā)展概況及發(fā)展趨勢3。1.1全球電子支付發(fā)展概況目前全球電子支付產(chǎn)業(yè)正處于高速發(fā)展期,且全球電子支付的發(fā)展處于非平衡狀態(tài),發(fā)展最快的為西歐和亞太地區(qū)。電子支付工具在金融信息化的推動(dòng)下蓬勃發(fā)展,科學(xué)技術(shù)的浪潮席卷全球,計(jì)算機(jī)技術(shù)、通信技術(shù)、新材料技術(shù)、生物技術(shù)等飛快發(fā)展,給世界經(jīng)濟(jì)和人們的日常生活帶來了日新月異的變化。其中信息技術(shù)的發(fā)展最為迅速,影響也最為深遠(yuǎn)。信息技術(shù)普遍應(yīng)用于銀行、證券、保險(xiǎn)等金融領(lǐng)域,使古老的金融也迎來了新的發(fā)展機(jī)遇,一銀行卡為代表的電子支付工具,就是信息技術(shù)應(yīng)用于金融領(lǐng)域的成功典范。電子支付工具提供電子支付渠道實(shí)現(xiàn)不同帳戶間資金所有權(quán)的轉(zhuǎn)移,因其突破了現(xiàn)金支付的諸多局限性,受到人們的廣泛歡迎,因此逐漸成為除現(xiàn)金外,人們應(yīng)用最廣泛的支付方式。另外,初了銀行卡外,如儲(chǔ)值卡、虛擬卡等也得到了快速應(yīng)用和發(fā)展;而電話銀行支付、移動(dòng)支付等方式的紛紛涌現(xiàn),方便了人們的生活和購物;在我過,第三方支付方式也以獨(dú)特的身份存在于電子支付之中,其發(fā)展規(guī)模不斷擴(kuò)大,發(fā)展前景看好。3.1.2全球電子支付發(fā)展趨勢經(jīng)過幾十年德發(fā)展,電子支付產(chǎn)業(yè)已經(jīng)形成了明確的分工合作格局,發(fā)卡、轉(zhuǎn)接、收單等各領(lǐng)域都有專門的參與主體各司其職,例如銀行專注于經(jīng)營發(fā)卡業(yè)務(wù);銀行卡組織機(jī)構(gòu)專注于發(fā)展通用的支付渠道網(wǎng)絡(luò),等等.它們?cè)诟髯缘姆止ゎI(lǐng)域進(jìn)行專業(yè)化的運(yùn)作,不斷的構(gòu)建和形成在該領(lǐng)域的核心競爭力,取得了卓著的經(jīng)營成效。隨著產(chǎn)業(yè)的進(jìn)一步發(fā)展,這種分工還有繼續(xù)細(xì)化的趨勢,以使產(chǎn)業(yè)的專業(yè)化運(yùn)作程度進(jìn)一步提高,資源的配置更合理、高效。同時(shí),由于電子支付產(chǎn)業(yè)是一個(gè)規(guī)模經(jīng)濟(jì)產(chǎn)業(yè),因此,隨著產(chǎn)業(yè)的不斷發(fā)展和競爭的優(yōu)勝劣汰,在每一個(gè)分工領(lǐng)域,基本都形成了壟斷競爭的局面,除網(wǎng)絡(luò)運(yùn)營和收單之外,在發(fā)卡領(lǐng)域這種格局也非常明顯。2003年,以花旗、MBNA等為代表的十大發(fā)卡機(jī)構(gòu)的市場份額就占全美的80。5%。以后,在分工合作的同時(shí),各參與主體又紛紛向其他業(yè)務(wù)領(lǐng)域進(jìn)行滲透和融合,以維持和鞏固其原有的核心競爭地位。歸納起來,電子支付的發(fā)展將呈現(xiàn)出以下趨勢:(1)電子支付替代紙質(zhì)支付(如鈔票和票據(jù))的趨勢不可逆轉(zhuǎn),電子支付交易量和交易金額在總體支付交易量和交易金額中所占的比重將不斷增大,電子支付在支付體系中的地位將日益重要。傳統(tǒng)落后的支付方式必定會(huì)脫離支付系統(tǒng),新興的支付方式會(huì)具有更強(qiáng)的生命力。(2)電子支付的形成將呈現(xiàn)出多樣化。隨著電子信息產(chǎn)業(yè)峪通信技術(shù)的發(fā)展,支付工具的電子化和支付系統(tǒng)的電子化已成為電子支付的表現(xiàn)形式。同時(shí)電子支付的具體形式呈現(xiàn)多樣化的趨勢,生物識(shí)別、智能卡、移動(dòng)商務(wù)等眾多新興形式的出現(xiàn),為電子支付市場提供了個(gè)性化的支付服務(wù)產(chǎn)品。(3)電子支付總體上朝著安全、高效、便捷的方向發(fā)展。高效、便捷、迅速是電子支付固有的優(yōu)勢。同時(shí),隨著安全認(rèn)證技術(shù)的使用和相關(guān)法規(guī)制度的完善,電子支付面臨的運(yùn)行風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)也逐步得到控制,因而整體上變得更加安全。3。2我國的電子支付發(fā)展概況及發(fā)展趨勢3.2.1我國電子支付發(fā)展概況目前國內(nèi)電子支付市場主要有幾大陣營:一是獨(dú)立的第三方支付企業(yè),比如快錢、易寶支付等;二是國內(nèi)電子商務(wù)交易平臺(tái)價(jià)值鏈延伸的在線支付工具,比如支付寶、財(cái)付通、百付寶等;三是銀行陣營,比如中國銀聯(lián)的ChinaPay以及各個(gè)銀行自己的網(wǎng)上銀行等;四是以中國移動(dòng)等電信運(yùn)營商為代表的移動(dòng)支付企業(yè)。作為支付市場之一,第三方支付市場競爭激烈,網(wǎng)絡(luò)消費(fèi)對(duì)其貢獻(xiàn)巨大。EnfoDesk數(shù)據(jù)顯示,2011年第四季度,中國第三方互聯(lián)網(wǎng)在線支付市場格局繼續(xù)保持穩(wěn)定。支付寶以46.9%的市場交易額份額占據(jù)市場第一的位置,財(cái)付通和銀聯(lián)網(wǎng)上支付分別以21.4%和10.4%排名第二和第三。2010年,中國通過網(wǎng)絡(luò)支付完成的交易總額首次超過1萬億人民幣。根據(jù)央行的數(shù)據(jù),在電子支付領(lǐng)域占據(jù)龐大份額的各種卡類2010年的零售額達(dá)到10。4萬億人民幣,約占零售總額的35%。而在十年前,中國人在購物時(shí)幾乎完全使用現(xiàn)金。據(jù)數(shù)據(jù)顯示,2013年的交易額有望達(dá)到現(xiàn)在的3倍。3。2.2我國電子支付發(fā)展趨勢長遠(yuǎn)來看,第三方網(wǎng)上支付占社會(huì)支付交易額比重任然較低,未來電子支付的比重會(huì)加大,而第三方網(wǎng)上支付運(yùn)營商是電子支付產(chǎn)業(yè)鏈中最有競爭力的一環(huán);目前電子商務(wù)一定程度上改變了中國的商業(yè)環(huán)境,未來這種改變?nèi)詫⒗^續(xù),2010-2015年是初見成效和繼續(xù)推進(jìn)的時(shí)期;網(wǎng)上支付行業(yè)競爭較為良性,與產(chǎn)業(yè)鏈合作較為緊密,能夠?yàn)槎喾絼?chuàng)造價(jià)值。用戶的選擇是網(wǎng)上支付發(fā)展的基礎(chǔ)和動(dòng)力。2009年網(wǎng)上支付用戶規(guī)模增速73.1%,而深度用戶的增速不及20%。提高用戶的使用黏性是網(wǎng)上支付發(fā)展的關(guān)鍵。2010-2015年電子支付會(huì)以網(wǎng)上支付、電話支付、移動(dòng)支付為主要手段,滲透到生活的三大方面,一是文教娛樂,包括游戲、電影、演出、教育等一切可以電子化參與的內(nèi)容;二是日常消費(fèi),比如手機(jī)充值、網(wǎng)上商城購物、預(yù)訂機(jī)票酒店、訂購鮮花禮品等;三是個(gè)人理財(cái),包括信用卡還款、保險(xiǎn)、基金投資,自助整理銀行帳戶等。從電子支付行業(yè)的發(fā)展過程可以看出,這些年的電子支付發(fā)展,走的是一條從合到分的歷程,一開始由于電子商務(wù)形態(tài)單一,對(duì)電子支付的功能需求也較為單一,電子支付僅僅作為電子商務(wù)的一個(gè)服務(wù)產(chǎn)品或者軟件存在,依附于各個(gè)電子商務(wù)中,而沒有形成自己的平臺(tái),到后來,隨著網(wǎng)上支付的需求越來越多,各大電子支付企業(yè)都相繼推出了適應(yīng)了大眾化需求的電子支付平臺(tái),這些平臺(tái)使用簡單、操作方便,適合于各個(gè)行業(yè)的簡單需求,滿足最基本的電子支付功能,目前我們常用的很多支付平臺(tái)基本都屬于這種性質(zhì)。這兩年來,我國的電子支付得到進(jìn)一步的發(fā)展,電子商務(wù)逐漸行業(yè)化、細(xì)分化,很多行業(yè)在電子商務(wù)領(lǐng)域深度發(fā)展,甚至出現(xiàn)了很多以前沒有的行業(yè)和領(lǐng)域,電子商務(wù)領(lǐng)域行業(yè)化細(xì)分的結(jié)果,造成各行業(yè)在電子支付上,不再滿足于通用的常規(guī)支付產(chǎn)品,而是根據(jù)自己行業(yè)的電子商務(wù)特點(diǎn),衍生出不少獨(dú)特的支付需求,在這種支付需求的引導(dǎo)下,電子支付行業(yè)進(jìn)入細(xì)分階段,各個(gè)支付企業(yè)分別針對(duì)不同行業(yè)的不同需求,定制開發(fā)了適應(yīng)了行業(yè)需求的電子支付產(chǎn)品,比如針對(duì)信用卡的電子支付,環(huán)迅就推出了ICPAY(國際信用卡卡支付系統(tǒng))產(chǎn)品,主要是基于國際信用卡支付的模式,在一般支付產(chǎn)品的基礎(chǔ)功能上,強(qiáng)調(diào)了強(qiáng)大的支付功能和極高的風(fēng)險(xiǎn)控制標(biāo)準(zhǔn)等。然而作為電子商務(wù)的服務(wù)領(lǐng)域的電子支付行業(yè),勢必還要隨著電子商務(wù)的發(fā)展繼續(xù)發(fā)展,電子商務(wù)領(lǐng)域在行業(yè)化細(xì)分之后,又出現(xiàn)了行業(yè)內(nèi)或者企業(yè)內(nèi)支付多元化的趨勢,這是我國電子商務(wù)深入發(fā)展所帶來的,以往電子商務(wù)對(duì)電子支付的需求,往往只限于供銷環(huán)節(jié),而沒有涉及到其他經(jīng)營環(huán)節(jié),而隨著電子商務(wù)在企業(yè)經(jīng)營中的逐漸擴(kuò)散,對(duì)支付的需求也不僅僅限于供銷,這就對(duì)電子支付提出了新的要求,電子支付必須要滿足企業(yè)或者行業(yè)的多方面需求,并且能夠打通各個(gè)支付環(huán)節(jié),甚至還需要在各個(gè)行業(yè)之間,尤其是上下游行業(yè)起到資金鏈整合和順暢流通的作用。換句話說,在電子支付行業(yè)細(xì)分產(chǎn)品之后,又到了需要電子支付行業(yè)整合細(xì)分產(chǎn)品的時(shí)候了。4網(wǎng)上支付安全問題及對(duì)策4.1網(wǎng)上支付的定義網(wǎng)上支付是指電子交易的當(dāng)事人,包括消費(fèi)者、企業(yè)和金融機(jī)構(gòu),使用安全的電子支付手段通過網(wǎng)絡(luò)進(jìn)行的貨幣支付或資金流轉(zhuǎn)。4.2網(wǎng)上支付的功能1。自助開通,開通/取消網(wǎng)上支付功能:在登錄網(wǎng)上銀行后,可以在電子支付模塊設(shè)置開通或者取消網(wǎng)上支付功能;2。設(shè)置網(wǎng)上支付帳戶:用戶的信用卡關(guān)聯(lián)到網(wǎng)上銀行后,可以自行設(shè)置一個(gè)或多個(gè)銀行卡賬戶用于網(wǎng)上支付,也可取消已設(shè)置的支付賬戶;3.在線查詢支付記錄:可在網(wǎng)上銀行中查詢過去一年內(nèi)的網(wǎng)上支付交易記錄,方便地管理自己的購物賬單;4.定制免費(fèi)短信提醒:在開通網(wǎng)上支付時(shí),可選擇開通免費(fèi)的網(wǎng)上支付短信提醒服務(wù).在成功完成一筆網(wǎng)上支付功能后,系統(tǒng)將發(fā)送支付結(jié)果信息給用戶,幫助用戶隨時(shí)掌控網(wǎng)上支付信息;5.設(shè)置交易限額:用戶可自行設(shè)置網(wǎng)上支付交易的每日累計(jì)限額。4。3網(wǎng)上支付存在的安全問題4.3。1網(wǎng)上支付中銀行面臨的風(fēng)險(xiǎn)和安全問題站在銀行的立場上來說,銀行是一個(gè)特殊的行業(yè),在國民經(jīng)濟(jì)和社會(huì)生活中扮演者重要角色,發(fā)揮著重要作用。銀行的業(yè)務(wù)數(shù)據(jù)多種情況下是與儲(chǔ)戶賬戶相關(guān)的敏感數(shù)據(jù),如儲(chǔ)戶的賬戶號(hào)碼、賬戶密碼、賬戶中的存款余額等,而互聯(lián)網(wǎng)是一個(gè)開放的公共網(wǎng)絡(luò),在這樣一個(gè)開放的網(wǎng)絡(luò)上拓展銀行的傳統(tǒng)業(yè)務(wù),安全性是需要考慮的首要問題。一般來說,網(wǎng)上銀行支付系統(tǒng)在運(yùn)行過程中會(huì)有安全威脅,網(wǎng)上銀行支付業(yè)務(wù)的發(fā)展離不開技術(shù)手段的支持和應(yīng)用。因此,網(wǎng)上銀行支付業(yè)務(wù)給銀行帶來了各種各樣的與技術(shù)相關(guān)的風(fēng)險(xiǎn),特別是操作風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等.下面就銀行面臨的安全威脅和風(fēng)險(xiǎn)分別進(jìn)行敘述:因?yàn)榫W(wǎng)上支付過程是在一個(gè)開放的公共網(wǎng)絡(luò)上進(jìn)行的,一般來說,網(wǎng)上銀行支付系統(tǒng)在運(yùn)行過程中收到的安全威脅主要來自以下方面:(1)假冒用戶身份。攻擊者盜用合法用戶的身份信息,以假冒的身份于他人進(jìn)行通信。這是最常見的網(wǎng)絡(luò)攻擊方式,傳統(tǒng)的對(duì)策才用用戶名和登錄密碼來對(duì)用戶進(jìn)行身份認(rèn)證,用戶名和登錄密碼是以明文的形式在網(wǎng)上傳送,這就很容易被攻擊者截獲,攻擊者可以據(jù)此非法訪問系統(tǒng),冒充授權(quán)者發(fā)送和接受信息,造成信息的丟失和泄露.(2)竊取網(wǎng)絡(luò)上的信息。攻擊者在網(wǎng)絡(luò)的傳輸鏈路上,通過物理或邏輯的手段,對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,從而得到通訊電文中的敏感信息。系統(tǒng)中的用戶及外來者未經(jīng)授權(quán)偷看或窺視他人的電文內(nèi)容以獲取商業(yè)秘密,損害他人的經(jīng)濟(jì)利益。(3)篡改網(wǎng)絡(luò)上的信息.攻擊者在截取到網(wǎng)絡(luò)上的信息后,可能篡改其內(nèi)容。(4)否認(rèn)所發(fā)的信息。用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),例如否認(rèn)自己發(fā)出的轉(zhuǎn)賬信息等。(5)重發(fā)信息。除了以上情況外,還存在“信息重發(fā)”的攻擊方式,即攻擊者再截獲網(wǎng)絡(luò)上的密文信息后,并不將其破譯,而是把這寫數(shù)據(jù)包再次發(fā)送,以實(shí)現(xiàn)惡意攻擊的目的。(6)電文丟失。安全措施不當(dāng)會(huì)導(dǎo)致丟失電文,如誤刪。(7)抵賴.某些用戶會(huì)惡意否認(rèn)自己曾進(jìn)行過的網(wǎng)上交易,易造成銀行經(jīng)濟(jì)損失。(8)拒絕服務(wù).局部系統(tǒng)的失誤及通信各部分的不一致所引起的事故二導(dǎo)致系統(tǒng)停止工作貨不能對(duì)外服務(wù),即所謂的拒絕服務(wù)。局部系統(tǒng)出自于自我保護(hù)目的二故意中斷通信也會(huì)導(dǎo)致拒絕服務(wù)。正因?yàn)榫W(wǎng)上銀行支付系統(tǒng)尊在著許多安全威脅,網(wǎng)上銀行支付業(yè)務(wù)難免會(huì)面臨一些風(fēng)險(xiǎn).下面介紹開展網(wǎng)上銀行支付銀行可能遇到的風(fēng)險(xiǎn):?1.系統(tǒng)風(fēng)險(xiǎn)?(1)操作系統(tǒng)風(fēng)險(xiǎn).操作系統(tǒng)是作為計(jì)算機(jī)資源的直接管理者,它直接和硬件打交道并為用戶提供接口,是計(jì)算機(jī)系統(tǒng)能夠正常、安全運(yùn)行的基礎(chǔ)。Windows操作系統(tǒng)存在許多安全漏洞,UNIX操作系統(tǒng)是一個(gè)開放的系統(tǒng),源代碼已公開。根據(jù)美、荷、法、德、英、加共同制定的通用安全評(píng)價(jià)標(biāo)準(zhǔn)《CommonCriteriaforITSecurityEvaluation(簡稱CC標(biāo)準(zhǔn))》,微軟的Windows操作系統(tǒng)、大部分的UNIX操作系統(tǒng)其安全性僅達(dá)到C2級(jí)安全,而網(wǎng)絡(luò)銀行的操作系統(tǒng)的安全級(jí)別應(yīng)至少達(dá)到B級(jí)。

(2)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)設(shè)計(jì)存在漏洞.目前,網(wǎng)絡(luò)應(yīng)用軟件存在以下安全漏洞:無效參數(shù)、失效的訪問控制、失效的賬戶、跨站點(diǎn)腳本漏洞、緩沖溢出、命令注入漏洞、錯(cuò)誤處理問題、密碼系統(tǒng)的非安全利用、遠(yuǎn)程管理漏洞、網(wǎng)絡(luò)及應(yīng)用軟件服務(wù)器錯(cuò)誤配置.?在設(shè)計(jì)過程中,只重視“計(jì)算機(jī)如何完成任務(wù)”方面的設(shè)計(jì),對(duì)運(yùn)行過程中的程序控制或檢查考慮不全面,系統(tǒng)沒有為審計(jì)留下接口,難以進(jìn)行實(shí)時(shí)審計(jì)。?(3)數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。數(shù)據(jù)存取、保密、硬盤損壞導(dǎo)致的風(fēng)險(xiǎn).?(4)數(shù)據(jù)傳輸風(fēng)險(xiǎn)。數(shù)據(jù)傳輸過程中被竊取、修改等風(fēng)險(xiǎn).?2.操作風(fēng)險(xiǎn)

網(wǎng)絡(luò)銀行操作風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)銀行中的內(nèi)部程序、人員、系統(tǒng)的不完善或失誤,以及外部事件而導(dǎo)致網(wǎng)絡(luò)銀行直接或間接損失的風(fēng)險(xiǎn)。產(chǎn)生操作風(fēng)險(xiǎn)的原因有以下幾點(diǎn):?(1)網(wǎng)絡(luò)銀行操作風(fēng)險(xiǎn)意識(shí)淡薄.

(2)組織機(jī)構(gòu)職責(zé)不清。?(3)內(nèi)控制度不健全或執(zhí)行不力。?(4)沒有適合的網(wǎng)絡(luò)銀行稽核審計(jì)部門。?3.信用風(fēng)險(xiǎn)?網(wǎng)絡(luò)銀行的信用風(fēng)險(xiǎn)主要表現(xiàn)為客戶在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)惡意透支,或使用偽造的信用卡來欺騙銀行。

4.信息不對(duì)稱風(fēng)險(xiǎn)

信息不對(duì)稱表現(xiàn)在兩個(gè)方面,一方面是由于網(wǎng)絡(luò)銀行無法得到足夠客戶信息,另一方面是由于客戶無法得到有關(guān)網(wǎng)絡(luò)銀行的足夠信息。信息不對(duì)稱使得網(wǎng)上客戶更容易隱蔽他們的信息和行動(dòng),做出對(duì)自己有利而對(duì)網(wǎng)絡(luò)銀行不利的行為,也使得客戶不能正確評(píng)價(jià)網(wǎng)絡(luò)銀行的優(yōu)劣。?5.法律風(fēng)險(xiǎn)?我國對(duì)網(wǎng)絡(luò)銀行和網(wǎng)上交易缺乏相應(yīng)的法規(guī)。如:如何征收與管理網(wǎng)上稅收、數(shù)字簽名是否具有法律效力、交易的跨國界問題、知識(shí)產(chǎn)權(quán)問題、電子合同問題、電子貨幣問題、電子轉(zhuǎn)賬問題。4.3.2網(wǎng)上支付中客戶面臨的風(fēng)險(xiǎn)和安全問題對(duì)于個(gè)人消費(fèi)者,習(xí)慣了一手交錢一手交貨的購買方式,對(duì)網(wǎng)上銀行支付的技術(shù)安全不免擔(dān)心,敲幾個(gè)鍵、點(diǎn)幾下鼠標(biāo),就把錢撥了出去,心里總感覺不踏實(shí)。網(wǎng)上銀行支付安全涉及客戶的網(wǎng)上信息資料、帳戶密碼、資金與資產(chǎn)等各個(gè)方面,在使用網(wǎng)上銀行支付時(shí),消費(fèi)者可能遇到的安全問題可以概括為以下幾點(diǎn):(1)用戶卡號(hào)和密碼被盜。據(jù)金融部門分析,客戶安全意識(shí)薄弱是影響網(wǎng)上銀行支付交易安全的一個(gè)重要原因,不少網(wǎng)上銀行用戶設(shè)置密碼過于簡單,容易被不法分子試出,或?qū)⒆约壕W(wǎng)上銀行密碼設(shè)為與其他網(wǎng)站的用戶密碼相同的密碼,而其他網(wǎng)站由于缺乏嚴(yán)密的安全控制機(jī)制,密碼數(shù)據(jù)庫容易被攻破或泄露并殃及網(wǎng)上銀行密碼。部分網(wǎng)上銀行用戶還在公共計(jì)算機(jī)上使用網(wǎng)上銀行支付服務(wù),極易被隱藏在公共計(jì)算機(jī)上的病毒、木馬程序等通過鍵盤記錄盜取密碼.同時(shí),我國的金融企業(yè)的網(wǎng)址域名還沒有規(guī)范,因此從網(wǎng)址名稱上很難判斷真假,不法分子利用這一點(diǎn),制作與真正網(wǎng)上銀行網(wǎng)站極為類似的假網(wǎng)站、假支付頁面等“網(wǎng)絡(luò)釣魚”形式,利用部分客戶安全意識(shí)薄弱,要求客戶填寫個(gè)人帳號(hào)、密碼等銀行資料信息,騙取客戶網(wǎng)上銀行登錄和交易密碼。(2)用戶誤操作,造成消費(fèi)者經(jīng)濟(jì)損失.網(wǎng)上銀行的業(yè)務(wù)都需要客戶具備一定的操作技能,如果客戶操作不當(dāng),就會(huì)造成不可挽回的損失;更嚴(yán)重的是犯罪分子利用郵件、假網(wǎng)站等方式騙取客戶的網(wǎng)上銀行信息,盜取資金,給客戶造成巨大損失。(3)雙方的身份確認(rèn)出現(xiàn)問題。在互聯(lián)網(wǎng)上,銀行和用戶間需要雙向的身份識(shí)別和確認(rèn)。這也是所有互聯(lián)網(wǎng)上的電子商務(wù)都要解決的問題。對(duì)用戶來說,在互聯(lián)網(wǎng)上存在一些假冒的銀行網(wǎng)站,用戶需要正確的識(shí)別和登錄到銀行的網(wǎng)站,一旦登陸的網(wǎng)站錯(cuò)誤,用戶發(fā)送的所有信息都會(huì)被非法網(wǎng)站所截獲和利用。另一方面,銀行要正確的識(shí)別和確認(rèn)用戶身份,確認(rèn)用戶身份的方式有的比較安全,而有的僅靠用戶名和密碼構(gòu)成用戶帳號(hào),一旦用戶帳號(hào)被盜取,銀行的計(jì)算機(jī)是無法識(shí)別出非法用戶。(4)客戶的計(jì)算機(jī)被攻擊.無論是個(gè)人還是企業(yè)對(duì)于在網(wǎng)上開展支付業(yè)務(wù)都要非常謹(jǐn)慎,因?yàn)榫W(wǎng)上銀行支付在利用互聯(lián)網(wǎng)公共資源的同時(shí)也有可能暴露出銀行系統(tǒng)中的某些弱點(diǎn),從而讓那些利用電腦犯罪的罪犯有機(jī)可乘,網(wǎng)上銀行支付所推出的金融產(chǎn)品、服務(wù)方式和服務(wù)內(nèi)容,就將在開放的環(huán)境下一覽無余,更利于犯罪分子的研究、跟蹤,這樣的案例在國外并非鮮見。比如,“黑客”于2000年2月大規(guī)模地襲擊了全球重要的電子商務(wù)網(wǎng)站,一直相對(duì)安全的世界最大的門戶網(wǎng)站之一雅虎也難以幸免.當(dāng)然面對(duì)實(shí)際網(wǎng)上交易可能引來網(wǎng)絡(luò)入侵者,不管是盜竊還是更改電子資金資料,對(duì)于網(wǎng)上支付用戶來說,都是冒著極大的風(fēng)險(xiǎn)。4。3網(wǎng)上銀行支付的安全對(duì)策?1。系統(tǒng)風(fēng)險(xiǎn)的防范

(1)物理安全。主要指對(duì)計(jì)算機(jī)設(shè)備場地、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、密鑰等關(guān)鍵設(shè)備的安全防衛(wèi)措施。為了防止電磁泄露,要對(duì)電源線和信號(hào)線加裝濾波器,減少傳輸阻抗和導(dǎo)線間的交叉耦合,同時(shí)對(duì)輻射進(jìn)行防護(hù)。?(2)應(yīng)用安全操作系統(tǒng)技術(shù)。安全操作系統(tǒng)不僅可以防范黑客利用操作系統(tǒng)平臺(tái)本身的漏洞來攻擊網(wǎng)絡(luò)銀行交易系統(tǒng),而且它還可以在一定程度上屏蔽掉應(yīng)用軟件系統(tǒng)的某些安全漏洞。美國先后開發(fā)了各種級(jí)別的安全操作系統(tǒng),其中作為商用的有Dat(yī)aGeneral公司的DGUXB1/B2安全操作系統(tǒng),HP公司的HPUXCMWB1級(jí)安全操作系統(tǒng)等.國內(nèi)各大科研機(jī)構(gòu)及公司也研制出高安全級(jí)別的操作系統(tǒng),如:中科院信息安全工程研究中心研制的SECLINUX安全操作系統(tǒng)、中軟總公司研制的COSIXLINUX系統(tǒng).目前,中國建設(shè)銀行的網(wǎng)絡(luò)銀行系統(tǒng)建立在安全操作系統(tǒng)平臺(tái)之上,該系統(tǒng)基于HP9000硬件平臺(tái),采用HP公司的B1級(jí)安全操作系統(tǒng)。?(3)數(shù)據(jù)通信加密技術(shù)的應(yīng)用。對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密,按實(shí)現(xiàn)加密的通信層次可分為鏈路加密、節(jié)點(diǎn)加密、端到端加密.在鏈路數(shù)較多以及對(duì)流量分析要求不高的情況下,適合采用“端到端加密”方式。在對(duì)流量分析要求較高的情況下,可采用“鏈路加密”與“端到端加密”相結(jié)合的方式:用“鏈路加密”對(duì)報(bào)文的報(bào)頭進(jìn)行加密,防止進(jìn)行流量分析,再用“端到端加密”對(duì)傳送的報(bào)文進(jìn)行加密保護(hù).

對(duì)數(shù)據(jù)進(jìn)行加密的算法主要有DES和RSA兩種。DES屬于私鑰加密體制(又稱對(duì)稱加密體制),它的優(yōu)點(diǎn)是加、解密速度快,算法容易實(shí)現(xiàn),安全性好,缺點(diǎn)是密鑰管理不方便。RSA屬于公鑰加密體制(又稱非對(duì)稱加密體制),它的優(yōu)點(diǎn)是安全性好,網(wǎng)絡(luò)中容易實(shí)現(xiàn)密鑰管理。因此可以采用將DES和RSA相結(jié)合的綜合加密體制:用DES算法對(duì)數(shù)據(jù)進(jìn)行加密,用RSA算法對(duì)密鑰進(jìn)行加密。

(4)應(yīng)用系統(tǒng)安全.應(yīng)用系統(tǒng)安全主要包括對(duì)交易雙方的身份確認(rèn)和對(duì)交易的確認(rèn)。在網(wǎng)絡(luò)銀行系統(tǒng)中,用戶的身份認(rèn)證依靠數(shù)字簽名機(jī)制和登錄密碼雙重檢驗(yàn),將來還可以通過自動(dòng)指紋認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證。數(shù)字簽名還確保了客戶提交的交易指令的不可否認(rèn)性。公鑰基礎(chǔ)設(shè)施——PKI(PublicKeyInfrastructure)是解決大規(guī)模網(wǎng)絡(luò)環(huán)境中信任和加密問題的很好的解決方案.同時(shí)采用安全電子交易協(xié)議,目前主要的協(xié)議標(biāo)準(zhǔn)有:安全超文本傳輸協(xié)議(S-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術(shù)協(xié)議(STT)、安全電子交易協(xié)議(SET),其中SET涵蓋了信用卡的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)字簽名等,已經(jīng)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。?加強(qiáng)應(yīng)用系統(tǒng)開發(fā)過程的審計(jì),應(yīng)用系統(tǒng)運(yùn)行過程中的實(shí)時(shí)審計(jì)。?(5)應(yīng)用數(shù)據(jù)庫安全技術(shù)。應(yīng)用存取控制技術(shù)、數(shù)據(jù)加密技術(shù)、硬盤分區(qū)防護(hù)技術(shù)、數(shù)據(jù)庫的安全審計(jì)技術(shù)、故障恢復(fù)技術(shù)等。

(6)應(yīng)用防火墻安全技術(shù).建立綜合計(jì)算機(jī)病毒檢測技術(shù)、代理服務(wù)技術(shù)和包過濾技術(shù)的第四代防火墻,提供DES加密、支持鏈路加密或虛擬專網(wǎng)、病毒掃描等安全服務(wù),并具有實(shí)時(shí)報(bào)告、實(shí)時(shí)監(jiān)控、記錄非法登錄、統(tǒng)計(jì)分析等功能。設(shè)置放火墻時(shí)要截止所有從135到142的TCP和UDP連接,改變默認(rèn)配置端口,拒絕PING信息包,通過設(shè)置ACCESSLIST的過濾規(guī)則來實(shí)現(xiàn)包過濾功能。采用防火墻雙機(jī)冷備份策略。進(jìn)行入侵檢測和定期漏洞掃描。?2.操作風(fēng)險(xiǎn)的防范?操作風(fēng)險(xiǎn)主要來自銀行內(nèi)部,應(yīng)完善網(wǎng)絡(luò)銀行的內(nèi)部控制制度,建立科學(xué)的操作規(guī)范,嚴(yán)格內(nèi)部制約機(jī)制,將不相容職務(wù)如管理員與經(jīng)辦員分離、程序員與操作員分離、制作者與執(zhí)行者分離,對(duì)主管和操作員實(shí)行IC卡身份鑒別,并同時(shí)加口令,任何進(jìn)入系統(tǒng)的操作必須有日志記載。?建立操作風(fēng)險(xiǎn)管理中心,對(duì)員工進(jìn)行防范操作風(fēng)險(xiǎn)的技術(shù)培訓(xùn),監(jiān)督各項(xiàng)操作風(fēng)險(xiǎn)管理制度的執(zhí)行情況,對(duì)網(wǎng)絡(luò)銀行的操作風(fēng)險(xiǎn)進(jìn)行評(píng)估,并采取相應(yīng)措施。建立操作風(fēng)險(xiǎn)應(yīng)急反應(yīng)中心,對(duì)業(yè)務(wù)的影響因素進(jìn)行研究,識(shí)別出可能導(dǎo)致業(yè)務(wù)中止的情況,系統(tǒng)的備份及定期測試公司的災(zāi)難應(yīng)急計(jì)劃,對(duì)出現(xiàn)的安全問題提供技術(shù)支援和解決方案。使用保險(xiǎn)來抵補(bǔ)那些“低頻率、高危害”的操作風(fēng)險(xiǎn).建立操作風(fēng)險(xiǎn)審計(jì)中心,對(duì)全部的網(wǎng)絡(luò)銀行業(yè)務(wù)實(shí)時(shí)監(jiān)控、網(wǎng)絡(luò)掃描,并利用審計(jì)記錄,對(duì)業(yè)務(wù)操作人員和計(jì)算機(jī)系統(tǒng)管理人員進(jìn)行稽核。

來自外部的操作風(fēng)險(xiǎn),尤其是網(wǎng)絡(luò)銀行金融欺詐方面,不但要對(duì)個(gè)人服務(wù)的零售業(yè)務(wù)進(jìn)行監(jiān)控,還要加強(qiáng)對(duì)登錄網(wǎng)絡(luò)銀行的企業(yè)加強(qiáng)監(jiān)控,通過數(shù)據(jù)挖掘軟件對(duì)可疑資金交易進(jìn)行分析,防范利用網(wǎng)絡(luò)進(jìn)行非法資金交易。

3。信用風(fēng)險(xiǎn)的防范?建立全國性的用戶信用管理信息系統(tǒng),將用戶劃分為不同的信用等級(jí),針對(duì)不同等級(jí)的用戶采取不同的管理措施。應(yīng)共享客戶資料信息庫,與其他商業(yè)銀行、保險(xiǎn)公司等非銀行金融機(jī)構(gòu)、世界各銀行等金融機(jī)構(gòu)合作,及時(shí)將客戶的守信情況和違約情況記錄入庫。?4.信息不對(duì)稱風(fēng)險(xiǎn)的防范

建立信息披露制度,強(qiáng)化信息披露的質(zhì)量.應(yīng)定期發(fā)布經(jīng)注冊(cè)會(huì)計(jì)師審計(jì)的關(guān)于網(wǎng)絡(luò)銀行經(jīng)營活動(dòng)和財(cái)務(wù)狀況的公允信息,披露有關(guān)網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)的大小和網(wǎng)絡(luò)銀行為了規(guī)避風(fēng)險(xiǎn)而采取的措施以及消費(fèi)者權(quán)益保護(hù)的信息。建立社會(huì)監(jiān)管體系,網(wǎng)絡(luò)銀行之間進(jìn)行相互監(jiān)督。

5.法律風(fēng)險(xiǎn)的防范

應(yīng)充分利用和執(zhí)行《網(wǎng)絡(luò)銀行業(yè)務(wù)管理暫行辦法》,應(yīng)充分利用《合同法》、《會(huì)計(jì)法》、《票據(jù)法》、《支付結(jié)算辦法》等法律擬訂網(wǎng)絡(luò)銀行相關(guān)協(xié)議,制定有關(guān)業(yè)務(wù)流程和業(yè)務(wù)處理規(guī)定,應(yīng)充分利用目前執(zhí)行的關(guān)于網(wǎng)絡(luò)安全方面的行政法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等,充分利用中國金融認(rèn)證中心在認(rèn)證技術(shù)方面的權(quán)威性和第三方認(rèn)證的合理性。網(wǎng)絡(luò)銀行應(yīng)注重交易數(shù)據(jù)的保管,為可能的糾紛或訴訟過程做好證據(jù)準(zhǔn)備。?建立網(wǎng)絡(luò)銀行法律監(jiān)管體系,制定網(wǎng)絡(luò)銀行的外部懲罰措施以及網(wǎng)絡(luò)銀行的市場退出機(jī)制。建立網(wǎng)絡(luò)銀行業(yè)務(wù)運(yùn)營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規(guī),同時(shí)對(duì)已有法律法規(guī)進(jìn)行充實(shí)、修改。完善網(wǎng)絡(luò)銀行配套法律法規(guī)建設(shè),主要有稅收征管法、國際稅收法、電子商務(wù)法、刑法、訴訟法、票據(jù)法、證券法、商業(yè)銀行法、消費(fèi)者權(quán)益保護(hù)法、反不正當(dāng)競爭法等相關(guān)法律法規(guī)。加強(qiáng)與國際立法、司法實(shí)踐的交流與合作,加大打擊網(wǎng)上洗錢、網(wǎng)上盜竊等電子犯罪的力度.4。4例建行的網(wǎng)銀盾建行網(wǎng)銀盾,是建設(shè)銀行近期新推出的高強(qiáng)度網(wǎng)上銀行安全產(chǎn)品,是將預(yù)先制作好的電子證書在銀行內(nèi)部環(huán)節(jié)就直接寫入U(xiǎn)SBKey中,即領(lǐng)即用??蛻粼诰W(wǎng)上銀行操作時(shí),如果簽約并領(lǐng)取了預(yù)制證書即“建行網(wǎng)銀盾”,其以后的網(wǎng)上銀行操作將不再需要下載數(shù)字證書,改變了以往客戶在取得空白USBKey后,使用網(wǎng)上銀行之前還須手動(dòng)下載證書的做法。操作流程更簡單、快捷。《3·15消費(fèi)投訴榜》日前發(fā)布,網(wǎng)購欺詐成為投訴重災(zāi)區(qū)。與此同時(shí),“網(wǎng)銀刺客"等木馬也嚴(yán)重威脅著消費(fèi)者的資金安全.根據(jù)360網(wǎng)購保鏢監(jiān)測,“網(wǎng)銀刺客"會(huì)暗中劫持受害者網(wǎng)銀支付資金,影響十余家主流網(wǎng)上銀行,建議廣大消費(fèi)者上網(wǎng)購物時(shí)開啟安全軟件防護(hù)。作為“網(wǎng)銀刺客”的受害者,網(wǎng)友趙女士上周末在微博表示,“在網(wǎng)上挑選了價(jià)格很實(shí)惠的空氣加濕器,下單后店主發(fā)消息說‘訂單被鎖了’,于是自己接收運(yùn)行了‘解鎖碼’.沒想到的是,付費(fèi)時(shí)出現(xiàn)了‘支付失敗'的提示。再查才發(fā)現(xiàn),購物資金已經(jīng)打給了陌生賬戶。”在購物網(wǎng)站論壇和微博上,與趙女士有著近似遭遇的消費(fèi)者不在少數(shù)。而據(jù)360安全中心工程師分析,所謂的“解鎖碼”其實(shí)是木馬偽裝的文件,運(yùn)行后篡改網(wǎng)上支付的頁面顯示內(nèi)容,使消費(fèi)者的網(wǎng)銀支付資金不知不覺間流入黑客賬戶。據(jù)悉,“網(wǎng)銀刺客”木馬惡意利用某截圖軟件,把正當(dāng)合法軟件作為自身保護(hù)傘,從而避開了不少殺毒軟件的監(jiān)控。為此,360網(wǎng)購保鏢已經(jīng)升級(jí)防護(hù)措施,全面封殺此類木馬,可以在用戶不慎點(diǎn)擊木馬時(shí)自動(dòng)報(bào)警攔截。專家提示,消費(fèi)者上網(wǎng)購物應(yīng)注意兩條原則:第一,不點(diǎn)擊陌生人發(fā)來的可疑網(wǎng)址;第二、不打開陌生人發(fā)來的文件。只要全面提升安全意識(shí),使用專業(yè)安全軟件保護(hù)網(wǎng)購交易,就能防范“網(wǎng)銀刺客”等木馬病毒搶錢。除了“網(wǎng)銀刺客”木馬外,去年底爆發(fā)“多網(wǎng)站泄密門"對(duì)網(wǎng)購用戶也造成極大風(fēng)險(xiǎn)。360安全中心發(fā)現(xiàn),一些不法分子利用泄密賬號(hào)試探登錄某大型購物網(wǎng)站,利用受害用戶余額購買彩票,再將彩票提現(xiàn)賬戶綁定為不法分子自己的銀行卡。迄今,已有數(shù)十名網(wǎng)購用戶微博反饋余額被盜用買彩。鑒于網(wǎng)購用戶可能遇到退貨退款、賬戶里存有余額的情況,360安全中心建議網(wǎng)購應(yīng)單獨(dú)設(shè)置高強(qiáng)度密碼,以免其他網(wǎng)站泄密危及網(wǎng)購余額資金。為實(shí)現(xiàn)更安全的電子簽名應(yīng)用,進(jìn)一步增強(qiáng)客戶的網(wǎng)上銀行安全性體驗(yàn),建設(shè)銀行推出的二代網(wǎng)銀盾,即將在全行客戶中全面推廣。建行二代網(wǎng)銀盾是具有液晶屏幕顯示和物理按鍵確認(rèn)的新一代網(wǎng)上銀行USBKey安全產(chǎn)品,可有效防范木馬病毒攻擊,具有工業(yè)級(jí)的設(shè)計(jì)標(biāo)準(zhǔn),外觀設(shè)計(jì)人性化,采用超大屏幕、獨(dú)立按鍵,增強(qiáng)了客戶的體驗(yàn)感受,在安全性和客戶體驗(yàn)方面領(lǐng)先同業(yè)。為配合二代網(wǎng)銀盾的推廣使用,建設(shè)銀行日前開始舉行了“二代網(wǎng)銀盾宣傳語創(chuàng)作大賽”活動(dòng)。網(wǎng)銀盾特別采用了使用有物理介質(zhì)的個(gè)人客戶證書,建立基于公鑰(PKI)技術(shù)的個(gè)人證書認(rèn)證體系.在技術(shù)方面,客戶證書通過個(gè)人證書認(rèn)證和數(shù)字簽名技術(shù),對(duì)客戶的網(wǎng)上交易實(shí)施身份認(rèn)證,并且可以簽署各種業(yè)務(wù)服務(wù)協(xié)議,確保了交易和協(xié)議的唯一、完整和不可否認(rèn)。建行推出的其他的安全措施:1.短信服務(wù)建行網(wǎng)上銀行提供了從登陸、查詢、交易、直到退出的每一個(gè)環(huán)節(jié)的短信提醒服務(wù),我們可以直接通過網(wǎng)上銀行捆綁其手機(jī),隨時(shí)掌握網(wǎng)上銀行使用情況。2.動(dòng)態(tài)口令卡建行網(wǎng)上銀行除了向客戶提供證書保護(hù)模式外,還推出了動(dòng)態(tài)口令卡,可以免除了客戶攜帶證書和使用證書的不便,動(dòng)態(tài)口令卡樣式輕小、安全性高.3.先進(jìn)技術(shù)的保障中國建設(shè)銀行網(wǎng)上銀行支付系統(tǒng)采用了嚴(yán)格的安全性設(shè)計(jì),通過密碼校驗(yàn)、CA證書、SSL(加密套接字層協(xié)議)加密和服務(wù)器方的反黑客軟件等多種方式來保證客戶信息安全。4。雙密碼控制,并設(shè)定了密碼安全強(qiáng)度網(wǎng)上銀行支付系統(tǒng)采取登錄密碼和交易密碼兩種控制,并對(duì)密碼錯(cuò)誤次數(shù)進(jìn)行了限制,超出限制次數(shù),客戶當(dāng)日即無法進(jìn)行登錄。在首次登錄網(wǎng)上銀行時(shí),系統(tǒng)將引導(dǎo)客戶設(shè)置交易密碼,并對(duì)密碼強(qiáng)度進(jìn)行了檢測,拒絕使用簡單密碼,有利于提高使用賬戶的安全性。在系統(tǒng)登錄時(shí),還提供了附加碼和密碼小鍵盤等服務(wù),避免泄露顧客的信息。5.交易限額控制網(wǎng)上銀行支付系統(tǒng)對(duì)各類資金交易均設(shè)定了交易限額,以進(jìn)一步保證您賬戶資金的安全。6.信息提示,增加透明度在網(wǎng)上銀行操作過程中,客戶提交的交易信息及各類出錯(cuò)信息都會(huì)清晰地顯示在瀏覽器屏幕上,讓客戶清楚地了解該筆交易的詳細(xì)信息。在轉(zhuǎn)賬交易要求客戶輸入轉(zhuǎn)賬交易附加碼,并提示其核實(shí)轉(zhuǎn)賬信息。7.客戶端密碼安全檢測建行網(wǎng)上銀行支付系統(tǒng)提供了對(duì)客戶的客戶端密碼安全檢測,能自動(dòng)評(píng)估客戶設(shè)置的網(wǎng)上銀行密碼安全程度,并給予客戶必要的風(fēng)險(xiǎn)警告,有助于提高客戶在使用網(wǎng)上銀行支付時(shí)的安全性.4。5網(wǎng)上銀行安全案例分析目前,各商業(yè)銀行為保證客戶網(wǎng)上銀行支付的安全,提高自身網(wǎng)上銀行的競爭力,都積極采取了各種保障網(wǎng)上支付交易安全的有效手段;網(wǎng)上支付的客戶也都了解要保證網(wǎng)上支付的安全,一是使用安全的數(shù)字證書,二是養(yǎng)成良好的網(wǎng)銀使用習(xí)慣.看上去簡單易行的防范風(fēng)險(xiǎn)的辦法,卻沒有引起大家足夠的重視,因而我們也不時(shí)能夠聽到網(wǎng)銀不安全事件的發(fā)生,本案例將透過網(wǎng)銀安全事故,分析這些事故時(shí)由什么原因造成的以及使用網(wǎng)上銀行的時(shí)候,如何有針對(duì)性的采取措施,安全使用網(wǎng)上銀行。案例一:2006年7月,黔西南冊(cè)亨縣年僅11歲的陸某,從網(wǎng)上購買了專門用于套取個(gè)人賬戶、密碼的假冒網(wǎng)站,并于7月26日冒充網(wǎng)上銀行客服人員,以幫助丹寨縣個(gè)人網(wǎng)上銀行用戶李某某解決不能登錄問題為由,讓李某在陸某的假冒網(wǎng)站上填寫銀行賬戶信息,從而盜取了李某的個(gè)人賬號(hào)及網(wǎng)銀支付密碼。7月28日凌晨,陸某用倒去的賬號(hào)和密碼將李某賬戶中的2598元轉(zhuǎn)移到其事先開好的賬戶內(nèi),并準(zhǔn)備再次轉(zhuǎn)移提現(xiàn)。案例二:2006年4月19日,定海的陳女士準(zhǔn)備進(jìn)入自己的網(wǎng)上銀行賬戶時(shí),發(fā)現(xiàn)熟記于心的密碼竟然連續(xù)發(fā)生“輸入錯(cuò)誤",但是她以為是電腦出現(xiàn)故障.第二天,當(dāng)她使用密碼任然不能進(jìn)入自己的網(wǎng)上銀行賬戶時(shí),陳女士才警覺有問題,馬上到開戶銀行查詢,發(fā)現(xiàn)賬戶上7100元存款已被人通過網(wǎng)上購物消費(fèi)掉了??梢哉f類似案例一和案例二的網(wǎng)上銀行安全時(shí)間不在少數(shù),不過從目前發(fā)生過的網(wǎng)銀安全案例來看不外乎有三類:第一類,利用假網(wǎng)站來騙取用戶名與口令,如案例一。這類案件起是技術(shù)含量很低,網(wǎng)絡(luò)騙子會(huì)做網(wǎng)站并稍懂在互聯(lián)網(wǎng)上竊取信息的技術(shù)即可,但他卻占到了網(wǎng)銀安全案例總數(shù)的95%以上。其實(shí)在這種案例當(dāng)中,用戶連真正的網(wǎng)上銀行的大門都沒進(jìn),銀行的各種安全機(jī)制在用戶進(jìn)錯(cuò)門的情況下自然無法發(fā)揮作用了.第二類是通過在互聯(lián)網(wǎng)上的機(jī)器中植入木馬、病毒等方式來作案.案例二就是典型的此類案件,不過這種案例所占的比重是非常少的,因?yàn)殂y行網(wǎng)站都采用了安全的物理手段來防范此類病毒,即使漏洞會(huì)出現(xiàn),也會(huì)在非常短的時(shí)間內(nèi)加以解決。第三類,用戶自己沒能保管卡號(hào)和口令,比如犯罪分子通過電子郵件、短信等方式騙取了卡號(hào)和口令作案等。其實(shí)對(duì)這三類案件進(jìn)行分析后我們可以發(fā)現(xiàn),只要使用網(wǎng)上銀行用戶能保護(hù)好自己的“網(wǎng)銀資料”,正確使用數(shù)字證書,這三類案件都是完全可以避免的。在第一類案件中,當(dāng)?shù)卿浘W(wǎng)站時(shí),如果有數(shù)字證書在手,通過一種用戶和銀行互相確認(rèn)對(duì)方身份的機(jī)制,就能夠檢查出這個(gè)網(wǎng)站的真假.只有雙方的身份驗(yàn)證真實(shí)后,才會(huì)與銀行之間建立一個(gè)安全、加密的信息通道,這樣一來,就不必?fù)?dān)心會(huì)登陸到假的銀行網(wǎng)站而使自己的的資金帳戶受到不法分子的盜取。在第二類案件中,不法分子使用的木馬等病毒,即使植入了您的個(gè)人電腦,也不能夠從USBkey中獲取到帳號(hào)和口令;而且,不法分子獲得了帳號(hào)和口令信息,也會(huì)因?yàn)闆]有數(shù)字證書證明身份而不能夠?qū)~戶資金進(jìn)行任何操作。在第三類案件中,即使是用戶的卡號(hào)和口令被盜,只要將USBkey握在手中,沒有數(shù)字證書別人是無法冒充的,不法分子就不能夠通過用戶卡號(hào)和口令對(duì)資金帳戶進(jìn)行任何操作.因此,可以說數(shù)字證書是網(wǎng)上銀行支付安全的根本保障。同時(shí)形成良好的安全習(xí)慣也是必要的,比如登錄時(shí)輸入準(zhǔn)確的網(wǎng)址能避免登陸假網(wǎng)站、保護(hù)好自己的銀行卡帳號(hào)河密碼、安裝并定期更新病毒檢測軟件等。5.電話支付存在的安全問題及相應(yīng)對(duì)策5.1電話支付概述5.1.1電話支付基本概念電話支付是電子支付的一種線下實(shí)現(xiàn)形式,是指消費(fèi)者使用電話(固定電話、手機(jī)、小靈通)或其他類似電話的終端設(shè)備,通過銀行系統(tǒng)就能從個(gè)人銀行賬戶里直接完成付款的方式。5.1.2電話支付的特點(diǎn)電話支付業(yè)務(wù)具有交易安全、成本較低、操作簡便、業(yè)務(wù)擴(kuò)展性強(qiáng)等特點(diǎn)。(1)網(wǎng)絡(luò)安全性:終端與電話支付平臺(tái)通過PSTN網(wǎng)絡(luò)連接,滿足銀行卡交易對(duì)網(wǎng)絡(luò)安全的需要.(2)信息安全性:對(duì)磁道信息、密碼等數(shù)據(jù)由PSAM卡進(jìn)行加密操作。(3)信息完整性:進(jìn)行報(bào)文的MAC校驗(yàn),保證報(bào)文的完整與不被篡改。(4)密鑰安全性:具有完備的密鑰管理系統(tǒng),每次交易使用不同的過程密鑰,密鑰不可讀取。(5)操作簡單:以菜單和操作提示信息提示用戶完成業(yè)務(wù)交互,操作簡單,用戶界面友好.(6)成本低廉:與同類產(chǎn)品相比,終端具有較大的成本優(yōu)勢,運(yùn)營維護(hù)成本較低。(7)業(yè)務(wù)擴(kuò)展性較好:業(yè)務(wù)加載無需對(duì)終端、平臺(tái)進(jìn)行改造,承載業(yè)務(wù)內(nèi)容豐富,具有較好的靈活性、可擴(kuò)展性.5.2電話支付的存在的安全問題及近年的案例5。2.1電話支付的存在的安全問題(1)客戶缺乏安全意識(shí)。客戶對(duì)電話銀行交易的安全只是了解較少在缺乏安全機(jī)制或措施的環(huán)境中進(jìn)行電話支付,例如在公用電話上進(jìn)行電話支付等。導(dǎo)致登陸賬號(hào)和密碼被竊取,資金被劃走的狀況。(2)電話的鍵盤存在安全隱患。我們平時(shí)使用的POS、ATM等交易終端輸入鍵盤,都是采用通過中國人民銀行嚴(yán)格安全監(jiān)測的加密鍵盤模式,每個(gè)數(shù)字鍵在操作時(shí)候所發(fā)出的聲音頻率和電子輻射都是一樣的,而我們?nèi)粘J褂玫氖謾C(jī)、固定電話和小靈通,其數(shù)字輸入鍵盤都沒有經(jīng)過加密處理,也沒有經(jīng)過安全測試和檢驗(yàn)。在操作的時(shí)候,每個(gè)數(shù)字鍵所發(fā)出的聲音頻率大小不一樣,電子輻射也不一樣,容易被人通過聲音接收設(shè)備或電子輻射接收設(shè)備,輕易地辨別出操作的是哪一個(gè)數(shù)字鍵,這就造成了電話支付在商業(yè)應(yīng)用或公共場合的應(yīng)用中存在這極大地安全隱患。(3)密碼簡單,易被破解.由于輸入字母不便,電話銀行的密碼相對(duì)簡單,在先進(jìn)的設(shè)備和技術(shù)下,其被破解的難度也大打折扣。(4)如果客戶使用智能手機(jī)進(jìn)行電話支付,犯罪分子可以通過電腦或手機(jī)木馬程序盜取密碼,而智能手機(jī)終端殺毒、防毒工作遠(yuǎn)不及智能手機(jī)的普及速度,這顯然也制造了一個(gè)漏洞.(5)由于電話銀行和網(wǎng)絡(luò)銀行的關(guān)聯(lián)性,用戶往往用網(wǎng)絡(luò)銀行的密碼兼當(dāng)電話銀行的密碼,使黑客知曉銀行卡密碼后能輕松盜取。(6)除非用戶辦理相關(guān)業(yè)務(wù),否則使用電話支付后,銀行是不會(huì)對(duì)用戶的資金變動(dòng)情況與用戶主動(dòng)溝通的,這大大降低了用戶追回?fù)p失的可能性.5。2.2案例分析信用卡未離身怎被盜刷2萬元?“電話訂票”埋隱患信用卡未離身,居然也可以被人刷走卡里的2萬多元!而這樣蹊蹺的事情就發(fā)生在了翟姐的身上。記者通過調(diào)查發(fā)現(xiàn)了一個(gè)危險(xiǎn)的“訂票”黑洞,部分銀行在推廣信用卡的過程中,難以保障個(gè)人信息安全,不法分子盜取私密信息后,通過電話支付平臺(tái),訂票后再退票,從而“榨”走持卡人的血汗錢.1.信用卡無端被刷2萬多元翟姐從小在廣州長大,目前是天河一家美容機(jī)構(gòu)的負(fù)責(zé)人,因?yàn)楣ぷ餍枰@幾年,她前前后后在幾件銀行辦了近6張信用卡。之前一直平安無事,直至今年1月份。翟姐打電話去其中一家銀行查詢透支金額,工作人員竟表示,她留的手機(jī)號(hào)和親人名字都不對(duì)。“自己明明一直沒有改過信用卡的資料,怎么會(huì)全不對(duì)呢?”翟姐心里十分納悶.客服人員提醒他,如果她想繼續(xù)使用這張卡,一定要將資料改過來.翟姐第二天到銀行一問,心里一驚:有人打電話冒用她的身份證修改了她的資料。翟姐這才恍然大悟,原來她每次刷卡,銀行都會(huì)發(fā)條信息給她的。但自從去年12月底開始,刷卡后就沒收到過銀行的信息了。冒充她的這個(gè)人究竟是誰呢?修改卡的資料又為了什么呢?由于當(dāng)時(shí)銀行工作人員表示“暫時(shí)查不了賬戶余額",翟姐又以為反正卡在自己身上,也沒有受到什么損失,資料也改過來了,就沒再追究下去,只是叫銀行凍結(jié)賬戶。然而,幾天后,翟姐突然收到銀行發(fā)來的一條信息,顯示“用卡不成功”。后來銀行保衛(wèi)科打電話稱她的卡被盜用了,建議她去報(bào)案.因?yàn)橐呀?jīng)將卡凍結(jié),加上臨近春節(jié),翟姐并未馬上報(bào)案。到了2月9日,翟姐收到了銀行寄過來的賬單.不看不知道,一看嚇一跳,信用卡在凍結(jié)之前,居然被人刷走了三筆錢,都是網(wǎng)上消費(fèi)的,金額足足有2萬多元.翟姐一下子懵了。2。給出卡號(hào)等信息便能通過電話購機(jī)票翟姐去派出所報(bào)了案,希望公安部門能為自己追回?fù)p失。但不法分子是如何修改翟姐資料并盜刷其信用卡的呢?銀行方面回應(yīng)說,客戶修改資料,一是親自到銀行柜臺(tái),出示身份證件修改,二是通過電話修改,如果客戶忘記密碼,他們則會(huì)進(jìn)行嚴(yán)格的審核,驗(yàn)證客戶在銀行辦卡時(shí)填寫的資料信息,諸如身份證號(hào)、手機(jī)號(hào)、親人名字等等,答對(duì)后才可修改資料.“出現(xiàn)這種情況,很有可能是翟姐信用卡的個(gè)人信息(如身份證號(hào)碼、卡號(hào)、CVV碼等)被人竊取了。不法分子謊稱忘了密碼修改了資料,我們也很難確認(rèn)打電話的是不是本人."銀行工作人員表示。翟姐表示,她一直沒遺失過卡,也從來就沒有把資料告訴過別人.“退一步講,就算有人知道了我的辦卡資料,但沒通過我簽名確認(rèn)的交易,又怎么能夠成功呢?"翟姐質(zhì)疑道。銀行方面調(diào)查后則表示,現(xiàn)在很多交易都是在非面對(duì)面的情況下進(jìn)行的,只要有支付密碼以及卡片的一些相關(guān)信息就可以交易,并不一定需要簽名。而且翟姐的2萬多元,都是不法分子通過電話訂機(jī)票的形式刷走的,甚至連卡號(hào)和密碼都不需要,所以他并沒收到消費(fèi)短信。據(jù)介紹,國內(nèi)新近推出的電話支付系統(tǒng)不需要開通網(wǎng)銀,由銀行授權(quán)給某些商務(wù)網(wǎng)站,進(jìn)行訂票、旅游等服務(wù)。“現(xiàn)在我們正在研究怎樣降低風(fēng)險(xiǎn),因?yàn)檫@種方式有一定風(fēng)險(xiǎn)?!便y行工作人員表示。3.個(gè)人信息難保密,電話訂票審核少這個(gè)事件,再次揭示了信用卡個(gè)人信息泄密的危險(xiǎn)。也引起了人們對(duì)電話支付的關(guān)注.事實(shí)上,近年來信用卡辦理點(diǎn)遍及城市街頭.一些銀行為了提高發(fā)卡量,聘請(qǐng)了大量的業(yè)務(wù)員去街頭拉業(yè)務(wù),并以免年費(fèi)、送禮物等方式,吸引一些市民前去辦卡。但在市民個(gè)人資料的保護(hù)上,這些銀行卻未必能加強(qiáng)監(jiān)督。與此同時(shí),電話訂票平臺(tái)在帶來便利的同時(shí),也埋下了安全隱患.據(jù)了解,信用卡交易分為現(xiàn)場交易和虛擬交易兩種,現(xiàn)場交易持卡人必須持有信用卡和密碼才能使用.虛擬交易則主要通過網(wǎng)絡(luò)或電話來完成,翟姐的信用卡被人訂購飛機(jī)票就是通過虛擬交易進(jìn)行的。對(duì)此,有網(wǎng)民表示擔(dān)憂:“沒問我要密碼票就訂好了,然后也扣款成功了,心里真是沒有安全感?!币虼?電話銀行支付不要一味的追求方便便捷,也要考慮到中國的國情:我國對(duì)個(gè)人隱私的保護(hù)力度還比較弱。也就是說,電話銀行支付應(yīng)該在考慮給顧客提供方便的同時(shí)也要保證客戶資金的安全,使之真正成為讓顧客滿意放心的新型支付手段。5.3電話支付的安全策略5.3。1客戶保障自己電話支付賬戶安全需注意(1)客戶要提高自身的安全意識(shí),不給犯罪分子任何可乘之機(jī)。保護(hù)好自己的卡號(hào)、密碼等重要信息,盡量在安全環(huán)境下進(jìn)行電話支付,而且要盡量避免使用公用電話等公共通訊設(shè)備。(2)客戶在申請(qǐng)電話支付時(shí),最好要綁定一個(gè)特定的電話.在這種情況下,即使不法分子偷聽到了銀行卡的卡號(hào)和密碼,也不能對(duì)客戶電話支付的賬戶進(jìn)行任何操作。因?yàn)殡娫捴Ц侗仨氁ㄟ^用戶綁定的電話進(jìn)行支付,也就是說賬號(hào)、密碼以及綁定電話缺一不可,所以其他人是無法盜用的。這就類似于網(wǎng)上支付時(shí)的電子口令卡等手段,同密碼一起為支付提供雙保險(xiǎn),手機(jī)號(hào)碼、密碼的雙重驗(yàn)證保證了電話支付的安全性。(3)盡量使用不同的密碼??蛻粼谑褂肁TM、POS。網(wǎng)上支付以及電話支付時(shí),盡量使用不同的密碼.這樣,就算不法分子通過偷聽設(shè)備等手段獲得了客戶的銀行卡卡號(hào)和電話支付的支付密碼,并且復(fù)制了銀行卡,也無法得到交易密碼,不能實(shí)施竊取行為。(4)如果客戶使用的是智能手機(jī),那么就要注意這個(gè)高科技產(chǎn)物的安全性了。由于現(xiàn)在智能手機(jī)已經(jīng)逐漸向掌上電腦的方向發(fā)展,其功能不斷完善,一方面為客戶提供了更多的功能,但另一方面也為木馬病毒提供了生存的土壤。所以,智能手機(jī)的安全性應(yīng)當(dāng)引起人們的關(guān)注。上面只是從客戶的角度來保護(hù)自己的賬戶安全,但僅僅注意到這些方面是不夠的,銀行方面也有責(zé)任為客戶提供一個(gè)安全的支付環(huán)境,這就需要有一定的技術(shù)支持。電話支付計(jì)算機(jī)系統(tǒng)主要處理客戶通過電話提出的各種服務(wù)請(qǐng)求,并與銀行主機(jī)進(jìn)行數(shù)據(jù)處理即數(shù)據(jù)交換,完成各種指令。因此,電話支付計(jì)算機(jī)系統(tǒng)有著較高的安全性要求,特別是對(duì)數(shù)據(jù)的正確性、保密性和完整性要求很高。5。3.2電話支付計(jì)算機(jī)系統(tǒng)方面的安全策略(1)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是信息安全的基礎(chǔ),也是銀行數(shù)據(jù)安全、系統(tǒng)安全的前提條件??蛻艋A(chǔ)信息和賬戶資料都存在銀行的數(shù)據(jù)庫中,而數(shù)據(jù)庫和銀行系統(tǒng)卻是通過網(wǎng)絡(luò)連接起來的,不論是銀行內(nèi)部網(wǎng)絡(luò)還是銀行外部的網(wǎng)絡(luò),都可能存在這著對(duì)電話銀行系統(tǒng)的威脅。因此保證電話銀行系統(tǒng)的網(wǎng)絡(luò)安全也是十分必要的。(2)數(shù)據(jù)加密網(wǎng)絡(luò)中為保證數(shù)據(jù)的安全傳輸,首先的是對(duì)數(shù)據(jù)的加密。它是利用數(shù)據(jù)加密算法來實(shí)現(xiàn)數(shù)據(jù)保密的方法和技術(shù)。與數(shù)據(jù)加密緊密相關(guān)的就是密鑰管理機(jī)制,它主要考慮密鑰的產(chǎn)生、分發(fā)和存儲(chǔ)的安全。(3)信息認(rèn)證信息認(rèn)證時(shí)信息安全的另一個(gè)重要方面,要驗(yàn)證信息的確來自授權(quán)方,網(wǎng)絡(luò)中互補(bǔ)認(rèn)識(shí)的雙方要進(jìn)行的通信,必須事先取得權(quán)威機(jī)構(gòu)的身份證書,才能取得對(duì)方的信任。(4)信息完全性保護(hù)信息在網(wǎng)絡(luò)中傳輸是可能會(huì)被篡改、重播或延遲。為了防止這些情況的發(fā)生,就要采取信息的完整性控制.序號(hào)機(jī)制、信息識(shí)別碼和數(shù)字簽名都可以有效地用于數(shù)據(jù)完整性控制.(5)訪問控制與數(shù)據(jù)庫中的訪問控制類似,給每個(gè)客戶賦予適當(dāng)?shù)牟僮骱驮L問權(quán)限,其目的是為了拒絕非法訪問和使用網(wǎng)絡(luò)資源,以保障網(wǎng)絡(luò)系統(tǒng)的安全。每個(gè)網(wǎng)絡(luò)資源都有訪問控制表,通過ACL規(guī)定客戶的訪問權(quán)限。(6)路由控制路由控制一般由網(wǎng)絡(luò)服務(wù)商提供,是信息經(jīng)安全可靠的子網(wǎng)、中繼網(wǎng)或節(jié)點(diǎn)進(jìn)行傳送。當(dāng)發(fā)現(xiàn)或懷疑信息受到監(jiān)視或非法處理時(shí),就重新建立路由.正確的路由控制可以避免是敏感數(shù)據(jù)進(jìn)入危險(xiǎn)的節(jié)點(diǎn)和鏈路.6.自助支付存在的安全問題及相應(yīng)對(duì)策6.1自助支付概述自助支付是指商業(yè)銀行在營業(yè)場所以外設(shè)立的自動(dòng)取款機(jī)、自動(dòng)存款機(jī)等通過計(jì)算機(jī)、通信等科技手段提供存款、貸款、取款、轉(zhuǎn)賬、貨幣兌換和查詢等金融服務(wù)的自助設(shè)施.6.2自助支付存在的安全問題6.2.1ATM交易存在的安全問題(1)外部風(fēng)險(xiǎn)。外部風(fēng)險(xiǎn)主要表現(xiàn)為:不法分子為盜取客戶資金,利用種種手段對(duì)ATM實(shí)施外部作案.例如:通過假象、分散客戶注意力、套取密碼、誤導(dǎo)客戶等方式竊取客戶資金或通過轉(zhuǎn)賬轉(zhuǎn)出客戶資金。2008年,公安部門公布了銀行卡和銀行自助設(shè)備犯罪活動(dòng)的十種常見手法。手法一:不法分子冒用銀行或發(fā)卡機(jī)構(gòu)等金融部門名義,在ATM機(jī)上粘貼“溫馨提示”等虛假“通告”,然后用透明膠帶塞進(jìn)ATM吐鈔口,使機(jī)器里的鈔票無法正常吐出,前來取錢的客戶不能取鈔,情急之下就會(huì)撥打ATM機(jī)上虛假“通告”提供的“服務(wù)熱線”,被不法分子誘騙進(jìn)行轉(zhuǎn)賬操作。手法二:不法分子使用鐵鉤、鑷子、膠帶和假鍵盤等工具,將一個(gè)特制的鐵鉤放入ATM插口,造成銀行卡被吞的假象,誘騙客戶按提示操作,泄露銀行卡密碼,等客戶走后,犯罪分子再拉出鉤子,取出銀行卡竊取現(xiàn)金。手法三:在客戶使用ATM取款時(shí),不法分子上前搭話,分散其注意力,設(shè)法竊取客戶銀行卡帳戶信息和密碼,或調(diào)換客戶銀行卡。手法四:不法分子在鍵盤上安裝盜碼器,貼在銀行提款機(jī)鍵盤上,客戶按下的密碼會(huì)被自動(dòng)記錄下來并直接發(fā)射出去。手法五:不法分子利用假插卡槽作案.不法分子將假的ATM插口固定在原來真插口的位置,客戶將銀行卡插入假插口后,假插卡槽內(nèi)部設(shè)置的讀寫裝置能復(fù)制卡上的全部信息。手法六:不法分子在廣告夾里藏?cái)z像鏡頭。在一些ATM機(jī)旁邊有一個(gè)廣告夾,這些廣告夾里可能藏著一個(gè)微型攝像機(jī),通過攝像機(jī)將鍵盤和熒屏上的資訊拍下來,并傳到200米之外的不法分子手上。手法七:不法分子在ATM柜員機(jī)安裝秘密攝像裝置,竊取持卡人密碼.同時(shí),撿拾持卡人取款后遺棄的取款憑條獲取持卡人卡號(hào),再利用電腦、讀寫磁機(jī)將卡號(hào)寫入另一張磁卡上,變?cè)煦y行卡后使用。手法八:不法分子在自助銀行門上的刷卡器上安裝自制的磁條讀寫裝置,假冒成門禁系統(tǒng)以遮擋住原來的門禁系統(tǒng),并貼上“刷卡后請(qǐng)按密碼確認(rèn)”等提示語言字樣,誤導(dǎo)客戶操作,竊取銀行卡卡號(hào)和密碼,制造假卡行騙。手法九:不法分子采用有記憶功能的鍵盤或類似塑料薄膜的物質(zhì)覆蓋在ATM鍵盤上,竊取持卡人密碼,并利用吞卡設(shè)置取得持卡人銀行卡。手法十:不法分子用膠水封堵自助銀行自動(dòng)門的刷卡器,在旁邊安裝另一個(gè)有輸入密碼的刷卡器,里面有一通信電話卡,只要持卡人輸入的密碼后刷卡,其信息資料九以短信的形式發(fā)往犯罪嫌疑人的手機(jī)上。表5-1為ATM犯罪活動(dòng)的常見手法和作案手段。手法一手法一手法一手法一手法一手法一手法一手法一手法一手法一虛假提示√√√人為制造ATM吐超故障√人為制造ATM吐超假象√√加裝工具盜取銀行卡√√加裝鍵盤盜取密碼√√假插卡槽盜取卡信息√藏?cái)z像頭偷拍密碼輸入√√門禁加裝刷卡器盜取密碼等信息√√轉(zhuǎn)移客戶注意力并盜取卡和密碼√仔細(xì)分析這些手法,可以歸納出每一種手法采用了一種或多種作案手段。商業(yè)銀行作為金融機(jī)構(gòu)的所有者和金融服務(wù)的提供者,應(yīng)該針對(duì)這些詐騙手段,在ATM機(jī)上采取有針對(duì)性的技術(shù)手段進(jìn)行防范。另外,外部分險(xiǎn)還表現(xiàn)在客戶的自我保護(hù)意識(shí)方面不強(qiáng),人們普遍缺乏安全意識(shí),隨手丟棄存取款憑條或交易憑證、在無保護(hù)狀態(tài)下進(jìn)行密碼輸入等情況相當(dāng)嚴(yán)重,磁道信息或帳戶密碼極易被犯罪分子獲得,為變?cè)?、偽造、克隆銀行卡和進(jìn)行網(wǎng)上犯罪提供了便利;有的網(wǎng)上銀行客戶對(duì)個(gè)人數(shù)字證書的安全意義認(rèn)識(shí)不足,保管不當(dāng),在多臺(tái)或公用計(jì)算機(jī)中安裝了個(gè)人數(shù)字證書;有的客戶賬戶交易密碼設(shè)置過于簡單;有的為了避免忘記密碼,將卡、折和密碼一起存放。這些都給犯罪分子留下可趁之機(jī),并留下風(fēng)險(xiǎn)隱患。(2)內(nèi)部風(fēng)險(xiǎn)。同外部風(fēng)險(xiǎn)相比,內(nèi)部風(fēng)險(xiǎn)隱蔽性較高,一旦發(fā)生,造成的損失往往比外部風(fēng)險(xiǎn)高的多,且內(nèi)部風(fēng)險(xiǎn)的防范比外部風(fēng)險(xiǎn)更為重要.主要表現(xiàn)在:風(fēng)險(xiǎn)意識(shí)淡薄、警惕性不足;軟件系統(tǒng)和日常維護(hù)管理不嚴(yán);規(guī)章制度不健全,業(yè)務(wù)操作不規(guī)范;卡產(chǎn)品技術(shù)設(shè)計(jì)上的缺陷,為犯罪分子提供了可趁之機(jī);自助設(shè)備硬件上的風(fēng)險(xiǎn);網(wǎng)絡(luò)安全風(fēng)險(xiǎn);服務(wù)響應(yīng)風(fēng)險(xiǎn);對(duì)賬手段相對(duì)落后。6.2.2POS安全問題隨著業(yè)務(wù)應(yīng)用范圍的不斷擴(kuò)大,POS的安全性和保密性越來越受到關(guān)注.(1)使用非法的物理設(shè)備,通過部分合法的信息,冒用合法的操作員進(jìn)行交易,一起進(jìn)入系統(tǒng)。(2)冒用他人遺失或盜竊所得的卡、設(shè)備,以圖冒充別的合法用戶進(jìn)入系統(tǒng),對(duì)系統(tǒng)進(jìn)行實(shí)質(zhì)上未經(jīng)授權(quán)的訪問.(3)主動(dòng)攻擊。直接對(duì)POS設(shè)備與外部通信所交換的信息流進(jìn)行截聽、修改等非法攻擊,從中牟取利益或破壞系統(tǒng)。從上述分析可知,POS系統(tǒng)的安全不僅僅是軟件系統(tǒng)邏輯上的安全,而且還包括POS本身的物理上的安全。所以POS系統(tǒng)的安全可分為三個(gè)部分:POS的物理安全、用戶的身份安全和通信傳輸中的信息安全。(1)POS的物理安全。在POS的物理安全中,除POS本身的物理安全外,還包括防止外界對(duì)POS的物理攻擊安全.POS本身的物理安全主要體現(xiàn)在其物理封裝上是否堅(jiān)固耐用,能夠承受相應(yīng)的碰擊而不致?lián)p壞,能夠承受一定程度的化學(xué)、電氣和靜電的損害.在實(shí)際中,經(jīng)常遇到的是承受高壓、低壓的能力,不至于由此毀壞設(shè)備或外圍電路。(2)用戶的身份安全。POS系統(tǒng)中的用戶一般分為操作POS的操作員和持卡人,因此用戶身份安全就包括操作員和持卡人的身份安全。在處理POS交易前,要識(shí)別持卡人的身份,防止他人盜用合法持卡人名義進(jìn)行非法的POS交易,以保護(hù)消費(fèi)者數(shù)據(jù)的完整性和保密性。同時(shí)還應(yīng)當(dāng)檢查操作員的權(quán)限,防止無權(quán)操作。(3)通信傳輸中的信息安全.POS的通信安全與保密和用戶身份鑒別一樣重要,甚至更加重要。因?yàn)椋校蟂上做任何交易都得與銀行主機(jī)進(jìn)行通信,相當(dāng)于銀

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論