陳忠菊
摘 要:隨著我國(guó)電子商務(wù)的發(fā)展,特別是近些年以一批電子商務(wù)公司的上市為契機(jī),我國(guó)電子商務(wù)的發(fā)展也是迎來(lái)第一個(gè)頂峰。網(wǎng)上購(gòu)物的人多了,電子支付也變的越來(lái)越普遍,但是隨之而來(lái)的就是很多關(guān)于網(wǎng)上支付和電子支付的問(wèn)題也暴露了出來(lái)。大多數(shù)的網(wǎng)絡(luò)購(gòu)物支付方式采用網(wǎng)上銀行和第三方支付的電子支付方式,這些交易服務(wù)器都是互聯(lián)網(wǎng)的公開(kāi)站點(diǎn),很容易受到各種攻擊。該文分析了國(guó)際和國(guó)內(nèi)電子支付發(fā)展的現(xiàn)狀,提出了影響電子支付安全的幾個(gè)隱患,從而列出了幾點(diǎn)加強(qiáng)電子支付信息安全的方法和措施。
關(guān)鍵詞:電子商務(wù) 電子支付 安全 措施
中圖分類(lèi)號(hào):F724.6 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2015)02(c)-0224-01
1 國(guó)內(nèi)外電子支付的現(xiàn)狀分析
1.1 國(guó)際電子支付的發(fā)展現(xiàn)狀
隨著電子商務(wù)的發(fā)展,美國(guó)的Paypal是最早建立第三方支付平臺(tái)的企業(yè),而且現(xiàn)在在100多個(gè)國(guó)家都有業(yè)務(wù)發(fā)展,涉及地區(qū)和用戶(hù)的擁有量都是相當(dāng)大的。當(dāng)然美國(guó)Paypal獲得巨大的成功,也有其自身和環(huán)境的條件,首先與Paypal公司制定的正確的公司戰(zhàn)略和擴(kuò)張方式有關(guān);其次更與美國(guó)國(guó)內(nèi)良好的金融支付環(huán)境的支撐、良好的市場(chǎng)環(huán)境和適合的法律法規(guī)建設(shè)都是密不可分的。
于此同時(shí),Google公司也推出了自己的第三方支付業(yè)務(wù),在現(xiàn)階段,Google的在線(xiàn)支付業(yè)務(wù)也是Google所有的業(yè)務(wù)部門(mén)中營(yíng)業(yè)額和利潤(rùn)額最高的。還有新興的Checkout企業(yè)旗下的在線(xiàn)支付業(yè)務(wù)的用戶(hù)量也在增加,但是作為一個(gè)新的崛起的企業(yè),無(wú)論在市場(chǎng)份額的占用量和知名度等方面,與Paypal都是無(wú)法相比的。
Checkout雖然在第三方支付方面有自己的優(yōu)勢(shì),但是在搜索等業(yè)務(wù)上需要借助Google的搜索業(yè)務(wù),這對(duì)于用戶(hù)的資源有一定的影響,而且Google的價(jià)格也是其優(yōu)勢(shì)的方面,更是對(duì)用戶(hù)的資源有了很大的吸引。Google在一經(jīng)推出在線(xiàn)支付業(yè)務(wù)以后,就開(kāi)始對(duì)Paypal的市場(chǎng)份額有一定的爭(zhēng)搶?zhuān)瑥亩纬闪巳愣α⑾嗷ブ萍s和制衡的現(xiàn)狀。
1.2 國(guó)內(nèi)的電子支付的發(fā)展現(xiàn)狀
隨著京東商城和阿里巴巴的陸續(xù)到紐交所上市,阿里巴巴更是成為了全球市值僅次于谷歌第二位的企業(yè),國(guó)內(nèi)的電子商務(wù)的發(fā)展也是迎來(lái)了第一個(gè)高峰期。很多的電子商務(wù)公司發(fā)展更是如雨后春筍一般迎來(lái)了蓬勃發(fā)展的時(shí)期。現(xiàn)在國(guó)內(nèi)網(wǎng)上支付平臺(tái)的范圍也已經(jīng)覆蓋C2C、B2C、B2B等多個(gè)平臺(tái),電子支付也是在國(guó)內(nèi)外積累了一群的忠實(shí)用戶(hù)群,在商業(yè)活動(dòng)中占據(jù)了先機(jī)。隨著國(guó)內(nèi)各大電子商務(wù)公司建立和引入電子支付,也從一個(gè)側(cè)面促進(jìn)了國(guó)內(nèi)金融領(lǐng)域的改革的進(jìn)步,消除了跨行間的金融壁壘,這也從一定程度上加速了電子支付的業(yè)務(wù)發(fā)展?,F(xiàn)在國(guó)內(nèi)的第三方支付平臺(tái)也是依托中國(guó)銀聯(lián)的平臺(tái)優(yōu)勢(shì),得到了各大銀行、國(guó)際金融集體的支持,極大程度上推動(dòng)了網(wǎng)上交易渠道的順暢。在長(zhǎng)期困擾電子商務(wù)的誠(chéng)信、物流、現(xiàn)金流問(wèn)題通過(guò)應(yīng)用在線(xiàn)支付工具得到解決后,應(yīng)用第三方支付平臺(tái)提升網(wǎng)站的形象和競(jìng)爭(zhēng)力、提高消費(fèi)者忠誠(chéng)度、降低交易風(fēng)險(xiǎn),將是一舉多得的事情。在第三方支付平臺(tái)的啟示下,在電子商務(wù)領(lǐng)域?qū)?huì)有更合理、更有效的支付模式出現(xiàn),從而促進(jìn)和適應(yīng)電子商務(wù)的飛速發(fā)展,更好地服務(wù)于人們的網(wǎng)絡(luò)生活。
2 主要威脅電子支付安全的因素
2.1 身份的欺詐
電子支付過(guò)程中,需要在進(jìn)行交易的雙方進(jìn)行身份的驗(yàn)證,入侵攻擊者可能會(huì)冒用其中一方的身份,從而可以通過(guò)交易的形式,獲取交易中另一方的身份信息、銀行信息和密碼等資料,從而達(dá)到竊據(jù)被竊取方的財(cái)產(chǎn)和信息的資源。例如:一個(gè)攻擊者可以冒用電子商務(wù)的交易方,可以通過(guò)用戶(hù)在支付交易的時(shí)候,從而竊據(jù)用戶(hù)的銀行卡和密碼等信息,從而盜取用戶(hù)銀行卡中的資金。
2.2 釣魚(yú)網(wǎng)站
釣魚(yú)網(wǎng)站是指不法的人和團(tuán)體,通過(guò)技術(shù)手段建立一些偽裝成正規(guī)電子商務(wù)的網(wǎng)站,而從在用戶(hù)交易的過(guò)程中,竊取用戶(hù)的銀行卡和密碼等交易信息。最典型的釣魚(yú)網(wǎng)站通過(guò)設(shè)計(jì)和組織建立一個(gè)和正規(guī)網(wǎng)站比較相似的釣魚(yú)網(wǎng)站,并通過(guò)信息引誘用戶(hù)打開(kāi)網(wǎng)站并趁機(jī)竊據(jù)用戶(hù)的個(gè)人信息。
2.3 支付數(shù)據(jù)的篡改
由于因特網(wǎng)的開(kāi)放性,支付的數(shù)據(jù)信息在互聯(lián)網(wǎng)上傳送時(shí),就極有可能被篡改,破解或者偽造,如:攻擊者可以修改支付賬號(hào)或密碼、修改支付金額、修改收款人賬號(hào)等,給被攻擊人帶來(lái)?yè)p失。這是人們對(duì)電子支付安全的主要擔(dān)心。
2.4 后臺(tái)系統(tǒng)受攻擊
電子商務(wù)的參與各方正常運(yùn)行必然依托于支撐其的網(wǎng)絡(luò)平臺(tái)、支付網(wǎng)關(guān)以及電子支付專(zhuān)有應(yīng)用軟件的可靠暢通無(wú)阻的運(yùn)行。而這些網(wǎng)絡(luò)平臺(tái)、專(zhuān)有軟件很容易受到網(wǎng)絡(luò)病毒和黑客的攻擊。
3 加強(qiáng)電子支付信息安全的方法和措施
3.1 保障后臺(tái)系統(tǒng)的安全技術(shù)措施
在現(xiàn)階段的網(wǎng)絡(luò)環(huán)境中,很多的購(gòu)物網(wǎng)站都是使用的是網(wǎng)上銀行和第三方支付平臺(tái)的情況來(lái)進(jìn)行電子的支付方式。而且這些交易的服務(wù)器都是在互聯(lián)網(wǎng)的公開(kāi)站點(diǎn)中,由于其的公開(kāi)性,很容易受到各種情況的攻擊。大多數(shù)的情況下可以采用以下幾個(gè)方面來(lái)保證服務(wù)器的安全措施。
第一,通過(guò)開(kāi)啟放置防火墻技術(shù)。電腦系統(tǒng)中自帶的防火墻技術(shù)是一種將互聯(lián)網(wǎng)和內(nèi)部的局域網(wǎng)分開(kāi)的最簡(jiǎn)單和有效的措施,防火墻也是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全和計(jì)算機(jī)安全的重要方法。防火墻技術(shù)是通過(guò)軟件和硬件的設(shè)備,通過(guò)對(duì)雙向的加密處理措施,從而在一組硬件設(shè)備和安全的軟件設(shè)備中間,起到對(duì)信息傳輸?shù)钠帘魏妥韪舻淖饔?。防火墻的通過(guò),需要身份的驗(yàn)證,通過(guò)這種機(jī)制,可以很好的防止非法用戶(hù)對(duì)信息資源的修改和竊據(jù),從而達(dá)到系統(tǒng)安全的保護(hù)目的。第二,防止入侵的檢測(cè)技術(shù)。防止入侵的檢測(cè)技術(shù),也是防火墻的另一項(xiàng)重要功能,通過(guò)對(duì)用戶(hù)信息的檢測(cè),通過(guò)調(diào)取用戶(hù)主機(jī)的安全日志和審計(jì)的數(shù)據(jù)等信息,以及軟件和硬件的相互組合控制,從而發(fā)現(xiàn)系統(tǒng)中是否有違反網(wǎng)絡(luò)安全的行為存在,以及有沒(méi)有可能會(huì)遭受黑客攻擊的危險(xiǎn)等跡象,起到很好的防范措施。
3.2 用戶(hù)身份認(rèn)證的安全技術(shù)措施
確定交易各方的合法身份是電子支付中最為基礎(chǔ)和重要的一環(huán)。目前,電子支付中主要采用PKI/CA體系來(lái)完成用戶(hù)身份認(rèn)證和信息的安全處理。公鑰基礎(chǔ)結(jié)構(gòu)(PKI)是指用公鑰技術(shù)和數(shù)字證書(shū)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。它是由數(shù)字證書(shū)、數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu)以及通過(guò)公鑰加密方法驗(yàn)證電子交易中各方合法性的其他注冊(cè)頒發(fā)機(jī)構(gòu)共同構(gòu)成的系統(tǒng)。數(shù)字證書(shū)采用公開(kāi)密碼密鑰體系的一種電子手段,可以用來(lái)證明數(shù)字證書(shū)擁有者的真實(shí)身份和對(duì)特定網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。數(shù)字證書(shū)是由CA認(rèn)證中心頒發(fā)的。CA是一個(gè)具有權(quán)威性和公正性的第三方結(jié)構(gòu),專(zhuān)門(mén)負(fù)責(zé)發(fā)放、認(rèn)證并管理所有參與網(wǎng)上交易的實(shí)體(如:消費(fèi)者、商戶(hù)、銀行)所需的數(shù)字證書(shū)。CA中心通過(guò)為每一個(gè)使用公鑰的用戶(hù)發(fā)放數(shù)字證書(shū),以證明公共密鑰和使用者身份的真實(shí)性。并且由于應(yīng)用數(shù)字簽名技術(shù)使得攻擊者不能任意偽造和篡改證書(shū)。因此,利用PKI/CA體系可以確保電子交易安全有效地進(jìn)行,保證信息發(fā)送雙方真實(shí)身份以及對(duì)自己行為的不可抵賴(lài),保證傳輸過(guò)程中信息不被竊聽(tīng)或篡改。
參考文獻(xiàn)
[1] 蔡?hào)|.電子支付業(yè)務(wù)現(xiàn)狀及發(fā)展趨勢(shì)探析[J].中國(guó)金融電腦,2012(4):15-18.
[2] 符庭彬.淺談電子支付風(fēng)險(xiǎn)和防范措施[J].經(jīng)濟(jì)視野,2014(12).
[3] 蔡健.基于可信的網(wǎng)上電子支付認(rèn)證協(xié)議研究[J].科技通報(bào),2013(1):157-160.