陸斌華

【摘 要】網(wǎng)絡支付，是網(wǎng)上銀行的發(fā)展方向。它改變了傳統(tǒng)的支付結(jié)算處理方式，使支付活動不再受地域、時間的限制，為客戶提供了便捷的支付渠道，適應現(xiàn)代經(jīng)濟發(fā)展的需要。同時我們也應該注意網(wǎng)絡支付的潛在安全風險，在網(wǎng)上支付的同時，必須確保網(wǎng)絡支付的安全。本文從網(wǎng)絡支付面臨的安全問題出發(fā)，利用相關安全技術有針對性地探討了種種網(wǎng)絡支付安全問題的解決方法。

【關鍵詞】網(wǎng)絡支付；電子商務；安全

目前，網(wǎng)絡的爆炸性發(fā)展和應用，不僅使其成為全球最大的、最具發(fā)展前途的通信媒介和交換共享信息的新媒體，還開辟了一種嶄新的商業(yè)交易方式，即電子商務。電子商務覆蓋面廣、運作時間長、跨時空等鮮明特點大大增加了企業(yè)商業(yè)機會，但同時也帶來了一系列的問題。其中最突出的一點就是安全問題。由于電子商務的遠距離網(wǎng)絡操作性而非傳統(tǒng)的面對面方式，它已成為大家關注電子商務運行安全的首要方面。完成了電子商務中資金流的網(wǎng)絡支付，因涉及商務實體最為敏感的資金流動，所以是緊需要保證安全的方面，也是緊容易出現(xiàn)安全問題的地方。因此，電子商務的安全實際上很大部分就是保證電子商務過程中網(wǎng)絡支付結(jié)算流程的安全，這正是銀行與商家，特別是客戶關心的焦點問題。

一、網(wǎng)絡支付的概念

網(wǎng)絡支付，也稱網(wǎng)絡支付與結(jié)算，它指以金融電子化網(wǎng)絡為基礎，以商用電子化工具和各類交易卡為媒介，采用現(xiàn)代計算機技術和通信技術作為手段，通過計算機網(wǎng)絡系統(tǒng)特別是Internet，以電子信息傳遞形式來實現(xiàn)資金的流通和支付。

我們也可以將它理解為電子支付的高級方式。它是電子支付的一個最新發(fā)展階段，以電子商務為商業(yè)基礎，以商業(yè)銀行為主體，使用安全的主要基于Internet平臺的運作平臺，通過網(wǎng)絡進行的、為交易的客戶間提供貨幣支付或資金流轉(zhuǎn)等的現(xiàn)代化支付結(jié)算手段。從這里可以看出，基于Internet的即時網(wǎng)絡支付是電子商務業(yè)務流程的一個關鍵環(huán)節(jié)，高水平電子商務發(fā)展的需求直接導致網(wǎng)絡支付結(jié)算的興起。

二、網(wǎng)絡支付面臨的安全隱患

在網(wǎng)絡支付與結(jié)算中，資金支付結(jié)算體系問題是電子商務中主要的安全隱患發(fā)生點。具體來說，目前電子商務下網(wǎng)絡支付結(jié)算流程中面臨的主要安全問題現(xiàn)階段的支付風險主要存在于：支付密碼泄漏。一旦攻擊者通過某種方式得到支付密碼，可以輕易地冒充持卡人通過互聯(lián)網(wǎng)進行消費，給持卡人帶來損失。這是人們對網(wǎng)上支付安全的主要擔心所在。支付數(shù)據(jù)被篡改。在缺乏必要的安全防范措施情況下，攻擊者可以通過修改互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)。譬如，攻擊者可以修改付款銀行卡號、修改支付金額、修改收款人賬號等，達到謀利目的并制造互聯(lián)網(wǎng)支付事件。支付否認。網(wǎng)上支付是一個通過商業(yè)銀行提供的網(wǎng)上結(jié)算服務將資金從付款人賬戶劃撥到收款人賬戶的過程。對于資金劃出操作，若付款人否認發(fā)出資金劃出指令，商業(yè)銀行將處于被動局面；對于資金劃入操作，若商業(yè)銀行否認資金劃入操作，收款人將處于不利境地。無法有效驗證身份。支付方不知商家到底是誰，商家不能清晰確定網(wǎng)絡支付工具是否真實，以及資金何時入賬等。一些不法商家或個人利用網(wǎng)絡貿(mào)易的非面對面性，以及網(wǎng)上站點的開放性和不確定性進行欺詐活動。系統(tǒng)錯誤。由于客戶的電子貸幣信息存放在相應的銀行后臺服務器中，當銀行網(wǎng)絡遭到非人為的損害或黑客的故意攻擊而導致銀行后臺服務器出現(xiàn)錯誤、運行中斷或癱瘓時，客戶肯定無法使用其電子貸幣；或者導致正在進行的網(wǎng)絡支付進程中斷，這必定影響客戶的支付行為。

三、保證網(wǎng)絡支付安全的解決方法

（一）對支付流程中涉及各方身份的認證和支付密碼的保護

采用建立第三方公正的CA認證中心，使用X.509數(shù)字簽名和數(shù)字證書，實現(xiàn)對交易各方的認證，證實身份的合法性、真實性等。作為支付方則應特別注意防止支付密碼泄漏，它是網(wǎng)上支付案件的主要原因。持卡人應注意的問題主要有：1.識別假冒網(wǎng)站。消費者在認清網(wǎng)站域名的同時，在提交重要信息時也要驗明服務器的身份。其中驗證服務器證書最簡明的做法，是在提交重要信息網(wǎng)頁頁面右下角會出現(xiàn)一個金黃色的小鎖，點擊它就可以查看所有該服務器證書的信息，包括服務器證書的頒發(fā)機構(gòu)、證書有效期限等信息。除了服務器證書之外，還應該使用個人數(shù)字證書。2.識別虛假短信（郵件）。持卡人在收到任何與銀行卡、支付有關的短信后，應確認短信發(fā)送者的真實身份或短信內(nèi)容。3.不要設置簡單的密碼。不要采用簡單數(shù)字組合、自己或親人的生日信息、電話號碼。此外，還應注意支付終端的安全性，如不要在公用網(wǎng)吧進行網(wǎng)上支付、在支付終端上安裝反病毒、反木馬軟件。同時，還要注意在其他場所輸入支付密碼時不輕易被他人偷窺、攝像等，不要將密碼記錄在容易被人看到的紙片上。

（二）保證網(wǎng)絡支付數(shù)據(jù)流內(nèi)容的保密性和完整性

使用相關的加密算法對資金流數(shù)據(jù)進行加密，防止未被授權的非法第三者獲取數(shù)據(jù)的真正含義。如采用DES私有密鑰加密法、RSA公開密鑰加密法、數(shù)字信封等保密手段。并使用如數(shù)字指紋算法等方法確認資金流信息（如支付指令）的完整性。防止支付數(shù)據(jù)被篡改需要網(wǎng)上支付平臺采用完善的信息安全措施。當前普遍采用數(shù)字簽名技術確認支付電子信息的真?zhèn)?。保護數(shù)據(jù)不被未授權者建立、嵌入、刪除、篡改、重放等，完整無缺地到達接收者一方。數(shù)字簽名在保護數(shù)據(jù)完整性方面有兩個功能，一是能標明支付數(shù)據(jù)特征值。其次，能表明特征值是由誰產(chǎn)生的。

（三）保證對網(wǎng)絡支付行為和內(nèi)容的不可否認性

當交易雙方因網(wǎng)絡支付出現(xiàn)異議或糾紛時，可采用數(shù)字任免、數(shù)字指紋、數(shù)字時間戳等技術并配合CA中心，以實現(xiàn)其不可否認性。支付否認是網(wǎng)上支付服務提供商（商業(yè)銀行或?qū)I(yè)網(wǎng)上支付公司）和收款人的關注點。通過數(shù)字簽名可以解決否認支付問題。我們在銀行柜面辦理存款、取款，或是在POS刷卡、ATM 存取款，通過銀行會給你一張支付回單。一旦出現(xiàn)爭議，你可以將該回單作為交易操作的證明?；ヂ?lián)網(wǎng)支付，數(shù)字簽名記錄可以充當“電子回單”。

為解決付款人否認支付，商業(yè)銀行要求付款人在進行支付時必須附帶其確認支付的簽名。商業(yè)銀行保存該簽名結(jié)果和支付記錄。一旦付款方否認支付，商業(yè)銀行可以出示該支付指令簽名作為證據(jù)。為解決商業(yè)銀行否認結(jié)算資金轉(zhuǎn)入收款人賬戶，收款人要求商業(yè)銀行提交資金劃入操作記錄的數(shù)字簽名。收款人驗證該簽名結(jié)果有效的，才確認已經(jīng)收款，才能與付款人繼續(xù)后續(xù)的商務活動。否則，收款人拒絕進行后續(xù)活動。

四、結(jié)論

上述安全技術可以說是信息網(wǎng)絡技術中較為尖端的技術，都是非常先進的技術手段，只要運用得當，配合相應的安全管理措施，基本能夠保證電子商務中網(wǎng)絡支付的安全。但這也并非絕對安全，盡管目前安全技術發(fā)展成熟，但商業(yè)銀行、第三方支付平臺等支付服務商都采用各自的安全方案，難免出現(xiàn)安全漏洞。因此，網(wǎng)絡支付的發(fā)展需要專業(yè)的支付安全服務公司、完善的支付安全技術標準，并建立網(wǎng)絡支付安全評價體系和準入機制。相信隨著信息網(wǎng)絡安全技術的進步與信用機制的完善，網(wǎng)絡支付一定能在提升服務價值的同時，通過更好的社會安全環(huán)境，保障支付各方的利益，更加健康、快速地發(fā)展。同時，讓電子商務真正發(fā)揮出它交易快捷與便利的優(yōu)勢。

【參考文獻】

[1]張海霞.網(wǎng)絡支付的安全問題及安全策略研究[J ].山西財經(jīng)大學學報，2008.

[2]卓婷婷.電子商務網(wǎng)上支付風險問題探析[J ].經(jīng)濟研究導刊，2008.

[3]李愛紅.淺議電子商務網(wǎng)上支付的安全問題[J ].科技創(chuàng)業(yè)月刊，2006.endprint