从信息安全的角度来看,要关注网络支付的数据信息安全。随着信息技术的发展,对支付信息进行大量数据筛选、分析、挖掘、统计的需求和能力不断提高。支付交易产品或沉淀的数据信息分析会成为未来网络支付领域的一个非常巨大且具有很高商业价值的金矿。当然支付交易信息的分析必须要严格遵循数据信息安全的基本规则,切实保护客户的信息。
要从前瞻性的角度,关注网络支付安全对网络支付行业国际竞争力的影响。网络跨境支付发展到一定阶段后,游戏规则及安全要求发生了变化。大家非常关注的华为、中兴这些中国的IT企业被美国众议院情报委员会认定为可能会威胁美国国家通讯安全。网络支付是否会遇到及如何避免这些问题,也关乎到中国的互联网企业的国际竞争力。另外,国际互联网、银行卡支付机构和组织之间的安全合作也很重要。
网络支付安全和效率的关系是网络支付发展中的关键问题。效率和安全的平衡是网络支付的核心,过于关注安全会大幅度降低企业的经营效率,给消费者带来不便;忽略了安全同样会给商户、用户、支付企业带来损失。亚洲地区人口稠密、信用体系不太健全,安全投入相应较多,风险控制技术创新也比较领先,适当地允许一定的风险水平,有助于激励企业向风险纵深处探索、创新,研发更加有效的新型安全技术。
不法分子就是利用支付宝担保交易的漏洞来骗取买家的货款。通过自制网站提供热销商品,当买方与其取得联系并谈妥商品数量和价格后,提出用支付宝担保交易。利用买方对支付宝的信任,诱骗其将钱打入支付宝账户。
调查发现,这类常见模式主要有以下三种:一是卖家利用支付宝进行诈骗。在网络交易中,由于对交易流程不熟悉、信息获得不全面,加之警惕性不高,买家常常处于弱势地位,更容易受到卖家的欺骗。二是买家利用支付宝进行诈骗。在支付宝诈骗中,80%的案件是卖方利用各种手段让买家上当受骗,但是另有20%的案件则是买方利用支付宝骗取商家货物、钱款。三是第三方诈骗模式。除了买卖双方以外,还有一类诈骗是除买卖双方以外的第三人,利用支付宝这一网络交易支付工具对买卖双方进行的诈骗。
当前,网上支付的应用和安全保障,始终是各方关注的焦点。我们必须清醒认识到,在网络支付日趋流行的今天,该如何保证网络支付安全。
做好宣传防范不失为一条治本之策。应结合现实案例,利用广播电视、网络等媒介向大众进行宣传,尤其是向网购群众讲解网上购物的操作流程、支付宝网银卡的使用说明等,提醒消费者保护好银行卡信息不被泄漏,提高自身防范意识和抵御此类诈骗犯罪的能力。加强与银行、电信等相关部门的沟通和协作,在其官网的醒目部位对网络购物诈骗进行安全防范提醒。在用户办理网上银行或开通网络、交纳网费的同时也要向其宣传网上购物的相关知识及防范诈骗的提醒,并将此作为部门办理该项业务的必备工作流程。
当前网络技术越来越发达,钓鱼网站的制作越来越精美,其仿真程度也越来越高,让人几乎难以辨别,但其中的细微差别还是能够被发现的。用户登录之前,一定要先检查浏览器中的网址,确保其是在网络支付服务官方网页上。如果要点击电子邮件中的链接,则要先确认浏览器中显示的网址和电子邮件显示是相同一致。对包含附件和链接的电子邮件也要多加小心。比如,支付宝不会向用户发送包含附件的电子邮件,也不会要求用户在一个不能访问到支付宝的网页上输入信息。此外,提供网络支付服务的公司联系用户一律使用公司的固定电话,任何时候都不会使用手机联系用户,并且工作人员都会向用户报上自己的客服编号;支付宝向用户发出的电子邮件中只会称呼用户的会员昵称或者真实名字,而不会仅仅显示亲爱的用户。此外用户还可以采取访问控制、授权、身份认证、防火墙、加密存储及传送等各类手段,及时更新升级杀毒软件,以保证电脑的安全。
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1、电子商务的概念和特点
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2、电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3、安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。
2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。
3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。新晨
4、结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
【关键词】 网络支付;安全性;安全要求
随着金融信息化和大数据时代的到来,我国网络支付市场保持高速增长的态势,网络支付的用户量和交易金额迅猛增长。根据权威部门的调查结果显示,网络支付的安全性是用户关注的重点,也是影响网络支付深入发展的瓶颈[1]。
一、网络支付的含义
网络支付是指用户以互联网作为媒介,通过电脑、移动终端等通用设备发出指令,由支付服务器通过对指令地解析实现资金转移的过程[2]。从网络支付的定义可以看出,其包括三个核心的内容即通用设备、互联网和资金转移。这里的互联网指的是公共网络而非银行间专用通信网。
二、网络支付的结构模型
网络支付的实现需要特定的组织结构,并且需要各结构之间地密切配合,这构成了网络支付的结构模型。一般而言,网络支付至少能够满足不同的支付需求、实现不同的支付额度及花费不同的时间,这构成了网络支付结构模型的外延。网络支付结构模型内涵一般包括六个组成部分,即参与者的身份标识、实现指令输入的通用终端、传输支付指令的公共网络、识别支付指令的服务器以及完成资金转移的收款账户和付款账户等[3],具体如图1所示。
图1 网络支付的结构模型
网络支付的应用对象、时间要求以及额度大小是影响支付结构也是影响安全性的重要因素。通过网络支付进行购物对身份标识和指令终端的安全性要求低于企业付款;大额交易较小额交易需要更高的安全标准;快速支付对身份认证、传输速度及服务器处理速度有较高的要求,而安全性与便捷性需要寻求平衡点。总之,这三个属性的不同组合共同影响了网络支付结构模型的六个要素及它们之间的相互关系。
三、网络支付的安全问题
从网络支付应用的实践来看,其面临的安全威胁主要有:用户的身份标识被窃取、支付交易信息被破坏、指令传输过程中被篡改和支付行为被否认等[4]。从网络支付六个结构要素来看,网络支付的安全问题主要表现形式有以下几个方面。
1、身份标识的安全问题
用户是网络支付的发起者,是交易支付指令的缔造者。网络支付对用户的识别主要依靠对不同用户的编码来实现,每个用户编码即为一个唯一的身份标识。用户身份的真实性是网络安全支付的前提和保障,没有这一层保护所有的网络支付都将面临巨大的风险。从网络支付的风险事件来看,用户身份被假冒是较为频发的一种安全问题,给被盗用户的资金和信用造成极大的损害。
2、指令终端的安全问题
网络支付的指令输入接口是通用终端,相对于银行的专用终端而言更加容易受到病毒的攻击,造成大量的安全隐患。通用终端的风险防范技术水平较低,且具有用户众多、安装软件繁杂的特点,极易被病毒攻击,造成用户信息泄露,带来大量的损失。
3、传输网络的安全问题
网络支付是以公共网络作为媒介的,公共网络的接口众多,开放性高,其接入的终端数量多、种类复杂。这一方面使得交易支付指令可以便捷地在不同类型的终端之间进行传输,另一方面也加大了信息传输过程中被截取、篡改和伪造的风险。近几年,无线网络和智能终端设备的快速发展使得公共网络的接入终端量呈爆炸性增长,进一步加大了数据传输的风险。
4、支付服务器的安全问题
支付服务器是实现指令识别并最终完成交易的关键结构,它是所有数据信息的集中平台,也是信息处理中心。支付服务器掌握着大量用户信息和账户信息,需要庞大的存储空间和处理能力,其每一笔交易的完成都需要调动不同的信息存储,这期间就容易产生信息存储失误、解析漏洞等问题,导致支付交易失败。
5、账户的安全问题
账户是实现资金收支的平台,是保障用户资金安全的最后一道屏障。用户账号及密码是实现账户安全管理的两道工序,需要予以重点防范。账户的安全问题一般表现为账号及密码被窃取、泄露,账户资金被转移和盗取等。
四、网络支付的安全要求
网络支付的安全问题主要可以归纳为信息的安全性问题,防范支付风险需要加强对信息的保护力度,通过有效手段实现对信息的多重保护。网络支付的安全性则体现为对信息和数据地防护,主要有以下几个方面。
1、信息的保密性
网络支付的流程实质上是信息传递的流程,信息的严格保密是支付成功的关键所在。网络支付必须能够保证用户信息、交易指令以及指令解析的过程不被泄露,信息存储能够有效地防止非授权用户侵入,保障信息在产生、传输和存储过程中的安全。
2、数据的完整性
数据的完整性是网络支付取得成功的重要影响因素。在网络支付结构模型的框架下,数据的完整性要求信息的结构完整、内容连续并且能够通过数据校验,保证数据在产生阶段和最终解析阶段的内容是一致的,中间过程不能出现数据损毁、缺失或者篡改。
3、身份的真实性
身份的真实性有两个层次的含义,一是参与网络支付的用户其身份能够通过数据校验,提供可靠的身份标识,交易各方能够准确地予以识别,防止身份欺诈;二是支付服务器是真实的交易处理平台,能够有效地解析信息数据,提供可靠的解析结果,保障交易行为的顺利完成。
4、行为的不可抵赖性
在网络支付中,交易各方都需要对自己的行为负责,在身份验证、传输数据等无误的情况下,交易行为应当被视为是合法和有效的,任何一方都必须予以承认。同时,交易的过程需要做到数据的完全保留,以便当网络支付双方出现纠纷时,能够有据可查,有据可依。
五、网络支付的安全标准
由于我国的网络支付发展较晚,与发达国家相比我国的支付环境、支付体系以及行业的成熟度等方面还存在一些差距,与之相对应的网络支付的安全标准也有一定的区别。目前,国际上比较常用的安全标准是国际信用卡组织共同设立的PCI-DSS安全认证,该认证产生的前提是国外已经建立了完善的个人信用体系,其主要作用是规范信用卡支付行为,维护信用卡支付体系的安全性。我国从国情出发,综合考虑国家公共安全和居民信用体系的现状,于2008年制订了《网络支付安全标准》,规范了我国网络支付市场行为,扭转了网络支付管理紊乱的局面,对于网络支付平台的建设、数据维护和市场发展等提供了指导和规范。提高了信息整合水平,保障了资金支付安全。
六、结语
在互联网金融蓬勃发展的时代,网络支付对于加快金融改革步伐,提高金融业服务水平具有不可忽视的作用。保障网络支付的资金安全是实现网络支付全面推广、深度应用的关键所在,也是保障国家安全的重要影响因素。在当今的大数据信息化时代,认清网络支付的安全问题,制定和完善安全标准,是加快网络支付市场发展的重要保障。
【参考文献】
[1] 张献华.数据中心信息安全保障体系初探[J].北京:国土资源信息化,2005.
[2] “网络支付安全”标准研究小组.网络支付安全问题探究[J].金融电子化,2009(7)40-42.
[3] 李艳.网络支付与其安全性研究[J].科技信息,2010(25)512.
[4] 桂纲.基于数据仓库的供电企业营销信息系统研究[学位论文].上海:华东理工大学,2007.
当看到这些数字,你是否会对网络支付心生疑虑?当你在享受电子商务带来的便利时,可曾想过自己的隐私正在遭受前所未有的冲击?相关数据显示,2011年,超过1亿的用户曾遭遇过网络购物陷阱,带来的直接经济损失超过150亿元。
当前,网络安全的威胁主要来自木马、恶意网站、漏洞攻击、恶意插件和社会工程学攻击等五个方面。第三方支付公司易宝支付近日《2011中国网购支付安全报告》称,搜索引擎、聊天工具、网络广告、诈骗短信、诈骗邮件、微博及论坛已经成为钓鱼网站传播的主要途径。
近日,在易宝支付举办的网购支付安全沙龙上,易宝支付CEO唐彬建议网购用户要牢记以下六点,以确保不被骗:“低价骗局勿轻信,陌生网址勿点开,网购保镖要开启,付款信息要检查,付款方式要谨慎,常去网店要记牢。”
但是,仅仅提醒用户注意并不能完全避免用户被“钓鱼”。通过技术手段加强支付环节的安全性,第三方支付机构责无旁贷。PayPal通过技术手段,始终将风险控制在千分之二点五以下,并凭借安全性赢得了市场。目前,国内的第三方支付企业也纷纷通过各种技术手段应对安全威胁,对安全方面的投入达到了千万元以上的规模。此外,很多第三方支付企业成立了支付安全中心,专门加强安全方面的管理。
据易宝支付风险控制部门负责人邓楠介绍,易宝支付目前在以下四个方面保障网络支付安全:核实下订单的IP地址和支付货款的IP地址是否一致;跟踪订单支付时间,支付时间过长则被判定为异常交易,易宝支付将提醒用户谨慎交易;推出浮动的带有图片的验证码,验证码跟背景的提示信息不可分割,使木马不能对图片进行更改;跟360公司等安全厂商合作,及时举报钓鱼网站。“2011年,易宝支付遇到的网络诈骗约有3000例,占全部交易的万分之二。”唐彬称,“这已经低于业界万分之五的平均水平了。”
【关键词】电子支付;网络安全;问题;对策
电子支付的出现,极大的便利了人们的工作与生活,因此依托网络,进行安全的电子支付工作,是当前人们关注的焦点问题。
1电子支付网络安全概述
1.1电子支付概述
电子支付是人们进行电子商务、日常生活消费的一个关键环节,其主要指的是电子交易的当事人,例如:消费者、商家、金融机构,这三者之间,通过网络电子支付的手段,对货币、资金进行的流通,进而实现支付的一种形式[1]。
1.2电子支付带来的网络安全概述
目前电子支付带来的安全隐患,主要包括技术层面、非技术层面两个方面。技术层面的安全隐患主要是:对于具有电子支付功能的计算机系统,进行的静态数据攻击(口令猜测、IP地址的欺骗、制定路由进行信息的发送),以及动态数据攻击(主动对其数据进行攻击、攻击者对于资金信息进行监控,进而被动的信息破坏),如图1所示。非技术层面的安全隐患主要是:网络交易支付款项存在着较多的安全风险,且未及时加强监督管理;基于网络的电子交易缺乏完善的法律体系,进行支付安全的保护
2基于电子支付时代下的网络安全问题以及改进对策分析
目前电子支付下网络安全问题频发,给人们的财产安全带来了隐患,本文以第三电子支付平台-支付宝、微信支付为例,分析了当前形势下的网络支付安全对策。支付宝是我国目前最受欢迎的电子支付形式之一,它可以为资金交易的双方提供代收、代付的中介服务,以及资金交易的第三方担保服务。微信支付,其是基于微信开放平台,发出支付申请的。
2.1密码保护
在现有的支付模式下,无论是支付宝电子支付、微信平台支付,还是其他的借记卡交易方式,都需要用户对其设置密码,保障资金的安全,因此加强用户的密码保护,可有效的规避支付中的安全问题。在电子支付的环境下,用户成功与商家进行资金交易的关键,就是密码的输入,因此可以使用数字签名的方法,进行网络支付。我国的银行机构,目前多使用了RAS算法,进行数字签名保护的。用户可以向银行提出申请,之后银行可以对用户发放一个数字证书,证书中包含着用户的个人信息,其在进行电子支付时,通过证书,可以向银行发送一个签名。比对一致后,银行可以根据客户的要求,进行网络电子支付。支付宝的款项支付也是如此,用户依托网络进行支付宝资金交易时,可以将需要支付的款项,从银行卡支付到第三方平台中去,由其代为保管,之后客户收到商家的货物且满意之后,可以通过支付宝账号,发出支付的指令,将货款支付给商家。微信支付,使用的B2C即时到账的接口,发出支付请求的,其还可以进行线下的POS机支付,即就是微POS。本地的生活服务商家,通过服务端口,输入相应的支付金额之后,就会生成二维码,用户使用微信扫码,即可进入支付页面,之后输入自己的密码,即可进行款项的支付。因此通过这样的数字签名的形式,极大的保证了用户电子支付的安全性.
2.2病毒预防保护
用户在进行网络电子支付时,常会遇到盗窃用户银行网银/支付宝账户/微信支付账户密码的行为。攻击者利用木马病毒,对用户的计算机系统进行攻击,使其能够对用户的访问页面、个人网银登录界面、微信登录界面、输入银行账号/支付宝账号/微信支付账号、输入的支付密码,进行监视,进而通过技术手段,伪造出相应的登录界面,诱骗用户在含有木马病毒的页面进行相应支付信息的输入,之后将其个人信息窃取。针对此种情况,用户需要对计算机系统加强病毒的预防维护。在计算机中可以安装病毒查杀应用软件,及时更新系统。在应用聊天工具时,如果接收到陌生信息或者邮件、网页时,切忌点开,或者是与发送方核对无误后,再进行点击处理。用户尽量不要在公共电脑上,打开个人的支付登录界面,或者是登入,避免公共电脑中病毒,对于用户支付宝/微信支付账户的入侵攻击。针对手机支付宝用户,其在接到陌生支付信息、电话时,要保持警惕,避免登入钓鱼网站,造成个人支付信息的泄露,给资金的使用造成安全隐患。
2.3法律保护
针对第三方交易平台中,存在的诸种资金使用问题,我国虽然采取了一些相应的法律规范条文,但是由于其在具体的使用中,依靠的是用户对于平台的信赖,以及用户与该平台之间的约定,来进行业务处理的,因此在很多方面,用户的个人资金权益,一旦遭遇到信任危机或是其他的问题,用户的个人权益,很难得到法律的保护。第三方平台,对于用户的大量资金代为监管,存在着资金被挪用、资金利息计算等问题,这些问题缺乏相关的法律保护,将会对用户的财产安全造成危害。例如支付宝,其主营业务是用户网络交易资金的代收、代管、代付,用户在使用资金的代管功能时,与该网站达成了以下的协议:用户可以向本平台,支付一定的资金,并且可以委托本平台对其资金进行保管。使用代付功能时,约定:用户可以要求本平台,使用存入的资金,对其交易项目,进行支付,如果是非经法律程序,以及非由于本条款约定事宜的交易,该项支付形式,不可逆转。这些协议,虽然符合当前用户、第三方支付的现状,但是从法律的角度来讲是存在着缺陷的。微信支付中,存在着未按照法律的相关要求,与用户签署相关的协议,也没有对安全验证的有效性,进行规定,其存在着交易金额超额准许的情况。因此针对上述问题,需立法部门及时制定相应的法律规范,对第三方支付平台进行有效的约束。此外,基于我国目前的电子支付形式,还缺乏一套较为完善的安全认证体系。
3结束语
在当今社会,电子支付给人们的工作、生活带来了便利,但是与此同时也带来了网络支付安全问题,因此需要支付平台、银行等各个机构以及用户,对电子支付的安全问题加强关注,及时找出改进对策,加以改进,避免安全问题出现。
参考文献
[1]刘剑.电子支付及其网络安全研究与实现[D].天津工业大学,2005.
关键词: 电子商务; 网络安全; 安全技术; 指纹识别
中图分类号: TN919?34; TP393.18 文献标识码: A 文章编号: 1004?373X(2013)20?0074?05
0 引 言
随着信息技术的飞速发展和互联网技术的全面普及,人们进行商务活动的模式也逐渐转向基于Internet开展的电子商务模式。越来越多的人意识到电子商务的高效便捷,电子商务目前正处于高速发展期,但发展中暴露的问题也日益凸显,比如网络支付安全问题。这也是人们在交易中最为关心的一个问题。为了确保整个电子交易过程中信息的安全性,建立一个安全、便捷的网络支付应用环境已经成为在电子商务应用中所关注的重要技术问题[1]。
据权威机构调查表明,目前国内企业发展电子商务的最大顾虑是网上交易的安全问题。因此,信息的安全是当前发展电子商务最迫切需要研究和解决的问题。Internet之所以能发展成为今天的全球性网络,主要是依赖于它的开放性。但是,这种开放式的信息交换方式使其网络安全具有很大的脆弱性。而安全问题是影响电子商务发展的主要因素之一。正是基于此,研究在信息化环境下的网络支付与结算中的安全问题就变得非常迫切和重要了[2]。
1 电子商务的定义
人们通常把基于Internet平台进行的商务活动统称为电子商务,英文Electronic Commerce ,简写为E?commerce。从狭义上理解,电子商务就是企业通过业务流程的数字化、电子化与网络化实现产品交易的手段。从广义上理解,电子商务泛指基于Internet 的一切与数字化处理有关的商务活动。因此它不仅仅是通过网络进行的商品或劳务买卖活动,还涉及传统市场的方方面面电子商务中的在线支付[3]。
1.1 电子商务的发展现状
据联合国贸发会议《2011电子商务发展报告》显示,到2011年底,全球英特网用户已达21亿之众。在中国,据中国互联网信息中心(CNNIC)最新的调查报告显示,截止2011年底,上网用户已达到5.13亿,互联网普及率攀升至38.4%,而1997年10月首次调查结果只有62万,十来年间增长了827倍;他们中的1.87亿已是电子商务的消费者,已成全球最大的电子商务消费群体国,预计2015年将成全球最大的电子商务市场。另一方面,电子商务交易额快速增长,2002年全球电子商务交易额大约为2.3万亿美元,到2011年将突破40.6万亿美元。据《据2011年度中国电子商务市场报告》数据显示,2011年,中国电子商务市场交易额达7万亿,同比增长46.4% 。预计2015年将达到26.5万亿。其中B2B电子商务交易额为6.02万亿,同比增长42.3%;网络购物市场(主要为B2C,C2C)交易规模7 735.6亿,较2010年增长67.8%, 网络购物市场交易规模占社会消费品零售总额的比重从2010年的2.9%增至2011年的4.3%,2012年这一比重将突破5%,全球最大的电子商务市场美国的电子商务交易额在全美零售额中的比例约达9%,英国的比例达到12%,在中国互联网用户人均每月网络消费则达260元,中国的增长空间巨大;2011年第三方支付达到22 038亿,增长率为118.1%。当今世界,除电子商务市场以外,其他任何市场都难有如此高的增长率,因此,其市场远景极为可观[4]。
1.2 电子商务在线支付
(1)发展概况
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向;它把信息网络、经济网络、物流网络和金融网络等多种网络信息紧密的结合在一起;它把人们的商务活动和贸易活动的方方面面透过网络连接在一起;它使得信息流、资金流能够高效快捷的流动起来;它改变了现有的消费模式和服务模式,改变了人们的传统思想观念,而随之而来的高效快捷的交易方式更是引起了人们极大的兴趣。
但是在交易活动中,对交易信息的是否安全可靠越来越成为人们关注的焦点。在线交易的安全保证与否将成为其能否健康快速发展的关键所在[5]。
(2)在线支付
电子商务的主要特征是在线支付。实现电子商务的关键是在保证在线支付过程中的安全性。为了保证在线支付的安全,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。在线交易首先要验证或识别参与交易活动的主体,比如商家、持卡消费者、授卡银行和支付网关的身份(身份用数字证书表示),以及保证持卡人的信用卡号不会被盗用,这样客户才可以放心的在网上购物进行在线支付[6]。
1.3 电子商务的安全现状
在现阶段,电子商务安全主要来自于以下下几个方面:首先是计算机网络安全,包括计算机网络设备安全、数据库安全、网络系统安全等。其目标是针对网络本身可能存在的安全威胁,实施有效方案增强网络安全,从而确保计算机网络自身的安全性。其次是电子交易安全,基于计算机网络安全,实现电子商务的完整性、保密性、可鉴别性、不可抵赖性和不可伪造性,进而保障电子商务过程的顺利进行。主要包括以下几个方面[7]:
(1)信息的截获和窃取,如果没有采取信息加密措施或者加密强度不够,攻击者可采用各种手段非法获取用户的机密信息。
(2)信息的篡改,电子的交易信息在网络上传输的过程中,可能被他人非法修改,重放(指只能使用一次的信息被多次使用) 或删除,从而使信息失去了完整性和真实性。攻击者利用各种方式对网络中的信息进行修改,然后发往目的地,破坏信息的完整性。通常采用的破坏手段有以下3种:
①篡改,即改变信息流的次序。
②删除,即删除某个消息或消息的其中某些部份。
③插入,即在消息中插入无用的信息,让接收方读不懂或者接收错误信息。
(3)信息假冒,攻击者通过分析所掌握网络信息数据的规律或对商务信息进行解密之后,冒充合法用户或者发送虚假信息来欺骗用户。其主要采用两种方式:
①伪造电子邮件,比如虚开网店,给用户发邮件,收订货单。
②冒充他人身份,比如假冒主机欺骗合法用户。
(4)信息破坏,包括网络硬件和软件的问题而导致信息传递的丢失与谬误;以及一些恶意程序的破坏而导致电子商务信息遭到破坏。
(5)信息泄密,主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。
(6)身份识别,如果不进行身份识别.第三方就有可能假冒交易一方的身份,以破坏交易.败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别,交易的一方可不为自己的行为负责任,进行否认,相互欺诈。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
1.4 网络支付的安全因素
在用户使用层面,业界普遍认为网上支付的安全性因素主要体现在以下三个特征上:
(1)信息的保密性(Confidentiality),能够保证信息不会泄露给非授权的主体,只有授权用户才能访问系统中的信息,而限制其他人对计算机信息的访问。保密性包括网络传输中的保密和信息存储保密等方面,保证支付信息与支付系统不被非授权者获取或利用。
(2)数据完整性(Integrity),保证支付信息与支付系统真实、准确、数据的一致性,防止信息的非法修改。包括身份真实、数据完整和系统完整等方面。
(3)身份的可识别性(Validation)。能够鉴别通信主体身份的真实性,保证交易双方的身份可以识别和确认,未授权的用户不能进行交易,并且不会拒绝合法主体对系统资源的正当使用。
从支付安全的发展现状来看,分析用户网上支付主要出现的安全问题,由技术系统导致的风险相对较少,更多的问题主要集中在相对缺乏防御技术保障的用户端层面。如被钓鱼网站欺骗,受木马程序窃取密码、虚假银行网站套取用户信息等,破坏了信息的保密性、数据的完整性和身份的可识别性,从而产生相应的安全问题[8]。
2 基于指纹识别和数字认证的网络身份认证技术
2.1 指纹识别技术
指纹识别学是一门古老的学科,它是基于人体指纹特征的相对稳定与惟一,这一统计学结果发展起来的。生物特征识别是一个引人注目的问题,它是证明个人身份的根本方法,也被认为是最好的生物认证方法。众所周知,世界上没有两片完全相同的树叶,人间没有两枚完全相同的指纹。
因而,指纹是一种随身携带的特殊“印章”,正因其“人有各异,终身不变,不怕丢失,铭记在身”的特点,被世界公认为个人身份识别中最可靠的依据。指纹识别技术不仅免除了人们记忆密码、预留印鉴的烦恼,而且方便快捷,只需手指轻轻一按,立即便可完成身份鉴别[9]。
2.2 指纹识别原理[10]
(1)集取(Capture):首先利用指纹扫描器,将指纹的图形及其他相关特征集取下来。
(2)演算(Algorithm):将图形及相关特征,运用程式运算及统计,找出该指纹具有所谓“人人不同且终身不变的特性”的相关特征点,并将之数位化,该数位化之数据自然仍 具有指纹人人不同且终身不变的特性。
(3)传送(Transmit):将数位化的指纹特征在电脑上运用各种方式传送,不论其传送方式 或加解密方式,均仍保留该特有的特性。
(4)验证(Verify):传送过来的数据再经程式运算、验证其与资料库中的比对资料的相似程度,达到一定程度以上的统计相似度,因其差异在某种极低的机率以下,即可代表这是由本人传送过来的指纹数据。故只要符合上述原理,中间无任何种转换上的漏失,且在一定的比对值以上,均可确认是本人的指纹。
2.3 指纹识别的优点
(1)识别速度最快,应用最方便;
(2)推广容易、应用最为广泛、适应能力强;
(3)误判率和拒真率低;
(4)稳定性和可靠性强;
(5)易操作,无需特殊培训既可使用;
(6)安全性强,系统扫描对身体无害;
(7)指纹具备再生性;
(8)可持续的发展性。
2.4 指纹识别的过程
指纹识别的过程,包括两个子过程4个阶段点。两个子过程是指纹注册过程和指纹识别过程。指纹注册过程包括四个阶段,分别是指纹采集、指纹图像处理、指纹特征值提取及建立指纹模板库。指纹识别的过程也经过四个阶段,分别是指纹采集、指纹图像处理、指纹特征值提取和指纹特征值匹配。指纹图像处理在两个子过程中是相同的。但指纹采集和指纹特征值提取,虽然名称相同,但内部算法流程是有区分的。在指纹注册过程中的指纹采集,其采集次数要多。并且其特征值提取环节的算法也多一些对特征点的归纳处理步骤。识别过程如图1所示。在计算机处理指纹时,只是对指纹的一些关键的信息进行匹配,其结果并不是100%的准确。
指纹识别系统的特定应用的重要衡量指标是识别率。主要有两部分组成:拒真率和误识率。两者成反比,用0~1.0或百分比来表达这个数。
2.5 系统的拓扑结构
系统的拓扑结构如图2所示。
(1)身份认证服务器:即身份认证的处理端,主要负责认证匹配,即根据认证算法最终决定是否通过认证;负责处理身份认证过程中所需的各种信息和数据;分析认证记录,实现对网络的全局监控,提供正常或异常的操作警告及报告;建立、管理和维护指纹库。
(2)用户端:负责获取用户的相关信息和采集初始数据,提取指纹特征值,并将用户信息与指纹特征值加密,然后传送到身份认证服务器。
(3)业务服务器:主要负责完成相关业务操作,根据具体应用领域安装对应的业务应用模块。
用户必须通过信息和指纹进行身份认证来实现访问业务服务器的相关信息资源。第一步,用户输入信息进行系统登录,根据指纹采集设备采集到的用户指纹数据,在用户端进行指纹数据处理,获得指纹特征值。第二步,将用户信息与其指纹特征值传送至身份认证服务器,身份认证服务器从数据库取出该用户的指纹模板与用户端传来的指纹特征值进行匹配,若匹配成功则允许用户进行业务操作,否则禁止该用户进行操作。
从以上步骤可知,身份认证的操作是在服务器端完成的,在操作过程中需要通过网络进行信息传输。而在传输过程中,用户的身份认证信息就有可能会被窃取或破坏,为了确保用户的身份认证信息安全到达服务器,就需在信息传输之前对身份认证信息进行加密处理。
2.6 系统的结构设计
整个系统结构如图3所示。系统采用标准的数字认证技术和指纹识别技术相结合的策略,用指纹作为身份认证地关键标示。并采用目前国际上采用的在线支付标准SET 安全电子交易协议为参照,组建电子商务支付平台。
基于指纹的电子商务身份认证系统与已经广泛使用的指纹锁和指纹登录系统等应用在系统结构和认证方式上有很大不同。在一般的应用情况下,指纹图像或模板实现存入本地指纹模板库,在使用时用户经指纹仪读入指纹图像,经处理后在本地匹配,匹配的结果决定用户是否合法。在网络环境下(B/S结构),用户(客户端)如果要访问远程服务器所管理的信息资源,在获得相关资源访问权限之前,必须通过指纹身份认证,所有的信息资源访问权限都在身份认证系统(服务器端)管理之下,未通过身份认证的用户不能访问信息资源。为增强系统安全性,在客户端和服务器之间传输的所有数据包括指纹模板、用户的访问请求、服务器的反馈信息都经过加密。同时,指纹模板及相关的用户认证、注册信息都保存在一个本地安全数据库中,此数据库只有本地进程能访问,以防用户信息泄漏[11]。
当模板内置于服务器时,通过客户端的指纹传感器获得用户的指纹信息,该信息被加上数字签名后传送到服务器,在服务器首先校验签名是否有效,再与预先注册的模板进行比较,并完成身份认证。
整个系统分为 4部分:
用户端:在用户终端上配有专用的业务软件负责业务信息及用户隐私信息的收集、管理及与银行服务器的通信;
数字认证:在用户端负责将提取到用户ID和指纹特征值进行加密处理,在服务器端负责对传输到服务器的已加密的身份认证信息进行解密处理,保证用户身份认证信息在网络上安全传输。
前置主机:用以完成多用户端与银行服务器的会话管理及认证管理,验证指纹及用户相关数字凭据,并且充当银行服务器的防火墙。
身份认证端:负责根据用户ID和指纹特征值进行用户身份认证,负责认证信息管理及认证记录分析。银行在完成业务时将回执返回给客户[12]。
2.7 基本工作流程
整个身份认证及支付系统以SET协议为参考,基本工作流程如图4所示。可分为私有密钥索取、信息发送、回执返回3个阶段。
3 结 语
本文提出了一种采用指纹识别与数字加密相结合的方法,实现网络身份认证在线支付的系统方案。使安全性比单独使用指纹或数字加密更高。当然任何的网络支付安全技术都不能保证100%的安全,为了更好的加强支付与结算的安全性,还必须有值得信赖的第三方支付平台来支持,并且把电子商务的相关法律落实到实处。电子商务发展趋势必然势不可挡,相信只要从立法和技术及观念等方面完善,一定会建立和谐的电子商务环境。
参考文献
[1] 柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
[2] 毛幼菊,陆音.基于指纹识别和数字认证的网络商务系统[J].计算机工程,2003(3):15?17.
[3] 吴教育,曾东海.基于指纹识别的网络身份认证系统计[J].计算机技术与发展,2007(10):63?65.
[4] 杨晋.现代电子商务安全技术研究[J].网络安全技术与应用,2007(7):90?93.
[5] 阚晓初.浅谈电子商务安全策略与技术[J].商场现代化,2007(3):13?15.
[6] 刘颖.电子商务网上支付与安全[J].天津职业院校联合学报,2001(1):30?32.
[7] 肖为.电子商务中的电子支付系统安全机制研[D].重庆:重庆大学,2004.
[8] 蒋赞赞,陈荣华,朱光宇,等.电子支付系统分析与比较[J].计算机工程,2000(11):61?63.
[9] YANG J, PAPAZOGLOU M. Interoperation support for electronic business [J].Communications of the ACM, 2000, 43(6): 39?47.
[10] SPILLAR Peter, LOHSE G L.A classification of Internet retail stores [J].Intemational Jounal of Electronic Commerce, 1997, 2(2): 29?56.
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
购物车(0)
