电子支付安全技术研究.

电子支付安全技术研究

[摘要] 随电子

[关键词] 电子支付安全技术分析

一、电子支付的概念

随着互联网的迅猛发展,网络商务作为一种新贸易形式正在逐渐被引入成为商务的一种大发展趋势,网金融服务也已经开始在世界范围内如火如荼地开展起来。网络金融服务包括人们的各种需求，如网上消费、家银行、个人理财、网投资交易、网保险等。这些金融服务的特点是通过电子货币进行网上电子支付与结算。“电子支付”，顾名思义是通过网络进行货币支付。“电子支付”就是电子商务发展的一个关键环节。电子货币是利用银行的电子存款系统和各种电子清算系统记录和转移资金的。电子货币的优点是明显的，彻底地改变了银行传统的手工记帐、手工算帐、邮寄凭证等操作方式，使用和流通更方便，而且成本低，尤其是大笔的资金流动。同时，电子货币的广泛使用也给普通消息费在购物、饮食、旅游和娱乐方面的付款带来了更多的便利。

目前，电子支付工具主要包括:电子现金、电子零钱、安全零钱、电子信用卡、智能卡(IC卡）、在线货币、数字货币和网络货币等。其支付信息是通过安全的网络传送到网络银行或相应的处理机构来实现电子支付。电子货币最大问题是安全问题，电子货币没有具体的实物形态，完全凭计算机里的记录。那么，一旦银行计算机系统出现故障，或遭受恶意攻击就可能造成数据丢失、篡改，产生严重的后果。

由于网络环境的开放性、信息传递的快捷性,电子支付手段的应用,大大丰富和提高了商品交易的营销宣传,扩大了贸易范围、增加了贸易伙伴参与、沟通和交易机会,企业的经营范围扩大,商务效率和效益提高。但电子商务带来效益的同时,也伴随着全新的商业风险,即存在交易,总会有风险存在。

二、电子支付不安全因素分析

从我国当前的电子支付实践来看，由于开展网络银行业务的支付业务时间短，结合具体国情在中国实施电子商务支付存在的问题主要有如下几点: 1社会信用度欠缺，制约电子支付系统的发展

互联网具有充分开放的特点，网上交易双方互不见面，交易的真实性不易考察和验证，对社会信用有较高要求。我国目前的信用体系发展程度低经济活动缺乏可靠的信誉基础，社会诚信观念有待加强。另外，企业和个人客户资信资料零散不全，海关、税务等部门与银行信息不能共享，银行对客户的资信情况不能完全了解，也制约了电子商务支付系统的发展。

2.经法律体系不健全，执法环境权威性欠佳

目前国内有关法律法规对网上交易的权利和义务规定不清晰，缺乏网络消费和服务权益保管理规则，没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面，还缺乏比较成熟的经验，在出现争端时，责任的认定、划分、仲裁结果的执行等法律问题在现有法律框架下难以解决。另外，我国网络银行的信息跟踪、检测、信报告交流制度的相关法律规则都未建立，在利用网络签订经合同、提供金融服务和保护银行与客户双方权利

的过程中存在诸多尚待改进之处。如网络提供商的侵权行为:(1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故意)，直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。(2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。(3)由于电子现金可以实现跨国交易税收和洗钱将成为潜在的问题。现在，通过互联网进行跨国交易时的国际税收问题已经发生，将来会更加突出，为了解决这个问题，流通时不会留下任何记录，税务部门很难追查，所以即使将来调整了国际税收问题，由于不可跟踪性，电子现金很可能被不法分子所逃税。电子现金使洗钱变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹，如果调查机关想要获取证据，需要检查网上所有的数据并破译所有的密码，这几乎是不可能的。目前惟一的办法是对立一定的密钥托管机制，使政府在一定条件下能够获得私人的密钥，而这又会损害客户的隐私权，但作为预防洗钱等违法行为的措施，许多国家已经了这种做法。

3.银行内部决策机制不畅通，国际化程度低

国内网络银行决策大体分为两种，一种是由传统银行业务人员负责制定发展规划，另一种是由技术人员决定网络银行的发展方向。两种决策模式都需要业务、管理和技术的有机结合，问题的关键在于两种模式中，不论是业务人员还是技术人员，基本都从事实务工作，成对当前自己着手的工作情况很了解，但对业务发展缺乏高瞻远瞩。

4.技术上存在许多问题，存在潜在的高风险

由于国内银行的关键部件依赖于国公司，网络客户端到服务端电脑又都储存着重要的信息，因此信息资料被修改和破坏的概率不可低估。国内银行重视硬件的采购和网络的构建，对技术人员的业务培训还不够，基层银行普遍存在技术人员知识更新缓慢的现象。国外网络银行对一些敏感的数据通常采取严格的保护措施，而国内银行界目前缺乏机密信息的加密存储意识，部分银行没有建立交易业务数据的管理制度，无法对交易业务数据实施严格的安全保密管理。致使出现商业组织的侵权行为和个人的侵权行为以及部分软硬件设备供应商的蓄意侵权行为。如专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。如个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。如某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。