电子商务网络支付安全问题探析

[摘要]随着电子商务在我国的迅猛发展，它以其强大的生命力推动了我国经济的发展，但是支付安全却严重困扰着我国电子商务的发展，因此我们也应该重视网上支付潜在的安全风险，在进行网上支付的时候一定要保证网上支付的安全。本文从电子商务网络支付安全中存在的一系列问题出发，分析了网上支付的重要性并给出了解决办法。

[关键词] 电子商务 网络支付 安全

关于安全的[]随着电子的，在我们的，其，和的，，的。，我们必须支付给，的。在此，从电子的，的和到。

[键]e—； ；

目录

1. 引言 (3)

2. 电子商务网络存在的问题 (3)

2.1 网络技术和应用漏洞 (3)

2.2 人为因素 (3)

2.3 计算机病毒问题 (4)

2.4 黑客问题 (4)

3. 网上支付的风险类型 (4)

3.1 支付密码泄露(4)

3.2 支付数据被篡改（4）

3.3 拒绝付款（4）

4.电子商务网络的安全特性 (5)

4.1电子商务网络安全的有效性 (5)

4.2电子商务网络安全保密性 (5)

4.3电子商务网络安全的完整性 (5)

5.如何解决电子商务的安全问题（5）

5.1 严格保证信息系统的可靠性（5）

5.2 密码技术是核心，安全协议是桥梁（5）

5.3 系统安全管理是保障（6）

5.4尽力提供专业的安全技术服务（6）

6.保障网上支付安全的解决方案 (6)

6.1 支付过程中各方当事人身份认证及支付密码保护（6）

6.1.1 识别虚假网站 (6)

6.1.2 识别虚假短信（电子邮件） (7)

6.1.3 不要设置简单的密码 (7)

6.2 确保网上支付数据流的机密性和完整性（7）

6.3确保网上支付行为和内容的不可否认性 (7)

7.结论 (8)

1 简介

随着国内电子商务逐渐升温，网上交易的安全问题也越来越受到关注。中国互联网络信息中心（）发布的《2012中国互联网支付安全状况报告》显示，我国网上支付用户规模已达1.87亿，在网民中的普及率为34.8%。该报告显示，5.3%的网上支付用户认为网上支付不安全。在用户可能遇到的不安全事件中，钓鱼网站诱骗支付位居首位，占比64.4%。网上支付安全问题依然存在。通过钓鱼网站，极易造成网上交易用户的账户交易密码泄露，恶意攻击者甚至可以利用他人的资金进行网上交易。这一安全漏洞直接影响到电子商务网站的信誉，将对国内电子商务的发展产生重大影响。

2. 电子商务网络存在的问题

2.1 网络技术与应用漏洞

目前，电子商务应用的操作系统都不同程度地存在网络安全漏洞，如果不定期对系统进行升级维护，一旦系统受到攻击，很可能会泄露系统信息，甚至导致系统崩溃。另外，操作系统提供的免密码入口，对于系统开发者来说是一个方便的入口，但也成为黑客入侵的通道。很多操作系统包括各种常见的通用服务供用户使用，如网络中的磁盘共享、网络服务器访问、电子邮件、远程登录、ffp文件传输和WWW浏览访问等，都可能成为人们入侵的途径。

2.2 人为因素

如果责任心不强、工作态度不好，工作人员经常擅自离开工作岗位，使不法分子乘机窃取机密信息，破坏系统。如果保密观念不强或不懂保密守则，工作人员会随意允许无关人员进入机房，随意向无关人员泄露机密信息，随意摆放打印、复印的机密信息资料、写有系统密码和系统运行状态追踪的工作笔记、载有重要信息的系统磁盘和磁带等，造成严重后果。缺乏职业道德的工作人员有时会以超越权限的非法行为，擅自更改、删除他人的信息内容，或利用专业知识和职务之便窃取他人密码、用户标识，非法获取、贩卖机密信息。

2.3 计算机病毒问题

随着网络技术的广泛应用，通过电子邮件、压缩文件等方式传播病毒已成为病毒传播的主要方式。病毒的种类越来越多样化，破坏性越来越强，传播速度也大大加快。各种新型病毒迅速增加，而互联网的出现又为病毒的传播提供了最佳媒介。很多新型病毒直接利用互联网作为自己的传播渠道，很多病毒借助干网传播速度更快，造成了数百亿美元的经济损失。

2.4 黑客问题

随着各种应用工具的普及，黑客活动也开始盛行起来，不再是只有电脑高手才能成为黑客了，曾经在上闹得不可开交的那些黑手党小子们，并没有接受过什么特殊的训练，只是从网友那里下载了一些攻击软件，学会了如何使用，然后就在互联网上大干特干。

3. 网上支付的风险类型

3.1 支付密码泄露

用户通过浏览器输入的支付认证信息包括银行卡号和密码，如果攻击者通过窃听获取用户的支付密码，就可以通过网络进入持卡人的账户进行转账或消费，给持卡人造成损失。

3.2 支付数据被篡改

网络支付传输的是数据信息，在信息传输过程中，如果缺乏必要的安全防范措施，攻击者可以在网络传输中截取并修改支付数据，例如修改支付金额、修改收款人账号等，然后重新发送修改后的数据，达到牟利的目的。

3.3 拒绝付款

拒绝支付其实就是解决支付凭证的问题，否则，没有支付凭证，付款人可以拒绝进行资金划转操作，收款人也可以拒绝进行资金划转操作。

4.电子商务网络的安全特点

4.1 电子商务网络安全的有效性

电子商务以电子形式代替纸张，如何保证电子形式贸易信息的有效性是电子商务开展的前提。电子商务作为一种贸易形式，其信息的有效性将直接影响个人、企业或国家的经济利益和声誉。因此，需要控制和防范由网络故障、操作失误、硬件故障、系统软件错误以及计算机病毒等可能带来的威胁，确保贸易数据在一定的时间和地点是有效的。

4.2 电子商务网络安全保密性

电子商务作为一种贸易手段，直接代表着个人、企业或国家的商业秘密。电子商务建立在相对开放的网络环境之上，维护商业秘密是电子商务全面推广应用的重要保障。因此，必须防止信息在传输过程中被非法获取、被非法窃取。

4.3 电子商务网络安全的完整性

电子商务简化了贸易流程，减少了人为干预，但也带来了维护交易各方商业信息的完整性和统一性的问题，由于数据输入的偶然错误或欺诈，可能造成交易各方的信息出现差异。

5.如何解决电子商务的安全问题

5.1 严格保障信息系统的可靠性

可靠性一般指系统全天候运行的能力，强调系统不停机。为保证这一点，主机系统除了选择良好的硬件平台外，必要时还应采用容错、多机备份技术。对于联网的系统，还要求对通讯线路进行冗余备份。

5.2 密码技术是核心，安全协议是桥梁

密码是解决电子商务安全的核心技术，密码可以完成信息保密、身份认证、

完整性验证等是信息安全必不可少的关键任务。密码要想有效、合理、安全地保护信息安全，需要协议的支持。如果协议不完善，密码就不能发挥应有的作用，甚至攻击者可以通过协议漏洞绕过密码，直接威胁信息安全。

5.3 系统安全管理是保障

建立电子商务的生命保障，必须有信息安全保护的思想，确保安全意识和管理思想到位、落到实处；完善安全管理制度，配备专门的安全管理人员，逐步完善安全技术设施，使投入与所需的安全功能相适应。

5.4 尽力提供专业的安全技术服务

这是目前最有效的方法。由于我国计算机网络安全技术普及程度不高，技术人员短缺，从事电子商务的企业不太可能配备具有先进技术的安全管理人员，因此由专业公司提供网络安全技术服务是可行且必要的。主要的技术服务体系有：安全检测：即从各个技术角度对安全性进行全面的检查和测试。防火墙产品本身是否安全，功能是否齐全，设置是否正确等，都需要经过最严格的安全测试和检验。目前国内外都在研究实时在线检测报警系统的应用。这些由专业厂商开发的入侵检测系统为用户提供了完善的功能，可以实现自我检测或在入侵事件发生时提供报警。

6.保障网上支付安全的解决方案

6.1 支付各方身份认证及支付密码保护

建立第三方公正的CA认证中心，采用X.509数字签名和数字证书对交易各方进行身份认证，验证身份的合法性和真实性。作为付款方，要特别注意防止支付密码泄露，这是网上支付案件发生的主要原因。持卡人要注意的主要问题是：

6.1.1 识别虚假网站

消费者在提交重要信息时需要验证服务器身份，同时认准网站的域名，验证服务器证书最简单的方式就是点击提交重要信息的网页右下角的按钮。

服务器上有一个金色的小锁，点击它可以查看服务器证书的所有信息，包括服务器证书的颁发机构，证书的有效期等。除了服务器证书，还应该使用个人数字证书。

6.1.2 识别虚假短信（电子邮件）

持卡人收到任何与银行卡或支付相关的短信后，应当确认发送人的真实身份或短信内容。

6.1.3 不要设置简单的密码

不要使用简单的数字组合、生日信息或自己或家人的电话号码。此外，还要注意支付终端的安全性，比如不要在公共网吧进行网上支付、在支付终端安装防病毒、防木马软件等。同时，在其他地方输入支付密码时也要注意不要被别人轻易偷看或拍摄，不要把密码记录在别人容易看到的纸上。

6.2 确保网上支付数据流内容的机密性和完整性

确保网络支付数据流内容的保密性和完整性。使用相关加密算法对资金流数据进行加密，防止未经授权的第三方获取数据的真实含义。例如，使用DES私钥加密、RSA公钥加密、数字信封等保密方法。并使用数字指纹算法等方法确认资金流信息（如支付指令）的完整性。

为了防止支付数据被篡改，网络支付平台需要采取全面的信息安全措施。目前，数字签名技术被广泛用于确认电子支付信息的真实性。它可以保护数据不被未经授权的人创建、嵌入、删除、篡改、重放等，并完好无损地到达接收者手中。数字签名在保护数据完整性方面有两个功能。第一，它可以指示支付数据的特征值。第二，它可以指示谁生成了该特征值。

6.3 确保网上支付行为和内容的不可否认性

当网上支付的交易双方对某项交易产生异议或纠纷时，可以采用数字预约、数字指纹、数字时间戳等技术，配合CA中心实现不可否认性。

拒绝付款是网上支付服务提供商（商业银行或专业网上支付公司）和收款人

通过数字签名可以解决支付拒付的问题。当我们在银行柜台存取款，或在POS机刷卡、在ATM机存取款时，银行都会给你一张付款收据，一旦发生纠纷，你可以凭收据作为交易操作的凭证。对于互联网支付，数字签名记录可以起到“电子收据”的作用。

为解决付款方拒付的问题，商业银行在付款时要求付款方签名确认付款，商业银行保存签名结果和付款记录，一旦付款方拒付，商业银行可以出示付款指令签名作为证据。为解决商业银行拒绝将结算资金划入收款方账户的问题，收款方要求商业银行提交资金划转操作记录的数字签名，收款方验证签名结果有效后即确认已收到款项，方可与付款方继续进行后续业务活动，否则收款方拒绝开展后续活动。

7. 总结

本文分析了电子商务网络存在的问题及网上支付的风险。电子商务的主要特征是网上支付，实现电子商务的关键是保证网上支付的安全。只要有足够的安全意识和相应的措施，电子商务网上支付的安全性基本可以得到保证，但不是100%绝对安全，而是相对安全。虽然现在的安全技术已经成熟，但是商业银行、第三方支付平台等支付服务商都采用了各自的安全解决方案，安全漏洞在所难免。网络安全是一个非常广泛的问题，关系到企业的生存和发展，网络安全将越来越受到人们的重视。

参考：

[1]周克锋.浅析电子商务中的网络安全问题及防范措施[J].商场现代化，2006(5):89.

[2]袁志锋.PKI技术在电子商务安全中的应用[J].黑龙江科技信息,2008,(28)

[3]杨莉莉.浅谈电子商务的网络安全与技术[j]保障信息网络安全，2010，（07）