時間:2024-01-26 14:40:12
導語:在網絡支付安全的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
從信息安全的角度來看,要關注網絡支付的數據信息安全。隨著信息技術的發展,對支付信息進行大量數據篩選、分析、挖掘、統計的需求和能力不斷提高。支付交易產品或沉淀的數據信息分析會成為未來網絡支付領域的一個非常巨大且具有很高商業價值的金礦。當然支付交易信息的分析必須要嚴格遵循數據信息安全的基本規則,切實保護客戶的信息。
要從前瞻性的角度,關注網絡支付安全對網絡支付行業國際競爭力的影響。網絡跨境支付發展到一定階段后,游戲規則及安全要求發生了變化。大家非常關注的華為、中興這些中國的IT企業被美國眾議院情報委員會認定為可能會威脅美國國家通訊安全。網絡支付是否會遇到及如何避免這些問題,也關乎到中國的互聯網企業的國際競爭力。另外,國際互聯網、銀行卡支付機構和組織之間的安全合作也很重要。
網絡支付安全和效率的關系是網絡支付發展中的關鍵問題。效率和安全的平衡是網絡支付的核心,過于關注安全會大幅度降低企業的經營效率,給消費者帶來不便;忽略了安全同樣會給商戶、用戶、支付企業帶來損失。亞洲地區人口稠密、信用體系不太健全,安全投入相應較多,風險控制技術創新也比較領先,適當地允許一定的風險水平,有助于激勵企業向風險縱深處探索、創新,研發更加有效的新型安全技術。
1 在線支付網絡存在的安全風險分析
1.1 宏觀因素的影響
在線支付同樣會受到經濟波動的影響,宏觀的經濟環境在很大程度上決定著電子商務的發展速度,經濟低迷時,電子商務也可能因此受到影響。此外,由于與在線支付網絡本身相關的法律體系與監管系統還尚未完善,未來出臺的新法規政策很有可能給其帶來一些損失。
1.2 業務本身的安全風險
由于網絡支付結算系統本身的特性,無論是偶然的業務疏忽或是自身的操作失誤都可能帶來巨大的損失;網絡支付交易的虛擬性致使人們很難驗證交易對象的真實身份以及信用歷史等,并且由于目前相關的法律法規尚未完善,人們很有可能因為交易對象身份的不確定性而面臨損失;電子商務的發展一定程度影響了紙幣的流通速度,如果紙幣發行量因此減少,也就意味著在線支付網絡中變現能力的減弱,并且由于網絡還存在病毒,系統錯誤等等問題,這都會影響到在線支付網絡中財產變現的及時有效性;由于各國目前對于在線支付網絡的法律法規制定尚未統一,國際間的在線網絡支付存在很大的風險;在線支付網絡所依靠的虛擬銀行,用戶與其存在著嚴重的信息不對稱性,用戶如果不慎選擇了存在問題的虛擬銀行進行交易,就很有可能出現風險;我國的網絡銀行發展才剛剛起步,法律法規與監管制度的不完善性導致許多監管空白區的存在,如果有不法分子在這些空白區做手腳,就很有可能導致用戶在使用在線支付網絡時財產遭受損失。
2 針對在線支付網絡存在的安全風險所制定的有效防范技術
2.1 在宏觀上做好監管工作
所謂宏觀做好監管工作,就是從國家層面來做好在線支付網絡安全的監管工作。我國相對于其他發達國家在線網絡支付起步較晚,發展時間也較短,要想做好在線支付網絡這一行業,保證在線支付網絡的安全,國家監管機構必須要做好自身的工作,并對交易機構的準入與退出制度做好明確的規定,其次,我國可以建立和完善網絡支付的法律法規,對于一些情節嚴重的網絡支付犯罪一定要嚴懲不貸,防止因為法律的空白給一些不法分子鉆漏洞的機會,國家還可以針對我國在線網絡支付的實際情況來制定出完善的管理制度。我國的相關的監管機構一定要負起自己的責任,做好其中的監管工作,一旦發現問題要及時的指出并上報,要規范用戶和機構雙方的權利與義務,做到交易過程中的公正與公平。最后也是最重要的一點就是第三方支付機構一定要做好保密的工作(例如,客戶的信息、交易的數據),降低在線網絡支付的風險。
2.2 從安全技術方面做好防范措施
由于線上交易量的增加,在線網絡支付的安全問題受到了越來越多的人的關注,我們可以通過提高和完善安全技術來提高在線網絡支付安全系數。通過提高鑒別認證技術、生物特征技術以及加密技術來對網絡層進行加密,各個商業銀行可以在提高支付結算的安全技術上進行研究并對其進行升級,避免支付結算中出現一些問題從而造成不可挽回的損失。此外,支付網絡系統一定要做好訪問控制工作,系統要對訪問的人員身份進行審核,技術人員可以通過設置訪問權限、防火墻,來禁止非法人員、病毒等入侵系統。各個銀行可以針對我國目前一些計算機病毒來安裝專門的殺毒軟件,定期的給在線支付網絡系統殺毒,排除一些安全隱患。此外,數字簽名等加密協議的應用也有效提升了支付的安全性,互聯網是開放性的網絡,消費者在傳輸交易指令、密碼等敏感信息的通信過程中,會有破譯、篡改以及截獲的可能性,為了避免該種問題的產生,網上銀行都會使用加密傳輸交易措施,應用協議法來保障信息傳遞的安全性,這也是網絡銀行的一種重要安全策略,目前,網上銀行常用的接入協議主要為SET(Secure Electronic Transaction)與SSL(Secure Sockets Layer)。SSL是國際上最早應用于電子商務的一種網絡安全協議,它最初是由網景公司設計開發,其目的主要是提高應用程序之間的數據的安全性。
2.3 加強我國網絡制度建設
我國網絡在發展過程中存在著很多不完善的地方,因此在使用的過程中也存在著很多的問題。我們可以不斷完善我國的網絡制度,提高在線支付網絡的安全性。我國可以制定一個統一的銀行發展的標準,當然也可以與國外合作,借鑒國外一些先進的制度或者與國際的銀行發展制度,最大限度提升在線支付的安全性。
2.4 消費者要樹立起網絡安全意識
從已經曝光的網上購物安全事件中來看,由于賬號密碼泄漏引起支付安全問題占據了其中的一大部分。在網絡世界中,有大量的黑客和病毒程序,這些程序都會威脅用戶的信息安全,為了降低安全風險的發生,必須要幫助消費者樹立起網絡安全意識,養成良好的操作習慣,杜絕安全問題的發生。例如,不在網吧等公共場合中使用網銀,不輕易告訴他人自己的身份證與銀行賬號,不輕易點擊陌生的網頁鏈接,不在無名網站上下載聲音視頻文件,安裝好防火墻與殺毒軟件,每天定時殺毒。
【關鍵詞】SET Web服務 網絡支付
1 引言
自互聯網誕生以來,通過網絡達成傳統商務貿易就是人類一直孜孜不倦的追求目標。而在互聯網發展到今天,人們對電子商務的認識早已經遠遠超過以往僅僅代替傳統商務業務的需要了。
本文將就在新的網絡條件下SET協議的應用以及對其不足進行完善和改進,尤其針對避免網絡貿易上的虛假貿易提出自己的建設性意見。
2 SET協議及不足
SET協議(Secure Electronic Transaction安全電子交易協議)最早由Visa和MasterCard提出,后來得到IBM和Microsoft支持,由幾家公司共同聯合開發。這一協議主要針對信用卡用戶而設計,它不僅制定了相應的加解密算法、認證方法等技術手段,而且還詳細規定了客戶、商家、銀行等各方的數字證書的含義、響應動作以及與交易相關的責任認定等。
2.1 SET協議模型
SET協議的支付模型如圖1所示,交易的每個階段包括了身份認證、信息的加解密、數字簽名/驗證、數字信封、消息摘要生成/驗證等過程。
2.2SET協議的不足
因為具有高安全復雜性,造成了SET協議在應用上的較高成本代價,以及完成一個交易的較高時間代價。這就使其普及應用受到了很大的影響。隨著計算機成本的降低和計算機網絡的普及,相信SET協議在互聯網上的應用又將活躍起來。
不過,當前SET協議,就如何在支付的時候更大的保護交易雙方的利益,防止虛假交易和洗錢活動在網絡的掩護下肆虐進行,還是無法解決這樣的問題。而就虛假交易來說,現在各國銀行也無法判斷,僅僅是通過限制網上貿易的額度對這些問題進行象征性的管制。這些都是現有SET協議本身所無法克服的問題。
我們將在接下來的部分討論利用當前的流行技術Web Services來融入第三方物流信息,以彌補對以上SET協議在這些方面的不足之處。
3 Web服務
3.1 Web服務模型
Web服務體系結構基于三種角色(服務提供者、服務注冊中心和服務請求者)之間的交互。圖 2顯示了這些操作、提供這些操作的組件及它們之間的交互。
4 改進后的模型設計
僅僅通過對SET協議本身加解密算法或者認證手段等等技術條件進行增減或效率改進是很難針對防范虛假交易和洗錢活動的。我們在這里提出一種將可信賴的第三方物流承運商加入到整個交易流程中來的辦法,不但可以達到比設定交易資金限額方法更有效的結果,而且還能更大的保護交易各方的利益,盡量避免交易中產生的不必要糾紛。本文設計的改進后的模型具體如圖3所示。
其中客戶與商家進行訂單協商的過程因與圖1重復,故這里就直接從商家向客戶發出購物響應后開始描述,主要過程如下:
(1)商家向客戶發出購物響應后,客戶的購物行動基本完成,商家按照客戶訂單信息備貨,并通知承運商到商家倉庫收貨;
(2)承運商到商家確認收貨,并將貨物的物流信息以Web Service的方式提供給商家服務器,以便商家和客戶實時跟蹤自己的貨物狀態,以及有利于客戶安排接貨;
(3)承運商將貨物運送到客戶地址,通知客戶準備接貨;
(4)客戶驗貨并確認收貨,承運商通過移動商務系統或本地網絡實時地將信息傳送回承運商服務器;
(5)承運商將客戶確認收貨信息(包括承運商的證書)通過Web Service的方式實時回送給商家,以便商家在第一時間向支付網關發出獲款請求;
(6)商家向支付網關發出獲款請求,其中包括承運商的證書和承運商發送貨物的track number,支付網關檢查商家和承運商的證書,并以調用承運商服務器提供的Web服務驗證貨物發送情況;
(7)承運商服務器提供相應的貨物狀態信息查詢服務,支付網關獲得相關確認后判斷這是一次真實的交易,然后向銀行發出放款請求,得到響應后支付網關立即向商家作出獲款響應。
這樣,整個交易至此就完全結束了。
而在這個模型中,承運商并不需要像SET協議里那樣提供完整的加解密、數字信封、數字摘要、雙重簽名等操作,而只需通過注冊相應的Web服務,然后向支付網關提供自己的數字證書就可以了。所以其帶來的系統開銷和網絡開銷并不太大。
最重要的一點是,有這樣的一個可信賴的第三方承運商的參與,我們就可以大大提高防范虛假交易和洗錢活動的效率。尤其針對SET協議有相當大的意義,因為信用卡網上支付是SET協議的最大支持對象,而通過虛假網上實現信用卡套現或洗錢的活動確實有些防不勝防,如果采用本文的模型那么實現這樣的防范將相對容易得多。
5 結束語
電子商務安全涉及到方方面面,而其中支付的安全(包括技術安全和社會安全)是一個非常重要的課題。本文僅就SET協議在提供更好的交易各方利益保護方面和防范虛假交易方面提出了相應的改進模式,而其中主要涉及到對Web Services的應用。相信利用Web服務和分布式網絡架構提出電子商務新的支付模式和開發新支付平臺在不遠的將來就會出現,這也將推動整個電子商務走向新的。
參考文獻:
[1]柯新生.網絡支付與結算.北京:電子工業出版社,2004,182-194.
[2]International Technical Support Organization,Secure Electronic Transactions:Credit Card Payment on the Web in Theory and Practice,IBM Corporation, 1997, 17-49.
[3]蘇成,胡慶鋒,趙飛芙.SET協議的分析與改進.計算機時代,2004,(3):20-21.
[4]陳炎,楊庚.基于Web Services的電子錢包系統的分布式解決方案研究.南京郵電學院學報,2005,(1):42-45.
[5]馬強,李燕軍.網絡安全之GAP技術研究.
當前,智能電網的研究方興未艾,一定程度上講,智能電網代表了未來電網的主流發展趨勢。
從近年電力系統科技發展的脈絡上看,廣義而言,可以認為智能電網有兩大起源:文提出的數字電力系統理念,其重點在于輸電網的智能調度與控制文提出的“友好電網”,其重點在于建設互動型配電網。尤其是文工作的提出,揭開了數字電網乃至智能電網研究工作序幕;2006年國家電網公司實施SG186工程,開始進行數字化電網和數字化變電站的框架研究和示范工程建設,南方電網公司委托清華大學開展數字南方電網研究;2009年,國家電網公司提出了建設我國“堅強智能電網”的宏偉藍圖。國際上,歐美等國紛紛出臺了各自的智能電網發展計劃。與此同時,國內外學者從各個方面對智能電網基礎理論和關鍵技術進行了深人研究,取得了一大批重要成果,其中多指標自趨優運營能力被認為是智能電網與傳統電網的最大區別。
毋庸置疑,智能電網的建設進程伴隨著電力系統中數字化和信息化程度的不斷提高,系統中的能量流和信息流的交換與互動亦日益頻繁,最終使得未來智能電網在很大程度上將發展成一類由信息網和物理(電力)網構成的相互依存的二元復合網絡(cyber-physicalpowergrid,CPPG)。在此背景下,研究信息網和物理網相互依存的新一代電力網絡的拓撲結構特征、連鎖故障傳播機理、安全水平和生存能力以及相應的預防控制措施在理論和工程兩方面均具有重要意義,這主要緣于以下3方面的因素。
(1)智能電網在規模和動態上的復雜特性對復雜網絡理論本身的發展提出了更高的要求。隨著智能電網建設的深人,CPPG的網絡規模不斷擴大、網絡動態的新特性日益增多,從而導致CPPG的網絡復雜性持續增強,主要體現在如下兩個方面:
(2) CPPG是由信息網/物理網耦合而成的超大規模二元復雜網絡,它對復雜網絡理論研究提出了新的重大挑戰。
1998年發表于Nature上的題為《“小世界”網絡的集體動力學》(collectivedynamicsof‘small-world,networks)和1999年在Science上發表的題為《隨機網絡中標度的涌現Kemergenceofscal?inginrandomnetworks)的文章分別揭示了復雜網絡理論的小世界和無標度特性,開創了復雜網絡理論研究的新紀元。基于統計特性與結構模型,研究者對網絡性能進行了詳細的分析,并在網絡的社團結構、脆弱度評估和傳播動力學等方面取得了較大的進展。2009年7月Scence雜志出專欄介紹復雜網絡理論的新發展,例如將其用于預測種族沖突1和識別恐怖組織中的關鍵人物等問題。特別需要指出的是,復雜網絡理論在電力系統巳得到成功應用,文基于該理論建立了電力系統自組織臨界一般理論,包括電網演化機制模型、連鎖故障模擬方法、電網脆弱度及風險評估方法和電力系統應急管理平臺4項創新。
(3) 未來電網若干關鍵功能,如對分布式發電的接納、需求側管理等,無疑加大了CPPG在動態特性上的復雜度。
在資源和環保的壓力下,以新能源發電為主體的分布式發電(distributedgeneration,DG)成為電力系統發電的一個重要方向。通常位于近負荷側的分布式發電改變了傳統電力系統中功率單向流動的特點,也使得電力系統的負荷預測、規劃和運行與過去相比具有更大的不確定性;同時分布式發電的加人,必然需要增加大量通信裝置以實現分布式發電的自身控制以及與傳統電網的協調。
此外,借助于先進的測量和通訊系統,基于政策和電價激勵的需求側響應技術被認為是提高系統可靠性和實現節能環保的有效方法,如通過推廣電動汽車平抑負荷峰谷差和減少系統備用,即是一種用戶參與需求側響應的有效方式。
綜上所述,現有工作的研究對象無論其規模和結構多么復雜,大多針對單一復雜網絡,或者信息網,或者物理(電力)網,而對于CPPG這類二元網絡的復雜網絡特性研究則鮮有先例可循,因此,迫切需要發展現有的復雜網絡理論,以滿足未來智能電網發展的需要。
(4)智能電網主要目標的實現需要信息技術的發展來提供保障。
信息化在實現智能電網主要目標(靈活、高效、可持續、節能環保、高可靠性和高安全性等)的過程中起著舉足輕重的作用。然而,目前大多數的研究和實踐更加側重于信息化引人新功能的實現和挖掘,而對信息化背景下智能電網的安全性問題則缺乏足夠的重視。信息化程度的提高給電網帶來諸多安全隱患,如信息采集環節、傳輸環節、智能控制和電網與用戶互動環境下均存在不同程度的安全風險。
信息化帶來的種種安全隱患或危害,均可視為對信息網的有意或無意攻擊,其影響一般表現為信息網的相繼故障從而可能引發信息網癱瘓,嚴重時故障可能穿越信息網邊界波及物理網,進而導致物理網連鎖故障。極端情況下,相繼或連鎖故障在信息網和物理網之間交替傳播,嚴重威脅電力系統安全運行。
(5)對信息安全問題的關注應貫穿智能電網重大工程實踐的全過程。
在智能電網重大工程建設過程中,評估系統運行風險、辨識系統薄弱環節并制定相應的預防控制措施貫穿全程,需要充分考慮CPPG中信息網與物理(電力)網緊密融合后帶來的新變化。
(1) 信息網比物理(電力)網的運行風險更高。
文中指出,廣義電力系統是由電力系統(EPS)、信息通信系統(ICS)和監測控制系統(MCS)融合而成的3S系統:這里的ICS/MCS即為本文所指的信息網,它是安全供電不可或缺的工具;由于ICS/MCS存在的潛在漏洞、缺陷和故障,使其成為3S系統安全風險的主要來源。如果信息網遭到攻擊,則可能給物理(電力)網造成嚴重的故障,使得電力系統出現大面積停電事故或重要電力設備損壞。例如,2010年9月,伊朗布什爾核電站的計算機系統遭Stuxnet蠕蟲病毒攻擊,大大延遲了伊朗的核進程[27]。由此可見,智能電網的安全性不容忽視,而信息網的安全性則是重中之重,主要原因有:從網絡本身受攻擊的容易程度來看,信息網更容易受到攻擊從網絡的相互依賴程度來看,物理網對信息網的依賴程度更大從網絡故障影響的范圍來看,信息網故障的可影響范圍更廣。
(2) 保障CPPG中的信息網安全是全面建設智能電網的前提和必要環節。
建立信息/物理網一體化的新一代電力系統是未來電網發展的一個重要趨勢,而保障其中的信息網安全則是全面建設智能電網的前提和必要環節,主要體現在兩個方面:一方面,在建設CPPG之前考慮系統的安全問題,有利于清晰認識系統建成后可能面臨的各種風險;一方面,在認知系統安全水平以及可能面臨的各種攻擊的基礎上,從制定系統安全標準和政策法規等方面做好事先的安全預防,以保證系統的安全運行。
綜上,可以得出以下結論:
信息化在提升電力自動化水平、提高社會生產效率和改善用戶體驗的同時也給智能電網的安全性帶來了諸多隱患。一方面,信息網本身存在許多尚未解決的安全性問題,當電力系統高度信息化后,將在電力系統中埋下許多安全隱患[28—31]’另一方面,信息網和物理網作為未來智能電網的兩大主要組成網絡,其相互影響和相互作用機理尚不明確,該復合網絡的脆弱性有可能被攻擊者加以利用從而造成更大的危害。因此,有必要對智能電網中存在的信息安全隱患及其對全系統存活性的影響加以討論并思考相應的解決方案。
1國內外研究現狀
目前國內外對CPPG的研究尚處于起步階段,主要集中在電力系統信息安全標準的制定、CPPG基本框架的建立以及可靠性等幾個方面,詳述如下:
(1) 電力系統信息安全標準制定
國外在電力系統信息安全標準的制定方面起步較早:2006年,北美電力可靠性委員會(NERC)為保證電力系統中所有實體均對北美大電網的可靠性承擔部分職責,同時保護可能影響到大電網可靠性的重要信息資產,制訂了信息安全標準CIP-002-1?CIP-009-1;國際電工委員會針對數字和通訊安全提出了IEC62351標準。
國內目前尚未明確制定信息安全的相關標準,只是為保障信息安全提供了一系列原則。文[5]提出智能電網信息安全工作一定要堅持安全分區、網絡專用、橫向隔離和縱向認證的原則;同時對大量分散用戶的信息介人,也要采取類似方法,將其影響范圍局限在變電站甚至更低的等級,以防止對整個電網產生災難性的后果。文[36-38]強調在智能電網的研究中,應特別關注建立電網信息支撐平臺的必要性,這是因為開放的信息系統和共享的信息模式是智能電網的基礎,開發與建造一個能夠覆蓋電網全域的、統一的信息系統是智能電網發展的關鍵所在,而要消除信息共享障礙就必須對信息進行標準化和規范化。
(2) 信息/物理網安全性研究框架
文中將智能電網的信息安全相關問題分解為如何保障智能電表(AMI)和無線網絡的安全,以及如何制定政策獎勵維護網絡安全的電力生產運營商等。
文中提出采用由安全管理、安全策略和安全技術組成的電力信息系統安全防護總體框架,其中安全管理包括組織保證體系、安全管理制度及安全培訓機制;安全策略分為分區防護和強化隔離;安全技術則涵蓋身份認證、訪問控制、內容安全、審計和跟蹤及響應和恢復等。
文[1]提出統一信息系統必須包括以下4個獨立存在又相互依賴的信息處理子系統:用于存儲和管理電網中的所有信息數據的分布和分層的數據庫群子系統;分布和分層的用于電網控制與管理的任務處理應用子系統;分布和分層的電網狀態檢查和監視應用子系統;分布和分層的電網全域可達的人機信息交互子系統。
基于信息物理系統(cyberphysicalsystem,CPS)的概念和電力系統的特點,文[42]構建了電力CPS的思路和框架并提出建設電力CPS面臨的挑戰,認為電力CPS主要由大量的計算設備(服務器、計算機、嵌人式計算設備等)、數據采集設備(傳感器、PMU、嵌人式數據采集設備等)和物理設備(大型發電機組、分布式電源、負荷等)組成,其中前者通過信息網絡互聯,后者則構成物理的電力網絡。具體地,電力CPS包括控制中心、分布式計算設備、通信網絡、輸配電網絡、電源和負荷。同時,電力CPS可以與其他的CPS子系統通過網絡連接協同工作。該文進一步提出發展電力CPS的關鍵技術涉及全局優化與局部控制的協同技術、大規模分布式計算技術、CPS通信協議、動態網絡和延遲/終端容忍網絡、集群智能和虛實空間的自動映射一致性等。
(3)信息/物理網安全性建模分析
在一般信息-物理二元網絡的建模方面,采用如下的兩個步驟進行建模:首先通過物理和信息的輸人輸出信號、內部動態和局部傳感信息等要素對各個(或組)元件建立狀態空間模塊;進一步在網絡拓撲的基礎上將各模塊整合在一'起以建立系統的信息,理二元復合網絡模型。
在網絡攻擊對電力系統系統的可靠性影響方面,目前巳有初步進展。文章構建了系統性評估信息物理依存網絡脆弱度的基本框架,進一步該文研究了網絡攻擊對電力系統的數據采集和監控(SCADA)系統的影響。文章通過信息-物理的連接橋建立信息攻擊與物理元件之間的通道,以此表征由于某處信息攻擊所導致的電力設備的意外故障,進而在巳知信息攻擊概率的基礎上,評估系統遭受信息攻擊時的可靠性。
更有意義的是,文章提出研究相互依存網絡災變的重要性,并基于意大利的電力網和信息網的網絡關系圖(如圖1所示)模擬了該網絡上由于一個變電站故障退出運行后,故障在物理(電力)網絡與信息網絡之間的交替傳播及整個網絡的崩潰過程。其基本思路是某個網絡中一個節點的故障可能會造成與其耦合的網絡中相關聯節點的故障,通過建立連鎖故障傳播模型,分析指出某個網絡中小部分節點的故障可能導致整個耦合系統的崩潰。
(4)其他方面
文章指出新一代電力系統的SCADA采用越來越多的無線通信可能面臨的信息安全方面的6個障礙和挑戰,涵蓋量測的機密性、測量環境的模糊化、數據的安全聚集、拓撲模糊化、可擴展的信任管理以及數據聚集的隱私性等。文[1]指出目前電力系統的信息系統存在信息難以綜合和深化利用、信息處理及控制管理設備和系統上的重疊以及開發基于信息綜合的高級控制管理功能(如自適應性、自組織和智能決策等)受限等問題。
2 CPPG信息安全性研究關鍵課題
CPPG作為一類信息/物理網高度依存的二元復合網絡,分析其連鎖故障機理及脆弱度評估方法是保障CPPG信息安全乃至全系統安全的重要前提。為此,本節從復雜網絡視角提出以下4個前瞻性課題。
2.1 CPPG中信息網和物理網異構特性及相互依存關系分析、一體化網絡模型建立及拓撲結構特征提取
一般而言,CPPG中信息、物理兩個網絡往往呈現截然不同的結構特性,如有研究表明,信息網呈現無標度特性,而很多實際電網具有小世界特性。在此背景下,CPPG將是由信息/物理網相互依存演化成的二元異構網絡(如無標度信息網與小世界物理網),如圖2所示。
對該網絡的拓撲結構特征提取有助于從本質上揭示其功能特性,具體可以開展如下研究:
(1) 分析并揭示CPPG中信息網與物理網的異構特性,建立連接信息/物理網的聯絡線網絡化數學表述模型,研究不同類型信息網與物理網(如無標度網與小世界網)中信息流和能量流的輸送特性。基于電力系統動態特性(如潮流)建立物理網功能有效性模型,基于信息系統靜態特性(如網絡拓撲結構和元件級聯失效等)建立信息網功能有效性模型。這里的功能有效性是指網絡節點和邊的動態均受到一定的容量限制,在限制值之內稱為有效。
(2) 深人分析CPPG中信息網和物理網的耦合
機理,研究信息過程和物理過程的相互影響。
(3) 研究信息網和物理網內部以及二者之間的拓撲連接或者信號傳送關系,進一步將上述信息/物理功能有效性模型集成,以建立能夠反映CPPG中信息網和物理網交互過程的一體化網絡模型。
(4) 基于復雜網絡理論中網絡結構影響網絡功能的基本思路,選用適當的指標,提取并分析CPPG拓撲結構特征,即從統計的角度考察CPPG中大規模節點及其連接之間的性質,這些性質的不同意味著網絡內部結構的不同,進而將導致系統功能有所差異。因此,對CPPG拓撲結構特征的描述和分析是進行CPPG研究的必要步驟。
2.2CPPG的連鎖故障研究
到目前為止,巳有較多針對信息網或物理網連鎖故障建模分析的研究成果[16—17],盡管人們對單一網絡(信息網或物理網)的連鎖故障過程有了一定程度的認識,但連鎖故障在CPPG上的發生和傳播過程可能與單一信息網或物理網情形大不相同。研究
CPPG的連鎖故障發生過程需要根據信息網和物理網的依存關系,將兩個網絡中的故障傳播過程進行合理的對接。
在上述CPPG—體化網絡模型的基礎上,同時考慮物理設備和數據采集計算設備等對系統連鎖故障發生、發展過程的影響,分析CPPG的連鎖故障特性,具體包括以下幾個方面:
(1) 構建CPPG連鎖故障模型。具體地,根據信息流的傳輸特性,建立CPPG中信息網連鎖故障模型,同時提出適當的指標分析其連鎖故障影響后果;考慮未來智能電網中高滲透率的分布式發電以及廣泛的用戶側響應,分析CPPG中物理網的連鎖故障發生、發展過程,并采用適當的指標(如負荷損失量)表征其連鎖故障規模;在信息網與物理網耦合機理分析的基礎上,將信息網與物理網連鎖故障模型進行合理對接,構建CPPG連鎖故障模型并模擬其連鎖故障傳播過程。
(2) 辨識影響連鎖故障發生的關鍵因素,既要包含物理網上的關鍵發電和輸電設備,又需計及信息網上的關鍵計算機和信號傳輸單元。
(3) 定量分析CPPG上發生的連鎖故障,借鑒風險價值和條件風險價值指標[16—17],分析其災變風險;對比CPPG和傳統物理電力系統連鎖故障的異同,重點分析信息網對CPPG連鎖故障的影響。
2.3 CPPG的脆弱度評估研究
CPPG的脆弱度水平指其遭受攻擊時造成的性能下降程度,下降程度越大則系統越脆弱。此處CPPG遭受的攻擊既可能來自物理網,又可能來自信息網(如圖3),而對物理網的攻擊可以等效為設備故障(包括退出運行),而對信息網的攻擊形式多種多樣(常見信息攻擊和防守形式見圖4),包括信息的竊取、篡改等。
在綜合評估CPPG脆弱度水平的同時,可尋找對其脆弱度水平影響較大的攻擊模式和最壞干擾信息激勵。具體研究內容如下:
(1) 建立CPPG的脆弱度評估指標體系,同時從結構和狀態角度評價CPPG的性能水平。這里,所提脆弱度指標應兼顧物理網的安全、可靠和經濟性以及信息網對數據機密性、完整性、可用性、可控性和可審查性的要求。
(2) 基于連鎖故障模型,模擬CPPG遭受隨機攻擊和蓄意攻擊后可能引發的連鎖故障發生、發展過程,評估不同攻擊模式下系統性能的變化,同時辨識出嚴重惡化CPPG性能的攻擊模式以及系統脆弱環節。
此外,信息攻擊形式需要考慮如下因素:
圖4信息網安全的攻擊與防守
①信息攻擊的影響范圍;
②信息攻擊源與受影響位置的距離;
③信息攻擊帶來的后果多樣性,例如有些攻擊損害信息的機密性,而有些攻擊損害信息的完整性和可用性,可以等效為相關服務的中斷。
(3)通過對比CPPG和傳統物理電力系統面臨節點或者線路攻擊時的脆弱度水平異同,明晰信息網對CPPG脆弱度的影響。
2.4靈活協調的優化控制方法
在脆弱度評估的基礎上,針對系統的薄弱環節,可以從物理和信息網兩方面設計有針對性的靈活協調優化控制方法,具體可以研究:
(1) 根據脆弱度評估辨識出的物理網薄弱環節,如關鍵發電機、線路和負載節點信息,采取適當的措施,例如建設新的電廠或者輸電線路,以保證CPPG在面臨攻擊時依然能夠運行在滿意的狀態。
(2) 根據脆弱度評估辨識出的信息網薄弱環節,如關鍵信號傳輸通道和網絡設備等信息,有針對性地增強其安全保密水平,保證信息攻擊“進不來、拿不走、看不懂、改不了、跑不了”48],提高CPPG在故障下的安全穩定能力。此外,還應在連鎖故障模擬結果的基礎上,針對高風險故障制定相應的預防控制與應急預案。
摘 要 隨著信息化水平和互聯網技術的飛速發展,網上電子支付服務已成為引領電子商務的主流趨勢,雖然相關法律政策的出臺和實施,進一步規范了我國電子支付各種交易行為,強化了人們對于電子支付的安全信任度,但是電子支付的安全問題仍然是抑制電子商務發展的瓶頸所在。本文針對電子支付的網絡安全問題進行了詳細、深入分析,并提出了加強電子支付安全性的具體對策。
關鍵詞 電子支付;網絡安全問題;解決對策
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)70-0186-02
0 引言
電子支付主要指進行網絡化商務交易的雙方當事人,通過快捷、安全的支付手段實施的貨幣支付行為。基于電子支付具有節省時間、操作方便以及成本低等基本優點,是目前電子商務普遍采用的一種方式。
隨著我國電子支付產業的進一步發展,電子支付的安全問題已成為制約我國電子商務發展的關鍵問題。
當前我國仍有許多網絡用戶對于電子支付方式存在心理層面上的擔憂,據最新數據調查顯示,我國網絡用戶對于電子支付安全性存在極大擔憂的比例已超過30%,顯然如何加強電子支付的安全管理,已成為我國電子商務領域亟待于解決的重大課題。
1 電子支付存在的網絡安全問題
1.1 網絡用戶對于電子支付安全性缺失足夠信任度
據社會調查顯示,約為23.5%的企業和26. 34%的個人一致認為誠信問題是電子商務最讓人擔憂的問題,誠信已成為發展電子商務備受關注的焦點問題。基于互聯網交易具有開放性、廣泛性的特點,交易雙方不需見面,交易真實性缺乏實際的驗證,因而對于社會信用度具有更高的要求。
由于我國目前電子商務信用體系仍不健全,使電子支付活動缺失可信賴的信譽基礎,社會誠信度有待于進一步加強。另外,企業和個人各種數據信息資料不完備,海關和稅務等部門不能和銀行信息資源共享,銀行對于客戶信息資料不能完全掌握,也影響了電子支付系統的順利開展。
據網上支付研究報告顯示,約有80.5%的網絡用戶表示將會繼續使用電子支付業務,僅為5%的網絡用戶明確表示不繼續使用,大概有14.5%的網絡用戶不太確定,在抵觸使用電子支付的網絡用戶中,約為70%以上的用戶是過分擔憂資金交易的安全問題。
1.2 電子支付市場秩序不夠規范化
隨著電子支付的高速發展,市場秩序的不規范抑制了電子商務的健康、有序發展,導致電子支付產業出現目標不明確的現狀。
目前我國仍沒有相關法律法規明確規定電子支付權利和義務的內容,同時尚未制定關于保護網絡消費權益保護的具體規則,對于網上銀行的運營仍沒有專門法律加以規范和約束。尤其對于客戶信息資料的安全保護方面,目前仍沒有先進的技術措施和成熟的經驗。
比如,第三方支付企業關于法律方面的定性問題;第三方支付企業不具備提供電子支付服務的資質問題;銀行和第三方支付企業對于電子支付過程采取哪種風險防范措施;在電子支付行為過程中發生糾紛時責任的舉證以及確定問題等。
此外,我國電子商務信息跟蹤、檢測等各種法律法規尚未建立,通過網絡進行合同簽訂、資金交易服務等電子商務行為中存在諸多尚待完善之處。
1.3 電子支付市場網盜事件難以避免
經過理論和實踐證明,電子支付技術維護能很大程度上確保電子支付的網絡安全,網上支付安全性問題主要從兩方面來追溯,主要是指信息被竊取和追溯根源方面的可能性。
從信息被竊取的角度考慮,無論哪一種電子支付安全保護措施,都是經過反復推敲和論證,并得到完全證實才得以采納,電子支付的數據傳輸信息,利用當前的維護技術是無法破解的。
從信息可追溯性角度考慮,網上交易所留下的信息痕跡較現實交易要多,主要是每次網絡交易都會在各層面被系統記錄,因而埋下了重大的安全隱患。
無庸置疑,進行電子支付必然存在諸多不安全隱患,各種不安全問題的產生并不源自電子支付技術維護方面,而源自于非網絡方面。基于網絡交易的開放性和廣泛性,為各種計算機病毒和木馬程序等對于網絡銀行系統的攻擊提供了可能,尤其是很多網絡用戶缺失安全防范意識和安全保護知識,進一步加大了風險發生的可能性。
2 解決電子支付安全問題的基本對策
2.1 增強電子支付的社會誠信度
1)嚴格限定電子商務準入體制。一般來講,進行各種經營活動的贏利性企業必須具備營業執照,但電子商務目前卻缺乏這方面的嚴格控制,很多經營商家并不具備營業執照,難以為消費者提供可靠的信譽保證,產品質量也缺乏足夠保障,因此,應加快通過立法的步伐,嚴格電子商務的準入體制;
2)建立和健全電子商務信用評價機制。據現實調查顯示,71.1%的企業和64.2%的個人用戶進行網絡交易時定會關注賣方的信用評價指數,這就完全證實提高電子商務誠信度的一個重要方式就是增強企業自身的信用度,因此,應建立和健全公正、嚴格的電子商務信用評價機制。
2.2 逐步整頓和規范電子支付市場環境
我國電子商務得以順利發展很大程度上有賴于一個健康、有序的電子支付市場環境。有效確保電子支付的資金交易安全則是備受電子商務領域關注的重點問題,支付清算作為電子支付事務中的重要環節。
近些年來,人們逐漸將支付清算作為關鍵要素突出加強以促進網絡金融交易的順利發展。一方面除了銀行要加強安全維護工作外,另一方面第三方支付平臺也應把加強安全維護工作作為重點來抓。
同時,政府應強化電子商務市場環境的規范化管理。并盡快貫徹和落實《支付清算組織管理辦法》和《電子支付指引》的相關政策,逐步促進電子支付市場的規范化發展,不斷規范支付清算行為,以增強清算效率和防范金融風險,確保為電子商務的健康發展奠定基礎。
關鍵詞:電子商務;支付;安全問題;對策
中圖分類號:TP39 文獻標識碼:A 文章編號:1672-8122(2017)06-0018-02
隨著電子商務的不斷升溫,其安全性問題已引起各界人士和普通群眾的熱切關注,根據中國互聯網信息中心近幾年的調查表明,人們越來越關心電子商務的支付安全。更有數據顯示,與一般傳統模式的公司比起來,涉及電子商務的公司網站更容易遭到“黑客”的惡意襲擊,這極大地威脅了網上支付的安全性。
一、電子商務支付現狀
根據艾瑞咨詢統計數據可知,2015年第二季度中國電子商務市場的整體交易規模為3.75萬億元,同比增長了22.1%,環比增長了7.8%。3G、4G網絡技術和智能手機的成功運用及成熟,手機購物變得愈發便捷,也很大程度上促進了電子商務的發展[1]。此外,團購、O2O、眾籌等模型對電子商務的發展起到了巨大的推動作用。
作為經濟增長的一個新的驅動力,網絡購物的影響,從消費領域蔓延到生產領域再到服務領域,真正的經濟的發展是實現其深度的整合。近期,中國互聯網絡信息中心(CNNIC) 了《第37次中國互聯網絡發展狀況統計報告》。報告顯示,截至2015年12月,中國的網購用戶規模已達4億1300萬,同時,網民使用網絡購物的比例已達60%。在2015年網購用戶新增了5183萬,增長率為14.3%。中國的移動電話網絡購物用戶規模增長迅速,達到43.9%的增長率,移動互聯網購物的比例從42.4%上升到54.8%[2]。
二、電子商務支付存在的安全問題
電子商務支付中存在著許多安全問題,包括網絡安全、系統安全、信息安全、支付系統協議和監管。
1.網絡安全問題。網絡安全問題一般主要涉及下述三個方面:(1)釣魚平臺:網絡釣魚者通過仿冒URL地址或者向網民發送欺詐性電子郵件或篡改網站來開展活動。通常是釣魚者將自己偽裝成知名企業或銀行,并偽建一個與真實原網站相似并有相同產品的網站,受騙用戶往往會在網頁中輸入登陸用戶名和密碼甚至會泄露銀行卡賬號、密碼及口令;(2)業務拒絕:用戶合法訪問信息或網絡資源會被拒絕。攻擊者會對操作系統的漏洞進行利用,并且對系統進行非常大數量的合法或非法、根本不可能成功的訪問請求,或者故意重復輸錯支付密碼,讓系統負荷過量最后賬戶凍結,導致系統資源不能被合法用戶使用[3];(3)網絡跟蹤:通過對用戶網站使用痕跡的跟蹤,利用跟蹤監測軟件,監測終端支付過程,用戶的登陸賬號及密碼有可能被得到,并且個人財產將會被盜取,肆意修改賬戶信息,破壞用戶數據,甚至病毒會被放進其中,整個系統最終將會癱瘓。
2.系統安全問題。系統安全問題一般主要涉及下述兩個方面:(1)黑客攻擊:黑客自己編寫程序或者利用系統現有的常用工具、技術,入侵并攻擊服務器,達到破壞系統盜取信息的目的。黑客的攻擊方式一般有網絡中斷、破解密碼、竊聽等;(2)木馬、病毒入侵:傳統病毒通過移動設備進行傳播,現在主要通過網絡造成病毒侵害,在網頁中惡意代碼,用戶在訪問有安全問題的網頁時即會被感染。木馬則是黑客的一種攻擊手段,可幫助黑客實時掌握上線用戶信息,遠程監視用戶訪問記錄甚至控制計算機。將木馬植入在計算機系統中,且不易被用戶察覺,等待外界的指令,兩者都是黑客編寫的惡意程序。
3.信息安全問題。信息安全問題一般主要涉及下述三個方面:(1)假冒合法用戶:有一些人利用交易雙方互不相見無法客觀判斷對方可信程度、難以有效身份驗證識別的漏洞,采取各種不正當手段取得合法用戶的身份信息,并將得來資料展示給網絡安全攔截者使之判定其為合法實體,然后不法分子冒充合法用戶進行活動攫取非法利益;(2)信息泄露竊取:信息泄露被主w外的人得到,網絡攻擊者通過互聯網等各種介質利用非法手段截取交易雙方傳輸的內容數據來竊取用戶支付密碼等關鍵信息,或者是對信息進行參數分析得出結果。用戶使用過于簡單重復密碼,以及在各門戶網站設置統一密碼的現象也普遍存在,用強效的破解軟件即可瓦解泄露出去。攻擊者通常非法使用竊取的信息騙取信任再與他人進行交易;(3)信息篡改破壞:攻擊者熟知網站結構編寫方式,通過技術手段惡意破壞程序,刪除、修改傳輸過程中的信息,破壞交易支付過程的準確性和真實性。除了被攻擊之外,也可能由于網絡系統自身問題而導致信息的丟失和錯誤。
4.支付系統協議問題。目前,網上支付協議SSL(安全套接層協議)和SET(安全電子交易協議)更是眾所周知的,是電子商務交易系統中常用的協議和標準體系[4]。兩者都具有顯著地優勢,但同時本身也帶有缺點。SSL協議在將客戶賬戶信息傳遞給商戶過程中利用加密手段建立起安全的信息通行渠道,有利于商家驗證客戶的身份信息,使用起來相對SET要便捷,但也只是認證服務器與客戶雙方,并不能向客戶驗證商家的合法性,這一協議不能很好地保護客戶的利益,阻止不了商家的惡意欺瞞。SET協議則是對商家、持卡人和收支方銀行傳送資料的規范,保護數據在支付過程中更加完整和安全,這點已得到被國際標準化組織的認可,但是操作復雜麻煩,不方便生疏者使用。
5.監管問題。我國對電子商務網絡支付法律法規缺乏專門的監管。雖然近幾年我國的合同法和侵權行為法進行了調整,但消費者始終處于劣勢,難以有效維護合法權益。另外電子商務支付還缺乏監管,例如,雙方對產品的監管、稅收監管、信用監管和信息監管,電子合同也是模糊網絡安全支付的重要問題。
三、解決電子商務支付安全問題的對策
電子商務支付安全的對策主要是與前文中出現的網絡安全問題、系統安全問題、信息安全問題、支付系統協議和監管問題方面一一對應的。
1.解決網絡安全問題的對策。加強預防病毒,支付安全級別的上升,將推動網絡交易速率。而高交易率也會給病毒入侵提供很大的便利。所以要經常對計算機進行,清除計算機中的病毒。除了經常檢查硬盤外,多采用先進技術,全面封鎖病毒。
加強防火墻技術,防火墻是保證計算機的正常運行,是安全運行的重要措施之一,它能有效阻止網絡對邪惡的攻擊,形成一個保護屏障,相當于提高通信的門檻,讓未授權的訪問者不能進入,有效的提升了網絡安全。
2.解決系統安全問題的對策。加大對黑客的打擊力度,嚴厲打擊,加大處罰力度,一旦發現有黑客攻擊破壞他人利益就嚴加搜索,一旦逮捕必將嚴懲不貸。另外,要加強對青少年的思想道德素質教育,在讓他們學好知識的同時,更多的是為社會做貢獻,而不是為一己之私,危害他人財產安全。加強殺毒軟件的開發與利用,最大程度上避免木馬和病毒入侵,對惡意軟件和程序進行封殺。加強對工作人員的安全意識教育,如果發現因工作人員不負責任而造成財產損失,對工作人員采取嚴厲的處罰措施。
3.解決信息安全問題的對策。中國的社會信用體系依舊很不健全,有些人在電子商務中利用技術進行商務欺詐,危害到消費者和金融行業的利益,但是難以被發現仍然逍遙法外。需要加緊建立合理科學、公正而又具有權威性的一套完整社會信用服務機構,創造信息資源交流的共享平臺,逐漸形成與國際接軌又符合我國形勢的信用體系。若發現某些人對電子商務的安全造成了威脅,便將個人的不良行為納入其中,可以通過查詢系統得知個人的信用記錄。這一定程度上能阻止體動歪念頭,遏制網上犯罪,對電子商務支付安全具有輔助作用。
電子商務支付的安全離不開每個人的責任認知。我們不可輕易相信釣魚網站、詐騙分子的糖衣炮彈,改善不良消費習慣,要不斷學習互聯網知識,提升計算機安全技術的掌握和支付手段熟練程度以及提高電子商務的安全意識[5]。我們也應具有良好的道德品質,即使它只是一小部分,也要堅持個人道德和維護網絡秩序。
4.解決支付系統協議問題的對策。由我國電子商務支付發展的現狀,針對我國目前在電子商務在線支付中信用卡的使用不普及,多是借記卡的特殊性,對PIN數據項進行擴展,為SET協議在我國的推廣與使用提供了一個實際且可行的方法,增強了SET協議在我國的適用性,這在很大程度上減小了其復雜性,變得更加好操作。另外,提高SSL的安全性能,根據消費者的需要選擇不同安全級別和復雜程度,這樣使得安全協議有著更好的適用性。
5.解決監管問題的對策。政府和企業間應該進行合作,一起制定和完善相應的法律法規。如果發現問題要及時的采取措施,并且追究負責人的責任,保證電子商務支付安全。
制定有關電子支付的法律或者行政法規,大多數問題背后的根本問題是監管法律層級太低。由國務院制定的電子商務支付行政法規、法律或行政法規,對電子商務支付機構注冊資金的最低金額,這樣就不會違反公司法的規定。
降低準入門檻,加強對電子商務在虛擬互聯網的監管,始終是一個巨大的風險。鑒于此,互聯網金融監管必須考慮到市場的發展需要和創新[6]。政府應由注重事前轉為更加的去注重事中和事后的監管,這對長期重視事前審批、輕視事中事后監管的當局來講,是新的考驗和挑戰。但具體實施情況和此前監管部門的監管遠不如事前審批,行政審批通常是幾百次,而事后監管的措施也不多,也缺乏經驗。但是相關單位必須要將人民的利益放在首位,努力提高自身的監管水平。
四、結 語
盡管文中針對電子商務支付安全出現的問題都提出了相應的對策,可是計算機領域的不斷進步以及不斷更新的網絡技術,黑客也在不斷進步著,他們更加聰明,發出的攻擊也更加猛烈和復雜,電子商務支付安全還是令人如履薄冰。所以,我們不能只從一方面去考慮問題,我們需要不斷開發新的技術的同時,增強民眾的安全支付意識,不去破壞他人財物。另外,電子商務支付安全的相關法律也需不斷完善。每個人都有責任去保護好我們的支付環境,這樣,電子商務才能更加進步,更好地服務大眾。
參考文獻:
[1] 栗李川.流數據挖掘在電子商務中的應用與研究[D].天津工業大學,2014.
[2] 孟凡新.中國網絡購物市場研究報告[J].互聯網天地,2013(6).
[3] 薛飛.淺析網絡安全及常用安全技術[J].科學家,2015(9).
[4] 高艷麗.淺析移動支付安全[J].商場現代化,2012(6).
關鍵詞:網上支付 電信詐騙 手機木馬
中圖分類號: TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)12-0193-02
隨著信息技術的飛速發展,以及人們對工作、學習、娛樂、消費的便捷性要求越來越高,各種信息技術產品層出不窮。尤其是因特網普及后,消費者和服務商之間面對面的交易不再是必須,網上支付帶來了極大的便捷性,交易各方利用銀行所支持的數字金融工具,通過因特網進行交融交換,實現用戶到金融機構、商家之間的在線貨幣支付、現金流轉、資金清算、查詢統計等過程,為電子商務和其他服務提供金融支持[1]。
現金轉帳、購物支付、網上繳費等網上支付業務極大地方便了人們的生活和工作,這種新穎快捷的支付方式被越來越多的消費者接受。足不出戶,就可以實現輕松生活,網上支付成為許多人日常生活不可缺少的支付方式。
但與此同時,網上支付的安全事件不時發生,給用戶造成了或多或少的財產損失和大量的個人信息泄露,令人們在使用網上支付時難以真正放心。
1 網上支付過程
通過分析網上交易參與各方的活動,網上支付的組成要素有:因特網(Internet),客戶,商家,開戶銀行,支付網關,銀行網絡,認證中心。其工作流程如圖1所示。客戶通過個人計算機或者移動終端訪問商戶的網站,登錄時與認證中心交互,取得自己的個人信息用于身份鑒別;客戶選擇商品或服務后,確認下單,其信息及購物款項信息就會被加密發送到支付網關,支付網關與客戶的購物支付卡發卡銀行通信,驗證其合法性;通過后,確認支付和購物交易合法有效;其后,物流將商品送至客戶處,客戶確認收貨后,交易完成。
目前,網上支付方式包括通過網上銀行進行的轉賬支付(即銀行網關模式)、通過第三方平成的支付(即第三方支付平臺模式)[2],銀聯模式和電子現金等。其工作原理分別如下:
(1)銀行網關模式:商家與銀行簽約,其網站平臺直接鏈接到銀行網銀系統,客戶購物交費實際上就是將現金直接轉帳到商家。
(2)第三方支付平臺模式:電子商務平臺先鏈接到第三方支付平臺,支付平臺再和銀行鏈接而完成支付手段的一種方式。我國的第三方支付行業發展迅猛,有獨立的支付企業諸如快錢、易寶、首信易等,而作為電子商務平臺延伸的在線支付工具如淘寶的支付寶、騰訊的財付通、百度的百付寶等[3]。
(3)銀聯模式:在銀聯在線支付的網站完成的支付模式。
(4)電子現金。在支付機構注冊虛擬賬戶,通過向虛擬賬戶充值進行相關支付業務,如購買游戲幣、QQ幣等。
這些支付模式既可以通過PC機支付,也可以通過手機、平板等移動智能終端完成。分析網上支付過程和支付形式,客戶端、網絡協議、互聯網基礎設施、支付網關等處都可能存在風險。網絡支付安全是一個系統工程,需要銀行、支付機構、安全廠商、商戶、網絡管理部門以及消費者共同努力。
從目前網絡支付的發展水平和出現的網絡支付案例來看,各個銀行針對網上支付采用的安全技術和手段(如一次性口令、USB KEY、短信驗證碼等)都較成熟,達到了很高的安全性。而網上支付安全事件的發生在大多數情況是用戶安全防范意識薄弱和相應的安全技能不足所致。下面列出網上支付可能存在的一些風險。
3 網上支付的風險分析
3.1 用戶的身份冒充
這種攻擊基于用戶身份信息被盜用。攻擊者通過非法手段(如植入木馬、釣魚等)盜取合法用戶的身份信息,仿冒其身份進行轉帳或與他人交易,或實施詐騙以獲得非法利益。
已發生的諸多案例都表明,國內很多網站都存儲了用戶的基本信息(包括姓名、銀行卡號等),但其都或多或少存在安全漏洞,容易被入侵而導致大量完整的用戶信息被泄露。國內外都有復制信用卡,盜刷的事件報道。除此之外,電信詐騙、二維碼含惡意鏈接、釣魚網站、手機木馬等威脅也會造成大量銀行卡信息的泄露。而目前正在快速發展的很多帶有閃付功能的銀行卡,還能在近距離非接觸的情況下通過特定終端讀取用戶信息,這種讀取方式靜默,很難發現。
3.2 敏感數據泄露
網上支付的敏感數據一般包括個人信息(姓名、銀行卡號、通信地址等)和購物信息(商品名稱、價格、數量、購買時間等)。這些數據有可能在傳輸中泄漏、丟失或被篡改,如攻擊者利用電磁泄漏或搭線竊聽等方式截獲還原傳輸的這些敏感信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,探測和分析有用信息。
3.3 交易數據篡改
攻擊者通過在客戶的計算機上植入木馬、制作釣魚網頁或截獲傳輸中的信息,篡改其交易數據,如修改消息次序、時間、數量、金額,注入偽造消息、重放交易等,使信息失去真實性和完整性。
3.4 商家假冒或欺詐
商家被別人假冒,提供假貨或者收到付款后抵賴交易。
4 網上支付的安全對策
為加強網上支付的安全,需參與各方從技術和管理兩方面同時著手,在技術上提高安全性,同時在規范管理上防范非法行為。技術上包括:
4.1 個人計算機或移動終端安全
一般硭擔作為公共基礎設施的支付網關和電子商務網站等的安全性都是較高的。而個人使用的計算機和移動終端的安全性堪憂。因此,個人計算機要及時安裝和更新病毒木馬查殺軟件,及時升級操作系統和應用軟件,不輕易打開不明文件和訪問安全性未知的網站,不下載安裝安全性未知的軟件,不接入公共wifi和使用公共計算機進行登錄和支付,以防止計算機被黑客攻擊,導致個人信息泄露。
4.2 密碼技術
一方面,采用密碼相結合的多因子身份認證技術,加強身份認證的強度,防止身份信息被竊取、盜用和假冒,如數字證書、短信驗證碼、動態口令、USB Key等。另一方面,采用加密技術對用戶信息和支付數據進行加密,防止敏感信息泄露和被篡改。計算機或手機上安裝基于密碼技術的數字證書后,即使賬戶支付密碼被盜,也需要在已經安裝了數字證書的計算機上才能支付,保障資金安全。
4.3 網絡基礎設施安全
采用多種措施保證網絡基礎設施安全,包括操作系統、網絡協議、數據庫、硬件設施等,這與技術的發展緊密相關。
管理方面的措施,主要針對組織和人而言。其主要工作是加強網上支付的監管,要求監管機構、銀行和商家做好安全措施,并教育消費者樹立安全意識,養成良好的安全習慣。
4.4 建立與完善網上支付的法律法規
隨著網上業務在我國的發展,國家相繼出臺了多部法律法規,如《中華人民共和國電子簽名法》明確了電子簽名的法律有效性,使得網上業務受到法律保護;《電子認證服務管理辦法》、《電子支付指引》、《電子銀行業務管理辦法》和《電子銀行安全評估指引》等法律法規針對網上業務領域給出了一些具體的指導意見。但違法交易所要承擔的法律責任,法定的電子貨幣發行人、合理的貨幣識別制度以及電子貨幣使用中各方隱私權保護制度等法律問題[4]上還需要進一步明確。而作為金融監管機構的中央銀行則要結合我國國情并借鑒國外發展經驗,嚴格技術標準,強化業務監管。
今年11月,國家出臺《中華人民共和國網絡安全法》,在網絡安全各方面將做出指導性規定。而在這部法律出臺后,各領域相關配套的法律法規,包括網上支付方面的法規也會隨后推出,以規范網上支付活動,打擊違法犯罪,保護合法權益。
4.5 加強法制和安全意識宣傳
通過多種途徑宣傳和公開典型案例,警示用戶樹立安全意識,培養良好的安全習慣,比如電信詐騙案例、短信二維碼惡意鏈接案例、網絡釣魚案例、其他社工案例等。通過宣傳,促使用戶采用銀行等機構提供的安全產品和采納銀行等機構的安全建議,提高安全防護能力,如密碼強度足夠,并與其它密碼不同,支付卡專用,金額隨用隨存等。在網絡支付發現情況有異時,如頁面跳轉、不停要求輸入信息或彈出無關提示等時,停止操作以止損,并報警和保護現場。同時,加強對網絡不法行為的追查處罰力度,威懾不良企圖者,減少違法行為發生的可能性。
4.6 網絡實名制
今年電信實名制也真正落實實施,將對電信詐騙起到很強的防范作用。
同樣,通過網絡實名制,使得網絡上的虛擬身份能與現實社會的身份對應,防止交易抵賴,方便追究和落實相關責任人。同時,網絡實名制也將對攻擊者形成強大的威懾力,利用網上支付實施的違法犯罪行為也將大大減少。
5 結語
網絡支付應用已非常廣泛,只有保證其安全性才能健康穩定發展。本文基于網絡支付可能存在的風險,從技術、管理等方面提出了相應的安全對策,防止用戶的財產損失和個人信息泄露。
參考文獻
[1]劉亞軍.網上支付系統的安全性研究[J].現代電子技術,2013,36(8):74-76.
[2]王淦銀.我國網上支付六大瓶頸待破[J].中國銀行業,2015,(1):85-87.
關鍵詞:電子商務;支付;SET;SSL;安全
1 電子商務網上支付系統概況
電子商務主要涉及到三個方面的內容:信息,電子數據交換(EDI)和電子資金轉帳。電子商務的交易過程一般可分為三步:第一步,交易各方在網上和尋找交易機會,比較價格和條件,選擇交易對象;第二步,進行銀行、運輸、稅務、海關等方面的電子數據交換,即EDI;第三步,將商品交付運輸公司起運,銀行按照合同約定,依據提供的單據進行支付。由此可見,電子商務的整個交易過程都涉及到支付問題,支付是電子商務的中心環節。
1.1 電子商務支付系統的概念
電子商務支付系統是電子商務系統的重要組成部分,它指的是消費者、商家和金融機構之間使用安全電子手段交換商品或服務,即把新型支付手段(包括電子現金(E-CASH)、信用卡(CREDIT CARD)、借記卡(DEBIT CARD)、智能卡等)的支付信息通過網絡安全傳送到銀行或相應的處理機構,來實現電子支付。
1.2 電子商務支付系統的發展情況
電子商務于20世紀90年代初興起于美國、加拿大等國,但在近幾年電子支付才被人們普遍接受。各廠商如IBM、惠普、微軟、SUN等紛紛推出自己的電子商務產品和各自的解決方案。隨著電子商務的發展,各種法規也隨之健全,德國、韓國、意大利、西班牙和美國的許多州已經通過數字簽名和身份認證法律。1996年下半年,美國財政部頒布有關《全球電子商務選擇稅收政策》白皮書;聯合國國際貿易法委員會(UNCITRAL)已經完成模型電子商務法的制定工作,為電子交易制訂出統一通用的規則。另外,兩大國際信用卡組織VISA和MASTER合作制訂的安全電子交易(SET)協議定義了一種電子支付過程標準,其目的就是保護萬維網上支付卡交易的每一個環節。SET是專為網上支付卡業務安全所制定的標準。
這幾年來,我國的北京、上海、廣州等信息產業發展較快的城市的信息產業部門開始了電子商務相關的研究,并在1998開通了自己的電子商務系統,其他省市也紛紛開始建立電子商務系統。
2 電子商務支付業務存在的突出問題
目前,雖然國內網上購物方興未艾,網上書店、網上商場頻頻亮相,圖書、音像制品、軟件光碟、小家電等琳瑯滿目,然而實際采取行動的購買者微乎其微,究其原因,固然有人們對網絡交易的疑慮及購買習慣等因素的影響,但付款手續的復雜及其電子支付的安全性難以體現網上購物便利優勢,致使用戶的熱情大打折扣。
因此,解決電子支付問題成為國內網上銀行所面臨的嚴峻挑戰。這其中包括網絡銀行本身業務系統的問題以及如何為企業及個人提供完善服務的問題,還有一個重要的方面就是電子支付的安全性問題。電子支付的安全性直接影響電子商務的發展,解決不好,將成為制約電子商務發展最嚴重的瓶頸。
2.1 信用障礙
良好的信用機制是網絡銀行發展的基本條件之一,我國在這方面差距很大。在美國,由于信用機制基礎牢固,持卡人可以通過信用卡消費,風險小而且方便快捷。他們以銀行為商品交易的核心,和買賣雙方建立起一種三角形的穩定關系,以相互制約和相互監督的形式,把交易建立在以信用、擔保為基礎的平臺之上。
由于基于Internet的電子商務,買賣雙方可以互不見面,其信用問題就顯得格外重要了。市場經濟發展的兩大支柱是社會保障體系和社會信用體系。就目前而言,我國無論是企業還是個人,還未普遍建立完善的信用體系,現金交易還占主導地位。買方擔心付款后能否收到貨物或能否收到滿意的貨物,賣方擔心發貨后能否按期如數收到貨款。由此可見,信用問題對于電子商務的健康發展是多么重要。
2.2 電子商務活動中電子支付與認證標準有待統一
目前安全協議有兩種:SET與SSL。SET(Secure E1ectronic Transaction,簡稱SET),即“安全電子交易”,是VISA、MASTER兩大國際卡組織和多家科技機構共同制訂的進行在線交易的安全標準。SSL(Secure Socket Layer,安全套接層)協議,是由網景(Netscape)公司推出的一種安全通信協議,它能夠對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話過程進行加密的協議。在SSL中,采用了公開密匙和私有密匙兩種方法。
SET協議比SSL協議復雜,在理論上安全性也更高,因為前者不僅加密兩個端點間的單人會話,還可以加密和認定三方面的多個信息,而這是SSL協議所不能解決的問題。但是SET也有自己的缺陷,由于過于復雜,所以對消費者、商戶和銀行方面的要求都非常高,推行起來遇到的阻力也比較大。相比之下,SSL則以其便捷和可以滿足現實要求的安全性得到了不少人的認可。目前國際上對這兩種網絡安全協議到底哪種是未來的發展方向還沒有完全形成共識。轉貼于
2.3 相關法規有待完善
我國電子商務立法明顯滯后,在一定程度上影響了網上銀行的發展。目前尚有如下問題需解決:
(1)電子支付的定義和特征。電子支付是通過網絡實施的一種行為,與傳統的支付方式類似,它要引起涉及資金轉移方面的法律關系發生、變更和消滅。
(2)電子支付權利。電子支付的當事人包括付款人、收款人和銀行,有時還存在中介機構。各當事人在支付活動中的地位問題必須明確,進而確定各當事人的權利的取得和消滅。
(3)涉及電子支付的偽造、更改與涂銷問題。在電子支付活動中,由于網絡黑客的破壞,支付數據的偽造、更改與涂銷問題越來越突出,對社會的影響越來越大。
2.4 銀行業科技水平與國際先進技術相比滯后
到目前為止,在我國的金融系統中還沒有出現提供信用支付手段的信用卡公司。“手機銀行”與“網絡銀行”實際上都不過是利用電子終端設備的金融工具,這兩種利用高技術手段的工具并未在金融服務的功能方面提供實質意義的突破,而且這兩種工具的安全性目前尚有缺陷。毫無疑問,我國應當加快新型金融工具的發展步伐。
2.5 支付的安全無法保證
網絡的安全即便在電子商務發達的美國也是消費者十分擔心的問題。世界各國發展電子商務也都存在著這樣或那樣的問題.
3 促進我國電子商務支付業務發展的對策
3.1 加強網絡基礎設施和現代化系統的建設,提高信息化普及率
政府應堅持建設“三金”工程和國家現代化支付系統。持續加大對金融網絡基礎設施的投入,成立專業的金融數據網絡公司來經營管理數據通信網,為金融系統提供安全、快捷、高效、經濟的通信服務;全面推進我國的金融電子化,提高各國有商業銀行的服務水平和國際競爭力。在銀行硬件方面,銀行應該投入足夠的資金購買先進的電子設備,從儲蓄所里的柜員機到大型計算機、從局域網到廣域網,電子設備應深入到銀行內部的各個領域,將電子化網點和營業網點電子化覆蓋率逐步提高。同時,銀行應加大軟件開發力度,推出系列應用系統軟件,主要包括全國性和全行性的網絡系統。
3.2 健全社會整體信用制度,提升電子商務主體對在線支付安全的認知度
在線支付只有在廣大客戶的熱情參與下,才有可能得到進一步發展。為增強客戶的信任,可通過提升網絡安全技術、及時收集反饋信息、密切與第三方合作等途徑來實現。
首先,應提升網絡安全技術,普及CA認證,以增大支付網絡安全系數。網絡安全技術問題的重要性是顯而易見的,如果在線支付存在明顯的漏洞,很容易受到外部的攻擊,經常出現客戶支付信息丟失或出錯等情況,怎么能期望客戶建立起對它的信任?網絡信息的安全技術有很多,如防火墻技術、數據加密傳輸技術、身份鑒別技術、病毒防治技術等。然而,絕大多數客戶對于具體的技術是不可能完全了解的。應使客戶真正了解所受到的安全保護,從而打消對在線支付技術方面的顧慮。
其次,在線支付服務機構應發揮網絡的低成本、高效率的特點,及時收集和反饋信息,了解客戶的要求、抱怨和建議,并及時做出相應的解決方案。為爭取客戶,保持市場份額,在線服務機構必須調整經營管理構架,實施自身業務再造,為客戶提供包括銀行、保險、證券經紀和基金等多樣化服務,體現“客戶中心主義”理念。
最后,支付系統應借助于與第三方的合作,促進客戶建立網絡信任。據調查顯示,在主頁上標明與知名的第三方安全認證機構進行合作的在線支付系統更容易贏得客戶的信任。這種有利于建立并維持客戶網絡信任的第三方合作還可以包括與銀行的合作(包括支付渠道的通暢與安全),以及與信用度較高的網站建立聯盟等,這樣可以使在線支付獲得更大發展。
3.3 實現在線支付經營主體銀行的自身制度創新
在國民經濟體系中,在線支付的經營主體仍將是占據金融中樞地位的商業銀行。商業銀行應以其傳統的人才、資金、技術和信息優勢介入到在線支付業務,對自身管理和業務體系重新構造。
首先應實行經營方式的轉軌。在線支付業務的需求為傳統銀行提供了新的發展方向,在線支付經營主體應將傳統營銷渠道和網絡營銷渠道相結合,走“多渠道并存”的道路,在開展傳統業務的同時,不斷開發出新的金融服務項目。銀行應通過在線經營方向的調整,維持和增加客戶資源,謀求自身更大的發展空間。
第二,應重構金融業務體系。電子商務對在線支付經營主體提出了整合和協同的要求,各參與銀行應加強合作,通過建立金融門戶的形式共享資源,把網絡作為銀行與證券、保險、基金等金融企業合作的平臺,走綜合化、全能化業務發展道路,銀行對結算業務的支持應從單純的在網上為企業用戶提供轉帳結算服務,發展為介入企業的采購和分銷系統,以提高經營效率,為客戶提供“一體式”的全方位服務,推進我國電子商務的發展。
3.4 加強系統的風險防范,加快標準、法律等的制定
【關鍵詞】第三方 網上支付 支付寶 風險
一、引言
網絡世界,雖是一個虛擬的存在,卻同樣是商家一塊必爭的寶地。先后崛起,相互競爭,可謂群雄并立。這是一個創造神話的世界,這是一個英雄輩出的世界,正如美國戰略大師加里?哈默爾在《競爭大未來》(Competing for the Future)一書中宣稱“當下是改寫游戲規則的天賜良機。”從網絡誕生的那一刻開始,注定這是一個創造無限可能的地方。阿里巴巴就是在這樣的時代里出現的神話。如果要研究中國的網絡市場,是無論如何也不能忽略掉阿里巴巴的。雖然不可否認,中國的網絡市場正在蓬勃發展,然而在阿里巴巴試圖將“互聯網帶入網商時代”作為自己使命時,也不得不面臨這么一種挑戰,如何讓網商們在一個安全可信任的環境中自由交易,如何處理龐大的在途資金,如何實現對網絡資本的有效監督,這些都是目前網絡交易面臨的挑戰。在馬云向天下網商發出的“只有誠信的人才能富起來”的口號下,“支付寶”橫空出世,開創了一個電子商務里程碑,迅速占據了國內第三方網上支付市場近一半的份額,穩坐第一把交椅,離實現“天下無賊”的夢又近了一步。
二、看網絡市場,誰主沉浮
截至2005年6月30日,我國上網用戶總數已突破1億,網上購物大軍達到2000萬人,網上購物者半年內累計購物金額達到100億元,網上購物市場巨大。受到電子商務發展的有力拉動,我國網上支付的市場規模發展迅速。艾瑞《網上支付報告》數據顯示,2001年中國網上支付的市場規模為1億元,2004年增長為75億元,年均復合增長率(CAGR)102.7%。
那么究竟什么是網上支付?
從電子商務的含義可以看出,網上支付是電子支付的一種形式。從本質看,其只是一種電子支付手段。在具體的定義上,有著多種大同小異的說法,本文給予網上支付的定義為:廣義地講,網上支付是基于互聯網平臺的一種財務結算過程,其利用相關數字金融工具,在交易者之間實現金融交換,進行交易雙方、金融機構之間的在線貨幣支付、現金流轉、資金清算等過程。網上支付一出現便大大改變了金融市場。在西方,網上銀行的業務量已相當傳統銀行業務量。亞太地區的網上支付和網絡銀行也在急起直追,有了很大的發展。目前,美國、加拿大網上用戶在10萬戶以上的金融機構有十幾家。美國技術市場調查公司加特納公司則在2002年10月9日公布,1999年約有450萬戶家庭每月至少使用一次Internet的網上支付或網上銀行其他功能,這個數字到2005年上升為3350萬,占美國家庭總數的31%,其中使用網上賬戶和電子付賬的消費者比例將上升到45%。而在網上支付中,使用網上票據支付的數量也迅猛增長。據統計,2000年的全球網上支付中票據支付已達到882億次,已經超過傳統紙質票據的830億次;在2003年,全球網上支付中票據支付達到1220億次,遠遠超過傳統紙質票據支付數量。
在全球化的趨勢下的中國,網上支付起步于1997年,招商銀行率先推出網上銀行“一網通”,主要提供企業對企業的資金結算,成為中國網上銀行業務的市場導引者。據《2005-2006年中國電子商務市場及投資機會年度研究報告》顯示,我國2005年電子商務交易額達到7400億元,較2004年增長了54.2%,而近3年來,電子支付市場每年也都以高于30%的速度在增長。雖然電子商務與電子支付均發展迅速,但我國互聯網電子支付與國外電子支付市場相比,國內的電子支付市場只能算是剛剛起步。同年,全球電子商務的交易額達到4萬億美元。2005年被業內稱為“網上支付年”,也被稱為網上支付的破冰之年,我國電子支付市場開始迅速發展。這一年很多電子支付法規得到完善,中國電子支付實現了飛躍式增長。2005年我國電子支付市場規模達到了161億元人民幣,增長率超過100%。據賽迪顧問公司調查,我國的網民目前約1.23億人,從1998年3月第一筆網上銀行進行的電子支付交易成功開始,這項業務發展十分迅猛,2004年電子支付交易額約74億元人民幣,2005年便增到160多億元。電子支付開始為更多的人所接受。
根據專家預測,2008年中國電子支付交易規模將突破1000億元,電子支付發展將呈現多樣化的趨勢,2010年移動支付和電話支付的份額也會進一步擴大。
根據中國互聯網絡信息中心第16次調查統計數據表明,2005年6月底,中國的上網用戶總數達到10300萬,比去年同期增長了8%。從網上消費者的現實情況來看,通過網絡商店購買商品或服務的用戶比例為31.2%,與去年底的31.6%和去年同期的31%基本持平。其中,采用網上支付方式付款的比例由去年底的37.9%上升到41.5%,提高了3.6%,采用貨到付款方式則由去年底的24.4%略漲到24.7%,提高了0.3%。網上支付手段開始為更多的人所接受。
圖1顯示的是根據中國互聯網絡信息中心(CNNIC)的中國互聯網發展狀況統計報告,當交易金額超過1000元的時候消費者愿意采用的支付的調查結果。可以看出網上支付方式也在隨著計算機技術的發展和網民的防范意識的增強處于不斷變換中。從以上調查數據中可以看出,隨著電子商務的不斷推進,當人們在網上購物涉及的商品價值較大時,出于交易習慣和安全、信用各方面的因素考慮,習慣的支付方式是貨到付款,貨到付款方式結算的比例要遠高于網上支付結算的方式。這反映出習慣于面對面一手交錢一手交貨的人們在從事網上交易時的普遍心態,也反映出人們對交易的安全性方面的擔憂在不斷降低,對交易信用的關注度在不斷增加。因此支撐電子商務發展的信用及安全支付體系等環節仍然是電子商務發展的障礙所在。
并且,據中國互聯網絡信息中心(CNNIC)于2005年1月的第15次中國互聯網發展狀況統計報告,消費者在回答有關“網上交易存在的最大問題”時,“產品質量、售后服務及廠商信用得不到保障”和“安全性得不到保障”是被調查者中最關心的兩個方面。
正是在中國目前這樣的網絡市場現狀下,第三方網上支付方式“千呼萬喚始出來”。大浪淘沙后,“阿里巴巴”旗下的支付寶公司的“支付寶”業務逐漸從眾多廠商競逐中脫穎而出,以其特定的技術優勢,細分的服務市場,獨特的經營處方,在電子商務中的第三方支付市場中大顯身手。支付寶一直致力于為中國電子商務提供各種安全、方便、個性化的在線支付解決方案。目前,支付寶是中國最大的第三支付平臺。
2003年10月,阿里巴巴創辦的支付寶網站首先在淘寶網推出,就迅速成為會員網上交易通用的支付方式。2004年,支付寶實現了獨立運營,從其母公司獨立出來成立了支付寶公司。2005年支付寶公司“用支付寶,網上無賊”等安全服務概念頻繁出現在眾人面前,并捧走了由《電子商務世界》雜志主辦的“2005年網上支付高峰論壇”的“最佳人氣獎”。在由《21世紀經濟報道》和《21世紀商業評論》聯合發起的2005年“中國創造獎”中,“支付寶”榮獲“2005年中國最具創造力產品”稱號。評價認為支付寶在目前中國金融服務及網絡安全并不十分完善的環境下,最大程度地保證了網上交易的安全,大大促進了中國電子商務的健康發展。
三、第三方網上支付平臺支付模式
第三方支付平臺是指已經和國內外各大銀行簽約、能與公用網更好地掛接,以解決銀行與公用網掛接經營單一和可能出現安全隱患的問題;同時可以向社會提供信用保障,承擔因不安全而出現索賠等方面的經濟問題,因此,本身有風險承擔能力的第三方獨立機構提供的這樣一個交易支持平臺。通過第三方支付平臺的交易,買方選購商品后,使用第三方平臺提供的賬戶進行貨款支付,由對方通知賣家貨款到達、進行發貨;買方檢驗物品后,就可以通知付款給賣家。2005年,網上支付的發展是無疑是我國電子商務市場的一大看點。網上支付第三方服務平臺2001年是1.6億元,而2004年則達到23億元,根據預測2007年中國第三方支付平臺市場規模將達到215億元的水平。2004年第三方網上支付平臺交易額占網上支付總規模的30.8%。IResearch預測在未來的幾年內,隨著市場對網上支付方式的認可以及單個第三方網上支付平臺承載交易量的提高,該比例會持續上升,2007年有可能達到36%左右,見圖2。
具體到支付寶的支付流程。支付寶的功能簡單來說就是為網上交易的雙方提供“代收代付的中介服務”和“第三方擔保”,其實質是以支付寶為信用中介,在買家確認收到商品前,由支付寶替買賣雙方暫時保管貨款的一種增值服務。使用支付寶進行網上購物的具體流程如圖3所示。
四、結語
在方興未艾的網絡市場里,英雄路,亦乃荊棘路,正可謂“在大海上航行的船沒有不帶傷的。”在一個重新洗牌的游戲規則里,誰先走一步,也許就決定了未來的市場。從支付寶這個第三方網上支付方式的成功背后,也隱藏著決策者的謀略與眼光。不論是中國,還是放眼全球,沒有人可以說這塊網絡蛋糕注定就是屬于誰的。在一個新興的行業,機遇與挑戰并存。中國的網絡市場并不健全,然而卻一直努力地創設一個公平合理的競爭環境。本文正是基于這樣一個時代背景下,從構建第三方網絡支付平臺模式的研究入手,去探討目前中國的網絡市場現狀,并且力圖帶領讀者撥開云霧,在支付寶的牽引下,去思考中國在構建網絡支付平臺的種種努力以及不足,并嘗試做出有根據的比較判斷,我國的網絡市場的有序發展提供一些建設性的意見。
參考文獻:
[1]吳榮梅.EDI在我國電子商務中的應用與發展.科技情報開發與經濟,2007,(1).
[2]孫占利.國際電子商務立法評介.集團經濟研究[J].2006,(9).
[3]全球網上金融服務用戶己突破5000萬.人民日報,2002,(6).