目录
一、电子支付的的特点和发展现状 (4)
1.1 目前常用的电子支付手段 (4)
(1)第三方支付 (4)
(2)网银支付 (4)
(3)认证支付 (4)
1.2 电子支付的特点 (5)
1.3 电子支付的发展现状 (6)
(1)移动支付快速增长 (6)
(2)从线上支付向线下交易延伸 (6)
二、电子支付中存在的问题 (6)
三、电子支付的安全措施 (7)
3.1 技术上的安全措施 (8)
(1)加密技术。 (8)
(2)数字签名技术 (8)
(3)电子支付的协议 (9)
(4)USB Key证书 (9)
(7)Active X安全控件 (10)
(10)预留“欢迎信息” (11)
(11)资金限额管理 (11)
(12)会话超时 (11)
3.2 法律上的安全措施 (11)
(1)国家立法的安全措施 (11)
(2)银行方面的控制法规 (14)
3.3 社会诚信体系上的安全措施 (15)
3.4 相关管理机构的安全措施 (17)
3.5 电子支付用户的注意事项 (17)
四、总结和建议 (18)
一、电子支付的的特点和发展现状
1.1 目前常用的电子支付手段
(1)第三方支付
第三方支付本身集成了多种支付方式,
流程如下:
1、将网银中的钱充值到第三方。
2、在用户支付的时候通过第三方中存款进行支付。
3、花费手续费进行提现。
第三方的支付手段是多样的,包括移动支付和固定电话支付。
最常用的第三方支付是支付宝、财付通、微信支付。
(2)网银支付
直接通过登录网上银行进行支付的方式。
要求:开通网上银行之后才能进行网银支付,可实现银联在线支付,信用卡网上支付等等,这种支付方式是直接从银行卡支付的。
(3)认证支付
认证支付是由连连支付为互联网金融行业打造的一款支持实名认证的新型支付
产品。相比以往的网银支付和第三方支付方式,传统的在线支付方式操作流程比较繁琐,用户必须开通网银、使用U盾才能完成支付,用户体验极差,而且无法识别用户身份。而普通的快捷支付产品又受到额度限制,无法满足用户在互联网理财方面的需求。因此,在互联网金融行业,亟待一款安全性极高,又可以满足用户支付额度需求的支付产品。认证支付便应运而生,并且认证支付还能能够确保互联网金融行业的高安全要求,实现了投资人与持卡人的身份的识别,确保了交易安全。
1.2 电子支付的特点
与传统的支付方式相比,电子支付具有以下特征:
(1)电子支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等实体是流转来完成款项支付的。
(2)电子支付使用的是最先进的通信手段,如因特网、Extranet;而传统支付使用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其它一些配套设施;而传统支付则没有这么高的要求。
(3)电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC机,便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。
(4)电子支付的工作环境是基于一个开放的系统平台(即因特网)之中;而传
统支付则是在较为封闭的系统中运作。
1.3 电子支付的发展现状
(1)移动支付快速增长
根据中国人民银行发布的数据,2016年中国银行业金融机构处理的移动支付业务量和金额比2015年同期分别增长 85.82%和45.59%,均高于同期网上支付的增长率。
(2)从线上支付向线下交易延伸
2016年越来越多的线下商家开始接入微信支付和支付宝支付,百度钱包、苏宁易付宝等也开始向线下渗透,甚至一些没有刷卡机的小商家也将二维码作为客户消费结账的支付方式。
(3)跨境支付表现抢眼
2016年“双十一”期间,支付宝和微信支付均表示跨境支付业务较2015年有了大幅增长。其中,中国游客在海外使用支付宝的交易笔数较2015年同期增长近4倍,人均消费超过1000元。韩国、泰国、中国香港、日本、德国等地均成为无现金处境消费的热门目的地。
(4)行业监管力度加大
2016年8月,中央银行公布了首批非银行支付机构牌照续展结果,并明确表达了“总量控制,结构优化,提高质量,有序发展”的审慎监管态度。截至2016年10月,全国共有267家支付机构获准从事支付业务,3家企业已被注销支付许可。严格执行行业法规,重塑行业信用,成为2016年央行对第三方支付行业监管的重要思路。
二、电子支付中存在的问题
1.网上支付的安全问题。造成网上支付发展的安全风险主要有三个方面:一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交
易信息在消费者与银行之间传递的安全性。无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
(1)密码管理问题。大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。
许多攻击者还会直接使用软件强力破解一些安全性弱的密码。因此,因此建议用户使用复杂的密码,降低被病毒破译密码的可能性,提高计算机系统的安全性。需要注意:一是密码不要设置为姓名、普通单词、电话号码、生日等简单密码;二是结合大小字母、数字共组密码;三是密码位数应尽量大于9位。
(2)网络病毒、木马问题。现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视lE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
(3)钓鱼平台。网络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露自己的财务数据,如信用卡号、账户号和口令等。
2.网上支付的信用问题。在网络支付中由于其虚拟性,超时空性等特点,使双方互不相见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。
3.网上支付的法律问题。目前制约网上支付发展的立法问题主要包括:谁来发行电子货币;如何进行网络银行的资格认定;怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
4.网上安全认证机构(CA)建设混乱。在网络上,为了完成交易,交易双方的身份都必须通过第三方得到确认,电子商务认证机构由此产生。电子认证机构的职责是核实使用者的身份,负责电子证书的发放管理,及时公布无效的证书。
三、电子支付的安全措施
3.1 技术上的安全措施
(1)加密技术。
加密技术是实现电子商务安全的一种重要手段,目的是为了防止合法接收者之外的人获取机密信息,按密钥和相关加密程序类型可把加密分为两种对称加密(秘密密钥 )和非对称加密。
①对称加密加密解密过程
A.对称加密的算法基于迭代和替换,属于对称型加密系统。
B.文件的加密和解密使用同一个密钥和同一算法。
C.发送方和接受方必须共享密钥和算法。
D.密钥必须保密。
②公开密钥系统
由于对称加密通常也需要经过网络传输,因此,如果有人截获了秘密密钥,也能对加密文件进行解密。这就存在一个如何对秘密密钥进行加密传输的问题。公开密钥系统解决了这个问题。
公开密钥的加密、解密过程
A.公开密钥的算法基于数学函数,属于非对称型加密系统。
B.密钥为一对,一个用于加密(公开密钥),一个用于解密(私
有密钥)。
C.发送方和接受方拥有一对密钥中不同的一个。
D.其中,公开密钥是公开的,私有密钥必须由拥有者保密。
(2)数字签名技术
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字签名是非对称密钥加密技术与数字摘要技术的应用。
(3)电子支付的协议
①SSL协议。安全套接层协议(SSL,SecuritySocketLayer)是网景(Netscape)公司提出的基于 WEB应用的安全协议,它包括:服务器认证、客户认证 (可选 )、SSL链路上的数据完整性和 SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。
SSL协议提供的服务主要有:
A.认证用户和服务器,确保数据发送到正确的客户机和服务器;
B.加密数据以防止数据中途被窃取;
C.维护数据的完整性,确保数据在传输过程中不被改变。
②SET协议。是一个能保证通过开放网络进行安全资金支付的技术标准。它采用公钥密码体制和 X.509数字证书标准,主要应用于保障网上购物信息的安全性。SET使订单信息
和信用卡信息隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。由于 SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
(4)USB Key证书
USB Key证书是目前多数中资银行采用的安全认证工具,是一种USB接口形式的硬件设备,可存放网银数字证书。内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。数字证书如果存放在浏览器(电脑硬盘)中,容易被复制、窃取,安全性差;而如果存放在USB Key中,便无法复制、导出,即使电脑中了木马病毒,也不会被窃取,安全性非常高。
优点:安全
缺点:要交工本费;使用时要插在电脑上,需要安装驱动,有时不太方便。(5)动态口令卡
动态口令卡是动态口令的载体。每张动态口令卡覆盖有若干个不同的口令。您在启用动态口令卡后,进行网上银行办理转账汇款、缴费支付、网上支付等交易时,需按顺序输入动态口令卡上的密码,每个密码只可以使用一次。
优点:安全,简单
缺点:每张卡使用次数有限(一般为30次),用完后就得到银行重新购买。(6)软数字证书
数字证书就是一个包含个人身份信息的电子文件,证明互联网上“您是谁”,就像您的“网络身份证”。这个“网络身份证”是由一个权威的第三方安全认证机构发放的。数字证书是网银安全的根本保障,是被国内外普遍采用的一整套成熟的信息安全保护措施。软数字证书就是将数字证书存放在浏览器中(存在移动硬盘中的就是USB Key证书)。
优点:免费
缺点:容易被复制、窃取,安全性较差。
(7)Active X安全控件
目前大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登陆界面。不过这已被公认为很不安全的一种登陆方式,而且由于一些银行将安全技术通过ActiveX捆绑在了IE上,这给其它操作系统和非IE用户带来了一些不便。不过利用ActiveX安全控件多一层保护也不失为一个办法。
优点:简单缺点:太不安全了
(8)动态软键盘
动态软键盘的好处在于:每次出现的按键键位都不一样,增加了恶意软件获取真实密码的难度。使用动态软键盘输入密码时,是使用鼠标直接在电脑屏幕上点击密码,木马程序无法监测到用户的密码输入;而且软键盘上的数字是动态显示的,每次登录时数字在软键盘上的位置显示是不同的,可以避免输入时密码被旁边的
人看到。
(9)短信提醒
目前多数银行都向网银客户提供短信提醒服务。您可根据需要定制一系列提示信息,如网银登录提醒、网银密码连续输错提醒、转账汇款提醒等,以随时了解网银变动情况,使网上交易既轻松又安全。
(10)预留“欢迎信息”
您预留的“欢迎信息”是提高您对“钓鱼网站”辨别能力的一种简单有效的方法。您设置好“欢迎信息”后,在每次登录时,该信息将显示在欢迎页面上,如该网站未能正确显示您预留的欢迎信息,说明该网站不是您想登录的银行网站。(11)资金限额管理
为防范风险,部分银行对不同风险级别客户限定的不同资金限额管理。如大众版网银客户,当日转账资金限额300元或0元。有的是客户自己设定每日交易资金最高限额,若需要更改这一限额,需要某些条件。这也增加了黑客盗取资金的难度,将风险控制在有限的范围内。
(12)会话超时
如果您在登录网银后,在一定时间内未向网银系统发送任务服务请求(包括提交交易指令、切换网银页面等),系统将自动退出网上银行服务,以避免他人在您中途离开或忘记退出时非法操作您的账户。有的银行会话超时设定为1分钟,有的设定为半小时。
3.2 法律上的安全措施
(1)国家立法的安全措施
2004年8月28日,十届全国人大常委会第十一次会议表决通过了《中华人民共和国电子签名法》,于2005年4月1日起施行。《电子签名法》首次赋予可靠
电子签名与手写签名或盖章具有同等的法律效力,并明确了电子认证服务的市场准入制度。
2004年年底,在国务院办公厅信息化领导小组第四次会议上,通过了《关于加快电子商务发展的若干意见》。意见阐明了发展电子商务对我国国民经济和社会发展的重要作用,提出了加快电子商务发展的指导思想和基本原则,还提出了一系列促进电子商务发展的具体措施。
2005年3月31日,国家密码管理密码管理局颁布了《电子认证服务密码管理办法》。
2005年4月18日,中国电子商务协会政策法律委员会组织有关企业起草《网上交易平台服务自律规范》正式对外发布。
2005年6月,央行发布了《支付清算组织管理办法》(征求意见稿)。
2005年10月26日,中国人民银行发布了《电子支付指引(第一号)》,意在规范电子支付业务,规范支付风险,保证资金安全,维护银行及其客户在电子支付活动中的合法权益,促进电子支付业务健康发展。
2006年颁布的《中华人民共和国第十一个五年规划》将“积极发展电子商务”作为一项重要的任务提出来。强调“建立健全电子商务基础设施、法律环境、信用和安全认证体系,建设安全、便捷的在线支付服务平台”。
2006年5月,中共中央办公厅、国务院办公厅发布了《2006——2020年国家信息化发展战略》。
2006年6月,商务部公布了《中华人民共和国商务部关于网上交易的指导意见》(征求意见稿),有效的避免了网上交易面临的交易的安全性问题。