电子支付安全问题及对策研究 下载本文

(三) 互联网环境下电子支付的安全问题及其对策

以上对在物理环境和Windows操作系统平台中,可能对电子支付安全产生的影响做了概括,并给出了相应的防范措施。如果说银行卡账户是电子支付的根,操作系统是电子支付得以生长的大地,那么互联网环境则是电子支付这棵树生长的水,看似无形,却贯穿了电子支付的每个细胞、每个环节。正因为有了互联网,电子支付才得以发展,但“成也萧何败萧何”,互联网环境下的电子支付安全问题就如泰坦尼克将遇到的冰川,虽然只露出了一角,却足以颠覆整个电子支付。这里,我们将对在互联网环境下的电子支付可能产生的安全隐患进行简单梳理,他们主要包括:

1、身份识别问题

在一般的实体贸易支付活动中,身份识别并不存在多大的问题,即使交易双方当事人均未到场,通过各自的身份认证(签章或者证明)和实体现金支付和结算,“一手交钱,一手交货”,代理人都可以代替完成交易。与一般的商务活动中支付环节相比,电子支付的身份识别便复杂得多。网络环境下的电子支付极有可能双方未能见上一面,签章或者证明也可以被轻易伪造,更何况,电子商务从达成订单到确认收货有一个时间差。在这样的条件下,如果没有很好的身份识别和权威认证,极有可能出现仿冒他人身份参与支付过程、身份抵赖等情形的发生,严重时造成网络诈骗,给参与电子支付的参与方带来严重损失。

2、支付信息被伪造、拦截和篡改

除了身份认证这种常规型的安全问题以外,电子支付中还会出现诸如黑客攻击等恶意破坏和获取信息的行为。黑客常用的伎俩包括:拦截支付信息、利用计算机系统漏洞或者木马等病毒将伪造的信息包注入真实支付信息当中、篡改支付金额等内容以实现破坏支付信息真实、完整甚至非法牟取私利的目的。

3、支付信息泄露

互联网作为一个开放的平台,任何人都能参与其中。当然电子支付作为在互联网环境下进行的支付行为,必然会将电子支付关键三方:买方、卖方和信用机构(如银行)都暴露于这个开放的平台之上。此时“我在明处,他在暗处“,支付信息便可能面临被监听、观察甚至窃取等一系列风险。如,三方中任何一方在支付过程中不注意自身的支付信息安全,都可能面临重要信息被窃取,而这将给在互联网环境下的电子支付以致命的打击。

4、支付信息被抵赖

11

在传统交易当中,支付双方需通过合同、签章或者第三方公证等方式,来证明支付信息的合法性和不可抵赖性。如果一方产生支付信息抵赖,也可以通过自己手上掌握的实体资料作为上诉凭证,诉诸司法机关。依据“白纸黑字”定能有理有据证明自己的支付信息的真实性,也让抵赖者没有可乘之机。而网络环境下的电子支付却本身具有极大的虚拟性色彩,支付过程几乎没法提供上述“有理有据”的证据。如果一次支付不能证明其真实性,防止支付信息被抵赖,那将给买方带来一些列“支付后”后遗症,也就没办法保证互联网条件下的电子支付的持续性和规范性。

面对纷繁复杂的网络环境下的电子支付问题,我们不能坐以待毙,而应积极地去需求解决方案。我认为有以下方案可供参考:

1、用户在银行办理开通网上银行时,可以选择银行提供的网银安全工具。网银认证工具目前可以分为类:短信验证、密保卡验证和K保、K令等数字证书验证。这些安全等级逐一提高,很多银行也支持同时开通多项网银认证工具。比如在输入K保密码后,银行还会发送一串随机密码到用户移动终端,这种双项甚至多项验证必将为用户带来更高质量的电子支付安全保障。用户在网页输入密码时,也应尽量选择软件盘输入。这是因为,物理键盘在电脑被木马等病毒控制的情况下会记录该密码并发送到木马制造者指定的邮箱,在悄无声息的情况下,用户信息可能已经泄露,必将给电子支付安全带来不小的影响。另外,支付完成应该及时关闭电子银行的支付页面并拔出网银工具,并放在安全的地方,以免遗失。如果不小心遗失,须尽快到就近的银行办理挂失手续,把可能的损失降到最低。

2、用户在选择支付时,应看清网页是否安全。一般情况下,电子银行网站的网址会采用443端口,即以“https://”开头,这表示将提供加密以及通过安全端口进行传输,同时地址栏的前方出现一把锁的标记。支付前,还应检查应付款项和商品是否符合,支付完成以后,最好能登录自己的电子银行检查该笔交易是否真实,并且查看卡内余额是否准确,以保证万无一失。

3、在选择交易和支付平台时,也必须仔细查看网页是否真实。如今有许多“钓鱼网站”,内容和真实的网站几乎一模一样,但网址却被更改(如仿淘宝的钓鱼网站www.taopao.com)。这类网站,有些是任何用户名和密码都能登录,然后记录用户的个人信息,更有甚者,将钓鱼网站的登录页面和真实网站的数据库进行关联,让用户打消最后一点疑心。但假的终究是假的,它会对用户的信息和电子支付产生巨大的威胁,必须引起我们的高度重视。应对此类风险,用户电子支付过程中可以选择正版的杀毒软件

12

支付安全插件,这些插件会随时追踪用户浏览网页,确认订单和支付的全过程。如果是正规的网站也会有相应认证,如标示“官网”,非法网站和可能疑似钓鱼网站也会第一时间提醒用户,保证电子支付的安全。

4、在电子支付领域还有很多安全问题,不是哪个用户或者哪个企业就能够做到淋漓尽致的,必须依靠参与其中的每个人每个群体的共同努力。支付平台和电子银行要严打技术关,用硬技术为每个用户编制一张坚实的安全网;用户须时刻注意自身信息安全,防患于未然,提高自身的参与电子支付的防患意识,不让不法分子有可乘之机;除此之外,我国政府,特别是关于互联网安全监管部门,还应不断完善电子支付的各项法律法规,建立和完善各种认证标准,提高标准的国际化水准,做到和国际接轨,建立切实可行的互联网安全监督管理机制。让广大网民和参与电子支付的企业能够放心、安心的参与到电子支付中来,为电子商务坚守住最后一道防线,花大力气解决制约电子商务发展的瓶颈问题,让电子商务的生命线不断延续。

六、新型电子支付形式及其安全问题

电子商务呈现迅猛发展态势的同时,电子商务的媒介在悄然发生着变化,带动电子支付革新的暗流正在涌动。手机等新型的电子支付媒介,因其便捷时尚备受人们,特别是年轻人的追捧。

手机支付,也称移动支付,主要是指用户为了购买某种商品或者服务,通过移动终端(通常是手机,还包括pad,移动PC等)利用无线信号数据(包括了数据流量、WiFi等)完成支付的方式。移动支付伴随着电子商务网站纷纷推出各自移动应用软件(APP),大势抢占移动电子商务市场迅速升温,前景被很多人看好。数据研究公司IDC预测报告显示,到2017年全球移动支付的金额将突破1万亿美元大关,电子支付将逐步过渡到移动支付领域,其潜力不容小觑。新型电子支付形式,作为一个新生事物,我们主要以移动支付作为例子引出,并逐一剖析其可能出现的安全问题和防范策略。

(一) 移动支付的分类

目前移动支付主要可以分为两类:一类是话费支付(也可以称为近程支付),即通过移动运营商和其他商家达成协议,可以用手机卡中余额作为结算货币完成支付。此类移动支付在支付款额上受到了一些限制,主要用于小额支付,如很多城市都开通使用中国电信卡余额刷乘公交车的费用,也能用于一部分便利店的商品支付。另一类,相当而言,我们可以称它为远程支付(也叫快捷支付),顾名思义,即我们的支付的方式并不是

13

像近程支付那样必须让卡贴合刷卡终端完成支付,它也将关联到是用户的银行卡。这种支付需要用户利用移动终端安装的第三方软件发送指令(涉及网银、电话银行和第三方支付等)完成该支付软件和银行账户、密码的绑定,并通过银行开户时预留的电话号码进行身份认证,在将来支付时便可以只需输入密码便可以完成支付的方式。这种支付的认证性相对于近程支付的应用范围更广,并且有第三方支付机构、银行的担保和参与,防止支付抵赖的发生,广大网民正在逐渐接受这种支付方式,支付金额也相对较高。这里,我们讨论的移动支付主要指后者。

(二) 移动支付特征

1、移动性。一般意义上的电子支付必须要有一台用宽带线接通互联网的计算机才能完成支付。这会大大限制人们电子支付的时空范围:必须在一定的时间、一定的地点一定的环境中完成交易,而这些就为电子支付或者说电子商务的发展化了一条红线,严重制约电子支付的发展。就拿购物的种类而言,如今的网络购物涉及穿的衣服,用的日用品,而吃、行等日常支付却爱莫能助。而这却是一片盲区,里面潜藏着巨大的商机。移动支付正好解决了这个问题,人们或许每一个月买一次衣服,每半个月消费一次日用品,却会每天在吃和行上进行多次支付活动,集腋成裘,这种滚雪球效应相当明显。移动支付,并不需要那么多的设备,甚至不需要网线和wifi,如今的4G网络能够给用户高速的移动支付体验,随时随地只要有一部能上网的手机便可以完成支付。

2、及时性。在上文我们提到传统意义上的电子支付具有一定的及时性,但这种及时总是有限和相对的,用户要查看订单,查询余额,转账,购物都无形中限制了支付的时空范围。而移动支付的及时性十分明显,能让人们随时随地查看交易的状态,完成支付,查询等功能。

3、个性化。基于移动互联网的通讯技术,用户可以选择自己喜欢的手机操作系统,并且可以定制自己的消费方式和个性化服务,让电子支付变得更加简单、快捷和富有个性。

(三) 移动支付安全问题及其对策分析

虽然移动支付有诸多传统电子支付没有的优点,但其背后给新型电子支付带来的安全隐患也值得我们高度重视。比如手机也会有木马病毒,并且其隐蔽性、传播速度和破坏性不比电脑病毒差;移动支付缺少银行的安全工具作为强制认证,快捷支付速度是快,但总让很多消费者觉得没有安全感;手机相对于电脑更易丢失,信息安全隐患比电脑更大;手机应用软件有诸如获取个人信息等权限;某些不法软件公司将恶意软件作为后台

14

程序植入手机系统软件等等。这些问题伴随着移动互联网的发展而应运而生,如何去破解这些难题是困扰着新型电子商务,也让电子商务发展的步伐显得如此沉重。

针对上述移动支付出现的问题,我认为可以通过以下途径进行防范:

1、手机也应该安装正版杀毒软件,不定期对手机进行安全扫描,做到未雨绸缪。不要轻信陌生人涉及身份和银行账户信息的短消息或者电话。如今的手机杀毒软件大都具有财产保护功能,能检测出软件的权限,屏蔽掉一些此类消息,但最主要的依然要靠用户自身安全意识的不断提高。

2、相关部门应加快研制适合手机支付的安全工具,研究解决制约移动支付发展的技术瓶颈,让消费者能真切感知移动支付的安全保障。

3、电信服务营业商应加强手机卡的实名制登记工作,确保用户身份真实,并且能在丢失的第一时间进行挂失、补办。加强诸如4G的基础设施建设,让移动支付的带宽一路畅通。

结论

当然,社会在飞速发展,技术在不断更新,加之作者本身学识有限,本文列举的关于电子支付的安全问题和对策并不能穷尽一切。技术一直落后于问题,我们只有不怕问题,遇山开路,涉水搭桥才能不断完善自身对电子支付问题的认知和意识,这是不争的事实,但电子支付安全可以再进一步,更进一步。只有我们每个人做到了对可能发生的电子支付安全问题了然于胸,才能“防之于未有,治之于未乱”。了解电子支付领域的漏洞,并想法设法去克服、去规避它,才能共同攻制约电子商务发展的一大瓶颈,不断把我国的电子商务从深度和广度上不断发展下去。

本课题后续研究,可以继续深入探讨新型电子支付的安全问题的解决机制,特别是技术瓶颈的破解。移动支付的前景不可估量,同时也会遇到更多的亟待解决的安全问题,这既是机遇也是挑战,需要更多的研究去充实和破冰。

15