电子支付安全问题与对策研究毕业论文文档格式.docx
《电子支付安全问题与对策研究毕业论文文档格式.docx》由会员分享,可在线阅读,更多相关《电子支付安全问题与对策研究毕业论文文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
相对于传统商务而言,电子商务之所以得以迅猛发展得源于电子支付的安全保障和其得天独厚的优势。
(一)电子商务相对于传统商务的优势及特点
1、交易虚拟化:
数字化贯穿于电子商务的始终,从查询商品到咨询协调价格,到下单支付,甚至顾客查询物流情况到收到商品后的确认收货,对整个购买环节进行点评都通过互联网来完成。
2、交易成本低:
由于没有传统交易繁琐的过程,电子商务大部分交易流程均在互联网上完成,这样卖方就省去了一大笔的店铺门面出租费用,人工费,税费等,买方则少了交易的交通费等,从而大大降低了交易的时间成本和劳务成本。
3、交易效率高:
电子商务依靠其得天独厚的网络优势,顾客可以及时向卖家发出订单和需求,卖家根据顾客的订单和需求生产和批发相应商品,甚至实现一对一定制服务。
当交易发生变更时,能在第一时间修改订单状态和对生产的跟踪,从而提高了交易的效率
4、交易透明化:
网上交易虽不如实体店交易的真实,不能调动除视觉以外的其他感官去对细节进行感知,却可以通过互联网得到真实的产品属性,让每个消费者都有一个强大的“智囊团”,轻松货比三家,明明白白消费。
(二)电子商务的现状和瓶颈
电子商务凭借其优势得以迅猛发展。
从中国电子商务研究中心了解到,截止到2012年底,我国电子商务交易总体规模达到7.85万亿人民币,同比增长30.83%。
其中,B2B电子商务交易额达6.25万亿,同比增长27%。
而2011年全年,中国电子商务市场交易额达6万亿人民币,同比增长33%,占GDP比重上升到13%;
2012年,电子商务占GDP的比重已经高达15%。
预计今年我国电子商务规模将突破十三万亿大关(如图1-1)。
与此同时,越来越多企业和个人在电子商务中选择了电子支付作为支付结算方式。
从中国金融认证中心了解到,截至2012年12月,我国使用网上电子支付的用户达到
图1-12009-2014年中国电子商务市场交易规模(万亿元)[10]
2.21亿,预计全年支付规模会达到2.7万亿元。
不仅如此,电子支付行业的市场前景广阔,工信部信息安全协调司副司长春燕表示,力争在2015年电子商务交易额达到18万亿元。
在参与群不断壮大和互联网产业链不断做大做强的同时,电子支付安全问题也不断见诸报端。
据统计,2012年2月到9月,针对金融行业的钓鱼达到4629个,大大增加了电子支付机构的防难度。
此外,针对金融行业的移动安全威胁以及APT的攻击也呈现迅速增长的态势。
出于各种原因,高速发展的电子商务行业也遭遇到了一次“倒春寒“,人们对于电子商务安全的担忧日渐凸显,如何发现和解决迫在眉睫。
首当其冲的便是电子支付的安全。
三、电子支付概述及安全问题的由来
(一)电子支付含义
电子支付安全问题是人们更愿意选择网络进行商贸活动的保障,也控制着网上交易的最后一道防线,是电子商务成败的生命线;
电子支付安全也是制约电子商务继续更好发展的瓶颈。
广义的电子支付包括:
①银行之间的业务结算,包括转帐收付、现金存取、代理业务、汇兑业务、中间业务,存款、贷款、票据业务等;
②银行与其他机构单位之间的结算:
如代发工资,代缴费用等;
③用户自动柜员机的操作:
如银行的存取款,电信营业厅的存话费等;
④销售终端:
各种销售终端提供的扣款业务,如微信,淘宝等APP手机应用软件;
⑤网上支付:
通过互联网随时直接转账结算等。
狭义的电子支付是指网上交易参与者(包括卖方、卖方和金融机构等)通过网络进行的货币收支或资金流转,以达到达成订单的目的的过程。
电子支付是电子商务系统的最重要组成部分之一(如图2-1)。
图2-1广义电子支付的构成
(二)电子支付分类及特点
电子支付按支付媒介分,可以分为:
网上支付、支付、移动支付等。
1、网上支付
网上支付是电子支付最常见的一种形式。
一般来说,网上支付是以互联网作为媒介,买方和卖方利用银行签发或者支持的金融工具进行金融交换,从而实现从买方到金融机构、卖方三者之间的在线货币支付、现金流转、资金清算、查询统计等功能的过程,以此为电子商务参与者和其他机构提供服务的行为。
2、支付
支付是相对网上支付的线上交易而言的,消费者可以通过移动终端(如固话,手机,小灵通)接入各大银行的银行,就可以使用银行账户轻松支付货款(如快钱)。
3、移动支付
移动支付也可以成为手机支付,也就是消费者可以使用移动终端(如手机、平板电脑等)对消费的商品或者服务进行支付的一种方式。
单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。
移动支付是继传统支付、网上支付、支付以后出现的一种新型支付方式,用户可以利用手机应用软件上轻松完成货款支付、账户查询等功能。
(如微信支付)
(三)电子支付流程及安全问题由来
虽然,电子支付支付形式上和一般的商务活动有很多的不同,但同为资金流的承载,也有相同之处,那就是“始于银行,终于银行”,银行构成了电子支付的源流,现金流将会在电子支付的河流中经过重重关卡,实现它对一项电子商务活动的价值,然后悄然回到它的起点,完成使命的回归。
资金的河流流经之处,也是要完成电子支付必经之路,因此任何关卡都将成为电子支付安全的重镇,弄清电子支付流程对电子支付安全至关重要,下面,我们就以一次淘宝购物为例来看下电子支付的流程:
1、准备工作
要想完成电子支付,就必须携带有效件到银行办理相应的支付结算工具,包括银行卡(账号和密码)、安全支付工具(K包、K令、手机动态验证等);
拥有一台连接互联网的电脑,并完成银行支付结算工具的激活、支付平台账号注册等准备工作。
2、商品查询、询价
第二步也是必须的,正所谓“巧妇难为无米之炊”,登录正规购物平台完成商品查询、咨询并协商好价格,将商品拍下或放入购物车,提交订单等待支付。
3、完成电子支付
客户登录后台,仔细检查订单商品和金额是否准确,检查完毕,把相关加密信息发送给支付网关,页面跳转至银行支付平台;
此时,用户需要登录并验证自己的银行账号、密码、电子证书等信息,等待银行授权;
在验证成功后,银行网关会通过通道,反馈支付支付请求,将款项划入第三方支付平台,并经由平台告知卖家支付成功,提醒其发货。
4、后续工作
在卖家收到支付消息后,会完成后续工作,如发货;
买家在收到商品后,需要进行收货确认。
此时,第三方平台才会把款项划到卖家账户,保证了整个电子商务的安全和有序。
通过以上的分析,我们可以得出电子支付所涉及畴,包括了物理介质(如银行账户、密码)、软件介质和管理方面等。
如果其中的任何一项应用不当,都会起到牵一发而动全身的作用,给电子支付安全带来巨大风险。
四、触发电子支付的安全问题的原因
要避免电子支付的安全问题,首先必须弄清楚一系列可能触发电子支付安全的因素。
归集起来,主要有以下几点:
(一)互联网自身的缺陷
Internet作为一种开放的、共享的网络,安全性方面有先天发育不足的弊端。
其自身的在设计时便很难兼顾安全性和方便性、大众性。
或者说,受众人群和信息传输通畅至始至终都是是信息高速公路的首先考虑的,这便使安全、服务、带宽等方面大打折扣,而这无疑会对电子支付安全构成一定威胁。
(二)软件的不完善和漏洞
软件开发者在开发软件时开发语言选择给电子支付带来了安全隐患,如使用C语言开发的软件就要比JAVA开发的漏洞要多。
但不管选择任何语言编写的程序,都不能保证把所有安全问题挡在门外,因此我们经常看到在一个软件安装后会有一系列的补丁陆续发布让用户去下载并安装。
另一方面,开发者不能穷尽所有可能的漏洞,补丁总滞后于漏洞,当一个漏洞爆出,总要等到一些用户的利益受到损失,开发者才会发现自身的不足。
而这对电子支付可能是相当致命的打击。
(三)黑客的攻击
由于缺乏对互联网犯罪的有效追踪和反击,导致黑客的攻击的杀伤力往往具有极强的摧毁性和极好的隐蔽性。
目前互联网上有超过20万黑客,其成立目的便是为黑客与黑客间搭建一个技术交流、热门攻击工具分享的平台,其攻击方法达到上千种之多,让人防不胜防,这为网络安全,特别有有关支付信息的传送安全带来巨大安全隐患。
(四)管理不当以及人为因素
加大对网络和系统的管理,提高人对安全问题的防意思是阻止电子支付安全的问题发生的重要手段。
然而很多企业、机构甚至个人都缺乏对自身安全信息的保护和监管。
有关数据显示,美国90%的IT企业对黑客的攻击防备不足,大部分企业在数据数据权限授予和管理时混乱,没有完备的管理人员进入和退出机制;
人们在现实生活中对自己的身份、账户、密码等隐私信息保护的重视力度不够,导致信息泄露引发电子支付安全问题的案例也时有发生。
在这样的情形下,电子支付问题频频映入眼帘也算意料之中的事了。
五、电子支付安全隐患及应对策略
正因为触发电子支付安全问题的因素颇多,所以电子支付的安全隐患是多方面的。
从支付的过程涉及的畴来看,银行账号密码信息安全、计算机系统本身安全(又可以分为硬件安全和软件安全)、网络传输安全等都属于电子支付安全要研究的领域。
从人的层面又可以分为技术上的和管理上的;
管理上有可以分为部的管理和外部的管理等。
这里主要从以下几个方面做具体的分析:
(一)银行账号和密码安全
如今的电子支付形式虽然多种多样,但大部分仍需要通过关联银行卡进行转账和支付。
因此由于个人银行卡账号和密码等信息泄漏给电子支付安全带来的隐患不容小觑,我们甚至可以认为银行账号和密码等信息是电子支付的根,如果别有用心的人拿到了这些信息,便可以顺藤摸瓜,伪造电子支付人的信息完成支付。
而这在现实生活中出现的案例不胜枚举。
当我们在搜索引擎中输入“银行卡”三个关键字时,在出现的搜索结果中映入眼帘的除了少部分对银行卡本身介绍以外,便冲刺着各种银行卡被盗刷的信息:
“男子银行卡被盗刷83万,法院称举证银行过错较难”“账号绑定银行卡,一个生僻字微信红包成死钱”等等,让人触目惊心。
(如图4-1)有关数据显示,2006年至2010年,全国检察机关受理移送起诉的金融犯罪案件前三位,信用卡诈骗数量独占鳌头,占了全部金融犯罪案件的38.8%,数量从2006年的700余件激增至2010年的近7000件。
种种新闻背后,却是我们对银行卡账户信息泄露给电子支付带来的巨大的安全隐患的担忧,银行卡是电子支付安全的第一关,也是最为重要的安全阀门,处理得好,有“一夫当关万夫莫开”之势;
处理不好,就为电子支付埋下了一颗随时都可能爆炸的定时炸弹。
图4-1搜索“银行卡”出现的搜索结果
那么如何防愈演愈烈的银行卡安全问题呢?
我认为可以通过以下手段保证自己的合法利益受到不法分子的威胁:
1、各种卡分开存放
大部分人外出时,钱包里都放满了各式各样的卡,其中不乏就有、工资卡、家庭储蓄卡和消费卡。
而一卡掉,全卡失,这本身为自己第一时间挂失和补办带来很大麻烦,同时为不法分子赢得了时间。
为了图省事、便于记忆,一些人把各种卡的密码设为了同一密码,殊不知这也让不法分子有可乘之机:
如果对方破译了其中任何一个密码,其他密码便顺利破解。
为了防止诸如此类事件的发生,我们在日常出行时,可以只携带拥有少量金额消费卡出门即可,并且可以设置借记卡的消费上限,和银行卡放在不同的位置,可以专门安排一个密码本存放于家中,专门用来记录银行密码,并妥善保管。
2、设置密码有技巧
一部分人为了易于记忆,总是把密码设置为与手机号,号,生日相同或者相关的数字甚至非常简单的字符串。
这种做法极其危险,现代社会身份信息的买卖不时见诸报端,没准看似没多少人知晓的“隐秘”信息,早就为人所知,这些人中难免就有别有用心之人。
密码设置成上述类型,无疑为对方轻松破解提供了方便。
一般情况下,设置密码要避开简单数字串,如123456或者112233等;
也应避开为与手机号,号,家人生日相关的数字的密码;
同时密码也不宜存入手机,更不能为图方便把密码写在银行卡上。
3、防欺诈短信
此类诈骗伎俩应早已为人所熟知了。
受到涉及到钱财的短信、都应该保持警惕:
多反问自己这可不可能是骗术,不要相信天上会掉馅饼。
如果按照他们的方式去做,很可能落入对方的圈套,一步步将自己套牢。
如果非得交易,也必须多方查询对方的真实身份和信息,有必要时可拨打官方或公安机关咨询或求助。
4、交易凭条应妥善保管或者及时销毁
每次消费、存取款后,商家或者银行都会提供一凭条作为凭证。
但小小的一拼条上却隐藏着一系列客户信息,如果不经意扔掉,落入不法分子手中将带来巨大的安全风险。
为保证自身信息安全和账户安全,交易凭条应妥善保管或者及时销毁。
5、警惕不正规商家
最近,新闻上频频爆出银行卡被克隆的消息。
所谓银行卡被克隆就是一些不法分子利用各种手段窃取了消费者银行卡的基本信息,如开户银行、户主、卡号信息、金额等,经过高科技手段把这些信息复制到另一卡中的行为。
这虽暴露了银行卡本身的安全威胁,但也为电子支付安全敲响了警钟。
首先不能贪小便宜。
有些不法商家打着刷卡可以打折上折的旗号鼓励顾客刷卡消费,目的便为了骗取消费者银行卡信息。
我们在刷卡消费时,必须注意尽量在正规商店刷卡消费,并且保证人、卡不离,密码本人亲自安全输入的原则。
(二)计算机系统软件安全威胁及其对策
计算机操作系统(OperatingSystem,简称OS),也可以称作系统软件,是可以直接运行的“裸机”必备的操作平台,是用户与电脑对话、使用应用软件的媒介,也是管理和控制计算机硬件与软件资源的“总师令”。
目前的电子支付大部分依然通过计算机在互联网上完成,因此计算机本身的系统安全便至关重要了。
如果银行卡账户是电子支付的根,那么操作系统便是电子支付得以生长的。
但这种“脚踏实地”的感觉会让我们产生一种误解——计算机系统软件并没有对电子支付的安全带来什么影响。
其实不然。
正所谓“日防夜防,家贼难防”,我们在考虑其他一系列安全隐患对电子支付的影响时,往往容易忽略平时使用的电脑操作系统本身就存在着巨大的安全隐患。
鉴于人们在日常生活和网络交易中经常使用的是微软公司(Microsoft)出品的windows系统,我们便以windows操作系统为例做如下分析。
1、操作系统自身体系结构不安全
操作系统自身体系结构不安全是造成其安全隐患的主要原因之一。
任何操作系统可能穷尽所有的漏洞,做到完全防安全风险的发生。
正因为各方面导致的先天不足,系统制造商便会发布“补丁”去弥补这些开发时没有想到、但在用户使用过程中出现的问题,而这种方式相对于软件开发的效率,甚至是用户体验都是最好的。
这种开发方式能够满足人们对新系统的好奇心,让用户尽快使用上新的操作系统,不至于每天焦急地等待发布;
对于开发者而言,毕竟“天有不测风云”,风险的不可控性一直都将伴随软件开发的整个生命周期。
当然这也就注定了操作系统无法弥补的缺陷——威胁的滞后性,只有当威胁一部分用户来来损失,其漏洞才能被发现和堵住。
更何况任何事情也都有两面性,一种方法可以被开放者用以商业用途完善用户体验、提升安全系数,它也就可以被黑客利用,充分运用这种动态结构把病毒伪装成补丁。
因此,某些用户的下载和安装补丁时,其中不乏木马、钓鱼软件等对电子支付构成严重威胁的恶意程序和软件。
面对上述可能给用户在电子支付时带来的风险,普通用户由于缺少专业知识,并没有多少正面抵抗的可能,最主要也是最方便有效的办法还是通过风险规避来完成:
①选择正版软件安装。
购买正版软件后,软件公司会不定期发布系统软件的补丁,并且在线实时安装,能够把受黑客攻击的威胁降到最低。
正版软件公司也有相应的资质,能承担用户因使用正版软件带来的损失的处理和赔付,而这些是盗版软件没法实现的。
②安装杀毒软件,不定期对计算机进行全面扫描。
计算机虽然自身带有防火墙功能,但网络攻击可能藏在电脑中任何一个角落,让用户防不胜防。
用户很难有精力去逐一检查每个软件的每个文件夹、每个程序。
而这却可以依靠杀毒软件轻松完成,它会定期或不定期发布、更新病毒库,最大可能让电脑不受病毒的侵害,并且可以实时监控用户支付环境的安全性,以做到最大限度保证电子支付有一个安全的支付环境。
③拒绝安装不明来历的软件。
网络上的软件成千上万,在安装我们需要的软件时,一定要选择正规下载的正规软件。
不明来历的软件可能表面上和正规软件没有什么两样,但实质上其程序中携带了可能对用户在整个支付过程带来巨大安全隐患的病毒程序,在下载完成“.exe”文件后可以调用杀毒软件进行扫描和杀毒。
对恶意软件程序要及时删除,拒绝安装。
2、操作系统的某些功能可能导致计算机安全隐患。
例如:
支持网络共享和远程服务等功能,能让其他用户在网络上直接访问和执行计算机上的程序和功能,这给用户带来方便的同时,对电子支付的信息安全问题的影响可见一斑。
针对此类安全隐患对电子支付的影响,用户在共享文件或者请求远程服务时,必须考虑该文件和信息的私密度并确认对方的真实身份,如果对方要求提供身份信息、银行账号和密码等,必须万分小心,万不得已不能分享此类信息。
在完成分享信息或远程服务后,还须及时关闭功能,以免给其他人篡改盗窃计算机上的容创造条件。
3、其他原因
除此之外,Internet(互联网)甚至intranet(部网)在使用TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议)及FTP(文件传输协议)、E-mail(电子)、RPC(网络文件系统)等程序时,也会包含各种不同程度的不安全因素,存在许多安全隐患,如某些恶意可能携带病毒,一旦将点击触发监控、拦截等功能。
用户在使用计算机时必须时刻注意各种不可见的安全威胁,提高自身安全意识,防患于未然。
毕竟电子支付安全没小事,任何一点小的细节的纰漏都可能导致整个电子支付安全受到很大威胁,在互联网条件下更是如此。
(三)互联网环境下电子支付的安全问题及其对策
以上对在物理环境和Windows操作系统平台中,可能对电子支付安全产生的影响做了概括,并给出了相应的防措施。
如果说银行卡账户是电子支付的根,操作系统是电子支付得以生长的,那么互联网环境则是电子支付这棵树生长的水,看似无形,却贯穿了电子支付的每个细胞、每个环节。
正因为有了互联网,电子支付才得以发展,但“成也萧何败萧何”,互联网环境下的电子支付安全问题就如泰坦尼克将遇到的冰川,虽然只露出了一角,却足以颠覆整个电子支付。
这里,我们将对在互联网环境下的电子支付可能产生的安全隐患进行简单梳理,他们主要包括:
1、身份识别问题
在一般的实体贸易支付活动中,身份识别并不存在多大的问题,即使交易双方当事人均未到场,通过各自的身份认证(签章或者证明)和实体现金支付和结算,“一手交钱,一手交货”,代理人都可以代替完成交易。
与一般的商务活动中支付环节相比,电子支付的身份识别便复杂得多。
网络环境下的电子支付极有可能双方未能见上一面,签章或者证明也可以被轻易伪造,更何况,电子商务从达成订单到确认收货有一个时间差。
在这样的条件下,如果没有很好的身份识别和权威认证,极有可能出现仿冒他人身份参与支付过程、身份抵赖等情形的发生,严重时造成网络诈骗,给参与电子支付的参与方带来严重损失。
2、支付信息被伪造、拦截和篡改
除了身份认证这种常规型的安全问题以外,电子支付中还会出现诸如黑客攻击等恶意破坏和获取信息的行为。
黑客常用的伎俩包括:
拦截支付信息、利用计算机系统漏洞或者木马等病毒将伪造的信息包注入真实支付信息当中、篡改支付金额等容以实现破坏支付信息真实、完整甚至非法牟取私利的目的。
3、支付信息泄露
互联网作为一个开放的平台,任何人都能参与其中。
当然电子支付作为在互联网环境下进行的支付行为,必然会将电子支付关键三方:
买方、卖方和信用机构(如银行)都暴露于这个开放的平台之上。
此时“我在明处,他在暗处“,支付信息便可能面临被监听、观察甚至窃取等一系列风险。
如,三方中任何一方在支付过程中不注意自身的支付信息安全,都可能面临重要信息被窃取,而这将给在互联网环境下的电子支付以致命的打击。
4、支付信息被抵赖
在传统交易当中,支付双方需通过合同、签章或者第三方公证等方式,来证明支付信息的合法性和不可抵赖性。
如果一方产生支付信息抵赖,也可以通过自己手上掌握的实体资料作为上诉凭证,诉诸司法机关。
依据“白纸黑字”定能有理有据证明自己的支付信息的真实性,也让抵赖者没有可乘之机。
而网络环境下的电子支付却本身具有极大的虚拟性色彩,支付过程几乎没法提供上述“有理有据”的证据。
如果一次支付不能证明其真实性,防止支付信息被抵赖,那将给买方带来一些列“支付后”后遗症,也就没办法保证互联网条件下的电子支付的持续性和规性。
面对纷繁复杂的网络环境下的电子支付问题,我们不能坐以待毙,而应积极地去需求解决方案。
我认为有以下方案可供参考:
1、用户在银行办理开通网上银行时,可以选择银行提供的网银安全工具。
网银认证工具目前可以分为类:
短信验证、密保卡验证和K保、K令等数字证书验证。
这些安全等级逐一提高,很多银行也支持同时开通多项网银认证工具。
比如在输入K码后,银行还会发送一串随码到用户移动终端,这种双项甚至多项验证必将为用户带来更高质量的电子支付安全保障。
用户在网页输入密码时,也应尽量选择软件盘输入。
这是因为,物理键盘在电脑被木马等病毒控制的情况下会记录该密码并发送到木马制造者指定的,在悄无声息的情况下,用户信息可能已经泄露,必将给电子支付安全带来不小的影响。
另外,支付完成应该及时关闭电子银行的支付页面并拔出网银工具,并放在安全的地方,以免遗失。
如果不小心遗失,须尽快到就近的银行办理挂失手续,把可能的损失降到最低。
2、用户在选择支付时,应看清网页是否安全。
一般情况下,电子银行的网址会采用443端口,即以“https