電子商務網路支付安全

❶ 電子商務平台如何保障支付安全

數字簽名，數字證書，第三方認證，加密技術，防火牆

❷ 電子商務的安全支付問題

1、電子商務的安全控制要求概述

電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性，使網上交易面臨了種種危險，也由此提出了相應的安全控制要求。

1.1信息保密性

交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

1.2交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。

1.3不可否認性

由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改動文件內容，那麼交易本身便是不可靠的，客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

2、電子商務安全交易的有關標准和實施方法

2.1安全交易的雛形

在電子商務實施初期，曾採用過一些簡易的安全措施，這些措施包括：

(1) 部分告知(Partial Order)：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然後再用電話告之，以防泄密。

(2) 另行確認(Order Confirmation)：即當在網上傳輸交易信息之後，再用電子郵件對交易作確認，才認為有效。

(3) 在線服務(Online Service)：為了保證信息傳輸的安全，用企業提供的內部網來提供聯機服務。

以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。

2.2安全交易標準的制定

近年來，IT業界與金融行業一起，推出不少更有效的安全交易標准。主要有：

(1) 安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。

(2) 安全套接層協議（SSL協議：Secure Socket Layer)是由網景（Netscape）公司推出的一種安全通信協議，是對計算機之間整個會話進行加密的協議，提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器，用以完成需要的安全交易操作。在SSL中，採用了公開密鑰和私有密鑰兩種加密方法。

(3) 安全交易技術協議(STT：Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。

(4) 安全電子交易協議（SET：Secure Electronic Transaction）：SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。

目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准，其交易形態將成為未來「電子商務」的規范。

支付系統是電子商務的關鍵，但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層（SSL）和安全電子交易（SET）是兩種重要的通信協議，每一種都提供了通過Internet進行支付的手段。但是，兩者之中誰將領導未來呢？SET將立刻替換SSL嗎？SET會因其復雜性而消亡嗎？SSL真的能完全滿足電子商務的需要嗎？我們可以從以下幾點對比作管中一窺：

SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展，但如果想要電子商務得以成功地廣泛開展的話，必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置，比較容易被應用。

SET和SSL除了都採用RSA公鑰演算法以外，二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。

SET是一種基於消息流的協議，它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布，用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗，但大多數在Internet上購的消費者並沒有真正使用SET。

SET是一個非常復雜的協議，因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上，SET遠遠不止是一個技術方面的協議，它還說明了每一方所持有的數字證書的合法含義，希望得到數字證書以及響應信息的各方應有的動作，與一筆交易緊密相關的責任分擔。

3、目前安全電子交易的手段

在近年來發表的多個安全電子交易協議或標准中，均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種：

3.1密碼技術

採用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種：

（1）公共密鑰和私用密鑰（public key and private key）

這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密後發給該用戶，而一旦信息加密後，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信息的保密和安全。

（2）數字摘要(digital digest)

這一加密方法亦稱安全Hash編碼法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文，這一串密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。

上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。

3.2數字簽名(digital signature)

在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處，採用數字簽名，也能確認以下兩點：

a. 信息是由簽名者發送的。

b. 信息在傳輸過程中未曾作過任何修改。

這樣數字簽名就可用來防止電子信息因易被修改而有人作偽；或冒用別人名義發送信息；或發出（收到）信件後又加以否認等情況發生。

數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為：

（1） 被發送文件用SHA編碼加密產生128bit的數字摘要（見上節）。

（2） 發送方用自己的私用密鑰對摘要再加密，這就形成了數字簽名。

（3） 將原文和加密的摘要同時傳給對方。

（4） 對方用發送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產生又一摘要。

（5） 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。

3.3數字時間戳(digital time-stamp)

交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。

在電子交易中，同樣需對交易文件的日期和時間信息採取安全措施，而數字時間戳服務(DTS：digital time-stamp service)就能提供電子文件發表時間的安全保護。

數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。時間戳（time-stamp）是一個經加密後形成的憑證文檔，它包括三個部分：1）需加時間戳的文件的摘要(digest)，2）DTS收到文件的日期和時間，3）DTS的數字簽名。

時間戳產生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然後將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密（數字簽名），然後送回用戶。由Bellcore創造的DTS採用如下的過程：加密時將摘要信息歸並到二叉樹的數據結構；再將二叉樹的根值發表在報紙上，這樣更有效地為文件發表時間提供了佐證。注意，書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由認證單位DTS來加的，以DTS收到文件的時間為依據。因此，時間戳也可作為科學家的科學發明文獻的時間認證。

3.4數字憑證(digital certificate, digital ID)

數字憑證又稱為數字證書，是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中，如雙方出示了各自的數字憑證，並用它來進行交易操作，那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。

數字憑證的內部格式是由CCITT X.509國際標准所規定的，它包含了以下幾點：

(1) 憑證擁有者的姓名，

(2) 憑證擁有者的公共密鑰，

(3) 公共密鑰的有效期，

(4) 頒發數字憑證的單位，

(5) 數字憑證的序列號（Serial number），

(6) 頒發數字憑證單位的數字簽名。

數字憑證有三種類型：

(1) 個人憑證(Personal Digital ID)：它僅僅為某一個用戶提供憑證，以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件（S/MIME）來進行交易操作。

(2) 企業（伺服器）憑證（Server ID）：它通常為網上的某個Web伺服器提供憑證，擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。

(3) 軟體（開發者）憑證（Developer ID）：它通常為Internet中被下載的軟體提供憑證，該憑證用於和微軟公司Authenticode技術（合法化軟體）結合的軟體，以使用戶在下載軟體時能獲得所需的信息。

上述三類憑證中前二類是常用的憑證，第三類則用於較特殊的場合，大部分認證中心提供前兩類憑證，能提供各類憑證的認證中心並不普遍。

3.5認證中心(CA：Certification Authority)

在電子交易中，無論是數字時間戳服務（DTS）還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心（CA）就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS：Certification Practice Statement)來實施服務操作。

上述五個方面介紹了安全電子交易的常用手段，各種手段常常是結合在一起使用的，從而構成比較全面的安全電子交易體系。

4、應用動態

根據最新報道,我國第一個安全電子商務系統：「網上訂票與支付系統」經過半年試運行後，於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。

系統結構採用網上訂票與支付系統由四個子系統組成：商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。

商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為：www.cea.online.sh.cn；它是中國安全電子商務第一網站。

客戶子系統是安裝於PC機上的電子錢包軟體，是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後，方可進行網上消費。

支付網關子系統通常是指由收款銀行運行的一套設備，用來處理商戶的付款信息以及持卡人發出的付款指令。

數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。

其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點：

1) 遵循SET國際標准、具有SET標准規定的安全機制，是目前國際互聯網上運行的比較安全的電子商務系統；

2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點，具有一定的中國特色；

3) 具有開放特性，可與經SETCO國際組織認證的任何電子商務系統進行互操作；

❸ 電子商務平台上最安全的支付系統是什麼

國際通行的電來子支付工具和支付手源段主要有電子信用卡、電子支票、電子現金、及網上銀行等。目前網銀在線支付支持的銀行卡種，在銀行端使用的是SSL128位加密演算法和SET（安全電子交易）協議，這樣就保障了BtoC在線支付的安全實施。另外支付平台本身使用PKI（公鑰基礎設施）作為安全架構，通過md5數字簽名技術對訂單信息進行加密和校驗，從而確保在Internet上數據傳輸的機密性、真實性、完整性和不可抵賴性。
電子商務平台上最安全的支付系統這個還真不好說是哪個，銀行卡還有人盜用呢，但只一在設密碼是難度大點，密碼資料不要隨便告訴別人，平時對網路安全多關注一點，支付系統還是可以放心使用的。

❹ 電子商務網路支付與安全

支付與安全這兩方面的內容太多了。你到網上隨便一搜急有好多叫你如何處理的。不過我認為在網上交易肯定是有風險的，但網上交易也有了成為了必然的趨勢。

❺ 電子商務交易過程中包括哪些安全問題

電子商務交易過程中的安全問題主要包括四個方面：

1、信息被泄露。

主要表現為交易雙方進行交易的內容被第三方竊取，交易一方提供給另一方使用的文件被第三方非法使用兩個方面。

攻擊者可以通過互聯網、公用電話網、搭線或在電磁波輻射范圍內安裝截收裝置等方式，截獲在網上傳輸的機密信息，或通過對網上信息流量和流向、通信頻度和長度等參數的分析，獲取有用信息，如銀行賬號、密碼等。

2、信息被篡改。

表現為電子的交易信息在網路上傳輸的過程中，被他人非法地修改、刪除、插入或重放（即只能使用一次的信息被多次使用），使接收方接收到錯誤的信息，使信息失去了真實性和完整性。

3、身份識別。

進行身份識別後，就不會出現第三方假冒交易一方的身份破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等情形，同時，還可以約束交易雙方對自己的行為負責，對發送和接收的信息都不能予以否認。

4、信息被破壞。

表現為由於網路的硬體或軟體出現問題而導致信息傳遞的丟失與謬誤，以及計算機網路本身遭到一些惡意程序的破壞，而使得電子商務信息遭到破壞兩個方面。

(5)電子商務網路支付安全擴展閱讀：

電子商務交易過程中防範安全問題的方法：

1、信息保密性。

交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此，在電子商務信息傳播中一般均有加密的要求。

2、交易者身份的確定性。

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此，能方便而可靠地確認對方身份是交易的前提。

3、不可否認性。

由於商情的千變萬化，交易一旦達成是不能被否認的，否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，若收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。

因此，電子交易通信過程中的各個環節都必須是不可否認的。

4、信息的完整性。

交易的文件是不可被修改的，信息接收方可以驗證收到的信息是否完整一致，是否被人篡改。如上例所舉的訂購黃金，供貨單位在收到訂單後，發現金價大幅上漲了。

若其能改動文件內容，將訂購數1kg改為1g，則可大幅受益，那麼訂貨單位可能就會因此而蒙受損失。因此，電子交易文件也必須做到不可修改，以保障交易的嚴肅和公正。

5、系統的可靠性。

電子商務系統是計算機系統，其可靠性是指防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

❻ 網路支付安全的概念，網路支付安全技術的概念

電子商務安全與支付
本書比較系統地介紹了電子商務安全與支付的基版本理論、技術以及安全的應權用。全書共包括三個部分：第一部分主要介紹電子商務安全與支付的基本概念和理論，包括電子商務系統安全的體系結構、網路安全技術、現代密碼技術與應用、支付系統等；第二部分主要介紹電子商務的認證技術、公鑰基礎設施、電子交易的安全協議、安全案例和分析等內容；第三部分介紹了移動電子商務安全和移動支付等內容，從安全領域的熱點和前沿知識引導讀者跟蹤學科發展的新方向。
書名
電子商務安全與支付

❼ 電子商務如何支付，付款方式與特點，安全性

在我國電子商務發展的過程中，B2C、C2C電子商務產生了多種支付方式，包括匯款、貨到付款、網上支付、電話支付、手機簡訊支付等方式，並且這些方式同時並存。據2005年CNNT統計，消費者常採用多種支付方式，其中匯款用戶占總用戶數量的43．2％、網上支付佔41．9％、貨到付款支付佔34．7％、手機支付佔1．7％。
2．1 匯款
銀行匯款或郵局匯款是一種傳統支付方式，也是目前為止電子商務支付方式中最常用的支付方式。郵局匯款是顧客將訂單金額通過郵政部門匯到商戶的一種結算支付方式。採用銀行或郵局匯款，可以直接用人民幣交易，避免了諸如黑客攻擊、賬號泄漏、密碼被盜等問題，對顧客來說更安全。但採用此種支付方式的收發貨周期時間長，例如卓越網的郵局匯款支付期限為14天，銀行電匯為10天，而採用其他網上支付則只需1－2天。此外，顧客還必須到銀行或郵局才能進行支付，支付過程比較繁瑣。對於商家來說，這種交易方式也無法體現電子商務高速、交互性強、簡單易用且運作成本低等優勢。因此，這種支付方式並不能適應電子商務的長期高速發展。
2．2 貨到付款
貨到付款又稱送貨上門，指按照客戶提交的訂單內容，在承諾配送時限內送達顧客指定交貨地點後，雙方當場驗收商品，當場交納貨款的一種結算支付方式。目前，很多購物網站都提供這種支付方式。這是一個充滿中國特色的B2C電子商務支付方式、物流方式，既解決了中國網上零售行業的支付和物流兩大問題，又培養了客戶對網路的信任。貨到付款仍然是中國用戶最喜歡的支付方式之一。但是，將支付與物流結合在一起存在很多問題。首先，付款方式採用現金付費，因此只局限在小額支付上，例如卓越網的訂單金額不可高於15 000元，對於商家的大額交易則無法實現。其次，由於送貨上門受到地區的局限，而EMS費用又較高，所以顧客選擇最多的還是普通郵寄，這就會帶來必然的時間損耗，給用戶造成不便。比如當當書店送貨上門服務，送到北京市內讀者手中需1－2天，而送到其他城市則需3－7天，普通郵寄則是更需1－2周，這還不包括邊遠地區。送貨上門單張訂單購物金額滿30元免5元平郵費用，單張訂單購物金額滿200元免加急費用，這個費用對於小額購物的顧客來說是無法接受的。
2．3 網上支付
所謂網上支付，是以金融電子化網路為基礎，以商用電子化工具和各類交易卡為媒介，以電子計算機技術和通信技術為手段，以二進制數據形式存儲，並通過計算機網路系統以電子信息傳遞形式實現的流通和支付。
2006年網上支付在整個電子支付市場規模中所佔的比例為97％，網上支付仍是電子支付形式中的絕對主力，國內目前採用網上支付業務的網上書店總數已超過10萬家。網上支付的方式主要有：銀行卡支付方式、電子支票支付方式和電子貨幣支付方式。其中比較成熟的是銀行卡支付方式，銀行卡支付方式是目前在國內網上購物實現在線支付的最主要的手段。
2．3．1 網上銀行卡轉帳支付
網上銀行卡轉帳支付指的是電子商務的交易通過網路，利用銀行卡進行支付的方式。客戶通過Internet向商家訂貨後，在網上將銀行卡卡號和密碼加密發送到銀行，直接要求轉移資金到商家銀行賬戶中，完成支付。銀行卡的卡類可以包括信用卡、借記卡和智能卡等。
我國目前網上銀行卡轉賬支付可以分為有數字證書和無數字證書兩種方式。一般的用戶如果不去銀行申請啟用有數字證書保護的網上支付功能，就只能使用無數字證書保護的網上支付。不啟用數字證書保護的網上支付在功能上會有一定的限制，例如只能進行賬戶查詢或只能進行小額支付。而啟用數字證書保護的網上支付不僅擁有更高的安全性，而且能享受網上銀行所提供的全部服務，支付的金額不受限制。
銀行卡網上直接轉賬支付存在著安全性和方便性方面的矛盾，例如要起用數字證書保護，付款人必須經過向銀行申請安裝數字證書，下載指定軟體等多道手續，對有些對電腦操作不熟悉的顧客而言就很難實現了。另外，因客戶直接將貨款轉移到商家的帳戶上，如果出現交易失敗的情況，那麼討回貨款的過程就可能變得非常繁瑣和困難。
2．3．2 第三方支付平台結算支付
第三方結算支付是指客戶和商家都首先在第三方支付平台處開立賬戶；並將各自的銀行賬戶信息提供給支付平台的賬戶中，第三方支付平台通知商家已經收到貨款，商家發貨；客戶收到並檢驗商品後，通知第三方支付平台可以付款給商家，第三方支付平台再將款項劃轉到商家的賬戶中。這樣客戶和商家的銀行帳戶信息只需提供給第三方支付平台，比較安全，且支付通過第三方支付平台完成，如果客戶未收到商品或商品有問題則可以通知第三方支付平台拒絕劃轉貨款到商家。而商家則可以在貨款有保障的情況下放心發貨，有效地降低了交易風險。第三方平台結算支付是當前國內服務數量最多的支付模式。國內當前從事網上支付的企業已經從2004年的10多家增加到現在的50多家，2005年我國第三方支付平台規模增長到161億元。來自賽迪顧問的調查表明，2007年我國第三方支付平台規模已達到215億元。國內目前第三方支付公司中，比較知名的有阿里巴巴的支付寶、易趣的安付通、貝寶、騰訊的財付通、易寶、網銀在線、銀聯電子支付、環訊的IPS、雲網等等。
由於第三方支付平台的介入，解決了電子商務支付過程中的一系列問題。如安全問題、信用問題、成本問題。與此同時，中國現有的第三方支付平台也存在一定的問題。
（1）中國法律規定只有金融機構才有權吸納代理用戶的錢，其他企業機構不得從事類似活動，支付平台的法律地位也受到一部分人的質疑。
（2）貨款在第三方支付平台中滯留的時間內將產生一定的利息，這部分利息如何分配目前也缺乏明確的規范和嚴格的監督。
（3）支付平台解決的電子商務支付過程中的安全性問題只限於客戶和廠商之間，其他安全性問題如客戶在支付平台填寫銀行資料時信息的保密性、有效性和完整性問題還有待進一步解決。
（4）操作還不夠簡便，客戶在使用支付平台時都必須進行一系列繁瑣的申請。
（5）貸款會在第三方支付平台的賬號中滯留一段時間，非實時性支付帶來存款風險，如第三方支付企業不能完全保證貨款安全，將大大損害客戶和商家的利益。
（6）第三方支付平台可能會被利用，通過捏造虛假交易從信用卡套現，甚至存在可能被利用來進行洗錢的風險。

❽ 網路支付過程中有利於提高安全性的做法

人民銀行有關負責人就《非銀行支付機構網路支付業務管理法》答記者問問：出台《法》的總體背景與考慮是什麼 。
答：近年來，支付機構大力發展網路支付服務，促進了電子商務和互聯網金融的快速發展,對支持服務業轉型升級、推動普惠金融縱深發展發揮了積極作用。
2015年前三季度，支付機構累計處理網路支付業務562.50億筆，金額32.97萬億元，同比分別增長128.95%和98.80%。
同時，支付機構的網路支付業務也面臨不少問題和風險，必須加以重視和規范：一是客戶身份識別機制不夠完善，為欺詐、套現、洗錢等風險提供了可乘之機；
二是以支付賬戶為基礎的跨市場業務快速發展，沉澱了大量客戶資金，加大了資金流動性管理壓力和跨市場交易風險；
三是風險意識相對較弱，在客戶資金安全和信息安全保障機制等方面存在欠缺；
四是客戶權益保護亟待加強，存在誇大宣傳、虛假承諾、消費者維權難等問題。
人民銀行長期關注互聯網金融的發展問題。
為規范網路支付業務，防範支付風險，保護客戶合法權益，同時促進支付服務創新和支付市場健康發展，進一步發揮網路支付對互聯網金融的基礎作用，人民銀行從2010年開始啟動網路支付發展與規范相關研究工作。
今年以來，遵循「鼓勵創新、防範風險、趨利避害、健康發展」的總體要求，組織市場機構、行業協會、專家學者開展多輪研討、座談及公開向社會徵求意見，反復修改完善，最終完成了《法》的制定工作。
問：《法》的監管思路與主要監管措施是什麼 。
答：按照統籌科學把握鼓勵創新、方便群眾和金融安全的原則，結合支付機構網路支付業務發展實際，人民銀行確立了堅持支付賬戶實名制、平衡支付業務安全與效率、保護消費者權益和推動支付創新的監管思路。
主要措施包括：一是清晰界定支付機構定位。
堅持小額便民、服務於電子商務的原則，有效隔離跨市場風險，維護市場公平競爭秩序及金融穩定。
二是堅持支付賬戶實名制。
賬戶實名制是支付交易順利完成的保障，也是反洗錢、反恐融資和遏制違法犯罪活動的基礎。
針對網路支付非面對面開戶的特徵，強化支付機構通過外部多渠道交叉驗證識別客戶身份信息的監管要求。
三是兼顧支付安全與效率。
本著小額支付偏重便捷、大額支付偏重安全的管理思路，採用正向激勵機制，根據交易驗證安全程度的不同，對使用支付賬戶余額付款的交易限額作出了相應安排，引導支付機構採用安全驗證手段來保障客戶資金安全。
四是突出對個人消費者合法權益的保護。
基於國網路支付業務發展的實際和金融消費的現狀，《法》引導支付機構建立完善的風險控制機制，健全客戶損失賠付、差錯爭議處理等客戶權益保障機制，有效降低網路支付業務風險，保護消費者的合法權益。
五是實施分類監管推動創新。
建立支付機構分類監管工作機制，對支付機構及其相關業務實施差別化管理，引導和推動支付機構在符合基本條件和實質合規的前提下開展技術創新、流程創新和服務創新，在有效提升監管措施彈性和靈活性的同時，激發支付機構活躍支付服務市場的動力。
問：支付賬戶與銀行賬戶有何不同 。
答：支付賬戶最初是支付機構為方便客戶網上支付和解決電子商務交易中買賣雙方信任度不高而為其開立的，與銀行賬戶有明顯不同。
一是提供賬戶服務的主體不同，支付賬戶由支付機構為客戶開立，主要用於電子商務交易的收付款結算。
銀行賬戶由銀行業金融機構為客戶開立，賬戶資金除了用於支付結算外，還具有保值、增值等目的。
二是賬戶資金余額的性質和保障機制不同。
支付賬戶余額的本質是預付價值，類似於預付費卡中的余額，該余額資金雖然所有權歸屬於客戶，卻未以客戶本人名義存放在銀行，而是支付機構以其自身名義存放在銀行，並實際由支付機構支配與控制。
同時，該余額僅代表支付機構的企業信用，法律保障機制上遠低於《人民銀行法》、《商業銀行法》保障下的央行貨幣與商業銀行貨幣，也不受存款保險條例保護。
一旦支付機構出現經營風險或信用風險，將可能導致支付賬戶余額無法使用，不能回提為銀行存款，使客戶遭受財產損失。
因此，《法》規定，支付機構應當在客戶清晰理解支付賬戶余額性質和相關風險的前提下，由客戶本著「自願開立、自擔風險」的原則申請開立支付賬戶。
問：《法》禁止支付機構為金融機構和從事金融業務的其他機構開立支付賬戶的主要考慮是什麼 。
會不會制約互聯網金融發展 。
答：鑒於金融機構和從事網路借貸、股權眾籌融資、互聯網基金銷售、互聯網保險、互聯網信託和互聯網消費金融等機構本身存在金融業務經營風險，同時支付機構的資本實力、內控制度和風險管理體系普遍還不夠完善，抵禦外部風險沖擊的能力較弱，為保障有關各方合法權益，有效隔離跨市場風險，切實守住不發生系統性和區域性風險的底線，《法》規定支付機構不得為金融機構和從事金融業務的其他機構開立支付賬戶。
《法》上述規定並不影響支付機構為金融從業機構提供網路支付服務，還將進一步支持互聯網金融的健康發展：一是國國家支付清算體系已經為金融從業機構提供了高效、安全的支付清算及結算安排，並且符合國際支付清算監管慣例和准則，能夠支持互聯網金融的發展需要。
二是支付機構盡管不能為金融從業機構開立支付賬戶，但仍可基於銀行賬戶為其提供網路支付服務，以有效支持互聯網金融的創新需要。
三是人民銀行鼓勵支付機構按照《指導意見》有關原則，與銀行深化合作，實現優勢互補，建立良好的網路支付生態環境與產業鏈，進一步提升業務創新，增強服務實體經濟和風險抵禦能力，共同推動互聯網金融業態多元、持續、健康發展。
問：《法》如何對個人支付賬戶進行分類 。
答：支付賬戶分類，兼顧支付的安全和效率，能夠滿足不同客戶的多樣化需要，體現了尊重客戶的選擇權。
《法》將個人支付賬戶分為三類（詳見附表）。
其中，Ⅰ類賬戶只需要一個外部渠道驗證客戶身份信息（例如聯網核查居民身份證信息），賬戶余額可以用於消費和轉賬，主要適用於客戶小額、臨時支付，身份驗證簡單快捷。
為兼顧便捷性和安全性，Ⅰ類賬戶的交易限額相對較低，但支付機構可以通過強化客戶身份驗證，將Ⅰ類賬戶升級為Ⅱ類或Ⅲ類賬戶，提高交易限額。
Ⅱ類和Ⅲ類賬戶的客戶實名驗證強度相對較高，能夠在一定程度上防範假名、匿名支付賬戶問題，防止不法分子冒用他人身份開立支付賬戶並實施犯罪行為，因此具有較高的交易限額。
鑒於投資理財業務的風險等級較高，《法》規定，僅實名驗證強度最高的Ⅲ類賬戶可以使用余額購買投資理財等金融類產品，以保障客戶資金安全。
上述分類方式及付款功能、交易限額管理措施僅針對支付賬戶，客戶使用銀行賬戶付款（例如銀行網關支付、銀行卡快捷支付等）不受上述功能和限額的約束。
個人支付賬戶分類附表:問：為何要強調支付賬戶實名制 。
答：《法》強調支付賬戶實名制度。
《法》要求支付機構遵循「了解客戶」原則，建立健全客戶身份識別機制，並在與客戶業務關系存續期間，採取持續的客戶身份識別措施，確保有效核實客戶身份及其真實意願，主要考慮如下：一是支付賬戶體現著消費者資金權益，只有實行實名制，才能更好地保護賬戶所有人的資金安全，才能從法律制度上保護消費者財產權利和明確債權債務關系。
二是賬戶實名制是經濟金融活動和管理的基礎，賬戶是資金出入的起點與終點，只有落實支付賬戶實名制，才能維護正常的經濟金融秩序，從而切實落實反洗錢、反恐怖融資要求，防範和遏制違法犯罪活動。
三是堅持賬戶實名制有利於支付機構在了解自己客戶的基礎上，有針對性地改善服務質量，更好地服務於客戶，為提升和改善經營管理水平奠定基礎。
問：支付賬戶的實名驗證要求會不會影響便捷性 。
答：《法》要求支付機構在開立Ⅱ類、Ⅲ類支付賬戶時，分別通過至少三個、五個外部渠道驗證客戶身份信息，是為了保障客戶合法權益，防範不法分子開立匿名或假名賬戶從事欺詐、套現、洗錢、恐怖融資等非法活動，是對支付機構提出的監管要求，支付機構負有「了解客戶」的義務。
目前，公安、社保、民政、住建、交通、工商、教育、財稅等政府部門，以及商業銀行、保險公司、證券公司、徵信機構、移動運營商、鐵路公司、航空公司、電力公司、自來水公司、燃氣公司等單位，都運營著能夠驗證客戶身份基本信息的資料庫或系統。
支付機構可以根據本機構客戶的群體特徵和實際情況，選擇與其中部分單位開展合作，實現多個渠道交叉驗證客戶身份信息。
在身份驗證過程中，客戶只需要按照支付機構的要求在網上填寫並上傳相關信息即可，並不需要本人去相關部門證明「是」，而是由支付機構負責與外部資料庫或系統進行連接並驗證客戶身份信息的真實性。
支付機構應採用必要技術手段確保客戶操作流程簡便、體驗便捷，這對支付機構的服務能力和服務水平提出了一定要求。
此外，《法》還規定，綜合評級較高且實名制落實較好的支付機構在開立Ⅱ類、Ⅲ類支付賬戶時，既可以按照三個、五個外部渠道的方式進行客戶身份核實，也可以運用各種安全、合法的技術手段，更加靈活地制定其他有效的身份核實方法，經人民銀行評估認可後予以採用。
這既鼓勵創新，也兼顧了安全與便捷。
問：支付賬戶交易限額的規定會不會影響便捷性 。
答：遵循網路支付應始終堅持服務電子商務發展和為社會提供小額、快捷、便民小微支付服務的宗旨，為最大限度地滿足客戶的實際支付需求，兼顧支付便捷性，人民銀行對支付機構開展了全面調研。
經統計分析，並結合未來一定時期內的發展需要，Ⅱ類、Ⅲ類個人支付賬戶年累計10萬元、20萬元的限額能夠滿足絕大部分客戶使用支付賬戶「余額」進行付款的需求。
對極少數消費者，或者消費者偶發的大額支付，可以通過支付賬戶余額支付、銀行卡快捷支付、銀行網關支付等方式組合完成，因此並不會對消費者支付產生實質影響。
考慮到Ⅰ類個人支付賬戶在開立過程中對客戶身份驗證的強度較弱，出現假名、匿名賬戶的風險較高，《法》對Ⅰ類賬戶的「余額」付款交易規定了較低的限額。
同時，為引導支付機構提高交易驗證方式的安全性，加強客戶資金安全保護，《法》規定，對於交易驗證安全級別較高的支付賬戶「余額」付款交易，支付機構可以與客戶自主約定單日累計限額；
但對於安全級別不足的支付賬戶「余額」付款交易，《法》規定了單日累計限額。
《法》規定的單日累計1000元、5000元的限額能夠有效滿足絕大部分客戶使用支付賬戶「余額」進行付款的需求。
此外，《法》規定，綜合評級較高且實名制落實較好的支付機構單日支付限額最高可提升到現有額度的2倍，以進一步滿足客戶需求。
需要強調的是，10萬元、20萬元的年累計限額，以及1000元、5000元的單日累計限額，都僅針對個人支付賬戶「余額」付款交易。
客戶通過支付機構進行銀行網關支付、銀行卡快捷支付，年累計限額、單日累計限額根據相關規定由支付機構、銀行和客戶自主約定，不受上述限額約束。
問：《法》對支付賬戶的轉賬業務有何規定 。
答：《法》沒有對支付機構銀行賬戶與銀行賬戶之間的轉賬業務進行額外限制，而是由支付機構、銀行和客戶以市場化原則自主協商開展此類業務，並自主約定交易限額等管理措施。
為加強支付賬戶轉賬業務的風險管理，《法》對支付賬戶與銀行賬戶之間的轉賬業務提出了具體要求：一是原則上，支付賬戶余額僅可回提至客戶本人銀行卡。
二是綜合評級較高且實名制落實較好的支付機構可以擴充支付賬戶轉賬功能，支付賬戶余額可以回提至他人銀行卡，他人銀行卡也可向支付賬戶充值。
三是支付機構應按照客戶意願足額Ⅱ類或Ⅲ類支付賬戶余額回提至客戶本人銀行卡的業務，協助客戶及時將支付賬戶余額回提為銀行存款。
問：《法》對快捷支付業務有何規定 。
答：快捷支付是支付機構和銀行通過協議與客戶約定，由支付機構代其向銀行發送支付指令，直接扣劃客戶綁定的銀行賬戶資金的支付方式。
快捷支付以其開通簡單、交易驗證便捷的特點深受客戶歡迎，已成為國電子商務交易的主要支付方式之一。
但是，實踐中，由於該業務涉及客戶、支付機構及銀行三方，權責關系相對復雜，一旦發生風險損失，客戶維權困難。
為此，《法》明確了支付機構和商業銀行合作為客戶提供快捷支付業務時，應當事先或在首筆交易時分別與客戶建立清晰、完整的業務授權，同時明確約定扣款適用范圍、交易驗證方式、交易限額及風險賠付責任。
《法》同時強調，銀行是客戶資金安全的管理責任主體，在後續交易時無論是由銀行進行交易驗證還是支付機構代為進行交易驗證，銀行均承擔快捷支付資金損失的先行賠付責任。
問：支付機構分類監管的思路是怎樣的 。
答：目前，國內支付機構眾多，各機構在合規意識、風控能力、業務規模、服務水平等方面存在明顯差異。
為提升監管資源配置的科學性和監管效率，在加強風險防範的同時進一步支持支付機構開展業務創新，促進支付市場持續健康發展，人民銀行按照「依法監管、適度監管、分類監管、協同監管、創新監管」原則，建立支付機構分類監管工作機制。
首先，立足國內支付市場發展實際情況，根據支付機構的財務狀況、經營能力、風險管控，特別是客戶備付金管理等因素，確立分類監管指標體系，並持續組織開展支付機構分類監管工作。
其次，根據支付機構分類評級情況，在業務監管標准、創新扶持力度、監管資源分配等方面，對支付機構實施差別化管理，以扶優限劣的激勵和制約措施充分發揮分類監管對支付機構經營管理的正面引導和推動作用。
對於綜合評級較高的支付機構，制定彈性和靈活性較高的監管措施，為其業務和技術創新發展預留充足空間；
對於綜合評級較低的支付機構，人民銀行將集中監管資源依法重點監管，以加強風險防範、保障客戶權益，維護市場穩定。
問：《法》中明確了哪些分類監管措施 。
答：對於綜合評級較高且實名制落實較好的支付機構，《法》在客戶身份驗證方式、個人賣家管理方式、支付賬戶轉賬功能、支付賬戶單日交易限額、銀行卡快捷支付驗證方式等方面，提升了監管彈性和靈活性：一是支付機構在開立Ⅱ類、Ⅲ類支付賬戶時，既可以按照「三個」、「五個」外部渠道的方式進行客戶身份核實，也可以運用各種安全、合法的技術手段靈活制定其他有效的身份核實方法，經評估認可後予以採用。
二是對於從事電子商務經營活動、不具備工商登記注冊條件的個人賣家，支付機構可以參照單位客戶進行管理，以更好滿足個人賣家的支付需求，進一步支持電子商務發展。
三是支付機構可以擴充支付賬戶轉賬交易功能，可以同時支付賬戶與同名銀行賬戶之間、支付賬戶與非同名銀行賬戶之間的轉賬交易。
四是支付機構可以根據客戶實際需要，適度提高支付賬戶余額付款的單日交易限額。
五是在銀行卡快捷支付交易中，支付機構可以與銀行自主約定由支付機構代替進行交易驗證的具體情形。
同時，《法》對綜合評級較低、實名制落實較差、對零售支付體系或社會公眾非現金支付信心產生重大影響的支付機構，增加了信息披露等義務，同時人民銀行將依法對其重點加強監管。
問：《法》提出了哪些風險管理措施 。
答：網路支付業務因依託公共網路作為信息傳輸通道，不可避免地面臨網路病毒、信息竊取、信息篡改、網路釣魚、網路異常中斷等各種安全隱患，也面臨欺詐、套現、洗錢等業務風險。
為加強風險防範，切實保障客戶合法權益，《法》從風險管理角度對支付機構提出了明確要求：一是綜合客戶類型、客戶身份核實方式、交易行為特徵、資信狀況等因素，建立客戶風險評級管理制度和機制，並動態調整客戶風險評級及相關風險控制措施。
二是建立交易風險管理制度和交易監測系統，對疑似風險和非法交易及時採取調查核實、延遲結算、終止服務等必要控制措施。
三是向客戶充分提示網路支付業務潛在風險，及時揭示不法分子新型作案手段，對客戶進行必要的安全教育，在高風險業務操作前、操作中向客戶進行風險警示。
四是以「最小化」原則採集、使用、存儲和傳輸客戶信息，採取有效措施防範信息泄露風險。
五是提高交易驗證方式的安全級別，所採用的數字證書、電子簽名、一次性密碼、生理特徵等驗證要素應符合相關法律法規和技術安全要求。
六是網路支付相關系統設施和技術，應當持續符合國家、金融行業標准和相關信息安全管理要求。
七是確保網路支付業務系統及其備份系統的安全和規范，制定突發事件應急預案，保障系統安全性和業務連續性。
問：《法》提出了哪些客戶權益保護措施 。
答：鑒於客戶在網路支付業務中可能面臨資金被盜、信息泄露等風險隱患，在維權過程中往往處於相對弱勢的地位，為保障客戶合法權益，《法》結合支付機構目前在客戶權益保護方面存在的不足，明確了相關監管要求：一是知情權方面。
要求支付機構以顯著方式提示客戶注意服務協議中與其有重大利害關系的事項，採取有效方式確認客戶充分知曉並清晰理解相關權利、義務和責任；
並要求支付機構增加信息透明度，定期公開披露風險事件、客戶投訴等信息，加強客戶和輿論監督。
二是選擇權方面。
要求支付機構充分尊重客戶真實意願，由客戶自主選擇提供網路支付服務的機構、資金收付方式等，不得以誘導、強迫等方式侵害客戶自主選擇權；
支付機構變更協議條款、提高服務收費標准或者新設收費項目，應以客戶知悉且自願接受相關調整為前提。
三是信息安全方面。
要求支付機構制定客戶信息保護措施和風險控制機制，確保自身及特約商戶均不存儲客戶敏感信息，並依法承擔因信息泄露造成的損失和責任。
四是資金安全方面。
要求支付機構及時處理客戶提出的差錯爭議和投訴，並建立健全風險准備金和客戶損失賠付機制，對不能有效證明因客戶原因導致的資金損失及時先行賠付；
要求支付機構對安全性較低的支付賬戶余額付款交易設置單日累計限額，並對採用不足兩類要素進行驗證的交易無條件全額承擔客戶風險損失賠付責任。

❾ 簡述電子商務安全的重要性

電子商務安全的重要性：電子商務安全研究的主要內容涉及到安全電子商內務的體系結構、現代容密碼技術、數字簽名技術、身份和信息認證技術、防火牆技術、虛擬專用網路、Web安全協議、安全電子郵件系統、防治病毒技術、網路入侵檢測方法、證書管理、公鑰基礎設施、數字水印技術、數字版權保護技術，安全電子商務支付機制、安全電子商務交易協議、在線電子銀行系統和交易系統的安全，以及安全電子商務應用等。最主要的還是一下這三大安全問題。
一、保護網路安全：
網路安全是為保護商務各方網路端系統之間通信過程的安全性。
二、保護應用安全：保護應用安全，主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。
三、保護系統安全：保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。

❿ 電子商務網站是如何做到安全支付的

一、移動支付中的安全問題
在整個移動支付的過程中涉及到的支付參與者包括：消費用戶、商戶用戶、移動運營商、第三方服務提供商、銀行。消費用戶和商戶用戶是系統的服務對象，移動運營商提供網路支持，銀行方提供銀行相關服務，第三方服務提供商提供支付平台服務，通過各方的結合以實現業務。移動支付需要考慮以下安全問題：（1)移動終端接入支付平台的安全，包括用戶注冊時，簽約信息的安全傳遞，以及用戶通過移動終端登錄系統，其間傳遞的數據如簽約用戶名、簽約密碼等的安全性。(2)支付平台內部數據傳輸的安全，即支付平台內部各模塊之間數據傳輸的安全性。(3)支付平台數據存儲的安全，涉及到簽約用戶的機密性的銀行卡賬戶、密碼、簽約用戶名、簽約密碼等的安全性。
二、移動支付的安全認證技術
當前，移動設備的大量普及為移動支付的實現提供了必要的條件，但也存在許多問題制約著移動支付的實施，如移動終端的計算環境和通信環境都非常有限，這就需要對相應的安全認證做一些特殊要求。
1.WPKI安全標准概況
WPKI(WirelessPKI）是有線PKI的一種擴展，它將互聯網電子商務中PKI的安全機制引入到移動電子商務中。WPKI採用公鑰基礎設施、證書管理策略、軟體和硬體等技術，有效地建立了安全和值得信賴的無線網路通信環境。WPKI以WAP的安全機制為基礎，通過管理實體間關系、密鑰和證書來增強電子商務安全。WAP安全機制包括WIM（WAPIdentityMole，無線應用協議識別模塊）、WMLSCrypt（WMLScriptCryptoAPI，WML腳本加密介面）、WTLS（，無線傳輸安全層）和WPKI四個部分。以上各部分對實現無線網路應用的安全分別起著不同的作用。WPKI作為安全基礎設施平台，一切基於身份驗證的應用都需要WPKI技術的支持，它可與WTLS、TCP/IP相結合，實現身份認證、私鑰簽名等功能。WPKI的主要組件包括：終端實體應用程序（EE）、PKI門戶（PKIPortal)、認證中心（CA）、目錄服務(PKIDirectory)、WAP網關，在應用模型中還涉及數據提供伺服器等設備，WPKI的基本結構和數據流向如圖所示。

在WPKI中，代替RA（RegistrationAuthority）的功能組件是PKI門戶（PKIPortal），它是一個網路伺服器，負責把WAP客戶的需求轉發給PKI中的RA和CA（CertificationAuthority）。CA主要負責生成證書、頒發證書和刷新證書等。WAPGateway負責處理客戶與源伺服器之間的協議轉換工作。WTLS是經傳統網路的TLS協議改進和優化而得來的，主要保證傳輸層的安全，WPKI也是對IETFPKIX標準的優化，使之更適合無線環境。
2.WPKI的加密演算法和密鑰
WPKI是通過管理實體間關系、密鑰和證書來增強電子商務安全的，與WAP安全標准相比，WPKI所採用的ECC（EllipticCurveCryptography，橢圓曲線密碼）密碼系統更適合在無線設備中使用。同樣強度的密鑰，ECC的密鑰長度（163bit）只是其他方案的六分之一(1024bit），但163bit的密鑰長度對窮舉密鑰攻擊幾乎是絕對安全的，因為窮舉163bit的密鑰個數有1.156×1049個，按每秒鍾測試1億個密鑰計算，也要3.6×1032年！