A. 電子商務對網上安全交易的基本要求
(1)網路軟體、通信協議的缺陷和漏洞:目前Internet上95%的數據流使用的是TCP/IP協議,而TCP/IP協議是完全開放的,其設計之初沒有考慮安全問題。惡意攻擊者可以很容易地竊取、更換、假冒數據包。
(2)計算機病毒的危害。由於計算機系統和網路存在缺陷和漏洞,可以針對這些缺陷和漏洞設計出各式各樣的病毒。病毒的入侵導致計算機系統的癱瘓,程序和數據的嚴重破壞,使網路的效率和作用大大降低,使許多功能無法使用或不敢使用。
(3)「黑客」的攻擊。「黑客」是指那些偷偷地、未經許可就打入別人計算機系統的計算機罪犯。隨著網路的飛速發展,「黑客」的攻擊事件不斷發生。他們以各種方式有選擇地破壞信息的有效性和完整性。
(4)對交易信息進行抵賴。交易者為推卸自己的責任對交易信息進行修改,否認報文的接收或發送等。否認交易行為,損害了對方的利益,造成了交易者對電子商務安全的不信任。
電子商務安全隱患的解決策略
1.解決計算機網路安全的主要措施
針對計算機網路本身可能存在的問題, 採用防火牆技術、VPN(虛擬專用網)技術、反病毒技術等,以阻止「黑客」入侵,保證計算機網路自身的安全,使網路系統連續穩定的運行。
(1)防火牆技術:防火牆技術是用來加強網路之間的訪問控制,防止外部網路用戶以非法手段通過外部網路進人內部網路。防火牆是阻止非授權的用戶闖入內部網路的一道障礙。
(2)VPN(虛擬專用網)技術:虛擬專用網是利用不可靠的公共網路(通常是Internet)作為信息的傳輸媒介,通過附加的安全隧道、用戶認證和訪問控制等技術實現與專用網路相類似的安全性能。它可以在兩個系統之間建立安全信道,進行電子數據交換,從而在很大程度上保證了數據的安全傳輸。
(3)反病毒技術:反病毒技術分為預防病毒技術、檢測病毒技術和殺滅病毒技術。預防病毒技術通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。檢測病毒技術是通過對網路用戶的行為進行採集,結合計算機病毒的特徵來進行分析判斷,及時准確地向系統的管理者發出病毒警報的技術。而消毒技術則是通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。
2.保證商務交易信息安全的主要措施
(1)信息加密技術。信息加密技術保證電子商務安全最基本的防範措施,利用一定的加密演算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的機密性。主要有對稱加密技術和非對稱加密技術。
(2)認證技術。認證是判明和確認交易雙方真實身份的重要環節,是開展電子商務的重要條件。認證技術主要包括數字摘要、數字簽名、數字證書、數字時間戳、數字信封、智能卡認證和生物認證等技術。
(3)SSL安全協議。SSL是一種安全通信協議,主要用來保護信息傳輸的完整性和機密性。
(4)SET交易協議。SET是一種安全電子交易協議,主要用於Internet上的以信用卡為基礎的電子支付系統,提供對消費者、商戶和銀行的認證。
3.加強電子商務的法律法規建設
為保證電子商務系統的安全,還需在網路管理和法律法規兩方面採取積極的安全措施。在網路安全管理方面,我們既要防外也應防內。要加強信息安全的管理,提高電子商務網站後台管理人員的安全意識,針對信息存儲的不安全因素採取適當的防範措施,如設置合適的不間斷電源解決硬體的電源故障;及時彌補軟體漏洞;經常升級防毒、殺毒軟體。同時應制定嚴格的管理制度,防止內部人員因操作不當或故意破壞等行為的發生。
B. 電子商務如何支付,付款方式與特點,安全性
在我國電子商務發展的過程中,B2C、C2C電子商務產生了多種支付方式,包括匯款、貨到付款、網上支付、電話支付、手機簡訊支付等方式,並且這些方式同時並存。據2005年CNNT統計,消費者常採用多種支付方式,其中匯款用戶占總用戶數量的43.2%、網上支付佔41.9%、貨到付款支付佔34.7%、手機支付佔1.7%。
2.1 匯款
銀行匯款或郵局匯款是一種傳統支付方式,也是目前為止電子商務支付方式中最常用的支付方式。郵局匯款是顧客將訂單金額通過郵政部門匯到商戶的一種結算支付方式。採用銀行或郵局匯款,可以直接用人民幣交易,避免了諸如黑客攻擊、賬號泄漏、密碼被盜等問題,對顧客來說更安全。但採用此種支付方式的收發貨周期時間長,例如卓越網的郵局匯款支付期限為14天,銀行電匯為10天,而採用其他網上支付則只需1-2天。此外,顧客還必須到銀行或郵局才能進行支付,支付過程比較繁瑣。對於商家來說,這種交易方式也無法體現電子商務高速、交互性強、簡單易用且運作成本低等優勢。因此,這種支付方式並不能適應電子商務的長期高速發展。
2.2 貨到付款
貨到付款又稱送貨上門,指按照客戶提交的訂單內容,在承諾配送時限內送達顧客指定交貨地點後,雙方當場驗收商品,當場交納貨款的一種結算支付方式。目前,很多購物網站都提供這種支付方式。這是一個充滿中國特色的B2C電子商務支付方式、物流方式,既解決了中國網上零售行業的支付和物流兩大問題,又培養了客戶對網路的信任。貨到付款仍然是中國用戶最喜歡的支付方式之一。但是,將支付與物流結合在一起存在很多問題。首先,付款方式採用現金付費,因此只局限在小額支付上,例如卓越網的訂單金額不可高於15 000元,對於商家的大額交易則無法實現。其次,由於送貨上門受到地區的局限,而EMS費用又較高,所以顧客選擇最多的還是普通郵寄,這就會帶來必然的時間損耗,給用戶造成不便。比如當當書店送貨上門服務,送到北京市內讀者手中需1-2天,而送到其他城市則需3-7天,普通郵寄則是更需1-2周,這還不包括邊遠地區。送貨上門單張訂單購物金額滿30元免5元平郵費用,單張訂單購物金額滿200元免加急費用,這個費用對於小額購物的顧客來說是無法接受的。
2.3 網上支付
所謂網上支付,是以金融電子化網路為基礎,以商用電子化工具和各類交易卡為媒介,以電子計算機技術和通信技術為手段,以二進制數據形式存儲,並通過計算機網路系統以電子信息傳遞形式實現的流通和支付。
2006年網上支付在整個電子支付市場規模中所佔的比例為97%,網上支付仍是電子支付形式中的絕對主力,國內目前採用網上支付業務的網上書店總數已超過10萬家。網上支付的方式主要有:銀行卡支付方式、電子支票支付方式和電子貨幣支付方式。其中比較成熟的是銀行卡支付方式,銀行卡支付方式是目前在國內網上購物實現在線支付的最主要的手段。
2.3.1 網上銀行卡轉帳支付
網上銀行卡轉帳支付指的是電子商務的交易通過網路,利用銀行卡進行支付的方式。客戶通過Internet向商家訂貨後,在網上將銀行卡卡號和密碼加密發送到銀行,直接要求轉移資金到商家銀行賬戶中,完成支付。銀行卡的卡類可以包括信用卡、借記卡和智能卡等。
我國目前網上銀行卡轉賬支付可以分為有數字證書和無數字證書兩種方式。一般的用戶如果不去銀行申請啟用有數字證書保護的網上支付功能,就只能使用無數字證書保護的網上支付。不啟用數字證書保護的網上支付在功能上會有一定的限制,例如只能進行賬戶查詢或只能進行小額支付。而啟用數字證書保護的網上支付不僅擁有更高的安全性,而且能享受網上銀行所提供的全部服務,支付的金額不受限制。
銀行卡網上直接轉賬支付存在著安全性和方便性方面的矛盾,例如要起用數字證書保護,付款人必須經過向銀行申請安裝數字證書,下載指定軟體等多道手續,對有些對電腦操作不熟悉的顧客而言就很難實現了。另外,因客戶直接將貨款轉移到商家的帳戶上,如果出現交易失敗的情況,那麼討回貨款的過程就可能變得非常繁瑣和困難。
2.3.2 第三方支付平台結算支付
第三方結算支付是指客戶和商家都首先在第三方支付平台處開立賬戶;並將各自的銀行賬戶信息提供給支付平台的賬戶中,第三方支付平台通知商家已經收到貨款,商家發貨;客戶收到並檢驗商品後,通知第三方支付平台可以付款給商家,第三方支付平台再將款項劃轉到商家的賬戶中。這樣客戶和商家的銀行帳戶信息只需提供給第三方支付平台,比較安全,且支付通過第三方支付平台完成,如果客戶未收到商品或商品有問題則可以通知第三方支付平台拒絕劃轉貨款到商家。而商家則可以在貨款有保障的情況下放心發貨,有效地降低了交易風險。第三方平台結算支付是當前國內服務數量最多的支付模式。國內當前從事網上支付的企業已經從2004年的10多家增加到現在的50多家,2005年我國第三方支付平台規模增長到161億元。來自賽迪顧問的調查表明,2007年我國第三方支付平台規模已達到215億元。國內目前第三方支付公司中,比較知名的有阿里巴巴的支付寶、易趣的安付通、貝寶、騰訊的財付通、易寶、網銀在線、銀聯電子支付、環訊的IPS、雲網等等。
由於第三方支付平台的介入,解決了電子商務支付過程中的一系列問題。如安全問題、信用問題、成本問題。與此同時,中國現有的第三方支付平台也存在一定的問題。
(1)中國法律規定只有金融機構才有權吸納代理用戶的錢,其他企業機構不得從事類似活動,支付平台的法律地位也受到一部分人的質疑。
(2)貨款在第三方支付平台中滯留的時間內將產生一定的利息,這部分利息如何分配目前也缺乏明確的規范和嚴格的監督。
(3)支付平台解決的電子商務支付過程中的安全性問題只限於客戶和廠商之間,其他安全性問題如客戶在支付平台填寫銀行資料時信息的保密性、有效性和完整性問題還有待進一步解決。
(4)操作還不夠簡便,客戶在使用支付平台時都必須進行一系列繁瑣的申請。
(5)貸款會在第三方支付平台的賬號中滯留一段時間,非實時性支付帶來存款風險,如第三方支付企業不能完全保證貨款安全,將大大損害客戶和商家的利益。
(6)第三方支付平台可能會被利用,通過捏造虛假交易從信用卡套現,甚至存在可能被利用來進行洗錢的風險。
C. 電子商務網站是如何做到安全支付的
一、移動支付中的安全問題
在整個移動支付的過程中涉及到的支付參與者包括:消費用戶、商戶用戶、移動運營商、第三方服務提供商、銀行。消費用戶和商戶用戶是系統的服務對象,移動運營商提供網路支持,銀行方提供銀行相關服務,第三方服務提供商提供支付平台服務,通過各方的結合以實現業務。移動支付需要考慮以下安全問題:(1)移動終端接入支付平台的安全,包括用戶注冊時,簽約信息的安全傳遞,以及用戶通過移動終端登錄系統,其間傳遞的數據如簽約用戶名、簽約密碼等的安全性。(2)支付平台內部數據傳輸的安全,即支付平台內部各模塊之間數據傳輸的安全性。(3)支付平台數據存儲的安全,涉及到簽約用戶的機密性的銀行卡賬戶、密碼、簽約用戶名、簽約密碼等的安全性。
二、移動支付的安全認證技術
當前,移動設備的大量普及為移動支付的實現提供了必要的條件,但也存在許多問題制約著移動支付的實施,如移動終端的計算環境和通信環境都非常有限,這就需要對相應的安全認證做一些特殊要求。
1.WPKI安全標准概況
WPKI(WirelessPKI)是有線PKI的一種擴展,它將互聯網電子商務中PKI的安全機制引入到移動電子商務中。WPKI採用公鑰基礎設施、證書管理策略、軟體和硬體等技術,有效地建立了安全和值得信賴的無線網路通信環境。WPKI以WAP的安全機制為基礎,通過管理實體間關系、密鑰和證書來增強電子商務安全。WAP安全機制包括WIM(WAPIdentityMole,無線應用協議識別模塊)、WMLSCrypt(WMLScriptCryptoAPI,WML腳本加密介面)、WTLS(,無線傳輸安全層)和WPKI四個部分。以上各部分對實現無線網路應用的安全分別起著不同的作用。WPKI作為安全基礎設施平台,一切基於身份驗證的應用都需要WPKI技術的支持,它可與WTLS、TCP/IP相結合,實現身份認證、私鑰簽名等功能。WPKI的主要組件包括:終端實體應用程序(EE)、PKI門戶(PKIPortal)、認證中心(CA)、目錄服務(PKIDirectory)、WAP網關,在應用模型中還涉及數據提供伺服器等設備,WPKI的基本結構和數據流向如圖所示。
在WPKI中,代替RA(RegistrationAuthority)的功能組件是PKI門戶(PKIPortal),它是一個網路伺服器,負責把WAP客戶的需求轉發給PKI中的RA和CA(CertificationAuthority)。CA主要負責生成證書、頒發證書和刷新證書等。WAPGateway負責處理客戶與源伺服器之間的協議轉換工作。WTLS是經傳統網路的TLS協議改進和優化而得來的,主要保證傳輸層的安全,WPKI也是對IETFPKIX標準的優化,使之更適合無線環境。
2.WPKI的加密演算法和密鑰
WPKI是通過管理實體間關系、密鑰和證書來增強電子商務安全的,與WAP安全標准相比,WPKI所採用的ECC(EllipticCurveCryptography,橢圓曲線密碼)密碼系統更適合在無線設備中使用。同樣強度的密鑰,ECC的密鑰長度(163bit)只是其他方案的六分之一(1024bit),但163bit的密鑰長度對窮舉密鑰攻擊幾乎是絕對安全的,因為窮舉163bit的密鑰個數有1.156×1049個,按每秒鍾測試1億個密鑰計算,也要3.6×1032年!
D. 如何構建安全的電子商務支付體系
國際通行的電子支付工具和支付手段主要有電子信用卡、電子支票、電子現金、及網專上銀行等。目前屬網銀在線支付支持的銀行卡種,在銀行端使用的是SSL128位加密演算法和SET(安全電子交易)協議,這樣就保障了BtoC在線支付的安全實施。另外支付平台本身使用PKI(公鑰基礎設施)作為安全架構,通過md5數字簽名技術對訂單信息進行加密和校驗,從而確保在Internet上數據傳輸的機密性、真實性、完整性和不可抵賴性。
電子商務平台上最安全的支付系統這個還真不好說是哪個,銀行卡還有人盜用呢,但只一在設密碼是難度大點,密碼資料不要隨便告訴別人,平時對網路安全多關注一點,支付系統還是可以放心使用的。
E. 網上支付安全功能的檢測標準是什麼
你好,很高興能回答你的問題,網路支付的安全可以概括為兩大方面,一是系統的安全,二是交易的安全。
系統安全主要指的是網路支付系統軟體、支撐網路平台的正常運行。保證網路支付用專有軟體的可靠運行、支撐網路平台和支付網關的暢通無阻和正常運行,防止網路病毒和黑客的攻擊,防止支付的故意延緩,防止網路通道的故意堵塞等是實現安全網路支付的基礎,也是安全電子商務的基礎。解決思路主要有:採用網路防火牆技術、用戶與資源分級控制管理機制、網路通道流量監控軟體、網路防病毒軟體等方法。這些內容在相關的電子商務安全課程都有論述,最後麻煩親點贊採納一下謝謝了,祝你生活愉快天天開心。
F. 安全電子支付的法律法規
第一條為規范和引導電子支付的健康發展,保障當事人的合法權益,防範支付風險,確保銀行和客戶資金的安全,制定本指引。
第二條電子支付是指單位、個人(以下簡稱客戶)直接或授權他人通過電子終端發出支付指令,實現貨幣支付與資金轉移的行為。
電子支付的類型按電子支付指令發起方式分為網上支付、電話支付、移動支付、銷售點終端交易、自動櫃員機交易和其他電子支付。
境內銀行業金融機構(以下簡稱銀行)開展電子支付業務,適用本指引。
第三條銀行開展電子支付業務應當遵守國家有關法律、行政法規的規定,不得損害客戶和社會公共利益。
銀行與其他機構合作開展電子支付業務的,其合作機構的資質要求應符合有關法規制度的規定,銀行要根據公平交易的原則,簽訂書面協議並建立相應的監督機制。 第四條客戶辦理電子支付業務應在銀行開立銀行結算賬戶(以下簡稱賬戶),賬戶的開立和使用應符合《人民幣銀行結算賬戶管理辦法》、《境內外匯賬戶管理規定》等規定。 第五條電子支付指令與紙質支付憑證可以相互轉換,二者具有同等效力。
第六條本指引下列用語的含義為:
(一)「發起行」,是指接受客戶委託發出電子支付指令的銀行。
(二)「接收行」,是指電子支付指令接收人的開戶銀行;接收人未在銀行開立賬戶的,指電子支付指令確定的資金匯入銀行。
(三)「電子終端」,是指客戶可用以發起電子支付指令的計算機、電話、銷售點終端、自動櫃員機、移動通訊工具或其他電子設備。
第二章電子支付業務的申請
第七條銀行應根據審慎性原則,確定辦理電子支付業務客戶的條件。
第八條辦理電子支付業務的銀行應公開披露以下信息:
(一)銀行名稱、營業地址及聯系方式;
(二)客戶辦理電子支付業務的條件;
(三)所提供的電子支付業務品種、操作程序和收費標准等;
(四)電子支付交易品種可能存在的全部風險,包括該品種的操作風險、未採取的安全措施、無法採取安全措施的安全漏洞等;
(五)客戶使用電子支付交易品種可能產生的風險;
(六)提醒客戶妥善保管、使用或授權他人使用電子支付交易存取工具(如卡、密碼、密鑰、電子簽名製作數據等)的警示性信息;
(七)爭議及差錯處理方式。
第九條銀行應認真審核客戶申請辦理電子支付業務的基本資料,並以書面或電子方式與客戶簽訂協議。
銀行應按會計檔案的管理要求妥善保存客戶的申請資料,保存期限至該客戶撤銷電子支付業務後5年。
第十條銀行為客戶辦理電子支付業務,應根據客戶性質、電子支付類型、支付金額等,與客戶約定適當的認證方式,如密碼、密鑰、數字證書、電子簽名等。 認證方式的約定和使用應遵循《中華人民共和國電子簽名法》等法律法規的規定。
第十一條銀行要求客戶提供有關資料信息時,應告知客戶所提供信息的使用目的和范圍、安全保護措施、以及客戶未提供或未真實提供相關資料信息的後果。 第十二條客戶可以在其已開立的銀行結算賬戶中指定辦理電子支付業務的賬戶。該賬戶也可用於辦理其他支付結算業務。
客戶未指定的銀行結算賬戶不得辦理電子支付業務。
第十三條客戶與銀行簽訂的電子支付協議應包括以下內容:
(一)客戶指定辦理電子支付業務的賬戶名稱和賬號;
(二)客戶應保證辦理電子支付業務賬戶的支付能力;
(三)雙方約定的電子支付類型、交易規則、認證方式等;
(四)銀行對客戶提供的申請資料和其他信息的保密義務;
(五)銀行根據客戶要求提供交易記錄的時間和方式;
(六)爭議、差錯處理和損害賠償責任。
第十四條有以下情形之一的,客戶應及時向銀行提出電子或書面申請:
(一)終止電子支付協議的;
(二)客戶基本資料發生變更的;
(三)約定的認證方式需要變更的;
(四)有關電子支付業務資料、存取工具被盜或遺失的;
(五)客戶與銀行約定的其他情形。
第十五條客戶利用電子支付方式從事違反國家法律法規活動的,銀行應按照有權部門的要求停止為其辦理電子支付業務。
第三章電子支付指令的發起和接收
第十六條客戶應按照其與發起行的協議規定,發起電子支付指令。
第十七條電子支付指令的發起行應建立必要的安全程序,對客戶身份和電子支付指令進行確認,並形成日誌文件等記錄,保存至交易後5年。
第十八條發起行應採取有效措施,在客戶發出電子支付指令前,提示客戶對指令的准確性和完整性進行確認。
第十九條發起行應確保正確執行客戶的電子支付指令,對電子支付指令進行確認後,應能夠向客戶提供紙質或電子交易回單。
發起行執行通過安全程序的電子支付指令後,客戶不得要求變更或撤銷電子支付指令。
第二十條發起行、接收行應確保電子支付指令傳遞的可跟蹤稽核和不可篡改。
第二十一條發起行、接收行之間應按照協議規定及時發送、接收和執行電子支付指令,並回復確認。
第二十二條電子支付指令需轉換為紙質支付憑證的,其紙質支付憑證必須記載以下事項(具體格式由銀行確定):
(一)付款人開戶行名稱和簽章;
(二)付款人名稱、賬號;
(三)接收行名稱;
(四)收款人名稱、賬號;
(五)大寫金額和小寫金額;
(六)發起日期和交易序列號。
第四章安全控制
第二十三條銀行開展電子支付業務採用的信息安全標准、技術標准、業務標准等應當符合有關規定。
第二十四條銀行應針對與電子支付業務活動相關的風險,建立有效的管理制度。
第二十五條銀行應根據審慎性原則並針對不同客戶,在電子支付類型、單筆支付金額和每日累計支付金額等方面做出合理限制。
銀行通過互聯網為個人客戶辦理電子支付業務,除採用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣。 銀行為客戶辦理電子支付業務,單位客戶從其銀行結算賬戶支付給個人銀行結算賬戶的款項,其單筆金額不得超過5萬元人民幣,但銀行與客戶通過協議約定,能夠事先提供有效付款依據的除外。 銀行應在客戶的信用卡授信額度內,設定用於網上支付交易的額度供客戶選擇,但該額度不得超過信用卡的預借現金額度。
第二十六條銀行應確保電子支付業務處理系統的安全性,保證重要交易數據的不可抵賴性、數據存儲的完整性、客戶身份的真實性,並妥善管理在電子支付業務處理系統中使用的密碼、密鑰等認證數據。 第二十七條銀行使用客戶資料、交易記錄等,不得超出法律法規許可和客戶授權的范圍。
銀行應依法對客戶的資料信息、交易記錄等保密。除國家法律、行政法規另有規定外,銀行應當拒絕除客戶本人以外的任何單位或個人的查詢。
第二十八條銀行應與客戶約定,及時或定期向客戶提供交易記錄、資金余額和賬戶狀態等信息。
第二十九條銀行應採取必要措施保護電子支付交易數據的完整性和可靠性:
(一)制定相應的風險控制策略,防止電子支付業務處理系統發生有意或無意的危害數據完整性和可靠性的變化,並具備有效的業務容量、業務連續性計劃和應急計劃; (二)保證電子支付交易與數據記錄程序的設計發生擅自變更時能被有效偵測;
(三)有效防止電子支付交易數據在傳送、處理、存儲、使用和修改過程中被篡改,任何對電子支付交易數據的篡改能通過交易處理、監測和數據記錄功能被偵測; (四)按照會計檔案管理的要求,對電子支付交易數據,以紙介質或磁性介質的方式進行妥善保存,保存期限為5年,並方便調閱。
第三十條銀行應採取必要措施為電子支付交易數據保密:
(一)對電子支付交易數據的訪問須經合理授權和確認;
(二)電子支付交易數據須以安全方式保存,並防止其在公共、私人或內部網路上傳輸時被擅自查看或非法截取;
(三)第三方獲取電子支付交易數據必須符合有關法律法規的規定以及銀行關於數據使用和保護的標准與控制制度;
(四)對電子支付交易數據的訪問均須登記,並確保該登記不被篡改。
第三十一條銀行應確保對電子支付業務處理系統的操作人員、管理人員以及系統服務商有合理的授權控制:
(一)確保進入電子支付業務賬戶或敏感系統所需的認證數據免遭篡改和破壞。對此類篡改都應是可偵測的,而且審計監督應能恰當地反映出這些篡改的企圖。 (二)對認證數據進行的任何查詢、添加、刪除或更改都應得到必要授權,並具有不可篡改的日誌記錄。
第三十二條銀行應採取有效措施保證電子支付業務處理系統中的職責分離:
(一)對電子支付業務處理系統進行測試,確保職責分離;
(二)開發和管理經營電子支付業務處理系統的人員維持分離狀態;
(三)交易程序和內控制度的設計確保任何單個的雇員和外部服務供應商都無法獨立完成一項交易。
第三十三條銀行可以根據有關規定將其部分電子支付業務外包給合法的專業化服務機構,但銀行對客戶的義務及相應責任不因外包關系的確立而轉移。
銀行應與開展電子支付業務相關的專業化服務機構簽訂協議,並確立一套綜合性、持續性的程序,以管理其外包關系。
第三十四條銀行採用數字證書或電子簽名方式進行客戶身份認證和交易授權的,提倡由合法的第三方認證機構提供認證服務。如客戶因依據該認證服務進行交易遭受損失,認證服務機構不能證明自己無過錯,應依法承擔相應責任。 第三十五條境內發生的人民幣電子支付交易信息處理及資金清算應在境內完成。
第三十六條銀行的電子支付業務處理系統應保證對電子支付交易信息進行完整的記錄和按有關法律法規進行披露。
第三十七條銀行應建立電子支付業務運作重大事項報告制度,及時向監管部門報告電子支付業務經營過程中發生的危及安全的事項。
第五章差錯處理
第三十八條電子支付業務的差錯處理應遵守據實、准確和及時的原則。
第三十九條銀行應指定相應部門和業務人員負責電子支付業務的差錯處理工作,並明確許可權和職責。
第四十條銀行應妥善保管電子支付業務的交易記錄,對電子支付業務的差錯應詳細備案登記,記錄內容應包括差錯時間、差錯內容與處理部門及人員姓名、客戶資料、差錯影響或損失、差錯原因、處理結果等。 第四十一條由於銀行保管、使用不當,導致客戶資料信息被泄露或篡改的,銀行應採取有效措施防止因此造成客戶損失,並及時通知和協助客戶補救。
第四十二條因銀行自身系統、內控制度或為其提供服務的第三方服務機構的原因,造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改,並造成客戶損失的,銀行應按約定予以賠償。 因第三方服務機構的原因造成客戶損失的,銀行應予賠償,再根據與第三方服務機構的協議進行追償。
第四十三條接收行由於自身系統或內控制度等原因對電子支付指令未執行、未適當執行或遲延執行致使客戶款項未准確入賬的,應及時糾正。
第四十四條客戶應妥善保管、使用電子支付交易存取工具。有關電子支付業務資料、存取工具被盜或遺失,應按約定方式和程序及時通知銀行。
第四十五條非資金所有人盜取他人存取工具發出電子支付指令,並且其身份認證和交易授權通過發起行的安全程序的,發起行應積極配合客戶查找原因,盡量減少客戶損失。 第四十六條客戶發現自身未按規定操作,或由於自身其他原因造成電子支付指令未執行、未適當執行、延遲執行的,應在協議約定的時間內,按照約定程序和方式通知銀行。銀行應積極調查並告知客戶調查結果。 銀行發現因客戶原因造成電子支付指令未執行、未適當執行、延遲執行的,應主動通知客戶改正或配合客戶採取補救措施。
第四十七條因不可抗力造成電子支付指令未執行、未適當執行、延遲執行的,銀行應當採取積極措施防止損失擴大。
第六章附則
第四十八條本指引由中國人民銀行負責解釋和修改。
第四十九條本指引自發布之日起施行。希望能幫助到樓主
G. 簡述電子商務的安全交易和支付主要保證的四個方面 簡述電子商務安全認證中心的基本功能
安全交易和支付主要保證以下四個方面:
一、信息保密性:交易中的商務信息均有保密的要求回。如信用卡答的賬號和用戶名等不能被他人知悉,因此在信息傳播中一般均有加密的要求。
二、交易者身份的確定性:網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
三、不可否認性:由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
四、不可修改性:交易的文件是不可被修改的,否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改,以保障商務交易的嚴肅和公正。
電子商務安全認證中心(CA)的基本功能是:
1、生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
2、 對數字證書和數字簽名進行驗證。
3、 對數字證書進行管理,重點是證書的撤消管理,同時追求實施自動管理(非手工管理)。
4、 建立應用介面,特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。
H. 電子商務結算與支付的基本要求有哪些
電子商務結算與支付的基本要求主要有以下幾點:
賬務正確性:電子支付是採用內先進的技術通過數字流轉容來完成信息傳輸的,其各種支付方式都是採用數字化的方式進行款項支付的,而傳統的支付方式則是通過現金的流轉、票據的轉讓及銀行的匯兌等物理實體是流轉來完成款項支付的,必須保證電子商務結算是的正確性;
資金安全性:清算與支付是一切互聯網金融業務的基礎,通過支付環節可以將整個業務流程打通並形成閉環,實現價值和利潤的等效流通,而比起接入第三方支付系統,電商平台自建支付清結算系統相對來說效率更高,對資金的利用率更大,且能避免一些資金安全隱患;
業務需求多變性:目前電子商務的類目越來越多,需要的支付方式也越來越多,目前比較主流的電子商務支付方式有支付寶支付,微信支付,網上銀行支付,信用卡支付等;
系統穩定性:系統的穩定性也對電子商務有著決定性的作用,成功支付離不開系統的穩定。
I. 電子商務安全的基本要求有哪些
一、建立和完善我國電子商務安全法律法規體系電子商務實踐要求有透明、和諧的交易秩序和環境保障,為此,須建立和完善相應的法律體系。目前,我國已頒布相當數量的信息安全方面的法律規范,但立法層次不高,法律協調性 本論文由無憂論文網整理提供差,立法理念和立法技術相對滯後。我國電子商務法律體系的構建中,首先應當考慮原有法律對電子商務行為的適用,對於原有法律不能適應可以採取修改原有法律和單獨立法的方式予以解決。對於一些全新領域可以進行單獨立法,可以參照聯合國《電子商務示範法》制定我國的電子商務基本法,從而形成我國電子商務完整、有機的法律體系。電子商務安全方面的法制建設則應涵蓋:保護隱私權;保護消費者權益;保證信息的合法訪問;數字簽名與認證機構;計算機違法與犯罪的問題的控制等。
二、完善電子商務企業內部安全管理體制,增強相關人員的安全意識首先必須對企業內部所有人員進行信息安全意識教育,充分理解安全對企業的重要性。系統管理員要將系統安全放在首位,依靠可行的、詳細的信息安防制度,消除安全隱患,防患於未然。其次,須針對信息存儲的不安全因素採取適當的防範措施:硬體的電源故障可設置合適的不間斷電源;操作系統和應用軟體的不安全因素可採用經常升級和下載軟體補丁程序的方法;軟體漏洞可進行有針性的設置加以彌補;計算機病毒可使用防毒、殺毒軟體,並經常升級。
三、構建電子商務信息安全技術框架體系:
(1)、防火牆技術是近年來發展的最重要的安全技術,用來加強網路之間的訪問控制,防止外部網路用戶以非法手段通過外部網路進人內部網路(被保護網路)。防火牆技術主要有包過濾、代理服務、狀態監控等技術。防火牆技術的優點主要是:通過過濾不安全的服務,提高網路安全和減少子網中主機的風險;提供對系統的訪問控制;阻擊攻擊者獲取攻擊網路系統的有用信息;記錄與統計通過它的網路通信,提供關於網路使用的統計數據,根據統計數據來判斷可能的攻擊和探測;提供製定與執行網路安全策略的手段,對企業內部網實現集中的安全管理。
(2)、信息加密技術作為主動的信息安全防範措施,利用加密演算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)、數字證書和認證技術是網路通信中標志通信 無憂論文網各方身份信息的一系列數據,通過運用對稱和非對稱密碼體制建立起一套嚴密的身份認證系統。具有信息除發送方和接收方外不被其他人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對於自己發送的信息不能抵賴等多項功能。另外,報文的發送方從報文文本中生成一個特定長度的散列值,發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名,通過數字簽名能夠實現對原始報文的完整性鑒別和不可抵賴性,實現電子文檔的辨認和驗證。
(4)、安全協議中,安全套接層協議(SSL)是一種安全通信協議。SSL提供了兩台計算機之間的安全連接,對整個會話進行了加密,從而保證了信息的安全傳輸。它提供的安全連接具有三個特點:連接是保密的,對於每個連接都有一個唯一的會話加密,採用對稱密碼體制來加密數據;連接是可靠的,消息的傳輸採用信息驗證演算法進行完整性檢驗;對端實體的鑒別採用非對稱密碼體制進行認證。安全電子交易(SET)是通過開放網路進行安全資金支付的技術標准,SET向基於信用卡進行電子化交易的應用提供實現安全措施的規則:信息在Internet上安全傳輸,保證傳輸的數據不被黑客竊取;其定單信息和個人帳號信息的隔離,當包含持卡人帳號信息的定單送到商家時,商家只能看到定貨信息,而看不到持卡人的帳戶信息;持卡人和商家相互認證,以確定通信雙方的身份,一般由第三方機構負責為在線通信雙方提供信用擔保;要求軟體遵循相同協議和報文格式,使不同廠家開發的軟體具有兼容和互操作功能,並可運行在不同的硬體和操作系統平台上。
J. 電子商務的安全支付問題
1、電子商務的安全控制要求概述
電子商務發展的核心和關鍵問題是交易的安全性。由於Internet本身的開放性,使網上交易面臨了種種危險,也由此提出了相應的安全控制要求。
1.1信息保密性
交易中的商務信息有保密的要求。如信用卡的帳號和用戶名被人知悉,就可能被盜用,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
1.2交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家而言要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。
1.3不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改動文件內容,那麼交易本身便是不可靠的,客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正。
2、電子商務安全交易的有關標准和實施方法
2.1安全交易的雛形
在電子商務實施初期,曾採用過一些簡易的安全措施,這些措施包括:
(1) 部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
(2) 另行確認(Order Confirmation):即當在網上傳輸交易信息之後,再用電子郵件對交易作確認,才認為有效。
(3) 在線服務(Online Service):為了保證信息傳輸的安全,用企業提供的內部網來提供聯機服務。
以上所述的種種方法,均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
2.2安全交易標準的制定
近年來,IT業界與金融行業一起,推出不少更有效的安全交易標准。主要有:
(1) 安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
(2) 安全套接層協議(SSL協議:Secure Socket Layer)是由網景(Netscape)公司推出的一種安全通信協議,是對計算機之間整個會話進行加密的協議,提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,用以完成需要的安全交易操作。在SSL中,採用了公開密鑰和私有密鑰兩種加密方法。
(3) 安全交易技術協議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。
(4) 安全電子交易協議(SET:Secure Electronic Transaction):SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准,其交易形態將成為未來「電子商務」的規范。
支付系統是電子商務的關鍵,但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協議,每一種都提供了通過Internet進行支付的手段。但是,兩者之中誰將領導未來呢?SET將立刻替換SSL嗎?SET會因其復雜性而消亡嗎?SSL真的能完全滿足電子商務的需要嗎?我們可以從以下幾點對比作管中一窺:
SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展,但如果想要電子商務得以成功地廣泛開展的話,必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置,比較容易被應用。
SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。
SET是一種基於消息流的協議,它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布,用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗,但大多數在Internet上購的消費者並沒有真正使用SET。
SET是一個非常復雜的協議,因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上,SET遠遠不止是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。
3、目前安全電子交易的手段
在近年來發表的多個安全電子交易協議或標准中,均採納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種:
3.1密碼技術
採用密碼技術對信息加密,是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種:
(1)公共密鑰和私用密鑰(public key and private key)
這一加密方法亦稱為RSA編碼法,是由Rivest、Shamir和Adlernan三人所研究發明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘,對文件加密,均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數,則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時,某個用戶總是將一個密鑰公開,讓需發信的人員將信息用其公共密鑰加密後發給該用戶,而一旦信息加密後,只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到,亦可在請對方發信息時主動將公共密鑰傳給對方,這樣保證在Internet上傳輸信息的保密和安全。
(2)數字摘要(digital digest)
這一加密方法亦稱安全Hash編碼法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所設計。該編碼法採用單向Hash函數將需加密的明文「摘要」成一串128bit的密文,這一串密文亦稱為數字指紋(Finger Print),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是「真身」的「指紋」了。
上述兩種方法可結合起來使用,數字簽名就是上述兩法結合使用的實例。
3.2數字簽名(digital signature)
在書面文件上簽名是確認文件的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面文件簽名有相同之處,採用數字簽名,也能確認以下兩點:
a. 信息是由簽名者發送的。
b. 信息在傳輸過程中未曾作過任何修改。
這樣數字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發送信息;或發出(收到)信件後又加以否認等情況發生。
數字簽名採用了雙重加密的方法來實現防偽、防賴。其原理為:
(1) 被發送文件用SHA編碼加密產生128bit的數字摘要(見上節)。
(2) 發送方用自己的私用密鑰對摘要再加密,這就形成了數字簽名。
(3) 將原文和加密的摘要同時傳給對方。
(4) 對方用發送方的公共密鑰對摘要解密,同時對收到的文件用SHA編碼加密產生又一摘要。
(5) 將解密後的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致,則說明傳送過程中信息沒有被破壞或篡改過。否則不然。
3.3數字時間戳(digital time-stamp)
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。
在電子交易中,同樣需對交易文件的日期和時間信息採取安全措施,而數字時間戳服務(DTS:digital time-stamp service)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密後形成的憑證文檔,它包括三個部分:1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間,3)DTS的數字簽名。
時間戳產生的過程為:用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要,然後將該摘要發送到DTS,DTS在加入了收到文件摘要的日期和時間信息後再對該文件加密(數字簽名),然後送回用戶。由Bellcore創造的DTS採用如下的過程:加密時將摘要信息歸並到二叉樹的數據結構;再將二叉樹的根值發表在報紙上,這樣更有效地為文件發表時間提供了佐證。注意,書面簽署文件的時間是由簽署人自己寫上的,而數字時間戳則不然,它是由認證單位DTS來加的,以DTS收到文件的時間為依據。因此,時間戳也可作為科學家的科學發明文獻的時間認證。
3.4數字憑證(digital certificate, digital ID)
數字憑證又稱為數字證書,是用電子手段來證實一個用戶的身份和對網路資源的訪問的許可權。在網上的電子交易中,如雙方出示了各自的數字憑證,並用它來進行交易操作,那麼雙方都可不必為對方身份的真偽擔心。數字憑證可用於電子郵件、電子商務、群件、電子基金轉移等各種用途。
數字憑證的內部格式是由CCITT X.509國際標准所規定的,它包含了以下幾點:
(1) 憑證擁有者的姓名,
(2) 憑證擁有者的公共密鑰,
(3) 公共密鑰的有效期,
(4) 頒發數字憑證的單位,
(5) 數字憑證的序列號(Serial number),
(6) 頒發數字憑證單位的數字簽名。
數字憑證有三種類型:
(1) 個人憑證(Personal Digital ID):它僅僅為某一個用戶提供憑證,以幫助其個人在網上進行安全交易操作。個人身份的數字憑證通常是安裝在客戶端的瀏覽器內的。並通過安全的電子郵件(S/MIME)來進行交易操作。
(2) 企業(伺服器)憑證(Server ID):它通常為網上的某個Web伺服器提供憑證,擁有Web伺服器的企業就可以用具有憑證的萬維網站點(Web Site)來進行安全電子交易。有憑證的Web伺服器會自動地將其與客戶端Web瀏覽器通信的信息加密。
(3) 軟體(開發者)憑證(Developer ID):它通常為Internet中被下載的軟體提供憑證,該憑證用於和微軟公司Authenticode技術(合法化軟體)結合的軟體,以使用戶在下載軟體時能獲得所需的信息。
上述三類憑證中前二類是常用的憑證,第三類則用於較特殊的場合,大部分認證中心提供前兩類憑證,能提供各類憑證的認證中心並不普遍。
3.5認證中心(CA:Certification Authority)
在電子交易中,無論是數字時間戳服務(DTS)還是數字憑證(Digital ID)的發放,都不是靠交易的雙方自己能完成的,而需要有一個具有權威性和公正性的第三方(third party)來完成。認證中心(CA)就是承擔網上安全電子交易認證服務、能簽發數字證書、並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS:Certification Practice Statement)來實施服務操作。
上述五個方面介紹了安全電子交易的常用手段,各種手段常常是結合在一起使用的,從而構成比較全面的安全電子交易體系。
4、應用動態
根據最新報道,我國第一個安全電子商務系統:「網上訂票與支付系統」經過半年試運行後,於1999年8月8日投入正式運行,其發起單位由上海市政府商業委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務安全證書管理中心有限公司等共同發起、投資與開發。
系統結構採用網上訂票與支付系統由四個子系統組成:商戶子系統、客戶子系統、銀行支付網關子系統、數字證書授權與認證子系統。
商戶子系統的第一個應用是用來購買購買飛機票的中國東方航空公司網站。網址為:www.cea.online.sh.cn;它是中國安全電子商務第一網站。
客戶子系統是安裝於PC機上的電子錢包軟體,是信用卡持有人進行網上消費的支付工具。電子錢包中必須加入客戶的信用卡信息與數字證書之後,方可進行網上消費。
支付網關子系統通常是指由收款銀行運行的一套設備,用來處理商戶的付款信息以及持卡人發出的付款指令。
數字證書授權與認證子系統為每個交易參與方生成一個數字證書作為交易方身份的驗證工具。
其技術特點是採用IBM的電子商務框架結構、嵌入經國家密碼管理委員會認可的加/解密用軟/硬體產品。這個電子商務系統具有如下的安全交易特點:
1) 遵循SET國際標准、具有SET標准規定的安全機制,是目前國際互聯網上運行的比較安全的電子商務系統;
2) 兼顧國內信用卡/儲蓄卡與國際信用卡的業務特點,具有一定的中國特色;
3) 具有開放特性,可與經SETCO國際組織認證的任何電子商務系統進行互操作;