電子商務中的網上支付風險防範

⑴ 如何看待網上支付安全及風險防範

如果是招行網上支付，我行有多重措施保障安全：1、底層保障：嚴格的加密程序，使用https加密通訊協議；2、額度控制：支付採用「網上支付每日限額」和「網上支付額度」進行額度控制，調整額度需要驗證取款密碼。3、支付環境：若系統判斷交易存在風險，會要求客戶通過驗證碼進行驗證。 【溫馨提示】不要在公共場所網路或網吧之類的場所使用網上銀行，避免泄露個人賬戶信息給陌生人。

⑵ 電子商務的四大風險類型

(一)消費者所面臨的風險（包括信息安全，財產安全等）。

(二)銷售商所面臨的風險（敵對商家惡意攻擊，數據被盜竊，銷售網路被黑客攻擊等）。

(三)企業所面臨的風險（企業內部網的風險，金融做空，金融詐騙，黑客攻擊，數據被盜等。

(四)市場所面臨的風險（由於基礎資產市場價格的不利變動或者急劇波動而導致衍生工具價格或者價值變動的風險）。

(2)電子商務中的網上支付風險防範擴展閱讀：

風險的防範方法：

(一)消費者的風險防範

消費者的風險防範，歸納起來，主要應從下面三個方面加強。

(1)設定的密碼最好避免使用生日等容易被別人破譯的密碼號，而且要經常更改口令以減少被盜用的機率。

(2)在各種與網際網路相關的事務中，一定要堅持使用不同的口令。在不同的網址使用不同的密碼。而且，在選擇ISP時，應該注意選擇信譽好、可靠性高的公司。

(3)不要輕易將密碼告訴他人。尤其不要輕信系統管理員提出的需要你的賬號、密碼來維護系統的說法。

(4)對於黑客攻擊系統從而攫取消費者的信用卡數據所造成的信息泄密，消費者確實沒有什麼辦法，除非他在網上根本不運用任何信用卡信息。

(二)銷售商的風險防範

銷售商面臨的風險主要是數據被竊，這一點同企業的數據被竊類似，針對這一點，銷售商應該從加強自身網路的技術措施來加強風險防範，可採用後面提到的企業防範方法。

至於域名注冊方面的風險防範，要求銷售商加強域名的注冊，盡早確立組織自身在網路世界的合法地位，是避免域名糾紛的最佳防範措施。

(三)企業的風險防範

前面已經說到，企業的風險主要來自於內部和外部兩個方面。下面分別針對於這兩方面提出相應的防範措施。

1．企業內部網風險的防範。由於內部風險主要是由於企業員工對企業系統的攻擊所產生的，所以可採取以下手段：

(1)對企業的各種資料信息設置秘密等級，並予以明確的標識，分等級分別管理。也就是說，公司的高層人員、中層人員以及下層的工作人員所能夠看到的關於公司的資料應該是不同的。規定各個員工包括不同業務主管接觸秘密的許可權，每個員工不得接觸自己無權接觸密級的檔案資料。

(2)專人管理商業秘密，定崗定責，不能無人負責，上級主管應當定期予以監督檢查。

(3)要求員工對自己使用的密碼經常更換，不能給竊密者造成機會。

(4)採取加密措施。對於員工使用網路傳輸涉及商業秘密的文件、信息時，可以使用加密計算機程序，取得解密「鑰匙」。這種措施對於傳送文件、信息途中的竊取、竊聽以及員工因過失按錯送達對象按鈕，都可以有效保守秘密。

(5)對員工的個人情況，特別是對那些信息系統上的員工，要進行制度化的選拔與檢查。要將經過一定時間考察、責任心強、講原則、守紀律、業務能力強的人員派到各自崗位上。

2．企業之間風險的防範。針對企業之間進行電子商務交易時所面臨的風險，我們從技術上來防範這些風險：

(1)利用防火牆技術保證電子商務系統的安全。防火牆的目的是提供安全保護、控制和鑒別出入站點的各種訪問。它建立起網路通信的控制過濾機制從而有效保證交易的安全

(2)利用安全協議保證電子商務的安全。由於Intemet的開放性造成的在網路中傳輸的數據的公共性，為了保證網路傳輸過程中數據的安全，就必須要使用安全的通信協議以保證交易各方的安全。例如：可用S／MIME協議、S—HTTP協議、SSL協議等。

(3)利用身份認證技術保證電子商務系統的安全。由於電子商務是在網路中完成，交易各方不見面，為了保證每個參與者(銀行、企業)都能無誤地被識別，必須使用身份認證技術。

⑶ 電子商務結算與支付應怎樣防範資金風險

支付寶相來關負責人介自紹說，支付寶進行的擔保交易，不會直接把錢打到收款賬戶上，而是等付款賬戶確認收貨後，才進行款項結算，增加了資金的安全性。而且快捷支付用戶可以開通「支付寶支付密碼+數字證書+手機動態口令」的三重保護服務，確保賬戶安全。 另據介紹，掃描不安全的二維碼，手機會被植入病毒，不但會泄露個人信息，也容易造成手機「吃費」，一些商家還會以此發布非法廣告和不良信息。再加上目前沒有針對二維碼的相關監管，導致其暗藏一定風險。 張旭建議說，對號稱賣家或電商發來的二維碼和鏈接不要輕易掃描和點擊，以免誤裝木馬或誤入釣魚網站。如遇到退款身份驗證、卡單、掉單等說法要格外注意，這些都是不法分子的常用詐騙術語。

⑷ 如何防範電子商務交易面臨安全和風險威脅

與傳統購物相比，網路購物具有很多優勢，但是，這種新興的購物模式，同樣也存在不容忽視的不足之處，主要包括：不可信網站、 木馬、釣魚欺詐網站，支付安全。 (一) 通過網路進行詐騙 網購不斷發展，不法分子也為了牟取利益在網上進行網路詐騙。部分商家沒有商品，但卻在網路上聲明銷售商品，因為絕大多數的網路銷售是先付款後發貨等收到款項後便銷聲匿跡，消費者無法聯系經銷商，這些網站以此手段來騙取顧客的錢財。 (二) 木馬、釣魚欺詐網站 木馬、釣魚欺詐網站是網購面臨的主要安全威脅。以不良網址導航站、不良下載站、釣魚欺詐網站為代表的「流氓網站」群體正在形成一個龐大灰色利益鏈，互聯網安全問題開始進入「流氓網站」時代。 (三) 支付安全 支付環節是消費者最擔心的問題之一，網上支付也存在一定的安全風險，比如一些詐騙網站，盜取銀行賬號、密碼、口令卡等，是網購在支付環節容易出現的問題。購買前的支付程序繁瑣及購買後對貨品不滿意退款流程復雜、時間長，貨款只退到網站賬號不退到銀行賬號等也使網購出現安全風險，如果用戶網站帳號密碼被盜，則帳號內的資金有可能會被盜用。 三、網路購物安全防範措施 （一）應該加強立法工作，建立和完善相關法律、法規。 網上購物必須以網上安全支付和按時按量質交貨為提前，商家和消費者的信譽度問題是網上購物平穩發展的關鍵，但是一個很難解決的問題。因此制定完整的、切實可行的法律法規，推動網上購物在法
undefined
制化的安全、有序環境中運行。 （二）消費者應增強自我保護意識。 消費者要認真分析網路經銷商的平台的真實性，盡量選擇正規的、知名的網站和網上商店。消費者購物時要仔細了解與商品或者服務有關的所有信息，如網路服務經營者和商家的信用度、商品的質量保障及售後服務情況；購買前要多跟商家溝通，詳細了解商品情況和付款方式，採用安全的網上付款方式，並注意保存聊天記錄，注意保存相關網頁和付款憑證，索要發票，以便事後據此維護權益. （三）模式技術創新。 網路是電子商務的載體，科技的創新將有力地推動電子商務的發展。目前國內網路的建設大部分還是依靠國外的技術和設備，這對我國電子商務的長遠發展不利。因而要大力發展網路技術，建設更加快速、穩定、安全的基礎網路環境，為用戶建立起一個安全的網路運行環境，保證網上數據的機密性、完整性、有效性，從而使用戶可以在多種應用環境下方便安全的使用網路進行商業活動。 （四）引入安全系數較高的支付方式。 支付方式關繫到貨款的安全，直接關系買賣雙方的信譽交易。消費者的網購支付方式包括第三方支付、銀行匯款、貨到付款。在這三種方式中，在線支付的方式是最便捷的，第三方支付是一種後付費的支付方式，能夠降低支付風險，也是現在網上購物比較普遍採用的支付方法。而貨到付款則是消費者最容易接受的一種付款方式，但是，商家要委託物流公司代收款，這樣對商家來講會造成現金的風險問題。

⑸ 網上支付如何防範風險

不法分子有可能來通過自非法的渠道獲取客戶的網上購物信息，以發送紅包、返現金、退款等理由，引誘客戶落入其事先設置好的圈套，從而騙取資金。為防範上述詐騙行為，向您提出以下建議：
1.請在支付前仔細核對訂單信息無誤後再確認支付；
2.不要隨便點擊陌生人發送的圖片等文件及鏈接地址；
3.不要輕信陌生人發布的虛假、廉價商品信息；
4.不要開啟操作系統及MSN、QQ等即時通訊工具的遠程協助功能；
5.謹防您的卡號、密碼等信息被竊取。當頁面顯示支付出錯時，請立即查看賬戶余額是否變動，不要輕易重復提交。
6.安裝個人防火牆、及時更新殺毒軟體，保護用於辦理網上銀行業務的計算機等電子設備的安全，防止其發生信息泄露或被他人操控；不要在網吧等多人共用的計算機上使用網上銀行。
7.選擇信譽好、運營時間長的網站進行銀行卡網上支付業務，防範不法網上商戶盜取卡號或其他個人資料。
8.經常檢查銀行賬戶交易明細，發現不明支出款項，應立即聯系銀行。

⑹ 電子商務中的法律風險與防範

電子商務企業內生風險防範體系

所謂電子商務企業內生風險防範體系，是指電子商務企業內部建立的風險防範機構、機制、對策、方法、措施等的綜合。

提高風險防範意識

對IT從業人員進行電子商務運作和安全管理的系統而全面的教育，並培養其相關的風險防範意識，給予其更多的培訓及資格認證，從而使其對企業應用電子商務有一個全面和客觀的認識。

加強內部管理機制

「三分技術、七分管理」的理念不能只停留在理論階段，更重要的是企業應該將其轉化為具體的操作。內部管理機制設計的基本原則是：要求發生在系統內的所有行為都是有定義的行為，並且符合程序控制的要求，所有行為的發生都有審計記錄，管理的有效性，可以解決許多技術層次解決不了的風險問題。

實施風險防範等級管理

此點可借鑒我國實施的「信息安全等級保護政策」，對企業來講，風險可以分為重要風險和一般風險，企業應該堅持安全成本與風險相平衡的原則，根據企業的實際需要，抓住重點，力求具體、明確、到位，講究實效。

建立主動性安全基礎構架

賽門鐵克公司亞太地區副總裁Vince Steckler在2004年3月5日的亞太安全論壇上作了「在企業范圍內建立主動性安全基礎構架」的演講，主要針對企業提供各種前瞻性措施，通過在企業范圍內實施完善的安全措施，有效識別和管理漏洞，將安全策略與商業戰略結合起來，築起一道抵禦不斷升級的風險威脅的重要防線。

外生風險防範體系是指對電子商務企業風險起防範作用的相關法律法規、信用、物流和電子支付等社會體系的總和。

電子商務安全的法制建設

在參考國際《電子商務示範法》的前提下，根據我國的國情，制定一部用以規范電子商務活動的法律或法規，以解決電子商務發展所面臨的法律法規問題。我國電子商務立法的運用范圍，應包括電子合同的效力問題、電子支付及金融管理、稅收與保險、網路管理與信息安全保護、電子證據與電子簽名的法律認定、政府的強制性措施及審查機制、市場准入規則、知識產權保護、消費者合法權益的保護、司法的國際管轄和國際協助等等。

建立電子商務的信用體系環境

電子商務交易涉及廠家、商家、網站、銀行、消費者等多方面利益的信用問題，難以孤立地解決，必須建立一個社會信用體系環境。全社會首先要建立一種自己守信用、人人守信用、也相信別人守信用的心態。其次要健全完善信用制度，通過設置合理的運行機制和運行標准，並通過監督機構，保證參與交易各方按期、按質、按量支付貨款和交送貨物。

加快物流配送體系的建設

一是要逐步開放市場，歡迎國內外的物流公司參與競爭，通過競爭，使我國的物流配送體系日趨完善。二是要重視物流人才培養，除了學校的人才培養外，還要加快物流師職業資格認證的步伐。三是要在物流管理技術化、信息化、柔性化和一體化等方面加強物流管理的創新。

完善電子商務的支付手段

電子商務交易需要信息流、物流和資金流的同時暢通，因此必須完善電子支付系統，提高銀行電子支付水平，建立一個安全、嚴密、可靠的社會范圍的電子貨幣支付系統，並成立電子商務認證機構，盡快成立統一網上結算中心，並逐步開展與國外客戶的網上結算服務。

電子商務企業內外協同防範體系

電子商務企業協同防範體系是指需要電子商務企業和外部共同來完成的技術研究、人才培養、協調機制建設和聯盟建立等方面的總和。

加強電子商務安全技術的研究

有關部門（可以是政府、科研單位、院校和企業聯合）應組織一支精乾的安全技術研究隊伍，集中力量盡快解決電子商務的安全技術問題，包括加密技術、防火牆技術、數字簽名技術、報文摘要技術、認證技術、留痕技術等，並能夠隨著計算機和電子商務技術的發展而不斷改進這些技術。應該建立電子商務安全體系結構和具有權威性和公正性的CA認證機構。此外，還應著手建立相應的國家級的安全控制中心系統，這一系統應包括國際出入口（信息海關）監控、電子交易證書授權、密鑰管理、安全產品評測認證、病毒檢測和防治、系統攻擊與反攻擊等分中心。

大力培養電子商務人才，推廣與普及電子商務知識

必須加強對電子商務人才的培養、大力推廣與普及有關電子商務的知識，一方面要進一步加強各高校電子商務專業建設，另一方面要進一步推進電子商務師職業資格認證培訓，實施持證上崗制度。

建立協調機制

這要求企業和各級信息安全保障中心和信息安全行業協會密切配合，互通風險預警信息，從而共同維護電子商務交易的安全性。同時要加強科研單位、院校對風險管理理論的研究和安全企業實踐應用的協調，要把理論和實踐真正的聯系起來，達到理論與實踐的真正結合。

風險戰略聯盟建設

戰略聯盟不單是在獲取利益、實現市場機會方面發揮著重要作用，在分擔風險、防範風險方面同樣也起著重要作用。2004年2月25日在舊金山舉行的RSA峰會發布的公告，美國數家從事電腦安全的公司倡儀組成一個聯盟組織用以保護企業及基礎網路設施，共同防範信息風險。該組織被稱為信息安全行業聯盟（CSIA—Cyber Security Instry Alliance），將與美國國家安全部、國際及美國的標准組織合作，共防信息風險，支持新興的安全標准和規范。

電子商務企業內生防範體系的自控、外生防範體系的他律和協同防範體系的聯防，三者缺一不可，並共同對電子商務企業風險起著防範制約作用。只有電子商務企業的風險防範措施得當，加上長久連續的風險防範，才能使電子商務健康快速地發展，並成為未來商務的主流形式，才能使電子商務企業實現相應的效益，提高自己的企業競爭力。

⑺ 電子商務交易風險及對策

電子商務安全風險管理研究
林黎明1 李新春2
（ 中國礦業大學 管理學院，江蘇 徐州 221008 ）

摘要 該文基於目前電子商務安全所面臨的各種風險問題，結合當前的一些風險管理方法，對電子商務系統安全風險管理進行一些基本的分析和研究，以期對企業電子商務安全風險管理提供一些有價值的借鑒和參考。
關鍵詞 電子商務安全，風險管理，風險識別，風險控制

1 引言
隨著開放的互聯網路系統Internet的飛速發展，電子商務的應用和推廣極大了改變了人們工作和生活方式，帶來了無限的商機。然而，電子商務發展所依託的平台—互聯網路卻充滿了巨大、復雜的安全風險。黑客的攻擊、病毒的肆虐等等都使得電子商務業務很難安全順利地開展；此外，電子商務的發展還面臨著嚴峻的內部風險，電子商務企業內部對安全問題的盲目和安全意識的淡薄，高層領導對電子商務的運作和安全管理重視程度不足，使得企業實施電子商務不可避免地會遇到這樣或那樣的風險。因此，在考察電子商務運行環境、提供電子商務安全解決方案的同時，有必要重點評估電子商務系統面臨的風險問題以及對風險有效管理和控制方法。
電子商務安全的風險管理是對電子商務系統的安全風險進行識別、衡量、分析，並在這基礎上盡可能地以最低的成本和代價實現盡可能大的安全保障的科學管理方法。
2 電子商務面臨的安全風險
由於網路的復雜性和脆弱性，以網際網路為主要平台的電子商務的發展面臨著嚴峻的安全問題。一般來說，電子商務普遍存在著以下幾個安全風險：
1）信息的截獲和竊取
這是指電子商務相關用戶或外來者未經授權通過各種技術手段截獲和竊取他人的文電內容以獲取商業機密。
2）信息的篡改
網路攻擊者依靠各種技術方法和手段對傳輸的信息進行中途的篡改、刪除或插入，並發往目的地，從而達到破壞信息完整性的目的。
3）拒絕服務
拒絕服務是指在一定時間內，網路系統或伺服器服務系統的作用完全失效。其主要原因來自黑客和病毒的攻擊以及計算機硬體的認為破壞。
4）系統資源失竊問題
在網路系統環境中，系統資源失竊是常見的安全威脅。
5）信息的假冒
信息的假冒是指當攻擊者掌握了網路信息數據規律或解密了商務信息後，可以假冒合法用戶或假冒信息來欺騙其它用戶。主要表現形式有假冒客戶進行非法交易，偽造電子郵件等。
6）交易的抵賴
交易抵賴包括發信者事後否認曾經發送過某條信息；買家做了定單後不承認；賣家賣出的商品因價格差而不承認原先的交易等。
3 風險管理規則
針對電子商務面臨的各種安全風險，電子商務企業不能被動、消極地應付，而應該主動採取措施維護電子商務系統的安全，並監視新的威脅和漏洞。因此，這就需要制定完整高效的電子商務安全風險管理規則。
一般來說，風險管理規則的制定過程有評估、開發和實施以及運行三個階段。
（1）評估階段
該階段的主要任務是對電子商務的安全現狀、要保護的信息、各種資產等進行充分的評估以及一些基本的安全風險識別和分析。
對電子商務安全現狀的評估是制定風險管理規則的基礎。
對信息和資產的評估是指對可能遭受損失的相關信息和資產進行價值的評估，以便確定相適應的風險管理規則，從而避免投入成本和要保護的信息和資產的嚴重不匹配。
安全風險識別要求盡可能地發現潛在的安全風險，應收集有關各種威脅、漏洞、開發和對策的信息。
安全風險分析是確定風險，收集信息，對可能造成的損失進行評價以估計風險的級別，以便做出明智的決策，從而採取措施來規避安全風險。
（2）開發和實施階段
該階段的任務包括風險補救措施開發、風險補救措施測試和風險知識學習。
風險補救措施開發利用評估階段的成果來建立一個新的安全管理策略，其中涉及配置管
理、修補程序管理、系統監視與審核等等。
在完成對風險補救措施的開發後，即進行安全風險補救措施的測試，在測試過程中，將按照安全風險的控制效果來評估對策的有效性。
（3）運行階段
運行階段的主要任務包括在新的安全風險管理規則下評估新的安全風險。這個過程實際上是變更管理的過程，也是執行安全配置管理的過程。
運行階段的第二個任務是對新的或已更改的對策進行穩定性測試和部署。這個過程由系統管理、安全管理和網路管理小組來共同實施。

以上風險管理規則的三個階段可以用下圖來表示：

圖1 風險管理規則的三個階段

4 風險管理步驟
風險管理是識別風險、分析風險並制定風險管理計劃的過程。電子商務安全風險的管理和控制方法，它包括風險識別、風險分析、風險控制以及風險監控等四個方面。
（1）風險識別
電子商務系統的安全要求是通過對風險的系統評估而確認的。為了有效管理電子商務安全風險，識別安全風險是風險管理的第一步。
風險識別是在收集有關各種威脅、漏洞和相關對策等信息的基礎上，識別各種可能對電子商務系統造成潛在威脅的安全風險。
風險識別的手段五花八門，對於電子商務系統的安全來說，風險識別的目標是主要是對電子商務系統的網路環境風險、數據存在風險和網上支付風險進行識別。
需要注意的是，並非所有的電子商務安全風險都可以通過風險識別來進行管理，風險識別只能發現已知的風險或根據已知風險較容易獲知的潛在風險。而對於大部分的未知風險，則依賴於風險分析和控制來加以解決或降低。
（2）風險分析
風險分析是運用分析、比較、評估等各種定性、定量的方法，確定電子商務安全各風險要素的重要性，對風險排序並評估其對電子商務系統各方面的可能後果，從而使電子商務系統項目實施人員可以將主要精力放在對付為數不多的重要安全風險上，使電子商務系統的整體風險得到有效的控制。風險分析是一種確定風險以及對可能造成的損失進行評估的方法，它是制定安全措施的依據。
風險分析的目標是：確定風險，對可能造成損壞的潛在風險進行定性化和定量化，以及最後在經濟上尋求風險損失和對風險投入成本的平衡。
目前，風險分析主要採用的方法有：風險概率/影響評估矩陣，敏感性分析，模擬等。在進行電子商務安全風險分析時，由於各影響因素量化在現實上的困難，可根據實際需要，主要採用定性方法為主輔以少量定量方法相結合來進行風險分析，為制定風險管理制度和風險的控制提供理論上的依據。
（3）風險控制
風險控制就是選擇和運用一定的風險控制手段，以保障風險降到一個可以接受的水平。風險控制是風險管理中最重要的一個環節，是決定風險管理成敗的關鍵因素。電子商務安全風險控制的目標在於改變企業電子商務項目所承受的風險程度。
一般來說，風險控制方法有兩類：
第一類是風險控制措施，比如降低、避免、轉移風險和損失管理等。在電子商務安全風險管理中，比較常用的是轉移風險和損失管理。
第二類為風險補償的籌資措施，包括保險與自擔風險。在電子商務安全風險管理中，管理人員需要對風險補償的籌資措施進行決策，即選擇保險還是自擔風險。
此外，風險控制方法的選擇應當充分考慮相對風險造成損失的成本，當然其它方面的影響也是不容忽視的，如企業商譽等。
對電子商務安全來說，其有效可行的風險控制方法是：建立完整高效的降低風險的安全性解決方案，掌握保障安全性所需的一些基礎技術，並規劃好發生特定安全事故時企業應該採取的解決方案。
5 風險管理對策
由於電子商務安全的重要性，所以部署一個完整有效的電子商務安全風險管理對策顯得十分迫切。制定電子商務安全風險管理對策目的在於消除潛在的威脅和安全漏洞，從而降低電子商務系統環境所面臨的風險。
目前的電子商務安全風險管理對策中，較為常用的是縱深防禦戰略，所謂縱深防禦戰略，就是深層安全和多層安全。通過部署多層安全保護，可以確保當其中一層遭到破壞時，其它層仍能提供保護電子商務系統資源所需的安全。比如，一個單位外部的防火牆遭到破壞，由於內部防火牆的作用，入侵者也無法獲取單位的敏感數據或進行破壞。在較為理想的情況下，每一層均提供不同的對策以免在不同的層中使用相同的攻擊方法。
下圖為一個有效的縱深防禦策略：

圖2 有效的縱深防禦策略

下面就各層的主要防禦內容從外層到里層進行簡要的說明：
1）物理安全
物理安全是整個電子商務系統安全的前提。制定電子商務物理安全策略的目的在於保護計算機系統、電子商務伺服器等各電子商務系統硬體實體和通信鏈路免受自然災害和人為破壞造成的安全風險。
2）周邊防禦
對網路周邊的保護能夠起到抵禦外界攻擊的作用。電子商務系統應盡可能安裝某種類型的安全設備來保護網路的每個訪問節點。在技術上來說，防火牆是網路周邊防禦的最主要的手段，電子商務系統應當安裝一道或多道防火牆，以確保最大限度地降低外界攻擊的風險，並利用入侵檢測功能來及時發現外界的非法訪問和攻擊。
3）網路防禦
網路防禦是對網路系統環境進行評估，採取一定措施來抵禦黑客的攻擊，以確保它們得到適當的保護。就目前來說，網路安全防禦行為是一種被動式的反應行為，而且，防禦技術的發展速度也沒有攻擊技術發展得那麼快。為了提高網路安全防禦能力，使網路安全防護系統在攻擊與防護的對抗中占據主動地位，在網路安全防護系統中，除了使用被動型安全工具（防火牆、漏洞掃描等）外，也需要採用主動型安全防護措施（如：網路陷阱、入侵取證、入侵檢測、自動恢復等）。
4）主機防禦
主機防禦是對系統中的每一台主機進行安全評估，然後根據評估結果制定相應的對策以限制伺服器執行的任務。在主機及其環境中，安全保護對象包括用戶應用環境中的伺服器、客戶機以及其上安裝的操作系統和應用系統。這些應用能夠提供包括信息訪問、存儲、傳輸、錄入等在內的服務。根據信息保障技術框架，對主機及其環境的安全保護首先是為了建立防止有惡意的內部人員攻擊的首道防線，其次是為了防止外部人員穿越系統保護邊界並進行攻擊的最後防線。
5）應用程序防禦
作為一個防禦層，應用程序的加固是任何一種安全模型中都不可缺少的一部分。加強保護操作系統安全只能提供一定程度的保護。因此，電子商務系統的開發人員有責任將安全保護融入到應用程序中，以便對體系結構中應用程序可訪問到的區域提供專門的保護。應用程序存在於系統的環境中。
6）數據防禦
對許多電子商務企業來說，數據就是企業的資產，一旦落入競爭者手中或損壞將造成不可挽回的損失。因此，加強對電子商務交易及相關數據的防護，對電子商務系統的安全和電子商務項目的正常運行具有重要的現實意義
6 結論
一般來說，風險管理有基本的三個對策，包括管理者採取適當措施來降低風險事故發生的概率；管理者准備並實施一個意外事故應急計劃以備不測；還有就是管理者什麼都不做。對已選定的對策，應對其潛在的風險有充分的估計，並制定相應的應變計劃，以使可能的風險損失降到最低。
風險管理沒有鐵定的規則，對於電子商務安全風險管理來說，首先是掃描和檢測電子商務系統的內外部環境，檢查系統的脆弱性和薄弱環節，及時打上補丁和追加設備，以便當風險產生時盡可能地減少損失；其次是對電子商務安全風險進行充分地分析，然後制定相應的規劃和措施，並在其實施的每個階段進行監控和跟蹤；最後是根據環境的變化隨時調整風險管理措施，制定完備的災難恢復計劃。

參考文獻
[1]甘早斌．電子商務概論（第二版）．華中科技大學出版社．2003.9
[2]鍾誠．電子商務安全．重慶大學出版社．2004.6
[3]才書訓．電子商務安全風險管理與控制．東北大學出版社．2004.6
[4]易珊，張學哲．電子商務安全策略分析．科技情報開發與經濟．2004.5
[5]高新亞，鄒靜．電子商務安全的風險分析和風險管理．武漢理工大學學報.信息與管理工程版．2005.8
[6]郭學勤，陳怡．電子商務安全對策．計算機與數字工程．2001.7
[7]李晶．電子商務安全防範措施．安徽科技．2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998

⑻ 網上支付可能遭遇那些風險

風險1 黑客盜取賬號和密碼。造成經濟損失。
風險2 就是遇到糾紛有投訴地無門的感覺！畢竟網路是虛擬的，交易雙方常常是不內面的
不過像現在的「淘寶網」「意趣網」這樣有名的大網站還是可以信賴的
2005年，網上支付的市場的快速發展無疑是我國電子商務領域最大的「看點」之一。我國網上支付的金額全年會超過60億元人民幣，而網上支付用戶占使用互聯網用戶數的比例從2004年前的17％增長到26％。網上支付第三方服務平台的市場規模2001是1.6億元，2004年增長為23億元，預測2007年中國第三方支付平台網上支付平台市場規模將達215億元左右。

第三方支付平台的出現，體現了支付方式的變革。作為首都電子商務工程的核心成果——首信「易支付」具有網上支付，電話支付、手機支付、簡訊支付、WAP支付和自助終端，採用二次結算模式，可做到日清日結。今年2月，由阿里巴巴旗下的淘寶網花費3000萬美元巨資開發，聯合中國工商銀行、建設銀行等國內多家金融機構共同打造「支付寶」交易服務工具。4月7日，從事多元化電子支付應用及服務的提供商通融通公司推出Yeepay電子支付平台，進軍國內電子商務支付。5月12日，雲網正式推出企業級在線支付系統支付＠網。5月20日，網銀在線攜手VISA國際組織共同宣布，在中國電子商務在線支付市場推廣『VISA驗證服務'信用卡安全支付標准，期望提高在線支付的便捷性和安全性。」7月11日，全球最大的在線支付商Paypal宣布落地中國，雖然舍棄了Paypal賴以成名的信用卡劃賬和多幣種跨國交易，但這個起名「貝寶」的第三方支付平台仍然引起了同行的注視和商家的關注。10月，騰訊公司推出「財付通」，進軍網上支付領域。而據有關人士粗略估計，目前我國提供網上第三方支付服務的機構已不下50家！

可以說，2005年已經成為網上支付年，而相應的網上支付的法律問題也得到了人們更多的關注，焦點主要集中在支付安全的法律保障、風險責任的承擔、網上支付服務的規范、電子貨幣的合法性、第三方支付平台的合法性等多個方面，而人民銀行的《電子支付指引（第一號）》的出台無疑又使人們的關注點又一次聚焦。那麼，該《電子支付指引（第一號）》將怎樣影響我國電子支付的發展，如何認識網上支付第三方服務平台的出現和發展，第三方支付服務平台應該如何得到規范，電子支付法律環境的建設從該指引開始又將怎樣陸續得到完善？都將是本文試圖探討的內容。

一、對網上支付第三方服務的認定

在網路支付中，支付雙方與支付服務提供商達成合意，是一種典型的民商事法律關系，屬於民事法律調整的范疇。但是由於涉及到用戶資金的大量往來和一定時期的代管等類似於金融業務，就必然引起行政監管的介入，以避免出現沒有監管私自使用資金的風險，維護社會公共利益。

對於銀行提供網路支付系統服務中的法律問題，由於各國一般都有相應的銀行法律，對銀行的法律地位、銀行與用戶相互之間的權利義務等相關問題都有明確的規定，加上銀行在開展網上支付業務時一般都會通過用戶協議約定相互之間的權利義務，這方面的問題倒並不復雜，主要涉及到系統故障、電子訊息錯誤、未授權的支付命令等情況。這些問題目前一般在銀行的用戶協議中都有些相應條款加以調整，暫且不論這些銀行的格式條款是否妥當，用傳統法律中的原理或規定加上對信息技術的理解基本上都能得到解決。

較為復雜的是電子商務交易平台和第三方支付平台在網路支付中的法律地位等問題，是目前政府、企業和用戶皆較為困惑的。這些提供網路支付服務的電子商務交易平台和第三方支付平台在提供支付服務的背後，聚集了大量的用戶現金或者發行了大量的電子貨幣，客觀上已經具備了某些銀行的特徵，甚至被當作不受管制的銀行。

Paypal是一家沒有任何金融背景的IT技術公司，但是在短短的數年時間內它已經一躍成為全球網路支付領域的先鋒，並於2002年7月8日成為全球最大的C2C交易平台E-bay的在線支付服務商。截止2005年3月，Paypal在全球擁有超過6000萬的注冊用戶，業績遍及全球45個國家和地區，日交易量超過100萬筆，年支付總額超過180億美元。即便如此成功地運作，Paypal的法律地位仍然是讓美國或者其他相關國家較為頭疼的一件事情，其法律定位也較為曲折。自2002年6月份紐約銀行部門得出Paypal的服務未構成非法銀行業務並給Paypal頒發貨幣轉賬業務執照以來，Paypal已經獲得了美國超過32個州的貨幣轉賬業務執照。這些執照對於Paypal業務的規范和正名、用戶信心的增強等大有幫助。而在全球的其他地區，Paypal的業務擴張則面臨著更多的不確定性，除了與當地金融機構保持良好的合作之外，還需要適應多種不同的法律與政策環境。

Paypal在其早期的用戶協議中規定Paypal可以將用戶的資金一起存放在被聯邦儲蓄保險公司所保險的銀行里開設的帳戶(FDIA-insured banks)，用戶同意因該賬戶產生的任何收益歸於Paypal所有，用戶將不會收到因其通過Paypal轉移的那筆資金而產生的任何利益或者其他收益。而在後來美國網站的用戶協議中Paypal聲稱自己是用戶的代理人，是幫助用戶從第三方接受支付以及向第三方發出支付的代理機構；Paypal還嚴格區分用戶的資金和Paypal的自有資金，表示不會將用戶的資金用於公司運行或其他目的，也不會在破產的情況下或者由於其他的目的將資金歸於債權人；同時，Paypal還在用戶協議中明確Paypal不是銀行，其向用戶提供的服務是支付處理服務而不是銀行業務，Paypal不是用戶資金的受託人、受信託人或者是待一定條件成熟後再轉交給受讓人的第三方，而是作為用戶的代理人和資金的管理者。從其最近的用戶協議可以看出Paypal將自己和用戶之間的關系定位為提供網路支付的合同關系，是用戶的代理，是用戶資金的管理者，而非任何現行法律規定的銀行或者非銀行金融機構。同時Paypal為了提供網路支付服務，必須依靠信用卡組織或者銀行體系來構建自己的服務框架，因此Paypal與銀行或者信用卡組織之間也有服務協議來明確雙方的權利義務。

淘寶網的支付寶是為淘寶的交易者以及其他網路交易的雙方乃至線下交易者提供「代收代付的中介服務」和「第三方擔保」的。支付寶的運作流程基本上類似於Paypal，只是由於受國內目前信用卡發展的影響，信用卡的使用程度遠不及Paypal。

支付寶用戶協議中明確，它是由浙江支付寶網路科技有限公司向用戶提供「支付寶」軟體服務系統以及附隨為用戶提供代收代付貨款的中介服務，並在用戶協議中多次避免將自己稱為銀行或者金融機構。而在其獲取的商業許可經營范圍里表明其從事的是擔保（根據公開查詢到的相關政府部門的審批文件上看是「由國家政策允許的擔保業務，涉及許可證的憑證經營」）和中介業務。但是目前根據我國相關的法律規定，對於支付中介具體應該屬於哪一類業務並不明確，是否需要經過銀監會的批准才能從事也存在諸多疑惑點。用戶資金進入支付寶的帳戶後其所有權問題，所產生的孳息等問題會給支付寶的法律地位以及其業務的合法性帶來一些困擾，目前我國相關部門對此的態度也不甚明確。

從各國銀行法來看，能否經營存貸款和貨幣結算業務通常是確定一個企業是否成為銀行的一個重要標准，我國《商業銀行法》第2條也規定：「本法所稱的商業銀行是依照本法和《中華人民共和國公司法》設立的吸收公眾存款、發放貸款、辦理結算等業務的企業法人。」那麼電子金融服務公司是否構成「銀行」呢？從電子金融服務公司的業務實質來看，其所從事的業務與銀行的存貸款業務又有本質上的不同，銀行的存貸款業務是銀行的一項獨立業務，金融服務公司雖也吸收一定的存款（如客戶兌換透支的情形下），但這並不就是其獨立業務，而是附屬於信用卡結算或電子貨幣結算業務，而且在很多情形下電子金融服務公司的這些業務都是以銀行為中心開展的，或者其本身就是發卡銀行的代理人，如信用卡公司代理銀行發行信用卡，因此電子金融服務公司並不構成「銀行」。像美國等一些國家已允許這類電子金融服務公司作為金融組織存在，目前我國的這類電子金融公司在法律上還沒有相應的法律地位，原則上講，除銀行外，其它組織是不得經營此類業務的。為了促進電子支付的發展，絕對否定非銀行企業進入電子支付業務市場是值得商榷的，法律不應完全禁止非銀行企業進入電子支付業務市場，而是應規定一定的市場准入條件，讓符合條件的企業進入市場。我國未來的電子支付法律法規應對這些企業市場的准入條件做出明確的規定。

總之，隨著電子支付的發展，一些非銀行企業從事電子支付業務已成為電子支付發展的不可逆轉的趨勢。這主要是由於電子支付業務具有很強的國際性和技術性，銀行憑借自身力量已有些力不從心。專門從事網路支付的公司的出現符合電子商務的發展需要，也是網上支付業務創新的具體表現形式之一，應在規范的同時鼓勵其發展。

二、網上支付的基本模式

如果看一下網上支付參與主體，不管B2B還是B2C的交易模式，網上支付業務的參與主體除了交易雙方之外，通常還應該有電子商務平台、第三方支付中介機構，另外還有商業銀行。從電子商務平台來看，一類只提供網上交易信息，給買家和賣家提供一個場所；另一類電子商務平台同時也是賣家，直接向買家提供商品服務和配送服務；從第三方非銀行支付中介看，其主要功能是連接買賣雙方、電子商務平台和銀行，起到一個橋梁作用，最終實現網上交易的資金劃撥。這樣的組織又可以分為兩大類：一類是電子商務平台本身充當支付平台，這個支付平台的建立只是為了該電子商務平台自身使用，支付平台直接和銀行網關相連，另外一類是專門從事網上支付業務的機構，不直接隸屬於任何一家電子商務公司，可以為不同電子商務平台提供網上支付。在這種模式下，這類支付中介服務組織大多數為交易雙方開立帳戶，商業銀行也是通過他們建立支付網關，網上支付指令通過銀行網關最終進入他的後台處理系統，進行最終的資金處理。

從今後比較長的一段時間來看，整個網上支付過程中非銀行支付中介所從事的這些支付業務最終還是要經過銀行網關，通過銀行完成的，當然也有兩種比較特殊的情況：一種是銀聯的方式，類似於把銀行卡收單業務放到網上做；還有一種比較特殊的情況是當第三方支付平台為交易雙方開戶以後，他可以直接通過帳戶之間完成交易，這種交易實際上也不是通過銀行完成，這兩種方式不用通過銀行支付網關完成。

從網上支付模式來看，大概劃分為四種模式：一種是銀行網關的模式，電子商務平台鏈接到銀行網銀系統，這種模式下面買賣雙方只涉及到電子商務企業和銀行，網上交易實際上直接進入銀行的網銀系統處理的，電子商務平台只跟銀行簽約；第二種模式是第三方支付平台模式，電子商務平台先鏈接到第三方支付平台，支付平台再和銀行鏈接；第三種模式是銀聯的模式；第四種模式是支付平台內部的交易模式，這種交易模式實際上是封閉的，為買賣雙方提供了帳戶服務，通過內部的帳戶就可以完成這種交易。

三、第三方支付服務模式的主要風險

以上模式的風險應該是不同的，第一種銀行網關的模式更多的是為了對商業銀行的電子銀行業務的監管或者電子支付的監管進行管理，第三種銀聯的模式納入銀行卡收單這個范疇更合理些。那麼我們對網上支付進行業務規范時候，主要考慮的是第三方平台模式和平台內部交易這兩種模式。因為這兩種模式對現在一些制度安排的突破是比較大的，這兩種模式有很多共同點，內部交易模式和第三方平台模式實際上是你中有我，我中有你的關系，為建立這種帳戶服務，可能建立在提供第三方支付服務的基礎上。

這兩類模式的風險主要有幾個方面：第一，從事資金吸存，並且有很大資金沉澱，當資金沉澱、資金吸存這種行為出現以後，自然存在著資金安全隱患方面的問題或者支付風險問題。在這兩種模式下，網上支付機構一般都有一種資金吸存行為，買家把錢付給企業，或者電子商務平台也好，第三方平台也好，然後再經過一段時間，賣家確認以後，平台把錢再付給賣家，在滯留的過程中，錢沉澱在支付機構里。

另外還有一種情況，開立帳戶後，隨著交易額的增加，現在一些提供支付服務的企業都和客戶簽約，約定比如每周清算兩次，或者每周一次，或者每月清算一次。隨著這種業務量的逐漸增加，資金沉澱量將是非常大的。這種安排是為了增強網上交易信心，維護公正性，確實是很有效的做法，但問題是你保證了交易雙方他們之間的信心，提供了信譽增強的服務，但自身的信用和安全性又由誰來保證呢？當交易規模發展到一定程度，特別是第三方支付服務不是對一家企業，而是對著很多家企業，一旦出了問題以後，其影響面肯定很大。

第二，很多電子支付服務商涉及到電子貨幣的發行，對電子貨幣的發行目前還沒有一個明確的法律規范。發行電子貨幣對持有人來說是一種負債，那麼債務的贖回將來應該是什麼樣的，贖回的風險應該由誰承擔等，都是問題。對帳戶進行沖值時買賣雙方可能會把一些錢先存進去，雖然沒有一個明確的規定，對支付服務提供服務商來說，相當於發行一種電子貨幣，將來表現形式上可能會有所不同，但基本上都屬於電子貨幣發行行為。從國際上電子支付發展來看，基於網路發行的電子貨幣將來肯定是網上支付一個很重要的工具，但是目前在國內，對電子貨幣的性質、發行主體、使用范圍等等這些方面確實在規定上還是空白。

第三，這類支付服務涉及到支付結算帳戶和提供支付結算服務，突破了現有的一些特許經營的限制，按照商業銀行法等一些法律法規，整個支付結算業務和支付清算業務實際上還是屬於銀行專有的一種業務。開立帳戶後，在帳戶里沉澱的資金怎麼定性，到底是不是視做存款，現在很多企業為了避開吸收公共存款這樣一個說法，提出其只是提供代理服務。而這種代理服務在商業銀行法里做為代理收付款業務，也是銀行的業務。這類業務目前實際上還是屬於特許業務，非銀行機構從事這方面的業務面臨著法律上的突破。電子商務發展速度很快，很難預料一兩年後會發展到什麼規模，電子支付會達到什麼規模，而達到一定規模後，肯定會對整個支付結算體系產生一定影響。在美國發展得比較好的PAYPAL，在發展到目前這個階段，也引起了監管方面的考慮，到了一定規模以後，政府是不得不面對的。

第四，網上電子支付可能會成為資金非法轉移和套現的工具，由此也會帶來一定的金融風險。現在的網上支付單筆交易金額或者總體交易金額還不是很大，非法資金轉移、套現的現象還不是特別明顯，但是也已經有所表現。比如有的網上交易實際上並不是進行真正的消費，而是製造一筆虛假交易，通過銀行卡支付後，錢進入了支付平台的帳戶，通過帳戶轉移到銀行，從銀行取現，實際上是為了套取現金。對銀行卡來講，信用卡限定一個額度，在這個額度內使用，可以預見現金量，提供這種支付工具是為了促進或者為了滿足支付需要或者消費需要，並不是為了讓人大量使用現金。對信用卡的取現有一套控制制度，或者通過交易成本限制它的使用，而網上交易則避開了這些。現在很多網站買賣都還是不收費的，成本幾乎就是零，通過這樣一種途徑，套現更為方便。

四、電子支付指引（第一號）與第三方支付服務

電子支付指引根據現在網上支付發展的一些新情況，從銀行角度規范電子支付活動。在整個網上支付中，銀行還是起到關鍵性的作用，雖然第三方支付服務組織發展的確很快，但真正起到核心作用的還是商業銀行。在這個指引出台前，商業銀行在電子支付整個業務流程、技術風險防範、業務規則、信息披露、消費者權益保護等方面都還沒有一個很好的規范。電子支付整體都處於發展階段，對有關問題還沒有研究得很透，我們到底是以促成它的發展為主，還是以規范為主？在指引中體現了發展中逐步形成規范，或者以規范促進發展的思路。根據這種考慮，結合電子支付業務的特點，採取了指引的方式，並不是強制性的。

根據國際上通行的做法，把整個支付系統分成兩大類：一類大額支付，一類小額零售體系，網上支付屬於小額零售體系范疇。小額零售和大額支付比較起來具有更多的參與主體，涉及到銀行、客戶、商家、系統開發商、網路運營商、第三方認證服務等機構。每個主體間可能都有一個合同，最終形成很龐大的合同群，而其中最根本的或者基礎和前提應該是銀行和客戶間的關系，應該是首要需要明確和解決的。

在銀行和客戶之間往往出現了中介組織，像專門從事網上支付服務的企業，包括有些代收代付機構，實際上都是轉發人的角色。這個轉發人可能是非銀行機構，也可能是銀行。比如現在很多城市都開通櫃面通業務，在工行可以拿建行摺子到工行存款，或者拿農行摺子在工行取款，櫃面通的形成下，非開戶行承擔轉發人的角色。在支付清算組織管理辦法徵求意見稿中對支付清算業務有一個界定，是從事支付指令的交換和計算的這樣一些組織。這樣的組織不允許吸收存款，也不允許辦理資金的最終結算。而從現在電子支付的許多機構來看，這兩塊都涉及到了，如果涉及到這兩塊到底怎麼定性，是作為金融機構來定性，還是作為支付清算組織定性，又陷入一個矛盾裡面。這個問題在國外目前來看也沒有一個統一的解決方案。

五、下一步的網上支付立法

現在的電子支付指引實際上主要規范銀行的，第一號指引基本上是限定在商業銀行從事的網上支付范疇，以後可能會出現專門針對非銀行機構從事網上支付業務的指引。規范非銀行網上支付機構主要有幾個方面：一個是交易資金的安全，將來可能要有一些比較明確的說法。如交易資金可能不能擅自挪用，要到銀行進行專門託管；在商業銀行開專用帳戶進行託管，要有一定措施保證客戶在回贖電子貨幣或者把他帳戶里的虛擬資金轉化為法定資金。還有，是不是需要交納一定比例的保證金，以維護這部分資金的交易安全。第二個方面就是保護客戶利益的問題，網上支付較之於傳統支付方式其技術性更強，而作為服務的提供者，在各方面的優勢肯定比客戶大得多，可能會出現服務商利用技術優勢損害客戶利益的情況，一些從事網上支付服務的公司會在協議里把更多責任或者不公平條款強加給客戶，所以也需要有一個統一的規范。第三個方面是要關注打擊洗錢犯罪和網路犯罪的問題，比如網上賭博的資金也會通過網上支付，需要加強監管。

從事網上支付可能涉及基於網路或一些軟體會發行電子貨幣，隨著電子商務的發展，規模和范圍到一定程度後，會對現有貨幣體系產生沖擊。現在發行的人民幣有國家信用在後面保證，而第三方服務機構發行的電子貨幣將來贖回的問題要不要管，怎麼控制，怎麼保證，等都是問題，否則社會公眾可能會對這種貨幣體系產生懷疑。

還有就是電子票據的問題，對電子票據的問題，最好能在修改票據法的時候通過法律層次解決它的法律地位。現在看，修改票據法的過程可能比較長。但是現在實際應用已經開始出現，比如今年招商銀行已經開始簽發了國內電子票據。對這種電子票據的發展，也值得我們積極關注和研究。電子票據會對網上支付的發展有很大促進作用，網上支付可能會又上一個台階。而電子票據的簽發兌付、託管、統一認證等方面和現有的票據管理或者票據法所規范的又有很大的不同。

⑼ 電子支付面臨的風險有哪些該採取什麼樣的防範措施加以防範

1用戶端信息失竊、

2服務端系統漏洞

3用戶遭遇釣魚網站

4交易欺詐

5客戶端被劫持

防範措施如下：

首先，要加強網路安全監管機構、支付企業、安全廠商等產業鏈環節的合作力度，加強風險防控的同時加大對網路支付犯罪活動的打擊力度；

其次，支付企業應加強自身風險防控能力，避免出現重市場輕風險的情況，切實保證資金安全和交易合規；

第三，對於用戶而言，要提高風險意識，重視個人信息保密，養成良好的網路安全習慣。