电子商务网络支付安全

❶ 电子商务平台如何保障支付安全

数字签名，数字证书，第三方认证，加密技术，防火墙

❷ 电子商务的安全支付问题

1、电子商务的安全控制要求概述

电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。

1.1信息保密性

交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

1.2交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。

1.3不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

2、电子商务安全交易的有关标准和实施方法

2.1安全交易的雏形

在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括：

(1) 部分告知(Partial Order)：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

(2) 另行确认(Order Confirmation)：即当在网上传输交易信息之后，再用电子邮件对交易作确认，才认为有效。

(3) 在线服务(Online Service)：为了保证信息传输的安全，用企业提供的内部网来提供联机服务。

以上所述的种种方法，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

2.2安全交易标准的制定

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

(1) 安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2) 安全套接层协议（SSL协议：Secure Socket Layer)是由网景（Netscape）公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。

(3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

(4) 安全电子交易协议（SET：Secure Electronic Transaction）：SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

支付系统是电子商务的关键，但支持支付系统的关键技术的未来走向尚未确定。安全套接层（SSL）和安全电子交易（SET）是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来呢？SET将立刻替换SSL吗？SET会因其复杂性而消亡吗？SSL真的能完全满足电子商务的需要吗？我们可以从以下几点对比作管中一窥：

SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。

SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。

SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。

SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。

3、目前安全电子交易的手段

在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：

3.1密码技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：

（1）公共密钥和私用密钥（public key and private key）

这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

（2）数字摘要(digital digest)

这一加密方法亦称安全Hash编码法（SHA:Secure Hash Algorithm）或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。

上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。

3.2数字签名(digital signature)

在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：

a. 信息是由签名者发送的。

b. 信息在传输过程中未曾作过任何修改。

这样数字签名就可用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。

数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：

（1） 被发送文件用SHA编码加密产生128bit的数字摘要（见上节）。

（2） 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。

（3） 将原文和加密的摘要同时传给对方。

（4） 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。

（5） 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

3.3数字时间戳(digital time-stamp)

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS：digital time-stamp service)就能提供电子文件发表时间的安全保护。

数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：1）需加时间戳的文件的摘要(digest)，2）DTS收到文件的日期和时间，3）DTS的数字签名。

时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。由Bellcore创造的DTS采用如下的过程：加密时将摘要信息归并到二叉树的数据结构；再将二叉树的根值发表在报纸上，这样更有效地为文件发表时间提供了佐证。注意，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。因此，时间戳也可作为科学家的科学发明文献的时间认证。

3.4数字凭证(digital certificate, digital ID)

数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。

数字凭证的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：

(1) 凭证拥有者的姓名，

(2) 凭证拥有者的公共密钥，

(3) 公共密钥的有效期，

(4) 颁发数字凭证的单位，

(5) 数字凭证的序列号（Serial number），

(6) 颁发数字凭证单位的数字签名。

数字凭证有三种类型：

(1) 个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件（S/MIME）来进行交易操作。

(2) 企业（服务器）凭证（Server ID）：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。

(3) 软件（开发者）凭证（Developer ID）：它通常为Internet中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。

上述三类凭证中前二类是常用的凭证，第三类则用于较特殊的场合，大部分认证中心提供前两类凭证，能提供各类凭证的认证中心并不普遍。

3.5认证中心(CA：Certification Authority)

在电子交易中，无论是数字时间戳服务（DTS）还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心（CA）就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certification Practice Statement)来实施服务操作。

上述五个方面介绍了安全电子交易的常用手段，各种手段常常是结合在一起使用的，从而构成比较全面的安全电子交易体系。

4、应用动态

根据最新报道,我国第一个安全电子商务系统：“网上订票与支付系统”经过半年试运行后，于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。

系统结构采用网上订票与支付系统由四个子系统组成：商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。

商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为：www.cea.online.sh.cn；它是中国安全电子商务第一网站。

客户子系统是安装于PC机上的电子钱包软件，是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后，方可进行网上消费。

支付网关子系统通常是指由收款银行运行的一套设备，用来处理商户的付款信息以及持卡人发出的付款指令。

数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。

其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点：

1) 遵循SET国际标准、具有SET标准规定的安全机制，是目前国际互联网上运行的比较安全的电子商务系统；

2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点，具有一定的中国特色；

3) 具有开放特性，可与经SETCO国际组织认证的任何电子商务系统进行互操作；

❸ 电子商务平台上最安全的支付系统是什么

国际通行的电来子支付工具和支付手源段主要有电子信用卡、电子支票、电子现金、及网上银行等。目前网银在线支付支持的银行卡种，在银行端使用的是SSL128位加密算法和SET（安全电子交易）协议，这样就保障了BtoC在线支付的安全实施。另外支付平台本身使用PKI（公钥基础设施）作为安全架构，通过md5数字签名技术对订单信息进行加密和校验，从而确保在Internet上数据传输的机密性、真实性、完整性和不可抵赖性。
电子商务平台上最安全的支付系统这个还真不好说是哪个，银行卡还有人盗用呢，但只一在设密码是难度大点，密码资料不要随便告诉别人，平时对网络安全多关注一点，支付系统还是可以放心使用的。

❹ 电子商务网络支付与安全

支付与安全这两方面的内容太多了。你到网上随便一搜急有好多叫你如何处理的。不过我认为在网上交易肯定是有风险的，但网上交易也有了成为了必然的趋势。

❺ 电子商务交易过程中包括哪些安全问题

电子商务交易过程中的安全问题主要包括四个方面：

1、信息被泄露。

主要表现为交易双方进行交易的内容被第三方窃取，交易一方提供给另一方使用的文件被第三方非法使用两个方面。

攻击者可以通过互联网、公用电话网、搭线或在电磁波辐射范围内安装截收装置等方式，截获在网上传输的机密信息，或通过对网上信息流量和流向、通信频度和长度等参数的分析，获取有用信息，如银行账号、密码等。

2、信息被篡改。

表现为电子的交易信息在网络上传输的过程中，被他人非法地修改、删除、插入或重放（即只能使用一次的信息被多次使用），使接收方接收到错误的信息，使信息失去了真实性和完整性。

3、身份识别。

进行身份识别后，就不会出现第三方假冒交易一方的身份破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等情形，同时，还可以约束交易双方对自己的行为负责，对发送和接收的信息都不能予以否认。

4、信息被破坏。

表现为由于网络的硬件或软件出现问题而导致信息传递的丢失与谬误，以及计算机网络本身遭到一些恶意程序的破坏，而使得电子商务信息遭到破坏两个方面。

(5)电子商务网络支付安全扩展阅读：

电子商务交易过程中防范安全问题的方法：

1、信息保密性。

交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此，在电子商务信息传播中一般均有加密的要求。

2、交易者身份的确定性。

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此，能方便而可靠地确认对方身份是交易的前提。

3、不可否认性。

由于商情的千变万化，交易一旦达成是不能被否认的，否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，若收单方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。

因此，电子交易通信过程中的各个环节都必须是不可否认的。

4、信息的完整性。

交易的文件是不可被修改的，信息接收方可以验证收到的信息是否完整一致，是否被人篡改。如上例所举的订购黄金，供货单位在收到订单后，发现金价大幅上涨了。

若其能改动文件内容，将订购数1kg改为1g，则可大幅受益，那么订货单位可能就会因此而蒙受损失。因此，电子交易文件也必须做到不可修改，以保障交易的严肃和公正。

5、系统的可靠性。

电子商务系统是计算机系统，其可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。

❻ 网络支付安全的概念，网络支付安全技术的概念

电子商务安全与支付
本书比较系统地介绍了电子商务安全与支付的基版本理论、技术以及安全的应权用。全书共包括三个部分：第一部分主要介绍电子商务安全与支付的基本概念和理论，包括电子商务系统安全的体系结构、网络安全技术、现代密码技术与应用、支付系统等；第二部分主要介绍电子商务的认证技术、公钥基础设施、电子交易的安全协议、安全案例和分析等内容；第三部分介绍了移动电子商务安全和移动支付等内容，从安全领域的热点和前沿知识引导读者跟踪学科发展的新方向。
书名
电子商务安全与支付

❼ 电子商务如何支付，付款方式与特点，安全性

在我国电子商务发展的过程中，B2C、C2C电子商务产生了多种支付方式，包括汇款、货到付款、网上支付、电话支付、手机短信支付等方式，并且这些方式同时并存。据2005年CNNT统计，消费者常采用多种支付方式，其中汇款用户占总用户数量的43．2％、网上支付占41．9％、货到付款支付占34．7％、手机支付占1．7％。
2．1 汇款
银行汇款或邮局汇款是一种传统支付方式，也是目前为止电子商务支付方式中最常用的支付方式。邮局汇款是顾客将订单金额通过邮政部门汇到商户的一种结算支付方式。采用银行或邮局汇款，可以直接用人民币交易，避免了诸如黑客攻击、账号泄漏、密码被盗等问题，对顾客来说更安全。但采用此种支付方式的收发货周期时间长，例如卓越网的邮局汇款支付期限为14天，银行电汇为10天，而采用其他网上支付则只需1－2天。此外，顾客还必须到银行或邮局才能进行支付，支付过程比较繁琐。对于商家来说，这种交易方式也无法体现电子商务高速、交互性强、简单易用且运作成本低等优势。因此，这种支付方式并不能适应电子商务的长期高速发展。
2．2 货到付款
货到付款又称送货上门，指按照客户提交的订单内容，在承诺配送时限内送达顾客指定交货地点后，双方当场验收商品，当场交纳货款的一种结算支付方式。目前，很多购物网站都提供这种支付方式。这是一个充满中国特色的B2C电子商务支付方式、物流方式，既解决了中国网上零售行业的支付和物流两大问题，又培养了客户对网络的信任。货到付款仍然是中国用户最喜欢的支付方式之一。但是，将支付与物流结合在一起存在很多问题。首先，付款方式采用现金付费，因此只局限在小额支付上，例如卓越网的订单金额不可高于15 000元，对于商家的大额交易则无法实现。其次，由于送货上门受到地区的局限，而EMS费用又较高，所以顾客选择最多的还是普通邮寄，这就会带来必然的时间损耗，给用户造成不便。比如当当书店送货上门服务，送到北京市内读者手中需1－2天，而送到其他城市则需3－7天，普通邮寄则是更需1－2周，这还不包括边远地区。送货上门单张订单购物金额满30元免5元平邮费用，单张订单购物金额满200元免加急费用，这个费用对于小额购物的顾客来说是无法接受的。
2．3 网上支付
所谓网上支付，是以金融电子化网络为基础，以商用电子化工具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以二进制数据形式存储，并通过计算机网络系统以电子信息传递形式实现的流通和支付。
2006年网上支付在整个电子支付市场规模中所占的比例为97％，网上支付仍是电子支付形式中的绝对主力，国内目前采用网上支付业务的网上书店总数已超过10万家。网上支付的方式主要有：银行卡支付方式、电子支票支付方式和电子货币支付方式。其中比较成熟的是银行卡支付方式，银行卡支付方式是目前在国内网上购物实现在线支付的最主要的手段。
2．3．1 网上银行卡转帐支付
网上银行卡转帐支付指的是电子商务的交易通过网络，利用银行卡进行支付的方式。客户通过Internet向商家订货后，在网上将银行卡卡号和密码加密发送到银行，直接要求转移资金到商家银行账户中，完成支付。银行卡的卡类可以包括信用卡、借记卡和智能卡等。
我国目前网上银行卡转账支付可以分为有数字证书和无数字证书两种方式。一般的用户如果不去银行申请启用有数字证书保护的网上支付功能，就只能使用无数字证书保护的网上支付。不启用数字证书保护的网上支付在功能上会有一定的限制，例如只能进行账户查询或只能进行小额支付。而启用数字证书保护的网上支付不仅拥有更高的安全性，而且能享受网上银行所提供的全部服务，支付的金额不受限制。
银行卡网上直接转账支付存在着安全性和方便性方面的矛盾，例如要起用数字证书保护，付款人必须经过向银行申请安装数字证书，下载指定软件等多道手续，对有些对电脑操作不熟悉的顾客而言就很难实现了。另外，因客户直接将货款转移到商家的帐户上，如果出现交易失败的情况，那么讨回货款的过程就可能变得非常繁琐和困难。
2．3．2 第三方支付平台结算支付
第三方结算支付是指客户和商家都首先在第三方支付平台处开立账户；并将各自的银行账户信息提供给支付平台的账户中，第三方支付平台通知商家已经收到货款，商家发货；客户收到并检验商品后，通知第三方支付平台可以付款给商家，第三方支付平台再将款项划转到商家的账户中。这样客户和商家的银行帐户信息只需提供给第三方支付平台，比较安全，且支付通过第三方支付平台完成，如果客户未收到商品或商品有问题则可以通知第三方支付平台拒绝划转货款到商家。而商家则可以在货款有保障的情况下放心发货，有效地降低了交易风险。第三方平台结算支付是当前国内服务数量最多的支付模式。国内当前从事网上支付的企业已经从2004年的10多家增加到现在的50多家，2005年我国第三方支付平台规模增长到161亿元。来自赛迪顾问的调查表明，2007年我国第三方支付平台规模已达到215亿元。国内目前第三方支付公司中，比较知名的有阿里巴巴的支付宝、易趣的安付通、贝宝、腾讯的财付通、易宝、网银在线、银联电子支付、环讯的IPS、云网等等。
由于第三方支付平台的介入，解决了电子商务支付过程中的一系列问题。如安全问题、信用问题、成本问题。与此同时，中国现有的第三方支付平台也存在一定的问题。
（1）中国法律规定只有金融机构才有权吸纳代理用户的钱，其他企业机构不得从事类似活动，支付平台的法律地位也受到一部分人的质疑。
（2）货款在第三方支付平台中滞留的时间内将产生一定的利息，这部分利息如何分配目前也缺乏明确的规范和严格的监督。
（3）支付平台解决的电子商务支付过程中的安全性问题只限于客户和厂商之间，其他安全性问题如客户在支付平台填写银行资料时信息的保密性、有效性和完整性问题还有待进一步解决。
（4）操作还不够简便，客户在使用支付平台时都必须进行一系列繁琐的申请。
（5）贷款会在第三方支付平台的账号中滞留一段时间，非实时性支付带来存款风险，如第三方支付企业不能完全保证货款安全，将大大损害客户和商家的利益。
（6）第三方支付平台可能会被利用，通过捏造虚假交易从信用卡套现，甚至存在可能被利用来进行洗钱的风险。

❽ 网络支付过程中有利于提高安全性的做法

人民银行有关负责人就《非银行支付机构网络支付业务管理法》答记者问问：出台《法》的总体背景与考虑是什么 。
答：近年来，支付机构大力发展网络支付服务，促进了电子商务和互联网金融的快速发展,对支持服务业转型升级、推动普惠金融纵深发展发挥了积极作用。
2015年前三季度，支付机构累计处理网络支付业务562.50亿笔，金额32.97万亿元，同比分别增长128.95%和98.80%。
同时，支付机构的网络支付业务也面临不少问题和风险，必须加以重视和规范：一是客户身份识别机制不够完善，为欺诈、套现、洗钱等风险提供了可乘之机；
二是以支付账户为基础的跨市场业务快速发展，沉淀了大量客户资金，加大了资金流动性管理压力和跨市场交易风险；
三是风险意识相对较弱，在客户资金安全和信息安全保障机制等方面存在欠缺；
四是客户权益保护亟待加强，存在夸大宣传、虚假承诺、消费者维权难等问题。
人民银行长期关注互联网金融的发展问题。
为规范网络支付业务，防范支付风险，保护客户合法权益，同时促进支付服务创新和支付市场健康发展，进一步发挥网络支付对互联网金融的基础作用，人民银行从2010年开始启动网络支付发展与规范相关研究工作。
今年以来，遵循“鼓励创新、防范风险、趋利避害、健康发展”的总体要求，组织市场机构、行业协会、专家学者开展多轮研讨、座谈及公开向社会征求意见，反复修改完善，最终完成了《法》的制定工作。
问：《法》的监管思路与主要监管措施是什么 。
答：按照统筹科学把握鼓励创新、方便群众和金融安全的原则，结合支付机构网络支付业务发展实际，人民银行确立了坚持支付账户实名制、平衡支付业务安全与效率、保护消费者权益和推动支付创新的监管思路。
主要措施包括：一是清晰界定支付机构定位。
坚持小额便民、服务于电子商务的原则，有效隔离跨市场风险，维护市场公平竞争秩序及金融稳定。
二是坚持支付账户实名制。
账户实名制是支付交易顺利完成的保障，也是反洗钱、反恐融资和遏制违法犯罪活动的基础。
针对网络支付非面对面开户的特征，强化支付机构通过外部多渠道交叉验证识别客户身份信息的监管要求。
三是兼顾支付安全与效率。
本着小额支付偏重便捷、大额支付偏重安全的管理思路，采用正向激励机制，根据交易验证安全程度的不同，对使用支付账户余额付款的交易限额作出了相应安排，引导支付机构采用安全验证手段来保障客户资金安全。
四是突出对个人消费者合法权益的保护。
基于国网络支付业务发展的实际和金融消费的现状，《法》引导支付机构建立完善的风险控制机制，健全客户损失赔付、差错争议处理等客户权益保障机制，有效降低网络支付业务风险，保护消费者的合法权益。
五是实施分类监管推动创新。
建立支付机构分类监管工作机制，对支付机构及其相关业务实施差别化管理，引导和推动支付机构在符合基本条件和实质合规的前提下开展技术创新、流程创新和服务创新，在有效提升监管措施弹性和灵活性的同时，激发支付机构活跃支付服务市场的动力。
问：支付账户与银行账户有何不同 。
答：支付账户最初是支付机构为方便客户网上支付和解决电子商务交易中买卖双方信任度不高而为其开立的，与银行账户有明显不同。
一是提供账户服务的主体不同，支付账户由支付机构为客户开立，主要用于电子商务交易的收付款结算。
银行账户由银行业金融机构为客户开立，账户资金除了用于支付结算外，还具有保值、增值等目的。
二是账户资金余额的性质和保障机制不同。
支付账户余额的本质是预付价值，类似于预付费卡中的余额，该余额资金虽然所有权归属于客户，却未以客户本人名义存放在银行，而是支付机构以其自身名义存放在银行，并实际由支付机构支配与控制。
同时，该余额仅代表支付机构的企业信用，法律保障机制上远低于《人民银行法》、《商业银行法》保障下的央行货币与商业银行货币，也不受存款保险条例保护。
一旦支付机构出现经营风险或信用风险，将可能导致支付账户余额无法使用，不能回提为银行存款，使客户遭受财产损失。
因此，《法》规定，支付机构应当在客户清晰理解支付账户余额性质和相关风险的前提下，由客户本着“自愿开立、自担风险”的原则申请开立支付账户。
问：《法》禁止支付机构为金融机构和从事金融业务的其他机构开立支付账户的主要考虑是什么 。
会不会制约互联网金融发展 。
答：鉴于金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等机构本身存在金融业务经营风险，同时支付机构的资本实力、内控制度和风险管理体系普遍还不够完善，抵御外部风险冲击的能力较弱，为保障有关各方合法权益，有效隔离跨市场风险，切实守住不发生系统性和区域性风险的底线，《法》规定支付机构不得为金融机构和从事金融业务的其他机构开立支付账户。
《法》上述规定并不影响支付机构为金融从业机构提供网络支付服务，还将进一步支持互联网金融的健康发展：一是国国家支付清算体系已经为金融从业机构提供了高效、安全的支付清算及结算安排，并且符合国际支付清算监管惯例和准则，能够支持互联网金融的发展需要。
二是支付机构尽管不能为金融从业机构开立支付账户，但仍可基于银行账户为其提供网络支付服务，以有效支持互联网金融的创新需要。
三是人民银行鼓励支付机构按照《指导意见》有关原则，与银行深化合作，实现优势互补，建立良好的网络支付生态环境与产业链，进一步提升业务创新，增强服务实体经济和风险抵御能力，共同推动互联网金融业态多元、持续、健康发展。
问：《法》如何对个人支付账户进行分类 。
答：支付账户分类，兼顾支付的安全和效率，能够满足不同客户的多样化需要，体现了尊重客户的选择权。
《法》将个人支付账户分为三类（详见附表）。
其中，Ⅰ类账户只需要一个外部渠道验证客户身份信息（例如联网核查居民身份证信息），账户余额可以用于消费和转账，主要适用于客户小额、临时支付，身份验证简单快捷。
为兼顾便捷性和安全性，Ⅰ类账户的交易限额相对较低，但支付机构可以通过强化客户身份验证，将Ⅰ类账户升级为Ⅱ类或Ⅲ类账户，提高交易限额。
Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高，能够在一定程度上防范假名、匿名支付账户问题，防止不法分子冒用他人身份开立支付账户并实施犯罪行为，因此具有较高的交易限额。
鉴于投资理财业务的风险等级较高，《法》规定，仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品，以保障客户资金安全。
上述分类方式及付款功能、交易限额管理措施仅针对支付账户，客户使用银行账户付款（例如银行网关支付、银行卡快捷支付等）不受上述功能和限额的约束。
个人支付账户分类附表:问：为何要强调支付账户实名制 。
答：《法》强调支付账户实名制度。
《法》要求支付机构遵循“了解客户”原则，建立健全客户身份识别机制，并在与客户业务关系存续期间，采取持续的客户身份识别措施，确保有效核实客户身份及其真实意愿，主要考虑如下：一是支付账户体现着消费者资金权益，只有实行实名制，才能更好地保护账户所有人的资金安全，才能从法律制度上保护消费者财产权利和明确债权债务关系。
二是账户实名制是经济金融活动和管理的基础，账户是资金出入的起点与终点，只有落实支付账户实名制，才能维护正常的经济金融秩序，从而切实落实反洗钱、反恐怖融资要求，防范和遏制违法犯罪活动。
三是坚持账户实名制有利于支付机构在了解自己客户的基础上，有针对性地改善服务质量，更好地服务于客户，为提升和改善经营管理水平奠定基础。
问：支付账户的实名验证要求会不会影响便捷性 。
答：《法》要求支付机构在开立Ⅱ类、Ⅲ类支付账户时，分别通过至少三个、五个外部渠道验证客户身份信息，是为了保障客户合法权益，防范不法分子开立匿名或假名账户从事欺诈、套现、洗钱、恐怖融资等非法活动，是对支付机构提出的监管要求，支付机构负有“了解客户”的义务。
目前，公安、社保、民政、住建、交通、工商、教育、财税等政府部门，以及商业银行、保险公司、证券公司、征信机构、移动运营商、铁路公司、航空公司、电力公司、自来水公司、燃气公司等单位，都运营着能够验证客户身份基本信息的数据库或系统。
支付机构可以根据本机构客户的群体特征和实际情况，选择与其中部分单位开展合作，实现多个渠道交叉验证客户身份信息。
在身份验证过程中，客户只需要按照支付机构的要求在网上填写并上传相关信息即可，并不需要本人去相关部门证明“是”，而是由支付机构负责与外部数据库或系统进行连接并验证客户身份信息的真实性。
支付机构应采用必要技术手段确保客户操作流程简便、体验便捷，这对支付机构的服务能力和服务水平提出了一定要求。
此外，《法》还规定，综合评级较高且实名制落实较好的支付机构在开立Ⅱ类、Ⅲ类支付账户时，既可以按照三个、五个外部渠道的方式进行客户身份核实，也可以运用各种安全、合法的技术手段，更加灵活地制定其他有效的身份核实方法，经人民银行评估认可后予以采用。
这既鼓励创新，也兼顾了安全与便捷。
问：支付账户交易限额的规定会不会影响便捷性 。
答：遵循网络支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨，为最大限度地满足客户的实际支付需求，兼顾支付便捷性，人民银行对支付机构开展了全面调研。
经统计分析，并结合未来一定时期内的发展需要，Ⅱ类、Ⅲ类个人支付账户年累计10万元、20万元的限额能够满足绝大部分客户使用支付账户“余额”进行付款的需求。
对极少数消费者，或者消费者偶发的大额支付，可以通过支付账户余额支付、银行卡快捷支付、银行网关支付等方式组合完成，因此并不会对消费者支付产生实质影响。
考虑到Ⅰ类个人支付账户在开立过程中对客户身份验证的强度较弱，出现假名、匿名账户的风险较高，《法》对Ⅰ类账户的“余额”付款交易规定了较低的限额。
同时，为引导支付机构提高交易验证方式的安全性，加强客户资金安全保护，《法》规定，对于交易验证安全级别较高的支付账户“余额”付款交易，支付机构可以与客户自主约定单日累计限额；
但对于安全级别不足的支付账户“余额”付款交易，《法》规定了单日累计限额。
《法》规定的单日累计1000元、5000元的限额能够有效满足绝大部分客户使用支付账户“余额”进行付款的需求。
此外，《法》规定，综合评级较高且实名制落实较好的支付机构单日支付限额最高可提升到现有额度的2倍，以进一步满足客户需求。
需要强调的是，10万元、20万元的年累计限额，以及1000元、5000元的单日累计限额，都仅针对个人支付账户“余额”付款交易。
客户通过支付机构进行银行网关支付、银行卡快捷支付，年累计限额、单日累计限额根据相关规定由支付机构、银行和客户自主约定，不受上述限额约束。
问：《法》对支付账户的转账业务有何规定 。
答：《法》没有对支付机构银行账户与银行账户之间的转账业务进行额外限制，而是由支付机构、银行和客户以市场化原则自主协商开展此类业务，并自主约定交易限额等管理措施。
为加强支付账户转账业务的风险管理，《法》对支付账户与银行账户之间的转账业务提出了具体要求：一是原则上，支付账户余额仅可回提至客户本人银行卡。
二是综合评级较高且实名制落实较好的支付机构可以扩充支付账户转账功能，支付账户余额可以回提至他人银行卡，他人银行卡也可向支付账户充值。
三是支付机构应按照客户意愿足额Ⅱ类或Ⅲ类支付账户余额回提至客户本人银行卡的业务，协助客户及时将支付账户余额回提为银行存款。
问：《法》对快捷支付业务有何规定 。
答：快捷支付是支付机构和银行通过协议与客户约定，由支付机构代其向银行发送支付指令，直接扣划客户绑定的银行账户资金的支付方式。
快捷支付以其开通简单、交易验证便捷的特点深受客户欢迎，已成为国电子商务交易的主要支付方式之一。
但是，实践中，由于该业务涉及客户、支付机构及银行三方，权责关系相对复杂，一旦发生风险损失，客户维权困难。
为此，《法》明确了支付机构和商业银行合作为客户提供快捷支付业务时，应当事先或在首笔交易时分别与客户建立清晰、完整的业务授权，同时明确约定扣款适用范围、交易验证方式、交易限额及风险赔付责任。
《法》同时强调，银行是客户资金安全的管理责任主体，在后续交易时无论是由银行进行交易验证还是支付机构代为进行交易验证，银行均承担快捷支付资金损失的先行赔付责任。
问：支付机构分类监管的思路是怎样的 。
答：目前，国内支付机构众多，各机构在合规意识、风控能力、业务规模、服务水平等方面存在明显差异。
为提升监管资源配置的科学性和监管效率，在加强风险防范的同时进一步支持支付机构开展业务创新，促进支付市场持续健康发展，人民银行按照“依法监管、适度监管、分类监管、协同监管、创新监管”原则，建立支付机构分类监管工作机制。
首先，立足国内支付市场发展实际情况，根据支付机构的财务状况、经营能力、风险管控，特别是客户备付金管理等因素，确立分类监管指标体系，并持续组织开展支付机构分类监管工作。
其次，根据支付机构分类评级情况，在业务监管标准、创新扶持力度、监管资源分配等方面，对支付机构实施差别化管理，以扶优限劣的激励和制约措施充分发挥分类监管对支付机构经营管理的正面引导和推动作用。
对于综合评级较高的支付机构，制定弹性和灵活性较高的监管措施，为其业务和技术创新发展预留充足空间；
对于综合评级较低的支付机构，人民银行将集中监管资源依法重点监管，以加强风险防范、保障客户权益，维护市场稳定。
问：《法》中明确了哪些分类监管措施 。
答：对于综合评级较高且实名制落实较好的支付机构，《法》在客户身份验证方式、个人卖家管理方式、支付账户转账功能、支付账户单日交易限额、银行卡快捷支付验证方式等方面，提升了监管弹性和灵活性：一是支付机构在开立Ⅱ类、Ⅲ类支付账户时，既可以按照“三个”、“五个”外部渠道的方式进行客户身份核实，也可以运用各种安全、合法的技术手段灵活制定其他有效的身份核实方法，经评估认可后予以采用。
二是对于从事电子商务经营活动、不具备工商登记注册条件的个人卖家，支付机构可以参照单位客户进行管理，以更好满足个人卖家的支付需求，进一步支持电子商务发展。
三是支付机构可以扩充支付账户转账交易功能，可以同时支付账户与同名银行账户之间、支付账户与非同名银行账户之间的转账交易。
四是支付机构可以根据客户实际需要，适度提高支付账户余额付款的单日交易限额。
五是在银行卡快捷支付交易中，支付机构可以与银行自主约定由支付机构代替进行交易验证的具体情形。
同时，《法》对综合评级较低、实名制落实较差、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构，增加了信息披露等义务，同时人民银行将依法对其重点加强监管。
问：《法》提出了哪些风险管理措施 。
答：网络支付业务因依托公共网络作为信息传输通道，不可避免地面临网络病毒、信息窃取、信息篡改、网络钓鱼、网络异常中断等各种安全隐患，也面临欺诈、套现、洗钱等业务风险。
为加强风险防范，切实保障客户合法权益，《法》从风险管理角度对支付机构提出了明确要求：一是综合客户类型、客户身份核实方式、交易行为特征、资信状况等因素，建立客户风险评级管理制度和机制，并动态调整客户风险评级及相关风险控制措施。
二是建立交易风险管理制度和交易监测系统，对疑似风险和非法交易及时采取调查核实、延迟结算、终止服务等必要控制措施。
三是向客户充分提示网络支付业务潜在风险，及时揭示不法分子新型作案手段，对客户进行必要的安全教育，在高风险业务操作前、操作中向客户进行风险警示。
四是以“最小化”原则采集、使用、存储和传输客户信息，采取有效措施防范信息泄露风险。
五是提高交易验证方式的安全级别，所采用的数字证书、电子签名、一次性密码、生理特征等验证要素应符合相关法律法规和技术安全要求。
六是网络支付相关系统设施和技术，应当持续符合国家、金融行业标准和相关信息安全管理要求。
七是确保网络支付业务系统及其备份系统的安全和规范，制定突发事件应急预案，保障系统安全性和业务连续性。
问：《法》提出了哪些客户权益保护措施 。
答：鉴于客户在网络支付业务中可能面临资金被盗、信息泄露等风险隐患，在维权过程中往往处于相对弱势的地位，为保障客户合法权益，《法》结合支付机构目前在客户权益保护方面存在的不足，明确了相关监管要求：一是知情权方面。
要求支付机构以显著方式提示客户注意服务协议中与其有重大利害关系的事项，采取有效方式确认客户充分知晓并清晰理解相关权利、义务和责任；
并要求支付机构增加信息透明度，定期公开披露风险事件、客户投诉等信息，加强客户和舆论监督。
二是选择权方面。
要求支付机构充分尊重客户真实意愿，由客户自主选择提供网络支付服务的机构、资金收付方式等，不得以诱导、强迫等方式侵害客户自主选择权；
支付机构变更协议条款、提高服务收费标准或者新设收费项目，应以客户知悉且自愿接受相关调整为前提。
三是信息安全方面。
要求支付机构制定客户信息保护措施和风险控制机制，确保自身及特约商户均不存储客户敏感信息，并依法承担因信息泄露造成的损失和责任。
四是资金安全方面。
要求支付机构及时处理客户提出的差错争议和投诉，并建立健全风险准备金和客户损失赔付机制，对不能有效证明因客户原因导致的资金损失及时先行赔付；
要求支付机构对安全性较低的支付账户余额付款交易设置单日累计限额，并对采用不足两类要素进行验证的交易无条件全额承担客户风险损失赔付责任。

❾ 简述电子商务安全的重要性

电子商务安全的重要性：电子商务安全研究的主要内容涉及到安全电子商内务的体系结构、现代容密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术，安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全，以及安全电子商务应用等。最主要的还是一下这三大安全问题。
一、保护网络安全：
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
二、保护应用安全：保护应用安全，主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。
三、保护系统安全：保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。

❿ 电子商务网站是如何做到安全支付的

一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参与者包括：消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象，移动运营商提供网络支持，银行方提供银行相关服务，第三方服务提供商提供支付平台服务，通过各方的结合以实现业务。移动支付需要考虑以下安全问题：（1)移动终端接入支付平台的安全，包括用户注册时，签约信息的安全传递，以及用户通过移动终端登录系统，其间传递的数据如签约用户名、签约密码等的安全性。(2)支付平台内部数据传输的安全，即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全，涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。
二、移动支付的安全认证技术
当前，移动设备的大量普及为移动支付的实现提供了必要的条件，但也存在许多问题制约着移动支付的实施，如移动终端的计算环境和通信环境都非常有限，这就需要对相应的安全认证做一些特殊要求。
1.WPKI安全标准概况
WPKI(WirelessPKI）是有线PKI的一种扩展，它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术，有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础，通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM（WAPIdentityMole，无线应用协议识别模块）、WMLSCrypt（WMLScriptCryptoAPI，WML脚本加密接口）、WTLS（，无线传输安全层）和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平台，一切基于身份验证的应用都需要WPKI技术的支持，它可与WTLS、TCP/IP相结合，实现身份认证、私钥签名等功能。WPKI的主要组件包括：终端实体应用程序（EE）、PKI门户（PKIPortal)、认证中心（CA）、目录服务(PKIDirectory)、WAP网关，在应用模型中还涉及数据提供服务器等设备，WPKI的基本结构和数据流向如图所示。

在WPKI中，代替RA（RegistrationAuthority）的功能组件是PKI门户（PKIPortal），它是一个网络服务器，负责把WAP客户的需求转发给PKI中的RA和CA（CertificationAuthority）。CA主要负责生成证书、颁发证书和刷新证书等。WAPGateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的，主要保证传输层的安全，WPKI也是对IETFPKIX标准的优化，使之更适合无线环境。
2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的，与WAP安全标准相比，WPKI所采用的ECC（EllipticCurveCryptography，椭圆曲线密码）密码系统更适合在无线设备中使用。同样强度的密钥，ECC的密钥长度（163bit）只是其他方案的六分之一(1024bit），但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的，因为穷举163bit的密钥个数有1.156×1049个，按每秒钟测试1亿个密钥计算，也要3.6×1032年！