A. 电子商务对网上安全交易的基本要求
(1)网络软件、通信协议的缺陷和漏洞:目前Internet上95%的数据流使用的是TCP/IP协议,而TCP/IP协议是完全开放的,其设计之初没有考虑安全问题。恶意攻击者可以很容易地窃取、更换、假冒数据包。
(2)计算机病毒的危害。由于计算机系统和网络存在缺陷和漏洞,可以针对这些缺陷和漏洞设计出各式各样的病毒。病毒的入侵导致计算机系统的瘫痪,程序和数据的严重破坏,使网络的效率和作用大大降低,使许多功能无法使用或不敢使用。
(3)“黑客”的攻击。“黑客”是指那些偷偷地、未经许可就打入别人计算机系统的计算机罪犯。随着网络的飞速发展,“黑客”的攻击事件不断发生。他们以各种方式有选择地破坏信息的有效性和完整性。
(4)对交易信息进行抵赖。交易者为推卸自己的责任对交易信息进行修改,否认报文的接收或发送等。否认交易行为,损害了对方的利益,造成了交易者对电子商务安全的不信任。
电子商务安全隐患的解决策略
1.解决计算机网络安全的主要措施
针对计算机网络本身可能存在的问题, 采用防火墙技术、VPN(虚拟专用网)技术、反病毒技术等,以阻止“黑客”入侵,保证计算机网络自身的安全,使网络系统连续稳定的运行。
(1)防火墙技术:防火墙技术是用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络。防火墙是阻止非授权的用户闯入内部网络的一道障碍。
(2)VPN(虚拟专用网)技术:虚拟专用网是利用不可靠的公共网络(通常是Internet)作为信息的传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能。它可以在两个系统之间建立安全信道,进行电子数据交换,从而在很大程度上保证了数据的安全传输。
(3)反病毒技术:反病毒技术分为预防病毒技术、检测病毒技术和杀灭病毒技术。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术是通过对网络用户的行为进行采集,结合计算机病毒的特征来进行分析判断,及时准确地向系统的管理者发出病毒警报的技术。而消毒技术则是通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
2.保证商务交易信息安全的主要措施
(1)信息加密技术。信息加密技术保证电子商务安全最基本的防范措施,利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的机密性。主要有对称加密技术和非对称加密技术。
(2)认证技术。认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。认证技术主要包括数字摘要、数字签名、数字证书、数字时间戳、数字信封、智能卡认证和生物认证等技术。
(3)SSL安全协议。SSL是一种安全通信协议,主要用来保护信息传输的完整性和机密性。
(4)SET交易协议。SET是一种安全电子交易协议,主要用于Internet上的以信用卡为基础的电子支付系统,提供对消费者、商户和银行的认证。
3.加强电子商务的法律法规建设
为保证电子商务系统的安全,还需在网络管理和法律法规两方面采取积极的安全措施。在网络安全管理方面,我们既要防外也应防内。要加强信息安全的管理,提高电子商务网站后台管理人员的安全意识,针对信息存储的不安全因素采取适当的防范措施,如设置合适的不间断电源解决硬件的电源故障;及时弥补软件漏洞;经常升级防毒、杀毒软件。同时应制定严格的管理制度,防止内部人员因操作不当或故意破坏等行为的发生。
B. 电子商务如何支付,付款方式与特点,安全性
在我国电子商务发展的过程中,B2C、C2C电子商务产生了多种支付方式,包括汇款、货到付款、网上支付、电话支付、手机短信支付等方式,并且这些方式同时并存。据2005年CNNT统计,消费者常采用多种支付方式,其中汇款用户占总用户数量的43.2%、网上支付占41.9%、货到付款支付占34.7%、手机支付占1.7%。
2.1 汇款
银行汇款或邮局汇款是一种传统支付方式,也是目前为止电子商务支付方式中最常用的支付方式。邮局汇款是顾客将订单金额通过邮政部门汇到商户的一种结算支付方式。采用银行或邮局汇款,可以直接用人民币交易,避免了诸如黑客攻击、账号泄漏、密码被盗等问题,对顾客来说更安全。但采用此种支付方式的收发货周期时间长,例如卓越网的邮局汇款支付期限为14天,银行电汇为10天,而采用其他网上支付则只需1-2天。此外,顾客还必须到银行或邮局才能进行支付,支付过程比较繁琐。对于商家来说,这种交易方式也无法体现电子商务高速、交互性强、简单易用且运作成本低等优势。因此,这种支付方式并不能适应电子商务的长期高速发展。
2.2 货到付款
货到付款又称送货上门,指按照客户提交的订单内容,在承诺配送时限内送达顾客指定交货地点后,双方当场验收商品,当场交纳货款的一种结算支付方式。目前,很多购物网站都提供这种支付方式。这是一个充满中国特色的B2C电子商务支付方式、物流方式,既解决了中国网上零售行业的支付和物流两大问题,又培养了客户对网络的信任。货到付款仍然是中国用户最喜欢的支付方式之一。但是,将支付与物流结合在一起存在很多问题。首先,付款方式采用现金付费,因此只局限在小额支付上,例如卓越网的订单金额不可高于15 000元,对于商家的大额交易则无法实现。其次,由于送货上门受到地区的局限,而EMS费用又较高,所以顾客选择最多的还是普通邮寄,这就会带来必然的时间损耗,给用户造成不便。比如当当书店送货上门服务,送到北京市内读者手中需1-2天,而送到其他城市则需3-7天,普通邮寄则是更需1-2周,这还不包括边远地区。送货上门单张订单购物金额满30元免5元平邮费用,单张订单购物金额满200元免加急费用,这个费用对于小额购物的顾客来说是无法接受的。
2.3 网上支付
所谓网上支付,是以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,以电子计算机技术和通信技术为手段,以二进制数据形式存储,并通过计算机网络系统以电子信息传递形式实现的流通和支付。
2006年网上支付在整个电子支付市场规模中所占的比例为97%,网上支付仍是电子支付形式中的绝对主力,国内目前采用网上支付业务的网上书店总数已超过10万家。网上支付的方式主要有:银行卡支付方式、电子支票支付方式和电子货币支付方式。其中比较成熟的是银行卡支付方式,银行卡支付方式是目前在国内网上购物实现在线支付的最主要的手段。
2.3.1 网上银行卡转帐支付
网上银行卡转帐支付指的是电子商务的交易通过网络,利用银行卡进行支付的方式。客户通过Internet向商家订货后,在网上将银行卡卡号和密码加密发送到银行,直接要求转移资金到商家银行账户中,完成支付。银行卡的卡类可以包括信用卡、借记卡和智能卡等。
我国目前网上银行卡转账支付可以分为有数字证书和无数字证书两种方式。一般的用户如果不去银行申请启用有数字证书保护的网上支付功能,就只能使用无数字证书保护的网上支付。不启用数字证书保护的网上支付在功能上会有一定的限制,例如只能进行账户查询或只能进行小额支付。而启用数字证书保护的网上支付不仅拥有更高的安全性,而且能享受网上银行所提供的全部服务,支付的金额不受限制。
银行卡网上直接转账支付存在着安全性和方便性方面的矛盾,例如要起用数字证书保护,付款人必须经过向银行申请安装数字证书,下载指定软件等多道手续,对有些对电脑操作不熟悉的顾客而言就很难实现了。另外,因客户直接将货款转移到商家的帐户上,如果出现交易失败的情况,那么讨回货款的过程就可能变得非常繁琐和困难。
2.3.2 第三方支付平台结算支付
第三方结算支付是指客户和商家都首先在第三方支付平台处开立账户;并将各自的银行账户信息提供给支付平台的账户中,第三方支付平台通知商家已经收到货款,商家发货;客户收到并检验商品后,通知第三方支付平台可以付款给商家,第三方支付平台再将款项划转到商家的账户中。这样客户和商家的银行帐户信息只需提供给第三方支付平台,比较安全,且支付通过第三方支付平台完成,如果客户未收到商品或商品有问题则可以通知第三方支付平台拒绝划转货款到商家。而商家则可以在货款有保障的情况下放心发货,有效地降低了交易风险。第三方平台结算支付是当前国内服务数量最多的支付模式。国内当前从事网上支付的企业已经从2004年的10多家增加到现在的50多家,2005年我国第三方支付平台规模增长到161亿元。来自赛迪顾问的调查表明,2007年我国第三方支付平台规模已达到215亿元。国内目前第三方支付公司中,比较知名的有阿里巴巴的支付宝、易趣的安付通、贝宝、腾讯的财付通、易宝、网银在线、银联电子支付、环讯的IPS、云网等等。
由于第三方支付平台的介入,解决了电子商务支付过程中的一系列问题。如安全问题、信用问题、成本问题。与此同时,中国现有的第三方支付平台也存在一定的问题。
(1)中国法律规定只有金融机构才有权吸纳代理用户的钱,其他企业机构不得从事类似活动,支付平台的法律地位也受到一部分人的质疑。
(2)货款在第三方支付平台中滞留的时间内将产生一定的利息,这部分利息如何分配目前也缺乏明确的规范和严格的监督。
(3)支付平台解决的电子商务支付过程中的安全性问题只限于客户和厂商之间,其他安全性问题如客户在支付平台填写银行资料时信息的保密性、有效性和完整性问题还有待进一步解决。
(4)操作还不够简便,客户在使用支付平台时都必须进行一系列繁琐的申请。
(5)贷款会在第三方支付平台的账号中滞留一段时间,非实时性支付带来存款风险,如第三方支付企业不能完全保证货款安全,将大大损害客户和商家的利益。
(6)第三方支付平台可能会被利用,通过捏造虚假交易从信用卡套现,甚至存在可能被利用来进行洗钱的风险。
C. 电子商务网站是如何做到安全支付的
一、移动支付中的安全问题
在整个移动支付的过程中涉及到的支付参与者包括:消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。移动支付需要考虑以下安全问题:(1)移动终端接入支付平台的安全,包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。(2)支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。
二、移动支付的安全认证技术
当前,移动设备的大量普及为移动支付的实现提供了必要的条件,但也存在许多问题制约着移动支付的实施,如移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。
1.WPKI安全标准概况
WPKI(WirelessPKI)是有线PKI的一种扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAPIdentityMole,无线应用协议识别模块)、WMLSCrypt(WMLScriptCryptoAPI,WML脚本加密接口)、WTLS(,无线传输安全层)和WPKI四个部分。以上各部分对实现无线网络应用的安全分别起着不同的作用。WPKI作为安全基础设施平台,一切基于身份验证的应用都需要WPKI技术的支持,它可与WTLS、TCP/IP相结合,实现身份认证、私钥签名等功能。WPKI的主要组件包括:终端实体应用程序(EE)、PKI门户(PKIPortal)、认证中心(CA)、目录服务(PKIDirectory)、WAP网关,在应用模型中还涉及数据提供服务器等设备,WPKI的基本结构和数据流向如图所示。
在WPKI中,代替RA(RegistrationAuthority)的功能组件是PKI门户(PKIPortal),它是一个网络服务器,负责把WAP客户的需求转发给PKI中的RA和CA(CertificationAuthority)。CA主要负责生成证书、颁发证书和刷新证书等。WAPGateway负责处理客户与源服务器之间的协议转换工作。WTLS是经传统网络的TLS协议改进和优化而得来的,主要保证传输层的安全,WPKI也是对IETFPKIX标准的优化,使之更适合无线环境。
2.WPKI的加密算法和密钥
WPKI是通过管理实体间关系、密钥和证书来增强电子商务安全的,与WAP安全标准相比,WPKI所采用的ECC(EllipticCurveCryptography,椭圆曲线密码)密码系统更适合在无线设备中使用。同样强度的密钥,ECC的密钥长度(163bit)只是其他方案的六分之一(1024bit),但163bit的密钥长度对穷举密钥攻击几乎是绝对安全的,因为穷举163bit的密钥个数有1.156×1049个,按每秒钟测试1亿个密钥计算,也要3.6×1032年!
D. 如何构建安全的电子商务支付体系
国际通行的电子支付工具和支付手段主要有电子信用卡、电子支票、电子现金、及网专上银行等。目前属网银在线支付支持的银行卡种,在银行端使用的是SSL128位加密算法和SET(安全电子交易)协议,这样就保障了BtoC在线支付的安全实施。另外支付平台本身使用PKI(公钥基础设施)作为安全架构,通过md5数字签名技术对订单信息进行加密和校验,从而确保在Internet上数据传输的机密性、真实性、完整性和不可抵赖性。
电子商务平台上最安全的支付系统这个还真不好说是哪个,银行卡还有人盗用呢,但只一在设密码是难度大点,密码资料不要随便告诉别人,平时对网络安全多关注一点,支付系统还是可以放心使用的。
E. 网上支付安全功能的检测标准是什么
你好,很高兴能回答你的问题,网络支付的安全可以概括为两大方面,一是系统的安全,二是交易的安全。
系统安全主要指的是网络支付系统软件、支撑网络平台的正常运行。保证网络支付用专有软件的可靠运行、支撑网络平台和支付网关的畅通无阻和正常运行,防止网络病毒和黑客的攻击,防止支付的故意延缓,防止网络通道的故意堵塞等是实现安全网络支付的基础,也是安全电子商务的基础。解决思路主要有:采用网络防火墙技术、用户与资源分级控制管理机制、网络通道流量监控软件、网络防病毒软件等方法。这些内容在相关的电子商务安全课程都有论述,最后麻烦亲点赞采纳一下谢谢了,祝你生活愉快天天开心。
F. 安全电子支付的法律法规
第一条为规范和引导电子支付的健康发展,保障当事人的合法权益,防范支付风险,确保银行和客户资金的安全,制定本指引。
第二条电子支付是指单位、个人(以下简称客户)直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。
电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
境内银行业金融机构(以下简称银行)开展电子支付业务,适用本指引。
第三条银行开展电子支付业务应当遵守国家有关法律、行政法规的规定,不得损害客户和社会公共利益。
银行与其他机构合作开展电子支付业务的,其合作机构的资质要求应符合有关法规制度的规定,银行要根据公平交易的原则,签订书面协议并建立相应的监督机制。 第四条客户办理电子支付业务应在银行开立银行结算账户(以下简称账户),账户的开立和使用应符合《人民币银行结算账户管理办法》、《境内外汇账户管理规定》等规定。 第五条电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力。
第六条本指引下列用语的含义为:
(一)“发起行”,是指接受客户委托发出电子支付指令的银行。
(二)“接收行”,是指电子支付指令接收人的开户银行;接收人未在银行开立账户的,指电子支付指令确定的资金汇入银行。
(三)“电子终端”,是指客户可用以发起电子支付指令的计算机、电话、销售点终端、自动柜员机、移动通讯工具或其他电子设备。
第二章电子支付业务的申请
第七条银行应根据审慎性原则,确定办理电子支付业务客户的条件。
第八条办理电子支付业务的银行应公开披露以下信息:
(一)银行名称、营业地址及联系方式;
(二)客户办理电子支付业务的条件;
(三)所提供的电子支付业务品种、操作程序和收费标准等;
(四)电子支付交易品种可能存在的全部风险,包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞等;
(五)客户使用电子支付交易品种可能产生的风险;
(六)提醒客户妥善保管、使用或授权他人使用电子支付交易存取工具(如卡、密码、密钥、电子签名制作数据等)的警示性信息;
(七)争议及差错处理方式。
第九条银行应认真审核客户申请办理电子支付业务的基本资料,并以书面或电子方式与客户签订协议。
银行应按会计档案的管理要求妥善保存客户的申请资料,保存期限至该客户撤销电子支付业务后5年。
第十条银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等。 认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。
第十一条银行要求客户提供有关资料信息时,应告知客户所提供信息的使用目的和范围、安全保护措施、以及客户未提供或未真实提供相关资料信息的后果。 第十二条客户可以在其已开立的银行结算账户中指定办理电子支付业务的账户。该账户也可用于办理其他支付结算业务。
客户未指定的银行结算账户不得办理电子支付业务。
第十三条客户与银行签订的电子支付协议应包括以下内容:
(一)客户指定办理电子支付业务的账户名称和账号;
(二)客户应保证办理电子支付业务账户的支付能力;
(三)双方约定的电子支付类型、交易规则、认证方式等;
(四)银行对客户提供的申请资料和其他信息的保密义务;
(五)银行根据客户要求提供交易记录的时间和方式;
(六)争议、差错处理和损害赔偿责任。
第十四条有以下情形之一的,客户应及时向银行提出电子或书面申请:
(一)终止电子支付协议的;
(二)客户基本资料发生变更的;
(三)约定的认证方式需要变更的;
(四)有关电子支付业务资料、存取工具被盗或遗失的;
(五)客户与银行约定的其他情形。
第十五条客户利用电子支付方式从事违反国家法律法规活动的,银行应按照有权部门的要求停止为其办理电子支付业务。
第三章电子支付指令的发起和接收
第十六条客户应按照其与发起行的协议规定,发起电子支付指令。
第十七条电子支付指令的发起行应建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录,保存至交易后5年。
第十八条发起行应采取有效措施,在客户发出电子支付指令前,提示客户对指令的准确性和完整性进行确认。
第十九条发起行应确保正确执行客户的电子支付指令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易回单。
发起行执行通过安全程序的电子支付指令后,客户不得要求变更或撤销电子支付指令。
第二十条发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改。
第二十一条发起行、接收行之间应按照协议规定及时发送、接收和执行电子支付指令,并回复确认。
第二十二条电子支付指令需转换为纸质支付凭证的,其纸质支付凭证必须记载以下事项(具体格式由银行确定):
(一)付款人开户行名称和签章;
(二)付款人名称、账号;
(三)接收行名称;
(四)收款人名称、账号;
(五)大写金额和小写金额;
(六)发起日期和交易序列号。
第四章安全控制
第二十三条银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。
第二十四条银行应针对与电子支付业务活动相关的风险,建立有效的管理制度。
第二十五条银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。
银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。 银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。 银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度。
第二十六条银行应确保电子支付业务处理系统的安全性,保证重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性,并妥善管理在电子支付业务处理系统中使用的密码、密钥等认证数据。 第二十七条银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。
银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。
第二十八条银行应与客户约定,及时或定期向客户提供交易记录、资金余额和账户状态等信息。
第二十九条银行应采取必要措施保护电子支付交易数据的完整性和可靠性:
(一)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划; (二)保证电子支付交易与数据记录程序的设计发生擅自变更时能被有效侦测;
(三)有效防止电子支付交易数据在传送、处理、存储、使用和修改过程中被篡改,任何对电子支付交易数据的篡改能通过交易处理、监测和数据记录功能被侦测; (四)按照会计档案管理的要求,对电子支付交易数据,以纸介质或磁性介质的方式进行妥善保存,保存期限为5年,并方便调阅。
第三十条银行应采取必要措施为电子支付交易数据保密:
(一)对电子支付交易数据的访问须经合理授权和确认;
(二)电子支付交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;
(三)第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度;
(四)对电子支付交易数据的访问均须登记,并确保该登记不被篡改。
第三十一条银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制:
(一)确保进入电子支付业务账户或敏感系统所需的认证数据免遭篡改和破坏。对此类篡改都应是可侦测的,而且审计监督应能恰当地反映出这些篡改的企图。 (二)对认证数据进行的任何查询、添加、删除或更改都应得到必要授权,并具有不可篡改的日志记录。
第三十二条银行应采取有效措施保证电子支付业务处理系统中的职责分离:
(一)对电子支付业务处理系统进行测试,确保职责分离;
(二)开发和管理经营电子支付业务处理系统的人员维持分离状态;
(三)交易程序和内控制度的设计确保任何单个的雇员和外部服务供应商都无法独立完成一项交易。
第三十三条银行可以根据有关规定将其部分电子支付业务外包给合法的专业化服务机构,但银行对客户的义务及相应责任不因外包关系的确立而转移。
银行应与开展电子支付业务相关的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系。
第三十四条银行采用数字证书或电子签名方式进行客户身份认证和交易授权的,提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。 第三十五条境内发生的人民币电子支付交易信息处理及资金清算应在境内完成。
第三十六条银行的电子支付业务处理系统应保证对电子支付交易信息进行完整的记录和按有关法律法规进行披露。
第三十七条银行应建立电子支付业务运作重大事项报告制度,及时向监管部门报告电子支付业务经营过程中发生的危及安全的事项。
第五章差错处理
第三十八条电子支付业务的差错处理应遵守据实、准确和及时的原则。
第三十九条银行应指定相应部门和业务人员负责电子支付业务的差错处理工作,并明确权限和职责。
第四十条银行应妥善保管电子支付业务的交易记录,对电子支付业务的差错应详细备案登记,记录内容应包括差错时间、差错内容与处理部门及人员姓名、客户资料、差错影响或损失、差错原因、处理结果等。 第四十一条由于银行保管、使用不当,导致客户资料信息被泄露或篡改的,银行应采取有效措施防止因此造成客户损失,并及时通知和协助客户补救。
第四十二条因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。 因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。
第四十三条接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账的,应及时纠正。
第四十四条客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失,应按约定方式和程序及时通知银行。
第四十五条非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。 第四十六条客户发现自身未按规定操作,或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行的,应在协议约定的时间内,按照约定程序和方式通知银行。银行应积极调查并告知客户调查结果。 银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。
第四十七条因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的,银行应当采取积极措施防止损失扩大。
第六章附则
第四十八条本指引由中国人民银行负责解释和修改。
第四十九条本指引自发布之日起施行。希望能帮助到楼主
G. 简述电子商务的安全交易和支付主要保证的四个方面 简述电子商务安全认证中心的基本功能
安全交易和支付主要保证以下四个方面:
一、信息保密性:交易中的商务信息均有保密的要求回。如信用卡答的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
二、交易者身份的确定性:网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
三、不可否认性:由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
四、不可修改性:交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
电子商务安全认证中心(CA)的基本功能是:
1、生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
2、 对数字证书和数字签名进行验证。
3、 对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。
4、 建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
H. 电子商务结算与支付的基本要求有哪些
电子商务结算与支付的基本要求主要有以下几点:
账务正确性:电子支付是采用内先进的技术通过数字流转容来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的,而传统的支付方式则是通过现金的流转、票据的转让及银行的汇兑等物理实体是流转来完成款项支付的,必须保证电子商务结算是的正确性;
资金安全性:清算与支付是一切互联网金融业务的基础,通过支付环节可以将整个业务流程打通并形成闭环,实现价值和利润的等效流通,而比起接入第三方支付系统,电商平台自建支付清结算系统相对来说效率更高,对资金的利用率更大,且能避免一些资金安全隐患;
业务需求多变性:目前电子商务的类目越来越多,需要的支付方式也越来越多,目前比较主流的电子商务支付方式有支付宝支付,微信支付,网上银行支付,信用卡支付等;
系统稳定性:系统的稳定性也对电子商务有着决定性的作用,成功支付离不开系统的稳定。
I. 电子商务安全的基本要求有哪些
一、建立和完善我国电子商务安全法律法规体系电子商务实践要求有透明、和谐的交易秩序和环境保障,为此,须建立和完善相应的法律体系。目前,我国已颁布相当数量的信息安全方面的法律规范,但立法层次不高,法律协调性 本论文由无忧论文网整理提供差,立法理念和立法技术相对滞后。我国电子商务法律体系的构建中,首先应当考虑原有法律对电子商务行为的适用,对于原有法律不能适应可以采取修改原有法律和单独立法的方式予以解决。对于一些全新领域可以进行单独立法,可以参照联合国《电子商务示范法》制定我国的电子商务基本法,从而形成我国电子商务完整、有机的法律体系。电子商务安全方面的法制建设则应涵盖:保护隐私权;保护消费者权益;保证信息的合法访问;数字签名与认证机构;计算机违法与犯罪的问题的控制等。
二、完善电子商务企业内部安全管理体制,增强相关人员的安全意识首先必须对企业内部所有人员进行信息安全意识教育,充分理解安全对企业的重要性。系统管理员要将系统安全放在首位,依靠可行的、详细的信息安防制度,消除安全隐患,防患于未然。其次,须针对信息存储的不安全因素采取适当的防范措施:硬件的电源故障可设置合适的不间断电源;操作系统和应用软件的不安全因素可采用经常升级和下载软件补丁程序的方法;软件漏洞可进行有针性的设置加以弥补;计算机病毒可使用防毒、杀毒软件,并经常升级。
三、构建电子商务信息安全技术框架体系:
(1)、防火墙技术是近年来发展的最重要的安全技术,用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络(被保护网络)。防火墙技术主要有包过滤、代理服务、状态监控等技术。防火墙技术的优点主要是:通过过滤不安全的服务,提高网络安全和减少子网中主机的风险;提供对系统的访问控制;阻击攻击者获取攻击网络系统的有用信息;记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;提供制定与执行网络安全策略的手段,对企业内部网实现集中的安全管理。
(2)、信息加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)、数字证书和认证技术是网络通信中标志通信 无忧论文网各方身份信息的一系列数据,通过运用对称和非对称密码体制建立起一套严密的身份认证系统。具有信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖等多项功能。另外,报文的发送方从报文文本中生成一个特定长度的散列值,发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名,通过数字签名能够实现对原始报文的完整性鉴别和不可抵赖性,实现电子文档的辨认和验证。
(4)、安全协议中,安全套接层协议(SSL)是一种安全通信协议。SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了信息的安全传输。它提供的安全连接具有三个特点:连接是保密的,对于每个连接都有一个唯一的会话加密,采用对称密码体制来加密数据;连接是可靠的,消息的传输采用信息验证算法进行完整性检验;对端实体的鉴别采用非对称密码体制进行认证。安全电子交易(SET)是通过开放网络进行安全资金支付的技术标准,SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则:信息在Internet上安全传输,保证传输的数据不被黑客窃取;其定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并可运行在不同的硬件和操作系统平台上。
J. 电子商务的安全支付问题
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;