电子商务中的网上支付风险防范

⑴ 如何看待网上支付安全及风险防范

如果是招行网上支付，我行有多重措施保障安全：1、底层保障：严格的加密程序，使用https加密通讯协议；2、额度控制：支付采用“网上支付每日限额”和“网上支付额度”进行额度控制，调整额度需要验证取款密码。3、支付环境：若系统判断交易存在风险，会要求客户通过验证码进行验证。 【温馨提示】不要在公共场所网络或网吧之类的场所使用网上银行，避免泄露个人账户信息给陌生人。

⑵ 电子商务的四大风险类型

(一)消费者所面临的风险（包括信息安全，财产安全等）。

(二)销售商所面临的风险（敌对商家恶意攻击，数据被盗窃，销售网络被黑客攻击等）。

(三)企业所面临的风险（企业内部网的风险，金融做空，金融诈骗，黑客攻击，数据被盗等。

(四)市场所面临的风险（由于基础资产市场价格的不利变动或者急剧波动而导致衍生工具价格或者价值变动的风险）。

(2)电子商务中的网上支付风险防范扩展阅读：

风险的防范方法：

(一)消费者的风险防范

消费者的风险防范，归纳起来，主要应从下面三个方面加强。

(1)设定的密码最好避免使用生日等容易被别人破译的密码号，而且要经常更改口令以减少被盗用的机率。

(2)在各种与因特网相关的事务中，一定要坚持使用不同的口令。在不同的网址使用不同的密码。而且，在选择ISP时，应该注意选择信誉好、可靠性高的公司。

(3)不要轻易将密码告诉他人。尤其不要轻信系统管理员提出的需要你的账号、密码来维护系统的说法。

(4)对于黑客攻击系统从而攫取消费者的信用卡数据所造成的信息泄密，消费者确实没有什么办法，除非他在网上根本不运用任何信用卡信息。

(二)销售商的风险防范

销售商面临的风险主要是数据被窃，这一点同企业的数据被窃类似，针对这一点，销售商应该从加强自身网络的技术措施来加强风险防范，可采用后面提到的企业防范方法。

至于域名注册方面的风险防范，要求销售商加强域名的注册，尽早确立组织自身在网络世界的合法地位，是避免域名纠纷的最佳防范措施。

(三)企业的风险防范

前面已经说到，企业的风险主要来自于内部和外部两个方面。下面分别针对于这两方面提出相应的防范措施。

1．企业内部网风险的防范。由于内部风险主要是由于企业员工对企业系统的攻击所产生的，所以可采取以下手段：

(1)对企业的各种资料信息设置秘密等级，并予以明确的标识，分等级分别管理。也就是说，公司的高层人员、中层人员以及下层的工作人员所能够看到的关于公司的资料应该是不同的。规定各个员工包括不同业务主管接触秘密的权限，每个员工不得接触自己无权接触密级的档案资料。

(2)专人管理商业秘密，定岗定责，不能无人负责，上级主管应当定期予以监督检查。

(3)要求员工对自己使用的密码经常更换，不能给窃密者造成机会。

(4)采取加密措施。对于员工使用网络传输涉及商业秘密的文件、信息时，可以使用加密计算机程序，取得解密“钥匙”。这种措施对于传送文件、信息途中的窃取、窃听以及员工因过失按错送达对象按钮，都可以有效保守秘密。

(5)对员工的个人情况，特别是对那些信息系统上的员工，要进行制度化的选拔与检查。要将经过一定时间考察、责任心强、讲原则、守纪律、业务能力强的人员派到各自岗位上。

2．企业之间风险的防范。针对企业之间进行电子商务交易时所面临的风险，我们从技术上来防范这些风险：

(1)利用防火墙技术保证电子商务系统的安全。防火墙的目的是提供安全保护、控制和鉴别出入站点的各种访问。它建立起网络通信的控制过滤机制从而有效保证交易的安全

(2)利用安全协议保证电子商务的安全。由于Intemet的开放性造成的在网络中传输的数据的公共性，为了保证网络传输过程中数据的安全，就必须要使用安全的通信协议以保证交易各方的安全。例如：可用S／MIME协议、S—HTTP协议、SSL协议等。

(3)利用身份认证技术保证电子商务系统的安全。由于电子商务是在网络中完成，交易各方不见面，为了保证每个参与者(银行、企业)都能无误地被识别，必须使用身份认证技术。

⑶ 电子商务结算与支付应怎样防范资金风险

支付宝相来关负责人介自绍说，支付宝进行的担保交易，不会直接把钱打到收款账户上，而是等付款账户确认收货后，才进行款项结算，增加了资金的安全性。而且快捷支付用户可以开通“支付宝支付密码+数字证书+手机动态口令”的三重保护服务，确保账户安全。 另据介绍，扫描不安全的二维码，手机会被植入病毒，不但会泄露个人信息，也容易造成手机“吃费”，一些商家还会以此发布非法广告和不良信息。再加上目前没有针对二维码的相关监管，导致其暗藏一定风险。 张旭建议说，对号称卖家或电商发来的二维码和链接不要轻易扫描和点击，以免误装木马或误入钓鱼网站。如遇到退款身份验证、卡单、掉单等说法要格外注意，这些都是不法分子的常用诈骗术语。

⑷ 如何防范电子商务交易面临安全和风险威胁

与传统购物相比，网络购物具有很多优势，但是，这种新兴的购物模式，同样也存在不容忽视的不足之处，主要包括：不可信网站、 木马、钓鱼欺诈网站，支付安全。 (一) 通过网络进行诈骗 网购不断发展，不法分子也为了牟取利益在网上进行网络诈骗。部分商家没有商品，但却在网络上声明销售商品，因为绝大多数的网络销售是先付款后发货等收到款项后便销声匿迹，消费者无法联系经销商，这些网站以此手段来骗取顾客的钱财。 (二) 木马、钓鱼欺诈网站 木马、钓鱼欺诈网站是网购面临的主要安全威胁。以不良网址导航站、不良下载站、钓鱼欺诈网站为代表的“流氓网站”群体正在形成一个庞大灰色利益链，互联网安全问题开始进入“流氓网站”时代。 (三) 支付安全 支付环节是消费者最担心的问题之一，网上支付也存在一定的安全风险，比如一些诈骗网站，盗取银行账号、密码、口令卡等，是网购在支付环节容易出现的问题。购买前的支付程序繁琐及购买后对货品不满意退款流程复杂、时间长，货款只退到网站账号不退到银行账号等也使网购出现安全风险，如果用户网站帐号密码被盗，则帐号内的资金有可能会被盗用。 三、网络购物安全防范措施 （一）应该加强立法工作，建立和完善相关法律、法规。 网上购物必须以网上安全支付和按时按量质交货为提前，商家和消费者的信誉度问题是网上购物平稳发展的关键，但是一个很难解决的问题。因此制定完整的、切实可行的法律法规，推动网上购物在法
undefined
制化的安全、有序环境中运行。 （二）消费者应增强自我保护意识。 消费者要认真分析网络经销商的平台的真实性，尽量选择正规的、知名的网站和网上商店。消费者购物时要仔细了解与商品或者服务有关的所有信息，如网络服务经营者和商家的信用度、商品的质量保障及售后服务情况；购买前要多跟商家沟通，详细了解商品情况和付款方式，采用安全的网上付款方式，并注意保存聊天记录，注意保存相关网页和付款凭证，索要发票，以便事后据此维护权益. （三）模式技术创新。 网络是电子商务的载体，科技的创新将有力地推动电子商务的发展。目前国内网络的建设大部分还是依靠国外的技术和设备，这对我国电子商务的长远发展不利。因而要大力发展网络技术，建设更加快速、稳定、安全的基础网络环境，为用户建立起一个安全的网络运行环境，保证网上数据的机密性、完整性、有效性，从而使用户可以在多种应用环境下方便安全的使用网络进行商业活动。 （四）引入安全系数较高的支付方式。 支付方式关系到货款的安全，直接关系买卖双方的信誉交易。消费者的网购支付方式包括第三方支付、银行汇款、货到付款。在这三种方式中，在线支付的方式是最便捷的，第三方支付是一种后付费的支付方式，能够降低支付风险，也是现在网上购物比较普遍采用的支付方法。而货到付款则是消费者最容易接受的一种付款方式，但是，商家要委托物流公司代收款，这样对商家来讲会造成现金的风险问题。

⑸ 网上支付如何防范风险

不法分子有可能来通过自非法的渠道获取客户的网上购物信息，以发送红包、返现金、退款等理由，引诱客户落入其事先设置好的圈套，从而骗取资金。为防范上述诈骗行为，向您提出以下建议：
1.请在支付前仔细核对订单信息无误后再确认支付；
2.不要随便点击陌生人发送的图片等文件及链接地址；
3.不要轻信陌生人发布的虚假、廉价商品信息；
4.不要开启操作系统及MSN、QQ等即时通讯工具的远程协助功能；
5.谨防您的卡号、密码等信息被窃取。当页面显示支付出错时，请立即查看账户余额是否变动，不要轻易重复提交。
6.安装个人防火墙、及时更新杀毒软件，保护用于办理网上银行业务的计算机等电子设备的安全，防止其发生信息泄露或被他人操控；不要在网吧等多人共用的计算机上使用网上银行。
7.选择信誉好、运营时间长的网站进行银行卡网上支付业务，防范不法网上商户盗取卡号或其他个人资料。
8.经常检查银行账户交易明细，发现不明支出款项，应立即联系银行。

⑹ 电子商务中的法律风险与防范

电子商务企业内生风险防范体系

所谓电子商务企业内生风险防范体系，是指电子商务企业内部建立的风险防范机构、机制、对策、方法、措施等的综合。

提高风险防范意识

对IT从业人员进行电子商务运作和安全管理的系统而全面的教育，并培养其相关的风险防范意识，给予其更多的培训及资格认证，从而使其对企业应用电子商务有一个全面和客观的认识。

加强内部管理机制

“三分技术、七分管理”的理念不能只停留在理论阶段，更重要的是企业应该将其转化为具体的操作。内部管理机制设计的基本原则是：要求发生在系统内的所有行为都是有定义的行为，并且符合程序控制的要求，所有行为的发生都有审计记录，管理的有效性，可以解决许多技术层次解决不了的风险问题。

实施风险防范等级管理

此点可借鉴我国实施的“信息安全等级保护政策”，对企业来讲，风险可以分为重要风险和一般风险，企业应该坚持安全成本与风险相平衡的原则，根据企业的实际需要，抓住重点，力求具体、明确、到位，讲究实效。

建立主动性安全基础构架

赛门铁克公司亚太地区副总裁Vince Steckler在2004年3月5日的亚太安全论坛上作了“在企业范围内建立主动性安全基础构架”的演讲，主要针对企业提供各种前瞻性措施，通过在企业范围内实施完善的安全措施，有效识别和管理漏洞，将安全策略与商业战略结合起来，筑起一道抵御不断升级的风险威胁的重要防线。

外生风险防范体系是指对电子商务企业风险起防范作用的相关法律法规、信用、物流和电子支付等社会体系的总和。

电子商务安全的法制建设

在参考国际《电子商务示范法》的前提下，根据我国的国情，制定一部用以规范电子商务活动的法律或法规，以解决电子商务发展所面临的法律法规问题。我国电子商务立法的运用范围，应包括电子合同的效力问题、电子支付及金融管理、税收与保险、网络管理与信息安全保护、电子证据与电子签名的法律认定、政府的强制性措施及审查机制、市场准入规则、知识产权保护、消费者合法权益的保护、司法的国际管辖和国际协助等等。

建立电子商务的信用体系环境

电子商务交易涉及厂家、商家、网站、银行、消费者等多方面利益的信用问题，难以孤立地解决，必须建立一个社会信用体系环境。全社会首先要建立一种自己守信用、人人守信用、也相信别人守信用的心态。其次要健全完善信用制度，通过设置合理的运行机制和运行标准，并通过监督机构，保证参与交易各方按期、按质、按量支付货款和交送货物。

加快物流配送体系的建设

一是要逐步开放市场，欢迎国内外的物流公司参与竞争，通过竞争，使我国的物流配送体系日趋完善。二是要重视物流人才培养，除了学校的人才培养外，还要加快物流师职业资格认证的步伐。三是要在物流管理技术化、信息化、柔性化和一体化等方面加强物流管理的创新。

完善电子商务的支付手段

电子商务交易需要信息流、物流和资金流的同时畅通，因此必须完善电子支付系统，提高银行电子支付水平，建立一个安全、严密、可靠的社会范围的电子货币支付系统，并成立电子商务认证机构，尽快成立统一网上结算中心，并逐步开展与国外客户的网上结算服务。

电子商务企业内外协同防范体系

电子商务企业协同防范体系是指需要电子商务企业和外部共同来完成的技术研究、人才培养、协调机制建设和联盟建立等方面的总和。

加强电子商务安全技术的研究

有关部门（可以是政府、科研单位、院校和企业联合）应组织一支精干的安全技术研究队伍，集中力量尽快解决电子商务的安全技术问题，包括加密技术、防火墙技术、数字签名技术、报文摘要技术、认证技术、留痕技术等，并能够随着计算机和电子商务技术的发展而不断改进这些技术。应该建立电子商务安全体系结构和具有权威性和公正性的CA认证机构。此外，还应着手建立相应的国家级的安全控制中心系统，这一系统应包括国际出入口（信息海关）监控、电子交易证书授权、密钥管理、安全产品评测认证、病毒检测和防治、系统攻击与反攻击等分中心。

大力培养电子商务人才，推广与普及电子商务知识

必须加强对电子商务人才的培养、大力推广与普及有关电子商务的知识，一方面要进一步加强各高校电子商务专业建设，另一方面要进一步推进电子商务师职业资格认证培训，实施持证上岗制度。

建立协调机制

这要求企业和各级信息安全保障中心和信息安全行业协会密切配合，互通风险预警信息，从而共同维护电子商务交易的安全性。同时要加强科研单位、院校对风险管理理论的研究和安全企业实践应用的协调，要把理论和实践真正的联系起来，达到理论与实践的真正结合。

风险战略联盟建设

战略联盟不单是在获取利益、实现市场机会方面发挥着重要作用，在分担风险、防范风险方面同样也起着重要作用。2004年2月25日在旧金山举行的RSA峰会发布的公告，美国数家从事电脑安全的公司倡仪组成一个联盟组织用以保护企业及基础网络设施，共同防范信息风险。该组织被称为信息安全行业联盟（CSIA—Cyber Security Instry Alliance），将与美国国家安全部、国际及美国的标准组织合作，共防信息风险，支持新兴的安全标准和规范。

电子商务企业内生防范体系的自控、外生防范体系的他律和协同防范体系的联防，三者缺一不可，并共同对电子商务企业风险起着防范制约作用。只有电子商务企业的风险防范措施得当，加上长久连续的风险防范，才能使电子商务健康快速地发展，并成为未来商务的主流形式，才能使电子商务企业实现相应的效益，提高自己的企业竞争力。

⑺ 电子商务交易风险及对策

电子商务安全风险管理研究
林黎明1 李新春2
（ 中国矿业大学 管理学院，江苏 徐州 221008 ）

摘要 该文基于目前电子商务安全所面临的各种风险问题，结合当前的一些风险管理方法，对电子商务系统安全风险管理进行一些基本的分析和研究，以期对企业电子商务安全风险管理提供一些有价值的借鉴和参考。
关键词 电子商务安全，风险管理，风险识别，风险控制

1 引言
随着开放的互联网络系统Internet的飞速发展，电子商务的应用和推广极大了改变了人们工作和生活方式，带来了无限的商机。然而，电子商务发展所依托的平台—互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展；此外，电子商务的发展还面临着严峻的内部风险，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此，在考察电子商务运行环境、提供电子商务安全解决方案的同时，有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析，并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
2 电子商务面临的安全风险
由于网络的复杂性和脆弱性，以因特网为主要平台的电子商务的发展面临着严峻的安全问题。一般来说，电子商务普遍存在着以下几个安全风险：
1）信息的截获和窃取
这是指电子商务相关用户或外来者未经授权通过各种技术手段截获和窃取他人的文电内容以获取商业机密。
2）信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中途的篡改、删除或插入，并发往目的地，从而达到破坏信息完整性的目的。
3）拒绝服务
拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。其主要原因来自黑客和病毒的攻击以及计算机硬件的认为破坏。
4）系统资源失窃问题
在网络系统环境中，系统资源失窃是常见的安全威胁。
5）信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密了商务信息后，可以假冒合法用户或假冒信息来欺骗其它用户。主要表现形式有假冒客户进行非法交易，伪造电子邮件等。
6）交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息；买家做了定单后不承认；卖家卖出的商品因价格差而不承认原先的交易等。
3 风险管理规则
针对电子商务面临的各种安全风险，电子商务企业不能被动、消极地应付，而应该主动采取措施维护电子商务系统的安全，并监视新的威胁和漏洞。因此，这就需要制定完整高效的电子商务安全风险管理规则。
一般来说，风险管理规则的制定过程有评估、开发和实施以及运行三个阶段。
（1）评估阶段
该阶段的主要任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估，以便确定相适应的风险管理规则，从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险，应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险，收集信息，对可能造成的损失进行评价以估计风险的级别，以便做出明智的决策，从而采取措施来规避安全风险。
（2）开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。
风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略，其中涉及配置管
理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后，即进行安全风险补救措施的测试，在测试过程中，将按照安全风险的控制效果来评估对策的有效性。
（3）运行阶段
运行阶段的主要任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程，也是执行安全配置管理的过程。
运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。

以上风险管理规则的三个阶段可以用下图来表示：

图1 风险管理规则的三个阶段

4 风险管理步骤
风险管理是识别风险、分析风险并制定风险管理计划的过程。电子商务安全风险的管理和控制方法，它包括风险识别、风险分析、风险控制以及风险监控等四个方面。
（1）风险识别
电子商务系统的安全要求是通过对风险的系统评估而确认的。为了有效管理电子商务安全风险，识别安全风险是风险管理的第一步。
风险识别是在收集有关各种威胁、漏洞和相关对策等信息的基础上，识别各种可能对电子商务系统造成潜在威胁的安全风险。
风险识别的手段五花八门，对于电子商务系统的安全来说，风险识别的目标是主要是对电子商务系统的网络环境风险、数据存在风险和网上支付风险进行识别。
需要注意的是，并非所有的电子商务安全风险都可以通过风险识别来进行管理，风险识别只能发现已知的风险或根据已知风险较容易获知的潜在风险。而对于大部分的未知风险，则依赖于风险分析和控制来加以解决或降低。
（2）风险分析
风险分析是运用分析、比较、评估等各种定性、定量的方法，确定电子商务安全各风险要素的重要性，对风险排序并评估其对电子商务系统各方面的可能后果，从而使电子商务系统项目实施人员可以将主要精力放在对付为数不多的重要安全风险上，使电子商务系统的整体风险得到有效的控制。风险分析是一种确定风险以及对可能造成的损失进行评估的方法，它是制定安全措施的依据。
风险分析的目标是：确定风险，对可能造成损坏的潜在风险进行定性化和定量化，以及最后在经济上寻求风险损失和对风险投入成本的平衡。
目前，风险分析主要采用的方法有：风险概率/影响评估矩阵，敏感性分析，模拟等。在进行电子商务安全风险分析时，由于各影响因素量化在现实上的困难，可根据实际需要，主要采用定性方法为主辅以少量定量方法相结合来进行风险分析，为制定风险管理制度和风险的控制提供理论上的依据。
（3）风险控制
风险控制就是选择和运用一定的风险控制手段，以保障风险降到一个可以接受的水平。风险控制是风险管理中最重要的一个环节，是决定风险管理成败的关键因素。电子商务安全风险控制的目标在于改变企业电子商务项目所承受的风险程度。
一般来说，风险控制方法有两类：
第一类是风险控制措施，比如降低、避免、转移风险和损失管理等。在电子商务安全风险管理中，比较常用的是转移风险和损失管理。
第二类为风险补偿的筹资措施，包括保险与自担风险。在电子商务安全风险管理中，管理人员需要对风险补偿的筹资措施进行决策，即选择保险还是自担风险。
此外，风险控制方法的选择应当充分考虑相对风险造成损失的成本，当然其它方面的影响也是不容忽视的，如企业商誉等。
对电子商务安全来说，其有效可行的风险控制方法是：建立完整高效的降低风险的安全性解决方案，掌握保障安全性所需的一些基础技术，并规划好发生特定安全事故时企业应该采取的解决方案。
5 风险管理对策
由于电子商务安全的重要性，所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞，从而降低电子商务系统环境所面临的风险。
目前的电子商务安全风险管理对策中，较为常用的是纵深防御战略，所谓纵深防御战略，就是深层安全和多层安全。通过部署多层安全保护，可以确保当其中一层遭到破坏时，其它层仍能提供保护电子商务系统资源所需的安全。比如，一个单位外部的防火墙遭到破坏，由于内部防火墙的作用，入侵者也无法获取单位的敏感数据或进行破坏。在较为理想的情况下，每一层均提供不同的对策以免在不同的层中使用相同的攻击方法。
下图为一个有效的纵深防御策略：

图2 有效的纵深防御策略

下面就各层的主要防御内容从外层到里层进行简要的说明：
1）物理安全
物理安全是整个电子商务系统安全的前提。制定电子商务物理安全策略的目的在于保护计算机系统、电子商务服务器等各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏造成的安全风险。
2）周边防御
对网络周边的保护能够起到抵御外界攻击的作用。电子商务系统应尽可能安装某种类型的安全设备来保护网络的每个访问节点。在技术上来说，防火墙是网络周边防御的最主要的手段，电子商务系统应当安装一道或多道防火墙，以确保最大限度地降低外界攻击的风险，并利用入侵检测功能来及时发现外界的非法访问和攻击。
3）网络防御
网络防御是对网络系统环境进行评估，采取一定措施来抵御黑客的攻击，以确保它们得到适当的保护。就目前来说，网络安全防御行为是一种被动式的反应行为，而且，防御技术的发展速度也没有攻击技术发展得那么快。为了提高网络安全防御能力，使网络安全防护系统在攻击与防护的对抗中占据主动地位，在网络安全防护系统中，除了使用被动型安全工具（防火墙、漏洞扫描等）外，也需要采用主动型安全防护措施（如：网络陷阱、入侵取证、入侵检测、自动恢复等）。
4）主机防御
主机防御是对系统中的每一台主机进行安全评估，然后根据评估结果制定相应的对策以限制服务器执行的任务。在主机及其环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。根据信息保障技术框架，对主机及其环境的安全保护首先是为了建立防止有恶意的内部人员攻击的首道防线，其次是为了防止外部人员穿越系统保护边界并进行攻击的最后防线。
5）应用程序防御
作为一个防御层，应用程序的加固是任何一种安全模型中都不可缺少的一部分。加强保护操作系统安全只能提供一定程度的保护。因此，电子商务系统的开发人员有责任将安全保护融入到应用程序中，以便对体系结构中应用程序可访问到的区域提供专门的保护。应用程序存在于系统的环境中。
6）数据防御
对许多电子商务企业来说，数据就是企业的资产，一旦落入竞争者手中或损坏将造成不可挽回的损失。因此，加强对电子商务交易及相关数据的防护，对电子商务系统的安全和电子商务项目的正常运行具有重要的现实意义
6 结论
一般来说，风险管理有基本的三个对策，包括管理者采取适当措施来降低风险事故发生的概率；管理者准备并实施一个意外事故应急计划以备不测；还有就是管理者什么都不做。对已选定的对策，应对其潜在的风险有充分的估计，并制定相应的应变计划，以使可能的风险损失降到最低。
风险管理没有铁定的规则，对于电子商务安全风险管理来说，首先是扫描和检测电子商务系统的内外部环境，检查系统的脆弱性和薄弱环节，及时打上补丁和追加设备，以便当风险产生时尽可能地减少损失；其次是对电子商务安全风险进行充分地分析，然后制定相应的规划和措施，并在其实施的每个阶段进行监控和跟踪；最后是根据环境的变化随时调整风险管理措施，制定完备的灾难恢复计划。

参考文献
[1]甘早斌．电子商务概论（第二版）．华中科技大学出版社．2003.9
[2]钟诚．电子商务安全．重庆大学出版社．2004.6
[3]才书训．电子商务安全风险管理与控制．东北大学出版社．2004.6
[4]易珊，张学哲．电子商务安全策略分析．科技情报开发与经济．2004.5
[5]高新亚，邹静．电子商务安全的风险分析和风险管理．武汉理工大学学报.信息与管理工程版．2005.8
[6]郭学勤，陈怡．电子商务安全对策．计算机与数字工程．2001.7
[7]李晶．电子商务安全防范措施．安徽科技．2003.4
[8]Greenstein M,FeinmanT M.Electronic Commerce:Security,Risk Management and Control[M].New York:McGraw-Hill Companies,Inc.,2000
[9]Charles Cresson Wood, Essential Controls for Internet Electronic Commerce[M].Network Security,1998

⑻ 网上支付可能遭遇那些风险

风险1 黑客盗取账号和密码。造成经济损失。
风险2 就是遇到纠纷有投诉地无门的感觉！毕竟网络是虚拟的，交易双方常常是不内面的
不过像现在的“淘宝网”“意趣网”这样有名的大网站还是可以信赖的
2005年，网上支付的市场的快速发展无疑是我国电子商务领域最大的“看点”之一。我国网上支付的金额全年会超过60亿元人民币，而网上支付用户占使用互联网用户数的比例从2004年前的17％增长到26％。网上支付第三方服务平台的市场规模2001是1.6亿元，2004年增长为23亿元，预测2007年中国第三方支付平台网上支付平台市场规模将达215亿元左右。

第三方支付平台的出现，体现了支付方式的变革。作为首都电子商务工程的核心成果——首信“易支付”具有网上支付，电话支付、手机支付、短信支付、WAP支付和自助终端，采用二次结算模式，可做到日清日结。今年2月，由阿里巴巴旗下的淘宝网花费3000万美元巨资开发，联合中国工商银行、建设银行等国内多家金融机构共同打造“支付宝”交易服务工具。4月7日，从事多元化电子支付应用及服务的提供商通融通公司推出Yeepay电子支付平台，进军国内电子商务支付。5月12日，云网正式推出企业级在线支付系统支付＠网。5月20日，网银在线携手VISA国际组织共同宣布，在中国电子商务在线支付市场推广‘VISA验证服务'信用卡安全支付标准，期望提高在线支付的便捷性和安全性。”7月11日，全球最大的在线支付商Paypal宣布落地中国，虽然舍弃了Paypal赖以成名的信用卡划账和多币种跨国交易，但这个起名“贝宝”的第三方支付平台仍然引起了同行的注视和商家的关注。10月，腾讯公司推出“财付通”，进军网上支付领域。而据有关人士粗略估计，目前我国提供网上第三方支付服务的机构已不下50家！

可以说，2005年已经成为网上支付年，而相应的网上支付的法律问题也得到了人们更多的关注，焦点主要集中在支付安全的法律保障、风险责任的承担、网上支付服务的规范、电子货币的合法性、第三方支付平台的合法性等多个方面，而人民银行的《电子支付指引（第一号）》的出台无疑又使人们的关注点又一次聚焦。那么，该《电子支付指引（第一号）》将怎样影响我国电子支付的发展，如何认识网上支付第三方服务平台的出现和发展，第三方支付服务平台应该如何得到规范，电子支付法律环境的建设从该指引开始又将怎样陆续得到完善？都将是本文试图探讨的内容。

一、对网上支付第三方服务的认定

在网络支付中，支付双方与支付服务提供商达成合意，是一种典型的民商事法律关系，属于民事法律调整的范畴。但是由于涉及到用户资金的大量往来和一定时期的代管等类似于金融业务，就必然引起行政监管的介入，以避免出现没有监管私自使用资金的风险，维护社会公共利益。

对于银行提供网络支付系统服务中的法律问题，由于各国一般都有相应的银行法律，对银行的法律地位、银行与用户相互之间的权利义务等相关问题都有明确的规定，加上银行在开展网上支付业务时一般都会通过用户协议约定相互之间的权利义务，这方面的问题倒并不复杂，主要涉及到系统故障、电子讯息错误、未授权的支付命令等情况。这些问题目前一般在银行的用户协议中都有些相应条款加以调整，暂且不论这些银行的格式条款是否妥当，用传统法律中的原理或规定加上对信息技术的理解基本上都能得到解决。

较为复杂的是电子商务交易平台和第三方支付平台在网络支付中的法律地位等问题，是目前政府、企业和用户皆较为困惑的。这些提供网络支付服务的电子商务交易平台和第三方支付平台在提供支付服务的背后，聚集了大量的用户现金或者发行了大量的电子货币，客观上已经具备了某些银行的特征，甚至被当作不受管制的银行。

Paypal是一家没有任何金融背景的IT技术公司，但是在短短的数年时间内它已经一跃成为全球网络支付领域的先锋，并于2002年7月8日成为全球最大的C2C交易平台E-bay的在线支付服务商。截止2005年3月，Paypal在全球拥有超过6000万的注册用户，业绩遍及全球45个国家和地区，日交易量超过100万笔，年支付总额超过180亿美元。即便如此成功地运作，Paypal的法律地位仍然是让美国或者其他相关国家较为头疼的一件事情，其法律定位也较为曲折。自2002年6月份纽约银行部门得出Paypal的服务未构成非法银行业务并给Paypal颁发货币转账业务执照以来，Paypal已经获得了美国超过32个州的货币转账业务执照。这些执照对于Paypal业务的规范和正名、用户信心的增强等大有帮助。而在全球的其他地区，Paypal的业务扩张则面临着更多的不确定性，除了与当地金融机构保持良好的合作之外，还需要适应多种不同的法律与政策环境。

Paypal在其早期的用户协议中规定Paypal可以将用户的资金一起存放在被联邦储蓄保险公司所保险的银行里开设的帐户(FDIA-insured banks)，用户同意因该账户产生的任何收益归于Paypal所有，用户将不会收到因其通过Paypal转移的那笔资金而产生的任何利益或者其他收益。而在后来美国网站的用户协议中Paypal声称自己是用户的代理人，是帮助用户从第三方接受支付以及向第三方发出支付的代理机构；Paypal还严格区分用户的资金和Paypal的自有资金，表示不会将用户的资金用于公司运行或其他目的，也不会在破产的情况下或者由于其他的目的将资金归于债权人；同时，Paypal还在用户协议中明确Paypal不是银行，其向用户提供的服务是支付处理服务而不是银行业务，Paypal不是用户资金的受托人、受信托人或者是待一定条件成熟后再转交给受让人的第三方，而是作为用户的代理人和资金的管理者。从其最近的用户协议可以看出Paypal将自己和用户之间的关系定位为提供网络支付的合同关系，是用户的代理，是用户资金的管理者，而非任何现行法律规定的银行或者非银行金融机构。同时Paypal为了提供网络支付服务，必须依靠信用卡组织或者银行体系来构建自己的服务框架，因此Paypal与银行或者信用卡组织之间也有服务协议来明确双方的权利义务。

淘宝网的支付宝是为淘宝的交易者以及其他网络交易的双方乃至线下交易者提供“代收代付的中介服务”和“第三方担保”的。支付宝的运作流程基本上类似于Paypal，只是由于受国内目前信用卡发展的影响，信用卡的使用程度远不及Paypal。

支付宝用户协议中明确，它是由浙江支付宝网络科技有限公司向用户提供“支付宝”软件服务系统以及附随为用户提供代收代付货款的中介服务，并在用户协议中多次避免将自己称为银行或者金融机构。而在其获取的商业许可经营范围里表明其从事的是担保（根据公开查询到的相关政府部门的审批文件上看是“由国家政策允许的担保业务，涉及许可证的凭证经营”）和中介业务。但是目前根据我国相关的法律规定，对于支付中介具体应该属于哪一类业务并不明确，是否需要经过银监会的批准才能从事也存在诸多疑惑点。用户资金进入支付宝的帐户后其所有权问题，所产生的孳息等问题会给支付宝的法律地位以及其业务的合法性带来一些困扰，目前我国相关部门对此的态度也不甚明确。

从各国银行法来看，能否经营存贷款和货币结算业务通常是确定一个企业是否成为银行的一个重要标准，我国《商业银行法》第2条也规定：“本法所称的商业银行是依照本法和《中华人民共和国公司法》设立的吸收公众存款、发放贷款、办理结算等业务的企业法人。”那么电子金融服务公司是否构成“银行”呢？从电子金融服务公司的业务实质来看，其所从事的业务与银行的存贷款业务又有本质上的不同，银行的存贷款业务是银行的一项独立业务，金融服务公司虽也吸收一定的存款（如客户兑换透支的情形下），但这并不就是其独立业务，而是附属于信用卡结算或电子货币结算业务，而且在很多情形下电子金融服务公司的这些业务都是以银行为中心开展的，或者其本身就是发卡银行的代理人，如信用卡公司代理银行发行信用卡，因此电子金融服务公司并不构成“银行”。像美国等一些国家已允许这类电子金融服务公司作为金融组织存在，目前我国的这类电子金融公司在法律上还没有相应的法律地位，原则上讲，除银行外，其它组织是不得经营此类业务的。为了促进电子支付的发展，绝对否定非银行企业进入电子支付业务市场是值得商榷的，法律不应完全禁止非银行企业进入电子支付业务市场，而是应规定一定的市场准入条件，让符合条件的企业进入市场。我国未来的电子支付法律法规应对这些企业市场的准入条件做出明确的规定。

总之，随着电子支付的发展，一些非银行企业从事电子支付业务已成为电子支付发展的不可逆转的趋势。这主要是由于电子支付业务具有很强的国际性和技术性，银行凭借自身力量已有些力不从心。专门从事网络支付的公司的出现符合电子商务的发展需要，也是网上支付业务创新的具体表现形式之一，应在规范的同时鼓励其发展。

二、网上支付的基本模式

如果看一下网上支付参与主体，不管B2B还是B2C的交易模式，网上支付业务的参与主体除了交易双方之外，通常还应该有电子商务平台、第三方支付中介机构，另外还有商业银行。从电子商务平台来看，一类只提供网上交易信息，给买家和卖家提供一个场所；另一类电子商务平台同时也是卖家，直接向买家提供商品服务和配送服务；从第三方非银行支付中介看，其主要功能是连接买卖双方、电子商务平台和银行，起到一个桥梁作用，最终实现网上交易的资金划拨。这样的组织又可以分为两大类：一类是电子商务平台本身充当支付平台，这个支付平台的建立只是为了该电子商务平台自身使用，支付平台直接和银行网关相连，另外一类是专门从事网上支付业务的机构，不直接隶属于任何一家电子商务公司，可以为不同电子商务平台提供网上支付。在这种模式下，这类支付中介服务组织大多数为交易双方开立帐户，商业银行也是通过他们建立支付网关，网上支付指令通过银行网关最终进入他的后台处理系统，进行最终的资金处理。

从今后比较长的一段时间来看，整个网上支付过程中非银行支付中介所从事的这些支付业务最终还是要经过银行网关，通过银行完成的，当然也有两种比较特殊的情况：一种是银联的方式，类似于把银行卡收单业务放到网上做；还有一种比较特殊的情况是当第三方支付平台为交易双方开户以后，他可以直接通过帐户之间完成交易，这种交易实际上也不是通过银行完成，这两种方式不用通过银行支付网关完成。

从网上支付模式来看，大概划分为四种模式：一种是银行网关的模式，电子商务平台链接到银行网银系统，这种模式下面买卖双方只涉及到电子商务企业和银行，网上交易实际上直接进入银行的网银系统处理的，电子商务平台只跟银行签约；第二种模式是第三方支付平台模式，电子商务平台先链接到第三方支付平台，支付平台再和银行链接；第三种模式是银联的模式；第四种模式是支付平台内部的交易模式，这种交易模式实际上是封闭的，为买卖双方提供了帐户服务，通过内部的帐户就可以完成这种交易。

三、第三方支付服务模式的主要风险

以上模式的风险应该是不同的，第一种银行网关的模式更多的是为了对商业银行的电子银行业务的监管或者电子支付的监管进行管理，第三种银联的模式纳入银行卡收单这个范畴更合理些。那么我们对网上支付进行业务规范时候，主要考虑的是第三方平台模式和平台内部交易这两种模式。因为这两种模式对现在一些制度安排的突破是比较大的，这两种模式有很多共同点，内部交易模式和第三方平台模式实际上是你中有我，我中有你的关系，为建立这种帐户服务，可能建立在提供第三方支付服务的基础上。

这两类模式的风险主要有几个方面：第一，从事资金吸存，并且有很大资金沉淀，当资金沉淀、资金吸存这种行为出现以后，自然存在着资金安全隐患方面的问题或者支付风险问题。在这两种模式下，网上支付机构一般都有一种资金吸存行为，买家把钱付给企业，或者电子商务平台也好，第三方平台也好，然后再经过一段时间，卖家确认以后，平台把钱再付给卖家，在滞留的过程中，钱沉淀在支付机构里。

另外还有一种情况，开立帐户后，随着交易额的增加，现在一些提供支付服务的企业都和客户签约，约定比如每周清算两次，或者每周一次，或者每月清算一次。随着这种业务量的逐渐增加，资金沉淀量将是非常大的。这种安排是为了增强网上交易信心，维护公正性，确实是很有效的做法，但问题是你保证了交易双方他们之间的信心，提供了信誉增强的服务，但自身的信用和安全性又由谁来保证呢？当交易规模发展到一定程度，特别是第三方支付服务不是对一家企业，而是对着很多家企业，一旦出了问题以后，其影响面肯定很大。

第二，很多电子支付服务商涉及到电子货币的发行，对电子货币的发行目前还没有一个明确的法律规范。发行电子货币对持有人来说是一种负债，那么债务的赎回将来应该是什么样的，赎回的风险应该由谁承担等，都是问题。对帐户进行冲值时买卖双方可能会把一些钱先存进去，虽然没有一个明确的规定，对支付服务提供服务商来说，相当于发行一种电子货币，将来表现形式上可能会有所不同，但基本上都属于电子货币发行行为。从国际上电子支付发展来看，基于网络发行的电子货币将来肯定是网上支付一个很重要的工具，但是目前在国内，对电子货币的性质、发行主体、使用范围等等这些方面确实在规定上还是空白。

第三，这类支付服务涉及到支付结算帐户和提供支付结算服务，突破了现有的一些特许经营的限制，按照商业银行法等一些法律法规，整个支付结算业务和支付清算业务实际上还是属于银行专有的一种业务。开立帐户后，在帐户里沉淀的资金怎么定性，到底是不是视做存款，现在很多企业为了避开吸收公共存款这样一个说法，提出其只是提供代理服务。而这种代理服务在商业银行法里做为代理收付款业务，也是银行的业务。这类业务目前实际上还是属于特许业务，非银行机构从事这方面的业务面临着法律上的突破。电子商务发展速度很快，很难预料一两年后会发展到什么规模，电子支付会达到什么规模，而达到一定规模后，肯定会对整个支付结算体系产生一定影响。在美国发展得比较好的PAYPAL，在发展到目前这个阶段，也引起了监管方面的考虑，到了一定规模以后，政府是不得不面对的。

第四，网上电子支付可能会成为资金非法转移和套现的工具，由此也会带来一定的金融风险。现在的网上支付单笔交易金额或者总体交易金额还不是很大，非法资金转移、套现的现象还不是特别明显，但是也已经有所表现。比如有的网上交易实际上并不是进行真正的消费，而是制造一笔虚假交易，通过银行卡支付后，钱进入了支付平台的帐户，通过帐户转移到银行，从银行取现，实际上是为了套取现金。对银行卡来讲，信用卡限定一个额度，在这个额度内使用，可以预见现金量，提供这种支付工具是为了促进或者为了满足支付需要或者消费需要，并不是为了让人大量使用现金。对信用卡的取现有一套控制制度，或者通过交易成本限制它的使用，而网上交易则避开了这些。现在很多网站买卖都还是不收费的，成本几乎就是零，通过这样一种途径，套现更为方便。

四、电子支付指引（第一号）与第三方支付服务

电子支付指引根据现在网上支付发展的一些新情况，从银行角度规范电子支付活动。在整个网上支付中，银行还是起到关键性的作用，虽然第三方支付服务组织发展的确很快，但真正起到核心作用的还是商业银行。在这个指引出台前，商业银行在电子支付整个业务流程、技术风险防范、业务规则、信息披露、消费者权益保护等方面都还没有一个很好的规范。电子支付整体都处于发展阶段，对有关问题还没有研究得很透，我们到底是以促成它的发展为主，还是以规范为主？在指引中体现了发展中逐步形成规范，或者以规范促进发展的思路。根据这种考虑，结合电子支付业务的特点，采取了指引的方式，并不是强制性的。

根据国际上通行的做法，把整个支付系统分成两大类：一类大额支付，一类小额零售体系，网上支付属于小额零售体系范畴。小额零售和大额支付比较起来具有更多的参与主体，涉及到银行、客户、商家、系统开发商、网络运营商、第三方认证服务等机构。每个主体间可能都有一个合同，最终形成很庞大的合同群，而其中最根本的或者基础和前提应该是银行和客户间的关系，应该是首要需要明确和解决的。

在银行和客户之间往往出现了中介组织，像专门从事网上支付服务的企业，包括有些代收代付机构，实际上都是转发人的角色。这个转发人可能是非银行机构，也可能是银行。比如现在很多城市都开通柜面通业务，在工行可以拿建行折子到工行存款，或者拿农行折子在工行取款，柜面通的形成下，非开户行承担转发人的角色。在支付清算组织管理办法征求意见稿中对支付清算业务有一个界定，是从事支付指令的交换和计算的这样一些组织。这样的组织不允许吸收存款，也不允许办理资金的最终结算。而从现在电子支付的许多机构来看，这两块都涉及到了，如果涉及到这两块到底怎么定性，是作为金融机构来定性，还是作为支付清算组织定性，又陷入一个矛盾里面。这个问题在国外目前来看也没有一个统一的解决方案。

五、下一步的网上支付立法

现在的电子支付指引实际上主要规范银行的，第一号指引基本上是限定在商业银行从事的网上支付范畴，以后可能会出现专门针对非银行机构从事网上支付业务的指引。规范非银行网上支付机构主要有几个方面：一个是交易资金的安全，将来可能要有一些比较明确的说法。如交易资金可能不能擅自挪用，要到银行进行专门托管；在商业银行开专用帐户进行托管，要有一定措施保证客户在回赎电子货币或者把他帐户里的虚拟资金转化为法定资金。还有，是不是需要交纳一定比例的保证金，以维护这部分资金的交易安全。第二个方面就是保护客户利益的问题，网上支付较之于传统支付方式其技术性更强，而作为服务的提供者，在各方面的优势肯定比客户大得多，可能会出现服务商利用技术优势损害客户利益的情况，一些从事网上支付服务的公司会在协议里把更多责任或者不公平条款强加给客户，所以也需要有一个统一的规范。第三个方面是要关注打击洗钱犯罪和网络犯罪的问题，比如网上赌博的资金也会通过网上支付，需要加强监管。

从事网上支付可能涉及基于网络或一些软件会发行电子货币，随着电子商务的发展，规模和范围到一定程度后，会对现有货币体系产生冲击。现在发行的人民币有国家信用在后面保证，而第三方服务机构发行的电子货币将来赎回的问题要不要管，怎么控制，怎么保证，等都是问题，否则社会公众可能会对这种货币体系产生怀疑。

还有就是电子票据的问题，对电子票据的问题，最好能在修改票据法的时候通过法律层次解决它的法律地位。现在看，修改票据法的过程可能比较长。但是现在实际应用已经开始出现，比如今年招商银行已经开始签发了国内电子票据。对这种电子票据的发展，也值得我们积极关注和研究。电子票据会对网上支付的发展有很大促进作用，网上支付可能会又上一个台阶。而电子票据的签发兑付、托管、统一认证等方面和现有的票据管理或者票据法所规范的又有很大的不同。

⑼ 电子支付面临的风险有哪些该采取什么样的防范措施加以防范

1用户端信息失窃、

2服务端系统漏洞

3用户遭遇钓鱼网站

4交易欺诈

5客户端被劫持

防范措施如下：

首先，要加强网络安全监管机构、支付企业、安全厂商等产业链环节的合作力度，加强风险防控的同时加大对网络支付犯罪活动的打击力度；

其次，支付企业应加强自身风险防控能力，避免出现重市场轻风险的情况，切实保证资金安全和交易合规；

第三，对于用户而言，要提高风险意识，重视个人信息保密，养成良好的网络安全习惯。