浅论网上支付安全.doc

浅谈网络购物支付的安全摘要：网上银行的出现，改变了人们对传统“水泥银行”的印象，网络购物更是融入了人们的生活，使传统的购物方式发生了巨大的改变。网络购物离不开网上支付，本文从支付系统的安全性、安全认证机构不规范等技术层面分析了网上支付的风险问题，提出了应对策略。关键词：网络购物 ；网络支付；风险；对策。一 总论所谓网络购物，又称网上购物，就是消费者通过互联网检索商品信息，并通过电子订购单发出购物请求，然后在网络上填上私人支票帐号或信用卡号码用以支付商品款项，随后商家通过邮购的方式发货，或是通过快递公司把商品送到消费者手上的一种商品买卖方式。现阶段，消费者一般会采取网上商店、网上商城以及网上拍卖的模式进行网络购物。网络购物大多选用网上支付，因此个人网上银行普遍使用也在快速发展，在用户体验网上银行带来的交易成本降低和便捷服务的同时也隐含着潜在的支付风险。因此，网上支付安全问题变得越来越重要。二网上支付概述网上支付模拟图（一）网上支付的概念和特征电子商务是以互联网为平台，通过商业信息业务流程、物流系统和支付结算体系的整合构成的新的商业运作模式，是一套完整的网络商务经营及管理信息系统。其核心问题是如何确保网络交易中的电子支付的有效性和安全性。网上支付，是指以计算机及网络为手段，将负载有特定信息的电子数据取代传统的支付工具用于资金流转，并具有实时支付效力的支付方式。网上支付作为新的网络交易支付方式，它的应用和发展给传统支付模式带来了很大的冲击和挑战。当我们分析这种支付模式的特征时，不难发现由事物本质属性影射出其潜藏的不安全因素。网上支付是采用先进的技术通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的，于是人们就开始质疑信息数字化后数据传输过程中信息丢失、重复、错序、篡改等安全性问题；网上支付的工作环境是基于一个开放的系统平台之中，交易双方的身份置于虚拟世界中，这无疑增加了电子支付的风险；网上支付使用的是最先进的通信手段，对软硬件设施的要求很高，技术软件不成熟就为黑客等不法分子提供了可乘之机，所以，研制出一套无懈可击的互联网支付系统成为制约电子商务发展的瓶颈。（二 ）网上支付的现状网上支付已经成为重要的支付手段之一。以网上银行为例，几年来网上支付取得了飞速的发展。 2005 年工商银行网上的数据，企业交易额是 206870 亿元，网上笔数是 3486 万笔，个人网上支付交易额已经突破了 2351 亿元，个人交易笔数比企业还多，半年是 3683 万笔。比较而言，网上银行发展速度非常快。 网上支付是安全的，也可以说是不安全的。现有的理论和实践都证明现有技术手段完全可以保证网上支付的信息安全。基于数字证书的安全在理论上是非常安全的，实践上，在工行 2250 万亿元的交易中，银行没有发生一例问题，国际上也同样，到目前为止，没有因为安全机制出问题而发生安全的问题。当然，网上支付还存在着大量安全问题，各类事件时有发生，比如说钓鱼、木马程序盗取密码的问题。 网上支付认证手段分析表明，身份确认是信息安全的薄弱环节，银行的数据表明支付否认是发生交易争议的主要原因。通常认证手段有几种：一是用户名和密码，用户名和密码是不安全的，特别是在网上非常容易出安全故障的。二是动态密码，一种有源动态密码，本身在客户手里随机动态产生获得身份认证码或者叫交易授权，有一种无源动态码，动态密码只是一种认证的辅助手段，没有丝毫身份信息，同时动态密码、有源动态密码价格比较昂贵，一般个人用得很少。无源动态密码现在越来越多地开始用起来，在电子商务网站或者游戏网站都用。无源动态密码最早是在欧洲开始用的，欧洲银行用得比较多，无源动态密码TAN叫个人身份码或者交易授权码，这种机构对钓鱼攻击是没有防范能力的。三是多因子的认证。四是证书认证。三、网上支付的风险控制风控示意图以支付宝为例分析网上支付的风控（一）、可靠的系统的高安全性。 支付宝支付平台使用著名的mycoffee防火墙，确保支付宝网关免于病毒和黑客攻击，避免由于网络产生的新漏洞受到威胁，为商户交易的机密数据提供了保护措施，保证平台安全稳定。 主动防御系统会依据严格的安全策略，抵御未知攻击和漏洞，对合法开放的端口的攻击事件过滤和阻止，对内部网络存在的可疑访问进行评估。对网络全部的流量进行分析和过滤中，并且记录所有可疑访问和各种攻击事件。 核心平台采用业界最先进的系统架构，保证所有网络层和应用层服务均做到LoadBalance。保障商户和持卡人724小时安全。（二）、采用SSL128位数字传输加密标准。 支付宝支付平台使用全球著名认证中心VeriSign提供的SSL证书(128位).客户端的浏览器发送CGI请求时使用https协议，所有客户端发送的https请求以及Web Server返回的结果都会自动使用SSL加密。 客户通过网络向服务商传送的资料会自动加密, 等到另外一端收到资料后, 再将编码后的资料还原。 即使盗窃者在网络上取得编码后的资料, 如果没有原先编制的密码算法, 也不能获得可读的有用资料。所以支付宝能最大程度的保证支付信息的机密、支付过程的完整、商户及顾客的合法身份、可操作性等相关信息。 （三）、订单支付接口的md5认证。 为了保证商户传送到支付宝的订单不被恶意的篡改，支付宝为商户订单支付接口提供了基于Md5的摘要认证。商户可用订单编号+订单金额+订单日期+登陆商户后台的管理员密码作为明文进行md5摘要，将生成的摘要连同订单支付信息一起发送到支付宝，支付宝通过Md5摘要认证来判别该订单信息是否被篡改,从而保障了商户的利益 。 （四）、交易返回的数字签名认证。 数字签名认证的目的是用来保证信息传输过程中信息的完整性和真实性以及提供信息发送者身份的确认证。数字签名使得接收者能够核实发送者对报文的签名,发送者事后不能否认对报文的签名,且接收者不能伪造对报文的签名。 如果商户对支付宝系统返回数据的真实性有较高的要求，可以结合我们颁发给商户的公钥及组件，来验证签名，以防止别人模拟支付宝返回订单，保证系统的安全运行,从而最大限度的保障了商户以及顾客的利益。四对策： 在技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层面可以采取以下对策： 1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据，这是一种简单有效的方法。 2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 3) 应用密码技术。应用密码技术是信息安全核心技术，密码手段为信息安全提供了可靠保证。 4) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理，不使用来历不明的U盘和程序，不随意下载网络可疑信息。 5) 提高网络反病毒技术能力。通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁扫描和监测，在工作站上采用防病毒卡，加强网络目录和文件访问权限的设置。在网络中，限制只能由服务器才允许执行的文件。五总结电子商务网上支付在近年来获得了巨大的发展，成为一种全新的商务模式。它有很大的发展前途，然而网上支付发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得网上支付业务很难安全顺利地开展；此外，电子商务企业内部对安全问题的盲目和安全意识的淡薄，高层领导对电子商务的运作和安全管理重视程度不足，使得企业实施网上支付不可避免地会遇到这样或那样的风险。因此，安全问题己成为网上支付的核心问题，需要采取各种措施应对网上支付的安全问题，对风险要不断的预测和控制。总结：计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。此外