由于方便��、快捷開展得如火如荼���,但是作為電子商務(wù)重要支付形式的電子支付卻面臨著各種安全問題��,而且�,這種問題日益凸現(xiàn)����,所以作為用戶需要.
2003年1月中國互聯(lián)網(wǎng)信息中心(CNNIC)發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r分析報告》顯示:2002年網(wǎng)上購物人數(shù)比2001年增長將近一倍,已經(jīng)接近2000萬�。隨著網(wǎng)上交易的發(fā)展,電子支付開始逐漸被人們認可���,但是“云網(wǎng)事件”的發(fā)生卻不得不使我們關(guān)注電子支付的安全性����。據(jù)AC尼爾森公司在2003年3月~4月做的一個調(diào)查表明,目前安全性是網(wǎng)上購物者用信用卡支付的主要顧慮�����。安全問題已成為電子支付發(fā)展面臨的重要挑戰(zhàn)���。
真假“云網(wǎng)”
云網(wǎng)(www.cncard.com)是一家網(wǎng)上交易公司�,顧客可以通過在線支付的形式購買上網(wǎng)卡�����、IP卡之類的商品����,在業(yè)內(nèi)已有了一定的知名度������?墒亲罱�(jīng)常有供貨商向他們質(zhì)詢:“我們根本沒有那種上網(wǎng)卡�����,你們怎么打著我們公司的名義賣����。”云網(wǎng)公司對此一頭霧水��,因為他們賣的商品都是由廠家供應(yīng)的�。后來,經(jīng)過調(diào)查���,他們發(fā)現(xiàn)����,原來最近一些上出現(xiàn)了很多推薦另一個“云網(wǎng)”(www.kncard.com.cn)的帖子���。這個“云網(wǎng)”的界面與真云網(wǎng)非常相似��,而且也從事與真云網(wǎng)類似的網(wǎng)上交易�,但實際上����,它所出售的商品都是不存在的。
在這個“云網(wǎng)”網(wǎng)站�����,雖然會出現(xiàn)假的銀行支付界面(沒有經(jīng)銀行授權(quán)),要求用戶輸入銀行卡號和密碼���,但即使輸入正確銀行卡號和密碼后����,系統(tǒng)卻總提示交易失敗��,而用戶的銀行卡號和密碼卻可能已被泄露給這個網(wǎng)站����,并有可能被這個網(wǎng)站利用來從用戶的銀行賬戶上提取現(xiàn)金或消費。
對此��,云網(wǎng)公司很是氣憤���,“該網(wǎng)站根本不是為了進行電子交易�,它的主要目的是為了騙取用戶的卡號和密碼���,并用用戶的卡號和密碼進行消費���,這種行為屬于詐騙,使我們的商譽受到了嚴重影響��!痹凭W(wǎng)公司的員工說�����。
當(dāng)記者試圖聯(lián)系另一個“云網(wǎng)”���,卻發(fā)現(xiàn)���,這個網(wǎng)站的很多信息都是假的。雖然假云網(wǎng)頁面上有工商局的紅盾標志�,但記者通過北京市工商管理局的網(wǎng)站查詢,發(fā)現(xiàn)該網(wǎng)址沒有備案��。假云網(wǎng)頁面上還有ICP登記號�,記者又到北京市通信管理局的網(wǎng)站進行查詢,發(fā)現(xiàn)確實有這個登記號�����,但那是一家叫“歌曲大本營”的網(wǎng)站�����,網(wǎng)址和業(yè)務(wù)都不一樣。
是否主機托管機構(gòu)會對網(wǎng)站的內(nèi)容負責(zé)呢���?就此���,記者詢問了一家做主機托管的公司,他們說:一般只要被托管的公司提供公司法人的身份證復(fù)印件����,就可以提供主機空間和域名,對客戶利用網(wǎng)站從事的何種業(yè)務(wù)并沒有限制�����,其網(wǎng)站的內(nèi)容和業(yè)務(wù)應(yīng)該由公安機關(guān)管理���。涉及這個事件的銀行已經(jīng)報案�����,公安機構(gòu)也已經(jīng)受理���,并展開調(diào)查。
對于“云網(wǎng)事件”��,中國人民大學(xué)法學(xué)院郭禾教授認為:它涉及到某些法律規(guī)定,首先��,模仿注冊商標和界面���,這種行為侵犯了知識產(chǎn)權(quán);其次,云網(wǎng)是從事電子商務(wù)的網(wǎng)站,假云網(wǎng)利用其名稱從事相同的業(yè)務(wù)�,屬于不正當(dāng)競爭;最后��,利用網(wǎng)站騙取用戶的賬號信息屬于竊取他人隱私�����,另外�����,如果那個網(wǎng)站的人員利用騙取的用戶卡號和密碼進行轉(zhuǎn)賬和消費的話�,其行為將構(gòu)成侵犯個人的財產(chǎn)權(quán)����,應(yīng)該負刑事責(zé)任。
電子支付存在風(fēng)險
雖然人們在電子支付的技術(shù)實現(xiàn)上采取了很多安全措施�����,但是由于電子交易包括很多環(huán)節(jié),還是存在著一定的安全風(fēng)險��。
對外經(jīng)濟貿(mào)易大學(xué)信息學(xué)院院長兼電子商務(wù)研究所所長陳進教授介紹說:現(xiàn)在銀行數(shù)據(jù)系統(tǒng)的安全措施很嚴��,要想攻破它是不太可能的���,而且電子交易在傳輸用戶賬號信息時都要求強加密的�����,即使截獲也很難破譯�。但電子支付還是面臨著一些威脅�����!氨热缬行┥碳覟榱朔奖������,會存儲用戶的數(shù)據(jù)進行存儲����,如果商家數(shù)據(jù)庫被攻破���,將導(dǎo)致用戶賬號信息泄露。現(xiàn)在已經(jīng)出現(xiàn)了這樣的案例�����,今年10月���,北京市首例操縱期貨價格案在西城法院開庭,一家期貨經(jīng)紀有限公司的客戶代表在互聯(lián)網(wǎng)上發(fā)布了自己編制的程序“期貨精靈”���,誘使他人下載安裝�,以此方法截獲十多個上網(wǎng)交易客戶的資金賬號和密碼�,導(dǎo)致客戶損失。
如何避免危險
從用戶角度����,安全意識的增強很重要。當(dāng)你在網(wǎng)絡(luò)上進行電子交易時�,一定注意以下幾點:一,確保網(wǎng)站網(wǎng)址的正確����,網(wǎng)站的知名度較高�。中國的電子交易網(wǎng)站一般都是鏈接到銀行進行交易�,不要在不明來歷的商戶網(wǎng)站直接輸入賬號信息。二���,查看網(wǎng)站是否有ICP號�����,ICP號是否正確��,國家規(guī)定經(jīng)營性網(wǎng)站必須在當(dāng)?shù)氐耐ㄐ殴芾砭值怯��,北京網(wǎng)站的登記信息可在北京市通信管理局網(wǎng)站(http://www.bca.gov.cn/)上查到�����。三����,查看網(wǎng)站是否有工商局的標志,標志是否登記�����。對于北京的經(jīng)營性網(wǎng)站����,必須到工商局辦理網(wǎng)站備案登記�,該標志是一個紅色的盾牌����,點擊網(wǎng)站界面上的紅盾,會自動鏈接到北京市工商局的網(wǎng)站登記網(wǎng)站(http://www.hd315.gov.cn/)上�,顯示出該網(wǎng)站的登記信息,可以查看該信息與網(wǎng)站實際情況是否一致�。四,正規(guī)電子交易網(wǎng)站在傳輸用戶賬號信息時都要加密����,此時地址是以“https”而不是通常的“http”開頭的����。加密傳輸時,瀏覽器下面會出現(xiàn)一個小鎖���,點擊小鎖會顯示證書��,只能相信權(quán)威機構(gòu)頒發(fā)的證書�����。不要相信不明來歷的證書����,目前我國電子交易常用的證書包括由中國金融認證中心(CFCA)頒發(fā)的證書和各個銀行自己頒發(fā)的證書。
從技術(shù)角度��,我們還應(yīng)增強加密的強度�����,提高盜用賬號的難度��,例如Visa信用卡最近為了增進其信用卡在電子交易中的安全性�����,推出了”Verify by Visa“的服務(wù)���,增加了一個密碼�,交易時用戶除了輸入卡號外����,還要輸入密碼。
從社會角度,良好的信用機制可以減少電子支付的風(fēng)險����!捌鋵嵵袊碾娮又Ц断到y(tǒng)比外國要安全,中國的支付必須都連到銀行的系統(tǒng)進行�����,而在外國�,支付可以在商家的網(wǎng)站進行,而且他們的信用卡只有一個卡號�����,沒有密碼��,但他們能保證一定程度的安全是因為他們的信用機制較為完善���������!� 陳進說�����!皩τ谙窦僭凭W(wǎng)這樣的詐騙例子��,銀行和網(wǎng)站應(yīng)及時向社會公布���,避免用戶遭受更大的損失”。
從法律的角度�����,完善的法律是保證電子支付安全的前提��。郭禾教授認為��,現(xiàn)在關(guān)于電子商務(wù)的法律從總的原則上已經(jīng)足夠��,但在具體細節(jié)和操作上還有待完善�����,如現(xiàn)在合同法上已承認數(shù)字簽名的法律效力���,但具備什么樣技術(shù)條件的數(shù)字簽名才是有效的還需確定���,還有網(wǎng)站泄露用戶的賬號信息應(yīng)當(dāng)承擔(dān)何種程度的責(zé)任�。同時�,郭禾認為,政府職能部門今后應(yīng)加大對電子商務(wù)網(wǎng)站的管理����,避免通過電子交易進行詐騙的現(xiàn)象發(fā)生。
很多時候�����,電子支付的危險并不是來自電子支付本身�,而是由于人們?nèi)狈栊浴H绻覀兡芴岣呔栊���,電子支付還是足夠安全的����。雖然電子支付現(xiàn)在還存在一些風(fēng)險,但電子商務(wù)和電子支付能給我們帶來極大的方便�����,因此我們不能因噎廢食�,而應(yīng)逐漸完善它�����,使我們最終可以放心地享受電子支付帶給我們的便利。
我國現(xiàn)行電子支付的安全機制
電子支付系統(tǒng)的安全要求包括:保密性��、認證�、數(shù)據(jù)完整性、交互操作性等�����。目前��,國內(nèi)外使用的保障電子商務(wù)支付系統(tǒng)安全的協(xié)議包括:SSL(Secure Socket Layer)��、SET(Secure Electronic Transaction)等協(xié)議標準�����。國內(nèi)的電子支付系統(tǒng)共有三種安全實現(xiàn)方式:SSL��、SET和Non-SET���。
SET協(xié)議是由Visa和MasterCard推出的��,它可以對每個參與者進行多點認證��,對交易的每個環(huán)節(jié)也進行認證�����,擁有較高的安全性���,中國銀行就是采用這種協(xié)議�����。但由于它的復(fù)雜���,在國內(nèi)開展得不是很普遍。
SSL是一種點對點的協(xié)議���,可以保證雙方通信時數(shù)據(jù)的完整性和保密性���,目前在中國可以支持128位的加密,招商銀行�����、工商銀行就是采用了這種方式�����。由于它被IE���、NESCAPE等瀏覽器所內(nèi)置��,實現(xiàn)起來非常方便�,國內(nèi)的電子交易很多都采用這種協(xié)議��。
中國金融認證中心還推出了另外一種系統(tǒng)Non-SET�,它是基于PKI的,除了加密功能外��,還有數(shù)字簽名功能����、證書管理和在線CRL(證書廢止列表)查詢等功能。
