由于方便�����、快捷開展得如火如荼��,但是作為電子商務重要支付形式的電子支付卻面臨著各種安全問題����,而且,這種問題日益凸現����,所以作為用戶需要.
2003年1月中國互聯網信息中心(CNNIC)發(fā)布的《中國互聯網絡發(fā)展狀況分析報告》顯示:2002年網上購物人數比2001年增長將近一倍�����,已經接近2000萬���。隨著網上交易的發(fā)展,電子支付開始逐漸被人們認可�,但是“云網事件”的發(fā)生卻不得不使我們關注電子支付的安全性。據AC尼爾森公司在2003年3月~4月做的一個調查表明�,目前安全性是網上購物者用信用卡支付的主要顧慮。安全問題已成為電子支付發(fā)展面臨的重要挑戰(zhàn)�。
真假“云網”
云網(www.cncard.com)是一家網上交易公司,顧客可以通過在線支付的形式購買上網卡�、IP卡之類的商品,在業(yè)內已有了一定的知名度�����?墒亲罱洺S泄┴浬滔蛩麄冑|詢:“我們根本沒有那種上網卡�,你們怎么打著我們公司的名義賣������!痹凭W公司對此一頭霧水,因為他們賣的商品都是由廠家供應的�。后來,經過調查��,他們發(fā)現���,原來最近一些上出現了很多推薦另一個“云網”(www.kncard.com.cn)的帖子�。這個“云網”的界面與真云網非常相似�,而且也從事與真云網類似的網上交易,但實際上�����,它所出售的商品都是不存在的����。
在這個“云網”網站,雖然會出現假的銀行支付界面(沒有經銀行授權)����,要求用戶輸入銀行卡號和密碼,但即使輸入正確銀行卡號和密碼后����,系統卻總提示交易失敗����,而用戶的銀行卡號和密碼卻可能已被泄露給這個網站����,并有可能被這個網站利用來從用戶的銀行賬戶上提取現金或消費。
對此��,云網公司很是氣憤�����,“該網站根本不是為了進行電子交易�����,它的主要目的是為了騙取用戶的卡號和密碼�,并用用戶的卡號和密碼進行消費,這種行為屬于詐騙�,使我們的商譽受到了嚴重影響���!痹凭W公司的員工說�����。
當記者試圖聯系另一個“云網”���,卻發(fā)現,這個網站的很多信息都是假的���。雖然假云網頁面上有工商局的紅盾標志���,但記者通過北京市工商管理局的網站查詢,發(fā)現該網址沒有備案��。假云網頁面上還有ICP登記號����,記者又到北京市通信管理局的網站進行查詢,發(fā)現確實有這個登記號�,但那是一家叫“歌曲大本營”的網站,網址和業(yè)務都不一樣����。
是否主機托管機構會對網站的內容負責呢?就此���,記者詢問了一家做主機托管的公司���,他們說:一般只要被托管的公司提供公司法人的身份證復印件�,就可以提供主機空間和域名���,對客戶利用網站從事的何種業(yè)務并沒有限制���,其網站的內容和業(yè)務應該由公安機關管理。涉及這個事件的銀行已經報案���,公安機構也已經受理�,并展開調查�。
對于“云網事件”,中國人民大學法學院郭禾教授認為:它涉及到某些法律規(guī)定��,首先�,模仿注冊商標和界面,這種行為侵犯了知識產權��;其次�,云網是從事電子商務的網站,假云網利用其名稱從事相同的業(yè)務��,屬于不正當競爭;最后�����,利用網站騙取用戶的賬號信息屬于竊取他人隱私���,另外����,如果那個網站的人員利用騙取的用戶卡號和密碼進行轉賬和消費的話�,其行為將構成侵犯個人的財產權���,應該負刑事責任�。
電子支付存在風險
雖然人們在電子支付的技術實現上采取了很多安全措施�����,但是由于電子交易包括很多環(huán)節(jié)���,還是存在著一定的安全風險���。
對外經濟貿易大學信息學院院長兼電子商務研究所所長陳進教授介紹說:現在銀行數據系統的安全措施很嚴,要想攻破它是不太可能的����,而且電子交易在傳輸用戶賬號信息時都要求強加密的����,即使截獲也很難破譯����。但電子支付還是面臨著一些威脅�����!氨热缬行┥碳覟榱朔奖��,會存儲用戶的數據進行存儲�����,如果商家數據庫被攻破����,將導致用戶賬號信息泄露。現在已經出現了這樣的案例�����,今年10月,北京市首例操縱期貨價格案在西城法院開庭�����,一家期貨經紀有限公司的客戶代表在互聯網上發(fā)布了自己編制的程序“期貨精靈”�,誘使他人下載安裝,以此方法截獲十多個上網交易客戶的資金賬號和密碼�,導致客戶損失。
如何避免危險
從用戶角度��,安全意識的增強很重要����。當你在網絡上進行電子交易時���,一定注意以下幾點:一�,確保網站網址的正確�,網站的知名度較高。中國的電子交易網站一般都是鏈接到銀行進行交易����,不要在不明來歷的商戶網站直接輸入賬號信息。二,查看網站是否有ICP號���,ICP號是否正確�����,國家規(guī)定經營性網站必須在當地的通信管理局登記��,北京網站的登記信息可在北京市通信管理局網站(http://www.bca.gov.cn/)上查到�。三�����,查看網站是否有工商局的標志�,標志是否登記。對于北京的經營性網站��,必須到工商局辦理網站備案登記�,該標志是一個紅色的盾牌,點擊網站界面上的紅盾�����,會自動鏈接到北京市工商局的網站登記網站(http://www.hd315.gov.cn/)上����,顯示出該網站的登記信息����,可以查看該信息與網站實際情況是否一致���。四�,正規(guī)電子交易網站在傳輸用戶賬號信息時都要加密�����,此時地址是以“https”而不是通常的“http”開頭的�����。加密傳輸時�,瀏覽器下面會出現一個小鎖�,點擊小鎖會顯示證書,只能相信權威機構頒發(fā)的證書�����。不要相信不明來歷的證書����,目前我國電子交易常用的證書包括由中國金融認證中心(CFCA)頒發(fā)的證書和各個銀行自己頒發(fā)的證書��。
從技術角度���,我們還應增強加密的強度,提高盜用賬號的難度���,例如Visa信用卡最近為了增進其信用卡在電子交易中的安全性���,推出了”Verify by Visa“的服務,增加了一個密碼�,交易時用戶除了輸入卡號外,還要輸入密碼���。
從社會角度�����,良好的信用機制可以減少電子支付的風險������!捌鋵嵵袊碾娮又Ц断到y比外國要安全,中國的支付必須都連到銀行的系統進行�,而在外國,支付可以在商家的網站進行�����,而且他們的信用卡只有一個卡號����,沒有密碼,但他們能保證一定程度的安全是因為他們的信用機制較為完善����。” 陳進說����。“對于像假云網這樣的詐騙例子���,銀行和網站應及時向社會公布��,避免用戶遭受更大的損失”。
從法律的角度�����,完善的法律是保證電子支付安全的前提。郭禾教授認為��,現在關于電子商務的法律從總的原則上已經足夠�,但在具體細節(jié)和操作上還有待完善,如現在合同法上已承認數字簽名的法律效力���,但具備什么樣技術條件的數字簽名才是有效的還需確定�,還有網站泄露用戶的賬號信息應當承擔何種程度的責任�����。同時����,郭禾認為,政府職能部門今后應加大對電子商務網站的管理��,避免通過電子交易進行詐騙的現象發(fā)生����。
很多時候,電子支付的危險并不是來自電子支付本身�����,而是由于人們缺乏警惕性。如果我們能提高警惕性�,電子支付還是足夠安全的。雖然電子支付現在還存在一些風險��,但電子商務和電子支付能給我們帶來極大的方便�,因此我們不能因噎廢食,而應逐漸完善它��,使我們最終可以放心地享受電子支付帶給我們的便利����。
我國現行電子支付的安全機制
電子支付系統的安全要求包括:保密性、認證���、數據完整性��、交互操作性等���。目前,國內外使用的保障電子商務支付系統安全的協議包括:SSL(Secure Socket Layer)�、SET(Secure Electronic Transaction)等協議標準。國內的電子支付系統共有三種安全實現方式:SSL���、SET和Non-SET���。
SET協議是由Visa和MasterCard推出的�,它可以對每個參與者進行多點認證,對交易的每個環(huán)節(jié)也進行認證,擁有較高的安全性��,中國銀行就是采用這種協議��。但由于它的復雜,在國內開展得不是很普遍�。
SSL是一種點對點的協議,可以保證雙方通信時數據的完整性和保密性��,目前在中國可以支持128位的加密�����,招商銀行、工商銀行就是采用了這種方式�����。由于它被IE����、NESCAPE等瀏覽器所內置�,實現起來非常方便,國內的電子交易很多都采用這種協議。
中國金融認證中心還推出了另外一種系統Non-SET����,它是基于PKI的,除了加密功能外��,還有數字簽名功能�、證書管理和在線CRL(證書廢止列表)查詢等功能。
