论电子商务支付安全毕业论文

《论电子商务支付安全毕业论文》由会员分享，可在线阅读，更多相关《论电子商务支付安全毕业论文（44页珍藏版）》请在装配图网上搜索。

1、阳泉学院毕业论文评阅书题目：论电子商务支付安全 管理工程系 电子商务 专业 姓名习惯了华 设计时间：2012 年03月07日2012 年05月06日 评阅意见：成绩： 指导教师：（签字） 职务：200 年月日阳泉学院毕业论文答辩记录卡 管理工程 系电子商务 专业 姓名樊习惯了华答 辩 内 容问 题 摘 要评 议 情 况 记录员： （签名）成 绩 评 定指导教师评定成绩答辩组评定成绩综合成绩注：评定成绩为100分制，指导教师为30%，答辩组为70%。专业答辩组组长：（签名） 200 年月日iii前 言随着Internet的迅速发展和广泛应用，人们开始习惯于利用开放快捷的网络进行各种采购和交易，从

2、而导致了电子商务的出现，并使其成为业界新热点。电子商务的显著特点就是增加贸易机会，降低贸易成本，简化贸易流程，提高贸易效率。在交易过程中，消费者、商家、企业、中间结构和银行等需要通过Internet网络进行资金的流转，这就需要通过网络支付或电子支付的手段来实现.因此，电子商务活动必然牵涉到支付，安全有效的支付是电子商务的重要环节.从技术上讲，电子商务最关键的问题是如何安全地实现支付功能，并保证交易各方的安全保密。因此，支付安全是整个电子商务安全的瓶颈。随着电子商务的深入发展，支付领域的创新成为可能，尤其对于潜力巨大的C2C市场，合适的支付机制将改变目前在线竞价市场热闹而缺乏交易的局面。我国的网

3、上支付业务随着电子商务的发展而不断发展，进步，但是要想赶上国外，尤其是欧美国家的电子商务发展，还有一定的距离。因为要想赶上甚至超越国外的电子商务，就要学习和分析我国的不足和国外的先进技术，尤其是在网上支付平台上的差距。目 录摘要11. 绪论31.1选题的背景31.2研究现状31.3主要内容31.4研究方法42电子支付的概述42.1电子支付与电子商务的概念42.1.1电子支付的概念42.1.1电子商务的概念42.2电子支付与电子商务的关系53. 电子支付发展概述53.1全球的电子支付发展概况及发展趋势53.1.1全球电子支付发展概况53.1.2全球电子支付发展趋势63.2我国的电子支付发展概况及

4、发展趋势63.2.1我国电子支付发展概况63.2.2我国电子支付发展趋势74网上支付安全问题及对策84.1 网上支付的定义84.2网上支付的功能84.3网上支付存在的安全问题94.3.1网上支付中银行面临的风险和安全问题94.3.2网上支付中客户面临的风险和安全问题114.4例建行的网银盾154.5网上银行安全案例分析175.电话支付存在的安全问题及相应对策185.1电话支付概述185.1.1电话支付基本概念195.1.2 电话支付的特点195.2电话支付的存在的安全问题及近年的案例195.2.1电话支付的存在的安全问题195.2.2案例分析205.3电话支付的安全策略225.3.1客户保障自

5、己电话支付账户安全需注意225.3.2电话支付计算机系统方面的安全策略236.自助支付存在的安全问题及相应对策236.1自助支付概述246.2自助支付存在的安全问题246.2.1 ATM交易存在的安全问题246.2.2 POS安全问题266.3.针对自助支付安全问题的对策276.3.1 ATM276.3.2 POS287.移动支付存在的安全问题及相应对策297.1移动支付概述297.1.1移动支付的简介297.1.2.移动支付分类297.1.2.1根据用户账户的不同分类297.1.2.2根据技术实现方式分类297.1.2.3根据支付方式不同分类307.2.1.移动支付面临的安全威胁307.3移

6、动支付的安全对策307.3.1移动支付身份认证技术317.4例建行手机银行的安全机制31结束语35参考文献36致谢37阳泉学院-毕业论文论电子商务支付安全摘要：电子支付作为一种全新的支付方式,它有很大的发展前途,且随之而来的安全问题也越来越突出,如何建立一个安全、便捷的电于支付环境,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题己成为电子商务支付的核心问题。分析了电子商务支付中存在的安全问题,并阐述目前解决电子商务支付安全隐患的主要安全技术及相关策略。 关键词:电子支付;安全问题;安全策略E-commerce payment security summaryelectronic

7、payment as a new way of paying, it has a great future, and the consequent security problems have also become more and more prominent, how to build a safe, convenient for payment environment, provide adequate protection for information, are businesses and users are very concerned about the topic. Sec

8、urity has become a central issue of electronic payment. Analysis of security issues in e-commerce payment, and now that key security technology of e-commerce payment security risks and related policies. Keywords: electronic payment; security; security policy1. 绪论1.1选题的背景近几年，Internet作为通信技术、网络技术和信息技术的

9、载体与表现形式，呈现了爆炸式的增长方式，而基于Internet的电子商务应用也得到了空前绝后的发展，并出现了各种各样的商务交易方式和电子支付方式。虽然电子商务在商务流程和购物流程电子化等方面积累了很多的经验，奠定了强大的技术基础和商务基础，但现在很多消费者不愿意或惧怕在网上进行购物和网上支付，究其原因，安全性一直是人们所担心和关注的话题，如何保证电子商务支付的安全性、对敏感和个人信息提供机密性保障、认证交易双方的合法身份，保证数据的完整性和交易性的不可否认性等，已经成为制约电子商务支付发展的瓶颈，也成为众多学者、研究开发人员、政府人员和管理人员所共同关注的目标。1.2研究现状随着我国互联网的高

10、速发展，电子商务越来越成为我国经济重要的组成部分，各种网上商务行为的逐渐普及，让电子支付得到了更加广泛的应用，也得到了国家层面的更大重视，最近一年来，国家级超级网银和央行关于规范第三方支付市场的相关规定的相继出台，都一方面证明电子支付目前的市场地位，也从旁证明了电子支付行业广阔和光明的未来，但是不可忽视的是，安全问题也越来也突出。这两年来，我国的电子支付得到进一步的发展，电子商务逐渐行业化、细分化，很多行业在电子商务领域深度发展，甚至出现了很多以前没有的行业和领域，电子商务领域行业化细分的结果，造成各行业在电子支付上，不再满足于通用的常规支付产品，而是根据自己行业的电子商务特点，衍生出不少独特

11、的支付需求，在这种支付需求的引导下，电子支付行业进入细分阶段，各个支付企业分别针对不同行业的不同需求，定制开发了适应了行业需求的电子支付产品。2011年是“十二五”规划实施的第一年，也是我国电子支付企业发展与突破的一年。在经历了新一轮调整后的经济复苏时期，大量传统行业寻求借助信息技术提高运营效率、拓展营收渠道，这一趋势带动了各企业开始在创新金融方面进行大量有益尝试，客观上为电子支付市场的迅猛发展提供了充分条件。1.3主要内容本文分为五个部分进行电子商务与支付安全的探讨，第一部分绪论研究了写作本文的背景、目的、意义和内容。第二部分是电子支付的一些相关概念和电子支付与电子商务的关系，主要有电子支付

12、及电子商务的概念，其次是电子支付与电子商务的关系，主要阐述了支付是电子商务的重要组成部分；电子商务极大地推动了电子支付的发展。第三部分主要分析我国及全球的电子支付发展概况和发展趋势。第四部分根据支付渠道的不同从四个方面对安全问题展开说明，分别介绍了网上支付、电话支付、自助支付、移动支付和第三方支付在支付中存在的安全问题，面临的安全威胁以及应对这些问题的的安全对策。1.4研究方法本论文采用了以下研究方法：（1）例证法。举例论述了一些支付方式在实际运用时所体现的安全问题，并分析出现这些问题的原因，及预防措施。（2）总结归纳法。总结了各种电子支付方式在支付过程中存在的安全问题和针对这些问题的解决措施

13、。（3）调查法。搜集并查阅资料进行分析、综合、比较、归纳，从而全面的分析各种支付存在问题及相应对策。2电子支付的概述2.1电子支付与电子商务的概念2.1.1电子支付的概念电子支付，是指以电子计算机及其网络为手段，将负载有特定信息的电子数据取代传统的支付工具用于资金流程，并具有实时支付效力的一种支付手段。它具有两个层面的含义：一是计算机及其网络为手段，将传统的支付方式电子化，即以电子通讯取代传统的信函、电报等用来进行资金流动的信息传递，如通过ATM转账或通过POS进行结算等；二是以某种形式的电子信息完全取代现金、票据等传统的支付工具进行资金的传递，如网上支付、第三方支付方式等。2.1.1电子商务

14、的概念电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。2.2电子支付与电子商务的关系支付是电子商务的重要组成部分，信息流、资金流、和物流是电子商务的三大环节，其中资金流即支付处于核心地位。电子商务的快速发展要求支付的同步。电子商务没有了支付，也就真正意义上的“虚拟商务”，只能是电子商情、电子合同，无法实现网上成交。因此，支付是电子商务发展的关键环节，也是它发展基础。电子商

15、务极大地推动了电子支付的发展，但是，在追求速度的电子商务环境下，如果依赖传统的支付方式，如现金、银行汇票、票据等，付款及清偿的流程将成为电子商务交易的瓶颈。例如，各种票据支付的方式普遍速度过慢;货到付款虽然省去了网上付款的设置成本，却存在延迟与不确定性；银行卡付款虽然方便，但若无任何措施保护下在网上直接进行信用卡资料的传输，无疑非常危险。此外，Internet上许多交易都是小额交易，传统的支付方式处理成本太高，不适宜进行电子商务支付。可以看出，电子支付是电子商务的关键环节。特别是网上支付作为电子支付发展的高级阶段，更是电子商务得以顺利发展的基础条件。电子商务的需求直接导致了电子支付中网上支付如

16、在线直接转账、手机支付、第三方支付的兴起。值得注意的是，尽管电子商务的快速发展催生了电子支付，且电子支付也是电子商务的重要组成部分，但是单子支付与电子商务支付方式之间存在着一些范围上的区别。从电子支付的概念来看，电子支付包括自助银行支付、网上银行支付、第三方支付、电话银行支付、移动支付等；而电子商务支付则只包括网上银行、第三方支付、电话银行支付、移动支付。3. 电子支付发展概述3.1全球的电子支付发展概况及发展趋势3.1.1全球电子支付发展概况目前全球电子支付产业正处于高速发展期，且全球电子支付的发展处于非平衡状态，发展最快的为西欧和亚太地区。电子支付工具在金融信息化的推动下蓬勃发展，科学技术

17、的浪潮席卷全球，计算机技术、通信技术、新材料技术、生物技术等飞快发展，给世界经济和人们的日常生活带来了日新月异的变化。其中信息技术的发展最为迅速，影响也最为深远。信息技术普遍应用于银行、证券、保险等金融领域，使古老的金融也迎来了新的发展机遇，一银行卡为代表的电子支付工具，就是信息技术应用于金融领域的成功典范。电子支付工具提供电子支付渠道实现不同帐户间资金所有权的转移，因其突破了现金支付的诸多局限性，受到人们的广泛欢迎，因此逐渐成为除现金外，人们应用最广泛的支付方式。另外，初了银行卡外，如储值卡、虚拟卡等也得到了快速应用和发展；而电话银行支付、移动支付等方式的纷纷涌现，方便了人们的生活和购物；在

18、我过，第三方支付方式也以独特的身份存在于电子支付之中，其发展规模不断扩大，发展前景看好。3.1.2全球电子支付发展趋势经过几十年德发展，电子支付产业已经形成了明确的分工合作格局，发卡、转接、收单等各领域都有专门的参与主体各司其职，例如银行专注于经营发卡业务；银行卡组织机构专注于发展通用的支付渠道网络，等等。它们在各自的分工领域进行专业化的运作，不断的构建和形成在该领域的核心竞争力，取得了卓著的经营成效。随着产业的进一步发展，这种分工还有继续细化的趋势，以使产业的专业化运作程度进一步提高，资源的配置更合理、高效。同时，由于电子支付产业是一个规模经济产业，因此，随着产业的不断发展和竞争的优胜劣汰，

19、在每一个分工领域，基本都形成了垄断竞争的局面，除网络运营和收单之外，在发卡领域这种格局也非常明显。2003年，以花旗、MBNA等为代表的十大发卡机构的市场份额就占全美的80.5%。以后，在分工合作的同时，各参与主体又纷纷向其他业务领域进行渗透和融合，以维持和巩固其原有的核心竞争地位。归纳起来，电子支付的发展将呈现出以下趋势：（1）电子支付替代纸质支付（如钞票和票据）的趋势不可逆转，电子支付交易量和交易金额在总体支付交易量和交易金额中所占的比重将不断增大，电子支付在支付体系中的地位将日益重要。传统落后的支付方式必定会脱离支付系统，新兴的支付方式会具有更强的生命力。（2）电子支付的形成将呈现出多样

20、化。随着电子信息产业峪通信技术的发展，支付工具的电子化和支付系统的电子化已成为电子支付的表现形式。同时电子支付的具体形式呈现多样化的趋势，生物识别、智能卡、移动商务等众多新兴形式的出现，为电子支付市场提供了个性化的支付服务产品。（3）电子支付总体上朝着安全、高效、便捷的方向发展。高效、便捷、迅速是电子支付固有的优势。同时，随着安全认证技术的使用和相关法规制度的完善，电子支付面临的运行风险和法律风险也逐步得到控制，因而整体上变得更加安全。3.2我国的电子支付发展概况及发展趋势3.2.1我国电子支付发展概况目前国内电子支付市场主要有几大阵营：一是独立的第三方支付企业，比如快钱、易宝支付等；二是国内

21、电子商务交易平台价值链延伸的在线支付工具，比如支付宝、财付通、百付宝等；三是银行阵营，比如中国银联的ChinaPay以及各个银行自己的网上银行等；四是以中国移动等电信运营商为代表的移动支付企业。 作为支付市场之一,第三方支付市场竞争激烈，网络消费对其贡献巨大。EnfoDesk数据显示，2011年第四季度，中国第三方互联网在线支付市场格局继续保持稳定。支付宝以46.9%的市场交易额份额占据市场第一的位置，财付通和银联网上支付分别以21.4%和10.4%排名第二和第三。2010年，中国通过网络支付完成的交易总额首次超过1万亿人民币。根据央行的数据，在电子支付领域占据庞大份额的各种卡类2010年的零

22、售额达到10.4万亿人民币，约占零售总额的35%。而在十年前，中国人在购物时几乎完全使用现金。据数据显示，2013年的交易额有望达到现在的3倍。3.2.2我国电子支付发展趋势长远来看，第三方网上支付占社会支付交易额比重任然较低，未来电子支付的比重会加大，而第三方网上支付运营商是电子支付产业链中最有竞争力的一环；目前电子商务一定程度上改变了中国的商业环境，未来这种改变仍将继续，2010-2015年是初见成效和继续推进的时期；网上支付行业竞争较为良性，与产业链合作较为紧密，能够为多方创造价值。用户的选择是网上支付发展的基础和动力。2009年网上支付用户规模增速73.1%，而深度用户的增速不及20%

23、。提高用户的使用黏性是网上支付发展的关键。2010-2015年电子支付会以网上支付、电话支付、移动支付为主要手段，渗透到生活的三大方面，一是文教娱乐，包括游戏、电影、演出、教育等一切可以电子化参与的内容;二是日常消费，比如手机充值、网上商城购物、预订机票酒店、订购鲜花礼品等;三是个人理财，包括信用卡还款、保险、基金投资，自助整理银行帐户等。从电子支付行业的发展过程可以看出，这些年的电子支付发展，走的是一条从合到分的历程，一开始由于电子商务形态单一，对电子支付的功能需求也较为单一，电子支付仅仅作为电子商务的一个服务产品或者软件存在，依附于各个电子商务中，而没有形成自己的平台，到后来，随着网上支付

24、的需求越来越多，各大电子支付企业都相继推出了适应了大众化需求的电子支付平台，这些平台使用简单、操作方便，适合于各个行业的简单需求，满足最基本的电子支付功能，目前我们常用的很多支付平台基本都属于这种性质。这两年来，我国的电子支付得到进一步的发展，电子商务逐渐行业化、细分化，很多行业在电子商务领域深度发展，甚至出现了很多以前没有的行业和领域，电子商务领域行业化细分的结果，造成各行业在电子支付上，不再满足于通用的常规支付产品，而是根据自己行业的电子商务特点，衍生出不少独特的支付需求，在这种支付需求的引导下，电子支付行业进入细分阶段，各个支付企业分别针对不同行业的不同需求，定制开发了适应了行业需求的电

25、子支付产品，比如针对信用卡的电子支付，环迅就推出了ICPAY(国际信用卡卡支付系统)产品，主要是基于国际信用卡支付的模式，在一般支付产品的基础功能上，强调了强大的支付功能和极高的风险控制标准等。然而作为电子商务的服务领域的电子支付行业，势必还要随着电子商务的发展继续发展，电子商务领域在行业化细分之后，又出现了行业内或者企业内支付多元化的趋势，这是我国电子商务深入发展所带来的，以往电子商务对电子支付的需求，往往只限于供销环节，而没有涉及到其他经营环节，而随着电子商务在企业经营中的逐渐扩散，对支付的需求也不仅仅限于供销，这就对电子支付提出了新的要求，电子支付必须要满足企业或者行业的多方面需求，并且

26、能够打通各个支付环节，甚至还需要在各个行业之间，尤其是上下游行业起到资金链整合和顺畅流通的作用。换句话说，在电子支付行业细分产品之后，又到了需要电子支付行业整合细分产品的时候了。4网上支付安全问题及对策4.1 网上支付的定义网上支付是指电子交易的当事人,包括消费者、企业和金融机构,使用安全的电子支付手段通过网络进行的货币支付或资金流转。4.2网上支付的功能1. 自助开通，开通/取消网上支付功能：在登录网上银行后，可以在电子支付模块设置开通或者取消网上支付功能；2. 设置网上支付帐户：用户的信用卡关联到网上银行后，可以自行设置一个或多个银行卡账户用于网上支付，也可取消已设置的支付账户；3. 在线

27、查询支付记录：可在网上银行中查询过去一年内的网上支付交易记录，方便地管理自己的购物账单；4. 定制免费短信提醒：在开通网上支付时，可选择开通免费的网上支付短信提醒服务。在成功完成一笔网上支付功能后，系统将发送支付结果信息给用户，帮助用户随时掌控网上支付信息；5. 设置交易限额：用户可自行设置网上支付交易的每日累计限额。4.3网上支付存在的安全问题4.3.1网上支付中银行面临的风险和安全问题站在银行的立场上来说，银行是一个特殊的行业，在国民经济和社会生活中扮演者重要角色，发挥着重要作用。银行的业务数据多种情况下是与储户账户相关的敏感数据，如储户的账户号码、账户密码、账户中的存款余额等，而互联网是

28、一个开放的公共网络，在这样一个开放的网络上拓展银行的传统业务，安全性是需要考虑的首要问题。一般来说，网上银行支付系统在运行过程中会有安全威胁，网上银行支付业务的发展离不开技术手段的支持和应用。因此，网上银行支付业务给银行带来了各种各样的与技术相关的风险，特别是操作风险、战略风险、信誉风险和法律风险等。下面就银行面临的安全威胁和风险分别进行叙述：因为网上支付过程是在一个开放的公共网络上进行的，一般来说，网上银行支付系统在运行过程中收到的安全威胁主要来自以下方面：（1）假冒用户身份。攻击者盗用合法用户的身份信息，以假冒的身份于他人进行通信。这是最常见的网络攻击方式，传统的对策才用用户名和登录密码来

29、对用户进行身份认证，用户名和登录密码是以明文的形式在网上传送，这就很容易被攻击者截获，攻击者可以据此非法访问系统，冒充授权者发送和接受信息，造成信息的丢失和泄露。（2）窃取网络上的信息。攻击者在网络的传输链路上，通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通讯电文中的敏感信息。系统中的用户及外来者未经授权偷看或窥视他人的电文内容以获取商业秘密，损害他人的经济利益。（3）篡改网络上的信息。攻击者在截取到网络上的信息后，可能篡改其内容。（4）否认所发的信息。用户可能对自己发出的信息进行恶意的否认，例如否认自己发出的转账信息等。（5）重发信息。除了以上情况外，还存在“信息重发”的攻击方

30、式，即攻击者再截获网络上的密文信息后，并不将其破译，而是把这写数据包再次发送，以实现恶意攻击的目的。（6）电文丢失。安全措施不当会导致丢失电文，如误删。（7）抵赖。某些用户会恶意否认自己曾进行过的网上交易，易造成银行经济损失。（8）拒绝服务。局部系统的失误及通信各部分的不一致所引起的事故二导致系统停止工作货不能对外服务，即所谓的拒绝服务。局部系统出自于自我保护目的二故意中断通信也会导致拒绝服务。正因为网上银行支付系统尊在着许多安全威胁，网上银行支付业务难免会面临一些风险。下面介绍开展网上银行支付银行可能遇到的风险：1.系统风险 (1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接

31、和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准Common Criteria for IT Security Evaluation(简称CC标准),微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。 (2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错

32、误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。 在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。 (3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。 (4)数据传输风险。数据传输过程中被窃取、修改等风险。 2.操作风险 网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点: (1)网络银行操作风险意识淡薄。 (2)组织机构职责不清。 (3)内控制度不健全或执行不力。 (4)没

33、有适合的网络银行稽核审计部门。 3.信用风险 网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。 4.信息不对称风险 信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。 5.法律风险 我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。4.

34、3.2网上支付中客户面临的风险和安全问题对于个人消费者，习惯了一手交钱一手交货的购买方式，对网上银行支付的技术安全不免担心，敲几个键、点几下鼠标，就把钱拨了出去，心里总感觉不踏实。网上银行支付安全涉及客户的网上信息资料、帐户密码、资金与资产等各个方面，在使用网上银行支付时，消费者可能遇到的安全问题可以概括为以下几点：（1）用户卡号和密码被盗。据金融部门分析，客户安全意识薄弱是影响网上银行支付交易安全的一个重要原因，不少网上银行用户设置密码过于简单，容易被不法分子试出，或将自己网上银行密码设为与其他网站的用户密码相同的密码，而其他网站由于缺乏严密的安全控制机制，密码数据库容易被攻破或泄露并殃及网

35、上银行密码。部分网上银行用户还在公共计算机上使用网上银行支付服务，极易被隐藏在公共计算机上的病毒、木马程序等通过键盘记录盗取密码。同时，我国的金融企业的网址域名还没有规范，因此从网址名称上很难判断真假，不法分子利用这一点，制作与真正网上银行网站极为类似的假网站、假支付页面等“网络钓鱼”形式，利用部分客户安全意识薄弱，要求客户填写个人帐号、密码等银行资料信息，骗取客户网上银行登录和交易密码。（2）用户误操作，造成消费者经济损失。网上银行的业务都需要客户具备一定的操作技能，如果客户操作不当，就会造成不可挽回的损失；更严重的是犯罪分子利用邮件、假网站等方式骗取客户的网上银行信息，盗取资金，给客户造成

36、巨大损失。（3）双方的身份确认出现问题。在互联网上，银行和用户间需要双向的身份识别和确认。这也是所有互联网上的电子商务都要解决的问题。对用户来说，在互联网上存在一些假冒的银行网站，用户需要正确的识别和登录到银行的网站，一旦登陆的网站错误，用户发送的所有信息都会被非法网站所截获和利用。另一方面，银行要正确的识别和确认用户身份，确认用户身份的方式有的比较安全，而有的仅靠用户名和密码构成用户帐号，一旦用户帐号被盗取，银行的计算机是无法识别出非法用户。（4）客户的计算机被攻击。无论是个人还是企业对于在网上开展支付业务都要非常谨慎，因为网上银行支付在利用互联网公共资源的同时也有可能暴露出银行系统中的某些

37、弱点，从而让那些利用电脑犯罪的罪犯有机可乘，网上银行支付所推出的金融产品、服务方式和服务内容，就将在开放的环境下一览无余，更利于犯罪分子的研究、跟踪，这样的案例在国外并非鲜见。比如，“黑客”于2000年2月大规模地袭击了全球重要的电子商务网站，一直相对安全的世界最大的门户网站之一雅虎也难以幸免。当然面对实际网上交易可能引来网络入侵者，不管是盗窃还是更改电子资金资料，对于网上支付用户来说，都是冒着极大的风险。4.3网上银行支付的安全对策1.系统风险的防范 (1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减

38、少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。 (2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平

39、台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。 (3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。 对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便

40、。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。 (4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协

41、议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。 加强应用系统开发过程的审计,应用系统运行过程中的实时审计。 (5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。 (6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录

42、、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。 2.操作风险的防范 操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。 建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对

43、网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。 来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。 3.信用风险的防范 建立全国

44、性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。 4.信息不对称风险的防范 建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。 5.法律风险的防范 应充分利用和执行网络银行业务管理暂行办法,应充分利用合同法、会计法、票据法、支付结算办法等

45、法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如计算机信息系统安全保护条例、计算机信息网络国际联网管理暂行规定等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。 建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立电子银行法、电子签名法、电子资金划拨法等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据

46、法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。4.4例建行的网银盾建行网银盾，是建设银行近期新推出的高强度网上银行安全产品，是将预先制作好的电子证书在银行内部环节就直接写入USB Key中，即领即用。客户在网上银行操作时，如果签约并领取了预制证书即“建行网银盾”，其以后的网上银行操作将不再需要下载数字证书，改变了以往客户在取得空白USB Key后，使用网上银行之前还须手动下载证书的做法。操作流程更简单、快捷。315消费投诉榜日前发布，网购欺诈成为投诉重灾区。与此同时，“网银刺客”等木马也

47、严重威胁着消费者的资金安全。根据360网购保镖监测，“网银刺客”会暗中劫持受害者网银支付资金，影响十余家主流网上银行，建议广大消费者上网购物时开启安全软件防护。作为“网银刺客”的受害者，网友赵女士上周末在微博表示，“在网上挑选了价格很实惠的空气加湿器，下单后店主发消息说订单被锁了，于是自己接收运行了解锁码。没想到的是，付费时出现了支付失败的提示。再查才发现，购物资金已经打给了陌生账户。”在购物网站论坛和微博上，与赵女士有着近似遭遇的消费者不在少数。而据360安全中心工程师分析，所谓的“解锁码”其实是木马伪装的文件，运行后篡改网上支付的页面显示内容，使消费者的网银支付资金不知不觉间流入黑客账户。

48、据悉，“网银刺客”木马恶意利用某截图软件，把正当合法软件作为自身保护伞，从而避开了不少杀毒软件的监控。为此，360网购保镖已经升级防护措施，全面封杀此类木马，可以在用户不慎点击木马时自动报警拦截。专家提示，消费者上网购物应注意两条原则：第一，不点击陌生人发来的可疑网址；第二、不打开陌生人发来的文件。只要全面提升安全意识，使用专业安全软件保护网购交易，就能防范“网银刺客”等木马病毒抢钱。除了“网银刺客”木马外，去年底爆发“多网站泄密门”对网购用户也造成极大风险。360安全中心发现，一些不法分子利用泄密账号试探登录某大型购物网站，利用受害用户余额购买彩票，再将彩票提现账户绑定为不法分子自己的银行卡

49、。迄今，已有数十名网购用户微博反馈余额被盗用买彩。鉴于网购用户可能遇到退货退款、账户里存有余额的情况，360安全中心建议网购应单独设置高强度密码，以免其他网站泄密危及网购余额资金。为实现更安全的电子签名应用，进一步增强客户的网上银行安全性体验，建设银行推出的二代网银盾，即将在全行客户中全面推广。建行二代网银盾是具有液晶屏幕显示和物理按键确认的新一代网上银行USBKey安全产品，可有效防范木马病毒攻击，具有工业级的设计标准，外观设计人性化，采用超大屏幕、独立按键，增强了客户的体验感受，在安全性和客户体验方面领先同业。为配合二代网银盾的推广使用，建设银行日前开始举行了“二代网银盾宣传语创作大赛”活

50、动。网银盾特别采用了使用有物理介质的个人客户证书，建立基于公钥（PKI）技术的个人证书认证体系。在技术方面，客户证书通过个人证书认证和数字签名技术，对客户的网上交易实施身份认证，并且可以签署各种业务服务协议，确保了交易和协议的唯一、完整和不可否认。建行推出的其他的安全措施：1. 短信服务建行网上银行提供了从登陆、查询、交易、直到退出的每一个环节的短信提醒服务，我们可以直接通过网上银行捆绑其手机，随时掌握网上银行使用情况。 2. 动态口令卡建行网上银行除了向客户提供证书保护模式外，还推出了动态口令卡，可以免除了客户携带证书和使用证书的不便，动态口令卡样式轻小、安全性高。 3. 先进技术的保障中国

51、建设银行网上银行支付系统采用了严格的安全性设计，通过密码校验、CA证书、SSL（加密套接字层协议）加密和服务器方的反黑客软件等多种方式来保证客户信息安全。 4. 双密码控制，并设定了密码安全强度网上银行支付系统采取登录密码和交易密码两种控制，并对密码错误次数进行了限制，超出限制次数，客户当日即无法进行登录。在首次登录网上银行时，系统将引导客户设置交易密码，并对密码强度进行了检测，拒绝使用简单密码，有利于提高使用账户的安全性。在系统登录时，还提供了附加码和密码小键盘等服务，避免泄露顾客的信息。5. 交易限额控制网上银行支付系统对各类资金交易均设定了交易限额，以进一步保证您账户资金的安全。6. 信

52、息提示，增加透明度在网上银行操作过程中，客户提交的交易信息及各类出错信息都会清晰地显示在浏览器屏幕上，让客户清楚地了解该笔交易的详细信息。在转账交易要求客户输入转账交易附加码，并提示其核实转账信息。7. 客户端密码安全检测建行网上银行支付系统提供了对客户的客户端密码安全检测，能自动评估客户设置的网上银行密码安全程度，并给予客户必要的风险警告，有助于提高客户在使用网上银行支付时的安全性。4.5网上银行安全案例分析目前，各商业银行为保证客户网上银行支付的安全，提高自身网上银行的竞争力，都积极采取了各种保障网上支付交易安全的有效手段；网上支付的客户也都了解要保证网上支付的安全，一是使用安全的数字证书

53、，二是养成良好的网银使用习惯。看上去简单易行的防范风险的办法，却没有引起大家足够的重视，因而我们也不时能够听到网银不安全事件的发生，本案例将透过网银安全事故，分析这些事故时由什么原因造成的以及使用网上银行的时候，如何有针对性的采取措施，安全使用网上银行。案例一：2006年7月，黔西南册亨县年仅11岁的陆某，从网上购买了专门用于套取个人账户、密码的假冒网站，并于7月26日冒充网上银行客服人员，以帮助丹寨县个人网上银行用户李某某解决不能登录问题为由，让李某在陆某的假冒网站上填写银行账户信息，从而盗取了李某的个人账号及网银支付密码。7月28日凌晨，陆某用倒去的账号和密码将李某账户中的2598元转移到

54、其事先开好的账户内，并准备再次转移提现。案例二：2006年4月19日，定海的陈女士准备进入自己的网上银行账户时，发现熟记于心的密码竟然连续发生“输入错误”，但是她以为是电脑出现故障。第二天，当她使用密码任然不能进入自己的网上银行账户时，陈女士才警觉有问题，马上到开户银行查询，发现账户上7100元存款已被人通过网上购物消费掉了。可以说类似案例一和案例二的网上银行安全时间不在少数，不过从目前发生过的网银安全案例来看不外乎有三类：第一类，利用假网站来骗取用户名与口令，如案例一。这类案件起是技术含量很低，网络骗子会做网站并稍懂在互联网上窃取信息的技术即可，但他却占到了网银安全案例总数的95%以上。其实

55、在这种案例当中，用户连真正的网上银行的大门都没进，银行的各种安全机制在用户进错门的情况下自然无法发挥作用了。第二类是通过在互联网上的机器中植入木马、病毒等方式来作案。案例二就是典型的此类案件，不过这种案例所占的比重是非常少的，因为银行网站都采用了安全的物理手段来防范此类病毒，即使漏洞会出现，也会在非常短的时间内加以解决。第三类，用户自己没能保管卡号和口令，比如犯罪分子通过电子邮件、短信等方式骗取了卡号和口令作案等。其实对这三类案件进行分析后我们可以发现，只要使用网上银行用户能保护好自己的“网银资料”，正确使用数字证书，这三类案件都是完全可以避免的。 在第一类案件中，当登录网站时，如果有数字证书

56、在手，通过一种用户和银行互相确认对方身份的机制，就能够检查出这个网站的真假。只有双方的身份验证真实后，才会与银行之间建立一个安全、加密的信息通道，这样一来，就不必担心会登陆到假的银行网站而使自己的的资金帐户受到不法分子的盗取。在第二类案件中，不法分子使用的木马等病毒，即使植入了您的个人电脑，也不能够从USBkey中获取到帐号和口令；而且，不法分子获得了帐号和口令信息，也会因为没有数字证书证明身份而不能够对账户资金进行任何操作。在第三类案件中，即使是用户的卡号和口令被盗，只要将USBkey握在手中，没有数字证书别人是无法冒充的，不法分子就不能够通过用户卡号和口令对资金帐户进行任何操作。因此，可以

57、说数字证书是网上银行支付安全的根本保障。同时形成良好的安全习惯也是必要的，比如登录时输入准确的网址能避免登陆假网站、保护好自己的银行卡帐号河密码、安装并定期更新病毒检测软件等。5.电话支付存在的安全问题及相应对策5.1电话支付概述5.1.1电话支付基本概念电话支付是电子支付的一种线下实现形式，是指消费者使用电话（固定电话、手机、小灵通）或其他类似电话的终端设备，通过银行系统就能从个人银行账户里直接完成付款的方式。5.1.2 电话支付的特点电话支付业务具有交易安全、成本较低、操作简便、业务扩展性强等特点。（1）网络安全性：终端与电话支付平台通过PSTN网络连接，满足银行卡交易对网络安全的需要。（

58、2）信息安全性：对磁道信息、密码等数据由PSAM卡进行加密操作。（3）信息完整性：进行报文的MAC 校验，保证报文的完整与不被篡改。（4）密钥安全性：具有完备的密钥管理系统，每次交易使用不同的过程密钥，密钥不可读取。（5）操作简单：以菜单和操作提示信息提示用户完成业务交互，操作简单，用户界面友好。（6）成本低廉：与同类产品相比，终端具有较大的成本优势，运营维护成本较低。（7）业务扩展性较好：业务加载无需对终端、平台进行改造，承载业务内容丰富，具有较好的灵活性、可扩展性。5.2电话支付的存在的安全问题及近年的案例5.2.1电话支付的存在的安全问题（1）客户缺乏安全意识。客户对电话银行交易的安全只

59、是了解较少在缺乏安全机制或措施的环境中进行电话支付，例如在公用电话上进行电话支付等。导致登陆账号和密码被窃取，资金被划走的状况。（2）电话的键盘存在安全隐患。我们平时使用的POS、ATM等交易终端输入键盘，都是采用通过中国人民银行严格安全监测的加密键盘模式，每个数字键在操作时候所发出的声音频率和电子辐射都是一样的，而我们日常使用的手机、固定电话和小灵通，其数字输入键盘都没有经过加密处理，也没有经过安全测试和检验。在操作的时候，每个数字键所发出的声音频率大小不一样，电子辐射也不一样，容易被人通过声音接收设备或电子辐射接收设备，轻易地辨别出操作的是哪一个数字键，这就造成了电话支付在商业应用或公共场

60、合的应用中存在这极大地安全隐患。（3）密码简单，易被破解。由于输入字母不便，电话银行的密码相对简单，在先进的设备和技术下，其被破解的难度也大打折扣。（4）如果客户使用智能手机进行电话支付，犯罪分子可以通过电脑或手机木马程序盗取密码，而智能手机终端杀毒、防毒工作远不及智能手机的普及速度，这显然也制造了一个漏洞。（5）由于电话银行和网络银行的关联性，用户往往用网络银行的密码兼当电话银行的密码，使黑客知晓银行卡密码后能轻松盗取。（6）除非用户办理相关业务，否则使用电话支付后，银行是不会对用户的资金变动情况与用户主动沟通的，这大大降低了用户追回损失的可能性。5.2.2案例分析信用卡未离身怎被盗刷2万元

61、？“电话订票”埋隐患信用卡未离身，居然也可以被人刷走卡里的2万多元！而这样蹊跷的事情就发生在了翟姐的身上。记者通过调查发现了一个危险的“订票”黑洞，部分银行在推广信用卡的过程中，难以保障个人信息安全，不法分子盗取私密信息后，通过电话支付平台，订票后再退票，从而“榨”走持卡人的血汗钱。1.信用卡无端被刷2万多元翟姐从小在广州长大，目前是天河一家美容机构的负责人，因为工作需要，这几年，她前前后后在几件银行办了近6张信用卡。之前一直平安无事，直至今年1月份。翟姐打电话去其中一家银行查询透支金额，工作人员竟表示，她留的手机号和亲人名字都不对。“自己明明一直没有改过信用卡的资料，怎么会全不对呢？”翟姐心

62、里十分纳闷。客服人员提醒他，如果她想继续使用这张卡，一定要将资料改过来。翟姐第二天到银行一问，心里一惊：有人打电话冒用她的身份证修改了她的资料。翟姐这才恍然大悟，原来她每次刷卡，银行都会发条信息给她的。但自从去年12月底开始，刷卡后就没收到过银行的信息了。冒充她的这个人究竟是谁呢？修改卡的资料又为了什么呢？由于当时银行工作人员表示“暂时查不了账户余额”，翟姐又以为反正卡在自己身上，也没有受到什么损失，资料也改过来了，就没再追究下去，只是叫银行冻结账户。然而，几天后，翟姐突然收到银行发来的一条信息，显示“用卡不成功”。后来银行保卫科打电话称她的卡被盗用了，建议她去报案。因为已经将卡冻结，加上临近春节，翟姐并未马上报案。到了2月9日，翟姐收到了银行寄过来的账单。不看不知道，一看吓一跳，信用卡在冻结之前，居然被人刷走了三笔钱，都是网上消费的，金额足足有2万多元。翟姐一下子懵了。2.给出卡号等信息便能通过电话购机票翟姐去派出所报了案，希望公安部门能为自己追回损失。但不法分子是如何修改翟姐资料并盗刷其信用卡的呢？银行方面回应说，客户修改资料，一是亲自到