電子商務(wù)網(wǎng)絡(luò)支付安全問題的探討分析

摘 要：電子商務(wù)的特征是在線交易，保證在線交易安全是電子商務(wù)發(fā)展過程中必需解決的一個(gè)重大課題。隨著電子商務(wù)的發(fā)展與普及，針對(duì)網(wǎng)上交易的各種網(wǎng)絡(luò)犯罪活動(dòng)也層出不窮，給許多用戶造成了不必要的損失。因此，本文對(duì)電子商務(wù)網(wǎng)絡(luò)支付面臨的風(fēng)險(xiǎn)種類、攻擊方式及安全防范措施進(jìn)行了探討分析。

關(guān)鍵詞：網(wǎng)絡(luò)支付 安全 網(wǎng)絡(luò)攻擊 數(shù)字簽名

網(wǎng)絡(luò)支付是指電子交易的當(dāng)事人，包括消費(fèi)者、廠商、和金融機(jī)構(gòu)，使用安全電子支付手段通過網(wǎng)絡(luò)進(jìn)行的貨幣支付或資金流轉(zhuǎn)。主要包括有電子貨幣類，電子信用卡類，電子支票類。和傳統(tǒng)的支付手段相比較，網(wǎng)絡(luò)支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。因?yàn)橐蛱鼐W(wǎng)的開放性，網(wǎng)絡(luò)支付也面臨著黑客、病毒的攻擊和威脅，存在著一定的風(fēng)險(xiǎn)。雖然網(wǎng)絡(luò)支付的風(fēng)險(xiǎn)系數(shù)較小，但是相比較傳統(tǒng)的支付手段，支付者缺乏必要的安全防范意識(shí)及手段，網(wǎng)絡(luò)支付賬號(hào)及密碼發(fā)生泄露的情況也時(shí)有發(fā)生，給用戶造成了很多不必要的損失。因此，研究網(wǎng)絡(luò)支付安全問題，提高用戶的安全防范意識(shí)，普及網(wǎng)絡(luò)支付的安全防范手段、工具等知識(shí)，在電子商務(wù)不斷深入發(fā)展的今天就顯得尤為重要。

一、網(wǎng)絡(luò)支付存在的風(fēng)險(xiǎn)種類

風(fēng)險(xiǎn)控制是一個(gè)動(dòng)態(tài)的過程，在事物發(fā)展的不同階段，風(fēng)險(xiǎn)點(diǎn)會(huì)發(fā)生變化。就網(wǎng)絡(luò)支付而言，當(dāng)前的主要方式是通過銀行卡（包括信用卡、借記卡和支付卡等）這種支付工具。用戶在進(jìn)行在線支付時(shí)，首先通過瀏覽器輸入支付認(rèn)證信息，然后由發(fā)卡行對(duì)信息進(jìn)行認(rèn)證授權(quán)，最后完成支付。在這個(gè)過程中，存在著以下三點(diǎn)風(fēng)險(xiǎn)：

1.支付密碼泄漏。用戶通過瀏覽器輸入的支付認(rèn)證信息包括銀行卡號(hào)及密碼。如果攻擊者通過竊聽方式獲得了用戶的支付密碼，就可以通過網(wǎng)絡(luò)進(jìn)入到持卡人的賬戶進(jìn)行轉(zhuǎn)賬或消費(fèi)，給持卡人帶來(lái)?yè)p失。

2.支付數(shù)據(jù)被篡改。網(wǎng)絡(luò)支付傳遞的是數(shù)據(jù)信息。在信息的傳遞過程中，如果缺乏必要的安全防范措施，攻擊者可以截獲并修改在互聯(lián)網(wǎng)傳輸中的支付數(shù)據(jù)。譬如，攻擊者可以修改支付金額、修改收款人賬號(hào)等，然后將修改后的數(shù)據(jù)重新進(jìn)行發(fā)送，從而達(dá)到謀利目的。

3.否認(rèn)支付。否認(rèn)支付其實(shí)就是解決支付憑證問題。否則，沒有支付憑證，付款人可以否認(rèn)資金劃出操作，收款人可以否認(rèn)資金劃入操作。

二、網(wǎng)絡(luò)攻擊的主要方式

在以上三種風(fēng)險(xiǎn)中，支付密碼泄露是網(wǎng)絡(luò)支付案件發(fā)生的主要原因。網(wǎng)絡(luò)攻擊的主要目標(biāo)就是獲取用戶的支付密碼，所以支付者保護(hù)好自己的支付密碼非常重要。網(wǎng)絡(luò)黑客盜取用戶的支付密碼主要有以下幾種方式：

1.騙取手段。攻擊者常用的方式有“釣魚”網(wǎng)站。譬如，制作一個(gè)假冒的銀行網(wǎng)站，界面與真的銀行網(wǎng)站非常相似，甚至于完全一樣，只是網(wǎng)址有些細(xì)微的差別。當(dāng)持卡人被誘騙到假冒的網(wǎng)站時(shí)，其輸入的信息就會(huì)被攻擊者看到，從而泄露自己的銀行卡支付密碼。除了假冒網(wǎng)站之外，短信或郵件也是騙子喜歡用的方式。

2.支付終端截取。攻擊者在用戶的電腦上發(fā)布木馬軟件，當(dāng)用戶在自己的電腦上輸入支付密碼時(shí)，木馬軟件能悄無(wú)聲息地捕獲用戶在鍵盤上輸入的信息并發(fā)送出去。

3.網(wǎng)絡(luò)截獲。攻擊者在網(wǎng)絡(luò)數(shù)據(jù)的傳輸過程中截獲數(shù)據(jù)，然后通過智能識(shí)別和密鑰破解手段得到用戶的支付密碼。

4.枚舉攻擊。發(fā)卡行一般采用6位數(shù)字密碼方式。攻擊者可以采用密碼詞典方式進(jìn)行破解，其原理就是利用計(jì)算機(jī)，將不同的6位數(shù)字組合進(jìn)行逐一試探，直到找到正確的支付密碼為止。

5.其他途徑獲取。攻擊者趁持卡人疏忽大意，在銀行柜臺(tái)、ATM或POS終端窺看并記下持卡人的支付密碼。

三、網(wǎng)絡(luò)支付的安全防范措施

用戶在進(jìn)行網(wǎng)絡(luò)支付時(shí)，必需提高網(wǎng)絡(luò)安全防范意識(shí)，掌握必要的網(wǎng)絡(luò)安全防范措施，這樣才能防止自己的支付賬號(hào)及密碼不被泄露，最大限度的減少不必要的損失。常見的網(wǎng)絡(luò)支付安全防范措施有以下幾點(diǎn)：

1.防范并識(shí)別假冒網(wǎng)站。持卡人在使用網(wǎng)上銀行業(yè)務(wù)時(shí)，一定要識(shí)別網(wǎng)站域名的真?zhèn)巍Ｒ虼耍挚ㄈ艘煜ど虡I(yè)銀行或支付平臺(tái)的域名，在登錄時(shí)認(rèn)真核對(duì)，并在支付操作時(shí)細(xì)心即可。

2.識(shí)別虛假短信（電話、郵件）。目前，短信詐騙也時(shí)常發(fā)生。持卡人在收到任何與銀行卡、支付相關(guān)的短信后，一定要確認(rèn)發(fā)送者身份及短信內(nèi)容的真實(shí)性。凡是收到涉及到要持卡人提供賬號(hào)或支付密碼的短信、電話或郵件，持卡人一定要提高警惕，防止被騙。

3.密碼保護(hù)。密碼設(shè)置不能過于簡(jiǎn)單。所謂簡(jiǎn)單，就是指密碼容易被別人猜出來(lái)，如自己或親人的生日信息、電話號(hào)碼，或者類似“123456”這樣的簡(jiǎn)單數(shù)字組合。同時(shí)，要注意支付終端的安全性，不要在公共網(wǎng)吧、機(jī)房進(jìn)行網(wǎng)上支付，個(gè)人電腦要安裝反病毒、反木馬軟件。另外，在輸入支付密碼時(shí)，要防止他人偷窺、攝像等。

4.安裝網(wǎng)上銀行的數(shù)字證書。由于人腦記憶的局限性，持卡人在設(shè)置支付密碼時(shí)通常是字母、數(shù)字的簡(jiǎn)單組合，利用枚舉法可以輕易破解。數(shù)字證書屬于高安全強(qiáng)度的加密機(jī)制，不容易破解。目前，所有商業(yè)銀行的網(wǎng)上支付系統(tǒng)都提供了數(shù)字證書服務(wù)，因此，持卡人在使用網(wǎng)上支付時(shí)最好要安裝并使用數(shù)字證書，從而大大降低網(wǎng)上支付的安全風(fēng)險(xiǎn)。

5.防止支付數(shù)據(jù)被篡改。數(shù)字簽名技術(shù)的使用可以保障數(shù)據(jù)的完整性。利用數(shù)字簽名產(chǎn)生消息摘要，消息摘要能標(biāo)明支付數(shù)據(jù)的特征值，即使支付數(shù)據(jù)有了細(xì)微的變化，也會(huì)產(chǎn)生內(nèi)容迥異的消息摘要。因此，一旦支付數(shù)據(jù)被篡改，通過比對(duì)消息摘要，就可以輕易識(shí)別數(shù)據(jù)是否被人篡改。

6.防止支付否認(rèn)。數(shù)字簽名技術(shù)還可以防止支付否認(rèn)。在傳統(tǒng)的線下支付活動(dòng)中，銀行和客戶可以通過支付回單作為交易憑證，雙方互相不能否認(rèn)產(chǎn)生的支付活動(dòng)。互聯(lián)網(wǎng)支付，數(shù)字簽名記錄能起到類似支付回單的作用。

電子商務(wù)的特征是在線交易，保證網(wǎng)絡(luò)支付安全是電子商務(wù)發(fā)展必需解決的重大問題。現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)基本上能滿足電子商務(wù)在線支付安全的需要。隨著技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)支付會(huì)更加安全簡(jiǎn)便，從而為電子商務(wù)的普及和發(fā)展提供了必要的保障。

參考文獻(xiàn)：

[1]龍延軍.建立公共電子支付平臺(tái)[J].中國(guó)金融電腦.2006（10）

[2]顧卓.支付安全誰(shuí)來(lái)保障[J].電子商務(wù)世界.2007（10）

[3]譚漢元.電子商務(wù)網(wǎng)絡(luò)安全支付問題淺析[J].電子商務(wù).2011（01）

[4]李艷.網(wǎng)絡(luò)支付與其安全性研究[J].科技信息.2010（25）