电子商务安全支付

第三章电子商务网络支付主讲：林靖宵3.电子商务网络支付支付形式线下支付线上支付转账支付现金支付线下支付：现金、支票、银行卡、智能卡、信用卡、现金转账线上支付：网上银行转账、第三方支付平台、信用卡电子商务支付方式：线上支付/转账支付转账支付：客户银行客户客户第三方支付平台客户3.1网上银行一、网上银行指利用互联网技术，通过互联网向客户提供开户、查询、对账、行内及跨行转账、信贷、网上证券、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。网上银行虚拟柜台目前，几乎所有境内银行均开设网上银行业务是中国大多数银行的标配，中国的网络银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充，银行增加一些软、硬件设备，使得用户可以通过家用电脑连接银行系统，进行各种普通的银行业务，以弥补传统银行业务中营业网点少和营业时间短的不足。中国的网上银行起步比较早的是深圳招商银行，他们开发过第一个面向最终用户的网银系统。招行的网络银行有大众版和专业版之分。个人网上银行网上银行网银理财产品企业网上银行1.个人网上银行个人网上银行客户分为注册客户和非注册客户两大类。注册客户按照注册方式分为柜面注册客户和自助注册客户，按是否申令证书分为证书客户和无证书客户。可以说，个人网上银行是在Internet上的虚拟银行柜台。一般说来网上银行的业务品种主要包括基本业务、网上投资、网上购物、个人理财、企业银行及其他金融服务。基本网银业务商业银行提供的基本网上银行服务包括：在线查询账户余额、交易记录，下载数据、转账和网上支付等。网上投资由于金融服务市场发达，可以投资的金融产品种类众多，国外的网上银行一般提供包括股票、期权、共同基金投资和CDs买卖等多种金融产品服务。网上购物商业银行的网上银行设立的网上购物协助服务，大大方便了客户网上购物，为客户在相同的服务品种上提供了优质的金融服务或相关的信息服务，加强了商业银行在传统竞争领域的竞争优势。个人理财助理个人理财助理是国外网上银行重点发展的一个服务品种。各大银行将传统银行业务中的理财助理转移到网上进行，通过网络为客户提供理财的各种解决方案，提供咨询建议，或者提供金融服务技术的援助，从而极大地扩大了商业银行的服务范围，并降低了相关的服务成本。其他金融服务除了银行服务外，大商业银行的网上银行均通过自身或与其他金融服务网站联合的方式，为客户提供多种金融服务产品，如保险、抵押和按揭等，以扩大网上银行的服务范围。2.企业网上银行企业网上银行适用于需要实时掌握账户及财务信息、不涉及资金转入和转出的广大中小企业客户。客户在工行网点开通企业电话银行或办理企业普通卡证书后，就可在柜面或在线自助注册企业网上银行普及版。客户凭普通卡证书卡号和密码即可登录企业网上银行普及版，获得基本的网上银行服务。企业网上银行能够办理的业务账户管理付款业务（公对公付款）：网上付款、证券登记公司资金清算、电子商务、外汇付款收款业务集团理财贷款业务投资理财基金（基金交易业务、基金查询业务）国债存款企业财务室：企业网上银行贵宾客户通过此功能在网上进行代发工资、代理报销等业务处理。客户通过网上银行实现对同城/异地（含同行/他行账户）员工的工资发放业务，并实现银行工作日内本行同城/异地账户的实时到账。其功能包括提交指令（批量/单笔）、查询指令、批复指令，原来复杂繁琐的劳动，网上一步完成，大大减少企业财务人员工作量，提高工作效率。网上银行的特点：1.全面实现无纸化交易票据单据电子支票、电子汇票、电子收据纸币/现金电子现金、电子钱包、电子信用卡纸质文件网络通信数据2.服务方便、快捷、高效、可靠通过网络银行，用户可以方便、快捷、高校和可靠的全方位服务。可以在任何需要的时候使用网络银行的服务，不受时间、地域的限制，实现3A服务（任何时间Anytime、任何地点Anywhere、任何方式Anyhow）。目前企业网银的转账也还是收到时间限制的公对公及公对私转账目前在工作日的工作时间内能够进行。几乎所有的大额转账都要通过央行的转账系统才能生效，因此转账的时限是随央行的工作时限走的。3.经营成本低廉由于网络银行采用了虚拟现实信息处理技术，网络银行可以在保证原有的业务量不降低的前提下减少营业点的数量。在减低自身经营成本的同时，也减少了客户在办理业务过程中的时间成本。4.简单易用网上E-Mail通信方式也非常灵活方便，便于客户与银行之间及银行内部的沟通。二、网上银行业务的优势1.大大降低银行的经营成本，有效提高银行盈利能力。开办网上银行业务，主要利用公共网络资源，不需要设置物理的分支机构或营业网点，减少了人员费用，提高了银行后台系统的效率。2.无时空限制，有利于扩大客户群体网上银行可以进行3A服务，有利于吸引和保留优质客户，又能主动扩大客户群，开平新的利润来源。3.有利于服务创新，向客户提供多种类、个性化服务利用互联网和银行支付系统，容易满足客户咨询、购买和交易多种金融产品的需求，客户处办理银行业务外，还可以很方便的进行网上买卖股票债券等，网上银行能够为客户提供更加个性化的服务。目前网上银行的发展短板目前国有银行的网上银行存在的最大问题就是还没有一个成熟的赢利模式。网上银行的应用还停留在简单的业务层面，基本是传统非网上业务的Internet延伸，仅仅起到了一种“业务渠道”的作用，从本质上来看和ATM、柜台并没有区别，并没有形成一种很好的自身赢利模式，所以对网上银行赢利模式的探讨是国有银行特别关注的问题。由于国有银行的发展道路是“大而全”，随着业务品种不断增多，其网上银行的发展方向将会摆脱目前“传统业务渠道”的身份，向“金融门户”发展，即形成一个对客户的一站式金融服务的接口，用户通过这个接口，即可以完成一站式的金融服务。不法分子窃取用户信息主要通过木马程序来进行，比如，黑客首先在用户电脑系统注入木马程序后，驻留在中招电脑系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给黑客，他们再据此进行反读取以破译，钱便被黑走了。目前的网银系统的主要问题是，用户安全性过于依赖用户本身的素质，对于安全观念较差的用户，其密码很容易被盗取，因此这种“信任用户”的安全模式设计是很不合理的。用户的电脑可能安装木马程序，用户的一举一动都可能被监听和窃取，安全的网银系统应该设计成为这样的：假设网银的管理员是黑客，并在最终用户电脑安装木马并且可以监听用户的一切键盘鼠标操作，网银的管理员还可以进行系统管理和操作，但是网银的管理员依旧无法通过网银系统来窃取最终用户的资金。如果能做到这一点，那么这个网银系统就算是比较安全了。3.1.2网上银行的交易安全控制银行系统客户端网络通信要对三方面进行安全控制：•银行系统•用户端•网络通信1.银行交易系统的安全控制网上银行交易系统是本行业务系统向外的延伸，用户可以通过互联网在银行的系统内进行业务办理。（内网活动）银行的交易服务器在互联网上属于公开站点，处于一个开放的网络中，就是银行系统向互联网打开大门。（外网活动）因此，对于银行交易系统的安全控制主要体现在对于非法用户的侵入和交易身份的认证上。为防止服务器收到攻击，银行主要采取以下三方面的技术措施：1）设立防火墙（多重防火墙）分隔互联网与交易服务器，防止互联网用户的非法入侵；用于交易服务器与银行内部网的分离，有效保护银行内部网，同时防止内部网对交易服务器的入侵。2）高安全级别的服务器。3）24小时全时安全监控2.用户的安全控制主要是针对用户的真是身份确认进行安全控制在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制数字签名技术和用户登录密码的多重保证。用户的数字签名和登录密码进行检验全部通过后才能确认该用户的身份。用户的唯一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输为实现数字证书的唯一性和重要性，各家银行为开展网上业务都成立了CA认证机构（行业认证机构），专门负责签发和管理数字证书，并进行网上身份审核。3.网络通信的安全控制由于互联网是一个开放的网络，客户在网上传输的敏感信息（如密码、交易指令等）在通信过程中存在被截获、被破译、被篡改的可能。为了房子此种情况的发生，网上银行系统一般都采用加密传输交易信息的措施。目前，大部分Web服务器和浏览器都支持SSL协议。用户登录并通过身份认证之后，用户和服务器这几件在网络上传输的所有数据全部用会话密钥加密，知道用户退出系统为止。而每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。3.1.3网上银行的现状和问题（一）中国网上银行的现状1.网银用户和交易规模不断增加网上银行虽然在我国起步较晚，加之又受全球金融危机的冲击，但是在政府和银行业主管部门的大力扶持下，发展非常迅速，仍然展现出强劲的发展势头，网银用户和交易规模不断增加。2.用户活跃度提升随着网银用户的持续增加，越来越多的用户都开始慢慢尝试网银的各种业务。据《2009年中国网上银行调查报告》显示，个人用户人均每月使用网银5.9次，企业用户使用高达11.3次，其中35～44岁的“社会核心”人群和女性网银用户增幅较大。由于网银功能的不断更新，用户使用的活跃度也不断提升，这对于许多网银用户来说，网上银行正在由一种新鲜产品转为日常生活和企业运营的必须产品。3.业务种类逐渐丰富，形成各自品牌我国网银业务从起步到现在随虽然只有短短的十几年时间，但发展速度非常快，紧跟经济和时代潮流的快速发展，不断研究不同用户的需求，更新自己的产品。由过去网银业务类型单一、服务有限，发展至如今的种类丰富、服务品种繁多，陆续形成自己独有的品牌，如：工商银行的“金融@家”、农行的e顺”、建行的“e路”、招行的“一网通”等在广大用户中间均有良好的口碑。4.外资银行已开始进入我国网上银行领域自从我国加入世贸组织后，外资银行也看中了中国金融的广阔前景，开始关注并涉足中国的网上银行，与国内银行展开竞争。目前有花旗、汇丰、恒生等十多家外资银行面向我国开通网上银行业务，随着我国经济的快速发展和对外开放程度的进一步深化，全球经济一体化进程会使更多的外资银行进入我国网上银行业务领域。（二）中国网上银行目前存在的问题1、网络安全有待提高在网络安全方面，由于互联网的开放性和虚拟性，对“防火墙”、身份认证、安全系统层SSL协议、安全电子交易SET标准及其他技术措施的要求更高。而在信息的真实性、客户身份的合法性、支付信息的不可否认性、支付信息的完整性、网上交易的合法性等方面，还不能够完全消除人们的疑虑。此外，黑客、木马病毒的攻击使网民在支付过程中防不胜防。2009年3.15晚会曝光的“顶狐”案件更是让人们对网上银行的安全忧虑到达了高点。2、盈利机制有待形成虽然网上银行发展势头很好，但由于上网人数与网上消费不成正比。企业和个人间的电子商务交易量还处于低水平，网上金融交易规模占比较小，网上银行的客户层面窄，人数较少，平均成本较高，难以产生规模效应。网上银行所提供的主要是简单的支付服务，中间业务收入很少。由于发放贷款的功能较弱，难以形成传统的靠存贷利差盈利的机制。现阶段网上银行主要还是依靠母体银行的投入与支持，主要是商业银行部分传统业务在网上的延伸，业务的深度和宽度都有限，同质化比较严重，缺乏面向客户设计产品和差异化服务。3、法规建设与监管滞后《网上银行业务管理办法》、《电子支付指引》、《电子银行业务管理办法》、《电子银行安全评估指引》等法律法规相继颁布实施，规范了网上银行业务的市场准入、运行管理和风险控制，为保障网上银行健康发展奠定了法律基础。但仍滞后于网上银行发展速度，指导性和可操作性还存在不足。网上银行在有关服务承担者的资格、交易规则、交易合同的有效性、交易双方当事人权责明晰及消费者权益保护等方面比传统银行更加复杂、难以界定。同时，我国的信用体系建设刚刚开始，企业和个人的信用