電子商務網絡支付安全問題的探討分析

摘 要：電子商務的特征是在線交易，保證在線交易安全是電子商務發展過程中必需解決的一個重大課題。隨著電子商務的發展與普及，針對網上交易的各種網絡犯罪活動也層出不窮，給許多用戶造成了不必要的損失。因此，本文對電子商務網絡支付面臨的風險種類、攻擊方式及安全防范措施進行了探討分析。

關鍵詞：網絡支付 安全 網絡攻擊 數字簽名

網絡支付是指電子交易的當事人，包括消費者、廠商、和金融機構，使用安全電子支付手段通過網絡進行的貨幣支付或資金流轉。主要包括有電子貨幣類，電子信用卡類，電子支票類。和傳統的支付手段相比較，網絡支付具有方便、快捷、高效、經濟的優勢。因為因特網的開放性，網絡支付也面臨著黑客、病毒的攻擊和威脅，存在著一定的風險。雖然網絡支付的風險系數較小，但是相比較傳統的支付手段，支付者缺乏必要的安全防范意識及手段，網絡支付賬號及密碼發生泄露的情況也時有發生，給用戶造成了很多不必要的損失。因此，研究網絡支付安全問題，提高用戶的安全防范意識，普及網絡支付的安全防范手段、工具等知識，在電子商務不斷深入發展的今天就顯得尤為重要。

一、網絡支付存在的風險種類

風險控制是一個動態的過程，在事物發展的不同階段，風險點會發生變化。就網絡支付而言，當前的主要方式是通過銀行卡（包括信用卡、借記卡和支付卡等）這種支付工具。用戶在進行在線支付時，首先通過瀏覽器輸入支付認證信息，然后由發卡行對信息進行認證授權，最后完成支付。在這個過程中，存在著以下三點風險：

1.支付密碼泄漏。用戶通過瀏覽器輸入的支付認證信息包括銀行卡號及密碼。如果攻擊者通過竊聽方式獲得了用戶的支付密碼，就可以通過網絡進入到持卡人的賬戶進行轉賬或消費，給持卡人帶來損失。

2.支付數據被篡改。網絡支付傳遞的是數據信息。在信息的傳遞過程中，如果缺乏必要的安全防范措施，攻擊者可以截獲并修改在互聯網傳輸中的支付數據。譬如，攻擊者可以修改支付金額、修改收款人賬號等，然后將修改后的數據重新進行發送，從而達到謀利目的。

3.否認支付。否認支付其實就是解決支付憑證問題。否則，沒有支付憑證，付款人可以否認資金劃出操作，收款人可以否認資金劃入操作。

二、網絡攻擊的主要方式

在以上三種風險中，支付密碼泄露是網絡支付案件發生的主要原因。網絡攻擊的主要目標就是獲取用戶的支付密碼，所以支付者保護好自己的支付密碼非常重要。網絡黑客盜取用戶的支付密碼主要有以下幾種方式：

1.騙取手段。攻擊者常用的方式有“釣魚”網站。譬如，制作一個假冒的銀行網站，界面與真的銀行網站非常相似，甚至于完全一樣，只是網址有些細微的差別。當持卡人被誘騙到假冒的網站時，其輸入的信息就會被攻擊者看到，從而泄露自己的銀行卡支付密碼。除了假冒網站之外，短信或郵件也是騙子喜歡用的方式。

2.支付終端截取。攻擊者在用戶的電腦上發布木馬軟件，當用戶在自己的電腦上輸入支付密碼時，木馬軟件能悄無聲息地捕獲用戶在鍵盤上輸入的信息并發送出去。

3.網絡截獲。攻擊者在網絡數據的傳輸過程中截獲數據，然后通過智能識別和密鑰破解手段得到用戶的支付密碼。

4.枚舉攻擊。發卡行一般采用6位數字密碼方式。攻擊者可以采用密碼詞典方式進行破解，其原理就是利用計算機，將不同的6位數字組合進行逐一試探，直到找到正確的支付密碼為止。

5.其他途徑獲取。攻擊者趁持卡人疏忽大意，在銀行柜臺、ATM或POS終端窺看并記下持卡人的支付密碼。

三、網絡支付的安全防范措施

用戶在進行網絡支付時，必需提高網絡安全防范意識，掌握必要的網絡安全防范措施，這樣才能防止自己的支付賬號及密碼不被泄露，最大限度的減少不必要的損失。常見的網絡支付安全防范措施有以下幾點：

1.防范并識別假冒網站。持卡人在使用網上銀行業務時，一定要識別網站域名的真偽。因此，持卡人要熟悉商業銀行或支付平臺的域名，在登錄時認真核對，并在支付操作時細心即可。

2.識別虛假短信（電話、郵件）。目前，短信詐騙也時常發生。持卡人在收到任何與銀行卡、支付相關的短信后，一定要確認發送者身份及短信內容的真實性。凡是收到涉及到要持卡人提供賬號或支付密碼的短信、電話或郵件，持卡人一定要提高警惕，防止被騙。

3.密碼保護。密碼設置不能過于簡單。所謂簡單，就是指密碼容易被別人猜出來，如自己或親人的生日信息、電話號碼，或者類似“123456”這樣的簡單數字組合。同時，要注意支付終端的安全性，不要在公共網吧、機房進行網上支付，個人電腦要安裝反病毒、反木馬軟件。另外，在輸入支付密碼時，要防止他人偷窺、攝像等。

4.安裝網上銀行的數字證書。由于人腦記憶的局限性，持卡人在設置支付密碼時通常是字母、數字的簡單組合，利用枚舉法可以輕易破解。數字證書屬于高安全強度的加密機制，不容易破解。目前，所有商業銀行的網上支付系統都提供了數字證書服務，因此，持卡人在使用網上支付時最好要安裝并使用數字證書，從而大大降低網上支付的安全風險。

5.防止支付數據被篡改。數字簽名技術的使用可以保障數據的完整性。利用數字簽名產生消息摘要，消息摘要能標明支付數據的特征值，即使支付數據有了細微的變化，也會產生內容迥異的消息摘要。因此，一旦支付數據被篡改，通過比對消息摘要，就可以輕易識別數據是否被人篡改。

6.防止支付否認。數字簽名技術還可以防止支付否認。在傳統的線下支付活動中，銀行和客戶可以通過支付回單作為交易憑證，雙方互相不能否認產生的支付活動。互聯網支付，數字簽名記錄能起到類似支付回單的作用。

電子商務的特征是在線交易，保證網絡支付安全是電子商務發展必需解決的重大問題。現有的網絡安全技術基本上能滿足電子商務在線支付安全的需要。隨著技術的不斷進步，網絡支付會更加安全簡便，從而為電子商務的普及和發展提供了必要的保障。

參考文獻：

[1]龍延軍.建立公共電子支付平臺[J].中國金融電腦.2006（10）

[2]顧卓.支付安全誰來保障[J].電子商務世界.2007（10）

[3]譚漢元.電子商務網絡安全支付問題淺析[J].電子商務.2011（01）

[4]李艷.網絡支付與其安全性研究[J].科技信息.2010（25）