《(风险管理)网上支付的风险-课程报告》由会员分享,可在线阅读,更多相关《(风险管理)网上支付的风险-课程报告(6页珍藏版)》请在金锄头文库上搜索。
1、 华中科技大学课程报告课程名:电子商务报告题目:网上支付的风险班级:0703学号:U200714717姓名:伍贤俊指导教师:叶涛成绩:_提交日期:2011/3/18 5 / 6摘要:随着网络技术的迅速发展,电子商务成为世界贸易经济发展的新趋势。然而伴随着网上支付欺诈率的不断攀升,作为电子商务核心环节的网上支付安全问题备受关注。从支付系统的安全性、安全认证机构不规范等技术层面以及网上支付法律环境等法律层面分析了网上支付的风险问题,提出了应对策略以期提高网上交易的公正性和安全性。主要是对网上支付的风险在技术上进行预测和控制。关键词:电子商务;网上支付;风险;风控。随着我国现代商业银行业务活动的日益
2、发达和快速发展,传统的银行金融服务已经不是局限在固定的营业场所,随着电子商务(ElectronicCommerce,EC)的迅速发展,它已经扩展到了互联网,网上银行支付已经成为未来金融服务的发展方向,广大企业用户普及使用网上银行支付系统,个人网上银行普遍使用使用也在快速发展,在用户体验网上银行带来的交易成本降低和便捷服务的同时也隐含着潜在的支付风险。 一、网上支付概述网上支付模拟图(一)网上支付的概念和特征电子商务是以互联网为平台,通过商业信息业务流程、物流系统和支付结算体系的整合构成的新的商业运作模式,是一套完整的网络商务经营及管理信息系统。其核心问题是如何确保网络交易中的电子支付的有效性和
3、安全性。网上支付,是指以计算机及网络为手段,将负载有特定信息的电子数据取代传统的支付工具用于资金流转,并具有实时支付效力的支付方式。网上支付作为新的网络交易支付方式,它的应用和发展给传统支付模式带来了很大的冲击和挑战。当我们分析这种支付模式的特征时,不难发现由事物本质属性影射出其潜藏的不安全因素。网上支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的,于是人们就开始质疑信息数字化后数据传输过程中信息丢失、重复、错序、篡改等安全性问题;网上支付的工作环境是基于一个开放的系统平台之中,交易双方的身份置于虚拟世界中,这无疑增加了电子支付的风险;网上支付
4、使用的是最先进的通信手段,对软硬件设施的要求很高,技术软件不成熟就为黑客等不法分子提供了可乘之机,所以,研制出一套无懈可击的互联网支付系统成为制约电子商务发展的瓶颈。(二)网上支付主体间的法律关系网上支付的主体包括网络银行、客户和认证机构。网络银行指银行在互联网上建立网站,通过互联网向客户提供网上支付、资金转账、投资理财等金融服务的银行。在网上支付中,作为支付中介的网络银行扮演着举足轻重的角色,其支付的依据是银行与电子交易客户所订立的金融服务协议。客户通常包括消费者和商家,消费者与商家和银行间存在两个相互独立的合同关系,即买卖合同和金融服务合同。认证机构独立于认证用户(商家和消费者)和参与者(
5、检验和使用证书的相关方),以第三方身份证明网上活动的合法有效性。认证机构与证书用户之间的法律关系是基于双方签订的认证服务合同而形成的一种在线认证服务与被服务的关系,其权利义务应当由协议来决定。网上支付是交易双方实现各自交易目的的重要一步,也是电子商务得以发展的基础条件。可是,网上支付的风险并不仅限于消费者购物支付过程中的问题,还包括纠纷出现后银行或其他发行机构的责任问题以及网上支付工具资金划拨系统等问题。明确参与主体间的法律关系才能更好地解决纠纷,进而预防纠纷。那么我们在法律上该如何界定网上支付的完成呢?这也是划分法律关系主体风险转移责任承担的依据点。我认为以受益人银行决定接受贷记划拨时作为网
6、上支付完成时间比较合理。以上所述只是网上支付风险存在的宏观因素。从微观上看,电子商务的不安全隐患无非来源于三个层面:技术层面、人为因素和法律缺陷。二、网上支付系统的技术风险(一)支付系统的安全性受到质疑为保证电子商务的安全,目前国内外出现了许多保障电子商务支付系统安全的协议,然而我们目前的技术水平是否有足够的科技能力为电子商务的发展提供完美的技术抵御来自全球各地对交易系统的可能入侵?是否有能力提供消费者难以伪造的身份认证?传统的书面交易不容易涂改,但网上银行的电子支付是在无纸化环境下进行的,这就必须从技术上确保数据传输的安全,保证交易数据不被窃取篡改。为了应对不法分子,目前,各开办网络银行业务
7、的银行纷纷出台各种技术措施应对不安全因素。然而技术支持与保障不可能自然延伸到交易人的真实与可靠,难以有效地防止欺诈。支付第三方的出现一定程度上减少了交易欺诈的发生几率。这种模式最开始是由支付宝提出的,只是很遗憾支付宝更多的只是使用于2领域的小额资金支付,把这种模式照搬到2领域必然有排斥反应。而且我不禁要问:非金融机构性质的支付服务第三方是否有从事电子货币支付清算业务的资格呢?如果有,是什么法律法规赋予它的权利,由哪个机构来监督管制?如果没有,它的合法性就受到质疑。(二)安全认证机构不规范增加网上支付风险中国金融认证中心,是由中国人民银行组织各家商业银行联合共建的安全认证机构,在金融界具有高度权
8、威性和公正性。认证机构有权要求用户提供认证所必须的正确相关信息,并随时检查用户使用证书的情况,证书机制可以保证信息的真实性、完整性、私密性和不可否认性,从而保证电子支付安全。然而,我国没有统一的权威立法来规制认证机构市场准入机制、运作的程序、相关责任人的义务等,缺少有效的监督。作为公正和权威象征的认证机构如果本身机制运作缺乏公开、公正、公平的话,怎么给广大消费者网上支付足够的信心? 网上支付的几类技术风险三、网上支付的风险控制风控示意图以95epay双乾在线为例分析网上支付的风控(一)、可靠的系统的高安全性。 95epay双乾在线支付平台使用著名的mycoffee防火墙,确保双乾支付网关免于病
9、毒和黑客攻击,避免由于网络产生的新漏洞受到威胁,为商户交易的机密数据提供了保护措施,保证平台安全稳定。 主动防御系统会依据严格的安全策略,抵御未知攻击和漏洞,对合法开放的端口的攻击事件过滤和阻止,对内部网络存在的可疑访问进行评估。对网络全部的流量进行分析和过滤中,并且记录所有可疑访问和各种攻击事件。 核心平台采用业界最先进的系统架构,保证所有网络层和应用层服务均做到LoadBalance。保障商户和持卡人724小时安全,稳定和高效地体验双乾支付的所有产品。 (二)、采用SSL128位数字传输加密标准。 95epay双乾在线支付平台使用全球著名认证中心VeriSign提供的SSL证书(128位)
10、.客户端的浏览器发送CGI请求时使用https协议,所有客户端发送的https请求以及Web Server返回的结果都会自动使用SSL加密。 客户通过网络向服务商传送的资料会自动加密, 等到另外一端收到资料后, 再将编码后的资料还原。 即使盗窃者在网络上取得编码后的资料, 如果没有原先编制的密码算法, 也不能获得可读的有用资料。所以双乾支付能最大程度的保证支付信息的机密、支付过程的完整、商户及顾客的合法身份、可操作性等相关信息。 (三)、订单支付接口的md5认证。 为了保证商户传送到双乾支付的订单不被恶意的篡改,双乾支付为商户订单支付接口提供了基于Md5的摘要认证。商户可用订单编号+订单金额+
11、订单日期+登陆商户后台的管理员密码作为明文进行md5摘要,将生成的摘要连同订单支付信息一起发送到双乾支付,双乾支付通过Md5摘要认证来判别该订单信息是否被篡改,从而保障了商户的利益 。 (四)、交易返回的数字签名认证。 数字签名认证的目的是用来保证信息传输过程中信息的完整性和真实性以及提供信息发送者身份的确认证。数字签名使得接收者能够核实发送者对报文的签名,发送者事后不能否认对报文的签名,且接收者不能伪造对报文的签名。 如果商户对双乾支付系统返回数据的真实性有较高的要求,可以结合我们颁发给商户的公钥及组件,来验证签名,以防止别人模拟双乾支付返回订单,保证系统的安全运行,从而最大限度的保障了商户以及顾客的利益。四、总结电子商务网上支付在近年来获得了巨大的发展,成为一种全新的商务模式。它有很大的发展前途,然而网上支付发展所依托的平台互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得网上支付业务很难安全顺利地开展;此外,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施网上支付不可避免地会遇到这样或那样的风险。因此,安全问题己成为网上支付的核心问题,需要采取各种措施应对网上支付的安全问题,对风险要不断的预测和控制。
