2018电子商务网上支付的安全管理及相关法律问题探讨
内容摘要:电子数据的安全以及企业间数据交换的法律确认问题是电子商务发展的主要障碍。本文从电子交易技术基础和电子数据的基本特征角度,对电子商务网上支付的安全及法律问题进行分析,旨在推动我国电子商务的发展。关键词:电子商务 网上支付 技术基础 电子数据
目前,我国电子商务的B2C、B2B以及C2C模式都可以实现在线支付,突破了电子商务资金流的瓶颈。然而,在线支付同时也引发了支付安全问题,“身份”认证、电子文件认证和网络银行在线支付的法律问题以及税收、货币、金融监管等一系列问题。
电子商务网上支付的技术基础
电子数据交换是将商业事务处理数据按照一个公认的标准,形成结构化的事务处理报文数据格式,通过电子方式在计算机系统之间进行传输。因此,企业间开展电子数据交换除了自身必须应用计算机系统外,还必须同时具备两个条件:通信网络和数据标准。
(一)电子数据交换的环境
通信网络是实施电子数据交换不可缺少的工具。在互联网出现之前,企业内的数据交换主要在商用增值网上进行。增值网供应商提供的主要业务有:私人业务、综合业务、不拒绝业务和验证业务。私人业务是指增值网保证信息只能由指定的接收者阅读,他人无法看到;综合业务是指如果没有人看信息,则信息从发送端到接收端的过程中不发生变化;不拒绝业务是指发送端不能拒发,接收端不能拒收,并通过旁听跟踪来实现;验证业务则保证信息从指定的发送端发送。通过增值网实施数据传输,安全可靠,传输效率高。企业间业务往来中的格式化数据都可通过增值网传输,包括采购进货单、退货单、发货单、报价单、托运单、对账单、单价单、缺货通知单、付款明细表等。另外,还可在海关申报、电子对账、电子转账、保险等事务处理中传输格式化单据。
开展电子数据交换的关键是标准化问题,包括数据格式标准化和报文标准。由于不同行业、不同企业都是根据自己的业务特点设计数据库结构,当需要发送电子数据交换文件时,需要通过软件提取数据库中的数据,并自动将其翻译成统一的标准格式才能传输和被对方接收。电子数据交换标准主要有以下四项:网络通信标准、处理标准、联系标准、报文标准。综观电子数据交换标准的发展过程,大致经历了三个发展阶段:行业标准阶段、国家标准阶段、国际标准阶段。
(二)SSL安全协议
安全套接层协议(Secure Socket Layer,简称SSL)是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护,是对计算机之间整个会话进行加密的协议。在SSL协议中,采用了公开密钥和私有密钥两种加密方法,主要用于提高应用程序之间数据的安全系数。协议的整个要领可以被总结为:一个为安装了安全套接层的客户和服务器提供事务安全保证的协议,它涉及所有TCP/IP应用程序。
(三)SET安全协议
安全电子交易协议(Secure Electronic transaction,简称SET)是由Visa和Master Card 两大信用卡公司联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性。SET的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET协议比SSL协议复杂,因为前者不仅可以加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。
电子商务网上支付的风险
电子商务网上支付风险从整体上可分为两大部分:计算机网络风险和商务交易风险。
(一)计算机网络风险
计算机网络风险包括:计算机网络设备风险、计算机网络系统风险、数据库风险等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
另外,不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。网络软件的漏洞是进行网络攻击的首选目标。此时计算机网络风险主要有:未进行CGI程序代码审计、拒绝服务攻击、安全产品使用不当、缺少严格的网络安全管理制度。
(二)商务交易风险
商务交易风险是传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。电子商务的形式多样,涉及的安全问题各不相同,但其中最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:窃取信息、篡改信息、假冒、恶意破坏。
电子商务网上支付安全的强化策略
在传统支付系统中,伪造现金、伪造签名、拒付支票等是商品交易中的风险。在电子支付系统中,由于知道私钥的任何人都能以买方的身份产生数字签名,连续购买行为之间的关系可以被跟踪出来,电子数字文档复制不影响原文档,所以,电子支付系统存在着与传统支付系统类似的风险,而且风险可能更大。
电子支付系统的基本安全需求可以总结为:买方与卖方都必须证明自己的支付身份;要求支付交易数据不可受到非授权的参与方的更改;确保在未经用户明确授权之前不能从该用户的账户或智能卡中提取任何现金;一项或多项支付交易数据的机密性。强化安全管理需要从以下两个方面着眼:
(一)强化安全支付服务
首先,支付交易安全服务。支付交易安全服务涉及所有的电子支付系统和所有的支付手段,具体包括以下内容:用户匿名性、地址不可跟踪性、买方匿名性、支付交易不可跟踪性、支付交易数据的机密性、支付交易消息的不可否认性、支付交易消息的新鲜性。其次,数字货币安全。数字货币安全服务主要与数字货币相关,具体包括以下内容:防止再度花费、防止数字货币伪造、防止货币被盗。再次,电子支票附加服务。电子支票附加服务基于以电子支票作为支付手段的支付系统的特定技术,其主要内容是支付授权转账(代理),即使某一授权的参与方可以将支付授权转移给他所选定的另一参与方。
上述三种数字货币安全服务在一定程度上是相互冲突的,但在实施的同时可以达到风险与保护的平衡。例如,可以将这三种服务设置成仅当非法事件发生的时候才起作用(如有条件的匿名性)。
(二)强化企业内部的安全管理
首先,网络安全管理。网络安全管理主要包括以下内容:安全服务管理、安全机制管理、安全审计管理、安全恢复管理等。其次,保密设备与密钥的安全管理。保密设备的使用,应与网络中保护对象的密级相一致。密码算法、密钥和保密协议是核心内容,同步技术和操作方式的选择也相当重要。保密设备的管理主要包括保密性能指标的管理,工作状态的管理,保密设备的类型、数量、分配和使用者的状况,以及密钥的管理等。再次,安全行政管理。安全行政管理的重点是:安全组织机构的设立、安全人事管理、安全的责任与监督等。
页:
[1]