网络支付的安全性精品(七篇)
网络支付的安全性篇(1)
【关键词】电子支付;网络安全;研究
现在是互联网爆炸的时代,互联网技术在各个领域中都得到了广泛的应用,改变了人们的生活方式,使人们的生活质量得到提高。而互联网技术在电子商务中也得到了发展,出行了多种交易形式与支付形式。各个电子商务网站也随之开启,对人们的购物及消费方式带来冲击,人们的购物理念及消费理念发生了重大转变,而电子商务虽然在电子化购物方面奠定了坚实的基础,具有强大的技术支撑,但还是有很多消费者对网上支付和网上购物的方式有深深的担忧,电子支付和网络安全是人们重点关注的话题。因此对于电子商务的交易安全,以及交易双方的信息安全等问题,成为电子商务发展的瓶颈问题,也是众多研发人员都关注的问题。
1电子支付安全所面临的威胁
近些年来,在电子商务技术和互联网平台上进行购物能满足人们基本的消费需求,具有便捷、高效的特点。传统的电子商务支付方式是线上交易,线下支付的方式,即在互联网平台上对商品信息进行查询,问价,然后订货,最后采用货到付款、邮局汇款、银行转账等方式进行支付。但由于近年来有网络技术作为重要支撑,在电子商务交易过程中,网上支付成为重要支付方式。在电子商务的交易过程中,要求具有精确度高、安全性良好的特点,电子支付的安全问题主要是对商家、消费者及电子支付系统的三方安全,涉及到三者的利益问题。但在交易过程中或是在支付过程中,由于支付方式及支付系统尚不十分健全,容易造成交易双方的支付信息泄露,不法分子可能通过信息技术来窃取交易信息,从而造成交易双方的私人信息泄露,甚至造成重大的经济损失,存在一定的风险。
2第三方网络平台支付的安全问题
第三方网络平台支付是一种高级的电子支付形式,具有灵活性的特征,因此也是目前主要支付方式。网上支付的主要形式有电子支票、电子现金、银行卡网上支付、第三方平台支付、移动支付等,其中目前在电子商务的主要支付形式是第三方平台支付。即将第三方机构看作是交易双方的担保人,在沟通平台上建立起卖方与卖方的协议关系,从中实现数据交换和信息验证的过程,从而使消费者和商家、银行这三者关系在支付平台中实现交易活动。
2.1网络支付安全问题
网络支付的安全问题主要涉及到网络安全、资金安全与法律安全等方面,而本文主要是对网络支付中的网络安全问题进行研究。由于第三方支付的潜在威胁是在网络支付中,容易造成消费者个人信息被盗取和被篡改的现象,对消费者的私人信息安全造成重大影响,容易造成消费者资金丢失的现象,带来重大的经济损失。而第三方支付平台及支付流程中由于自身存在一定的漏洞,如果被不法分子进行利用,对支付系统及支付安全带来重大影响,例如网络黑客、病毒入侵、恶意代码等对支付平台及网络安全造成危害,最终导致消费者及用户的信息数据造成泄漏,使用户的数据信息机密性、真实性与完整性造成威胁。一旦网络安全的问题发生,第三方平台的资金交易的流动性和安全性也会随之发生影响,出现交易问题。且由于在互联网第三方平台中的交易行为是一种匿名性和隐秘性的行为,当网络安全受到侵害时,部分不法分子会利用网络支付系统的漏洞实现诈骗行为、洗钱或者是恶意交易,第三方网络支付平台的安全问题不能得到保障。
2.2网络支付安全策略
为了加强第三方支付平台的支付安全,首先需要对第三方支付平台的网络建设进行加强,通过构建支付安全体系,确保第三方支付系统运行的安全性与稳定性。为了防止系统受到计算机病毒或网络黑客的威胁,需要加强计算机的防护能力,构建完善的第三方支付系统,确保网络支付及交易行为的安全,保证消费者的资金安全与信息安全等。其次,在现代的金融体系中需要加入第三方支付平台,将其看成是重要的内容之一,通过技术标准来对网络支付安全进行实时监控,加强网络支付平台的安全建设。不仅如此,为了提高电子商务企业的竞争力,还要加强信用管理机制,对用户进行交易行为及交易安全的交易,提高消费者安全意识。在保证支付平台安全的同时,还能切实提高电子商务企业的竞争能力,促进电子商务企业的发展。保障网络支付的安全,离不开政府部门及相关法律法规的监督与管理工作,才能确保网络支付平台运行的安全与稳定,保护交易双方的个人利益。但我国目前在对于第三方网络支付安全的法律法规建设中仍不完善,还需要对相关制度进行不断完善,切实保障交易安全与支付安全。
3结语
总之,我国目前在电子商务的发展中,主要的支付方式是第三方网络平台支付,能有效保证交易双方的交易安全与资金安全。但由于第三方支付所具有的特性,使交易过程中仍具有不稳定性,因此不仅从第三方网络支付平台和买卖双方的自身利益角度来看,还需要对电子支付及网络安全问题予以充分重视,采取一定的措施来解决存在的安全问题,切实保障交易双方的个人利益。此外,还要政府部门要充分发挥其监督与管理职能,为第三方网络支付的安全性奠定坚实的法律支持依据,还需要不断提高网络安全支付的技术水平,加强网络支付安全管理力度,提高消费者的安全意识,才能切实保障电子商务的支付安全,充分发挥电子商务企业的便捷性、高效率与低成本的优势,促进电子商务企业的发展。
参考文献
[1]黄小舫.网络环境下电子支付中的安全性问题及其相应的法律保护[J].邵阳学院学报,2003(01):58-60.
[2]罗新星,江景佼,汪晓.电子支付安全技术及其应用的研究[J].株洲工学院学报,2003(02):66-69.
[3]陈晓勤,钱守廉.基于电信级网络营造“随时随地和诚信安全”的电子支付服务环境[J].电信科学,2010(09):1-5.
网络支付的安全性篇(2)
关键词:电子商务 网络支付 风险与防范 安全技术 访问控制
中图分类号:F626.5 文献标识码:A
文章编号:1004-4914(2011)10-058-02
当前,电子商务已经深入到千家万户。无论是企业的商品交易,还是个人的网络购物都有可能选择进行电子商务,就是在企业的资金筹集和资金投放活动中也经常需要通过网络结算。可以说网络结算正在深人到我们生活和生产经营的方方面面。在电子商务中网络支付结算业务是网络银行的核心,也是银行业和网络会计的发展趋势。网络支付结算的发展有力地促进了电子商务的发展,但是,网络支付的安全问题却一直困扰着人们。在开放的网络环境中,网络支付的风险有些来自银行外部的黑客,也有些来自银行内部的工作人员。有预谋的诈骗,也有无意的失误造成的危害。有系统遭受破坏的风险,也有交易过程中人为的损失造成的风险。最近上网搜索一下网络支付风险案例,就有130多条触目惊心的事件出现在我们的面前。为此,笔者认真分析了网络支付风险以及产生的原因,并探讨防范风险的具体措施,以利于网络支付结算业务的正常开展。
一、网络支付结算的风险及其产生的原因
在企业理财活动中,存在着三大理财观念,即:现金为王、资金时间价值和风险价值。其中的风险价值和现金有着密切的联系,也是经营者必须考虑的问题。而网络支付结算中的风险一般都涉及到现金的损失。风险的一般概念是指某一事件其结果的不确定性。电子商务中的网络支付结算风险是指由于网络银行遭到黑客攻击、病毒泛滥以及其他人为的或自然的原因,致使网络支付结算数据丢失、被窃、遭到破坏等等。从大的方面来说,可以分为两类,一类是由于网络银行技术性和管理性问题引起的风险;另一类是由于网络支付结算业务本身问题引起的风险。具体内容分析如下:
1 由于网络银行的技术性和管理性问题带来的风险。首先,网络银行要正常地开展运营,必须选择一种成熟的技术解决方案。但是,在技术选择上存在着选择失误的风险。这种风险一方面来自网络银行所选择的技术系统与客户终端软件的兼容性差异而导致的信息传输中断或速度偏慢;另一方面来自于网络银行选择了落后技术而造成的巨大商业机会的损失。由于网络结算业务选择了落后的技术,就很容易出现网络钓鱼、木马病毒等风险。其次,网络银行要正常运营,必须保证其信息的安全性。但是,随着银行网络与互联网的互联,网络银行的信息丢失、信息被盗、信息被攻击一直威胁着网络银行业务的发展,从而也威胁着网络支付结算业务的正常发展。一些别有用心的人利用电子商务信息盗取客户信息用以诈骗已经成为常见的违法行为,可见网络结算业务是有一定风险的。第三,网络银行系统运行必须依赖计算机硬件系统、磁盘阵列和计算机系统软件以及应用软件的高度精准协调。但是,我们却不能有效地避免由于某种设计缺陷、容错能力差、兼容性差等原因引起系统故障,严重的甚至导致系统崩溃。第四,网络支付结算业务系统的运营必须有银行网络安全性做保证。但是,由于网络系统设计的不完善、不合理、加密技术落后,反病毒措施不力等原因,往往不能保证网络支付结算业务所需要的银行网络的安全环境。
2 由于网络支付结算业务本身的问题带来的风险。首先,是由于网络支付结算系统的可靠性、稳定性、安全性和产品设计的缺陷,可能使用户在业务上的疏忽、无意间的错误操作等等严重影响网络支付结算业务的正确性、及时性和安全性。其次,由于网络支付结算的虚拟性,使交易双方只有通过网络而发生联系,不能像传统交易那样见面交谈,使得交易身份、交易真实性和交易者的信用历史验证难度增大。另外,出于我国国情,网络支付结算业务不仅存在网络虚拟性风险,同时存在社会信用体系的不完善而导致的违约风险。第三,由于网络支付结算业务的发展.纸币的流通需求量相对减少,国家的纸币发行量可能会减少。这就给电子货币变现成为纸币带来了流动性风险。一旦计算机发生故障,或者网络通讯系统发生故障,再或者系统受到病毒的破坏,甚至是大规模停电,都可能影响正常的纸币兑现业务,从而造成一定的流动性风险。第四,由于网络支付结算的开放性,导致支付结算系统的国际化,而各个国家的结算制度和法律有很大的差异,从而加大了支付清算的国际性风险。第五,由于在虚拟的银行市场上,存在着信息的不对称性,所以,很可能造成客户选择了服务质量和信誉都不好的网络银行,这就构成了市场信息风险。第六,由于中国网络银行发展刚起步,经验不足和各方面法律制度不健全,所以很可能客户遇到法律空白而得不到法律的保护。这就是所谓的法律风险。
二、网络支付结算风险的防范
所谓风险价值,是指企业理财活动因冒一定的风险而要求的超出时间价值的那部分额外收益(或损失减少),它是对理财可能遇到风险的一种价值补偿。网络支付结算风险的防范是指的为了确保网络支付结算系统的安全可靠,确保网络支付结算数据的完整、真实和保密性,所采取的技术措施、制度建设、网络管理等一系列切实可行的手段。这种对风险的防范也是对可能遇到风险的一种补偿。笔者以为,可以从以下几个方面做起。
1 安全技术方面。可以使用网络层加密技术、生物特征技术、认证和鉴别技术等,以确保网络支付结算业务的安全性。具体工作由各大商业银行联手去研究和开发。
2 访问控制技术方面。可以组织软件人员开发研究更好的防火墙技术、访问权限控制技术和监督控制、审计技术。这个具体工作应该由国务院财政部门出面解决。
3 病毒防治技术方面。各个商业银行可以联合开发新的适合中国实际情况的网络支付结算所需要的杀毒软件。以保证中国网络支付结算业务的健康发展。
4 其他安全技术方面。主要是通过技术评估、安全评估、备份恢复、隔离等等技术措施,确保网络支付结算业务的安全运行。
5 制度建设方面。主要是大力发展中国的自有知识产权和先进信息技术;建立银行机构总体发展规划和统一的行业技术标准;加强网络支付结算业务风险控制和管理,并且寻求这方面的国际合作,以求早日建立与国际协调一致的网络支付系统;加强网络支付乃至网络银行的立法;加强网络银行的社会信用制度建设,彻底改变中国社会信用整体素质低的局面;加强网络银行的内部风险防范控制制度;建立健全信息保密、系统维护、安全管理以及审计等制度。使网络支付结算业务走向法制的轨道,为我国的电子商务和网络会计现代化奠定坚实的基础。
6 加强网络基础设施建设,对现有网络资源进行整合,提升金融网络现代化水平。目前,我国的中国国家金融网络(CNFN)是以我国各类金融信息的传输为基点,提供公用数据通信服务而设计的网络。CNFN网络结构和独立、完善的网络管理系统,使其不仅具有普通公用网的可靠性高、稳定性强的特点,而且也具备专网的封闭性和效率高的特点。
CNFN以提供网络基础设施为目标,以开放的系统结构使用户的各类计算机处理系统,通过网络的连接运行公共的应用程序。在提供数据通信服务的基础上,CNFN能够开展金融专用的E-Mall、储存转发传真、EDI等增值业务,为我国金融领域办公自动化提供方便、快捷的服务。这一切都为我们提升金融网络现代化水平提供了基本保证。我们需要对现有网络资源进行整合,才能更好地发挥这些基础设施的作用。
网络支付的安全性篇(3)
[关键词] 体系结构支付技术
电子商务应用涉及计算机技术、通信技术、网络技术,其中电子支付技术是电子商务应用中比较关键和具有特色的技术,由于商务交易经常涉及资金的转移,因此,支付技术的优劣直接影响到电子商务的发展。
一、电子商务系统结构
电子商务体系结构可以分为网络基础平台、安全结构、支付体系和业务系统四个层次。如下图所示。
图 网络基础平台
1.电子商务的网络基础平台
电子商务以因特网为主要载体。网络带宽、网络的可靠性、稳定性成为影响电子商务系统整体性能的重要因素。
2.安全结构
电子商务活动需要一个安全的环境,以保证在线交易等数据在网络中传输的安全性和完整性,实现交易双方的身份认证,防止交易中抵赖的发生。电子安全结构建立在网络基础平台之上。
3.电子商务业务系统和支付体系
电子商务业务系统分为支付型业务和非支付型业务。支付型业务需要支付体系层完成。支付体系在安全结构之上,为支付型电子商务业务提供各种支付手段;非支付型业务直接在安全结构之上,使用安全基础层提供的各种认证手段和安全技术提供电子商务服务。
电子商务系统包括业务应用系统。例如,网上购物、证券交易、在线谈判、电信交费、电子银行等。
用户及终端系统。例如,电话终端、计算机终端、智能终端。用户使用电子支付系统,需要在计算机终端上安装电子支付软件,例如,电子钱包软件。
支付网关系统。它处于因特网与银行网络之间,主要完成通信、协议转换和数据加密解密功能和保护银行内部的网络。支付网关系统的使用可以过滤因特网发过来的数据包,防止黑客的攻击和不相关信息的流入。
CA安全认证体系,它通过发放证书,保证所有参与活动的实体表明身份。
二、电子支付方式
电子付款是买卖双方在网上进行的金融交换。
1.电子现金
电子现金可以存储在智能型IC支付卡上,也可以以数字的形式存储在现金文件中。
2.电子信用卡
电子信用卡通过网络直接进行支付。为了保证传输的安全性和可靠性,利用安全SET电子交易协议保证电子信用卡号和密码的安全传输。
3.电子支票
电子支票是以传统支票在因特网上进行信息传递,完成资金转移。它通过第三方认证、数字签名等技术保证各商家之间的结算无法面对面交换支票所带来的缺陷。
三、SET安全电子交易协议
SET协议使用对称加密技术和非对称加密技术为基础的数字信封技术、数字签名技术、信息摘要技术,以及双重签名技术,保证信息的传输和处理的安全。
四、网上购物流程
持卡人在商家的WEB服务器上在线查看商品。
持卡人填写订单。
持卡人选择付款方式,SET开始介入,在订单和付款方式由持卡人进行数字签名,利用双重签名和加密技术保证商家看不到持卡人的账号信息。
商家接收订购信息,通过支付网关向持卡人的金融机构请求支付认可。经过确认后,支付网关返回确认信息。
商家发送订单确认信息,为顾客配送货物。
网络支付的安全性篇(4)
【关键词】网上银行;第三方支付;安全;风险
一、网上支付的现状
网络和银行卡的普及推动了网上支付的发展,应用形式多种多样,包括网上转账、网上炒股、网上购基金、网上炒黄金和网上购物等。来自“国家金卡工程第十二次全国IC卡/RFID应用工作会议”的资料显示,2009年中国网上银行个人用户已达1.5亿户,网上银行企业用户超过400万户,交易额超过400万亿元。
依照《电子支付指引(第一号)》规定,网上支付是电子支付指令发起方式在网络的电子支付类型。从形式上可以分为两大类:直接支付和间接支付,直接支付最主要的表现形式为网上银行,常见形式是证券账户和银行账户之间的网上转账,网上证券的股票、基金买卖,其他形式还包括电信企业小额代收费(如手机付费、电话付费)、虚拟货币支付(如Q币、联众币等);间接支付主要表现形式为独立第三方支付(如支付宝、财付通等)和银联的第三方支付(CHINAPAY)。独立第三方支付成功解决了相互不了解的人的交易诚信问题,自身也得到了快速发展,连续五年增长超过100%,从2005年的年交易额196亿元发展到2009年的5766亿元。2009年网上支付交易额占全年社会零售总额的0.46%,预计2012年将超过2万亿元,将占社会零售总额的1%。
二、网上支付的风险分析
(一)支付流程和安全性分析
网上直接支付是付款人直接通过计算机网络将银行(或证券公司等机构)账户的资金划转给收款人,从而实现转账的相应交易,付款和收款两个环节顺次完成(不考虑银行系统内部流转),资金直接在银行系统内完成转移。网上间接支付是付款人通过网络把资金先划至第三方支付公司,通过担保和代保管,在交易确认成功后再由第三方支付公司划给收款人,包括付款、代保管、收款三个环节。从网上支付流程中可以看出,整个支付系统的安全包括银行(或证券)系统安全、第三方支付机构系统安全、客户安全(收款人、付款人)和网络支持系统安全四个方面。绝大多数支付行为都离不开银行系统的支持,因此,网上银行的安全性成为网上支付安全的核心。
(二)风险分析
1.系统风险分析,包括网上银行(证券)系统、第三方支付系统、网络支持系统,具体体现在实体安全风险和技术安全风险。其中,实体安全风险有经营风险、环境风险(如火灾、水灾)、设备风险等,技术安全风险有业务系统安全风险、数据安全风险、操作系统及网络安全风险、网络攻击风险、网站被假冒风险等。
在实体安全经营风险方面,银行(证券)系统受到较为严格的监管,有严格的市场准入和经营管理机制,网上业务也受到相应的约束,证券系统实行客户资金银行第三方存管,经营风险控制较完善,但第三方支付目前监管缺失,主要依靠企业自身自律完成,只有少数企业实行自有资金和客户资金分离的形式,如经营风险,则可能导致挪用甚至侵占客户资金。环境风险可能导致业务设备、业务系统损坏,如2005年4月某直辖市联社数据中心受到火灾威胁,在消防人员的特别保护下才保护住核心数据。
在技术安全风险方面,2007年4月6日,某银行总行的数据中心网络出现故障,北京分行各营业网点和网上交易业务被迫中断4小时;2010年2月3日另一家银行系统瘫痪4小时,影响涉及全国分支机构,自动取款机、网银均不能办理业务。网络的开放性让网络攻击可以随时随地进行,如采用Dos拒绝服务攻击可以使一个网站不堪重负而瘫痪,网络攻击也可能找到访问服务器的漏洞从而窃取客户访问数据。网站被假冒,即做一个和网上银行或第三方支付界面一样的网站,域名和真实网站相近,如出现过工行的.cn曾被.cn在2004年底仿冒,许多利用“中奖”骗人的网站也作类似的仿冒。和假冒网站狼狈为奸是域名劫持,通常是利用病毒修改上网机器的hosts文件或解析服务器地址,将地址解析到一个假的网站上去,2010年1月12日百度域名劫持事件性质更为严重,黑客直接修改了域名服务商域名解析数据,从源头将百度网站的地址指向了伊朗网军和雅虎错误界面。
2.客户风险分析,客户风险主要来自于欺骗和盗用,病毒和木马威胁着网上银行和第三方支付账户安全和支付过程的安全。最常见的是利用病毒和木马盗窃资料,如网银大盗、网银窃贼等木马病毒。2009年央视“315”晚会曝光的名叫“顶狐”黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,并出售给他人导致部分网银客户资金受损。
虽然网银或第三方支付提供了一些技术手段来增强客户支付的安全性,但其通常是防范已知危险行为,不法入侵者并不需要破解这些防护行为,而且通过别的漏洞从而绕过防护。一种是来自假冒交易网站(如假淘宝、假网银)的钓鱼行为,如客户不能正确识别登录了假冒网站进行交易,轻者导致客户丢失自己的网上银行或第三方支付账户资料,重者直接把款项付给了黑客虚设的账户。另一种是更为严重的情况客户机器已经成为了“肉鸡”,黑客利用木马程序获得账号密码,然后利用用户数字证书甚至是USB Key来完成网上银行转账。如果该客户没有银行卡使用手机通知服务,则不能及时发现资金被盗。还有更糟糕的是不法入侵者得到了银行卡账号和密码,在现实生活中制造假卡盗取客户银行资金。
三、网上支付安全评估
(一)增强网上支付安全手段及效果
1.增强系统安全手段,包括银行(证券)系统、第三方支付系统、网络支持系统。主要体现在技术方面,有两层防火墙技术(保证核心数据库不受攻击)、网络数据传输加密(保证口令、数据和控制信息的安全)、权限控制(内部权限控制和外部网络访问权限控制)、备份与灾难恢复、入侵检测等。通过以上措施,能够保证核心数据库安全,但灾害、拒绝服务攻击等有可能让服务器中断服务,与外部联系紧密的访问服务器也有较多风险。另外要进行身份验证,因为牵涉到网络和前台客户端,容易产生漏洞,一直处于不断完善中。
2.增强客户安全手段。由网上银行和第三方支付服务提供商为客户提供,具体包括客户动态密码、USB Key、数字证书(含第三方认证证书)、短信服务、预留信息验证、128位SSL安全通信协议、图形码动态密码键盘等。其中,客户动态密码和USB Key为物理移动设备,难以被盗用,安全特征明显;短信服务是让客户了解账户变动情况;数字证书第三方认证是个人用户使用的电子签名安全认证,由第三方机构提供,主要是增强对交易过程中行为和责任的认定。通过几种方式的组合,增强了非法入侵和盗用的难度。
3.其他手段。一是加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,防范欺诈;二是第三方支付公司借鉴证券公司使用第三方存管,增强了客户资金安全性。
(二)常见网上支付行为安全性评估
网上支付的后台核心数据库安全性很高,更多的风险来自前台用户端的仿冒、盗用和外部欺骗。网上支付安全的实质是资金会不会被盗用,最安全的支付是能够被有效跟踪审计的资金流动且所需要银行信息少的支付,能够确保支付以后达到付款者目的为安全支付,可能被欺诈等不能被有效跟踪的资金支付为不安全支付。
1.最安全的支付是使用证券客户端进行银证转账和购买证券,因在此客户端中不会提示出银行账号和身份证号等重要信息,资金只能在证券账户和对应的银行账户流动,不会造成资金被盗。
2.在网上银行直接购买基金、外汇、纸黄金,在基金公司网上直销点购买基金等资金流走向明确,不受网银交易额限制,为安全支付。
3.企业网上转账、个人汇款、交纳电费、水费、通信费、在知名的公司网上平台购买、商品支付等交易对象明确可信,为安全支付。
4.在知名的交易网站(如淘宝网、拍拍网)购物,使用第三方支付的,为安全支付。
5.通过知名网站专门广告连接在普通企业网站或不知名的交易网站购物支付,一般为安全支付;通过搜索引擎查找,并能确认真实性的企业网上购物支付,一般也为安全支付。
6.通过知名网站论坛等非正常广告链接和小网站广告链接,尤其是超低价购物、中奖消息为虚假消息,为此付出的货款、税费、手续费的支付均为不安全支付。通过搜索引擎查找,无法确认真实性的企业网上购物支付,也为不安全支付。
以上6种情况安全性逐渐降低,第2-5的风险主要来自于使用者的计算机安全,如木马和病毒对客户信息的盗用,第6种是不安全支付,也是用户信息被盗用和计算机感染木马病毒的渠道。因为绝大多数网上支付属于前4项行为,所以网上支付总体上是安全的。
四、增强网上支付安全性的建议
虽然网上支付发生风险的比例很低,但风险的存在依然让很多人对其安全性能心存疑虑。如《2009中国网上银行调查报告》显示,有80%参与调查者使用了网上银行业务,说明认可网银安全性能的人较多;另一方面,拒绝开通网上银行的受访者中间,将近70%的人对网银的安全性表示担忧。要增强人们对网上支付的信心,应加强法律环境建设、系统安全管理和使用者安全教育,让人们能够安全安心地使用网上支付,从而享受网络的便捷性。
(一)完善网上支付相关法律,规范网上支付环境
1.完善网上支付法律建设,尤其是要尽早出台第三方支付法律规范。我国网上支付相关的法律法规有《电子签名法》、《电子支付指引(第一号)》、《电子银行业务管理办法》、《证券公司网上证券信息系统技术指引》等,但还不是完善的体系,如与《票据法》相关法律对接问题。另外,以上规范主要用于约束金融机构,目前对第三方支付机构没有约束力,建议将其业务纳入结算管理范畴,并出台第三方支付业务规范,明确其法律责任。
2.加强监管,落实网上支付风险控制。银行和证券监管部门落实网上银行、网上证券各环节监管监测,从制度、内控、客户教育上落实与技术体系相配套的风险控制,保证网上银行、网上证券安全。
3.打击网上违法犯罪行为,建立诚信网络环境。切实打击网络攻击、、诈骗、盗窃他人信息和资金等违法犯罪行为,教育广大网民遵纪守法,建立诚信网络环境。
(二)加强系统和运行安全建设,防患于未然
1.加强系统安全建设和管理,确保网上银行、网上证券和第三方支付系统安全运行。包括加强内部管理,切实做好系统运行监测、维护和入侵检测,及时发现和处理潜在风险,避免系统中断运行;做好备份和灾难恢复,建设异地备份数据处理中心,确保核心数据安全。
2.完善网上支付平台安全设计,不断减少安全漏洞。要不断完善网上支付平台设计,运用新技术增强支付的安全性,同时要优化客户的操作便利性。如网上支付客户端控件时主动关闭计算机远程服务,对威胁网上支付的应用进行报警,防止别人用远程控制盗窃客户信息和资金;在客户端设计上,应避免客户重要资料需要经常输入等。
3.通过技术手段或人工检测加强网上支付各交易环节的监控,妥善记录和保存交易内容及技术信息,便于交易分析和事后追溯。如发现可能存在的洗钱、套现、、欺诈等非法活动,应及时处置或报相关部门,避免他人的违法犯罪活动影响正常的网上支付行为。
(三)强化宣传教育,提高网上支付客户自身安全意识及安全水平,增强操作安全性宣传教育包括的网络安全教育和交易提供者的功能使用安全教育,如安全风险识别、新功能使用、安全习惯培养等,增强操作安全性
1.使用安全的计算机进行网上支付。安装必要的杀毒软件、防火墙软件,及时做好系统漏洞修补,不在网吧等公用计算机操作。不使用密码保存功能,对于浏览器自动打开、防病毒软件不能正常工作要及时解决,防止病毒和木马感染。
2.访问正确的网站,谨防钓鱼。访问网上银行和交易网站时,可以将正确的网址收藏起来,避免通过“超链接”操作,登录时核对信息是否正确。记住正确的网站名称、特服号码,对于要求提供身份、账户及密码的邮件、电话、短信保持高度警惕。学会识别正规经营网站的红盾标志,对没有把握的交易对象要通过搜索判断其服务真实性,不打开非正常弹出的链接。
3.应熟悉所使用的交易规程,避免被欺诈。如第三方支付中不良卖方会诱导买方提前确认付款或者欺骗买方导致第三方机构“超时打款”。
网络支付的安全性篇(5)
关键词:电子商务;支付;安全问题;对策
中图分类号:TP39 文献标识码:A 文章编号:1672-8122(2017)06-0018-02
随着电子商务的不断升温,其安全性问题已引起各界人士和普通群众的热切关注,根据中国互联网信息中心近几年的调查表明,人们越来越关心电子商务的支付安全。更有数据显示,与一般传统模式的公司比起来,涉及电子商务的公司网站更容易遭到“黑客”的恶意袭击,这极大地威胁了网上支付的安全性。
一、电子商务支付现状
根据艾瑞咨询统计数据可知,2015年第二季度中国电子商务市场的整体交易规模为3.75万亿元,同比增长了22.1%,环比增长了7.8%。3G、4G网络技术和智能手机的成功运用及成熟,手机购物变得愈发便捷,也很大程度上促进了电子商务的发展[1]。此外,团购、O2O、众筹等模型对电子商务的发展起到了巨大的推动作用。
作为经济增长的一个新的驱动力,网络购物的影响,从消费领域蔓延到生产领域再到服务领域,真正的经济的发展是实现其深度的整合。近期,中国互联网络信息中心(CNNIC) 了《第37次中国互联网络发展状况统计报告》。报告显示,截至2015年12月,中国的网购用户规模已达4亿1300万,同时,网民使用网络购物的比例已达60%。在2015年网购用户新增了5183万,增长率为14.3%。中国的移动电话网络购物用户规模增长迅速,达到43.9%的增长率,移动互联网购物的比例从42.4%上升到54.8%[2]。
二、电子商务支付存在的安全问题
电子商务支付中存在着许多安全问题,包括网络安全、系统安全、信息安全、支付系统协议和监管。
1.网络安全问题。网络安全问题一般主要涉及下述三个方面:(1)钓鱼平台:网络钓鱼者通过仿冒URL地址或者向网民发送欺诈性电子邮件或篡改网站来开展活动。通常是钓鱼者将自己伪装成知名企业或银行,并伪建一个与真实原网站相似并有相同产品的网站,受骗用户往往会在网页中输入登陆用户名和密码甚至会泄露银行卡账号、密码及口令;(2)业务拒绝:用户合法访问信息或网络资源会被拒绝。攻击者会对操作系统的漏洞进行利用,并且对系统进行非常大数量的合法或非法、根本不可能成功的访问请求,或者故意重复输错支付密码,让系统负荷过量最后账户冻结,导致系统资源不能被合法用户使用[3];(3)网络跟踪:通过对用户网站使用痕迹的跟踪,利用跟踪监测软件,监测终端支付过程,用户的登陆账号及密码有可能被得到,并且个人财产将会被盗取,肆意修改账户信息,破坏用户数据,甚至病毒会被放进其中,整个系统最终将会瘫痪。
2.系统安全问题。系统安全问题一般主要涉及下述两个方面:(1)黑客攻击:黑客自己编写程序或者利用系统现有的常用工具、技术,入侵并攻击服务器,达到破坏系统盗取信息的目的。黑客的攻击方式一般有网络中断、破解密码、窃听等;(2)木马、病毒入侵:传统病毒通过移动设备进行传播,现在主要通过网络造成病毒侵害,在网页中恶意代码,用户在访问有安全问题的网页时即会被感染。木马则是黑客的一种攻击手段,可帮助黑客实时掌握上线用户信息,远程监视用户访问记录甚至控制计算机。将木马植入在计算机系统中,且不易被用户察觉,等待外界的指令,两者都是黑客编写的恶意程序。
3.信息安全问题。信息安全问题一般主要涉及下述三个方面:(1)假冒合法用户:有一些人利用交易双方互不相见无法客观判断对方可信程度、难以有效身份验证识别的漏洞,采取各种不正当手段取得合法用户的身份信息,并将得来资料展示给网络安全拦截者使之判定其为合法实体,然后不法分子冒充合法用户进行活动攫取非法利益;(2)信息泄露窃取:信息泄露被主w外的人得到,网络攻击者通过互联网等各种介质利用非法手段截取交易双方传输的内容数据来窃取用户支付密码等关键信息,或者是对信息进行参数分析得出结果。用户使用过于简单重复密码,以及在各门户网站设置统一密码的现象也普遍存在,用强效的破解软件即可瓦解泄露出去。攻击者通常非法使用窃取的信息骗取信任再与他人进行交易;(3)信息篡改破坏:攻击者熟知网站结构编写方式,通过技术手段恶意破坏程序,删除、修改传输过程中的信息,破坏交易支付过程的准确性和真实性。除了被攻击之外,也可能由于网络系统自身问题而导致信息的丢失和错误。
4.支付系统协议问题。目前,网上支付协议SSL(安全套接层协议)和SET(安全电子交易协议)更是众所周知的,是电子商务交易系统中常用的协议和标准体系[4]。两者都具有显著地优势,但同时本身也带有缺点。SSL协议在将客户账户信息传递给商户过程中利用加密手段建立起安全的信息通行渠道,有利于商家验证客户的身份信息,使用起来相对SET要便捷,但也只是认证服务器与客户双方,并不能向客户验证商家的合法性,这一协议不能很好地保护客户的利益,阻止不了商家的恶意欺瞒。SET协议则是对商家、持卡人和收支方银行传送资料的规范,保护数据在支付过程中更加完整和安全,这点已得到被国际标准化组织的认可,但是操作复杂麻烦,不方便生疏者使用。
5.监管问题。我国对电子商务网络支付法律法规缺乏专门的监管。虽然近几年我国的合同法和侵权行为法进行了调整,但消费者始终处于劣势,难以有效维护合法权益。另外电子商务支付还缺乏监管,例如,双方对产品的监管、税收监管、信用监管和信息监管,电子合同也是模糊网络安全支付的重要问题。
三、解决电子商务支付安全问题的对策
电子商务支付安全的对策主要是与前文中出现的网络安全问题、系统安全问题、信息安全问题、支付系统协议和监管问题方面一一对应的。
1.解决网络安全问题的对策。加强预防病毒,支付安全级别的上升,将推动网络交易速率。而高交易率也会给病毒入侵提供很大的便利。所以要经常对计算机进行,清除计算机中的病毒。除了经常检查硬盘外,多采用先进技术,全面封锁病毒。
加强防火墙技术,防火墙是保证计算机的正常运行,是安全运行的重要措施之一,它能有效阻止网络对邪恶的攻击,形成一个保护屏障,相当于提高通信的门槛,让未授权的访问者不能进入,有效的提升了网络安全。
2.解决系统安全问题的对策。加大对黑客的打击力度,严厉打击,加大处罚力度,一旦发现有黑客攻击破坏他人利益就严加搜索,一旦逮捕必将严惩不贷。另外,要加强对青少年的思想道德素质教育,在让他们学好知识的同时,更多的是为社会做贡献,而不是为一己之私,危害他人财产安全。加强杀毒软件的开发与利用,最大程度上避免木马和病毒入侵,对恶意软件和程序进行封杀。加强对工作人员的安全意识教育,如果发现因工作人员不负责任而造成财产损失,对工作人员采取严厉的处罚措施。
3.解决信息安全问题的对策。中国的社会信用体系依旧很不健全,有些人在电子商务中利用技术进行商务欺诈,危害到消费者和金融行业的利益,但是难以被发现仍然逍遥法外。需要加紧建立合理科学、公正而又具有权威性的一套完整社会信用服务机构,创造信息资源交流的共享平台,逐渐形成与国际接轨又符合我国形势的信用体系。若发现某些人对电子商务的安全造成了威胁,便将个人的不良行为纳入其中,可以通过查询系统得知个人的信用记录。这一定程度上能阻止体动歪念头,遏制网上犯罪,对电子商务支付安全具有辅助作用。
电子商务支付的安全离不开每个人的责任认知。我们不可轻易相信钓鱼网站、诈骗分子的糖衣炮弹,改善不良消费习惯,要不断学习互联网知识,提升计算机安全技术的掌握和支付手段熟练程度以及提高电子商务的安全意识[5]。我们也应具有良好的道德品质,即使它只是一小部分,也要坚持个人道德和维护网络秩序。
4.解决支付系统协议问题的对策。由我国电子商务支付发展的现状,针对我国目前在电子商务在线支付中信用卡的使用不普及,多是借记卡的特殊性,对PIN数据项进行扩展,为SET协议在我国的推广与使用提供了一个实际且可行的方法,增强了SET协议在我国的适用性,这在很大程度上减小了其复杂性,变得更加好操作。另外,提高SSL的安全性能,根据消费者的需要选择不同安全级别和复杂程度,这样使得安全协议有着更好的适用性。
5.解决监管问题的对策。政府和企业间应该进行合作,一起制定和完善相应的法律法规。如果发现问题要及时的采取措施,并且追究负责人的责任,保证电子商务支付安全。
制定有关电子支付的法律或者行政法规,大多数问题背后的根本问题是监管法律层级太低。由国务院制定的电子商务支付行政法规、法律或行政法规,对电子商务支付机构注册资金的最低金额,这样就不会违反公司法的规定。
降低准入门槛,加强对电子商务在虚拟互联网的监管,始终是一个巨大的风险。鉴于此,互联网金融监管必须考虑到市场的发展需要和创新[6]。政府应由注重事前转为更加的去注重事中和事后的监管,这对长期重视事前审批、轻视事中事后监管的当局来讲,是新的考验和挑战。但具体实施情况和此前监管部门的监管远不如事前审批,行政审批通常是几百次,而事后监管的措施也不多,也缺乏经验。但是相关单位必须要将人民的利益放在首位,努力提高自身的监管水平。
四、结 语
尽管文中针对电子商务支付安全出现的问题都提出了相应的对策,可是计算机领域的不断进步以及不断更新的网络技术,黑客也在不断进步着,他们更加聪明,发出的攻击也更加猛烈和复杂,电子商务支付安全还是令人如履薄冰。所以,我们不能只从一方面去考虑问题,我们需要不断开发新的技术的同时,增强民众的安全支付意识,不去破坏他人财物。另外,电子商务支付安全的相关法律也需不断完善。每个人都有责任去保护好我们的支付环境,这样,电子商务才能更加进步,更好地服务大众。
参考文献:
[1] 栗李川.流数据挖掘在电子商务中的应用与研究[D].天津工业大学,2014.
[2] 孟凡新.中国网络购物市场研究报告[J].互联网天地,2013(6).
[3] 薛飞.浅析网络安全及常用安全技术[J].科学家,2015(9).
[4] 高艳丽.浅析移动支付安全[J].商场现代化,2012(6).
网络支付的安全性篇(6)
关键词 对称密码体制;移动支付;安全协议;Hash链
中图分类号:TN918 文献标识码:A 文章编号:1671-7597(2014)09-0142-01
移动支付近年来发展迅猛,已成为移动领域中较为热门的应用方向,具有强大的市场潜力。移动支付在欧美国家的发展受到预付费方式的限制而以微支付形式为主。在亚洲的日本国家,移动支付发展水平比较高,其应用的开展程度也相对较深。由于移动支付方便进行随时随地的支付交易,给人们的生活带来了非常大的便利,因此移动支付交易的规模在国内市场中占据相当大的比例。
支付安全协议最大程度的保证了移动支付过程的顺利进行,需要在保证高度安全性的基础上,有利于构建统一平台及标准化支付系统。基于对称密码体制的移动支付安全协议仅采用对称密码算法极大的提高了计算效率。但是在现有的支付模式中,用户在进行注册的时候依旧需要用到不适合移动支付环境的公钥密码体制,因此本文基于手机设备进行研究,考虑采用计算速度较快、资源消耗少的Hash链进行移动支付方案设计。该设计利用广泛应用的3G移动网络安全机制中的相关参数,有利于实现移动支付统一标准的形成。
1 移动支付概述
1.1 移动支付定义
移动支付是指通过移动终端设备、移动网络实现交易双方支付行为的一种支付方式。其中的移动设备包含有手机、掌上电脑、笔记本电脑等多种无线设备。手机是最常用的移动终端设备,所以通常所说的手机支付也即是移动支付中的一种。本文所设计的移动支付方案也是基于手机终端设备的。
1.2 移动支付的系统框架
移动支付系统依据不同部分相互之间的依存关系可分为承载网络、接入平台、安全认证、业务管理平台及应用平台五个层次。
移动支付系统的运行依赖于承载网络的速度、稳定性和安全性。在设计移动支付系统时,要参照支付特点选择恰当的基础网络,以防止因基础网络而产生性能方面的损失。移动支付系统通过综合接入平台为各个基础网络提供接口服务。安全认证体系作为移动支付系统的核心层面,为系统提供了身份验证、通信加密等多项功能,从而保障移动支付系统的安全性。安全认证体系涉及了移动支付系统的各个层面,终端设备的使用者通过安全认证体系以确保该用户的合法性,并对通信内容进行加密及是否完整进行确认,防止攻击者的不良行为。业务管理平台主要用于管理支撑及具体业务运营。应用平台主要是为用户和合作者开放的平台。比如向合作伙伴开放系统接口,第三方合作伙伴能够利用该接口获取该支付系统的支持,实现和运营商的合作。
1.3 移动支付业务实现方式
不同地区的移动支付发展进程有所不同,所运用的实现途径也各有特点。移动支付业务的实现需要和当地的基础设施、支付环境相结合。依据实现方式的不同,能够实现远程支付和近场支付。其中实现远程支付需要依靠短信息服务(SMS)服务、交互式语音应答(IVR)技术、无线应用协议(WAP)技术、JAVAME技术和非结构化补充数据(USSD)这五种技术方法。近场支付的实现技术主要包括红外、蓝牙和射频识别技术。
2 基于对称密码体制的移动支付安全协议设计
2.1 移动支付安全协议的设计方法
与公钥密码体制相比,对称密码体制不涉及证书授权问题,因而不会给移动支付系统增加多余的通信开销。对称密码体制主要包括基于对称密码的加密或解密、消息验证码、Hash函数等,具有高计算效率的优势。
近年来,移动支付安全协议的研究较多,其中W.D.Chen等学者采用移动通信网络的安全机制具有一定的导向作用。因为如果可以利用移动通信网络这个统一的平台及标准,就能够方便的管理、实施移动支付安全协议。并能让移动支付的安全协议得到不断地升级和完备以满足各种支付要求。
2.2 Hash链认证技术出错控制
通常移动支付安全协议运行出错时,能够选择中断协议的运行或恢复协议。当前移动支付安全协议的出错控制方面研究没有达到足够深度,文中的支付方案为在3G网络安全机制上采用Hash链认证技术可以对消费者主体进行身份验证。不过,Hash链要求身份验证凭据的待验证结点与根结点在身份认证过程中结点顺便必须依次相接,不允许存在中间结点或者顺序的错误。因此有必要研究此类情况下的出错控制技术以保证整个Hash链的有效性。
如果当前认证中心处的结点验证没有通过,那么认证中心会将错误信息返回。同时,不更替当前结点而将出错计数器Note加1。一旦计数器所记录的出错次数超过上限Limit,认证中心则会通知用户删除该Hash链上所有的结点并启动新的注册过程;否则,在下次验证时,认证中心至多会进行额外的Note次计算与比较运算。
通过纠错方案纠正以后,之后的认证方案会依据正常的验证程序执行,对此后的验证不产生影响。该方案能够防止错误的扩大,并能保证Hash链的安全性。不过,在碰到连续多次的验证不通过时,之后的验证时间会随之增加,降低了系统的运行效率。虽然某一次的效率会明显降低,却大大提高了支付系统的安全性,这是非常值得的。
2.3 基于对称密码体制的移动支付安全协议
本文所设计的基于3G网络组件与Hash链的移动支付安全协议包含有支付协议、注册协议两个部分。消费者采用3G网络安全机制里的共享密钥实现对认证中心的身份验证。认证通过之后,消费者可以将自身的Hash结点送达认证中心从而利用该结点在进行支付交易时对消费者身份进行验证。
3 结束语
对称密码体制适合移动支付环境,上述的基于对称密码体制的移动支付安全协议利用对称密钥、哈希函数和信息认证码等多项技术完成对支付实体的身份确认及通信保密,实现了移动支付过程中信息的安全传输。
参考文献
[1]张娟,许春香.基于对称密钥的移动支付协议[J].信息技术,2006(02).
网络支付的安全性篇(7)
【关键词】信息时代 支付管理 变革
以互联网为基础的信息技术、信息产业正在以惊人的速度改变人类的生活、工作和商务方式。信息革命给传统付支提供了新的发展机遇,但同时也给军队集中支付运作模式、思想观念等带来前所未有的冲击--全球网络战略、电子商务等等,这些变化也给军队集中支付管理提出了挑战,传统的军队集中支付管理已经跟不上信息时代的步伐,军队集中支付管理革新已经不可避免,文章站在信息时代的角度,分析军队集中支付管理的变革方
向。
一、信息时代传统军队集中支付管理的弊端
由于经济活动的数字化、网络化,出现了许多新的媒体空间,如虚拟市场、虚拟银行。许多传统的商业支付运作方式将随之消失,而代之以电子支付、电子采购和电子定单,商业支付活动将主要以电子商务的形式在互联网上进行,使各种采购活动更便捷,费用更低廉,对货物的量化监控更精确。这种特殊的商业支付模式,使得传统的军队集中支付管理已不能适应基于互联网的商业交易结算。具体表现在以下几个方面。
1、军队集中支付管理的网域维护
网域维护问题首先是网络安全问题,互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播,易于出现拦截侦听、口令试探和窃取、身份假冒现象,给网络安全带来极大威胁。而传统的军队集中支付管理大多采用基于单机的军队集中支付软件,没有考虑到来自互联网的安全威胁,特别是军队的采购支付数据属重大军事机密,如遭破坏或泄密,将造成不可估量的损失。电子商务作为信息时代的主要交易手段,军队集中支付管理和业务管理必须一体化,电子单据、分布式操作使得可能受到非法攻击的点增多。而目前的军队集中支付管理缺少与信息时代相适应的法律规范体系和技术保障。例如,在电子商务中交易的安全性如何保证、数字签名的确认、知识产权的保护等。因此,军队集中支付管理首先必须解决的是复杂的计算机网络安全问题,这一点传统军队集中支付管理是难以做到的。
其次是身份确认和文件的管理方式问题。信息时代的很多采购交易在互联网上进行,互不见面,这就需要通过一定的技术手段相互认证,保证电子商务交易的安全。而传统的军队集中支付管理软件一般采用口令来确认身份,不同的用户有不同的口令。如果继续沿用这种口令身份验证方式,那么随着互联网用户和应用的增加,口令维护工作将耗费大量的人力和财力,显然已不适合基于互联网的军队集中支付管理。另外,传统的军队集中支付管理一直使用手写签名来证明文件的原作者或同意文件的内容。而在网络环境下,电子报表、电子合同等无纸介质的使用,无法沿用传统的签字方式,从而在辨别真伪上存在新的风险。
2、难以满足电子商务要求
电子商务的贸易双方从贸易磋商、签订合同到支付等均通过互联网完成,使整个交易远程化、实时化、虚拟化。这些变化,首先对军队集中支付管理方法的及时性、适应性、弹性等提出了更高的要求。传统的军队集中支付管理没有实现网络在线办公、电子支付、电子货币等手段,使得军队集中支付预测、计划、决策等各个环节工作的时间相对较长,不能适应电子商务发展的需要。其次,分散的军队集中支付管理模式不利于电子商务的发展。在信息时代,要求企业通过网络对其下属分支机构实行数据处理和军队集中支付资源的集中管理,包括集中记账、算账、登账、报表生成和汇总,并可将众多的军队集中支付数据进行集中处理,集中调配集团内的所有资金。然而,传统的军队集中支付管理由于受到网络技术的限制,不得不采用分散的管理模式,造成监管信息反馈滞后、对下属机构控制不力、工作效率低等不良后果,无法适应信息时展的要求。此外,传统的军队集中支付控制和军队集中支付分析的内容不能满足电子商务的要求。在信息时代,企业资产结构中以网络为基础的专利权、商标权、计算机软件、产品创新等无形资产所占比重将大大提高。但现今军队集中支付管理的理论与内容对无形资产涉及较少,因为过去经济增长主要依赖厂房、机器、资金等有形资产,致使在现实军队集中支付管理活动中不能完全正确地评价无形资产的价值,不善于利用无形资产进行资本运营。所以,传统的军队集中支付管理理论与内容已不适应信息时代电子商务运营的需要。
3、和现代的军队集中支付管理模式不配套
在网络环境下,军队物资的原料采购、产品生产、需求、银行汇兑、保险、货物托运等过程均可通过计算机网络完成,无需人工干预。因此,它要求军队集中支付管理从管理方式上,能够实现业务协同、远程处理、在线管理、集中式管理模式。从工作方式上,能够支持在线办公、移动办公等方式,同时能够处理电子单据、电子货币、网页数据等新的介质。由于传统的军队集中支付管理与业务活动在运作上存在时间差,各职能部门之间信息不能相互连接,因而军队集中支付资源配置与业务动作难以协调同步,不利于实现资源配置最优化。另外,传统的军队集中支付管理软件要求管理人员只能在特定环境下办公,因为它是基于内部网的系统,难以满足信息时代的开放性要求。信息时代,要求军队集中支付人员在离开办公室的情况下也能办公(即移动办公),这样军队集中支付软件必须是基于互联网的系统,而只有实现从内部网到互联网的转变,才能实现真正的网上办公。
综上所述,在信息时代,传统的军队集中支付管理存在许多弊端,必须及时地进行军队集中支付管理变革,构造出与信息网络时代相适应的军队集中支付管理。
二、信息时代的军队集中支付管理变革方向
1、军队集中支付管理理念的更新军队集中支付管理目标多元化
随着信息时代的到来,业务流程发生了巨大变化,具有共享性和可转移性的信息资本将占主导地位。信息的不断增加、更新、扩散和应用加速,深刻影响着采购管理活动的各个方面,军队集中支付管理的目标必须考虑更多的影响因素。
军队集中支付管理模式必须从过去的局部、分散管理向远程处理和集中式管理转变,实时监控军队集中支付状况以回避信息时代产生的巨大风险。利用互联网,可以对所有的分支机构实行数据的远程处理、远程报表、远程报账、远程查账、远程审计等远距离军队集中支付监控,也可以掌握和监控远程库存、销售点经营等业务情况。这种管理模式的创新,使得军队采购通过互联网即可轻松地实现集中式管理,对所有分支机构进行集中记账和资金调配,从而提高集中管理效益。
军队集中支付管理方式的变化。信息时代,传统的固定办公室可能会转变为互联网上的虚拟办公室,使军队集中支付管理方式转化为网上办公、移动办公。这样,军队集中支付管理者可以在离开办公室的情况下也能正常工作,无论身在何处都可以实时查询到全集团的资金信息和分支机构军队集中支付状况,在线监督与供应商的资金往来情况,实时监督往来款余额。所有集中支付的业务往来,均在互联网上进行,将会大大加快各种报表的处理速度,这也是管理方式创新的目的之所在。
2、军队集中支付管理软件的更新
传统的军队集中支付软件功能相对独立,数据不能共享,在人、财、物管理中难以实现一体化。运用Web数据库开发技术,研制基于互联网的军队集中支付管理应用软件,可实现远程报表、远程查账、网上支付、网上信息查询等,支持网上银行提供网上询价、网上采购等多种服务。这样,军队集中支付管理和业务管理将在Web的层次上协同运作,统筹资金的力度将会空前加大;业务数据一体化的正确传递,保证了军队集中支付部门和相关部门都能迅速得到所需信息并保持良好的沟通,有利于开发与网络经济时代相适应的新型网络军队集中支付系统。
3、建立并完善军队集中支付管理信息系统
军队集中支付管理信息系统将建立在Internet、Extranet和Intranet基础之上。会计信息传递模式将变为"报告主体--信息通道--信息使用者"。网络方式从企业内部军队集中支付信息"孤岛"直接转向客户、供应商及其它相关部门。而军队集中支付管理信息系统,则以价值形式综合反映人力、物力和财力资源运动的事前、事中、事后控制与实际支付过程的全部信息。在信息时代,信息理财将综合运用计算机网络的超文本、超媒体技术,使信息更形象、直观,提供多样化的各类信息,包括数量信息与质量信息、军队集中支付信息与非军队集中支付信息、物质层面的信息和精神层面的信息。
4、健全军队集中支付信息安全防范体系
(1)内部控制。完善的内部控制可有效减轻由于内部人员道德风险、系统资源风险和计算机病毒所造成的危害。从软硬件管理和维护控制、组织机构和人员的管理和控制、系统环境和操作的管理和控制、文档资料的保护和控制、计算机病毒的预防与消除等各个方面建立一整套行之有效的制度,从制度上保证军队集中支付网络系统的安全运行。
(2)技术控制。在技术上对整个军队集中支付网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系,在军队集中支付软件中提供周到、强力的数据安全保护。
(3)防火墙。防火墙(Firewall)是建立在企业内部网(Intranet)和外部网络接口处的访问控制系统,它对跨越网络边界的信息进行过滤,目的在于防范来自外部的非法访问,又不影响正常工作,从而为企业设立了一道电子屏障。数据加密技术。数据加密技术对网络服务及开放性影响较小,是保护信息通过公共网络传输和防止电子窃听的首选方法。目前在网络信息传输中,往往组合使用专用密钥法和公开密钥法,以充分利用各种方法的优点。
(4)数字签名。在Internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,军队集中支付数据流动过程中的签字盖章等传统手段将完全改变。为验证对方身份、保证数据完整性,在计算机通信中采用数字签名这一安全控制手段。基于数字签名还可建立不可否认机制,也就是说,只要用户或应用程序已执行某一动作,就不能否认其行动。
(5)安全协议。安全协议是一组规则,详细说明报文如何"伪装"以保证它们的安全。目前国际上通行的安全协议主要有:安全套层协议(SSL)、安全超文本传输协议(S-HTTP)、安全电子交易规范(SET)等。
【参考文献】
