雲網事件考驗電子支付 如何保障其安全性?

電子商務由於方便、快捷開展得如火如荼，但是作為電子商務重要支付形式的電子支付卻面臨着各種安全問題，而且，這種問題日益凸現，所以作為用户需要——

2003年1月中國互聯網信息中心(cnnic)發佈的《中國互聯網絡發展狀況分析報告》顯示：2002年網上購物人數比2001年增長將近一倍，已經接近2000萬。隨着網上交易的發展，電子支付開始逐漸被人們認可，但是“雲網事件”的發生卻不得不使我們關注電子支付的安全性。據ac尼爾森公司在2003年3月～4月做的一個調查表明，目前安全性是網上購物者用信用卡支付的主要顧慮。安全問題已成為電子支付發展面臨的重要挑戰。

真假“雲網”

雲網（）是一家網上交易公司，顧客可以通過在線支付的形式購買上網卡、ip卡之類的商品，在業內已有了一定的知名度。可是最近經常有供貨商向他們質詢:“我們根本沒有那種上網卡，你們怎麼打着我們公司的名義賣。”雲網公司對此一頭霧水，因為他們賣的商品都是由廠家供應的。後來，經過調查，他們發現，原來最近一些論壇上出現了很多推薦另一個“雲網”（）的帖子。這個“雲網”的界面與真雲網非常相似，而且也從事與真雲網類似的網上交易，但實際上，它所出售的商品都是不存在的。

在這個“雲網”網站，雖然會出現假的銀行支付界面（沒有經銀行授權），要求用户輸入銀行卡號和密碼，但即使輸入正確銀行卡號和密碼後，系統卻總提示交易失敗，而用户的銀行卡號和密碼卻可能已被泄露給這個網站，並有可能被這個網站利用來從用户的銀行賬户上提取現金或消費。

對此，雲網公司很是氣憤，“該網站根本不是為了進行電子交易，它的主要目的是為了騙取用户的卡號和密碼，並用用户的卡號和密碼進行消費，這種行為屬於詐騙，使我們的商譽受到了嚴重影響。”雲網公司的員工説。

當記者試圖聯繫另一個“雲網”，卻發現，這個網站的很多信息都是假的。雖然假雲網頁面上有工商局的紅盾標誌，但記者通過北京市工商管理局的網站查詢，發現該網址沒有備案。假雲網頁面上還有icp登記號，記者又到北京市通信管理局的網站進行查詢，發現確實有這個登記號，但那是一家叫“歌曲大本營”的網站，網址和業務都不一樣。

是否主機託管機構會對網站的內容負責呢？就此，記者詢問了一家做主機託管的公司，他們説：一般只要被託管的公司提供公司法人的身份證複印件，就可以提供主機空間和域名，對客户利用網站從事的何種業務並沒有限制，其網站的內容和業務應該由公安機關管理。涉及這個事件的銀行已經報案，公安機構也已經受理，並展開調查。

對於“雲網事件”，中國人民大學法學院郭禾教授認為：它涉及到某些法律規定，首先，模仿註冊商標和界面，這種行為侵犯了知識產權；其次，雲網是從事電子商務的網站，假雲網利用其名稱從事相同的業務，屬於不正當競爭；最後，利用網站騙取用户的賬號信息屬於竊取他人隱私，另外，如果那個網站的人員利用騙取的用户卡號和密碼進行轉賬和消費的話，其行為將構成侵犯個人的財產權，應該負刑事責任。

電子支付存在風險

雖然人們在電子支付的技術實現上採取了很多安全措施，但是由於電子交易包括很多環節，還是存在着一定的安全風險。

對外經濟貿易大學信息學院院長兼電子商務研究所所長陳進教授介紹説：現在銀行數據系統的安全措施很嚴，要想攻破它是不太可能的，而且電子交易在傳輸用户賬號信息時都要求強加密的，即使截獲也很難破譯。但電子支付還是面臨着一些威脅。“比如有些商家為了方便，會存儲用户的數據進行存儲，如果商家數據庫被攻破，將導致用户賬號信息泄露。現在已經出現了這樣的案例，今年10月，北京市首例操縱期貨價格案在西城法院開庭，一家期貨經紀有限公司的客户代表在互聯網上發佈了自己編制的程序“期貨精靈”，誘使他人下載安裝，以此方法截獲十多個上網交易客户的資金賬號和密碼，導致客户損失。

如何避免危險

從用户角度，安全意識的增強很重要。當你在網絡上進行電子交易時，一定注意以下幾點：一，確保網站網址的正確，網站的知名度較高。中國的電子交易網站一般都是鏈接到銀行進行交易，不要在不明來歷的商户網站直接輸入賬號信息。二，查看網站是否有icp號，icp號是否正確，國家規定經營性網站必須在當地的通信管理局登記，北京網站的登記信息可在北京市通信管理局網站（）上查到。三，查看網站是否有工商局的標誌，標誌是否登記。對於北京的經營性網站，必須到工商局辦理網站備案登記，該標誌是一個紅色的盾牌，點擊網站界面上的紅盾，會自動鏈接到北京市工商局的網站登記網站（）上，顯示出該網站的登記信息，可以查看該信息與網站實際情況是否一致。四，正規電子交易網站在傳輸用户賬號信息時都要加密，此時地址是以“https”而不是通常的“http”開頭的。加密傳輸時，瀏覽器下面會出現一個小鎖，點擊小鎖會顯示證書，只能相信權威機構頒發的證書。不要相信不明來歷的證書，目前我國電子交易常用的證書包括由中國金融認證中心（cfca）頒發的證書和各個銀行自己頒發的證書。

從技術角度，我們還應增強加密的強度，提高盜用賬號的難度，例如visa信用卡最近為了增進其信用卡在電子交易中的安全性，推出了”verify by visa“的服務，增加了一個密碼，交易時用户除了輸入卡號外，還要輸入密碼。

從社會角度，良好的信用機制可以減少電子支付的風險。“其實中國的電子支付系統比外國要安全，中國的支付必須都連到銀行的系統進行，而在外國，支付可以在商家的網站進行，而且他們的信用卡只有一個卡號，沒有密碼，但他們能保證一定程度的安全是因為他們的信用機制較為完善。” 陳進説。“對於像假雲網這樣的詐騙例子，銀行和網站應及時向社會公佈，避免用户遭受更大的損失”。

從法律的角度，完善的法律是保證電子支付安全的前提。郭禾教授認為，現在關於電子商務的法律從總的原則上已經足夠，但在具體細節和操作上還有待完善，如現在合同法上已承認數字簽名的法律效力，但具備什麼樣技術條件的數字簽名才是有效的還需確定，還有網站泄露用户的賬號信息應當承擔何種程度的責任。同時，郭禾認為，政府職能部門今後應加大對電子商務網站的管理，避免通過電子交易進行詐騙的現象發生。

很多時候，電子支付的危險並不是來自電子支付本身，而是由於人們缺乏警惕性。如果我們能提高警惕性，電子支付還是足夠安全的。雖然電子支付現在還存在一些風險，但電子商務和電子支付能給我們帶來極大的方便，因此我們不能因噎廢食，而應逐漸完善它，使我們最終可以放心地享受電子支付帶給我們的便利。

我國現行電子支付的安全機制

電子支付系統的安全要求包括：保密性、認證、數據完整性、交互操作性等。目前，國內外使用的保障電子商務支付系統安全的協議包括：ssl（secure socket layer）、set（secure electronic transaction）等協議標準。國內的電子支付系統共有三種安全實現方式：ssl、set和non－set。

set協議是由visa和mastercard推出的，它可以對每個參與者進行多點認證，對交易的每個環節也進行認證，擁有較高的安全性，中國銀行就是採用這種協議。但由於它的複雜，在國內開展得不是很普遍。

ssl是一種點對點的協議，可以保證雙方通信時數據的完整性和保密性，目前在中國可以支持128位的加密，招商銀行、工商銀行就是採用了這種方式。由於它被ie、nescape等瀏覽器所內置，實現起來非常方便，國內的電子交易很多都採用這種協議。

中國金融認證中心還推出了另外一種系統non-set，它是基於pki的，除了加密功能外，還有數字簽名功能、證書管理和在線crl（證書廢止列表）查詢等功能。