网络支付的安全性问题有哪些

‘壹’ 网上支付过程中面临哪些安全问题

知名支付工具不用担心安全问题，不要用来路不明的支付软件，

最担心的就是有钱忘记支付密码，知道支付密码又没钱。

‘贰’ 网络支付安全隐患有哪些。

1. 系统风险
系统风险所指的是银行网络支付系统所存在的安全漏洞或不足，所可能引发的损失。网络支付是依
赖于网络环境而得以完成的，故而，信息系统之中，在技术或者管理上所出现的问题，将会构成严重的
系统风险。当系统同交易方进行信息传输时，若系统与交易方的终端不兼容或出现故障，则会出现传输
中断或速度降低的问题。除此以外，若是电脑死机、磁盘破坏、病毒侵入等问题，都会产生系统风险。
在未来大部分的交易支付都将会依赖于网络进行，因系统本身局限性而存在的风险，势必将会妨碍到网
络支付的顺利进行。2004 年时曾出现了一个称为“网银大盗”的木马，其轻易突破了银行系统，并窃取
了用户的账号、密码，这极大的妨碍了网络支付的顺利发展。
2. 人为风险
人为风险所指的是在交易之中，个人因素所导致的密码及其他重要信息的泄露所产生的风险。大多
数金融机构基于成本考虑，会寻求外部力量的帮助来解决营运中的技术或管理问题。这是一种双刃剑的
做法，解决自身问题的同时也将自己暴露在于风险之中。
1) 金融机构外部风险
黑客通常会采用 IP 地址欺骗、篡改用户数据等等的技术来达到自己非法牟利的目的。黑客会将自己
伪装成某一台受到信任的主机，向其他主机发送含有病毒的信息包，或是在邮件服务器中冒名他人信息。
较为常见的黑客侵袭方法还有拒绝服务攻击、同步攻击、网页欺骗等等。手段多样，且不断翻新，让人
防不胜防。
一些电脑高手所设计的病毒与木马是网络支付安全之中的一个巨大威胁。各大网站甚至一些知名网
站也难以幸免的被安放有后门。这些黑客程序不仅会破坏电脑系统，还会盗取当事人的账户信息等敏感
内容文件，对人们网上支付造成了极大的危害。美国的银行账户，每年在网络上损失的总金额高达 6000
万美元，与此同时企图进行的电子盗窃案的总数更是到达了 5~100 亿美元，持械劫匪抢银行的平均作案
值能达到 1500 美元，“电子扒手”的平均作案值则能够达到 25 万美元。
2) 金融机构内部风险
对于网络支付行业的从业人员方面的管理，是网络支付安全之中相对薄弱的一环，这一群体具体掌
握着网络支付流程之中的各环节，网络认证、防火墙等等方面的工作都是由这些从业人员来完成的。目
前国内的网络支付案件不少是由于内部人员所引起的，有逐步上升的一个趋势。网络支付的安全保护系
统被从业人员自内部“攻破”之后，无论是多么先进的技术手段也都无能为力。
3. 信用风险
信用风险又被称之为违约风险，所指的是网上支付中各交易方无法或未能履行约定义务而造成经济
损失的风险。
1) 买方失信
买方违约的情况。以资金角度出发，虽然买方不履约，未必会造成卖方或第三方企业的资金损失。
不过，这样会增大支付企业的营运成本和信用成本，低信用度用户的比重将增大，各类风险都会有所增
加。买方所存在的信用风险还可能会涉及到资金来源是否合法、买方否认交易操作、以虚假身分进行交
易、洗钱等等问题。
2) 卖方失信
卖方提供不出与买家商定的产品，不能以预定时间送达到客户手中，这将会引起买方的相关损失，
如退货的相关费用、与卖方交涉所产生的时间成本及其他费用，卖方自身的运营成本和诚信成本大幅增
加，造成信誉的极大损失。
3) 银行失信
银行在迟延结算或是非本行银行卡交易时发生拒付，迟延结算等等问题将会产生资金流动性风险。
网上银行以远程通信为方法，经由信用认证相关程序对借款者的信用进行自己的风险评估，这可能会增
加网上银行自身的信用风险。借款人未必会履行电子货币的借贷所应当承担的义务，也可能由于借贷人
评估系统不够健全，进而造成信用评估产生失误，引起银行的误判。
4. 运营风险
从银行角度出发，此类风险所指主要是交易的处理、流程管理中的失误或者是与贸易伙伴之间关系
的破裂而造成的损失，产品在特性或设计上存在不合理之处、员工服务漫不经心，亦或者是对特定客户
不能提供应有的专业服务而产生客户流失等原因而引起的银行损失。业务账目记录错误、信息交流之中
存在错误信息、没批准而擅自账户录入、未得到客户允许就进行的交易、交割过程中产生的失误等原因
所产生的各类损失，产品自身的功能欠缺、强行进行销售、对敏感问题的隐而不发、不当的客户建议、
职员操作过程中的粗心、广告内容缺乏合理性、交易的不合理性、销售过程中的歧视态度等等问题，导
致与客户之间的一个信托关系发生破裂、合同关系发生破裂、客户关系发生破裂，进而造成的各类重大
损失。

‘叁’ 简述电子商务的安全隐患与解决措施

1、数据传输安全隐患。

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机和网络上上存放、传输，从而形成信息传输风险。因此措施可以通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合密钥加密和公开密钥加密技术实现的。

2、数据完整性的安全隐患。

数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

3、身份验证的安全隐患。

网上通信双方互不见面，在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否，为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

4、交易抵赖的安全隐患。

网上交易的各方在进行数据传输时，当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，可以通过数字签名技术和数字证书技术来实现的。

(3)网络支付的安全性问题有哪些扩展阅读：

电子商务分类：

1、企业对企业的电子商务（B2B）；

2、企业对消费者的电子商务（B2C）；

3、企业对政府的电子商务（B2G）；

4、消费者对政府的电子商务（C2G）；

5、消费者对消费者的电子商务（C2C）；

6、企业、消费者、代理商三者相互转化的电子商务（ABC）；

7、以消费者为中心的全新商业模式（C2B2S）；

8、以供需方为目标的新型电子商务（P2D）。

‘肆’ 电子商务的交易安全隐患有哪些

电子商务的交易安全隐患主要两方面：
一、交易信息的窃取与篡改,即网络交易中用明文传输的数据被非法入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏。
二、信息的假冒,即网络非法攻击者通过假冒合法用户或者模拟虚假信息来实施诈骗行为。
防范及改进措施：加强数据的保密性、完整性、不可否认性的措施建设。
电子商务信息的保密性,指的是信息不泄露给非授权用户、实体或过程,或供其利用的特性。电子商务信息的完整性,指的是数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。电子商务信息的不可否认性,指的是避免发生交易中的某一方在进行某种交易行为之后,否认自己曾经进行过该商务行为;或者某一方否认自己曾经接收到对方发出的交易信息。
主要安全技术：
1.加密技术是电子商务的最基本的安全技术。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
(1)对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被国际标准化组织采用作为数据加密的标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥对被分为公开密钥和私有密钥。密钥对生成后,公开密钥对外公开,而私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。
在对称和非对称两类加密方法中,对称加密的优点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截取,而且,若和大量用户进行通信,难以安全管理大量的密钥对,因此对称加密大范围应用存在一定问题。而非对称密钥则相反,其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,也不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称的缺点是加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。
2.身份认证技术。目前电子商务交易中仅有加密技术不足以保证交易安全,身份认证技术是保证电子商务安全的另一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。
(1)数字签名技术
对信息加密只解决了信息传输过程中的保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性,以及保证信息发送者对发送信息的不可抵赖性,需要采用其它的手段,这一手段就是数字签名。数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。
目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:信息是由签名者发送的;信息自签发后到收到为止未作过任何修改。目前数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。
(2)数字证书技术
在公共密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开的,它能保证传输信息的保密性,但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发。数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。

‘伍’ 简述网上支付有哪些安全隐患

网上支付安全隐患
网上支付对于很多人来说并不陌生。你也许通过某家商业银行的网上银行转账、支付交易保证金，或是通过一些专业的网上支付服务商（如“支付宝”）进行过网上购物在线支付。所有这些通过互联网进行的支付方式都是网上支付。
网上支付受欢迎程度并不一致。一方面，很多人感受到互联网支付的快捷和方便，从而对网上支付情有独钟，他们觉得网上支付可以明显减少到银行的往来奔波之苦、可以免除排队的烦劳；另一方面，一部分人对网上支付退避三舍，不敢轻易尝试网上支付。经调查分析，不同人群对待网上支付的不同态度在很大程度上是由于他们对网上支付安全担心程度不同所致。
也就是说，对于后者，他们觉得网上支付需要更好的安全保障。从目前网上支付的发展水平和出现的网上支付案例来看，现行的网上支付安全技术和手段已经比较成熟，绝大部分网上支付安全事件更多的是由于支付者缺乏必要的安全防范意识和技能所致。
哪里存在安全隐患？
人们对任何事物关注点与该事物发展阶段变化而变化。在事物的不同发展阶段，风险点发生变化，社会对此的关注点可能发生变化。对于网上支付，当前的主流方式是通过银行卡（包括信用卡、借记卡和支付卡等）这种支付工具，通过浏览器输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。现阶段的支付风险主要存在于：
●支付密码泄漏。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。这是人们对网上支付安全的主要担心所在。
●支付数据被篡改。在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等，达到谋利目的并制造互联网支付事件。
●否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。
如何减少支付风险？
降低风险需要根据风险点的不同特征采取不同的风险控制措施。我们先来看看怎样“看护”好我们的支付密码。攻击者通常用哪些手段得到得到支付密码呢？
●骗取手段。攻击者可以采用“钓鱼”方式达到目的。具体方式有假冒网站、虚假短信（邮件）。这些网站页面、短信或邮件是他们的“诱饵”。不能识别这些诈骗手段的持卡人容易被攻击者诱骗，乖乖地向其泄漏自己的银行卡支付密码。
●支付终端截取。攻击者可以在持卡人电脑上发布恶意软件（如木马软件）。这些软件能在持卡人输入支付密码时悄无声息地捕获，并偷偷地发送出去。
●网络截获。攻击者在支付终端和其它网络设备等节点通过智能识别和密钥破解手段得到支付密码。
●暴力攻击。当前很多发卡行采用6位数字密码方式。借助于具有强大运算能力的计算机，攻击者可以采用密码词典（密码词典包含了0－9数字不同字长的各种数字串组合）方式逐个试探。
●其它途径获取。攻击者趁持卡人不注意，在银行柜台、ATM或POS终端记下持卡人的支付密码。
支付密码泄漏是网上支付案件的主要原因。从上述这些攻击手段可以看出，我们首先要具有安全意识和基本防范技能。持卡人应注意：
识别假冒网站。持卡人需要确认支付页面网站域名的真伪。因此，持卡人不妨选择一家商业银行或支付平台作为常用的支付服务商，熟悉其域名，并在支付操作时细心即可。有些商业银行网上银行或支付平台提供了持卡人“预留信息”方式，可以帮助持卡人识别假网站。
虚假短信（邮件）相对假冒网站而言更易于识别。持卡人在收到任何与银行卡、支付有关的短信后，应确认短信发送者的真实身份或短信内容。
密码保护还需要持卡人注意不要设置简单的密码。如不要采用类似“123456”的简单数字组合、自己或亲人的生日信息、电话号码。此外，还注意支付终端的安全性，如不要在公用网吧进行网上支付、在支付终端上安装反病毒、反木马软件。同时，还要注意在其它场所支付输入密码时不轻易为他人偷窥、摄像等，不要将密码记录在被人容易看到的纸片上。
支付密码能轻易为攻击者骗取、窃取或破解，更为一个重要的原因是支付密码本身缺乏一定的防攻击、防窃取能力。由于密码通常是字母、数字的简单组合，属于低安全强度的保护机制。如采用数字证书代替或补充支付密码就是一种更有效方式。因此，持卡人进行网上支付最好选择使用采用数字证书安全机制的支付方式。

‘陆’ 网络支付安全隐患有哪些

网络支付的隐患就是速度太快，可能随手就能付出很多钱，但自己又不知道能付出去多少钱

‘柒’ 网上支付会遇到什么风险

网上支付的安全可以从两个方面来阐述，信息被窃取的可能性，第二信息被盗时追溯的可能性。第一方面来讲，无论是当前的哪一套网络支付安全方案，绝对不是信手拈来的，而是经过无数次推敲，并在理论上被证实是安全的方案，网上传输的信息，利用现有已知的技术和条件是无法破解的。第二，就可追溯性而言，网上交易比现实交易留下的信息更多，也就是说追溯起来比追溯使用假钞者要容易得多，因为每次网络活动都是在各个层面被记录的，而现实交易中不可能存在无所不在的摄像头。
因此，只要看准是大的网上交易网站，就可以有安全保障的。当然，如果你的机器中了病毒，被人窃取了密码，就不能算是网络支付的不安全了。

‘捌’ 目前网络支付系统存在哪些问题试举例说明并就举例提出解决问题的措施

首先说下网络支付的特点：支付方式和场景多样化、交易量不稳定（短时间高峰值）、适应业务变化而变化、安全性风险大。
个人觉得网络支付系统重点要解决1、对账问题：运营支付系统时，最头痛的问题是“对账发现对不平”的情况。系统模块之间，系统和银行之间，软件、硬件、网络都有一定的出错概率，当业务量达到一定规模后，会经常发生银行和我们系统间数据不一致，我们和商户间数据不一致的情况。其中也不排除黑客入侵或程序 bug 造成资金对账不一致。由于这些不一致，涉及到资金的归属，必须要找出原因。如果没有特殊的设计，支付系统运营者会花费大量的人力来查找问题原因，恢复数据。2、安全问题：支付系统的安全性是设计支付系统时最需要考虑的。如果没有很好的安全防范措施，可能出现大量用户被盗用资金的情况；还要有完善的预警机制，系统自动对账对不平时，系统会第一时间像风险管理员进行报警，控制风险，避免导致用户大量的投诉，从而对支付系统失去信心。3、多变问题：在运营支付系统的过程中，随着业务的发展，需要支持的用户支付方式越来越多，需要支持的商户结算方式也越来越多，某些资金渠道的特殊要求也越来越多。针对以上，很多支付系统一开始也就不会考虑这么多，只满足现有需求，当业务方提出新需求时，就不断叠加功能。慢慢地系统越来越复杂，越来越臃肿，非常容易出 bug，越来越难以维护。即使投入大量技术人员，仍然无法及时响应业务需求。4、稳定的问题：互联网业务的特点是用户可能来自全球各地，而且经常会有一些大型促销活动导致用户访问数短时间内激增。所以互联网系统需要针对性能及高并发进行特殊设计和处理，以提高系统的稳定性。否则在业务量突增时，很容易导致系统崩溃。

‘玖’ 哪种行为可能对移动支付带来安全风险

1、传统业务带来的安全风险
手机终端固有的业务包含短信、彩信、话音等。在用户利用短信／彩信方式完成信息传递和移动支付时，黑客可能会利用先进的技术手段窃取其中的关键信息。同时，不发分子仍利用诈骗电话和群发短信诱骗用户，达到骗取用户钱财的目的。
2、移动终端丢失带来的安全风险
移动设备特有的威胁就是容易丢失和被窃，无论是个人原因或者是被盗窃。而丢失意味着别人将会看到电话、数字证书等重要数据，拿到移动设备的人就可以进行移动支付、访问内部网络和文件系统等，给用户带来严重的经济损失。
3、移动操作系统及app应用软件的漏洞带来的安全风险
操作系统是移动终端最主要的组成部分，终端存在的诸多安全隐患均于操作系统相关，特别是开发的安卓系统。黑客利用操作系统的漏洞可以轻而易举用户的机密信息，获取root权限控制终端，伪装成合法用户使用应用软件，完成移动支付。而众多的app应用软件的漏洞，可以使黑客对手机界面进行实时监控，当运行在支付应用安全界面时，进行截屏录屏，截取重要的账户信息。
4、免费无线网络带来的安全风险
移动支付需要手机联网，如今很多场所都部署了免费网络，然而这些网络很容易被罪犯劫持并监控，通过分析软件窃取用户个人资料、银行账户、网络支付账户密码，实施资金的盗刷。2015年中央电视台3．15晚会展示了WiFi破解、钓鱼、欺诈WIFI等相关的无线网络安全问题
5、用户登录支付认证方式存在缺陷带来的安全风险
目前，大部分金融支付机构均采取单一因素进行身份认证，无论是短信验证码认证、指纹认证、人脸识别等认证方式，都因为认证因素过于单一，而在安全性上得不到强有力的保障。
6、二维码支付的安全风险
二维码支付作为当前主要的移动支付手段，它的安全风险主要的有两个问题：其一，二维码的信息存储量是条形码的几十甚至上百倍，这就意味着二维码可以作为木马病毒或者钓鱼网站的载体，使得扫码者扫码后即使不进行任何操作也可能造成账号密码等信息的泄露和财产损失。其二，二维码还具备制作简单、成本低、容易解读等特点，这就很容易使二维码被复制、篡改或者直接冒用。

‘拾’ 结合案例,分析目前网上支付安全问题的特点

一、电子商务网上支付的安全隐患
(一)网上支付的安全问题。
造成网上支付发展的安全风险主要有三个方面：一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。无论是何种风险，其根本原因都是由于登录密码或支付密码泄露造成的。
1、密码管理不善。
大
部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户将姓名、生日、电话号码设置为密码。有86％的用户在所有网站上使用的都是同一个密
码或者有限的几个密码。许多攻击者还会直接使用软件破解一些安全性低的密码。因此建议用户使用安全性高的复杂密码，防止密码被黑客破译的可能。
2、网络病毒的入侵。
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页，如果发现用户正在登录个人银行，直接进行键盘记录输入的账号、密码，或者弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3、钓鱼平台。
“网
络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露
自己的财务数据，如信用卡号、账户号和口令等。中国互联网络信息中心(CNNIC)统计，截至今年2月底，联盟累计认定并处理了钓鱼网站39854个。仅
1、2月份，网购、电子商务网站类就占据了举报受理总数的90%。2011年2月，处理钓鱼网站1159个，较2010年2月(574个)相比，同比增长
112%，而2011年前两个月处理的钓鱼网站较2010年同期增长2278个。更为惊人的是，在2011年1月和2月通过联盟认定并处理的钓鱼网站中，
网购、电子商务网站类约占举报受理总数的90%。
(二)网上支付的信用问题。
在网络支付中由于其虚拟性，超时空性等特点，使双方互不相见，也难以客观地判断对方的信用等级，致使网络支付双方对对方的信用产生怀疑，也因此阻碍了网络支付的发展。
根
据《中国电子商务诚信状况调查》统计显示，有23.5%的企业和26.34%的个人认为电予商务最让人担心的是诚信问题，电子商务的诚信已经成为公众和企
业最关注的问题之一。调查表明，64.2%的公众和71.1%的企业在网上交易时会查看卖方的信用评价，企业信用状况无疑是解决电子商务诚信问题的一个很
大因素，但目前我国还没有一个权威公正的信用体系。
(三)网上支付的法律问题。
目前制约网上支付发展的立法问题主要包括:谁来发行电子货币；如何进行网络银行的资格认定；怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
(四)网上安全认证机构建设混乱。
CA
在认证过程中面临许多潜在的风险，这主要表现在：(1)支付的信用安全问题。各CA颁发的电子证书各自为政、交叉混乱的情况仍然存在，身份认证系统不完善
不统一，认证作用只是保证一对一的网上交易安全可信，而不能保证多家统一联网交易的便利。(2)缺乏协调统一的规划设计和没有行业技术标准。各个认证中心
都是独立构建的，引进的技术和产品各有不同，也没有共同的标准，在这样的情况下，要实现互通确实面临很大困难。