【电子支付安全】电子商务网上支付安全的强化策略

　　【电子支付安全】电子商务网上支付安全的强化策略

　　在传统支付系统中,伪造现金、伪造签名、拒付支票等是商品交易中的风险。在电子支付系统中,由于知道私钥的任何人都能以买方的身份产生数字签名,连续购买行为之间的关系可以被跟踪出来,电子数字文档复制不影响原文档,所以,电子支付系统存在着与传统支付系统类似的风险,而且风险可能更大。

　　电子支付系统的基本安全需求可以总结为:买方与卖方都必须证明自己的支付身份;要求支付交易数据不可受到非授权的参与方的更改;确保在未经用户明确授权之前不能从该用户的账户或智能卡中提取任何现金;一项或多项支付交易数据的机密性。强化安全管理需要从以下两个方面着眼:

　　(一)强化安全支付服务

　　首先,支付交易安全服务。支付交易安全服务涉及所有的电子支付系统和所有的支付手段,具体包括以下内容:用户匿名性、地址不可跟踪性、买方匿名性、支付交易不可跟踪性、支付交易数据的机密性、支付交易消息的不可否认性、支付交易消息的新鲜性。其次,数字货币安全。数字货币安全服务主要与数字货币相关,具体包括以下内容:防止再度花费、防止数字货币伪造、防止货币被盗。再次,电子支票附加服务。电子支票附加服务基于以电子支票作为支付手段的支付系统的特定技术,其主要内容是支付授权转账(代理),即使某一授权的参与方可以将支付授权转移给他所选定的另一参与方。

　　上述三种数字货币安全服务在一定程度上是相互冲突的,但在实施的同时可以达到风险与保护的平衡。例如,可以将这三种服务设置成仅当非法事件发生的时候才起作用(如有条件的匿名性)。

　　(二)强化企业内部的安全管理

　　首先,网络安全管理。网络安全管理主要包括以下内容:安全服务管理、安全机制管理、安全审计管理、安全恢复管理等。其次,保密设备与密钥的安全管理。保密设备的使用,应与网络中保护对象的密级相一致。密码算法、密钥和保密协议是核心内容,同步技术和操作方式的选择也相当重要。保密设备的管理主要包括保密性能指标的管理,工作状态的管理,保密设备的类型、数量、分配和使用者的状况,以及密钥的管理等。再次,安全行政管理。安全行政管理的重点是:安全组织机构的设立、安全人事管理、安全的责任与监督等。