搜索
第8章电子商务交易系统安全管理1.熟悉网络中介服务规范、非金融机构支付服务管理、网络金融机构的风险管理;2.了解电子合同安全管理的基本概念、特点、功能;3.了解电子商务系统安全管理涉及的数字水印版权保护技术、透明加密技术、动态口令身份认证技术等关键技术。学习目标与要求硅谷动力网站报道:美国佐治亚州19岁的青年格罗高利·克利麦克,涉嫌诈骗eBay网站的顾客,有可能被判监禁40年。他在eBay网站上出售ATI显卡,售价从20美元至250美元不等。克利麦克成功地完成了20宗交易,共收到汇款4500美元,但是他没有给任何顾客寄出商品。受骗的顾客报警之后,警方逮捕了克利麦克并搜查了其住所,没有发现任何显卡产品。克利麦克因涉嫌故意诈骗罪,将受到21项指控,可能面临40年的牢狱生涯。警方提醒网上消费者,一定要提防这种“空手套白狼”的罪犯。易趣网曾携手公安部门和工商部门联合推出了“网上交易安全宣传月”系列活动,易趣网在首页张贴了给消费者和网上商家的提示,提醒广大购物者交易前仔细阅读易趣网总结的《网络交易安全ABC》,呼吁所有网上商家守法经营、诚信为本,并告诫大众网上诈骗或销赃都是违法行为。种种事实表明,电子商务交易系统的安全管理已成为电子商务发展进程中必须解决的重要问题。本章主要介绍电子商务安全体系管理及有关运作情况。8.1网络交易中介服务商管理8.1.1网络交易中介服务的相关概念所谓网络交易,是指发生在信息网络中企业与企业之间(BusinesstoBusiness,简称B2B)、企业和消费者之间(BusinesstoConsumer,简称B2C)以及个人与个人之间(ConsumertoConsumer,简称C2C)通过网络通信手段缔结的交易。提供这种网络交易的计算机网络环境通常称为网络交易平台,网络交易平台实质上是为各类网络交易(包括B2B、B2C和C2C交易)提供网络空间以及技术和交易服务的计算机网络系统。8.1.2网络交易中介服务规范管理《网络交易平台服务规范》的发布为电子商务企业完善制度并接受社会各界的监督提出了切实可行的规范体系,为各地方电子商务立法或电子交易立法提供了参考和支持。同时,网络交易中介服务商和交易当事人应当遵守《中华人民共和国民法通则》、《中华人民共和国合同法》、《中华人民共和国电子签名法》、《互联网信息服务管理办法》及《中华人民共和国消费者权益保护法》、《中华人民共和国广告法》等相关法律法规,实现行业自律。《网络交易平台服务规范》主要从下述两方面作了规范。8.1.2.1对网络交易交易中介服务商的要求《网络交易平台服务规范》对网络交易中介服务商提出了以下要求:(1)制度建设。(2)运营管理。(3)信息监管。(4)用户注册管理。(5)用户协议。8.1.2.2对网络交易服务的规定《网络交易平台服务规范》对网络交易服务的规定如下:(1)交易规则的制定。(2)交易规则的显示。(3)交易规则的修改。(4)电子签名的使用(5)网络广告管理。(6)资料存储管理。8.2非金融机构支付服务管理2010年6月中国人民银行公布《非金融机构支付服务管理办法》(以下简称“管理办法”),并于2010年9月1日实施。该管理办法中涉及了三类货币资金转移服务,包括网络支付、预付卡的发行与受理、银行卡收单,其中网络支付一项属于支付服务类别,其余两类与支付服务关联性甚低,主要与第三方支付企业经营网络支付业务的管理问题有关。8.2.1出台《非金融机构支付服务管理办法》的必要性在“管理办法”颁布前,国内的第三方支付机构主要有PayPal(隶属易趣公司)、支付宝(阿里巴巴旗下)、财付通(腾讯公司)、易宝支付(Yeepay)、快钱(99bill)、百付宝(百度旗下)、网易宝(网易旗下)、环迅支付、汇付天下等,各类第三方支付企业多达300余家。据中国电子商务研究中心调查显示,截至2011年上半年,国内第三方支付企业市场份额中支付宝排名第一,市场占有率为47.2%;排在第二的为财付通,市场份额为20.3%;第三为银联在线,市场份额占据9%;而快钱、汇付天下、环迅支付、易宝支付、首信易支付、网银在线等紧随其后。这些数据显示,第三方支付领域群雄混战,涉及领域及利益群体广泛且呈现惊人的扩展态势,存在的风险和隐患也日益突出,需要行政力量介入管理,将网络支付纳入管理范围。8.2.2《非金融机构支付服务管理办法》的主要内容及影响“管理办法”的颁布对第三方支付企业提了出较高的要求,总的来说,主要从注册资本、许可证申领条件、资金管理的限制、禁止以沉淀资金盈利等四个方面对第三方支付的行业准入和管理设置了门槛。8.2.2.1较高的注册资本“管理办法”要求拟在全国范围内从事支付业务须有一亿的注册资本,在省内从事支付业务须有三千万的注册资本,且是实缴的货币资本;而此前ICP证所要求的省内经营注册资本仅为100万、全国或跨省经营注册资本为1000万。该管理办法的出台对资金雄厚的第三方支付机构没有影响,对众多小型的第三方支付企业来说则是不低的门槛。8.2.2.2严格的许可证申领条件“管理办法”要求申领《支付业务许可证》的申请方的主要出资人应当符合以下条件:(1)截至申请日,连续为金融机构提供信息处理支持服务2年以上,或连续为电子商务活动提供信息处理支持服务2年以上;(2)截至申请日,连续盈利2年以上。该条件暗含了这样的要求:即若要成立第三方支付企业,必须是银行愿意让该企业提供信息处理支持服务;或者与支付宝、财付通一样,拥有和挂靠自己的电子商务平台网站,自给自足提供信息处理支持服务。这个条件导致新的企业准入困难,需要有相匹配的资金实力。8.2.2.3资金管理的严格限制“管理办法”第30条规定:支付机构的实缴货币资本与客户备付金日均余额的比例,不得低于10%。即支付机构必须有充足的资金押在银行里,否则交易额将受到限制。以支付宝为例,若其单日交易额最高达到12亿,则其实缴货币资本必须保证有1.2亿元。这个条件可能会导致第三方支付企业分化严重,产生强者越强,弱者愈弱的马太效应。8.2.2.4禁止以沉淀资金盈利“管理办法”第24条规定:“支付机构接受的客户备付金(客户备付金即准备在买家收货确认后打给卖家的资金,也称交易保证金)不属于支付机构的自有财产,支付机构只能根据客户发起的支付指令转移备付金,禁止支付机构以任何形式挪用客户备付金。这使得所有第三方支付企业不可能再靠沉淀资金(客户账户中的充值以及备付金)产生利息盈利,但管理办法对备付金的利息归属和管理仍没有规定。8.3网络金融机构及安全管理8.3.1网络金融与网络金融机构管理所谓网络金融,又称电子金融(E-finance),是指在国际互联网上实现的金融活动,包括网络金融机构、网络金融交易、网络金融市场和网络金融监管等。它不同于传统的以物理形态存在的金融活动,是存在于电子空间中的金融活动,其存在形态是虚拟化的,运行方式是网络化的。它是信息技术特别是互联网技术飞速发展的产物,是适应电子商务发展需要而产生的、网络时代的金融运行模式。网络金融机构的管理应在两方面创新:一方面要放弃过去那种以单个机构的实力去拓展业务的战略管理思想,充分重视与其他金融机构、信息技术服务商、资讯服务提供商、电子商务网站等的业务合作,在市场竞争中实现双赢;另一方面,网络金融机构的内部管理也趋于网络化,传统商业模式下的垂直式组织结构将被一种网络化的扁平型组织结构所取代。由于信息技术的发展,网络金融机构对网络金融监管呈现自由化和国际合作两大特点,表现为:一方面,过去分业经营和防止垄断的传统金融监管政策被市场开放、业务融合和机构集团化的市场规则所取代;另一方面,随着在网络上进行的跨国界金融交易量越发巨大,一国的金融监管部门已经不能完全控制本国的金融市场活动了,因此,国际间的金融监管合作就成了网络金融时代金融监管的新趋势。8.3.2网络金融机构的风险管理8.3.2.1必要性我国也应尽快出台有关管理办法,以加强对金融机构信息技术风险的监管。其重要意义有三:(1)通过制定有关办法与指引,积极引导金融机构提高信息技术风险管理水平,使得信息技术能够更好地支持银行战略目标,使金融机构的信息资源能够得到充分有效的利用,在最大限度上规避由于信息技术的应用而带来的策略风险、操作风险、信誉风险和法律风险;(2)通过研究国外银行业信息化建设现状与未来发展趋势,掌握规律,积极引导我国金融机构提升信息化建设水平,逐步提高其竞争力;(3)定期发布金融机构信息化建设情况及信息资产风险情况,提高金融机构的业务透明度。8.3.2.2网络银行面临的风险随着网络银行的发展,其风险问题日益突出。网络银行的风险问题表现在三个方面:一是原有银行风险有了新的表现形式;二是产生了不少新的风险;三是网络银行存在风险放大效应。8.3.2.2.1原有银行风险的新表现形式(1)攻击者增多。攻击传统银行的人往往局限于某一块地理区域,如特定的国家、省、市、县区域内,而网络银行的攻击者可来自世界各地。(2)攻击方法更隐蔽。(3)攻击范围增大。8.3.2.2.2网络银行面临的新风险网络银行在充分享受现代网络技术的便捷时,也面临着网络技术带来的一系列的新的风险。下面简要作一介绍:(1)从技术的角度看面临的风险。技术风险突出表现在Internet的安全问题上。网络银行面临被闯入者攻击的危险,同时可能给闯入者攻击银行其他系统如银行内部决策信息系统提供了入口。其原因有四:●认证环节薄弱。●系统易被监视。●信息易被截取。●操作系统存在漏洞。(2)从经济的角度看面临的风险。经济风险主要包括三方面:●银行结算风险。●银行管理风险。●信用风险。(3)从法律的角度看面临的风险。这主要指以下两种风险:●网络犯罪风险。●法律风险。8.3.2.2.3网络银行的风险放大效应目前Internet已成为网络银行业务赖以运行的支撑体系,但采用网络技术的银行计算机系统也使得金融风险有放大的效应。原因有三:(1)在网络空间内,所有经济活动表现为货币信息的传递与调拨。在网络内流动的已不是货币现金,而是代表资金的数字化信息,该信息所代表的货币量远远超过了实际的货币拥有量。(2)网络空间是一个申请网络账号即可进入的自由流动空间,该网络内的各个节点联结成一个整体,网络节点之间有着紧密的关联度。在一个网络节点发生的风险可能会波及整个网络,甚至导致银行整个经营网络瘫痪。(3)高科技的网络技术所具有的快速远程处理功能,虽然为便捷、快速的金融服务和产品提供了强大的技术支持,但也加快了风险积聚的过程,风险积聚与发生可能就在同一时间内,在这种情况下,网络银行可能来不及察觉风险并采取防范、补救措施,就已遭受了一连串的资金损失。因为网络银行存在上述风险,所以必须加强风险管理,否则,网络银行的存在和发展将受到严重的威胁。8.3.2.3网络银行的风险管理根据风险管理理论,风险管理是由风险识别、风险衡量、风险处理和风险管理效果评价四个阶段构成的。网络银行的风险管理也必须围绕这四个阶段进行。8.3.2.3.1风险识别阶段8.3.2.3.3风险处理阶段8.3.2.3.2风险衡量阶段8.3.2.3.4风险管理效果评价阶段8.3.2.4信息技术风险监管的手段与内容借鉴国际通行做法,我国也应制定信息技术监管办法,用于指导银行业金融机构加强IT治理结构建设,制定信息安全管理策略和程序,加强信息安全管理,防范和化解由于信息技术的应用所带来的技术风险。具体来说包括两方面:(1)督促银行业金融机构加强IT治理结构建设。(2)制定信息技术风险管理一般办法。办法应覆盖信息安全策略、组织安全、人员安全、物理与环境安全、存取控制、信息分类与控制、通信与运营安全、业务持续性计划等几个方面。●信息安全策略。●组织安全。●人员安全。●物理与环境安全。●资产分类。●通信与运营管理。●存取控制。●系统开发和维护。●业务持续性管理。●合规性管理。8.3.3我国网络金融机构管理的问题及对策8.3.3.1我国网络银行的发展及问题随着我国电子商务大发展,我国网络银行业务已由广告宣传走向实际应用,且业务发展速度惊人。目前,我国银