第一篇:网络上银行数字证书很安全
网络上银行数字证书很安全
来源:重庆IT商网·原创 责任编辑:何建国 时间:2009-2-25 18:49:10 分页标题
【编者按】 自改革开放以来,银行业一直是一个充满活力的行业。为满足大众不同的金融需求,各个银行都在积极开拓业务,以求能够吸引更多用户。互联网技术的不断进步,更是为银行业开拓业务发展创造了积极有利的条件。网上银行作为一种新型金融服务,迅速发展了起来。
根据中国金融认证中心发布的《2008中国网上银行调查报告》显示,2008年,在全国范围内,个人网上银行用户比例为19.9%;在10个经济发达城市,使用个人网上银行的用户比例达到了44.9%,比2007年高出7.1%。个人网银活动用户最常使用的功能就是账户查询和网上支付。在企业级用户市场,网银用户增长的趋势则更为明显,2008年全国企业网银用户的比例达到了42.8%;在10个经济发达城市,使用企业网上银行的用户比例继续增长,比2007年增长了10.3%。从不同规模企业网银用户总体发展情况来看,企业规模越大,使用网银的比例就越高。此外,现在已有将近60%的活动用户使用网上银行办理超过一半以上的柜台业务。整体看来,2008年全国个人网上银行成长指数为59.6,总体实现程度为59.6%,整个市场仍处于不断成长的过程中,且依然有较大的上涨空间;全国企业网上银行成长指数为65.56,总体实现程度为65.56%,还有34.44%的发展空间。
然而,就在网上银行快速发展的同时,关于网上银行资金安全的问题却不断涌现,同时,也在社会上产生了对“网上银行是否安全”的质疑。
2009年4月,恰逢中国首部信息化领域的法律——《中华人民共和国电子签名法》(以下简称《电子签名法》)实施四周年,当初,《电子签名法》的诞生就是为了解决虚拟电子环境下用户身份的法律地位问题。具体到网上银行,无疑,用户的身份直接关系到其网上银行账户的安全。那么,《电子签名法》与网络银行又有怎样的关系呢?都有那些机制及技术在保护网上银行的安全呢?带着这些问题,本报记者采访了银行、网络安全、法律界的多位专家,从本期开始,我们将陆续推出关于网上银行资金安全及《电子签名法》的系列报道。在一个城市中,什么地方最安全?肯定有很多人会说是银行。多年以来,坚固的金库、严密的守卫、严格的制度,让银行在老百姓心目中有着很高的地位。近年来,银行保管箱业务的快速发展就是一个很好的佐证。
正是在这样的前提下,使得大多数人对于银行所提供的各种业务都充满了信任,很多网上银行业务的使用者也根本没有对这种新型金融业务的安全性产生过质疑。但近年来,一系列网上银行资金被盗事件的发生,让很多人对网上银行的安全性产生了疑虑。
2007年5月17日,长沙的杨先生办理了交通银行的网上银行业务,在银行的建议下成为了数字证书的认证用户,并购买了专门用于存储数字证书的USBkey(智能电子钥匙)。但就在两天后,杨先生发现自己的100万元巨款在几个小时内不翼而飞。杨先生为此将交通银行告上了法庭,但最后法院认定杨先生虽然妥善地保管了智能电子钥匙,却以他未妥善保管借记卡密码为依据,判杨先生败诉。
交通银行的这起网上银行账户被盗事件引起了社会各界的广泛关注,同时也引发了一场大讨论。不过,大众对于本案中涉及到的网上银行数字证书、电子认证、PKI体系的概念大都不是很清晰,于是很多人在似懂非懂之间认定网上银行的安全性是有问题的。网上银行真的就不安全了吗?其所涉及的安全体系不可靠吗?带着这些问题,记者采访了无锡江南信息安全工程技术中心副主任刘平。分页标题
【编者按】 自改革开放以来,银行业一直是一个充满活力的行业。为满足大众不同的金融需求,各个银行都在积极开拓业务,以求能够吸引更多用户。互联网技术的不断进步,更是为银行业开拓业务发展创造了积极有利的条件。网上银行作为一种新型金融服务,迅速发展了起来。
根据中国金融认证中心发布的《2008中国网上银行调查报告》显示,2008年,在全国范围内,个人网上银行用户比例为19.9%;在10个经济发达城市,使用个人网上银行的用户比例达到了44.9%,比2007年高出7.1%。个人网银活动用户最常使用的功能就是账户查询和网上支付。在企业级用户市场,网银用户增长的趋势则更为明显,2008年全国企业网银用户的比例达到了42.8%;在10个经济发达城市,使用企业网上银行的用户比例继续增长,比2007年增长了10.3%。从不同规模企业网银用户总体发展情况来看,企业规模越大,使用网银的比例就越高。此外,现在已有将近60%的活动用户使用网上银行办理超过一半以上的柜台业务。整体看来,2008年全国个人网上银行成长指数为59.6,总体实现程度为59.6%,整个市场仍处于不断成长的过程中,且依然有较大的上涨空间;全国企业网上银行成长指数为65.56,总体实现程度为65.56%,还有34.44%的发展空间。
然而,就在网上银行快速发展的同时,关于网上银行资金安全的问题却不断涌现,同时,也在社会上产生了对“网上银行是否安全”的质疑。
2009年4月,恰逢中国首部信息化领域的法律——《中华人民共和国电子签名法》(以下简称《电子签名法》)实施四周年,当初,《电子签名法》的诞生就是为了解决虚拟电子环境下用户身份的法律地位问题。具体到网上银行,无疑,用户的身份直接关系到其网上银行账户的安全。那么,《电子签名法》与网络银行又有怎样的关系呢?都有那些机制及技术在保护网上银行的安全呢?带着这些问题,本报记者采访了银行、网络安全、法律界的多位专家,从本期开始,我们将陆续推出关于网上银行资金安全及《电子签名法》的系列报道。在一个城市中,什么地方最安全?肯定有很多人会说是银行。多年以来,坚固的金库、严密的守卫、严格的制度,让银行在老百姓心目中有着很高的地位。近年来,银行保管箱业务的快速发展就是一个很好的佐证。
正是在这样的前提下,使得大多数人对于银行所提供的各种业务都充满了信任,很多网上银行业务的使用者也根本没有对这种新型金融业务的安全性产生过质疑。但近年来,一系列网上银行资金被盗事件的发生,让很多人对网上银行的安全性产生了疑虑。
2007年5月17日,长沙的杨先生办理了交通银行的网上银行业务,在银行的建议下成为了数字证书的认证用户,并购买了专门用于存储数字证书的USBkey(智能电子钥匙)。但就在两天后,杨先生发现自己的100万元巨款在几个小时内不翼而飞。杨先生为此将交通银行告上了法庭,但最后法院认定杨先生虽然妥善地保管了智能电子钥匙,却以他未妥善保管借记卡密码为依据,判杨先生败诉。
交通银行的这起网上银行账户被盗事件引起了社会各界的广泛关注,同时也引发了一场大讨论。不过,大众对于本案中涉及到的网上银行数字证书、电子认证、PKI体系的概念大都不是很清晰,于是很多人在似懂非懂之间认定网上银行的安全性是有问题的。网上银行真的就不安全了吗?其所涉及的安全体系不可靠吗?带着这些问题,记者采访了无锡江南信息安全工程技术中心副主任刘平。密码技术: 数字证书的基础
记者: 春节期间,记者开通了多家银行的网上银行业务,除了中国银行的网上银行业务没有提供数字证书外,工商银行、招商银行、农业银行、北京银行等都在自己的网上银行业务中提供了数字证书服务,银行的工作人员向记者表示,数字证书是保护用户网上银行账户安全的最有效手段。那么究竟什么是数字证书呢?
刘平: 经常有人问我这个问题,数字证书是什么?数字证书的作用?数字证书应该怎样用?要回答这些问题,首先要从最基本的密码技术说起。
密码技术可以为信息网络中的电子化信息,如网上银行业务中发生和传递的各种信息,在其产生、交换、使用和存储等过程中提供四种安全保证: 第一是机密性,机密性或隐私性保护保证信息不被非法获得;第二是完整性,数据完整性保护保证信息不被无意或有意改动;第三是真实性,真实性保证信息的发送方和接收方的身份得到惟一性确认,这样信息的发送和接收双方就都知道信息的来源和去处;第四是不可否认性,不可否认性提供对数据完整性和来源的第三方验证,不可否认性服务可以在发生诉讼时提供重要的法律证据。使用密码技术可以提供上述安全保证,并可以将其具体化为密码服务系统,也就是说,将上述安全保证具体转化为密码服务系统的加密、解密、签名和验证签名操作,这被称为密码服务。密码技术是实现网络安全保证的核心技术,密码技术的核心是密码算法和密码算法的具体应用。而网上银行涉及的数字证书,都是以密码技术为基础的。
有人把数字证书俗称为“网络身份证”,其是以密码技术为核心,结合政策法规、安全管理于一体,用于在互联网信息世界中标志用户身份的电子身份凭证和电子签章载体。数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密和解密。每个用户拥有仅为本人所掌握的私有密钥(私钥),并用其进行解密和签名;同时拥有与私钥相对应的公共密钥(公钥),用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有接受方独有的私钥,也无法进行解密。数字证书保证了加密过程是一个不可逆的过程,即只有用私钥才能解密。
记者: 网上银行业务由于用户和银行之间并不见面,需要通过网络传递数据来完成账户的登录、确认以及业务办理等过程,而在这些过程中也必然涉及到您所说的对机密性、完整性、真实性以及不可否认性的要求。那么,基于公钥密码体系,数字证书是利用那些技术来来实现这四种安全保证的呢?
刘平: 在实际操作中,可以采用对称密码算法对数据加密,解决信息的机密性问题;采用杂凑算法计算数据摘要,解决数据的完整性问题;采用公钥密码算法生成数字信封,解决对称密码算法密钥的保护和传递问题;采用公钥密码算法生成数字签名和验证签名,解决信息的真实性和不可抵赖性问题。
记者: 您刚才提到的对称密码算法、公钥密码算法,这些概念对于大众来说可能都不是很清楚,它们之间的不同?
刘平: 对称密钥加密的特点是加密和解密使用相同的密钥,它要求发送者和接收者在安全通信之前先商定一个密钥,经过加密的信息可以通过非安全的媒介,自由地从一个地方发送到另一个地方。用对称密钥加密技术构成的密码系统的安全性依赖于密钥保密,泄漏密钥就意味着加密所带来的安全性不复存在,只要消息需要加密保护,密钥就必须保密。对称密钥加密技术的最大局限性在于必须设计出一些方法来安全地分发和管理作为系统核心的密钥,通常称为密钥管理。当涉及到很多个当事方时,就会导致巨大的幕后工作量和时间延误;而且,为了将密钥泄露导致的损失降至最低,必须经常变更密钥,这就又增加了幕后工作的复杂性。公开密钥加密也叫非对称密钥加密,它的特点是加密和解密使用不同的密钥,这两把密钥在数学上是相关的,加密密钥可以公开,称为公钥;解密密钥必须保密,称为私钥。公开密钥算法的安全性是基于知道公钥并且不能通过计算推导出私钥这个前提的。
因为公钥是公开的,因此任何人都可以使用接收者的公钥加密消息并发给接收者;而私钥是保密的,因此只有接收者自己才可以解密消息。假设用户B已经生成了自己的公/私密钥对,希望其他人或计算机能发送加密信息给他。
那么他就可以将公钥放到一个在线数据库中,并将其捆绑到自己的身份上,使人们很容易找到他的公钥。想要发送加密信息给用户B的人就要检索出他的公钥,并利用他的公钥将信息加密发给他。而用户B是惟一能够阅读该信息的人,因为只有他用自己的私钥才能够解密。当然,用户B必须妥善保管他的私钥,否则别人也能够解密他的信息了。
比如用户A想要使用用户B的公钥将信息加密发送给用户B,他就要从在线公钥数据库中找到用户B的公钥,而用户B可以使用自己惟一的私钥来进行解密。这种方法就保证了信息的机密性,因为用户A知道只有用户B才可以解密并阅读这份信息。
公开密钥算法在计算上的复杂性,使得它的加密和解密效率大大低于对称密钥算法,所以公钥加密技术不用来加密大的文件。联合使用对称密钥加密技术和公开密钥加密技术进行加密保护会更为有效和快捷。例如,用户A生成一个一次性的对称密钥并用它对文件进行加密,然后再使用用户B的公钥对一次性的对称密钥加密,将经过加密的对称密钥和文件发送给用户B;用户B利用自己的私钥解密对称密钥,然后用对称密钥解密文件,这种方式称为数字信。
如果把公钥和私钥反过来使用,用私钥加密而用公钥解密,就是数字签名的基础,并据此进行身份认证,保证数据的完整性和不可否认性。例如,如果用户B想对一份电子文件进行数字签名,他就可以用其私钥对其进行加密。因为他的公钥是公开的,因此任何知道他的公钥的人都可以解密文件,而私钥只有用户B自己有,这就构成了用户B数字签名的基础。如果用户A使用用户B的公钥成功解密了文件,他就知道这份信息来自于用户B,也就达到了用户B对自己的文件进行签名的目的。
数字签名有两个步骤。前面提到,公钥加密技术不用来加密大的文件,因此,必须采取措施减少加密的数据量。通过采用一种被称为杂凑算法的算法可以将数据压缩成消息包,然后再使用用户B的私钥将消息包加密生成数字签名。因为每个签名的消息包是不同的,所以也就需要每个签名是惟一的,这样就不会发生将不同的信息压缩成相同的消息包的问题了。用户A可以使用相同的杂凑算法计算出文件的压缩消息包,并使用用户B的公钥解密收到的压缩消息包。如果消息包相互匹配,用户A就可以有三种安全保证: 第一,用户B真的在文件上签了名(身份认证);第二,数字签名保证了用户B真的发送了信息(不可否认性);第三,如果信息有了任何改动,消息包就会不匹配,因此用户A就可以知道没有人在用户B签名之后对文件进行任何改动(数据完整性)。
公开密钥加密技术的使用克服了对称密钥加密技术的局限性,与对称密钥加密技术联合使用可以完整地提供机密性、完整性、真实性和不可否认性的安全保证,并且很好地克服了密钥管理的复杂性。用公开密钥加密技术构成的密码系统的安全性依赖于私钥的保密,泄漏私钥就意味着加密所带来的安全性和签名所带来的不可否认性不复存在,所以私钥必须保密。
数字证书 安全可靠的前提
记者: 有了上述密码技术的支撑,数字证书的安全性就得到保障了吗?
刘平: 可以这样理解。公钥密码技术让公钥公开、私钥保密,解决了密码系统中密钥分发的复杂性和安全性问题,使密码技术得以在保障计算机信息系统安全中广泛应用,并将安全问题最终归结为如何证明和保证公钥的真实性和有效性的问题。
当然,在网上银行业务这样的实际应用中,还有两个问题必须要解决: 一是如何确定一个用户的公钥确实属于这个用户,并保证用户与其公钥之间的联系真实有效;另外就是如何保证用户的私钥在被破坏、丢失时或者在有关机构需要取证时能够解密数据。
第一个问题的解决方法是建立一个大家都能信任的权威机构,由这个权威机构用自己的签名密钥对用户的名称、用户的公钥和其他一些识别信息进行数字签名,形成一个将用户与其公钥联系起来的电子信任状,这个电子信任状就称为数字证书,而这个权威机构就称为CA(Certificate Authority)。由CA签发的数字证书贮存在一个目录或其他数据库中,用户可以像查电话簿一样查找别人的证书,证书中CA的签名保证证书中的公钥确实属于持有该证书的人。可以说,将用户身份与其公钥联系起来的捆绑过程是一个非常关键的步骤。第二个问题的解决方法是使用两套密钥分别用于加密和数字签名,签名密钥用于解决真实性和非否认性的问题,而加密密钥用于解决数据机密性的问题。这样,加密密钥的私钥就可以备份在安全的地方,以便需要时可以恢复。而备份加密私钥的地方称为密钥管理中心KMC(Key Mangement Center),通常加密密钥由它产生,其公钥也由CA签发为数字证书。这样,数字证书的安全性和可靠性都可以得到保证。记者: 在实际应用中,数字证书该如何管理和应用?
刘平: 用户的签名私钥自己产生并保存,其公钥由CA签发为签名证书。签名私钥不可以备份,以免破坏其不可否认性。如果用户丢失或损坏了自己的签名私钥,可以生成一套新的签名密钥,用新的签名私钥签名的文件必须用新的公钥验证,以前签名的文件则可以通过原来的公钥验证。
用户的加密私钥由KMC产生,其公钥由CA签发为加密证书。加密私钥通过安全的手段发给用户的同时也备份在KMC。KMC按照密钥的有效期管理密钥,密钥超过有效期,用户可以再申请一个新的密钥。在用户方,超过有效期的密钥不能再使用;在KMC方,超过有效期的密钥也不能删除,只能将其归入历史密钥档案,用户或有关机构可以申请恢复这个密钥,用这个密钥来解密在有效期内加密过的文件。
CA按照一整套安全和管理策略,管理数字证书的生成、签发、更新、撤销和中止。同时,CA和KMC也组成了数字证书的认证系统。
在应用系统中,签名方使用自己的签名私钥对信息或证据签名,验证方使用该用户的签名证书来验证签名,由于证书与用户的身份绑定,验证证书也可以验证用户的身份,从而实现完整性、真实性和不可否认性的安全保证。发送方使用接收方的加密证书来保护会话密钥,用会话密钥加密信息,接收方用自己的私钥解密会话密钥,再用会话密钥解密信息,从而实现机密性的保证。
在网上银行这样封闭的系统中,不具备第三方性质的认证系统,可以不按照第三方机构的要求来建设和管理。但是,无论怎样,将用户与其公钥联系起来的捆绑过程是任何公共密钥体系中的关键步骤。
记者: 听过您的介绍,感觉如果网上银行数字证书应用了上述这些技术,应该是很安全的。但是,近一段时间以来,出现了多起网上银行安全事件,对此您的样的看法? 刘平: 首先可以明确的是,公共密钥体系是安全的技术体系。密码技术是保证安全的核心技术,但却不是保证安全的全部内容,其他安全措施也要跟上。用户在网上银行等网上操作中,特别要防止私钥的泄露,这是最核心的安全要求。对于提供网上银行业务的金融机构而言,要严格按照密码规范建设和运行,任何环节都不能疏漏,这是对开发商和运营商的强制要求。用户在使用数字证书的过程中,应该选择有资质的电子认证服务商提供的服务,使用有资质的产品供应商的产品,保管好自己的证书载体和口令,尤其是做好自己计算机的防木马病毒工作,这是对用户的基本要求。数字证书的签发
公共密钥系统由证书认证系统、证书载体和应用系统组成,在证书认证系统中又会包括用户注册系统、证书签发系统和证书发布系统。证书认证系统属于认证服务机构,应用系统属于信息系统(例如网上银行),证书载体则属于用户实体,多以USBKey形式存在。在证书认证系统中,证书签发系统负责数字证书的签发、更新和撤销;用户注册系统负责证书用户的身份审核,受理用户的请求,向证书签发系统提交证书业务申请,下载用户的数字证书;证书发布系统负责证书和证书撤销列表的发布和查询,以及证书状态的在线查询。证书载体具有数字证书的存储功能;具有密钥的产生和私钥的安全存储功能;具有加密、解密、签名、验证签名等密码运算功能。应用系统具备使用数字证书进行加密、解密、签名和验证签名等密码运算功能。
数字证书的签发必须依据国家密码管理局发布的《证书认证系统密码及其相关安全技术规范》和《证书认证系统密码相关协议》。
数字证书签发的第一步是申请,用户注册系统受理用户请求,审核用户身份,注册用户信息,在证书载体内产生公私密钥对,导出公钥,与用户信息一同发送到签发系统;第二步是签发,证书签发系统将公钥与用户信息签发为数字证书,然后将数字证书发送到发布系统发布,将数字证书返回给注册系统;第三步是下载,用户注册系统将数字证书下载到证书载体;第四步是使用,应用系统从发布系统获得数字证书,或用户提交数字证书,使用证书载体中的私钥进行签名,使用证书中的公钥进行签名验证。采访后记
通过对专家的访谈,可以明确一点,网上银行业务所涉及的数字证书是安全的。而目前,用户使用网上银行整体体验差,尤其是网上银行业务纠纷多,其中涉及的因素有很多。中国金融认证中心相关负责人表示,一些银行过于注重理清自身责任,银行在网银纠纷中往往把所有的责任都推卸给用户,而没有在网上银行安全上承担起更多责任。也有法律专家向记者表示,用户在与银行方面签订的网上银行服务协议中,也存在不利于用户的“霸王”条款。
而且,目前有部分主流银行的网上银行业务还是在使用银行内部认证机构提供的数字证书,没有使用第三方认证机构提供的数字证书,一旦交易双方发生纠纷,作为弱势群体的用户就很难承担起关键的举证义务,用户保证自身权益的难度很大。
对于上述问题,本报将会继续采访金融机构、电子认证机构、法律等方面的专家,从多角度、多方面来帮助公众理清对于网上银行、电子签名等问题的认识,让读者都能清清楚楚、明明白白地使用好网上银行及其他类型的电子商务交易系统,并能主动地利用相关技术及法律维护自身的权益。
第二篇:您的网络身份证:数字证书
您的网络身份证:数字证书
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
它以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。目前国内中,CA买卖网的“MMEC可信电子合同订立系统”有着先进的数字证书互联互通技术,可采用PKI领域专有技术对缔约人持有的不同数字证书进行互认。
第三篇:网上企业银行数字证书授权委托书
版本3 企业数字证书领用授权委托书
招商银行股份有限公司张江支行:
兹委托我公司下列人员为办理网上“企业银行”数字证书有关业务的代理人:
姓名: 夏峰 性别: 男
身份证件类型 身份证 号码:***453 代理权限:办理有关网上“企业银行”数字证书的领用等业务。
客户名称:上海汇付数据服务有限公司(预留银行印鉴)账号:***
年 月 日
注:请复印空白格式后填写盖章使用,代领人还须出示本人身份证件。
第四篇:网上企业银行数字证书授权委托书
版本3
企业数字证书领用授权委托书
招商银行股份有限公司支行:
兹委托我公司下列人员为办理网上“企业银行”数字证书有关业务的代理人:
姓名:性别:
身份证件类型号码:代理权限:办理有关网上“企业银行”数字证书的领用等业务。
客户名称:(预留银行印鉴)账号:
年月日
注:请复印空白格式后填写盖章使用,代领人还须出示本人身份证件。
版本1
网上“企业银行”数字证书邮寄委托书
第五篇:论网络银行安全
有人把网上银行支付业务在电子商务这根“链条”中的作用比做“接头”,是“链条”得以运转的关键。建行网上银行部总经理李克军对记者说,电子商务涉及信息流、物资流、资金流三大因素,信息沟通、配送体系和在线支付是其发展必须翻越的“三座大山”。其中在线支付在电子商务发展中处于中心环节,也是“瓶颈”所在。因为消费者、商家、运送者及其他各环节都有一个建立相互信任的问题。传统商业模式下,这种信任是通过银行的中介性结算服务建立起来的,如今的电子商务同样需要银行的中介服务来进行交易各方的身份认证和在线支付。专家指出,网上银行是电子商务发展的支撑点,也可能是最早实现电子商务的行业。
由于看好电子商务的发展前景,也由于意识到在线支付业务将是银行业发展的方向,去年以来,我国商业银行竞相触“网”,开始全面启动网上银行业务。目前中国工商银行、中国银行、中国建设银行和招商银行已经真正实现网上支付,中国农业银行、交通银行、民生银行等也在奋起直追。
但毋庸置疑,网上银行以安全为第一原则。据调查,有60%的网上用户认为“安全”是进行网上购物时首要考虑的因素。
网上购物支付交易中,安全问题主要体现在三个方面:(1)银行网站本身的安全性;(2)交易信息在商家与银行之间传递的安全性;(3)交易信息在消费者与银行之间传递的安全性。迄今为止,我国尚无统一、权威的网上安全认证中心,网上银行的法律体系也不健全。
国内4家银行网上支付安全保障大致有SET与SSL两种方式。前者操作较繁琐,但可以做到银行与商户之间“背对背”,这就保证了整个交易过程信息的完整、保密和安全。而只须两串密码的SSL方式虽然便捷,但却在一定程度上影响了安全性。另外,各不相同的银行卡想要冲过千网万网畅行无阻,还有赖于一个公正的第三方认证中心,有赖于银行间的兼容。万事达卡中国区总经理韩巍强指出,理想的状态应是消费者手持一张卡,就可以完成自己想做的一切。
现行法律也远不适应电子商务。比如,进行交易需要签名,而在网上只有数字化的签名,这种签名有没有法律效力?再如,银行已从信用卡中把钱划出,但发生退款时如何处理?专家们认为,为适应电子商务,从《商业银行法》到《广告法》,都有需要修正的地方。电子商务还涉及许多现行法律未考虑到的问题,如税收等。电子商务涉及商家、银行、电信、公证、ISp(网络服务供应商)和消费者,其中任何一方违约,都可能引发纠纷。没有相关法规,打起官司来依据什么?
凡此种种,无形中增加了企业的额外风险,令许多企业望而却步。据统计,目前国内网上银行业务量的90%是针对个人消费者的,可其收益却不到10%。针对企业的服务当然可以获得更高的利润,但要“网”住千万家企事业单位和大型集团用户及其亿万资金,在安全和法律问题没有得到彻底解决之前,料难有大的进展。
据悉,中国人民银行正在制定全国金融机构统一的CA认证标准,它将解决不同银行各自清算系统的分离问题。刚刚闭幕的九届全国人大三次会议上,电子商务立法已被提上日程。可以预期,随着安全与法律等配套环境的逐步完善,网上银行在扩充传统银行自身业务的同时,必将为推动我国电子商务的发展,起到积极的促进作用。
点击咨询 