【導(dǎo)讀】子商務(wù)的出現(xiàn)，并使其成為業(yè)界新熱點(diǎn)。電子商務(wù)的顯著特。在交易過(guò)程中，消費(fèi)者、商家、企業(yè)、中間結(jié)構(gòu)。支付功能，并保證交易各方的安全保密。隨著電子商務(wù)的深入發(fā)展，支付領(lǐng)域的創(chuàng)新成為可能，在線競(jìng)價(jià)市場(chǎng)熱鬧而缺乏交易的局面。我國(guó)的網(wǎng)上支付業(yè)務(wù)。隨著電子商務(wù)的發(fā)展而不斷發(fā)展，進(jìn)步，但是要想趕上國(guó)外，尤其是歐美國(guó)家的電子商務(wù)發(fā)展，還有一定的距離。足和國(guó)外的先進(jìn)技術(shù)，尤其是在網(wǎng)上支付平臺(tái)上的差距。

　　

【正文】 卡的資料又為了什么呢？由于當(dāng)時(shí)銀行工作人員表示“暫時(shí)查不了賬戶余額”，翟姐又以為反正卡在自己身上，也沒(méi)有受到什么損失，資料也改過(guò)來(lái)了，就沒(méi)再追究下去，只是叫銀行凍結(jié)賬戶。然而，幾天后，翟姐突然收到銀行發(fā)來(lái)的一條信息，顯示“用卡不成功”。后來(lái)銀行保衛(wèi)科打電話稱 她的卡被盜用了，建議她去報(bào)案。 因?yàn)橐呀?jīng)將卡凍結(jié)，加上臨近春節(jié)，翟姐并未馬上報(bào)案。到了 2 月 9 日，翟姐收到了銀行寄過(guò)來(lái)的賬單。不看不知道，一看嚇一跳，信用卡在凍結(jié)之前， 陽(yáng)泉學(xué)院 畢業(yè)論文 21 居然被人刷走了三筆錢(qián)，都是網(wǎng)上消費(fèi)的，金額足足有 2 萬(wàn)多元。翟姐一下子懵了。 翟姐去派出所報(bào)了案，希望公安部門(mén)能為自己追回?fù)p失。但不法分子是如何修改翟姐資料并盜刷其信用卡的呢？ 銀行方面回應(yīng)說(shuō)，客戶修改資料，一是親自到銀行柜臺(tái)，出示身份證件修改，二是通過(guò)電話修改，如果客戶忘記密碼，他們則會(huì)進(jìn)行嚴(yán)格的審核，驗(yàn)證 客戶在銀行辦卡時(shí)填寫(xiě)的資料信息，諸如身份證號(hào)、手機(jī)號(hào)、親人名字等等，答對(duì)后才可修改資料。 “出現(xiàn)這種情況，很有可能是翟姐信用卡的個(gè)人信息（如身份證號(hào)碼、卡號(hào)、 CVV 碼等）被人竊取了。不法分子謊稱忘了密碼修改了資料，我們也很難確認(rèn)打電話的是不是本人。”銀行工作人員表示。 翟姐表示，她一直沒(méi)遺失過(guò)卡，也從來(lái)就沒(méi)有把資料告訴過(guò)別人?！巴艘徊街v，就算有人知道了我的辦卡資料，但沒(méi)通過(guò)我簽名確認(rèn)的交易，又怎么能夠成功呢？”翟姐質(zhì)疑道。 銀行方面調(diào)查后則表示，現(xiàn)在很多交易都是在非面對(duì)面的情況下進(jìn)行的，只要有支付密碼以及卡 片的一些相關(guān)信息就可以交易，并不一定需要簽名。而且翟姐的 2 萬(wàn)多元，都是不法分子通過(guò)電話訂機(jī)票的形式刷走的，甚至連卡號(hào)和密碼都不需要，所以他并沒(méi)收到消費(fèi)短信。 據(jù)介紹，國(guó)內(nèi)新近推出的電話支付系統(tǒng)不需要開(kāi)通網(wǎng)銀，由銀行授權(quán)給某些商務(wù)網(wǎng)站，進(jìn)行訂票、旅游等服務(wù)?！艾F(xiàn)在我們正在研究怎樣降低風(fēng)險(xiǎn)，因?yàn)檫@種方式有一定風(fēng)險(xiǎn)?！便y行工作人員表示。 ，電話訂票審核少 這個(gè)事件，再次揭示了信用卡個(gè)人信息泄密的危險(xiǎn)。也引起了人們對(duì)電話支付的關(guān)注。 事實(shí)上，近年來(lái)信用卡辦理點(diǎn)遍及城市街頭。一些銀行為了提高發(fā)卡量，聘請(qǐng)了大量的業(yè)務(wù)員去街頭拉業(yè)務(wù)，并以免年費(fèi)、送禮物等方式，吸引一些市民前去辦卡。但在市民個(gè)人資料的保護(hù)上，這些銀行卻未必能加強(qiáng)監(jiān)督。 與此同時(shí)，電話訂票平臺(tái)在帶來(lái)便利的同時(shí)，也埋下了安全隱患。 陽(yáng)泉學(xué)院 畢業(yè)論文 22 據(jù)了解，信用卡交易分為現(xiàn)場(chǎng)交易和虛擬交易兩種，現(xiàn)場(chǎng)交易持卡人必須持有信用卡和密碼才能使用。虛擬交易則主要通過(guò)網(wǎng)絡(luò)或電話來(lái)完成，翟姐的信用卡被人訂購(gòu)飛機(jī)票就是通過(guò)虛擬交易進(jìn)行的。 對(duì)此，有網(wǎng)民表示擔(dān)憂：“沒(méi)問(wèn)我要密碼票就訂好了，然后也扣款成功了，心里真是沒(méi)有安全感?！? 因此，電話銀行支付不要一味的追求方便便捷，也要考慮 到中國(guó)的國(guó)情：我國(guó)對(duì)個(gè)人隱私的保護(hù)力度還比較弱。也就是說(shuō)，電話銀行支付應(yīng)該在考慮給顧客提供方便的同時(shí)也要保證客戶資金的安全，使之真正成為讓顧客滿意放心的新型支付手段。 電話支付的安全策略 客戶保障自己電話支付賬戶安全需注意 （ 1）客戶要提高自身的安全意識(shí)，不給犯罪分子任何可乘之機(jī)。保護(hù)好自己的卡號(hào)、密碼等重要信息，盡量在安全環(huán)境下進(jìn)行電話支付，而且要盡量避免使用公用電話等公共通訊設(shè)備。 （ 2）客戶在申請(qǐng)電話支付時(shí)，最好要綁定一個(gè)特定的電話。在這種情況下，即使不法分子偷聽(tīng)到了銀行卡的卡號(hào)和密碼 ，也不能對(duì)客戶電話支付的賬戶進(jìn)行任何操作。因?yàn)殡娫捴Ц侗仨氁ㄟ^(guò)用戶綁定的電話進(jìn)行支付，也就是說(shuō)賬號(hào)、密碼以及綁定電話缺一不可，所以其他人是無(wú)法盜用的。這就類似于網(wǎng)上支付時(shí)的電子口令卡等手段，同密碼一起為支付提供雙保險(xiǎn)，手機(jī)號(hào)碼、密碼的雙重驗(yàn)證保證了電話支付的安全性。 （ 3）盡量使用不同的密碼?？蛻粼谑褂?ATM、 POS。網(wǎng)上支付以及電話支付時(shí)，盡量使用不同的密碼。這樣，就算不法分子通過(guò)偷聽(tīng)設(shè)備等手段獲得了客戶的銀行卡卡號(hào)和電話支付的支付密碼，并且復(fù)制了銀行卡，也無(wú)法得到交易密碼，不能實(shí)施竊取行為。 （ 4）如 果客戶使用的是智能手機(jī)，那么就要注意這個(gè)高科技產(chǎn)物的安全性了。由于現(xiàn)在智能手機(jī)已經(jīng)逐漸向掌上電腦的方向發(fā)展，其功能不斷完善，一方面為客戶提供了更多的功能，但另一方面也為木馬病毒提供了生存的土壤。所以，智能手機(jī)的安全性應(yīng)當(dāng)引起人們的關(guān)注。 上面只是從客戶的角度來(lái)保護(hù)自己的賬戶安全，但僅僅注意到這些方面是不夠的，銀行方面也有責(zé)任為客戶提供一個(gè)安全的支付環(huán)境，這就需要有一定的技 陽(yáng)泉學(xué)院 畢業(yè)論文 23 術(shù)支持。電話支付計(jì)算機(jī)系統(tǒng)主要處理客戶通過(guò)電話提出的各種服務(wù)請(qǐng)求，并與銀行主機(jī)進(jìn)行數(shù)據(jù)處理即數(shù)據(jù)交換，完成各種指令。因此，電話支付計(jì)算機(jī)系 統(tǒng)有著較高的安全性要求，特別是對(duì)數(shù)據(jù)的正確性、保密性和完整性要求很高。 電話支付計(jì)算機(jī)系統(tǒng)方面的安全策略 （ 1）網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是信息安全的基礎(chǔ)，也是銀行數(shù)據(jù)安全、系統(tǒng)安全的前提條件。客戶基礎(chǔ)信息和賬戶資料都存在銀行的數(shù)據(jù)庫(kù)中，而數(shù)據(jù)庫(kù)和銀行系統(tǒng)卻是通過(guò)網(wǎng)絡(luò)連接起來(lái)的，不論是銀行內(nèi)部網(wǎng)絡(luò)還是銀行外部的網(wǎng)絡(luò)，都可能存在這著對(duì)電話銀行系統(tǒng)的威脅。因此保證電話銀行系統(tǒng)的網(wǎng)絡(luò)安全也是十分必要的。 （ 2）數(shù)據(jù)加密 網(wǎng)絡(luò)中為保證數(shù)據(jù)的安全傳輸，首先的是對(duì)數(shù)據(jù)的加密。它是利用數(shù)據(jù)加密算法來(lái)實(shí)現(xiàn)數(shù)據(jù)保密的方法和 技術(shù)。與數(shù)據(jù)加密緊密相關(guān)的就是密鑰管理機(jī)制，它主要考慮密鑰的產(chǎn)生、分發(fā)和存儲(chǔ)的安全。 （ 3）信息認(rèn)證 信息認(rèn)證時(shí)信息安全的另一個(gè)重要方面，要驗(yàn)證信息的確來(lái)自授權(quán)方，網(wǎng)絡(luò)中互補(bǔ)認(rèn)識(shí)的雙方要進(jìn)行的通信，必須事先取得權(quán)威機(jī)構(gòu)的身份證書(shū)，才能取得對(duì)方的信任。 （ 4）信息完全性保護(hù) 信息在網(wǎng)絡(luò)中傳輸是可能會(huì)被篡改、重播或延遲。為了防止這些情況的發(fā)生，就要采取信息的完整性控制。序號(hào)機(jī)制、信息識(shí)別碼和數(shù)字簽名都可以有效地用于數(shù)據(jù)完整性控制。 （ 5）訪問(wèn)控制 與數(shù)據(jù)庫(kù)中的訪問(wèn)控制類似，給每個(gè)客戶賦予適當(dāng)?shù)牟僮骱驮L問(wèn)權(quán)限， 其目的是為了拒絕非法訪問(wèn)和使用網(wǎng)絡(luò)資源，以保障網(wǎng)絡(luò)系統(tǒng)的安全。每個(gè)網(wǎng)絡(luò)資源都有訪問(wèn)控制表，通過(guò) ACL 規(guī)定客戶的訪問(wèn)權(quán)限。 （ 6）路由控制 路由控制一般由網(wǎng)絡(luò)服務(wù)商提供，是信息經(jīng)安全可靠的子網(wǎng)、中繼網(wǎng)或節(jié)點(diǎn)進(jìn)行傳送。當(dāng)發(fā)現(xiàn)或懷疑信息受到監(jiān)視或非法處理時(shí)，就重新建立路由。正確的路由控制可以避免是敏感數(shù)據(jù)進(jìn)入危險(xiǎn)的節(jié)點(diǎn)和鏈路。 陽(yáng)泉學(xué)院 畢業(yè)論文 24 自助支付概述 自助支付是指商業(yè)銀行在營(yíng)業(yè)場(chǎng)所以外設(shè)立的自動(dòng)取款機(jī)、自動(dòng)存款機(jī)等通過(guò)計(jì)算機(jī)、通信等科技手段提供存款、貸款、取款、轉(zhuǎn)賬、貨幣兌換和查 詢等金融服務(wù)的自助設(shè)施。 自助支付存在的安全問(wèn)題 ATM 交易存在的安全問(wèn)題 （ 1）外部風(fēng)險(xiǎn)。外部風(fēng)險(xiǎn)主要表現(xiàn)為：不法分子為盜取客戶資金，利用種種手段對(duì) ATM 實(shí)施外部作案。例如：通過(guò)假象、分散客戶注意力、套取密碼、誤導(dǎo)客戶等方式竊取客戶資金或通過(guò)轉(zhuǎn)賬轉(zhuǎn)出客戶資金。 2020 年，公安部門(mén)公布了銀行卡和銀行自助設(shè)備犯罪活動(dòng)的十種常見(jiàn)手法。 手法一：不法分子冒用銀行或發(fā)卡機(jī)構(gòu)等金融部門(mén)名義，在 ATM 機(jī)上粘貼“溫馨提示”等虛假“通告”，然后用透明膠帶塞進(jìn) ATM 吐鈔口，使機(jī)器里的鈔票無(wú)法正常吐出，前來(lái)取 錢(qián)的客戶不能取鈔，情急之下就會(huì)撥打 ATM機(jī)上虛假“通告”提供的“服務(wù)熱線”，被不法分子誘騙進(jìn)行轉(zhuǎn)賬操作。 手法二：不法分子使用鐵鉤、鑷子、膠帶和假鍵盤(pán)等工具，將一個(gè)特制的鐵鉤放入 ATM插口，造成銀行卡被吞的假象，誘騙客戶按提示操作，泄露銀行卡密碼，等客戶走后，犯罪分子再拉出鉤子，取出銀行卡竊取現(xiàn)金。 手法三：在客戶使用 ATM取款時(shí)，不法分子上前搭話，分散其注意力，設(shè)法竊取客戶銀行卡帳戶信息和密碼，或調(diào)換客戶銀行卡。 手法四：不法分子在鍵盤(pán)上安裝盜碼器，貼在銀行提款機(jī)鍵盤(pán)上，客戶按下的密碼會(huì)被自動(dòng)記錄下來(lái)并直 接發(fā)射出去。 手法五：不法分子利用假插卡槽作案。不法分子將假的 ATM插口固定在原來(lái)真插口的位置，客戶將銀行卡插入假插口后，假插卡槽內(nèi)部設(shè)置的讀寫(xiě)裝置能復(fù)制卡上的全部信息。 手法六：不法分子在廣告夾里藏?cái)z像鏡頭。在一些 ATM機(jī)旁邊有一個(gè)廣告夾，這些廣告夾里可能藏著一個(gè)微型攝像機(jī)，通過(guò)攝像機(jī)將鍵盤(pán)和熒屏上的資訊拍下來(lái)，并傳到 200 米之外的不法分子手上。 手法七：不法分子在 ATM柜員機(jī)安裝秘密攝像裝置，竊取持卡人密碼。同時(shí)，撿拾持卡人取款后遺棄的取款憑條獲取持卡人卡號(hào)，再利用電腦、讀寫(xiě)磁機(jī)將卡號(hào)寫(xiě)入另一張磁卡上， 變?cè)煦y行卡后使用。 陽(yáng)泉學(xué)院 畢業(yè)論文 25 手法八：不法分子在自助銀行門(mén)上的刷卡器上安裝自制的磁條讀寫(xiě)裝置，假冒成門(mén)禁系統(tǒng)以遮擋住原來(lái)的門(mén)禁系統(tǒng)，并貼上“刷卡后請(qǐng)按密碼確認(rèn)”等提示語(yǔ)言字樣，誤導(dǎo)客戶操作，竊取銀行卡卡號(hào)和密碼，制造假卡行騙。 手法九：不法分子采用有記憶功能的鍵盤(pán)或類似塑料薄膜的物質(zhì)覆蓋在 ATM鍵盤(pán)上，竊取持卡人密碼，并利用吞卡設(shè)置取得持卡人銀行卡。 手法十：不法分子用膠水封堵自助銀行自動(dòng)門(mén)的刷卡器，在旁邊安裝另一個(gè)有輸入密碼的刷卡器，里面有一通信電話卡，只要持卡人輸入的密碼后刷卡，其信息資料九以短信的形式發(fā)往犯罪嫌 疑人的手機(jī)上。 表 51 為 ATM 犯罪活動(dòng)的常見(jiàn)手法和作案手段。 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 手法一 虛假提示 √ √ √ 人為制造 ATM 吐超故障 √ 人為制造 ATM 吐超假象 √ √ 加裝工具盜取銀行卡 √ √ 加裝鍵盤(pán)盜取密碼 √ √ 假插卡槽盜取卡信息 √ 藏?cái)z像頭偷拍密碼輸入 √ √ 門(mén)禁加裝刷卡器盜取密碼等信息 √ √ 轉(zhuǎn)移客戶注意力 √ 陽(yáng)泉學(xué)院 畢業(yè)論文 26 并盜取卡和密碼 仔細(xì)分析這些手法，可以歸納出每一種手法采用了一種或多種作案手段。商業(yè)銀行作為金融機(jī)構(gòu)的所有者和金融服務(wù)的提供者，應(yīng)該針對(duì)這些詐騙手段，在 ATM機(jī)上采取有針對(duì)性的技術(shù)手段進(jìn)行防范。 另外，外部分險(xiǎn)還表現(xiàn)在客戶的自我保護(hù)意識(shí)方面不強(qiáng)，人們普遍缺乏安全意識(shí)，隨手丟棄存取款憑條或交易憑證、在無(wú)保護(hù)狀態(tài)下進(jìn)行密碼輸入等情況相當(dāng)嚴(yán)重，磁道信息或帳戶密碼極易被犯罪分子獲得，為變?cè)臁卧?、克隆銀行卡和進(jìn)行網(wǎng)上犯罪提供了便利；有的網(wǎng)上銀行客戶對(duì)個(gè)人數(shù)字證書(shū)的安全 意義認(rèn)識(shí)不足，保管不當(dāng)，在多臺(tái)或公用計(jì)算機(jī)中安裝了個(gè)人數(shù)字證書(shū)；有的客戶賬戶交易密碼設(shè)置過(guò)于簡(jiǎn)單；有的為了避免忘記密碼，將卡、折和密碼一起存放。這些都給犯罪分子留下可趁之機(jī)，并留下風(fēng)險(xiǎn)隱患。 （ 2）內(nèi)部風(fēng)險(xiǎn)。同外部風(fēng)險(xiǎn)相比，內(nèi)部風(fēng)險(xiǎn)隱蔽性較高，一旦發(fā)生，造成的損失往往比外部風(fēng)險(xiǎn)高的多，且內(nèi)部風(fēng)險(xiǎn)的防范比外部風(fēng)險(xiǎn)更為重要。主要表現(xiàn)在：風(fēng)險(xiǎn)意識(shí)淡薄、警惕性不足；軟件系統(tǒng)和日常維護(hù)管理不嚴(yán)；規(guī)章制度不健全，業(yè)務(wù)操作不規(guī)范；卡產(chǎn)品技術(shù)設(shè)計(jì)上的缺陷，為犯罪分子提供了可趁之機(jī)；自助設(shè)備硬件上的風(fēng)險(xiǎn)；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；服務(wù)響 應(yīng)風(fēng)險(xiǎn)；對(duì)賬手段相對(duì)落后。 POS 安全問(wèn)題 隨著業(yè)務(wù)應(yīng)用范圍的不斷擴(kuò)大， POS 的安全性和保密性越來(lái)越受到關(guān)注。 （ 1）使用非法的物理設(shè)備，通過(guò)部分合法的信息，冒用合法的操作員進(jìn)行交易，一起進(jìn)入系統(tǒng)。 （ 2）冒用他人遺失或盜竊所得的卡、設(shè)備，以圖冒充別的合法用戶進(jìn)入系統(tǒng)，對(duì)系統(tǒng)進(jìn)行實(shí)質(zhì)上未經(jīng)授權(quán)的訪問(wèn)。 （ 3）主動(dòng)攻擊。直接對(duì) POS 設(shè)備與外部通信所交換的信息流進(jìn)行截聽(tīng)、修改等非法攻擊，從中牟取利益或破壞系統(tǒng)。 從上述分析可知， POS系統(tǒng)的安全不僅僅是軟件系統(tǒng)邏輯上的安全，而且還包括 POS本身的物理 上的安全。所以 POS 系統(tǒng)的安全可分為三個(gè)部分： POS的物理安全、用戶的身份安全和通信傳輸中的信息安全。 （ 1） POS 的物理安全。在 POS 的物理安全中，除 POS 本身的物理安全外，還包括防止外界對(duì) POS的物理攻擊安全。 POS本身的物理安全主要體現(xiàn)在其物理 陽(yáng)泉學(xué)院 畢業(yè)論文 27 封裝上是否堅(jiān)固耐用，能夠承受相應(yīng)的碰擊而不致?lián)p壞，能夠承受一定程度的化學(xué)、電氣和靜電的損害。在實(shí)際中，經(jīng)常遇到的是承受高壓、低壓的能力，不至于由此毀壞設(shè)備或外圍電路。 （ 2）用戶的身份安全。 POS 系統(tǒng)中的用戶一般分為操作 POS 的操作員和持卡人，因此用戶身份安全就 包括操作員和持卡人的身份安全。在處理 POS 交易前，要識(shí)別持卡人的身份，防止他人盜用合法持卡人名義進(jìn)行非法的 POS交易，以保護(hù)消費(fèi)者數(shù)據(jù)的完整性和保密性。同時(shí)還應(yīng)當(dāng)檢查操作員的權(quán)限，防止無(wú)權(quán)操作。 （ 3）通信傳輸中的信息安全。 POS 的通信安全與保密和用戶身份鑒別一樣重要，甚至更加重要。因?yàn)?POS上做任何交易都得與銀行主機(jī)進(jìn)行通信，相當(dāng)于銀行的一臺(tái)終端。主機(jī)與異地主機(jī)之間的互聯(lián)、交換信息相對(duì)頻繁。通信信息若被輕易的監(jiān)聽(tīng)、分析，用戶身份的安全也就蕩然無(wú)存，所以通信上的安全與保密是 POS 安全特性中極其重要的一面。一