1、对电子支付系统在煤炭企业使用安全问题的探讨摘要:随着时间的发展,互联网技术得到广泛的应用,在煤炭企业资金管理的过程中电子支付比传统的付款的安全问题更严重、复杂。本文对煤炭企业的网上支付存在的问题提出相应的解决办法。 下载 关键词:煤矿;电子支付系统;安全 一、煤炭企业电子支付系统安全问题分析 现在,由于支付结算的双方都面临着安全较多隐患。最主要的原因是假冒者以客户名义订购商品,而导致客户付款或返还商品;假冒者使用煤炭企业信息通过认真对外付款;客户定单确认信息被篡改;客户的口令或 PIN在传输过程中丢失;客户的电子货币和电子钱包丢失。通过对诸多安全隐患的综合分析,可以看出电子支付安全风险主要来自
2、以下 3 大方面: (1)来自互联网的风险 电子支付系统都是通过互联网与银行发生关系,而由于互联网自身的自由性、广泛性等特点,自然容易受到恶意入侵者的攻击。虽然到目前为止国内还没有黑客成功入侵银行网站的案例,但是许多客户仍然心存顾虑,不敢轻易用互联网传递自己的信用卡账号和密码等关键信息。由于网络安全问题尚未能够得以彻底完好的解决,利用互联网进行犯罪的案例很有可能将日益增多。据统计,进行网络盗窃的作案工具、方法达数十种之多,比如,运用可以窃取密码的“嗅探器”、探寻网站软件程序薄弱之处的“扫描器”等仪器或软件,破译他人的关键密码、窃取重要信息或核心技术;利用欺骗性的电子邮件和伪造的 Web 站点将
3、自己伪装成在线零售商、知名银行和信用卡公司等可信的品牌来进行诈骗活动。这些网络安全问题严重制约了网上银行的业务发展,制约了煤炭企业电子商务的顺利发展。 (2)来自企业内部的风险 据调查统计,在已发生的企业电子商务网络安全案例中,70%的攻击来自单位内部,因此内部网的安全风险更为严重。首先,企业内部员工对自身企业网络结构、应用比较熟悉,自己攻击或内外勾结,故意泄露重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。其次,煤炭企业信息化水平不高,员工素质参差不齐,企业内部从上到下普遍对于安全方面没有足够重视,弱口令、CD-KEY 随处乱放、不注重密码保护等现象比比皆是。 (3)来自银行以外企业
4、和事业单位的风险 近年来,银行系统在不断地增加中间业务,和服务功能,比如代收水电费、电话费、学费、保险费以及证券转账等诸多业务。因此,就与电信局、学校、保险公司和证券交易所等许多单位网络互联。由于银行与这些单位之间可能存在某些不信任因素,因此,它们之间的互联,为银行网络系统带来了许多外单位的安全威胁,成为电子支付安全的隐患。以上 3 方面安全威胁可能引发的结果有:恶意破坏数据、非法使用资源、数据篡改或窃取等。从技术层面讲,企业网上支付的安全性主要表现在对交易信息和支付信息的安全认证,加密保存、传送,防止否认以及完整性控制等方面。电子支付的安全风险限制了电子商务的发展,使得煤炭电子商务活动在过去
5、相当长的一段时期内保持“网下交易,内部下单”的状态,停滞不前。虽然目前的电子支付安全性有所保障,但是问题依然存在,依然是制约煤炭企业电子商务发展的主要障碍之一。 二、应对电子支付系统的安全问题的策略 2.1 完善管理机制 网络安全并非单单靠技术手段来实现,管理安全才是它得以维系的保证。另外,煤炭企业电子商务交易系统需要人机的高度综合。故对管理人员的管理是其中非常重要的环节。而管理安全包括国家法律法规的宣传、银行系统安全制度的制定和企业人员整体的网络安全意识的提高。在这管理机制中必须有一套完整的制度来培养相关管理人员的敬业爱岗精神,这个培养宗旨贯穿在系统管理权限的分配与监督、管理人员的业务与道德
6、水平的培养以及考核中。 2.2 加强道德规范 煤炭企业电子商务的交易非面对面的直接交易行为,比传统交易更容易出现欺诈行为,道德的缺失严重影响着电子商务的安全。故要想煤炭企业电子商务得到健康长久的发展,就必须加强建立与完善社会道德规范,充分发挥道德的指引与约束作用。 2.3 提供法律保障 电子商务的安全单靠道德的规范是不够的,还必须有法律的强制指引与规范。电子商务活动也属于商品交易的一种,因此合法的电子商务活动的安全问题亦应当受法律保护,以保障数字签名与电子合同之法律地位、判定电子合同是否可以修改和承认、保障电子合同的可实施性。 2.4 提高防护技术 (1)加强网络安全 提供技术管理,建立严格的
7、安全管理制度。这可以在很大程度上防止人为因素对安全体系防范能力的破坏。具体而言,技术的管理主要是监控与跟踪操作管理、授权管理、备份与恢复操作管理、访问控制管理、权限控制管理等应用系统开发及维护管理。同时对各个网段进行有效隔离,使各个职能部门网络不能互访;并对实际工作中随时可能出现的安全漏洞进行补救,建立相应的应急预案,防患于未然。 (2)增强信息鉴别能力 数据的完整与真实也是煤炭企业网络安全的重要部分,故必须增强信息鉴别能力,分辨数据是否完整、真实。数据在传输时有时会被非法篡改甚至窃取等,要保证数据完整、真实,就要采用信息鉴别技术,如安装 VPN设备、数据源身份认证等。当原始数据包输入 VPN
8、 设备时,它可先加密数据,再用 HASH 函数对其进行运算,并将产生的信息摘要同加密数据同时发到目的方的 VPN 加密设备。目的方的 VPN 加密设备又先解密已加密的数据包,再用 HASH 函数运算解密后的数据,然后将所产生信息摘要同所收到的信息摘要对比,若 2 个信息摘要完全相同,则表明所解密的数据的完整性没有被破坏,是原始数据,否则就表明该数据已被非法篡改甚至窃取。另外,数据源身份认证也可以增强信息的鉴别能力。数据源身份认证主要通过数字签名技术来实现。数字签名是发送方用个人私钥加密(签名)信息再发给对方,对方要用发送方的公钥对收到的信息进行解密,若能顺利解密,则表明信息来源可信,否则不可信
9、,此方法亦可防止抵赖。 (3)安全认证 煤炭企业网络电子支付系统的安全肯定要依赖加密系统,加密就需要密钥,而密钥的产生、管理和颁发均存在安全隐患。发放密钥往往是以证书的方式来实现,故就要解决证书的发送方同接收方怎样确认对方的证书的真实性问题,引入第三方来发放此证书恰好能因应之。各银行联合构建一权威认证机构(CA 认证中心),建立银行系统的 CA 系统,借以实现此系统内证书的发交和煤矿销售的安全交易。 三、结语 开放的互联网使得电子商务充满风险,煤炭企业电子支付系统的安全受到巨大威胁,不仅有来自互联网的风险,还有来自企业内部以及外部单位的风险。因此,提出了完善管理机制、加强道德规范、提供法律保障和提高防护技术等切实可行的措施,以确保电子商务活动的安全、顺利地进行,促进煤炭企业电子商务的健康发展。 参考文献: 惠丽峰,王艳艳. 煤矿网络系统的安全与防范J. 内蒙古科技与经济,2011,(22). 马莉,廖晓群,邬莎莎,赵安新. 煤炭行业信息化标准体系研究J. 煤炭工程,2010,(12). 陈爱玲. 浅析煤炭营销信息网络安全J. 山东煤炭科技,2006,(3).
