在网络金融的业务活动中,安全性要求主要体现在信息的保密性、交易者身份的确定性、信息的不可否认性和信息的不可修改性四个方面。
(一) 交易信息的保密性
网络金融交易活动中,交易双方的信息传递是通过网络进行的,有关交易支付的信息也包含在此,因此对信息保密的要求非常高。如在网上使用信用卡时的账号和用户名被人知悉,就可能被盗用;支付信息、密码被他人获悉的话,用户可能面临着巨大的财产安全威胁。
(二) 交易者身份的确定性
网上交易、支付、转账的双方很可能素昧平生,相隔千里,因此确认对方的身份可靠是必要前提。对商家要考虑客户端的可靠性,而客户也会担心网上商店的信誉。如果交易双方有一方的身份不能得到确认,则交易过程很可能是不安全的,未知的一方存在违约的可能性,如果对方是恶意交易的话,另一方面临的危险可能远远超过交易活动的范围。在网络金融的交易过程中,双方的身份验证的要求是必须得到满足的。
(1) 网络金融系统应能够对客户端提交的交易进行唯一性认证,应能识别并拒绝重复交易。
(2) 转账类交易中,如果客户端对交易数据签名,签名数据除流水号、交易金额、转入账号、交易日期和时间等要素外,还应包含由服务器生成的随机数据。对于从网络金融客户端提交的交易数据,服务器应验证签名的有效性并安全存储签名。(www.xing528.com)
(三) 交易信息的不可否认性
在电子商务活动中,支付是交易流程中一个重要环节,也是交易活动成功的标志。当一方支付成功,则表示已经开始履行交易合约,而对方也应随之履行应该完成的责任。因此,交易支付的信息成为重要的物证,也是一旦发生交易纠纷时的凭证。因此,当支付方完成支付时,有关的信息就被系统记录,任何一方都无法否认。支付转账类交易中,网上银行系统应对客户端提交的敏感信息间的隶属关系进行严格校验,例如,验证提交的账号和卡号间的隶属关系以及账号、卡号与登录用户之间的关系。
(四) 交易信息的不可修改性
交易的文件是不可被修改的,交易一方对交易条件进行有利于自己的更改,则可大幅受益,而对方可能就会因此而蒙受损失。网络金融减少了人为的干预,同时也带来维护交易各方信息的完整、统一的问题。要预防对信息的随意生成、修改和删除,支付转账类交易中,网上银行系统应具有防范客户端数据被篡改的机制,应由客户确认转账交易关键数据(至少包含转出账号、转入账号、交易金额、交易日期和时间),并采取有效确认方式以保证待确认的信息不被篡改。例如,由服务器以图片的形式返回待客户确认的信息或者在USBKey内完成确认。
(五) 交易信息的对称性
网络金融交易过程中,所有的交易信息应该及时反馈给客户,保证交易信息的对称。金融机构应充分提示客户相关的安全风险并提供及时通知客户资金变化的服务,如果客户选择该服务,应在交易发生后实时告知客户其资金变化情况;对于大额转账等高风险操作(金融机构可根据自身情况对高风险操作进行界定)发生后,金融机构应在确保客户有效联系方式前提下,立即将资金变动情况通知客户。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
