一、电子商务的组成

电子商务的四个环节，首先是电子交易平台，还有电子支付平台。现在中国电子商务的瓶颈是支付，支付很成问题，去年雨后春笋般起了很多第三方支付，例如阿里巴巴、易支付等50多个，这都不规范。后来人民银行通过我们申请了一个基金，人民银行上科技部批一个项目，开发第三方支付平台，进行B to B和B to C电子商务。物流中心是不可缺少的，还有安全认证中心，安全认证中心是电子商务保驾护航的机制。

电子商务的组成有交易平台、支付平台、物流和认证。支付中心应该是指第三方支付平台。人民银行的清算组织管理办法第六条我看到了，还没有见到新的出来，亟待人民银行出台清算管理办法，好把第三方电子支付平台定位好，是非银行金融机构、金融服务机构，还是什么性质？现在一直搞不清楚，但是对于人民银行清算系统压力的解放和小额支付的清算起到很大的作用。

二、电子商务支付平台（在线支付）

电子商务支付瓶颈就在于第三方支付平台。

网关是第一代，就是商业银行自己建的商业网关，客户到商户去买东西，用银行卡结算，每个银行都有网关。这有什么问题？一个阿里巴巴被工行拿去了，说你是我的客户，建行去找马云，你和工行连，也得跟我连，马云忙着和各家商业银行连。工商银行发展300多个客户，建设银行发展200多个客户。这在银行网关上是一对多，对商家来说是多对多，形成（N-1）/2的连接，所以最好是搞一个第三方支付平台，就像交换机一样，有很多商家、银行、客户，只要访问，商家就把信息放到第三方支付平台上，第三方支付平台判断是哪个银行的，进行收费，为客户返回信息，变成一对多，这是非常好的一种办法。马云收购的支付宝，就是典型的第三方支付平台。但是，有的第三方支付平台会做一个缓冲账户，这是一个虚拟账户，钱真正的来源是从银行转过来，这有非常大的金融风险，人民银行和银监会对这种办法坚决反对。支付平台是典型的独立第三方，应该是B to B到B to C。商户的钱暂时不跟他结算，客户付的钱都那里存着，一周之后结算，这个期间有缓冲，发生交易争端，就叫做二次结算。

三、电子商务发展中的问题

非常高兴在这次电子商务金融论坛上谈谈电子商务和网上银行的安全问题，这是老生常谈。我从商业银行出来，干了半辈子银行的研究工作，我绝对没想到在互联网上能办银行、办商务。由于互联网本身的缺陷，造成了网上银行和电子商务的众多安全问题。中国病毒应急处理中心、计算机网络入侵防范中心这些单位，为我们网上银行、电子商务安全保驾护航，确实做了很多工作。

商业银行的发展策略，首先是网上银行，然后是电子商务。电子商务发展的主要意义，指导思想是按照科学发展观的要求，加快社会信息化的建设，打造跨越式发展。我国的电子商务发展是阶跃式的。

现在发展电子商务当中，确实有很多问题，一个是法律环境，只有一个《电子签名法》，没有《电子交易法》，甚至《会计法》是1995年制定的，到现在也没有修订。《票据法》、《合同法》也需要进行相应的改进，否则电子签名是发挥不了什么作用的。在《电子签名法》做母法的基础上，应该研究其他法律的修正。

四、网络交易安全事件案例

现在网上银行的安全事件很多，国际国内层出不穷。在网上搜索一下，最典型的案例就是东京迪斯尼乐园。还有就是信用卡账号被窃，造成很大的损失。网银大盗、犯罪集团一直在琢磨网上银行，不就是账号+ID么，给你搞个木马植进去，你敲ID，给你窃过来，然后冒充银行。所以，商业银行会有那么多客户的账号和ID被窃取。微软首席执行官已经宣布，今年开始的三、四年之内，把它的产品弱认证机制在产品中消除掉。大家都知道，IE 6出来了，Vista出来了，不能用账号+ID。还有网上钓鱼，就是账号+ID。还有中行的Bank of China—Bank off China，中行被钓鱼，我们也被钓过鱼。特别糟糕的是什么？就是你的账号一但被窃取，这些人马上就冒充你上网，窃取资金。

现在到底有多少网上银行的客户？我在讲课的时候，问学生们这个问题，结果寥寥无几。这些年轻人不上网，还跑柜台，为什么？他们都害怕，觉得不安全。像美国的亚马逊，都遭受过攻击。

五、保障电子商务交易安全的手段

保障电子商务交易安全的网络层就不详细讲了，是异构防火墙、IDS、防黑客软件这老三样，我都怀疑现在有的网站是不是老三样都加了，特别是有没有异构防火墙。

在保护的办法中，最近有一个EV证书，就是一种全球性的保护网站办法，网站的地址栏原来是白色的，如果是仿冒网站，就变成绿色的了，用户要赶紧退出网站。这个很好，浦发银行和另外几家银行已经开始使用这个证书，这个证书是非常有效的。举个例子，原来地址栏是白色的，现在这个网址变成绿色了，就是假的。

六、电子商务的安全问题

下面讲讲电子商务的安全问题。

第一步是客户访问商户网站。

第二步是商户登录第三方支付平台。汇丰银行的老总告诉我，他们用OTP，我认为要是没有大额交易，你不是企业老总，有时候给家里寄2000、3000块钱，像这种小额交易，用无线网，而且安全。大额交易，我建议你们用PKI。商户到支付平台这个地方，目前用的还是账号+口令。

第三步，第三方支付平台转向与客户连接，这也没什么关系。

关键是第四步，支付平台把客户和第三方支付平台同银行连接起来。这样的话，就非常危险，必须用USB Key，互相认证，特别是B to B。你是不是我的合法开户银行，你是不是假冒的，银行首先要问你是不是我的有效开户客户，双方认证，认证好了握手交易。否则光银行确认，那个网站是假的怎么办？不加密、不认证、不用USB Key，被截取就麻烦了。

最后完成交易就好办了，第三方支付平台告诉商家和客户，这笔扣款完成，商家给客户配送，然后就进行物流配送。

电子商务安全问题，我认为必要的环节是第一套认证。你是谁？你是不是你自己？把身份搞定，这是第一道关。第二道关才是授权，你不用证书，用账号+ID，也只能动用1000块的金额，所以必须得用证书，必须得进行强制认证。明确规定不用证书的最大交易额是多少？用证书的最大交易额是有多少？是不一样的。千万不要口令+ID，实在不行就用OTP，最好的办法是用证书，而且要放在USB Key，这是最好的办法。