浅谈网上支付的安全性
浅谈网上支付的安全性
作者:***
来源:《电子世界》2012年第23期
        【摘要】本文针对网上支付流程的环节进行了风险分析,将常见的网上支付行为归结为六类并进行了安全性评估,判断网上支付总体上是安全的,风险主要来自于客户端的仿冒、盗用和外部欺骗;最后提出了在法律环境、系统建设和安全教育三个方面增强网上支付安全性的建议。
        【关键词】网上银行;第三方支付;安全;风险
        一、网上支付的现状
        网络和银行卡的普及推动了网上支付的发展,应用形式多种多样,包括网上转账、网上炒股、网上购基金、网上炒黄金和网上购物等。来自“国家金卡工程第十二次全国IC卡/RFID应用工作会议”的资料显示,2009年中国网上银行个人用户已达1.5亿户,网上银行企业用户超过400万户,交易额超过400万亿元。
        依照《电子支付指引(第一号)》规定,网上支付是电子支付指令发起方式在网络的电子支付类型。从形式上可以分为两大类:直接支付和间接支付,直接支付最主要的表现形式为网上银行,常见形式是证券账户和银行账户之间的网上转账,网上证券的股票、基金买卖,其他形式还包括电信企业小额代收费(如手机付费、电话付费)、虚拟货币支付(如Q币、联众币等);间接支付主要表现形式为独立第三方支付(如支付宝、财付通等)和银联的第三方支付(CHINAPAY)。独立第三方支付成功解决了相互不了解的人的交易诚信问题,自身也得到了快速发展,连续五年增长超过100%,从2005年的年交易额196亿元发展到2009年的5766亿元。2009年网上支付交易额占全年社会零售总额的0.46%,预计2012年将超过2万亿元,将占社会零售总额的1%。
        二、网上支付的风险分析
        (一)支付流程和安全性分析
        网上直接支付是付款人直接通过计算机网络将银行(或证券公司等机构)账户的资金划转给收款人,从而实现转账的相应交易,付款和收款两个环节顺次完成(不考虑银行系统内部流转),资金直接在银行系统内完成转移。网上间接支付是付款人通过网络把资金
先划至第三方支付公司,通过担保和代保管,在交易确认成功后再由第三方支付公司划给收款人,包括付款、代保管、收款三个环节。从网上支付流程中可以看出,整个支付系统的安全包括银行(或证券)系统安全、第三方支付机构系统安全、客户安全(收款人、付款人)和网络支持系统安全四个方面。绝大多数支付行为都离不开银行系统的支持,因此,网上银行的安全性成为网上支付安全的核心。
        (二)风险分析
        1.系统风险分析,包括网上银行(证券)系统、第三方支付系统、网络支持系统,具体体现在实体安全风险和技术安全风险。其中,实体安全风险有经营风险、环境风险(如火灾、水灾)、设备风险等,技术安全风险有业务系统安全风险、数据安全风险、操作系统及网络安全风险、网络攻击风险、网站被假冒风险等。
        在实体安全经营风险方面,银行(证券)系统受到较为严格的监管,有严格的市场准入和经营管理机制,网上业务也受到相应的约束,证券系统实行客户资金银行第三方存管,经营风险控制较完善,但第三方支付目前监管缺失,主要依靠企业自身自律完成,只有少数企业实行自有资金和客户资金分离的形式,如经营风险,则可能导致挪用甚至侵占
客户资金。环境风险可能导致业务设备、业务系统损坏,如2005年4月某直辖市联社数据中心受到火灾威胁,在消防人员的特别保护下才保护住核心数据。
        在技术安全风险方面,2007年4月6日,某银行总行的数据中心网络出现故障,北京分行各营业网点和网上交易业务被迫中断4小时;2010年2月3日另一家银行系统瘫痪4小时,影响涉及全国分支机构,自动取款机、网银均不能办理业务。网络的开放性让网络攻击可以随时随地进行,如采用Dos拒绝服务攻击可以使一个网站不堪重负而瘫痪,网络攻击也可能到访问服务器的漏洞从而窃取客户访问数据。网站被假冒,即做一个和网上银行或第三方支付界面一样的网站,域名和真实网站相近,如出现过工行的www.icbc曾被www.lcbc在2004年底仿冒,许多利用“中奖”骗人的网站也作类似的仿冒。和假冒网站狼狈为奸是域名劫持,通常是利用病毒修改上网机器的hosts文件或解析服务器地址,将地址解析到一个假的网站上去,2010年1月12日百度域名劫持事件性质更为严重,黑客直接修改了域名服务商域名解析数据,从源头将百度网站的地址指向了伊朗网军和雅虎错误界面。
        2.客户风险分析,客户风险主要来自于欺骗和盗用,病毒和木马威胁着网上银行和第
谷歌搜索技巧三方支付账户安全和支付过程的安全。最常见的是利用病毒和木马盗窃资料,如网银大盗、网银窃贼等木马病毒。2009年央视“315”晚会曝光的名叫“顶狐”黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,并出售给他人导致部分网银客户资金受损。
        虽然网银或第三方支付提供了一些技术手段来增强客户支付的安全性,但其通常是防范已知危险行为,不法入侵者并不需要破解这些防护行为,而且通过别的漏洞从而绕过防护。一种是来自假冒交易网站(如假淘宝、假网银)的钓鱼行为,如客户不能正确识别登录了假冒网站进行交易,轻者导致客户丢失自己的网上银行或第三方支付账户资料,重者直接把款项付给了黑客虚设的账户。另一种是更为严重的情况客户机器已经成为了“肉鸡”,黑客利用木马程序获得账号密码,然后利用用户数字证书甚至是USB Key来完成网上银行转账。如果该客户没有银行卡使用手机通知服务,则不能及时发现资金被盗。还有更糟糕的是不法入侵者得到了银行卡账号和密码,在现实生活中制卡盗取客户银行资金。
        三、网上支付安全评估
        (一)增强网上支付安全手段及效果
网银转账手续费
        1.增强系统安全手段,包括银行(证券)系统、第三方支付系统、网络支持系统。主要体现在技术方面,有两层防火墙技术(保证核心数据库不受攻击)、网络数据传输加密(保证口令、数据和控制信息的安全)、权限控制(内部权限控制和外部网络访问权限控制)、备份与灾难恢复、入侵检测等。通过以上措施,能够保证核心数据库安全,但灾害、拒绝服务攻击等有可能让服务器中断服务,与外部联系紧密的访问服务器也有较多风险。另外要进行身份验证,因为牵涉到网络和前台客户端,容易产生漏洞,一直处于不断完善中。
        2.增强客户安全手段。由网上银行和第三方支付服务提供商为客户提供,具体包括客户动态密码、USB Key、数字证书(含第三方认证证书)、短信服务、预留信息验证、128位SSL安全通信协议、图形码动态密码键盘等。其中,客户动态密码和USB Key为物理移动设备,难以被盗用,安全特征明显;短信服务是让客户了解账户变动情况;数字证书第三方认证是个人用户使用的电子签名安全认证,由第三方机构提供,主要是增强对交易过程中行为和责任的认定。通过几种方式的组合,增强了非法入侵和盗用的难度。
        3.其他手段。一是加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行
卡认证,防范欺诈;二是第三方支付公司借鉴证券公司使用第三方存管,增强了客户资金安全性。
        (二)常见网上支付行为安全性评估
初中周记大全        网上支付的后台核心数据库安全性很高,更多的风险来自前台用户端的仿冒、盗用和外部欺骗。网上支付安全的实质是资金会不会被盗用,最安全的支付是能够被有效跟踪审计的资金流动且所需要银行信息少的支付,能够确保支付以后达到付款者目的为安全支付,可能被欺诈等不能被有效跟踪的资金支付为不安全支付。
        1.最安全的支付是使用证券客户端进行银证转账和购买证券,因在此客户端中不会提示出银行账号和身份证号等重要信息,资金只能在证券账户和对应的银行账户流动,不会造成资金被盗。
        2.在网上银行直接购买基金、外汇、纸黄金,在基金公司网上直销点购买基金等资金流走向明确,不受网银交易额限制,为安全支付。
        3.企业网上转账、个人汇款、交纳电费、水费、通信费、在知名的公司网上平台购买
、商品支付等交易对象明确可信,为安全支付。
        4.在知名的交易网站(如淘宝网、拍拍网)购物,使用第三方支付的,为安全支付。
        5.通过知名网站专门广告连接在普通企业网站或不知名的交易网站购物支付,一般为安全支付;通过搜索引擎查,并能确认真实性的企业网上购物支付,一般也为安全支付。
        6.通过知名网站论坛等非正常广告链接和小网站广告链接,尤其是超低价购物、中奖消息为虚假消息,为此付出的货款、税费、手续费的支付均为不安全支付。通过搜索引擎查,无法确认真实性的企业网上购物支付,也为不安全支付。
360无法卸载
        以上6种情况安全性逐渐降低,第2-5的风险主要来自于使用者的计算机安全,如木马和病毒对客户信息的盗用,第6种是不安全支付,也是用户信息被盗用和计算机感染木马病毒的渠道。因为绝大多数网上支付属于前4项行为,所以网上支付总体上是安全的。
        四、增强网上支付安全性的建议
        虽然网上支付发生风险的比例很低,但风险的存在依然让很多人对其安全性能心存疑虑。如《2009中国网上银行调查报告》显示,有80%参与调查者使用了网上银行业务,说明认可网银安全性能的人较多;另一方面,拒绝开通网上银行的受访者中间,将近70%的人对网银的安全性表示担忧。要增强人们对网上支付的信心,应加强法律环境建设、系统安全管理和使用者安全教育,让人们能够安全安心地使用网上支付,从而享受网络的便捷性。
级别工资        (一)完善网上支付相关法律,规范网上支付环境
        1.完善网上支付法律建设,尤其是要尽早出台第三方支付法律规范。我国网上支付相关的法律法规有《电子签名法》、《电子支付指引(第一号)》、《电子银行业务管理办法》、《证券公司网上证券信息系统技术指引》等,但还不是完善的体系,如与《票据法》相关法律对接问题。另外,以上规范主要用于约束金融机构,目前对第三方支付机构没有约束力,建议将其业务纳入结算管理范畴,并出台第三方支付业务规范,明确其法律责任。
        2.加强监管,落实网上支付风险控制。银行和证券监管部门落实网上银行、网上证券
各环节监管监测,从制度、内控、客户教育上落实与技术体系相配套的风险控制,保证网上银行、网上证券安全。
        3.打击网上违法犯罪行为,建立诚信网络环境。切实打击网络攻击、赌博、、盗窃他人信息和资金等违法犯罪行为,教育广大网民遵纪守法,建立诚信网络环境。
        (二)加强系统和运行安全建设,防患于未然
怎样买基金        1.加强系统安全建设和管理,确保网上银行、网上证券和第三方支付系统安全运行。包括加强内部管理,切实做好系统运行监测、维护和入侵检测,及时发现和处理潜在风险,避免系统中断运行;做好备份和灾难恢复,建设异地备份数据处理中心,确保核心数据安全。
        2.完善网上支付平台安全设计,不断减少安全漏洞。要不断完善网上支付平台设计,运用新技术增强支付的安全性,同时要优化客户的操作便利性。如网上支付客户端控件时主动关闭计算机远程服务,对威胁网上支付的应用进行报警,防止别人用远程控制盗窃客户信息和资金;在客户端设计上,应避免客户重要资料需要经常输入等。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。