电子支付安全问题及对策研究

1电子支付安全问题分析与对策研究一、绪论(一)研究背景及意义进入 21 世纪,随着我国电子商务的不断发展, 互联网产业链不断做大做强,参与群不断扩大的同时，钓鱼网站、恶意攻击等带来的安全问题也不断见诸报端，大大增加了电子支付机构的防范难度。此外，针对金融行业的移动安全威胁以及 APT 的攻击也出现了迅速的增长态势。由于我国信息安全保障体制机制的不健全，不断发展的电子商务行业也遭遇到了一次“倒春寒“，人们对于电子商务安全的担忧日渐凸显，首当其冲的便是电子支付的安全。可以说，能安全进行电子支付是人们更愿意选择网络进行商贸活动的保障，电子支付安全控制着网上交易的最后一道防线，是电子商务成败的生命线；电子支付安全也成为制约电子商务继续更好发展的瓶颈。因此，对电子支付的安全问题分析与对策研究具有相当大的现实意义和实用价值。(二)研究思路与方法本课题研究以应用性、实践性和可操作性为目标，通过对文献等理论知识的学习，摸索出电子商务的现状和发展瓶颈；结合实际生活经验，从电子支付流程可能遇到的各个环节入手， “顺藤摸瓜”地厘清电子支付安全问题的由来、触发机制；在此基础上，结合其他学者在该领域的研究现状和不足，针对具体的安全隐患给出相应措施，并探索了新型支付形式发展过程中可能存在的安全问题和解决办法。在论文写作过程中综合运用了以下研究方法：概念分析法、文献研究法、定量分析法、经验总结法等。(三)研究的主要内容本课题通过对我国电子商务的发展现状进行分析，探讨了电子支付安全对电子商务深入发展的巨大作用，并明确课题的研究意义和价值；在此基础上逐步深入，探讨了电子支付的现状、支付流程和安全问题的由来。重点研究了可能触发电子支付安全问题的原因，并结合现实生活中可能遇到的电子支付问题提出了相应解决之道；同时，本课题积极尝试新的领域，探索了新型电子支付的现状和可能出现的安全问题。2二、电子商务的现状分析电子商务是指在互联网（Internet） 、企业内部网（Intranet）和增值网（VAN，Value Added Network）上以电子交易方式进行交易活动和相关服务活动，是传统商业活动各环节的电子化、网络化。通俗来说就是运用第三方支付机构作为担保，运用电子货币支付完成的虚拟交易过程。相对于传统商务而言，电子商务之所以得以迅猛发展得源于电子支付的安全保障和其得天独厚的优势。(一) 电子商务相对于传统商务的优势及特点1、交易虚拟化：数字化贯穿于电子商务的始终，从查询商品到咨询协调价格，到下单支付，甚至顾客查询物流情况到收到商品后的确认收货，对整个购买环节进行点评都通过互联网来完成。2、交易成本低：由于没有传统交易繁琐的过程，电子商务大部分交易流程均在互联网上完成，这样卖方就省去了一大笔的店铺门面出租费用，人工费，税费等，买方则少了交易的交通费等，从而大大降低了交易的时间成本和劳务成本。3、交易效率高：电子商务依靠其得天独厚的网络优势，顾客可以及时向卖家发出订单和需求，卖家根据顾客的订单和需求生产和批发相应商品，甚至实现一对一定制服务。当交易发生变更时，能在第一时间修改订单状态和对生产的跟踪，从而提高了交易的效率4、交易透明化：网上交易虽不如实体店交易的真实，不能调动除视觉以外的其他感官去对细节进行感知，却可以通过互联网得到真实的产品属性，让每个消费者都有一个强大的“智囊团” ，轻松货比三家，明明白白消费。(二) 电子商务的现状和瓶颈电子商务凭借其优势得以迅猛发展。从中国电子商务研究中心了解到，截止到2012 年底，我国电子商务交易总体规模达到 7.85 万亿人民币，同比增长 30.83%。其中，B2B 电子商务交易额达 6.25 万亿，同比增长 27%。而 2011 年全年，中国电子商务市场交易额达 6 万亿人民币，同比增长 33%，占 GDP 比重上升到 13%；2012 年，电子商务占 GDP 的比重已经高达 15%。预计今年我国电子商务规模将突破十三万亿大关 (如图1-1)。与此同时，越来越多企业和个人在电子商务中选择了电子支付作为支付结算方式。从中国金融认证中心了解到，截至 2012 年 12 月，我国使用网上电子支付的用户达到 3图 1-1 2009-2014 年中国电子商务市场交易规模（万亿元） 102.21 亿，预计全年支付规模会达到 2.7 万亿元。不仅如此，电子支付行业的市场前景广阔，工信部信息安全协调司副司长杨春燕表示，力争在 2015 年电子商务交易额达到 18 万亿元。在参与群不断壮大和互联网产业链不断做大做强的同时，电子支付安全问题也不断见诸报端。据统计，2012 年 2 月到 9 月，针对金融行业的钓鱼网站达到 4629 个，大大增加了电子支付机构的防范难度。此外，针对金融行业的移动安全威胁以及 APT的攻击也呈现迅速增长的态势。出于各种原因，高速发展的电子商务行业也遭遇到了一次“倒春寒“，人们对于电子商务安全的担忧日渐凸显，如何发现和解决迫在眉睫。首当其冲的便是电子支付的安全。三、电子支付概述及安全问题的由来(一) 电子支付含义电子支付安全问题是人们更愿意选择网络进行商贸活动的保障，也控制着网上交易的最后一道防线，是电子商务成败的生命线；电子支付安全也是制约电子商务继续更好发展的瓶颈。广义的电子支付包括：银行之间的业务结算，包括转帐收付、现金存取、代理业务、汇兑业务、中间业务，存款、贷款、票据业务等；银行与其他机构单位之间的结算：如代发工资，代缴费用等；用户自动柜员机的操作：如银行的存取款，电信营业厅的存话费等；销售终端：各种销售终端提供的扣款业务，如微信，淘宝等APP 手机应用软件；网上支付：通过互联网随时直接转账结算等。狭义的电子支付是4指网上交易参与者（包括卖方、卖方和金融机构等）通过网络进行的货币收支或资金流转，以达到达成订单的目的的过程。电子支付是电子商务系统的最重要组成部分之一 (如图 2-1)。图 2-1 广义电子支付的构成(二) 电子支付分类及特点电子支付按支付媒介分，可以分为：网上支付、电话支付、移动支付等。1、网上支付网上支付是电子支付最常见的一种形式。一般来说，网上支付是以互联网作为媒介，买方和卖方利用银行签发或者支持的金融工具进行金融交换，从而实现从买方到金融机构、卖方三者之间的在线货币支付、现金流转、资金清算、查询统计等功能的过程，以此为电子商务参与者和其他机构提供服务的行为。2、电话支付电话支付是相对网上支付的线上交易而言的，消费者可以通过移动终端（如固话，手机，小灵通）接入各大银行的电话银行，就可以使用银行账户轻松支付货款（如快钱） 。3、移动支付移动支付也可以成为手机支付，也就是消费者可以使用移动终端（如手机、平板电脑等）对消费的商品或者服务进行支付的一种方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付是继传统支付、网上支付、电话支付以后出现的一种新型支付方式，用户可以利用手机应用软件上轻松完成货款支付、账户查5询等功能。 （如微信支付）(三)电子支付流程及安全问题由来虽然，电子支付支付形式上和一般的商务活动有很多的不同，但同为资金流的承载，也有相同之处，那就是“始于银行，终于银行” ，银行构成了电子支付的源流，现金流将会在电子支付的河流中经过重重关卡，实现它对一项电子商务活动的价值，然后悄然回到它的起点，完成使命的回归。资金的河流流经之处，也是要完成电子支付必经之路，因此任何关卡都将成为电子支付安全的重镇，弄清电子支付流程对电子支付安全至关重要，下面，我们就以一次淘宝购物为例来看下电子支付的流程：1、准备工作要想完成电子支付，就必须携带有效身份证件到银行办理相应的支付结算工具，包括银行卡（账号和密码） 、安全支付工具（K 包、K 令、手机动态验证等） ；拥有一台连接互联网的电脑，并完成银行支付结算工具的激活、支付平台账号注册等准备工作。2、商品查询、询价第二步也是必须的，正所谓“巧妇难为无米之炊” ，登录正规购物平台完成商品查询、咨询并协商好价格，将商品拍下或放入购物车，提交订单等待支付。3、完成电子支付客户登录后台，仔细检查订单商品和金额是否准确，检查完毕，把相关加密信息发送给支付网关，页面跳转至银行支付平台；此时，用户需要登录并验证自己的银行账号、密码、电子证书等信息，等待银行授权；在验证成功后，银行网关会通过机密通道，反馈支付支付请求，将款项划入第三方支付平台，并经由平台告知卖家支付成功，提醒其发货。4、后续工作在卖家收到支付消息后，会完成后续工作，如发货；买家在收到商品后，需要进行收货确认。此时，第三方平台才会把款项划到卖家账户，保证了整个电子商务的安全和有序。通过以上的分析，我们可以得出电子支付所涉及范畴，包括了物理介质（如银行账户、密码） 、软件介质和管理方面等。如果其中的任何一项应用不当，都会起到牵一发而动全身的作用，给电子支付安全带来巨大风险。6四、触发电子支付的安全问题的原因要避免电子支付的安全问题，首先必须弄清楚一系列可能触发电子支付安全的因素。归集起来，主要有以下几点：(一)互联网自身的缺陷Internet 作为一种开放的、共享的网络，安全性方面有先天发育不足的弊端。其自身的在设计时便很难兼顾安全性和方便性、大众性。或者说，受众人群和信息传输通畅至始至终都是是信息高速公路的首先考虑的，这便使安全、服务、带宽等方面大打折扣，而这无疑会对电子支付安全构成一定威胁。(二)软件的不完善和漏洞软件开发者在开发软件时开发语言选择给电子支付带来了安全隐患，如使用 C 语言开发的软件就要比 JAVA 开发的漏洞要多。但不管选择任何语言编写的程序，都不能保证把所有安全问题挡在门外，因此我们经常看到在一个软件安装后会有一系列的补丁陆续发布让用户去下载并安装。另一方面，开发者不能穷尽所有可能的漏洞，补丁总滞后于漏洞，当一个漏洞爆出，总要等到一些用户的利益受到损失，开发者才会发现自身的不足。而这对电子支付可能是相当致命的打击。(三)黑客的攻击由于缺乏对互联网犯罪的有效追踪和反击，导致黑客的攻击的杀伤力往往具有极强的摧毁性和极好的隐蔽性。目前互联网上有超过 20 万黑客网站，其成立目的便是为黑客与黑客间搭建一个技术交流、热门攻击工具分享的平台，其攻击方法达到上千种之多，让人防不胜防,这为网络安全,特别有有关支付信息的传送安全带来巨大安全隐患。(四)管理不当以及人为因素加大对网络和系统的管理，提高人对安全问题的防范意思是阻止电子支付安全的问题发生的重要手段。然而很多企业、机构甚至个人都缺乏对自身安全信息的保护和监管。有关数据显示，美国 90%的 IT 企业对黑客的攻击防备不足，大部分企业在数据数据权限授予和管理时混乱，没有完备的管理人员进入和退出机制；人们在现实生活中对自己的身份、账户、密码等隐私信息保护的重视力度不够，导致信息泄露引发电子支付安全问题的案例也时有发生。在这样的情形下，电子支付问题频频映入眼帘也算意料之中的事了。7五、电子支付安全隐患及应对策略正因为触发电子支付安全问题的因素颇多，所以电子支付的安全隐患是多方面的。从支付的过程涉及的范畴来看，银行账号密码信息安全、计算机系统本身安全（又可以分为硬件安全和软件安全） 、网络传输安全等都属于电子支付安全要研究的领域。从人的层面又可以分为技术上的和管理上的；管理上有可以分为内部的管理和外部的管理等。这里主要从以下几个方面做具体的分析：(一) 银行账号和密码安全如今的电子支付形式虽然多种多样，但大部分仍需要通过关联银行卡进行转账和支付。因此由于个人银行卡账号和密码等信息泄漏给电子支付安全带来的隐患不容小觑，我们甚至可以认为银行账号和密码等信息是电子支付的根，如果别有用心的人拿到了这些信息，便可以顺藤摸瓜，伪造电子支付人的信息完成支付。而这在现实生活中出现的案例不胜枚举。当我们在搜索引擎中输入“银行卡”三个关键字时，在出现的搜索结果中映入眼帘的除了少部分对银行卡本身介绍以外，便冲刺着各种银行卡被盗刷的信息：“男子银行卡被盗刷 83 万，法院称举证银行过错较难” “ 账号绑定银行卡，一个生僻字微信红包成死钱”等等，让人触目惊心。 （如图 4-1）有关数据显示，2006 年至 2010 年，全国检察机关受理移送起诉的金融犯罪案件前三位，信用卡诈骗数量独占鳌头，占了全部金融犯罪案件的 38.8%，数量从 2006 年的 700 余件激增至 2010年的近 7000 件。种种新闻背后，却是我们对银行卡账户信息泄露给电子支付带来的巨大的安全隐患的担忧，银行卡是电子支付安全的第一关，也是最为重要的安全阀门，处理得好，有“一夫当关万夫莫开”之势；处理不好，就为电子支付埋下了一颗随时都可能爆炸的定时炸弹。图 4-1 搜索“银行卡”出现的搜索结果8那么如何防范愈演愈烈的银行卡安全问题呢？我认为可以通过以下手段保证自己的合法利益受到不法分子的威胁：1、各种卡分开存放大部分人外出时，钱包里都放满了各式各样的卡，其中不乏就有身份证、工资卡、家庭储蓄卡和消费卡。而一卡掉，全卡失，这本身为自己第一时间挂失和补办带来很大麻烦，同时为不法分子赢得了时间。为了图省事、便于记忆，一些人把各种卡的密码设为了同一密码，殊不知这也让不法分子有可乘之机：如果对方破译了其中任何一个密码，其他密码便顺利破解。为了防止诸如此类事件的发生，我们在日常出行时，可以只携带拥有少量金额消费卡出门即可，并且可以设置借记卡的消费上限，身份证和银行卡放在不同的位置，可以专门安排一个密码本存放于家中，专门用来记录银行密码，并妥善保管。2、设置密码有技巧一部分人为了易于记忆，总是把密码设置为与手机号，身份证号，生日相同或者相关的数字甚至非常简单的字符串。这种做法极其危险，现代社会身份信息的买卖不时见诸报端，没准看似没多少人知晓的“隐秘”信息，早就为人所知，这些人中难免就有别有用心之人。密码设置成上述类型，无疑为对方轻松破解提供了方便。一般情况下，设置密码要避开简单数字串，如 123456 或者 112233 等；也应避开为与手机号，身份证号，家人生日相关的数字的密码；同时密码也不宜存入手机，更不能为图方便把密码写在银行卡上。3、防范欺诈短信电话此类诈骗伎俩应早已为人所熟知了。受到涉及到钱财的短信、电话都应该保持警惕：多反问自己这可不可能是骗术，不要相信天上会掉馅饼。如果按照他们的方式去做，很可能落入对方的圈套，一步步将自己套牢。如果非得交易，也必须多方查询对方的真实身份和信息，有必要时可拨打官方或公安机关电话咨询或求助。4、交易凭条应妥善保管或者及时销毁每次消费、存取款后，商家或者银行都会提供一张凭条作为凭证。但小小的一张拼条上却隐藏着一系列客户信息，如果不经意扔掉，落入不法分子手中将带来巨大的安全风险。为保证自身信息安全和账户安全，交易凭条应妥善保管或者及时销毁。95、警惕不正规商家最近，新闻上频频爆出银行卡被克隆的消息。所谓银行卡被克隆就是一些不法分子利用各种手段窃取了消费者银行卡的基本信息，如开户银行、户主姓名、卡号信息、金额等，经过高科技手段把这些信息复制到另一张卡中的行为。这虽暴露了银行卡本身的安全威胁，但也为电子支付安全敲响了警钟。首先不能贪小便宜。有些不法商家打着刷卡可以打折上折的旗号鼓励顾客刷卡消费，目的便为了骗取消费者银行卡信息。我们在刷卡消费时，必须注意尽量在正规商店刷卡消费，并且保证人、卡不离，密码本人亲自安全输入的原则。(二) 计算机系统软件安全威胁及其对策计算机操作系统（Operating System，简称 OS） ，也可以称作系统软件，是可以直接运行的“裸机”必备的操作平台，是用户与电脑对话、使用应用软件的媒介，也是管理和控制计算机硬件与软件资源的“总师令” 。目前的电子支付大部分依然通过计算机在互联网上完成，因此计算机本身的系统安全便至关重要了。如果银行卡账户是电子支付的根，那么操作系统便是电子支付得以生长的大地。但这种“脚踏实地”的感觉会让我们产生一种误解计算机系统软件并没有对电子支付的安全带来什么影响。其实不然。正所谓“日防夜防,家贼难防” ，我们在考虑其他一系列安全隐患对电子支付的影响时，往往容易忽略平时使用的电脑操作系统本身就存在着巨大的安全隐患。鉴于人们在日常生活和网络交易中经常使用的是微软公司(Microsoft)出品的windows 系统，我们便以 windows 操作系统为例做如下分析。1、操作系统自身体系结构不安全操作系统自身体系结构不安全是造成其安全隐患的主要原因之一。任何操作系统可能穷尽所有的漏洞，做到完全防范安全风险的发生。正因为各方面导致的先天不足，系统制造商便会发布 “补丁”去弥补这些开发时没有想到、但在用户使用过程中出现的问题，而这种方式相对于软件开发的效率，甚至是用户体验都是最好的。这种开发方式能够满足人们对新系统的好奇心，让用户尽快使用上新的操作系统，不至于每天焦急地等待发布；对于开发者而言，毕竟“天有不测风云” ，风险的不可控性一直都将伴随软件开发的整个生命周期。当然这也就注定了操作系统无法弥补的缺陷威胁的滞后性，只有当威胁一部分用户来来损失，其漏洞才能被发现和堵住。更何况任何事情也都有两面性，一种方10法可以被开放者用以商业用途完善用户体验、提升安全系数，它也就可以被黑客利用，充分运用这种动态结构把病毒伪装成补丁。因此，某些用户的下载和安装补丁时，其中不乏木马、钓鱼软件等对电子支付构成严重威胁的恶意程序和软件。面对上述可能给用户在电子支付时带来的风险，普通用户由于缺少专业知识，并没有多少正面抵抗的可能，最主要也是最方便有效的办法还是通过风险规避来