電子支付及其網(wǎng)絡(luò)安全

齊魯杰

摘要

隨著信息化和人們需求的變化，電子支付已經(jīng)成了交易中的重要支付形式。在黨的十八大以后，我國在電子支付中已經(jīng)取得了很大的成就，但是在發(fā)展中依然存在著網(wǎng)絡(luò)安全隱患。本文從電子支付的技術(shù)性層面和非技術(shù)性層面深入分析了電子支付存在的網(wǎng)絡(luò)隱患，從以上兩個(gè)方面提出了應(yīng)對(duì)措施，促進(jìn)我國電子支付健康、持續(xù)發(fā)展。

【關(guān)鍵詞】電子支付 網(wǎng)絡(luò)安全 技術(shù)策略 安全措施

電子支付主要是基于網(wǎng)絡(luò)為基礎(chǔ)，商務(wù)交易雙方主體通過便捷、安全的支付手段實(shí)現(xiàn)貨幣支付行為。我國的電子支付起源于1998年以借記卡為基礎(chǔ)實(shí)現(xiàn)網(wǎng)上銀行交易功能，經(jīng)過30年的發(fā)展最終形成了各類銀行和商業(yè)支付共同發(fā)展的局面，各類網(wǎng)上支付服務(wù)機(jī)構(gòu)利用自身優(yōu)勢資源形成了現(xiàn)代化的支付體系。尤其是在黨的十八大以來，電子支付服務(wù)模式已經(jīng)趨于成熟，實(shí)現(xiàn)了商家和消費(fèi)者在相對(duì)安全的環(huán)境下進(jìn)行在線支付。習(xí)近平總書記在黨的十九大報(bào)告中就守住金融防線，杜絕系統(tǒng)性金融風(fēng)險(xiǎn)爆發(fā)做出了明確的戰(zhàn)略部署，其中就互聯(lián)網(wǎng)金融和在線支付提出了新的要求，在2017年11月國家開始整頓網(wǎng)貸和網(wǎng)絡(luò)支付開始，我國電子支付在進(jìn)一步規(guī)范運(yùn)行中。因此，隨著時(shí)代的發(fā)展和人們需求增強(qiáng)，電子支付將成為未來支付的重要形式。但是在具體發(fā)展中，依然存在著一些安全隱患。

1 電子支付的優(yōu)勢

2017年我國使用電子支付的總體情況來看主要呈現(xiàn)三個(gè)特點(diǎn)：一是“互聯(lián)網(wǎng)+移動(dòng)APP"成為電子支付主戰(zhàn)場。已經(jīng)深度的綁定了人們?nèi)粘Ｉ?。這種模式繼打車、網(wǎng)購等個(gè)人消費(fèi)的網(wǎng)絡(luò)支付場景外推動(dòng)著向社會(huì)各領(lǐng)域發(fā)展。

通過數(shù)據(jù)和電子支付的特點(diǎn)可以得出電子支付主要具備以下幾個(gè)優(yōu)點(diǎn)：

（1）電子支付更加切合時(shí)代發(fā)展的要求，符合電子商務(wù)發(fā)展的方向，打破傳統(tǒng)面對(duì)面的交易的局限性;

（2）方便快捷。一方面消費(fèi)者可以實(shí)現(xiàn)24小時(shí)隨時(shí)隨地支付購買，避免了傳統(tǒng)交易中時(shí)間、空間的限制。另一方面消費(fèi)者可以隨時(shí)查閱自己的支付情況和電子訂單，包括訂單扣款、退款情況，避免了傳統(tǒng)的必須經(jīng)商家確定才能支付成功的情況。另外，交易主體間規(guī)避了大量金錢交易的風(fēng)險(xiǎn)和交易找零的情況發(fā)生;

（3）電子支付成本相對(duì)較低。主要體現(xiàn)在商家的運(yùn)營成本和消費(fèi)者時(shí)間成本上。商家可以減少運(yùn)營中實(shí)體成本支出，同時(shí)消費(fèi)者也可以節(jié)省時(shí)間，能夠更好的安排自身時(shí)間，實(shí)現(xiàn)網(wǎng)購不用出門就能實(shí)現(xiàn)交易;

（4）電子支付在一定程度上刺激消費(fèi)。電子支付不是現(xiàn)金交易，僅僅是銀行數(shù)字的變化，在一定程度上能夠刺激消費(fèi)，促進(jìn)國民經(jīng)濟(jì)發(fā)展。

2 電子支付存在的網(wǎng)絡(luò)隱患

電子支付存在的安全隱患非常多，本文將其歸結(jié)為技術(shù)安全隱患和非技術(shù)安全隱患兩類。

2.1 技術(shù)安全隱患

從技術(shù)層面上來講，電子支付存在的隱患主要在于網(wǎng)絡(luò)中的安全隱患。通過網(wǎng)絡(luò)可以完成交易靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的攻擊。一般來講，網(wǎng)絡(luò)攻擊者主要采取以下三種模式實(shí)現(xiàn)靜態(tài)數(shù)據(jù)攻擊：一是口令猜測的形式。通過數(shù)學(xué)中窮舉的方式形成消費(fèi)者口令矩陣，采取逐一試驗(yàn)的方式得到消費(fèi)者或者商家口令，完成非法入侵交易系統(tǒng)的行為。二是IP地址欺騙的形式。攻擊者利用自身的IP地址，偽裝成發(fā)送信息IP地址的主機(jī)傳送信息咨詢和信息地址的形式，通過這種手段實(shí)現(xiàn)原IP地址信息冒用，他人信息被竊取，最終完成侵入網(wǎng)絡(luò)安全的行為。三是指定路由器的形式。經(jīng)過發(fā)送者進(jìn)行設(shè)計(jì)的目的地，經(jīng)過這種路線的設(shè)計(jì)能夠有效的改變安全控制路由，實(shí)現(xiàn)非法侵入賬戶信息的路徑。

動(dòng)態(tài)攻擊主要包括攻擊者實(shí)現(xiàn)網(wǎng)上交易中所有的傳遞信息監(jiān)聽來獲取交易信息行為，通過直接獲取信息的形式達(dá)到破壞交易機(jī)密行為的目的?；蛘呤枪粽呖梢缘男薷?、刪除、延遲等手段獲取交易數(shù)據(jù)流，通過中斷、篡改和偽造的形式完成交易信息獲取或者交易非法收入獲取的行為。

2.2 非技術(shù)安全隱患

非技術(shù)性安全隱患主要包括互聯(lián)網(wǎng)交易管理中的安全隱患和法律及時(shí)性的安全隱患兩方面?；ヂ?lián)網(wǎng)交易管理是否完善是降低電子支付安全隱患的重要保障，尤其是在網(wǎng)絡(luò)商品三方平臺(tái)交易的過程中，消費(fèi)者直接進(jìn)入交易中心，完成網(wǎng)絡(luò)上的交易合同構(gòu)建，三方平臺(tái)交易中心不僅要監(jiān)督消費(fèi)者是否按時(shí)支付，還要監(jiān)督賣方市場是否按照約定的合同保質(zhì)、保量、按時(shí)的提供貨物。在這個(gè)環(huán)節(jié)的監(jiān)管上，存在很多管理問題。例如：消費(fèi)者按照約定合同按時(shí)支付，但是商家提供貨物質(zhì)量問題的界定問題至今沒有明確。再者，商家發(fā)起系統(tǒng)退款的情形，退款到賬不及時(shí)的情形，直接影響了消費(fèi)者利益，但是又沒有明確界定補(bǔ)償或者商家懲罰的規(guī)制。法律及時(shí)性的安全隱患是因?yàn)殡娮又Ц妒墙⒃陔娮由虅?wù)基礎(chǔ)上的，電子商務(wù)是超越時(shí)代發(fā)展速度，在具體運(yùn)用中有很強(qiáng)的超前性，現(xiàn)代電子交易在人們生活中發(fā)揮著重要的作用，在促進(jìn)生活發(fā)展、經(jīng)濟(jì)增長中有著重要的意義。但是我們必須清醒的認(rèn)識(shí)到，傳統(tǒng)的法律法規(guī)已經(jīng)不適用于現(xiàn)代電子商務(wù)的發(fā)展，目前我國尚無明確針對(duì)電子支付的法律及統(tǒng)一的法律監(jiān)管標(biāo)準(zhǔn)對(duì)整個(gè)互聯(lián)網(wǎng)的電子交易和具體風(fēng)險(xiǎn)進(jìn)行有效監(jiān)管，以至于針對(duì)電子交易中安全隱患的規(guī)制采取套用法律的形式來處理。

3 應(yīng)對(duì)電子支付網(wǎng)絡(luò)隱患的措施

3.1 電子支付系統(tǒng)安全保障

加強(qiáng)電子支付系統(tǒng)安全保障是減小電子支付技術(shù)性安全隱患的重要手段，電子支付系統(tǒng)安全要求多方位、系統(tǒng)化的實(shí)現(xiàn)支付整個(gè)流程安全。從電子支付流程來看，支付系統(tǒng)安全保障主要包括：服務(wù)器本身安全、客戶端安全和信息數(shù)據(jù)交換安全三個(gè)方面內(nèi)容。因此，必須加強(qiáng)技術(shù)性保障，從三個(gè)方面實(shí)現(xiàn)安全保障，從而形成統(tǒng)一的安全支付環(huán)境，確?？蛻粜畔踩?、交易信息完整。

3.1.1 服務(wù)器本身安全

服務(wù)器本身安全主要是保證交易系統(tǒng)安全，確保各交易環(huán)節(jié)安全防護(hù)到位，例如安全掃描系統(tǒng)、抗DDOS網(wǎng)絡(luò)攻擊設(shè)備和非法入侵IDS檢測設(shè)備等，通過優(yōu)化更新的形式來應(yīng)對(duì)新的支付漏洞帶來的安全交易隱患。具體從三個(gè)方面來控制。

（1）實(shí)現(xiàn)客戶數(shù)據(jù)安全儲(chǔ)存。通過數(shù)據(jù)備份、數(shù)據(jù)防磁化處理、數(shù)據(jù)訪問密級(jí)限制的形式確保數(shù)據(jù)信息安全，增強(qiáng)速度儲(chǔ)存抵御侵占的能力。

（2）交易過程中的安全保障。建議通過數(shù)據(jù)私有化處理，保證網(wǎng)上交易安全。數(shù)據(jù)私有化主要是運(yùn)用交易雙方生物特性，實(shí)現(xiàn)僅能本人使用的交易目的。例如：數(shù)字簽名形式的使用，保證交易雙方數(shù)據(jù)私有性。商戶和消費(fèi)者都必須實(shí)現(xiàn)銀行數(shù)字簽名，當(dāng)商戶發(fā)往銀行交易時(shí)，由銀行驗(yàn)證商戶身份，根據(jù)商戶的數(shù)字信息，信息的及時(shí)性和完整性等識(shí)別交易的有效性。這種情況在我們現(xiàn)在的交易中已經(jīng)有所涉及，指紋密碼就是目前發(fā)展的趨勢。本文建議之后繼續(xù)加強(qiáng)指紋密碼開發(fā)，并且將開發(fā)的技術(shù)成果轉(zhuǎn)向面部識(shí)別系統(tǒng)、虹膜識(shí)別系統(tǒng)等更高端的數(shù)字密碼。對(duì)于目前還存在的免密支付應(yīng)該加以規(guī)制或者取締，避免因?yàn)橹Ц睹艽a的安全問題應(yīng)發(fā)電子支付交易安全事故發(fā)生。

（3）建立交易數(shù)據(jù)監(jiān)控系統(tǒng)。通過客戶交易行為和交易數(shù)據(jù)分析，實(shí)現(xiàn)交易行為數(shù)據(jù)挖掘，將每個(gè)客戶的交易行為和特征進(jìn)行數(shù)據(jù)庫比對(duì)，發(fā)現(xiàn)異常行為必須通過客戶再次核對(duì)，傳輸備用密碼的形式確定交易。當(dāng)然，具體實(shí)踐中必須根據(jù)安全風(fēng)險(xiǎn)監(jiān)控的級(jí)別量化安全級(jí)別，差異化的對(duì)待監(jiān)控中的風(fēng)險(xiǎn)，避免因?yàn)閿?shù)據(jù)的問題增加客戶交易難度。

3.1.2 客戶端安全保障

這是由銀行或者三方網(wǎng)絡(luò)交易平臺(tái)提供的大額資金交易保障，包括動(dòng)態(tài)密碼（銀行U盾）、USB Key、短信驗(yàn)證、預(yù)留答案驗(yàn)證等。其中動(dòng)態(tài)密碼（銀行U盾）和USB Key屬于物理性的移動(dòng)設(shè)備，在交易中安全系數(shù)很高。但是由于攜帶不便和人們自我意識(shí)較強(qiáng)，實(shí)際使用中很少有客戶選擇。其他的信息化、數(shù)字化的驗(yàn)證被交易盜取的概率相對(duì)較大。因此，本文建議在大額交易中，必須采取移動(dòng)物理設(shè)備安全保障的交易模式，超過一定額度的交易行為必須采取多種驗(yàn)證方式相結(jié)合的形式，增強(qiáng)因網(wǎng)絡(luò)技術(shù)非法入侵和盜取的難度。

3.1.3 信息數(shù)據(jù)交換安全

數(shù)據(jù)信息交換中缺乏安全保障，必然導(dǎo)致交換過程中訂單信息甚至雙方交易密碼等關(guān)乎客戶信息的數(shù)據(jù)在Internet中傳輸被第三者非法讀取。所以在電子交易中任何存在在Web服務(wù)器中的數(shù)據(jù)都必須加強(qiáng)安全措施防護(hù)。建議在客戶向商家填寫訂單信息和實(shí)際支付過程中必須通過客戶電子購物軟件實(shí)現(xiàn)，商家根據(jù)消費(fèi)者訂單信息核定訂單價(jià)格，具體的定價(jià)價(jià)格確認(rèn)必須經(jīng)過客戶所在的金融機(jī)構(gòu)認(rèn)定通過才能實(shí)現(xiàn)支付許可。其中，消費(fèi)者和商家之間的交易信息必須經(jīng)過雙向認(rèn)定，進(jìn)行數(shù)字化簽名核實(shí)。在核實(shí)的過程中采取雙重簽名技術(shù)實(shí)現(xiàn)發(fā)送文件Hash編碼加密，保證除了銀行以外其他人看不到消費(fèi)者賬號(hào)信息。銀行通過自身的技術(shù)手段將文件解密，比對(duì)客戶信息，雙方信息一致才能完成最終交易。否者，極有可能在數(shù)據(jù)信息傳送中被三方監(jiān)控、篡改。

另外，在電子支付中實(shí)現(xiàn)實(shí)名認(rèn)證，通過交易雙方實(shí)名轉(zhuǎn)賬的形式，可以有效防控交易失誤造成的經(jīng)濟(jì)損失。例如：微信和支付寶都實(shí)現(xiàn)了交易收款實(shí)名認(rèn)證，有效的防范了網(wǎng)絡(luò)欺詐行為。通過資金三方存管的模式實(shí)現(xiàn)資金安全，將電子交易資金存入三方平臺(tái)，利用平臺(tái)和保險(xiǎn)相結(jié)合的形式確保交易資金安全?？偟膩碇v，實(shí)現(xiàn)技術(shù)性保障需要從交易的整個(gè)流程實(shí)現(xiàn)交易保障，確保交易雙方數(shù)據(jù)信息安全。

3.2 非技術(shù)層面安全保障

3.2.1 建立多層次的互聯(lián)網(wǎng)交易監(jiān)管體系

（1）建立監(jiān)管評(píng)估體系。當(dāng)前我國已經(jīng)對(duì)不同類型的金融服務(wù)開展的評(píng)級(jí)制度，例如銀監(jiān)會(huì)對(duì)銀行的CAMELS評(píng)級(jí)體系、人民銀行建立的征信系統(tǒng)、銀行針對(duì)客戶建立的IRS評(píng)價(jià)體系等。但是對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)尚未進(jìn)行評(píng)級(jí)評(píng)估，其經(jīng)營范圍和信用情況難以把控。對(duì)此，建立行之有效的監(jiān)管評(píng)估體系是我國互聯(lián)網(wǎng)金融電子支付安全控制的當(dāng)務(wù)之急。本文認(rèn)為互聯(lián)網(wǎng)金融監(jiān)管必須建立機(jī)構(gòu)準(zhǔn)入的基礎(chǔ)上，將各分支機(jī)構(gòu)的具體評(píng)估方式納入評(píng)估考核中。針對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)的法人機(jī)構(gòu)采取年度評(píng)估方式和經(jīng)營評(píng)估方式相結(jié)合的方式進(jìn)行權(quán)重量化，從而分為多個(gè)風(fēng)險(xiǎn)等級(jí)評(píng)估的方式評(píng)估改機(jī)構(gòu)的運(yùn)行整體狀況。深入的結(jié)合分支機(jī)構(gòu)和關(guān)鍵部門的合規(guī)經(jīng)營狀況進(jìn)行具體量化，確立評(píng)定等級(jí)，確定網(wǎng)上商家交易信用等級(jí)，保證消費(fèi)者網(wǎng)上支付安全。

（2）加強(qiáng)現(xiàn)場監(jiān)管檢查。政府及其監(jiān)管部門針對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)的監(jiān)管最理想的監(jiān)管組合方式是從非市場監(jiān)管方向來發(fā)現(xiàn)問題及目標(biāo)，現(xiàn)場檢查取證并且查出問題所在，實(shí)現(xiàn)電子交易風(fēng)險(xiǎn)防控。我國現(xiàn)階段針對(duì)傳統(tǒng)金融行業(yè)的現(xiàn)場監(jiān)管已經(jīng)趨向成熟，但是對(duì)于互聯(lián)網(wǎng)金融機(jī)構(gòu)的現(xiàn)場監(jiān)管所需要注重的基本內(nèi)容限于網(wǎng)上銀行、網(wǎng)上交易的真實(shí)性等，目前針對(duì)這類型的監(jiān)管手段比較落后。對(duì)此，以傳統(tǒng)金融的現(xiàn)場監(jiān)管為鑒，按照年度定制現(xiàn)場監(jiān)管檢查規(guī)劃和目標(biāo)，采取定期和不定期相結(jié)合，全面檢查和樣本抽查的方式開展現(xiàn)場檢查。現(xiàn)場檢查的時(shí)限可以以檢查問題的前后時(shí)限延伸，監(jiān)管部門對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)的現(xiàn)場監(jiān)管檢查中所發(fā)現(xiàn)的安全問題，必須要求強(qiáng)行整改并且反饋整改效果，問題嚴(yán)重的應(yīng)該依照相關(guān)的法律法規(guī)實(shí)行強(qiáng)制性的行政處罰。監(jiān)管部門還應(yīng)該針對(duì)后續(xù)整改措施執(zhí)行嚴(yán)格的嚴(yán)查和后續(xù)的制約，例如在檢查中發(fā)現(xiàn)的問題數(shù)量和大小作為被監(jiān)管機(jī)構(gòu)的市場準(zhǔn)入條件和業(yè)務(wù)經(jīng)營范圍等。通過限制性的方式促進(jìn)互聯(lián)網(wǎng)金融機(jī)構(gòu)不敢逾越法律的鴻溝，觸碰交易風(fēng)險(xiǎn)的底線。

（3）強(qiáng)化行業(yè)自律和監(jiān)管的協(xié)調(diào)性。作為互聯(lián)網(wǎng)金融監(jiān)管風(fēng)險(xiǎn)的補(bǔ)充，牽掛行業(yè)自律來防范金融風(fēng)險(xiǎn)至關(guān)重要。與剛性的政府監(jiān)管相互相成，運(yùn)用行業(yè)自律的靈活性，可以實(shí)現(xiàn)高效率的監(jiān)管體系，達(dá)到行業(yè)自覺和行業(yè)間的良性競爭。促進(jìn)行業(yè)內(nèi)部實(shí)現(xiàn)財(cái)務(wù)的內(nèi)部控制，自主的尋找行業(yè)發(fā)展方向和目標(biāo)。我國互聯(lián)網(wǎng)金融行業(yè)的領(lǐng)頭企業(yè)應(yīng)該具備相應(yīng)的擔(dān)當(dāng)和責(zé)任意識(shí)，發(fā)揮牽頭作用，歸集機(jī)構(gòu)中的行業(yè)代表協(xié)商制定行業(yè)中的自律標(biāo)準(zhǔn)，從行業(yè)內(nèi)部開始建立自律和自治的相關(guān)監(jiān)管機(jī)制。特別是當(dāng)前的科學(xué)信息技術(shù)滯后于監(jiān)管的現(xiàn)狀，更有必要通過行業(yè)內(nèi)部來協(xié)調(diào)防控科技的風(fēng)險(xiǎn)。目前我國已經(jīng)成立的中關(guān)村互聯(lián)網(wǎng)金融行業(yè)協(xié)會(huì)和網(wǎng)絡(luò)信貸服務(wù)企業(yè)聯(lián)盟等，在行業(yè)內(nèi)部自律和科技監(jiān)管方面已經(jīng)走在了政府監(jiān)管的前列，在制定我國互聯(lián)網(wǎng)金融監(jiān)管和發(fā)展規(guī)則方面提供了有效的標(biāo)準(zhǔn)，并且充分發(fā)揮聯(lián)盟的作用，很大程度上促進(jìn)了互聯(lián)網(wǎng)金融行業(yè)的健康綠色發(fā)展。

3.2.2 完善互聯(lián)網(wǎng)電子交易法律體系

（1）我國人大立法明確電子支付相關(guān)法律。針對(duì)目前尚未形成健全的法律規(guī)范和引導(dǎo)行為現(xiàn)狀，我國人大應(yīng)該加快電子支付立法，約束互聯(lián)網(wǎng)交易行為，調(diào)整電子支付中交易行為和監(jiān)管行為。

（2）行政立法中必須明確互聯(lián)網(wǎng)金融機(jī)構(gòu)的主體地位和經(jīng)營范圍。針對(duì)我國現(xiàn)階段法律在規(guī)范互聯(lián)網(wǎng)交易行為不明確的現(xiàn)狀，必須通過行政立法的形式規(guī)范交易行為中的退款、質(zhì)量和安全行為，明確互聯(lián)網(wǎng)金融交易和交易雙方的權(quán)利義務(wù)，不能賦予了充分的法律肯定，還能實(shí)現(xiàn)交易風(fēng)險(xiǎn)監(jiān)管源頭控制。

（3）建立健全監(jiān)管法規(guī)細(xì)則。明確法律加強(qiáng)互聯(lián)網(wǎng)電子支付風(fēng)險(xiǎn)監(jiān)管，我國的政府及其相關(guān)的監(jiān)管部門可以通過政府立法的形式，修改現(xiàn)有法律法規(guī)在監(jiān)管中存在的政策和法規(guī)漏洞，跟進(jìn)電子商務(wù)發(fā)展進(jìn)程，適時(shí)修訂、完善相關(guān)細(xì)則，確保電子支付有章可循、有法可依。

4 結(jié)語

電子支付安全問題是制約電子商務(wù)發(fā)展，阻礙社會(huì)主義市場經(jīng)濟(jì)發(fā)展的重要形式，有效的解決電子支付中資金安全和信息安全問題，不僅能夠促進(jìn)電子商務(wù)的發(fā)展，為客戶雙方提供安全、便捷的支付形式，還能促進(jìn)社會(huì)主義經(jīng)濟(jì)持續(xù)發(fā)展，利用交易的現(xiàn)代化實(shí)現(xiàn)經(jīng)濟(jì)現(xiàn)代化發(fā)展。

參考文獻(xiàn)

[1]南湘浩，陳鐘.網(wǎng)絡(luò)安全技術(shù)概論[M].北京國防工業(yè)出版社，2003.

[2]孫會(huì)巖.習(xí)近平網(wǎng)絡(luò)安全思想論析[J].黨的文獻(xiàn)，2018（01）：25-32.

[3]劉劍，蘇璞春，楊珉等.軟件與網(wǎng)絡(luò)安全研究綜述[J].軟件學(xué)報(bào)，2018（01）：42-68.