電子技術應用淺析第三方支付安全問題探討

　　隨著第三方支付平臺的流行，越來越多人使用第三軟件啦，那么我們的擔憂就是安全問題，三方支付平臺方便、快捷吸引著好多客戶，下面我就就發表一篇關于第三方支付的安全問題做個探討。

　　摘 要本文首先介紹當前我國電子支付的分類及發展現狀，隨后分別給出了電話銀行、網上銀行等電子支付方式的安全性分析，接著重點分析了第三方支付的發展現狀和安全性問題,并以幾個主流第三方支付平臺的對比各安全策略，最后提出了加強第三方支付安全性的一些設想。

　　關鍵詞：電子商務;第三方支付;安全性問題;設想

　　第一章 電子支付概述

　　電子商務(Electronic Commerce，簡寫為EC)是利用現有的計算機硬件、軟件和網絡基礎設施，通過由一定的協議連接起來的電子網絡環境進行的各種各樣商務活動方式。電子商務是運用現代信息技術和網絡技術，依托Internet進行營銷宣傳、業務洽談以及支付結算等商務活動的新型網上貿易方式。與傳統的商業系統相比，電子商務具有交易花費成本低、資金更安全、資金結算速度快、節省人力物力、方便等特點。電子商務不僅是目前Internet應用的最大熱點，同時也是促進Internet繼續發展的主要動力。

　　電子支付，是指從事電子商務交易的當事人，包括消費者、廠商和金融機構，通過信息網絡，使用安全的信息傳輸手段，采用數字化方式進行的貨幣支付或資金流轉。

　　電子支付的業務類型按電子支付指令發起方式分為電話支付、網上支付、移動支付、第三方支付、自動柜員機交易和其他電子支付。

　　1.1 電話銀行及我國電話銀行的發展現狀

　　電話銀行是近年來國外日益興起的一種高新技術，它是實現銀行現代化經營與管理的基礎，它通過電話這種現代化的通信工具把用戶與銀行緊密相連，使用戶不必去銀行，無論何時何地，只要通過撥通電話銀行的電話號碼，就能夠得到電話銀行提供的其它服務(往來交易查詢、申請技術、利率查詢等)，當銀行安裝這種系統以后，可使銀行提高服務質量，增加客戶，為銀行帶來更好的經濟效益。

　　同網上銀行和手機銀行相比，電話銀行在易用性方面更具優勢。為了有效促進銀行營業網點從傳統的“柜臺結算型”向“產品銷售型”的轉型，將有限的資源投向高附加值業務，大力發展電話銀行仍是幫助網點分流用戶、減緩柜面壓力的有效途徑之一。

　　目前，各大銀行的電話銀行基本都由原來的熱線電話升級改造而成，兼有咨詢、投訴、業務辦理三大功能。然而相比電話銀行提供的豐富功能，其普及程度還顯得有些低：在所有被訪者中，僅有12.4%的用戶撥打過銀行的服務熱線電話。

　　同剛剛超過一成的撥打率相呼應的，撥打熱線電話的用戶中對于電話銀行的使用也停留在比較初級的水平上。除了9.8%的用戶通過電話銀行來處理緊急情況，如掛失銀行卡之外，通過電話銀行來辦理業務的用戶僅占撥打電話銀行用戶總數的1/3，而這些辦理業務的用戶中，半數以上的人僅僅是用電話銀行查詢余額和明細，信用卡還款、轉賬、代繳費、購買理財產品等真正可以幫助銀行網點有效分流業務的功能卻少有人問津。

　　1.2 網上銀行及我國網上銀行的發展現狀

　　近年來互聯網技術的快速發展和深入應用，網上電子銀行系統成為了各家金融機構的發展重點，得到大力推廣，并迅速普及。與傳統柜臺業務相比，網上銀行系統尤其是目前深受各界重視的網上銀行具有多種明顯的優勢。它可以24小時不間斷為客戶提供服務，有效地延長了服務時間;它可以為身處任何地方的客戶服務，只要客戶能夠接入互聯網，有效地擴張了覆蓋地域;它可以提供豐富的金融產品，并可以根據客戶個人信息提供個性化產品，有效地進行產品差異化營銷。

　　有數據表明，網上銀行是單筆交易成本耗費最低的業務渠道，大力開發網上銀行，可以有效降低銀行整體經營成本，提升銀行核心競爭力。因此。各大金融機構都將網上銀行業務的發展提升到戰略發展的高度。網上銀行作為一種新型的金融服務渠道，正在進一步改變和提升銀行業的服務方式、管理模式和競爭格局。

　　自1995年，美國的第一家網上銀行問世以來，由于提供免費網上支付以及迅速操作等服務，網上銀行得以迅猛發展，客戶群在不斷擴大。兩年前，美國還只有1000多家銀行提供網上服務，現在已經超過了5000家。歐洲現已有1200家金融機構開設了網上銀行的業務，跨國銀行紛紛發布網上銀行發展戰略，斥巨資完善網上銀行系統，視其為實現自身發展以及爭取市場份額的重要手段。

　　與國外相比，我國的網上銀行略微起步晚了一些，自1997年以來，國內招商銀行、中國銀行、中國建設銀行、中國工商銀行陸續推出網上銀行業務，初步實現了在線金融服務。目前最新版本的網上銀行系統已經可以實現網上匯兌、網上信用證等業務，極大地方便了個人和企業用戶。

　　網上銀行在國內銀行領域有著廣闊的發展前景。根據易觀國際Enfodesk產業數據庫發布的《2009年第4季度中國網上銀行市場季度監測》顯示，2009年中國網上銀行市場交易總額超過400萬億，達404.88萬億，其中個人網銀交易額達到38.53萬億，占比9.52%。另外，截至2009年第4季度末，中國網上銀行注冊用戶數達到1.89億。

　　1.3 移動支付等其他支付方式及其在我國的發展現狀

　　2011年，國內電子支付業界風頭最勁的無疑是手機支付。由于中國手機普及率較高，市場環境日趨成熟，手機支付發展迅速，且潛力巨大。

　　據國內艾瑞咨詢研究指出，2010年，我國移動支付市場整體規模達到202.5億元，同比增長31.1%。預計2011年移動支付市場將迎來更加強勁的增長，2012年手機支付交易規模將有望超過1000億元，由此帶來的手機支付廣闊前景，使得第三方支付企業紛紛看好手機支付業務。

　　業界人士表示，2010年是中國的3G元年，2011年則是手機支付的元年。據統計顯示，當前中國的手機用戶數量已逾8億，其中，已開通移動互聯網業務的用戶為3.03億戶，占全部手機用戶的37.8%。正因為市場環境的利好，國內眾多第三方支付企業以及運營商都在加緊布局自己的手機支付應用。

　　2011年2月22日，中國聯通對外宣布成立支付公司，并立即展開了規模超過百人的招聘。此外，中國電信早在2011年1月就已經決定成立支付公司，并已經為即將成立的移動支付公司確定了一把手人選,開始進入人員招聘階段。中國移動已開始申請第三方支付牌照，準備和金融機構合作建立第三方支付平臺。

　　不僅國內運營商進入移動支付領域，第三方支付企業也紛紛看好手機支付業務。據了解，早在2009年，北京通融通信息技術有限公司(易寶支付)即已單獨成立移動支付事業部，到目前為止，其移動支付團隊規模已近200人。易寶支付副總裁余晨表示，當前，手機支付最大的特點是便捷性、隨時隨地性，因此，與用戶生活密切的小額移動支付將成為主流，如娛樂、電子客票、手機游戲等以數字內容為主的交易。

　　除易寶支付外，財付通、支付寶等國內第三方支付公司也在努力加快移動支付的發展。2010年3月22日，財付通移動支付平臺推出一些互聯網應用，如手機話費充值、信用卡還款、游戲充值、機票訂購等。2010年10月份，支付寶發布無線支付產品“手機安全支付”，為手機應用開發者提供開放式隱形平臺。

　　顯然，國內移動支付市場已見硝煙。易觀國際分析預計，2011年將會有更多的企業在手機支付業務上增加投入，未來幾年手機支付的交易額將有明顯的增長。

　　1.4 第三方支付及我國第三方支付的發展現狀

　　所謂第三方支付，就是一些和國內外各大銀行簽約、并具備一定實力和信譽保障的第三方支付服務商提供的交易支持平臺。在通過第三方支付平臺的交易中，買方選購商品后，使用第三方平臺提供的賬戶進行貨款支付，由第三方通知賣家貨款到達、進行發貨;買方檢驗物品后，就可以通知付款給賣家，第三方再將款項轉至賣家賬戶。第三方支付分第三方網上支付、固話支付和移動支付等幾種，本文中談到的第三方支付特指第三方網上支付。

　　第三方支付成功解決了相互不了解的人的交易誠信問題，自身也得到了快速發展。根據艾瑞、易觀國際等咨詢公司的有關數據，2003年我國第三方支付行業的交易規模不到10億元，2004年達到74億元，2009年達到5808億元，2010年上半年達到4546億元。

　　根據圖1-1的預測，2010年中國第三方支付整體交易規模將達到10105億元，突破萬億元大關。細分市場方面，支付寶以50.02%的市場份額大幅領先于其他支付企業，財付通和快錢分列第二、第三位。艾瑞咨詢預計，2011年中國第三方網上支付交易規模將達到17200億元，至2014年，整體市場將有望突破4萬億元大關，達到41000億元。

　　圖1-1 2008-2014第三方支付交易規模

　　2010年互聯網支付市場中，支付寶和財付通占據近85%的市場份額。快錢、ChinaPay、環迅支付等則以10%的份額列第二梯隊，而其余近百家小型支付企業的份額總共不超過1%。

　　第二章 電子支付的安全性分析

　　2.1 電話銀行的安全性分析

　　電話銀行的安全性不足是顯而易見的：首先，由于輸入字母不便，電話銀行的密碼相對簡單，在先進的設備和技術下，其被破解的難度被大打折扣。其次，由于電話銀行和網絡銀行的關聯性，用戶往往用網絡銀行的密碼兼當電話銀行的密碼，使黑客知曉銀行卡密碼后能輕松盜取。再次，犯罪份子可以通過電腦或手機木馬程序盜取密碼，而手機終端的殺毒、防毒工作還遠遠不及智能手機的普及速度，這顯然制造了一個漏洞。

　　2.2 網上銀行安全性威脅

　　2.2.1 認證安全威脅

　　對網上銀行認證的安全威脅包括：

　　1)竊取網上銀行用戶的卡號和口令;

　　2)竊取銀行用戶的數字證書;

　　3)竊取網上銀行用戶的卡片，如信用卡。

　　攻擊的方法有通過病毒，比如網銀大盜及其改進型病毒、釣魚攻擊和直接偷盜等。

　　2.2.2 通信通道安全

　　通信通道的安全是網上銀行系統的另外一個重要安全隱患，通信通道的安全威脅包括：

　　1)通過Sniffer工具對網絡流量進行分析，獲取明文傳送的敏感數據：

　　2)通過Session劫持的方法對網絡中建立的通信進行劫持，從而從正常使用者那里獲取合法的Session而實現對網上銀行用戶帳戶的竊取。這往往是暫時性的

　　竊取用戶對帳戶的控制權，但往往會對用戶造成嚴重的后果。

　　3)使用中間人攻擊等方式，替換服務器到客戶端的數據證書，從而獲取用戶的敏感數據等。

　　2.2.3 網上銀行服務器端的可用性

　　對網上銀行系統的另一類攻擊是對可用性的攻擊，也即讓用戶不能夠正常的使用網上銀行。這種威脅是一個十分嚴重但是又很難防御的。具體的威脅包括：

　　1)使用DOS(Denial of Service)或者DDOS(Distributed Denial of Service)攻擊阻塞網上銀行的通信通道，使得它對正常的用戶的請求的響應變得非常的緩慢或者不能響應，這種威脅很難防御也很難檢測;。

　　2)使用針對DNS(Domain Name Server)系統的攻擊，將用戶在瀏覽器中指定的網上銀行URL轉向到其它服務器，從而使得用戶無法找到正常的網上銀行系統。

　　2.2.4其他的安全性威脅

　　物理存儲安全：通過非法獲得物理存儲設備，如系統的備份設備。得到用戶的賬號和信息等敏感信息。

　　操作系統級的安全性：通過非法獲得操作系統中的一些信息，如內存數據，網卡緩存等，從中分析出在系統中存儲的用戶信息。

　　數據處理的威脅：通過技術手段，利用網絡銀行系統可能存在的程序缺陷，直接破壞銀行程序的行為，從而獲得非法的利益。

　　審計威脅：破壞系統的審計功能，從而導致非法的訪問和操作記錄的消失，導致審計的失效和法律上的無法取證。

　　系統管理員威脅：管理員權限被竊取(如內部人員使用管理員的終端或者竊取管理員的密碼)。由于系統管理員一般有很大的權限，這一威脅會導致系統處于危險的境地。

　　管理員濫用其權力，導致對網上銀行系統的破壞。

　　3.第三方支付存在的安全性問題

　　3.1 信用卡套現、洗錢問題層出不窮

　　以支付寶為例。由于支付寶賬戶可以從一家商業銀行賬戶中充值，再將賬戶余額轉到該帳號使用者在另一家商業銀行的賬戶中，因此，可能存在著利用信用卡進行套現交易的行為，即賬戶擁有者可以從信用卡賬戶對支付寶帳戶進行充值，再將支付寶賬戶余額提現至借記卡賬戶中。這樣在理論上就實現了利用信用卡套現的行為的可能。

　　由于支付寶兼具資金的收付功能，因此它不僅存在著信用卡套現的風險，更面臨諸如洗錢之類的問題。因為在支付寶支付中，有相當一部分交易屬于虛擬貨幣的交易，比如騰訊公司的Q幣，移動通訊公司的話費充值等。因此不排除有些人通過設立多個賬戶，從事虛假的虛擬貨幣交易，以此達到轉移不法資金，以達到洗錢的目的。

　　3.2 賬戶資金被盜、網絡詐騙時有發生

　　電子商務支付在淘寶網購物，通過支付寶付款一直被認為是目前最安全的網購方式。然而近來，消費者大量網購資金并未轉入支付寶，而是被黑客劫至“中國移動通信集團湖南有限公司電子商務中心”、“北京聯動優勢科技公司”等第三方支付平臺，繼而流進騙子的賬戶。

　　一名由于第三方支付平臺監管不嚴而遭遇網絡詐騙的網友表示，自己在某大型網購網站購物時，第一次支付不成功，隨后被騙子商家用另一家小型第三方支付平臺的鏈接騙去500元。事發后，該網友分別找到兩家支付公司，它們互相推諉，最后只能不了了之，“花錢買教訓吧”該網友很無奈。

　　3.3 安全保障的技術手段有待改進

　　根據殺毒軟件廠商的最新報告，網絡釣魚的黑色產業鏈初步形成，其危害已經超過傳統的病毒和木馬，成為威脅網民利益的第一殺手。網絡釣魚欺詐是指騙子以低價等作為誘餌，誘使用戶在假的網站或冒充的頁面付款，從而導致資金損失。近期不斷爆發用戶按照第三方支付平臺的正常操作步驟，資金卻被轉入到指定賬戶。第三方支付平臺如何通過技術手段加強安全保障的應對這方面的風險值得關注。

　　另外，目前第三方支付平臺采取的數字證書認證并不是真正的第三方認證，而是內部建設一套符合實際要求的證書注冊審計系統，使自身具備證書申請、審批、下載、證書狀態在線查詢、證書撤銷等功能，從而為其所支持的電子商務平臺提供強有力的安全保障，然而這種數字證書并沒有法律效力，如何尋求第三方支付平臺與第三方CA認證機構合作，用更為安全的技術手段保障電子商務交易的安全具有重大的現實意義。

　　3.4 第三方支付平臺不具備金融機構資質

　　目前，國內的第三方支付企業屬于非金融機構，是有限責任公司的性質，一旦公司出現破產等情形，則可能引發劇烈的多米諾骨牌效應，導致其他企業的資金鏈出現問題。因此，即使是附屬于某些著名的網站，第三方支付平臺也存在一個信用問題。許多第三方支付公司的在途資金已經遠遠大于它的注冊資金。那么，資金放在平臺上是不是安全?如何保障這些資金的安全值得政府監管部門的思考。

　　3.5 第三方支付平臺隱私政策不合理

　　由于第三方平臺掌握了大量用戶的真實信息，它除了應采用技術手段進行保護之外，還應該以文件、政策或公告的方式在網站上公開對用戶信息進行安全承諾。

　　但目前網站隱私政策的普遍不完整，內容不合理，免責條款過多，不少網站公然將黑客、病毒等引發的安全問題當做“不可抗力”，推卸責任。用戶為了使用其服務只能同意該條款，導致發生問題時維權艱難。

　　4.國內主流第三方支付平臺的安全策略分析

　　4.1 應對信用卡套現、洗錢

　　套現一族未來的日子應該不會太愜意，過往寬松的網上套現渠道或將逐漸消失。中國人民銀行2010年6月21日公布的《非金融機構支付服務管理辦法》，不僅對作為第三方支付平臺的非金融機構做出嚴格規定，同時也對支付平臺的用戶加以嚴格管理，此舉無疑會對網絡非法套現行為造成打擊。

　　4.2 應對資金被盜、網絡詐騙

　　國內領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。例如，PAYPAL(貝寶)在防止盜號.提供密碼加密以及減少信用卡套現等方面，已經配合銀行做了大量工作：快錢除了從技術手段上防范盜卡之外.還在安全方面加設了用戶的認證系統等六道功能，試圖將安全隱患壓低到最小程度。

　　作為國內最大的第三方支付平臺，支付寶的做法就更為完備。早在2006年7月，支付寶就推出”支付寶認證“服務.對所有使用支付寶的賣家進行雙重身份認證.即身份證認證和銀行卡認證。除了與公安部全國公民身份證號碼查詢服務中心合作校驗身份證的真偽.支付寶還與各大商業銀行進行合作，利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確，摒棄了某些購物網站僅憑一個手機號碼或者身份證號碼進行簡單認證的模式。支付寶公司還在國內率先推出了“全額賠付”制度和交易安全基金.網絡欺詐發生率僅為萬分之二。

　　4.3采用多重技術手段保障用戶安全

　　按照艾瑞咨詢發布的2010年第三季度第三方支付的市場份額，對比前六名的第三方支付企業的安全技術保障措施，結果如下表1所示。

　　小編推薦優秀電子論文　《電廠熱工技術》期刊淺析IC卡在供熱企業的應用

　　摘要：本文主要論述ic卡在現代生活中的重要性，國家對ic卡的使用的重視和鼓勵。針對供熱企業的傳統管理模式的不足，提出改善方法，建議ic卡在供熱企業的普及、推廣和應用。

　　關鍵詞：ic卡,供熱企業,ic卡熱表,方便快捷

轉載請注明來自發表學術論文網：http://www.zpfmc.com/dzlw/3443.html