電子支付的安全手段

國內網購交易額呈數十倍增長，隨之而生的電子支付用戶量亦同樣不斷翻倍。電子支付能幫助企業提高核心競爭力，并最終推動整個社會資金效率的提升。網上銀行、手機銀行的“賬號+密碼”登錄形式成為網上銀行客戶端的最薄弱環節，成為黑客盜取網上銀行用戶資金的主要突破口。目前大多電子支付平臺已經連同各大銀行機構部署了三個層次的防御，即網上銀行交易系統的安全、用戶的身份識別和CA認證和數字簽名等加密協議。

一、一般性的安全措施防御

銀行交易服務器是網上的公開站點，網上銀行系統也使銀行內部網向互聯網敞開了大門。因此，如何保證網上銀行交易系統的安全，關系到銀行內部整個金融網的安全，這是網上銀行建設中最至關重要的問題，也是銀行保證客戶資金安全的最根本的考慮。為防止交易服務器受到攻擊，銀行主要采取以下三方面的技術措施:

1.設立防火墻，隔離相關網絡

一般采用多重防火墻方案。其作用有二:

#8226;分隔互聯網與交易服務器，防止互聯網用戶的非法入侵。

#8226;用于交易服務器與銀行內部網的分隔，有效保護銀行內部網，同時防止內部網對交易服務器的入侵。

2.高安全級的Web應用服務器

服務器使用可信的專用操作系統，憑借其獨特的體系結構和安全檢查，保證只有合法用戶的交易請求能通過特定的代理程序送至應用服務器進行后續處理。

3.二十四小時實時安全監控

隨著支付安全技術的發展，智能風險實時監控也被越來越廣泛地應用。風險控制系統會對每筆交易進行過濾，保障用戶的安全，支付公司一定要從不同的環節，從應用和用戶業務層面去捕捉漏洞，這比僅僅在技術底層捕捉漏洞更加重要。比如龔某接到了自稱是稅務部門工作人員的電話，說要給他退稅，請他提供個人信息。沒有及時識破騙子的把戲，最終銀行卡上的4萬元被龔先生稀里糊涂地匯出，匯到了騙子的快錢賬戶中。然而，快錢對于大額資金往來有嚴密的實時監控，他們很快發現龔先生的銀行賬號出現了異地大額交易等特殊情況，于是第一時間給龔先生打了電話確認，在得知龔先生受騙后，快錢隨即將相關資金凍結。

如果支付寶發現一個賬戶先在北京登錄，10分鐘后又在上海登錄使用，那也會馬上給你打電話核實。風險實時監控系統會通過數據分析、數據挖掘等技術進行學習并與一般用戶正常行為特征進行比對，發現異常的或有風險的操作行為，根據風險級別不同進行不同的處理。同時輔助人工核查，最大限度防控網上支付風險。

二、用戶的身份識別和CA認證

網上交易不是面對面的，客戶可以在任何時間、任何地點發出請求，傳統的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進行認證。但是，用戶的密碼在登錄時以明文的方式在網絡上傳輸，很容易被攻擊者截獲，進而可以假冒用戶的身份，身份認證機制就會被攻破。

在網上銀行系統中，用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。用戶的登錄密碼以密文的方式進行傳輸，確保了身份認證的安全可靠性。

數字證書的引入，同時實現了用戶對銀行交易網站的身份認證，以保證訪問的是真實的銀行網站，另外還確保了客戶提交的交易指令的不可否認性。

在這些技術手段之外，還有監管部門這只看不見的“大手”來保護用戶的支付安全，光大銀行在全國22個城市啟動了網絡繳費金融服務平臺，光大銀行規劃與風險管理處負責人張曉紅表示，監管機構對網上銀行業務有包括多因素雙信道等諸多要求在內的一整套技術要求來確保安全，而在第三方支付平臺方面，目前各家也主要參照監管部門對銀行的要求進行安全風險控制，而隨著央行《支付清算組織管理辦法》的出臺，對第三方支付平臺的安全要求還將進一步加強。

三、數字簽名等加密協議進一步保障了支付安全

SSL是國際上最早應用于電子商務的一種網絡安全協議。它最初是由網景公司設計開發，其目的主要是提高應用程序之間的數據的安全性。該協議涉及所有的TCP/IP應用程序，主要提供以下方面的服務:確信數據將被發送到正確的客戶機和服務器上;對被傳送的數據進行加密;在傳輸的過程中維護數據的完整性。

但是，SSL協議是在互連網電子商務初期階段發展起來的，它的基點是商家對客戶信息保密的承諾，因此有利于商家而不利于客戶，其最大的缺點是客戶資料的不安全性。而且，SSL是一個面向連接的協議，只能提供交易中客戶與服務器間的雙方認證，而且，在涉及多方的電子交易中，SSL協議并不能協調各方間的安全傳輸和信任關系，因此，為了實現更加完善的電子交易，MasterCard和Visa以及其它一些業界廠商制訂并發布了SET協議。

SET(安全電子交易)協議的出現克服了SSL協議的缺陷，對商家和客戶兩方面的數據安全都給與了充分的考慮。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標準被公認為全球網際網絡的標準，其交易形態將成為未來“電子商務”的規范。

目前，在SSL協議及SET協議之上，不同實力的第三方支付企業亦選擇了實力雄厚的技術伙伴。以環迅支付為例，其于年前就與上海迅通科技有限公司達成協議，成為戰略合作伙伴關系，而上海迅通科技有限公司是GeoTrust中國地區的分銷商，全球著名認證中心VeriSign的全資子公司，為國內諸多的銀行及電子商務網站提供SSL證書服務。目前全球已經有150多個國家，超過10萬家企業正在使用GeoTrust數字證書，這也將最終成為環迅樹立支付行業技術壁壘的最大資本。

參考文獻:

[1]周曉:第三方支付主體的法律性質的思考[J].電子商務，2010，(02):47-49

[2]王開宇:電子支付:跨越“三重門”[J].中國計算機用戶，2010，(Z2):21

[3]王開宇:跨越“三重門”，攀登新高峰[J].電子商務，2010，(02):11

[4]張楷淳:Visa:防患于未然保障支付安全[J].中國信用卡，2010，(02):43-45