第三方支付信息安全保障策略研究

問題，技術不應該作為惟一的因素，應該從系統安全保障，信息安全保障、法律體系建設、道德約束機制，以及第三方企業內部管理制度等方面加以建設。

[關鍵詞] 第三方支付安全加密數字證書法律道德

隨著我國40多家第三方支付獲得《非金融機構業務許可證》的大好時機下，有關第三方支付的問題，更多的關注到了它的盈利，競爭，合作與發展，以及業務推廣方面，但是對于其作為一個新的金融從業者，我們更應該關注有關它的信息安全問題，以及基本的保障措施。從而給用戶提供一個安全可靠的網絡環境。

這個安全問題涉及到第三方支付系統安全，信息傳輸安全，法律規范問題，道德約束問題，以及內部管理制度等。

一、系統安全

系統安全可以從實體安全保障，以及系統運行安全保障兩個方面來考慮。

1.實體安全保障

實體安全，是指保護計算機設備、設施（含網絡），以及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故（如電磁污染等）破壞的措施過程。第三方支付聯結了多個商家，用戶，以及銀行系統，所以，首先得保障其基本的設備安全，從而能使系統正常的運作。

（1）環境安全。實體安全中的環境，就是要對電子商務系統所在的環境實施安全保護，主要包括受災的防護和區域的防護。受災的防護就是系統要具有受災報警、受災保護和受災恢復等功能，目的是保護電子商務系統免受水、火、有害氣體、地震、雷擊和靜電的危害。區域防護就是要對特定區域提供某種形式的保護和隔離措施。

(2）設備安全。設備安全是指對第三方系統的設備進行安全保護，主要包括設備的防盜和防毀，防止電磁信息泄露，防止線路截獲，抗電磁干擾以及電源保護。

（3）媒體安全。媒體安全是指對媒體數據和媒體本身實施安全保護。媒體數據的安全主要是要提供對媒體數據的保護，實施對媒體數據的安全刪除和媒體的安全銷毀，目的是為了防止被刪除或者被銷毀的敏感數據被他人恢復。

2.系統運行安全保障

運行安全是指保障第三方支付系統功能的安全實現，提供一套安全措施保護信息處理過程的安全。它主要由四個部分組成：（1）風險分析；（2）審計跟蹤；（3）備份和恢復；（4）應急。

（1）風險分析。運行安全中的風險分析，就是要對第三方支付系統進行人工或自動的風險分析。首先要對系統進行靜態的分析，旨在發現系統的潛在安全隱患；其次是要對系統進行動態的分析，即在系統運行過程中測試、跟蹤并記錄其活動，旨在發現系統運行期的安全漏洞；最后是系統運行后的分析，并提供相應的系統脆弱性分析報告。

（2）審計跟蹤。運行安全中的審計跟蹤，就是要對第三方支付系統進行人工或自動的審計跟蹤、保存審計記錄和維護詳盡的審計日志。

（3）備份和恢復。運行安全中的備份和恢復，就是要提供對系統設備和系統數據的備份和恢復。對數據進行備份和恢復所使用的介質可以是磁介質、紙介質、光碟、縮微載體等。

（4）應急。運行安全中的應急措施，就是要提供在緊急事件或安全事故發生時，保障電子商務系統繼續運行或緊急恢復所需要的策略。

二、信息安全

信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨認、控制。

1.操作系統安全

信息安全中的操作系統安全，是指要對電子商務系統的硬件和軟件資源實行有效控制，為所管理的資源提供相應的安全保護。

2.數據庫安全

信息安全中的數據庫安全，是指對數據庫系統所管理的數據和資源提供保護，一般采用多種安全機制與操作系統相結合，來實現數據庫的安全保護。

3.網絡安全

信息安全中的網絡安全，是指提供訪問網絡資源年或使用網絡服務的安全保護。即通過采用各種技術和管理措施，使網絡正常運行，確保網絡中數據的可用性、完整性和保密性。它涉及網絡安全管理

4.計算機病毒防護

所謂計算機病毒，是指編制或在計算機程序中插入的破壞計算機功能或毀壞數據、影響計算機使用、并能自我復制的一組計算機指令或程序代碼。信息安全中計算機病毒的防護，即通過建立系統保護機制，來預防、檢測和消除病毒。

5.訪問控制

所謂訪問控制，是對主體訪問客體的權限或能力的限制，以及限制進入物理區域和限制使用計算機系統和計算機存儲數據的過程。信息安全中的訪問控制，是保證系統外部用戶或內部用戶對系統資源的訪問以及對敏感信息訪問方式符合組織安全策略。

6.加密

信息安全中的加密主要涉及數據的加密和密鑰的管理。

7.鑒別

信息安全中的鑒別，主要提供身份鑒別和信息鑒別。身份鑒別是提供對信息收發方真實身份的鑒別。信息鑒別則是提供對信息的正確性、完整性和不可否認性的鑒別。

三、法律法規體系建設保障

這主要包括第三方支付的法律地位問題，第三方監管，以及第三方支付作為一個許可的金融機構對其交易所產生的糾紛的法律解決問題。

1.法律地位

法律地位一直是困惑第三方支付的一個主要問題，政府應該建立與第三方相適應的法律法規體系及產業政策體系，促進我國第三方產業鏈的發展。2010年6月，中國人民銀行發布了《非金融機構支付服務管理辦法》，明確規定非金融機構應當取得支付業務許可證，成為支付機構，依法接受中國人民銀行的監督管理。2011年5月26日，）中國人民銀行向國內27家第三方支付企業頒發了首批《支付業務許可證》，其中，財付通、支付寶、快錢等27家第三方支付公司已拿到了支付業務牌照。

2.第三方監管

用戶給第三方支付支付交易資金后，由于商家送貨到用戶確認之間有段時間，所以這批資金是沉淀在第三方支付的賬號上的，這筆資金第三方支付是否拿來做其他事情，如果沒有一定的監管機制的建立，有可能回出現資金挪用，以及資金流失等情況，所以給用戶會造成一定的麻煩，因此國家可以通過一定的監管機制在保證資金的安全。

3.法律糾紛

基于第三方支付的交易涉及到多方參與者：用戶，商家、銀行，認證中心等，在第三方進行交易的時候一旦出現一些資金交易問題，比如，用戶通過第三方支付平臺支付賬號丟失造成資金被盜，用戶在交易過程中，由于商家乏貨遲緩，造成資金在規定的期限內自動付款到商家賬戶，但是用戶恰巧遇到此商家為騙子商家，那么這筆錢款到底應該由誰來賠付？目前來將，我們國家在這方面還沒有特殊的法律來保障，現有的《消費者權益保護法》、《個人隱私權保護法》、《商業秘密保護法》、《合同法》、《票據法》等法律，研究、制定、實踐并完善相應網絡消費者權益保護、網絡個人隱私、網絡企業商業秘密、電子合同、電子發票、網絡市場主體管理與服務、網絡市場信息管理與服務、網絡信用信息管理與服務等法規或暫行管理條例。

四、道德約束的保障

網絡道德規范是約定俗成或明文規定的行為標準，是網絡主體進行網絡活動所要遵守的。規矩”。安全的第三方支付重在網絡道德規范的建設，前面的措施是建設和諧的第三方制服環境的外在措施，網絡道德規范則是一種內在的防線，正如吉恩·史蒂芬斯在《計算機領域中的犯罪》中指出的那樣：“展望未來，要通過技術和常規的立法程序去遏制信息空間的犯罪活動困難重重。最根本的解決辦法只有一條，那就是道德與人生價值觀。”

網絡道德體系是包括網絡禮儀、網絡規范、網絡道德原則在內的完整系統，網絡禮儀是基本行為的格式和標準，網絡規范是高層次的行為準則，網絡道德原則是抽象度最高的行為標準和要求。對于網絡行為的一般規范，國外已有一些成熟的東西，如美國計算機倫理協會制定的“計算機倫理十戒”就很有代表性。我們可以借鑒外國這些成熟的東西進行網絡行為教育。

五、第三方支付企業內部管理制度的保障

第三方支付安全管理制度是用文字形式對各項安全要求所作的規定，它是保證企業取得成功的重要基礎工作，是第三方支付企業人員安全工作的規范和準則。

1.保密制度

企業可以規定自己內部的保密制度，包括絕密級：網址、密碼不在因特網上公開，只限高層管理人員掌握；機密級：只限公司中層管理人員以上使用；秘密級：在因特網上公開，供消費者瀏覽，但必須防止黑客侵入等。

2.網絡系統的日常維護制度

為保障系統安全運行，企業應該規定日常維護制度，包括：硬件的日常管理和維護、軟件的日常維護和管理、）數據備份制度，以及用戶管理等方面的。

3.病毒防范制度

第三方支付企業面臨的很多危險很大程度上是由于病毒，以及木馬程序所造成，所以從第三方企業內部在防病毒方面應該有常規的規定，包括：給電腦安裝防病毒軟件，不打開陌生電子郵件、認真執行病毒定期清理制度、控制權限、）高度警惕網絡陷阱等。

4.應急措施

作為內部知道，也應該具備一些突發事件的處理能力，包括硬件恢復、數據恢復、瞬時復制技術等。

參考文獻：

[1]楊英梅.我國電子商務的安全問題及安全的環境構建[J].中國商貿，2010（2）

[2]郭曉武.網絡第三方遭遇木馬威脅[J].信息網絡安全，2007（10）

[3]黃海華.論電子商務中第三方支付的安全性[J].商場現代化，2008（4）