第三方支付信息安全保障策略研究

刁宇亮

摘 要：第三方安全支付的信息安全保障策略是一個安全體系構建的問題，僅僅解決技術因素和問題是難以成型的。第三方支付機構可以從系統安全、信息安全、法律建設和道德約束角度去思考完善第三方支付信息安全保障，構筑完善的保障措施和對策。

關鍵詞：第三方支付；信息安全；保障策略

第三方支付的安全性和穩妥性直接關系到互聯網金融的健康發展，對新時期的金融體系和經濟體系都有直接的影響，構筑第三方支付信息安全保障措施是必須且必要的。只有電子商務交易各方均感受到支付的安全性之后，電商的發展才能如火如荼進行。

一、系統安全研究

第三方支付信息安全保障首先需要從系統安全著手開始，在實體安全和系統運行安全方面進行制度建設和保障措施運行。

首先，要開展實體安全保護。第三方支付是和多個商家與銀行系統聯結在一起的，基本設備的安全保障成為基礎環節和關鍵一環，為系統安全運作奠定良好的基礎。實體安全保護需要對計算機設備、網絡設施和其他媒體配備進行保護，避免其遭受到火災、水災、污染和有害氣體等事故的破壞。其一，要保障環境安全。在實體安全中、所指的環境主要是指電子商務系統所在的外部環境，環境安全保護應該具備受災報警、受災保護、受災恢復等功能，使得電子商務系統受到水、火、地震、雷擊和靜電危害的可能性降到最低。在電子商務系統的特定區域內，還要提供某種形式的隔離措施和保護措施，使得電子商務系統能夠妥善運行。其二，要保障設備安全。在電子商務中，對第三方系統的設備進行防盜、防毀、防電磁信息泄露的保護是很重要的，需要實時監測線路運行狀況，避免電磁干擾并進行電源保護。

其次，要對系統運行安全進行保障。電子商務開展的過程中，首先要做的就是第三方支付風險分析，對系統中潛在的安全風險進行防范，動態地檢測、跟蹤和和記錄商業活動狀態，對系統運行初期的安全漏洞進行掃描。在系統運行一段時期之后，要對系統脆弱性進行分析報告提交；跟蹤審計在第三方支付中也具有至關重要的作用，系統可以進行人工審計也可以進行自動審計，對審計記錄和審計日志進行詳盡和完整的保護；第三方支付系統應當具備備份和恢復功能，各個單位可以運功磁介質、紙介質、光碟和縮微載體等多種形式進行數據備份和恢復。

二、信息安全

信息安全主要保障的是用戶的信息財產不被故意或者偶然的更改、破壞、控制和辨認，杜絕信息被非授權泄露的可能性。

首先，要保障操作系統安全。各單位需要有效地控制電子商務系統的軟硬件設施，使得管理的資源能夠得到一定程度的保護。其次，要保障數據庫安全。各單位可以通過安全機制和操作系統的結合來實現對數據庫信息和相關資源的保護。再次，要保障網絡安全。在信息安全中所涉及到的網絡安全，主要是指對網絡服務和網絡資源的安全保護，在相關技術和管理措施的加持下保障網絡的正常運行，使得網絡中數據的完整性、實用性和機密性得到保護，安全保護和網絡安全管理息息相關。最后，要進行計算機病毒防護。計算機在本質上是一種指令或者程序代碼，它在編制代碼或者安裝計算機程序的時候插入，能夠破壞計算機數據和電腦正常運行，具有較強的破壞力。電子商務中需要建立系統保護機制進行病毒的檢測、預防和消除。

三、構筑健全的法律法規體系

第三方支付要實現規范化管理就必須解決第三方支付的法律地位問題，為第三方支付提供合法的金融機構地位，為相關交易糾紛提供強有力的法律處理依據。

第一，要保障第三方支付法律的法律地位。第三方支付中最為主要的一個問題就是法律地位問題，政府應當針對第三方支付出臺相關的法律法規，并進行產業政策體系融入。當前的《非金融機構支付服務管理辦法》雖然在行業準入管理上具有一定的優勢，但是其終歸不是完善的法律體系，對第三方支付機構的約束力和權威性都較差。筆者認為應當盡快地出臺和第三方支付相關的法律法規體系。

第二，要進行妥善的第三方支付監管。用戶在將資金交付給第三方支付機構后，到最終確認收貨之時存在著一定的時間差，所以這筆資金會在第三方支付賬號上沉淀一段時期，如果缺乏有效的監管，第三方支付是否會挪用這筆資金是難以保證的。因此，國家應該出臺一系列的監管政策保障用戶的資金安全和第三方支付機構的運行規范。

第三，要妥善地處理法律糾紛。第三方支付交易涉及到銀行、商家、用戶和認證中心等多個對象，第三方支付交易的過程中不可避免地會涉及到一些資金交易問題，這些問題如果不妥善解決可能就會出現資金被盜和資金泄露問題。比如用戶在交易過程中，由于商家發貨過慢導致資金在系統規定的時間內被劃撥到商家賬戶時，如果商家存在信譽存在缺陷的商家，那么買家損失的資金將由誰來賠付呢？國家在這方面還沒專門的法律來保障。筆者認為理論研究學者應當在綜合考慮消費者權益保護法》、《個人隱私權保護法》、《商業秘密保護法》、《合同法》、《票據法》的基礎上，構筑完善和健全的電子商務管理和服務系統，對電子合同、商業秘密、個人隱私、商業秘密、消費者權益保護制度等進行完善的規定。

四、進行道德約束

道德規范是一種約定俗成的標準，是一種明文規定的行為規范，網絡道德規范因此是對網絡主體進行網絡活動所遵循的一種約定俗成的規范。在構筑第三方支付安全環境之時，必須重視網絡道德規范的建設，和諧的第三方制度環境屬于安全保障制度的外在措施，網絡道德規范則可以在內部形成一道堅強的保障防線。筆者認為未來遏制計算機犯罪活動僅僅通過常規的立法程序和技術手段是難以實現，最為根本的方法是進行道德觀和人生價值觀的塑造。

網絡道德禮儀是一個完整的體系，包含網絡禮儀、網絡道德、網絡規范等內容在內。網絡禮儀是網絡交易中需要遵守的基本行為標準和規范，網絡道德是度網絡禮儀和網絡規范的高度抽象，網絡規范則是最高層的行為準則體現。筆者認為我國第三方支付機構道德構建可以借助國外先進經驗，美國的“計算機倫理十戒”就是我們可以借鑒的代表。

參考文獻：

[1]楊英梅.我國電子商務的安全問題及安全的環境構建[J].中國商貿，2010（2）

[2]郭曉武.網絡第三方遭遇木馬威脅[J].信息網絡安全，2007（10）

[3]黃海華.論電子商務中第三方支付的安全性[J].商場現代化，2008（4）endprint