電子支付及其網絡安全

齊魯杰

摘要

隨著信息化和人們需求的變化，電子支付已經成了交易中的重要支付形式。在黨的十八大以后，我國在電子支付中已經取得了很大的成就，但是在發展中依然存在著網絡安全隱患。本文從電子支付的技術性層面和非技術性層面深入分析了電子支付存在的網絡隱患，從以上兩個方面提出了應對措施，促進我國電子支付健康、持續發展。

【關鍵詞】電子支付 網絡安全 技術策略 安全措施

電子支付主要是基于網絡為基礎，商務交易雙方主體通過便捷、安全的支付手段實現貨幣支付行為。我國的電子支付起源于1998年以借記卡為基礎實現網上銀行交易功能，經過30年的發展最終形成了各類銀行和商業支付共同發展的局面，各類網上支付服務機構利用自身優勢資源形成了現代化的支付體系。尤其是在黨的十八大以來，電子支付服務模式已經趨于成熟，實現了商家和消費者在相對安全的環境下進行在線支付。習近平總書記在黨的十九大報告中就守住金融防線，杜絕系統性金融風險爆發做出了明確的戰略部署，其中就互聯網金融和在線支付提出了新的要求，在2017年11月國家開始整頓網貸和網絡支付開始，我國電子支付在進一步規范運行中。因此，隨著時代的發展和人們需求增強，電子支付將成為未來支付的重要形式。但是在具體發展中，依然存在著一些安全隱患。

1 電子支付的優勢

2017年我國使用電子支付的總體情況來看主要呈現三個特點：一是“互聯網+移動APP"成為電子支付主戰場。已經深度的綁定了人們日常生活。這種模式繼打車、網購等個人消費的網絡支付場景外推動著向社會各領域發展。

通過數據和電子支付的特點可以得出電子支付主要具備以下幾個優點：

（1）電子支付更加切合時代發展的要求，符合電子商務發展的方向，打破傳統面對面的交易的局限性;

（2）方便快捷。一方面消費者可以實現24小時隨時隨地支付購買，避免了傳統交易中時間、空間的限制。另一方面消費者可以隨時查閱自己的支付情況和電子訂單，包括訂單扣款、退款情況，避免了傳統的必須經商家確定才能支付成功的情況。另外，交易主體間規避了大量金錢交易的風險和交易找零的情況發生;

（3）電子支付成本相對較低。主要體現在商家的運營成本和消費者時間成本上。商家可以減少運營中實體成本支出，同時消費者也可以節省時間，能夠更好的安排自身時間，實現網購不用出門就能實現交易;

（4）電子支付在一定程度上刺激消費。電子支付不是現金交易，僅僅是銀行數字的變化，在一定程度上能夠刺激消費，促進國民經濟發展。

2 電子支付存在的網絡隱患

電子支付存在的安全隱患非常多，本文將其歸結為技術安全隱患和非技術安全隱患兩類。

2.1 技術安全隱患

從技術層面上來講，電子支付存在的隱患主要在于網絡中的安全隱患。通過網絡可以完成交易靜態數據和動態數據的攻擊。一般來講，網絡攻擊者主要采取以下三種模式實現靜態數據攻擊：一是口令猜測的形式。通過數學中窮舉的方式形成消費者口令矩陣，采取逐一試驗的方式得到消費者或者商家口令，完成非法入侵交易系統的行為。二是IP地址欺騙的形式。攻擊者利用自身的IP地址，偽裝成發送信息IP地址的主機傳送信息咨詢和信息地址的形式，通過這種手段實現原IP地址信息冒用，他人信息被竊取，最終完成侵入網絡安全的行為。三是指定路由器的形式。經過發送者進行設計的目的地，經過這種路線的設計能夠有效的改變安全控制路由，實現非法侵入賬戶信息的路徑。

動態攻擊主要包括攻擊者實現網上交易中所有的傳遞信息監聽來獲取交易信息行為，通過直接獲取信息的形式達到破壞交易機密行為的目的。或者是攻擊者可以的修改、刪除、延遲等手段獲取交易數據流，通過中斷、篡改和偽造的形式完成交易信息獲取或者交易非法收入獲取的行為。

2.2 非技術安全隱患

非技術性安全隱患主要包括互聯網交易管理中的安全隱患和法律及時性的安全隱患兩方面。互聯網交易管理是否完善是降低電子支付安全隱患的重要保障，尤其是在網絡商品三方平臺交易的過程中，消費者直接進入交易中心，完成網絡上的交易合同構建，三方平臺交易中心不僅要監督消費者是否按時支付，還要監督賣方市場是否按照約定的合同保質、保量、按時的提供貨物。在這個環節的監管上，存在很多管理問題。例如：消費者按照約定合同按時支付，但是商家提供貨物質量問題的界定問題至今沒有明確。再者，商家發起系統退款的情形，退款到賬不及時的情形，直接影響了消費者利益，但是又沒有明確界定補償或者商家懲罰的規制。法律及時性的安全隱患是因為電子支付是建立在電子商務基礎上的，電子商務是超越時代發展速度，在具體運用中有很強的超前性，現代電子交易在人們生活中發揮著重要的作用，在促進生活發展、經濟增長中有著重要的意義。但是我們必須清醒的認識到，傳統的法律法規已經不適用于現代電子商務的發展，目前我國尚無明確針對電子支付的法律及統一的法律監管標準對整個互聯網的電子交易和具體風險進行有效監管，以至于針對電子交易中安全隱患的規制采取套用法律的形式來處理。

3 應對電子支付網絡隱患的措施

3.1 電子支付系統安全保障

加強電子支付系統安全保障是減小電子支付技術性安全隱患的重要手段，電子支付系統安全要求多方位、系統化的實現支付整個流程安全。從電子支付流程來看，支付系統安全保障主要包括：服務器本身安全、客戶端安全和信息數據交換安全三個方面內容。因此，必須加強技術性保障，從三個方面實現安全保障，從而形成統一的安全支付環境，確保客戶信息安全、交易信息完整。

3.1.1 服務器本身安全

服務器本身安全主要是保證交易系統安全，確保各交易環節安全防護到位，例如安全掃描系統、抗DDOS網絡攻擊設備和非法入侵IDS檢測設備等，通過優化更新的形式來應對新的支付漏洞帶來的安全交易隱患。具體從三個方面來控制。

（1）實現客戶數據安全儲存。通過數據備份、數據防磁化處理、數據訪問密級限制的形式確保數據信息安全，增強速度儲存抵御侵占的能力。

（2）交易過程中的安全保障。建議通過數據私有化處理，保證網上交易安全。數據私有化主要是運用交易雙方生物特性，實現僅能本人使用的交易目的。例如：數字簽名形式的使用，保證交易雙方數據私有性。商戶和消費者都必須實現銀行數字簽名，當商戶發往銀行交易時，由銀行驗證商戶身份，根據商戶的數字信息，信息的及時性和完整性等識別交易的有效性。這種情況在我們現在的交易中已經有所涉及，指紋密碼就是目前發展的趨勢。本文建議之后繼續加強指紋密碼開發，并且將開發的技術成果轉向面部識別系統、虹膜識別系統等更高端的數字密碼。對于目前還存在的免密支付應該加以規制或者取締，避免因為支付密碼的安全問題應發電子支付交易安全事故發生。

（3）建立交易數據監控系統。通過客戶交易行為和交易數據分析，實現交易行為數據挖掘，將每個客戶的交易行為和特征進行數據庫比對，發現異常行為必須通過客戶再次核對，傳輸備用密碼的形式確定交易。當然，具體實踐中必須根據安全風險監控的級別量化安全級別，差異化的對待監控中的風險，避免因為數據的問題增加客戶交易難度。

3.1.2 客戶端安全保障

這是由銀行或者三方網絡交易平臺提供的大額資金交易保障，包括動態密碼（銀行U盾）、USB Key、短信驗證、預留答案驗證等。其中動態密碼（銀行U盾）和USB Key屬于物理性的移動設備，在交易中安全系數很高。但是由于攜帶不便和人們自我意識較強，實際使用中很少有客戶選擇。其他的信息化、數字化的驗證被交易盜取的概率相對較大。因此，本文建議在大額交易中，必須采取移動物理設備安全保障的交易模式，超過一定額度的交易行為必須采取多種驗證方式相結合的形式，增強因網絡技術非法入侵和盜取的難度。

3.1.3 信息數據交換安全

數據信息交換中缺乏安全保障，必然導致交換過程中訂單信息甚至雙方交易密碼等關乎客戶信息的數據在Internet中傳輸被第三者非法讀取。所以在電子交易中任何存在在Web服務器中的數據都必須加強安全措施防護。建議在客戶向商家填寫訂單信息和實際支付過程中必須通過客戶電子購物軟件實現，商家根據消費者訂單信息核定訂單價格，具體的定價價格確認必須經過客戶所在的金融機構認定通過才能實現支付許可。其中，消費者和商家之間的交易信息必須經過雙向認定，進行數字化簽名核實。在核實的過程中采取雙重簽名技術實現發送文件Hash編碼加密，保證除了銀行以外其他人看不到消費者賬號信息。銀行通過自身的技術手段將文件解密，比對客戶信息，雙方信息一致才能完成最終交易。否者，極有可能在數據信息傳送中被三方監控、篡改。

另外，在電子支付中實現實名認證，通過交易雙方實名轉賬的形式，可以有效防控交易失誤造成的經濟損失。例如：微信和支付寶都實現了交易收款實名認證，有效的防范了網絡欺詐行為。通過資金三方存管的模式實現資金安全，將電子交易資金存入三方平臺，利用平臺和保險相結合的形式確保交易資金安全。總的來講，實現技術性保障需要從交易的整個流程實現交易保障，確保交易雙方數據信息安全。

3.2 非技術層面安全保障

3.2.1 建立多層次的互聯網交易監管體系

（1）建立監管評估體系。當前我國已經對不同類型的金融服務開展的評級制度，例如銀監會對銀行的CAMELS評級體系、人民銀行建立的征信系統、銀行針對客戶建立的IRS評價體系等。但是對互聯網金融機構尚未進行評級評估，其經營范圍和信用情況難以把控。對此，建立行之有效的監管評估體系是我國互聯網金融電子支付安全控制的當務之急。本文認為互聯網金融監管必須建立機構準入的基礎上，將各分支機構的具體評估方式納入評估考核中。針對互聯網金融機構的法人機構采取年度評估方式和經營評估方式相結合的方式進行權重量化，從而分為多個風險等級評估的方式評估改機構的運行整體狀況。深入的結合分支機構和關鍵部門的合規經營狀況進行具體量化，確立評定等級，確定網上商家交易信用等級，保證消費者網上支付安全。

（2）加強現場監管檢查。政府及其監管部門針對互聯網金融機構的監管最理想的監管組合方式是從非市場監管方向來發現問題及目標，現場檢查取證并且查出問題所在，實現電子交易風險防控。我國現階段針對傳統金融行業的現場監管已經趨向成熟，但是對于互聯網金融機構的現場監管所需要注重的基本內容限于網上銀行、網上交易的真實性等，目前針對這類型的監管手段比較落后。對此，以傳統金融的現場監管為鑒，按照年度定制現場監管檢查規劃和目標，采取定期和不定期相結合，全面檢查和樣本抽查的方式開展現場檢查。現場檢查的時限可以以檢查問題的前后時限延伸，監管部門對互聯網金融機構的現場監管檢查中所發現的安全問題，必須要求強行整改并且反饋整改效果，問題嚴重的應該依照相關的法律法規實行強制性的行政處罰。監管部門還應該針對后續整改措施執行嚴格的嚴查和后續的制約，例如在檢查中發現的問題數量和大小作為被監管機構的市場準入條件和業務經營范圍等。通過限制性的方式促進互聯網金融機構不敢逾越法律的鴻溝，觸碰交易風險的底線。

（3）強化行業自律和監管的協調性。作為互聯網金融監管風險的補充，牽掛行業自律來防范金融風險至關重要。與剛性的政府監管相互相成，運用行業自律的靈活性，可以實現高效率的監管體系，達到行業自覺和行業間的良性競爭。促進行業內部實現財務的內部控制，自主的尋找行業發展方向和目標。我國互聯網金融行業的領頭企業應該具備相應的擔當和責任意識，發揮牽頭作用，歸集機構中的行業代表協商制定行業中的自律標準，從行業內部開始建立自律和自治的相關監管機制。特別是當前的科學信息技術滯后于監管的現狀，更有必要通過行業內部來協調防控科技的風險。目前我國已經成立的中關村互聯網金融行業協會和網絡信貸服務企業聯盟等，在行業內部自律和科技監管方面已經走在了政府監管的前列，在制定我國互聯網金融監管和發展規則方面提供了有效的標準，并且充分發揮聯盟的作用，很大程度上促進了互聯網金融行業的健康綠色發展。

3.2.2 完善互聯網電子交易法律體系

（1）我國人大立法明確電子支付相關法律。針對目前尚未形成健全的法律規范和引導行為現狀，我國人大應該加快電子支付立法，約束互聯網交易行為，調整電子支付中交易行為和監管行為。

（2）行政立法中必須明確互聯網金融機構的主體地位和經營范圍。針對我國現階段法律在規范互聯網交易行為不明確的現狀，必須通過行政立法的形式規范交易行為中的退款、質量和安全行為，明確互聯網金融交易和交易雙方的權利義務，不能賦予了充分的法律肯定，還能實現交易風險監管源頭控制。

（3）建立健全監管法規細則。明確法律加強互聯網電子支付風險監管，我國的政府及其相關的監管部門可以通過政府立法的形式，修改現有法律法規在監管中存在的政策和法規漏洞，跟進電子商務發展進程，適時修訂、完善相關細則，確保電子支付有章可循、有法可依。

4 結語

電子支付安全問題是制約電子商務發展，阻礙社會主義市場經濟發展的重要形式，有效的解決電子支付中資金安全和信息安全問題，不僅能夠促進電子商務的發展，為客戶雙方提供安全、便捷的支付形式，還能促進社會主義經濟持續發展，利用交易的現代化實現經濟現代化發展。

參考文獻

[1]南湘浩，陳鐘.網絡安全技術概論[M].北京國防工業出版社，2003.

[2]孫會巖.習近平網絡安全思想論析[J].黨的文獻，2018（01）：25-32.

[3]劉劍，蘇璞春，楊珉等.軟件與網絡安全研究綜述[J].軟件學報，2018（01）：42-68.