第三方支付系統安全問題探析

薛安松

（徐州工程學院 經濟學院 電子商務教研室，江蘇 徐州 221008）

第三方支付系統安全問題探析

薛安松

（徐州工程學院 經濟學院 電子商務教研室，江蘇 徐州 221008）

隨著互聯網和電子商務的快速發(fā)展，第三方支付業(yè)務不斷發(fā)展壯大，豐富了人們的支付方式和體驗，同時，也必然帶來諸多的風險與安全問題，這些問題會阻礙其自身的進一步發(fā)展，給人們的交易帶來隱憂。文章對這些安全問題與風險進行了分析并提出針對性的意見與建議。

第三方支付；安全技術；交易系統

1　第三方支付的發(fā)展現狀

第三方支付是指具備一定實力和信譽保障的第三方獨立機構提供的交易支持平臺，它以互聯網為技術基礎，與各大銀行簽訂協議，為網上商家和銀行建立起了互聯關系，同時起到監(jiān)管和保障作用。第三方支付目前是電子支付體系的重要組成部分，作為實現資金流信息化的重要途徑，能夠有效提高資金流動的效率和降低資金流動的成本。2010年6月頒布的《非金融機構支付服務管理辦法》明確了第三方支付的合法地位，將其界定為非金融機構支付業(yè)務，也實現了對第三方支付領域的有效監(jiān)管，有利于第三方支付業(yè)務的健康、穩(wěn)定發(fā)展。

2　第三方支付存在的安全性問題分析

2.1沉淀資金缺乏監(jiān)管

沉淀資金包括在途資金和支付工具吸存資金，在途資金指交易確認后資金完成結算前尚未到達賣方前的狀態(tài)。支付工具吸存資金指買方在第三方支付平臺的虛擬賬戶中留存的這部分資金。這些沉淀資金由第三方支付平臺實際控制，沉淀資金是否被挪用，完全基于第三方支付平臺的信用?！吨Ц稒C構客戶備付金存管辦法》的出臺一定程度上限制了沉淀資金的風險但實際監(jiān)管過程中仍有不足。

2.2信用卡無成本套現以及洗錢風險

第三方支付只為交易提供技術支持，無法保證交易的真實性。不法分子通過網絡購物支付平臺進行虛擬交易來實現信用卡套現，而且無需為此支付提現成本，違反了信用卡使用的規(guī)定，增加了銀行信用卡業(yè)務風險。此外，不法分子還可以通過設立多賬戶利用虛假商品交易將不法資金轉變?yōu)樯唐方灰椎恼斒杖?，實現從違法到合法的轉移。

2.3安全技術的不完善

（1）支付密碼技術漏洞造成的安全性問題。一般第三方支付平臺采用支付密碼和登錄密碼不同的雙密碼制度，但用戶往往采用固定密碼比如生日等形式，在傳輸過程中一旦被攻擊者截獲破解，就可以輕易地登錄電子商務網站進行消費，一旦造成重大經濟損失，由此而帶來的負面影響不可估量。而實際上，攻擊者實現如上破解難度并不太大，比如誘導用戶登陸釣魚網站或利用遠程登錄、遠程控制和記錄鍵盤等木馬技術。第三方支付平臺支付密碼技術漏洞造成的安全隱患如表1所示。

表1　第三方支付平臺支付密碼技術漏洞安全隱患

（2）數據傳遞存儲造成的安全性問題。由于第三方平臺的開放性和系統的設計存在的一些缺陷，一旦交易的主數據服務器遭受攻擊破壞，存儲和傳遞的交易數據被惡意截取、篡改，這些都會造成極大的破壞。此外，某些支付平臺為了減少成本造價或給客戶一種一站式服務的姿態(tài)，在設計上采取簡單化手段，不再需要跳至網絡銀行支付的網頁，用戶只要支付平臺網站輸入賬號密碼就可實現支付，從而引發(fā)客戶資料外泄的安全問題。

3　第三方支付平臺的安全對策及建議

3.1加強對沉淀資金安全管理

明確銀行對支付機構的監(jiān)督責任，出臺操作細則，嚴格分離支付機構自有賬戶與沉淀資金的賬戶，建立并實行定期公布及沉淀資金的保證金信用制度，即銀行開立專用賬戶對第三方支付商賬戶里的交易資金進行托管 第三方支付平臺必須向銀行交納一定比例的保證金才能維護這部分資金的交易安全，以保證客戶即使在公司破產的情況下也能贖回賬戶里的資金。

3.2采用可靠的信息安全技術保障交易

（1）保障底層安全。為保證交易數據流的安全性、保密性和完整性，則必須使用相關的加密算法對資金流數據進行加密，防止未被授權的非法第三者獲取數據的真正含義。如采用 DES私有密鑰加密法、RSA公開密鑰加密法、數字信封等保密手段。并使用如數字指紋算法等方法確認資金流信息（如支付指令）的完整性。傳輸時采用SSL協議，客戶機和服務器交換信息前都必須構建安全通道，所有交易非交易信息都經過加密傳輸，從而增加攻擊和破解的難度級數。

（2）盡量采用安全技術等級高的產品。交易系統往往提供幾種安全級別的產品，除了使用交易密碼技術和手機動態(tài)口令外，還有必要使用較高等級的諸如寶令技術、U盾及電子動態(tài)口令等產品。推薦采用U盾或和銀行U盾來綁定賬戶以保護用戶安全，目前有不少第三方支付為了保護用戶賬戶安全，已經提供不少類似于銀行網銀U盾這樣的工具，既方便了用戶又保證了用戶的使用安全，還有的第三方支付平臺和銀行加強合作，銀行的U盾即可用來登錄管理第三方支付平臺的賬戶。

（3）客戶交易時必須安裝數字證書保障賬戶安全。第三方支付平臺大多推薦使用數字證書，即使用戶發(fā)送的信息在網上被他人截獲，甚至丟失了個人的賬戶密碼等信息，仍可以保證用戶的賬戶資金安全。

4　結語

電子商務的飛速發(fā)展帶動了網絡支付的飛速發(fā)展，為保障交易的安全性，就需要專業(yè)的支付安全服務公司、完善的支付安全技術標準，并建立網絡支付安全評價體系和準入機制。一方面，需要政府在政策、法律法規(guī)方面作出嚴格的規(guī)定和監(jiān)管，另一方面要求第三方支付平臺廠商完善自己的安全管理措施，合理化自己的安全方案，以提供技術先進、安全可靠的產品，盡量避免安全漏洞。此外，也要求廣大用戶在使用第三方支付平臺進行支付的過程中，注意交易的安全，在可能的前提下，盡量選擇信譽度高、安全性高的支付平臺，以保障自己順利完成網上交易。未來，隨著計算機網絡安全技術的快速發(fā)展，必將使第三方支付平臺的服務價值一再提升，從而使人們在進行交易時對其安全性的疑慮降到最低。

[1]李雁.第三方支付的監(jiān)管和發(fā)展[J].中國金融，2013（23）：84-86.

[2]孟昱辰.電子化背景下銀行機構和支付機構的支付服務比較研究[D].開封：河南大學，2014.

[3]喬喬.我國第三方支付的發(fā)展歷程、現狀與趨勢研究[D].大連：遼寧師范大學，2014.

Analysis on the security problems of third party payment system

Xue Ansong （Electronic Commerce Teaching and Research Section in Economics School of Xuzhou University of Technology, Xuzhou 221008, China）

With the rapid development of Internet and e-commerce, third party payment services continue to grow and develop, which enriches people's experience and methods of payment, at the same time, it also inevitably brings about risk and safety problems, these problems will hinder the further development of its own,which has brought people potential worries for their transaction.In this paper, the security problems and risks are analyzed and some suggestions are put forward.

third party payment; security technology; transaction system

薛安松（1971— ），男，江蘇徐州，本科，講師；研究方向：計算機應用。