網(wǎng)上支付的安全風(fēng)險(xiǎn)與對策研究

李俊良

摘要：信息化建設(shè)在各行各業(yè)的全面推進(jìn)使得網(wǎng)上支付成為現(xiàn)今信息社會(huì)一種重要的支付渠道，極大地方便了人們的工作和生活。但同時(shí)，網(wǎng)上支付的安全事件也大量涌現(xiàn)。本文分析網(wǎng)上支付的一般過程及可能存在的身份假冒、交易數(shù)據(jù)泄露與篡改、商家欺詐等風(fēng)險(xiǎn)，進(jìn)而從技術(shù)和管理兩方面提出安全對策，防止因網(wǎng)上支付造成用戶的財(cái)產(chǎn)損失和個(gè)人信息泄露。

關(guān)鍵詞：網(wǎng)上支付 電信詐騙 手機(jī)木馬

中圖分類號： TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）12-0193-02

隨著信息技術(shù)的飛速發(fā)展，以及人們對工作、學(xué)習(xí)、娛樂、消費(fèi)的便捷性要求越來越高，各種信息技術(shù)產(chǎn)品層出不窮。尤其是因特網(wǎng)普及后，消費(fèi)者和服務(wù)商之間面對面的交易不再是必須，網(wǎng)上支付帶來了極大的便捷性，交易各方利用銀行所支持的數(shù)字金融工具，通過因特網(wǎng)進(jìn)行交融交換，實(shí)現(xiàn)用戶到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等過程，為電子商務(wù)和其他服務(wù)提供金融支持[1]。

現(xiàn)金轉(zhuǎn)帳、購物支付、網(wǎng)上繳費(fèi)等網(wǎng)上支付業(yè)務(wù)極大地方便了人們的生活和工作，這種新穎快捷的支付方式被越來越多的消費(fèi)者接受。足不出戶，就可以實(shí)現(xiàn)輕松生活，網(wǎng)上支付成為許多人日常生活不可缺少的支付方式。

但與此同時(shí)，網(wǎng)上支付的安全事件不時(shí)發(fā)生，給用戶造成了或多或少的財(cái)產(chǎn)損失和大量的個(gè)人信息泄露，令人們在使用網(wǎng)上支付時(shí)難以真正放心。

1 網(wǎng)上支付過程

通過分析網(wǎng)上交易參與各方的活動(dòng)，網(wǎng)上支付的組成要素有：因特網(wǎng)（Internet），客戶，商家，開戶銀行，支付網(wǎng)關(guān)，銀行網(wǎng)絡(luò)，認(rèn)證中心。其工作流程如圖1所示?？蛻敉ㄟ^個(gè)人計(jì)算機(jī)或者移動(dòng)終端訪問商戶的網(wǎng)站，登錄時(shí)與認(rèn)證中心交互，取得自己的個(gè)人信息用于身份鑒別；客戶選擇商品或服務(wù)后，確認(rèn)下單，其信息及購物款項(xiàng)信息就會(huì)被加密發(fā)送到支付網(wǎng)關(guān)，支付網(wǎng)關(guān)與客戶的購物支付卡發(fā)卡銀行通信，驗(yàn)證其合法性；通過后，確認(rèn)支付和購物交易合法有效；其后，物流將商品送至客戶處，客戶確認(rèn)收貨后，交易完成。

目前，網(wǎng)上支付方式包括通過網(wǎng)上銀行進(jìn)行的轉(zhuǎn)賬支付（即銀行網(wǎng)關(guān)模式）、通過第三方平臺完成的支付（即第三方支付平臺模式）[2]，銀聯(lián)模式和電子現(xiàn)金等。其工作原理分別如下：

（1）銀行網(wǎng)關(guān)模式：商家與銀行簽約，其網(wǎng)站平臺直接鏈接到銀行網(wǎng)銀系統(tǒng)，客戶購物交費(fèi)實(shí)際上就是將現(xiàn)金直接轉(zhuǎn)帳到商家。

（2）第三方支付平臺模式：電子商務(wù)平臺先鏈接到第三方支付平臺，支付平臺再和銀行鏈接而完成支付手段的一種方式。我國的第三方支付行業(yè)發(fā)展迅猛，有獨(dú)立的支付企業(yè)諸如快錢、易寶、首信易等，而作為電子商務(wù)平臺延伸的在線支付工具如淘寶的支付寶、騰訊的財(cái)付通、百度的百付寶等[3]。

（3）銀聯(lián)模式：在銀聯(lián)在線支付的網(wǎng)站完成的支付模式。

（4）電子現(xiàn)金。在支付機(jī)構(gòu)注冊虛擬賬戶，通過向虛擬賬戶充值進(jìn)行相關(guān)支付業(yè)務(wù)，如購買游戲幣、QQ幣等。

這些支付模式既可以通過PC機(jī)支付，也可以通過手機(jī)、平板等移動(dòng)智能終端完成。分析網(wǎng)上支付過程和支付形式，客戶端、網(wǎng)絡(luò)協(xié)議、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、支付網(wǎng)關(guān)等處都可能存在風(fēng)險(xiǎn)。網(wǎng)絡(luò)支付安全是一個(gè)系統(tǒng)工程，需要銀行、支付機(jī)構(gòu)、安全廠商、商戶、網(wǎng)絡(luò)管理部門以及消費(fèi)者共同努力。

從目前網(wǎng)絡(luò)支付的發(fā)展水平和出現(xiàn)的網(wǎng)絡(luò)支付案例來看，各個(gè)銀行針對網(wǎng)上支付采用的安全技術(shù)和手段（如一次性口令、USB KEY、短信驗(yàn)證碼等）都較成熟，達(dá)到了很高的安全性。而網(wǎng)上支付安全事件的發(fā)生在大多數(shù)情況是用戶安全防范意識薄弱和相應(yīng)的安全技能不足所致。下面列出網(wǎng)上支付可能存在的一些風(fēng)險(xiǎn)。

3 網(wǎng)上支付的風(fēng)險(xiǎn)分析

3.1 用戶的身份冒充

這種攻擊基于用戶身份信息被盜用。攻擊者通過非法手段（如植入木馬、釣魚等）盜取合法用戶的身份信息，仿冒其身份進(jìn)行轉(zhuǎn)帳或與他人交易，或?qū)嵤┰p騙以獲得非法利益。

已發(fā)生的諸多案例都表明，國內(nèi)很多網(wǎng)站都存儲了用戶的基本信息（包括姓名、銀行卡號等），但其都或多或少存在安全漏洞，容易被入侵而導(dǎo)致大量完整的用戶信息被泄露。國內(nèi)外都有復(fù)制信用卡，盜刷的事件報(bào)道。除此之外，電信詐騙、二維碼含惡意鏈接、釣魚網(wǎng)站、手機(jī)木馬等威脅也會(huì)造成大量銀行卡信息的泄露。而目前正在快速發(fā)展的很多帶有閃付功能的銀行卡，還能在近距離非接觸的情況下通過特定終端讀取用戶信息，這種讀取方式靜默，很難發(fā)現(xiàn)。

3.2 敏感數(shù)據(jù)泄露

網(wǎng)上支付的敏感數(shù)據(jù)一般包括個(gè)人信息（姓名、銀行卡號、通信地址等）和購物信息（商品名稱、價(jià)格、數(shù)量、購買時(shí)間等）。這些數(shù)據(jù)有可能在傳輸中泄漏、丟失或被篡改，如攻擊者利用電磁泄漏或搭線竊聽等方式截獲還原傳輸?shù)倪@些敏感信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，探測和分析有用信息。

3.3 交易數(shù)據(jù)篡改

攻擊者通過在客戶的計(jì)算機(jī)上植入木馬、制作釣魚網(wǎng)頁或截獲傳輸中的信息，篡改其交易數(shù)據(jù)，如修改消息次序、時(shí)間、數(shù)量、金額，注入偽造消息、重放交易等，使信息失去真實(shí)性和完整性。

3.4 商家假冒或欺詐

商家被別人假冒，提供假貨或者收到付款后抵賴交易。

4 網(wǎng)上支付的安全對策

為加強(qiáng)網(wǎng)上支付的安全，需參與各方從技術(shù)和管理兩方面同時(shí)著手，在技術(shù)上提高安全性，同時(shí)在規(guī)范管理上防范非法行為。技術(shù)上包括：

4.1 個(gè)人計(jì)算機(jī)或移動(dòng)終端安全

一般來說，作為公共基礎(chǔ)設(shè)施的支付網(wǎng)關(guān)和電子商務(wù)網(wǎng)站等的安全性都是較高的。而個(gè)人使用的計(jì)算機(jī)和移動(dòng)終端的安全性堪憂。因此，個(gè)人計(jì)算機(jī)要及時(shí)安裝和更新病毒木馬查殺軟件，及時(shí)升級操作系統(tǒng)和應(yīng)用軟件，不輕易打開不明文件和訪問安全性未知的網(wǎng)站，不下載安裝安全性未知的軟件，不接入公共wifi和使用公共計(jì)算機(jī)進(jìn)行登錄和支付，以防止計(jì)算機(jī)被黑客攻擊，導(dǎo)致個(gè)人信息泄露。

4.2 密碼技術(shù)

一方面，采用密碼相結(jié)合的多因子身份認(rèn)證技術(shù)，加強(qiáng)身份認(rèn)證的強(qiáng)度，防止身份信息被竊取、盜用和假冒，如數(shù)字證書、短信驗(yàn)證碼、動(dòng)態(tài)口令、USB Key等。另一方面，采用加密技術(shù)對用戶信息和支付數(shù)據(jù)進(jìn)行加密，防止敏感信息泄露和被篡改。計(jì)算機(jī)或手機(jī)上安裝基于密碼技術(shù)的數(shù)字證書后，即使賬戶支付密碼被盜，也需要在已經(jīng)安裝了數(shù)字證書的計(jì)算機(jī)上才能支付，保障資金安全。

4.3 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全

采用多種措施保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫、硬件設(shè)施等，這與技術(shù)的發(fā)展緊密相關(guān)。

管理方面的措施，主要針對組織和人而言。其主要工作是加強(qiáng)網(wǎng)上支付的監(jiān)管，要求監(jiān)管機(jī)構(gòu)、銀行和商家做好安全措施，并教育消費(fèi)者樹立安全意識，養(yǎng)成良好的安全習(xí)慣。

4.4 建立與完善網(wǎng)上支付的法律法規(guī)

隨著網(wǎng)上業(yè)務(wù)在我國的發(fā)展，國家相繼出臺了多部法律法規(guī)，如《中華人民共和國電子簽名法》明確了電子簽名的法律有效性，使得網(wǎng)上業(yè)務(wù)受到法律保護(hù)；《電子認(rèn)證服務(wù)管理辦法》、《電子支付指引》、《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》等法律法規(guī)針對網(wǎng)上業(yè)務(wù)領(lǐng)域給出了一些具體的指導(dǎo)意見。但違法交易所要承擔(dān)的法律責(zé)任，法定的電子貨幣發(fā)行人、合理的貨幣識別制度以及電子貨幣使用中各方隱私權(quán)保護(hù)制度等法律問題[4]上還需要進(jìn)一步明確。而作為金融監(jiān)管機(jī)構(gòu)的中央銀行則要結(jié)合我國國情并借鑒國外發(fā)展經(jīng)驗(yàn)，嚴(yán)格技術(shù)標(biāo)準(zhǔn)，強(qiáng)化業(yè)務(wù)監(jiān)管。

今年11月，國家出臺《中華人民共和國網(wǎng)絡(luò)安全法》，在網(wǎng)絡(luò)安全各方面將做出指導(dǎo)性規(guī)定。而在這部法律出臺后，各領(lǐng)域相關(guān)配套的法律法規(guī)，包括網(wǎng)上支付方面的法規(guī)也會(huì)隨后推出，以規(guī)范網(wǎng)上支付活動(dòng)，打擊違法犯罪，保護(hù)合法權(quán)益。

4.5 加強(qiáng)法制和安全意識宣傳

通過多種途徑宣傳和公開典型案例，警示用戶樹立安全意識，培養(yǎng)良好的安全習(xí)慣，比如電信詐騙案例、短信二維碼惡意鏈接案例、網(wǎng)絡(luò)釣魚案例、其他社工案例等。通過宣傳，促使用戶采用銀行等機(jī)構(gòu)提供的安全產(chǎn)品和采納銀行等機(jī)構(gòu)的安全建議，提高安全防護(hù)能力，如密碼強(qiáng)度足夠，并與其它密碼不同，支付卡專用，金額隨用隨存等。在網(wǎng)絡(luò)支付發(fā)現(xiàn)情況有異時(shí)，如頁面跳轉(zhuǎn)、不停要求輸入信息或彈出無關(guān)提示等時(shí)，停止操作以止損，并報(bào)警和保護(hù)現(xiàn)場。同時(shí)，加強(qiáng)對網(wǎng)絡(luò)不法行為的追查處罰力度，威懾不良企圖者，減少違法行為發(fā)生的可能性。

4.6 網(wǎng)絡(luò)實(shí)名制

今年電信實(shí)名制也真正落實(shí)實(shí)施，將對電信詐騙起到很強(qiáng)的防范作用。

同樣，通過網(wǎng)絡(luò)實(shí)名制，使得網(wǎng)絡(luò)上的虛擬身份能與現(xiàn)實(shí)社會(huì)的身份對應(yīng)，防止交易抵賴，方便追究和落實(shí)相關(guān)責(zé)任人。同時(shí)，網(wǎng)絡(luò)實(shí)名制也將對攻擊者形成強(qiáng)大的威懾力，利用網(wǎng)上支付實(shí)施的違法犯罪行為也將大大減少。

5 結(jié)語

網(wǎng)絡(luò)支付應(yīng)用已非常廣泛，只有保證其安全性才能健康穩(wěn)定發(fā)展。本文基于網(wǎng)絡(luò)支付可能存在的風(fēng)險(xiǎn)，從技術(shù)、管理等方面提出了相應(yīng)的安全對策，防止用戶的財(cái)產(chǎn)損失和個(gè)人信息泄露。

參考文獻(xiàn)

[1]劉亞軍.網(wǎng)上支付系統(tǒng)的安全性研究[J].現(xiàn)代電子技術(shù)，2013，36（8）：74-76.

[2]王淦銀.我國網(wǎng)上支付六大瓶頸待破[J].中國銀行業(yè)，2015，（1）：85-87.

[3]張艷冀.信息化時(shí)代下的電子支付產(chǎn)業(yè)發(fā)展研究[J].電子技術(shù)與軟件工程，2013，（23）：250-251.

[4]周莉婷.我國電子商務(wù)網(wǎng)上支付業(yè)務(wù)存在問題及對策[J].淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào)， 2008， 7（4）：41-42.