电子支付安全问题及对策研究

电子支付安全问题分析与对策研究一、绪论(一)研究背景及意义进入21世纪,随着我国电子商务的不断发展, 互联网产业链不断做大做强,参与群不断扩大的同时，钓鱼网站、恶意攻击等带来的安全问题也不断见诸报端，大大增加了电子支付机构的防范难度。此外，针对金融行业的移动安全威胁以及 APT的攻击也出现了迅速的增长态势。由于我国信息安全保障体制机制的不健全，不断发展的电子商务行业也遭遇到了一次“倒春寒“，人们对于电子商务安全的担忧日渐凸显，首当其冲的便是电子支付的安全。可以说，能安全进行电子支付是人们更愿意选择网络进行商贸活动的保障，电子支付安全控制着网上交易的最后一道防线，是电子商务成败的生命线；电子支付安全也成为制约电子商务继续更好发展的瓶颈。因此，对电子支付的安全问题分析与对策研究具有相当大的现实意义和实用价值。(二)研究思路与方法本课题研究以应用性、实践性和可操作性为目标，通过对文献等理论知识的学习，摸索出电子商务的现状和发展瓶颈；结合实际生活经验，从电子支付流程可能遇到的各个环节入手，“顺藤摸瓜”地厘清电子支付安全问题的由来、触发机制；在此基础上，结合其他学者在该领域的研究现状和不足，针对具体的安全隐患给出相应措施，并探索了新型支付形式发展过程中可能存在的安全问题和解决办法。在论文写作过程中综合运用了以下研究方法：概念分析法、文献研究法、定量分析法、经验总结法等。(三)研究的主要内容本课题通过对我国电子商务的发展现状进行分析，探讨了电子支付安全对电子商务深入发展的巨大作用，并明确课题的研究意义和价值；在此基础上逐步深入，探讨了电子支付的现状、支付流程和安全问题的由来。重点研究了可能触发电子支付安全问题的原因，并结合现实生活中可能遇到的电子支付问题提出了相应解决之道；同时，本课题积极尝试新的领域，探索了新型电子支付的现状和可能出现的安全问题。二、电子商务的现状分析电子商务是指在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，Value Added Network）上以电子交易方式进行交易活动和相关服务活动，是传统商业活动各环节的电子化、网络化。通俗来说就是运用第三方支付机构作为担保，运用电子货币支付完成的虚拟交易过程。相对于传统商务而言，电子商务之所以得以迅猛发展得源于电子支付的安全保障和其得天独厚的优势。(一) 电子商务相对于传统商务的优势及特点1、交易虚拟化：数字化贯穿于电子商务的始终，从查询商品到咨询协调价格，到下单支付，甚至顾客查询物流情况到收到商品后的确认收货，对整个购买环节进行点评都通过互联网来完成。2、交易成本低：由于没有传统交易繁琐的过程，电子商务大部分交易流程均在互联网上完成，这样卖方就省去了一大笔的店铺门面出租费用，人工费，税费等，买方则少了交易的交通费等，从而大大降低了交易的时间成本和劳务成本。3、交易效率高：电子商务依靠其得天独厚的网络优势，顾客可以及时向卖家发出订单和需求，卖家根据顾客的订单和需求生产和批发相应商品，甚至实现一对一定制服务。当交易发生变更时，能在第一时间修改订单状态和对生产的跟踪，从而提高了交易的效率4、交易透明化：网上交易虽不如实体店交易的真实，不能调动除视觉以外的其他感官去对细节进行感知，却可以通过互联网得到真实的产品属性，让每个消费者都有一个强大的“智囊团”，轻松货比三家，明明白白消费。(二) 电子商务的现状和瓶颈电子商务凭借其优势得以迅猛发展。从中国电子商务研究中心了解到，截止到2012年底，我国电子商务交易总体规模达到7.85万亿人民币，同比增长30.83%。其中，B2B电子商务交易额达6.25万亿，同比增长27%。而2011年全年，中国电子商务市场交易额达6万亿人民币，同比增长33%，占GDP比重上升到13%；2012年，电子商务占GDP的比重已经高达15%。预计今年我国电子商务规模将突破十三万亿大关 (如图1-1)。与此同时，越来越多企业和个人在电子商务中选择了电子支付作为支付结算方式。从中国金融认证中心了解到，截至 2012年 12月，我国使用网上电子支付的用户达到 图1-1 2009-2014年中国电子商务市场交易规模（万亿元）102.21亿，预计全年支付规模会达到 2.7万亿元。不仅如此，电子支付行业的市场前景广阔，工信部信息安全协调司副司长杨春燕表示，力争在 2015年电子商务交易额达到 18万亿元。在参与群不断壮大和互联网产业链不断做大做强的同时，电子支付安全问题也不断见诸报端。据统计，2012年 2月到 9月，针对金融行业的钓鱼网站达到 4629个，大大增加了电子支付机构的防范难度。此外，针对金融行业的移动安全威胁以及 APT的攻击也呈现迅速增长的态势。出于各种原因，高速发展的电子商务行业也遭遇到了一次“倒春寒“，人们对于电子商务安全的担忧日渐凸显，如何发现和解决迫在眉睫。首当其冲的便是电子支付的安全。三、电子支付概述及安全问题的由来(一) 电子支付含义电子支付安全问题是人们更愿意选择网络进行商贸活动的保障，也控制着网上交易的最后一道防线，是电子商务成败的生命线；电子支付安全也是制约电子商务继续更好发展的瓶颈。广义的电子支付包括：银行之间的业务结算，包括转帐收付、现金存取、代理业务、汇兑业务、中间业务，存款、贷款、票据业务等；银行与其他机构单位之间的结算：如代发工资，代缴费用等；用户自动柜员机的操作：如银行的存取款，电信营业厅的存话费等；销售终端：各种销售终端提供的扣款业务，如微信，淘宝等APP手机应用软件；网上支付：通过互联网随时直接转账结算等。狭义的电子支付是指网上交易参与者（包括卖方、卖方和金融机构等）通过网络进行的货币收支或资金流转，以达到达成订单的目的的过程。电子支付是电子商务系统的最重要组成部分之一 (如图2-1)。图2-1 广义电子支付的构成(二) 电子支付分类及特点电子支付按支付媒介分，可以分为：网上支付、电话支付、移动支付等。1、网上支付网上支付是电子支付最常见的一种形式。一般来说，网上支付是以互联网作为媒介，买方和卖方利用银行签发或者支持的金融工具进行金融交换，从而实现从买方到金融机构、卖方三者之间的在线货币支付、现金流转、资金清算、查询统计等功能的过程，以此为电子商务参与者和其他机构提供服务的行为。2、电话支付电话支付是相对网上支付的线上交易而言的，消费者可以通过移动终端（如固话，手机，小灵通）接入各大银行的电话银行，就可以使用银行账户轻松支付货款（如快钱）。3、移动支付移动支付也可以成为手机支付，也就是消费者可以使用移动终端（如手机、平板电脑等）对消费的商品或者服务进行支付的一种方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付是继传统支付、网上支付、电话支付以后出现的一种新型支付方式，用户可以利用手机应用软件上轻松完成货款支付、账户查询等功能。（如微信支付）(三)电子支付流程及安全问题由来虽然，电子支付支付形式上和一般的商务活动有很多的不同，但同为资金流的承载，也有相同之处，那就是“始于银行，终于银行”，银行构成了电子支付的源流，现金流将会在电子支付的河流中经过重重关卡，实现它对一项电子商务活动的价值，然后悄然回到它的起点，完成使命的回归。资金的河流流经之处，也是要完成电子支付必经之路，因此任何关卡都将成为电子支付安全的重镇，弄清电子支付流程对电子支付安全至关重要，下面，我们就以一次淘宝购物为例来看下电子支付的流程：1、准备工作要想完成电子支付，就必须携带有效身份证件到银行办理相应的支付结算工具，包括银行卡（账号和密码）、安全支付工具（K包、K令、手机动态验证等）；拥有一台连接互联网的电脑，并完成银行支付结算工具的激活、支付平台账号注册等准备工作。2、商品查询、询价第二步也是必须的，正所谓“巧妇难为无米之炊”，登录正规购物平台完成商品查询、咨询并协商好价格，将商品拍下或放入购物车，提交订单等待支付。3、完成电子支付客户登录后台，仔细检查订单商品和金额是否准确，检查完毕，把相关加密信息发送给支付网关，页面跳转至银行支付平台；此时，用户需要登录并验证自己的银行账号、密码、电子证书等信息，等待银行授权；在验证成功后，银行网关会通过机密通道，反馈支付支付请求，将款项划入第三方支付平台，并经由平台告知卖家支付成功，提醒其发货。4、后续工作在卖家收到支付消息后，会完成后续工作，如发货；买家在收到商品后，需要进行收货确认。此时，第三方平台才会把款项划到卖家账户，保证了整个电子商务的安全和有序。通过以上的分析，我们可以得出电子支付所涉及范畴，包括了物理介质（如银行账户、密码）、软件介质和管理方面等。如果其中的任何一项应用不当，都会起到牵一发而动全身的作用，给电子支付安全带来巨大风险。四、触发电子支付的安全问题的原因要避免电子支付的安全问题，首先必须弄清楚一系列可能触发电子支付安全的因素。归集起来，主要有以下几点：(一)互联网自身的缺陷Internet作为一种开放的、共享的网络，安全性方面有先天发育不足的弊端。其自身的在设计时便很难兼顾安全性和方便性、大众性。或者说，受众人群和信息传输通畅至始至终都是是信息高速公路的首先考虑的，这便使安全、服务、带宽等方面大打折扣，而这无疑会对电子支付安全构成一定威胁。(二)软件的不完善和漏洞软件开发者在开发软件时开发语言选择给电子支付带来了安全隐患，如使用C语言开发的软件就要比JAVA开发的漏洞要多。但不管选择任何语言编写的程序，都不能保证把所有安全问题挡在门外，因此我们经常看到在一个软件安装后会有一系列的补丁陆续发布让用户去下载并安装。另一方面，开发者不能穷尽所有可能的漏洞，补丁总滞后于漏洞，当一个漏洞爆出，总要等到一些用户的利益受到损失，开发者才会发现自身的不足。而这对电子支付可能是相当致命的打击。(三)黑客的攻击由于缺乏对互联网犯罪的有效追踪和反击，导致黑客的攻击的杀伤力往往具有极强的摧毁性和极好的隐蔽性。目前互联网上有超过20万黑客网站，其成立目的便是为黑客与黑客间搭建一个技术交流、热门攻击工具分享的平台，其攻击方法达到上千种之多，让人防不胜防,这为网络安全,特别有有关支付信息的传送安全带来巨大安全隐患。(四)管理不当以及人为因素加大对网络和系统的管理，提高人对安全问题的防范意思是阻止电子支付安全的问题发生的重要手段。然而很多企业、机构甚至个人都缺乏对自身安全信息的保护和监管。有关数据显示，美国90%的IT企业对黑客的攻击防备不足，大部分企业在数据数据权限授予和管理时混乱，没有完备的管理人员进入和退出机制；人们在现实生活中对自己的身份、账户、密码等隐私信息保护的重视力度不够，导致信息泄露引发电子支付安全问题的案例也时有发生。在这样的情形下，电子支付问题频频映入眼帘也算意料之中的事了。五、电子支付安全隐患及应对策略正因为触发电子支付安全问题的因素颇多，所以电子支付的安全隐患是多方面的。从支付的过程涉及的范畴来看，银行账号密码信息安全、计算机系统本身安全（又可以分为硬件安全和软件安全）、网络传输安全等都属于电子支付安全要研究的领域。从人的层面又可以分为技术上的和管理上的；管理上有可以分为内部的管理和外部的管理等。这里主要从以下几个方面做具体的分析：(一) 银行账号和密码安全如今的电子支付形式虽然多种多样，但大部分仍需要通过关联银行卡进行转账和支付。因此由于个人银行卡账号和密码等信息泄漏给电子支付安全带来的隐患不容小觑，我们甚至可以认为银行账号和密码等信息是电子支付的根，如果别有用心的人拿到了这些信息，便可以顺藤摸瓜，伪造电子支付人的信息完成支付。而这在现实生活中出现的案例不胜枚举。当我们在搜索引