陆斌华
(福州聚信网络技术有限公司,福建 福州 350003)
摘要:在电子商务时代,网络支付使传统支付结算结构发生彻底改变,网络支付是提高金融运行效率的关键,而保障安全是网络支付应用推广的关键。研究开发我国自主的网络安全支付技术具有重要意义,加快制定符合国情的网络支付安全标准,研制安全支付服务和应用管理设备,保护我国金融信息安全。
关键词:网络支付;结构模型;安全问题
根据中国金融认证中心(CFCA)对于网络支付用户行为特征的调查结果显示,不使用网络支付的主要因素都与安全有关,安全因素已经成为制约网络支付深入发展的瓶颈。从国家公共安全的角度考虑,无论是金融机构的网银,还是非金融机构的第三方支付平台,一旦产生严重的安全问题,涉及的用户将达几千万,造成损失的金额可达几亿元,将对社会秩序和公共利益造成严重影响。
一、什么是网络支付
网络支付是电子支付的一部分。网络支付的核心是通用终端和公共网络,不包含使用专用终端通过专用网络完成货币支付或资金转移的电子支付类型。例如,使用ATM等专用终端通过银行专用网络完成的转账支付,就不属于本文研究的范畴。因为ATM的指令处理基本没有通过公共网络,主要业务在银行的专用网络中进行。然而,对于客户使用通用终端(例如机顶盒)发出指令,通过公共网络(例如有线电视网络和互联网)传输,实现货币支付或资金转移的支付就属于本文研究的网络支付。
二、网络支付工具的结构模型
网络支付工具模型是对现有网络支付产品进行抽象的基础上,对网络支付业务进行分析、对比和研究得出的。基于该模型,不仅可以单独地对每一个模型结构进行业务研究,而且可将不同结构组合起来,系统地研究网络支付产品的特性,进行网络支付产品创新。
建立网络支付工具的模型,从分析研究各种支付工具的名称开始。例如,网上支付、手机支付、电话支付、移动支付、邮件支付、虚拟账户支付、虚拟货币支付、电子钱包支付,还有电子支票支付、票据支付、NFC支付。这些名词中手机支付、电话支付、POS支付、NFC支付是明确的讲指令终端;网上支付、移动支付侧重传输网络的性质;邮件账户、虚拟账户支付等侧重的是支付的身份;虚拟货币支付、电子钱包支付、票据支付等讲的是资金从什么账户支出;收款账户有基金、银行和保险账户等。网络支付使用的各类应用协议在进入支付平台时,需要通过指令解析适配来完成金融支付指令的执行,即完成指令处理服务。
三、网络支付安全的特性,面临的安全问题
网络支付中6个结构要素面临的安全威胁主要有:信息被窃取、信息被篡改、身份欺诈和支付行为被否认等。因此网络支付的安全性要求主要有信息的机密性、数据完整性、身份的真实性、行为的不可抵赖性等。
1.网络支付安全性主要有四部分涵义
(1)机密性
机密性是指支付过程中必须保证信息不会泄露给非授权用户。网络支付工具必须保证支付信息在输入、传输、输出和存储等过程中的保密性。如客户的关键信息,登录与支付密码是账户安全的关键,应对其进行保密。
(2)完整性
完整性是指信息在存储或传输时不被修改、破坏和丢失,保证合法用户能接收和使用真实信息。
期刊文章分类查询,尽在期刊图书馆在网络支付中应保存数据原始的格式与内容,重要信息如卡基账户信息及其支付密码在支付过程中必须经过数据完整性校验处理。
(3)身份真实性
在支付信息的传输过程中,要为参与支付的各方提供可靠性标识,使他们能正确地识别对方并能互相证明身份,这可以有效地防止网络支付的欺诈行为。真实性是指支付各方的身份是真实的,保证支付过程中支付指令发送人的身份是真实的,同时客户端也要认证支付平台的真实性。
(4)抗抵赖性
保证支付行为和业务的不可抵赖性。当网络支付双方出现纠纷,能够保证对相关行为或业务的不可否认性。由此可见,网络支付的安全性对支付模式的管理水平、信息传递技术提出了很高要求。
2.面临的安全问题主要有以下几类
(1)身份的安全问题
身份的真实性是网络支付安全的核心。身份的安全问题中最多的是身份欺诈。支付过程需要验证支付双方或多方的身份信息,攻击者可能假冒支付某方的身份,从而破坏被假冒一方的信誉或盗取被假冒一方的财产等。
例如,利用支付宝等第三方支付的用户,一旦注册邮箱被盗用,支付宝账户中的信誉、支付记录和资金等都被可能被盗取。
(2)指令终端的安全问题
由于网络支付采用的指令终端是通用终端,所以更加容易被病毒、木马等攻击。例如,使用通用PC发送指令到网银的支付,目前盗取各种私有信息的“木马”和病毒在近几年极为猖獗。尤其是网银病毒出现之后,银行客户的资金开始直接受到威胁。目前被发现的网银病毒通常是增强型的击键记录器,它们可以监控客户浏览器登录网上银行时使用的用户名和密码信息,在用户使用证书登录的时候,还可能以捕获该证书并发送给攻击者。网银病毒、键盘木马和网站恶意控件等问题已经严重威胁网络支付。
(3)传输通道的安全问题
网络支付的传输网络主要是公共网络。由于公共网络的开发性,例如Internet,支付数据在互联网上的客户端浏览器和服务器端之间传输。网络支付信息被篡改、破解或者伪造,支付信息在网络上传输的过程中被他人非法修改、删除或重用。还有在无线网络传输支付信息的过程中,被窃取或修改等问题。
(4)指令处理服务的安全问题
指令处理服务过程可解析出支付指令中包含的支付类型、账户信息、支付金额、支付时间等。解析过程中存在信息被窃取或篡改的可能性,指令处理服务流程中的数据存储、转发过程存在漏洞,可能导致支付相关信息的泄露。
(5)账户安全问题
账号安全不仅要保护账号及密码的安全,而且要重点防范与账户相关的客户资料,如账户的信用、支付记录、账户资金等被盗取等安全风险。另外,对于网络支付平台的数据安全方面,外部入侵和内部人员的不规范操作等,也是账户可能面临的安全问题。
四、网络支付安全标准的制定
由于国内外支付环境的重大差异,如金融信用环境不同,信用卡普及率不同,网络支付行业成熟程度及其价值链等存在很大差异,对网络支付安全监管的需求以及相关标准规范存在很大差异。例如,由VISA和MasterCard等国际信用卡组织共同设立了PCI-DSS安全认证,对在线支付系统安全进行审查,其中包括近200项审查内容。该认证主要针对国外成熟的信息卡支付体系,关注卡基支付安全,对其他网络支付方式没有涉及。
因此,研究和发展我们自己的网络支付理论、协议与体系以及相关技术标准,并促使其成为产业标准,对我国网络支付市场意义重大。
1.制定标准的目的
全国信息安全标准化技术委员会从国家公共安全的角度考虑,针对网络支付安全的技术、管理和监管要求等问题,于2008年12月立项制订《网络支付安全标准》。本标准的目的是为了减少金融机构与非金融机构对网络支付业务信息安全相关技术与管理措施的理解水平和能力的差异,避免产生短板效应,保证安全措施的协调应用,支持行业准入和行业检查监管。从国家公共安全的角度出发,如果没有标准的监管可能导致行业系统风险和客户资金风险,例如银行挤兑的风险。本标准将规范支付平台的安全建设、运维和客户教育等方面的安全要求,统一支付平台对信息安全的认识,提高其信息安全保障能力。
2.研究的指导思想
本标准与国家的相关安全标准相符合,不抄袭、照搬国外已有标准,研究和发展符合我国实际需求的网络支付理论、协议与体系以及相关技术标准并促使其成为产业标准和国际标准。通过该标准推动我国相关的核心技术和产品发展,例如安全操作系统、PKI、加密技术、计算机芯片及网络硬件设备等。
论文作者:陆斌华
论文发表刊物:《知识-力量》2017年8月上
论文发表时间:2017/9/8
标签:网络论文; 账户论文; 指令论文; 信息论文; 安全问题论文; 身份论文; 终端论文; 《知识-力量》2017年8月上论文;