薛安松

（徐州工程學(xué)院 經(jīng)濟(jì)學(xué)院 電子商務(wù)教研室，江蘇 徐州 221008）

第三方支付系統(tǒng)安全問題探析

薛安松

（徐州工程學(xué)院 經(jīng)濟(jì)學(xué)院 電子商務(wù)教研室，江蘇 徐州 221008）

隨著互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展，第三方支付業(yè)務(wù)不斷發(fā)展壯大，豐富了人們的支付方式和體驗(yàn)，同時(shí)，也必然帶來諸多的風(fēng)險(xiǎn)與安全問題，這些問題會(huì)阻礙其自身的進(jìn)一步發(fā)展，給人們的交易帶來隱憂。文章對(duì)這些安全問題與風(fēng)險(xiǎn)進(jìn)行了分析并提出針對(duì)性的意見與建議。

第三方支付；安全技術(shù)；交易系統(tǒng)

1　第三方支付的發(fā)展現(xiàn)狀

第三方支付是指具備一定實(shí)力和信譽(yù)保障的第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺(tái)，它以互聯(lián)網(wǎng)為技術(shù)基礎(chǔ)，與各大銀行簽訂協(xié)議，為網(wǎng)上商家和銀行建立起了互聯(lián)關(guān)系，同時(shí)起到監(jiān)管和保障作用。第三方支付目前是電子支付體系的重要組成部分，作為實(shí)現(xiàn)資金流信息化的重要途徑，能夠有效提高資金流動(dòng)的效率和降低資金流動(dòng)的成本。2010年6月頒布的《非金融機(jī)構(gòu)支付服務(wù)管理辦法》明確了第三方支付的合法地位，將其界定為非金融機(jī)構(gòu)支付業(yè)務(wù)，也實(shí)現(xiàn)了對(duì)第三方支付領(lǐng)域的有效監(jiān)管，有利于第三方支付業(yè)務(wù)的健康、穩(wěn)定發(fā)展。

2　第三方支付存在的安全性問題分析

2.1沉淀資金缺乏監(jiān)管

沉淀資金包括在途資金和支付工具吸存資金，在途資金指交易確認(rèn)后資金完成結(jié)算前尚未到達(dá)賣方前的狀態(tài)。支付工具吸存資金指買方在第三方支付平臺(tái)的虛擬賬戶中留存的這部分資金。這些沉淀資金由第三方支付平臺(tái)實(shí)際控制，沉淀資金是否被挪用，完全基于第三方支付平臺(tái)的信用。《支付機(jī)構(gòu)客戶備付金存管辦法》的出臺(tái)一定程度上限制了沉淀資金的風(fēng)險(xiǎn)但實(shí)際監(jiān)管過程中仍有不足。

2.2信用卡無成本套現(xiàn)以及洗錢風(fēng)險(xiǎn)

第三方支付只為交易提供技術(shù)支持，無法保證交易的真實(shí)性。不法分子通過網(wǎng)絡(luò)購物支付平臺(tái)進(jìn)行虛擬交易來實(shí)現(xiàn)信用卡套現(xiàn)，而且無需為此支付提現(xiàn)成本，違反了信用卡使用的規(guī)定，增加了銀行信用卡業(yè)務(wù)風(fēng)險(xiǎn)。此外，不法分子還可以通過設(shè)立多賬戶利用虛假商品交易將不法資金轉(zhuǎn)變?yōu)樯唐方灰椎恼?dāng)收入，實(shí)現(xiàn)從違法到合法的轉(zhuǎn)移。

2.3安全技術(shù)的不完善

（1）支付密碼技術(shù)漏洞造成的安全性問題。一般第三方支付平臺(tái)采用支付密碼和登錄密碼不同的雙密碼制度，但用戶往往采用固定密碼比如生日等形式，在傳輸過程中一旦被攻擊者截獲破解，就可以輕易地登錄電子商務(wù)網(wǎng)站進(jìn)行消費(fèi)，一旦造成重大經(jīng)濟(jì)損失，由此而帶來的負(fù)面影響不可估量。而實(shí)際上，攻擊者實(shí)現(xiàn)如上破解難度并不太大，比如誘導(dǎo)用戶登陸釣魚網(wǎng)站或利用遠(yuǎn)程登錄、遠(yuǎn)程控制和記錄鍵盤等木馬技術(shù)。第三方支付平臺(tái)支付密碼技術(shù)漏洞造成的安全隱患如表1所示。

表1　第三方支付平臺(tái)支付密碼技術(shù)漏洞安全隱患

（2）數(shù)據(jù)傳遞存儲(chǔ)造成的安全性問題。由于第三方平臺(tái)的開放性和系統(tǒng)的設(shè)計(jì)存在的一些缺陷，一旦交易的主數(shù)據(jù)服務(wù)器遭受攻擊破壞，存儲(chǔ)和傳遞的交易數(shù)據(jù)被惡意截取、篡改，這些都會(huì)造成極大的破壞。此外，某些支付平臺(tái)為了減少成本造價(jià)或給客戶一種一站式服務(wù)的姿態(tài)，在設(shè)計(jì)上采取簡單化手段，不再需要跳至網(wǎng)絡(luò)銀行支付的網(wǎng)頁，用戶只要支付平臺(tái)網(wǎng)站輸入賬號(hào)密碼就可實(shí)現(xiàn)支付，從而引發(fā)客戶資料外泄的安全問題。

3　第三方支付平臺(tái)的安全對(duì)策及建議

3.1加強(qiáng)對(duì)沉淀資金安全管理

明確銀行對(duì)支付機(jī)構(gòu)的監(jiān)督責(zé)任，出臺(tái)操作細(xì)則，嚴(yán)格分離支付機(jī)構(gòu)自有賬戶與沉淀資金的賬戶，建立并實(shí)行定期公布及沉淀資金的保證金信用制度，即銀行開立專用賬戶對(duì)第三方支付商賬戶里的交易資金進(jìn)行托管 第三方支付平臺(tái)必須向銀行交納一定比例的保證金才能維護(hù)這部分資金的交易安全，以保證客戶即使在公司破產(chǎn)的情況下也能贖回賬戶里的資金。

3.2采用可靠的信息安全技術(shù)保障交易

（1）保障底層安全。為保證交易數(shù)據(jù)流的安全性、保密性和完整性，則必須使用相關(guān)的加密算法對(duì)資金流數(shù)據(jù)進(jìn)行加密，防止未被授權(quán)的非法第三者獲取數(shù)據(jù)的真正含義。如采用 DES私有密鑰加密法、RSA公開密鑰加密法、數(shù)字信封等保密手段。并使用如數(shù)字指紋算法等方法確認(rèn)資金流信息（如支付指令）的完整性。傳輸時(shí)采用SSL協(xié)議，客戶機(jī)和服務(wù)器交換信息前都必須構(gòu)建安全通道，所有交易非交易信息都經(jīng)過加密傳輸，從而增加攻擊和破解的難度級(jí)數(shù)。

（2）盡量采用安全技術(shù)等級(jí)高的產(chǎn)品。交易系統(tǒng)往往提供幾種安全級(jí)別的產(chǎn)品，除了使用交易密碼技術(shù)和手機(jī)動(dòng)態(tài)口令外，還有必要使用較高等級(jí)的諸如寶令技術(shù)、U盾及電子動(dòng)態(tài)口令等產(chǎn)品。推薦采用U盾或和銀行U盾來綁定賬戶以保護(hù)用戶安全，目前有不少第三方支付為了保護(hù)用戶賬戶安全，已經(jīng)提供不少類似于銀行網(wǎng)銀U盾這樣的工具，既方便了用戶又保證了用戶的使用安全，還有的第三方支付平臺(tái)和銀行加強(qiáng)合作，銀行的U盾即可用來登錄管理第三方支付平臺(tái)的賬戶。

（3）客戶交易時(shí)必須安裝數(shù)字證書保障賬戶安全。第三方支付平臺(tái)大多推薦使用數(shù)字證書，即使用戶發(fā)送的信息在網(wǎng)上被他人截獲，甚至丟失了個(gè)人的賬戶密碼等信息，仍可以保證用戶的賬戶資金安全。

4　結(jié)語

電子商務(wù)的飛速發(fā)展帶動(dòng)了網(wǎng)絡(luò)支付的飛速發(fā)展，為保障交易的安全性，就需要專業(yè)的支付安全服務(wù)公司、完善的支付安全技術(shù)標(biāo)準(zhǔn)，并建立網(wǎng)絡(luò)支付安全評(píng)價(jià)體系和準(zhǔn)入機(jī)制。一方面，需要政府在政策、法律法規(guī)方面作出嚴(yán)格的規(guī)定和監(jiān)管，另一方面要求第三方支付平臺(tái)廠商完善自己的安全管理措施，合理化自己的安全方案，以提供技術(shù)先進(jìn)、安全可靠的產(chǎn)品，盡量避免安全漏洞。此外，也要求廣大用戶在使用第三方支付平臺(tái)進(jìn)行支付的過程中，注意交易的安全，在可能的前提下，盡量選擇信譽(yù)度高、安全性高的支付平臺(tái)，以保障自己順利完成網(wǎng)上交易。未來，隨著計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，必將使第三方支付平臺(tái)的服務(wù)價(jià)值一再提升，從而使人們?cè)谶M(jìn)行交易時(shí)對(duì)其安全性的疑慮降到最低。

[1]李雁.第三方支付的監(jiān)管和發(fā)展[J].中國金融，2013（23）：84-86.

[2]孟昱辰.電子化背景下銀行機(jī)構(gòu)和支付機(jī)構(gòu)的支付服務(wù)比較研究[D].開封：河南大學(xué)，2014.

[3]喬喬.我國第三方支付的發(fā)展歷程、現(xiàn)狀與趨勢研究[D].大連：遼寧師范大學(xué)，2014.

Analysis on the security problems of third party payment system

Xue Ansong （Electronic Commerce Teaching and Research Section in Economics School of Xuzhou University of Technology, Xuzhou 221008, China）

With the rapid development of Internet and e-commerce, third party payment services continue to grow and develop, which enriches people's experience and methods of payment, at the same time, it also inevitably brings about risk and safety problems, these problems will hinder the further development of its own,which has brought people potential worries for their transaction.In this paper, the security problems and risks are analyzed and some suggestions are put forward.

third party payment; security technology; transaction system

薛安松（1971— ），男，江蘇徐州，本科，講師；研究方向：計(jì)算機(jī)應(yīng)用。