問(wèn)題，技術(shù)不應(yīng)該作為惟一的因素，應(yīng)該從系統(tǒng)安全保障，信息安全保障、法律體系建設(shè)、道德約束機(jī)制，以及第三方企業(yè)內(nèi)部管理制度等方面加以建設(shè)。

[關(guān)鍵詞] 第三方支付安全加密數(shù)字證書(shū)法律道德

隨著我國(guó)40多家第三方支付獲得《非金融機(jī)構(gòu)業(yè)務(wù)許可證》的大好時(shí)機(jī)下，有關(guān)第三方支付的問(wèn)題，更多的關(guān)注到了它的盈利，競(jìng)爭(zhēng)，合作與發(fā)展，以及業(yè)務(wù)推廣方面，但是對(duì)于其作為一個(gè)新的金融從業(yè)者，我們更應(yīng)該關(guān)注有關(guān)它的信息安全問(wèn)題，以及基本的保障措施。從而給用戶(hù)提供一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境。

這個(gè)安全問(wèn)題涉及到第三方支付系統(tǒng)安全，信息傳輸安全，法律規(guī)范問(wèn)題，道德約束問(wèn)題，以及內(nèi)部管理制度等。

一、系統(tǒng)安全

系統(tǒng)安全可以從實(shí)體安全保障，以及系統(tǒng)運(yùn)行安全保障兩個(gè)方面來(lái)考慮。

1.實(shí)體安全保障

實(shí)體安全，是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)），以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施過(guò)程。第三方支付聯(lián)結(jié)了多個(gè)商家，用戶(hù)，以及銀行系統(tǒng)，所以，首先得保障其基本的設(shè)備安全，從而能使系統(tǒng)正常的運(yùn)作。

（1）環(huán)境安全。實(shí)體安全中的環(huán)境，就是要對(duì)電子商務(wù)系統(tǒng)所在的環(huán)境實(shí)施安全保護(hù)，主要包括受災(zāi)的防護(hù)和區(qū)域的防護(hù)。受災(zāi)的防護(hù)就是系統(tǒng)要具有受災(zāi)報(bào)警、受災(zāi)保護(hù)和受災(zāi)恢復(fù)等功能，目的是保護(hù)電子商務(wù)系統(tǒng)免受水、火、有害氣體、地震、雷擊和靜電的危害。區(qū)域防護(hù)就是要對(duì)特定區(qū)域提供某種形式的保護(hù)和隔離措施。

(2）設(shè)備安全。設(shè)備安全是指對(duì)第三方系統(tǒng)的設(shè)備進(jìn)行安全保護(hù)，主要包括設(shè)備的防盜和防毀，防止電磁信息泄露，防止線路截獲，抗電磁干擾以及電源保護(hù)。

（3）媒體安全。媒體安全是指對(duì)媒體數(shù)據(jù)和媒體本身實(shí)施安全保護(hù)。媒體數(shù)據(jù)的安全主要是要提供對(duì)媒體數(shù)據(jù)的保護(hù)，實(shí)施對(duì)媒體數(shù)據(jù)的安全刪除和媒體的安全銷(xiāo)毀，目的是為了防止被刪除或者被銷(xiāo)毀的敏感數(shù)據(jù)被他人恢復(fù)。

2.系統(tǒng)運(yùn)行安全保障

運(yùn)行安全是指保障第三方支付系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施保護(hù)信息處理過(guò)程的安全。它主要由四個(gè)部分組成：（1）風(fēng)險(xiǎn)分析；（2）審計(jì)跟蹤；（3）備份和恢復(fù)；（4）應(yīng)急。

（1）風(fēng)險(xiǎn)分析。運(yùn)行安全中的風(fēng)險(xiǎn)分析，就是要對(duì)第三方支付系統(tǒng)進(jìn)行人工或自動(dòng)的風(fēng)險(xiǎn)分析。首先要對(duì)系統(tǒng)進(jìn)行靜態(tài)的分析，旨在發(fā)現(xiàn)系統(tǒng)的潛在安全隱患；其次是要對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)的分析，即在系統(tǒng)運(yùn)行過(guò)程中測(cè)試、跟蹤并記錄其活動(dòng)，旨在發(fā)現(xiàn)系統(tǒng)運(yùn)行期的安全漏洞；最后是系統(tǒng)運(yùn)行后的分析，并提供相應(yīng)的系統(tǒng)脆弱性分析報(bào)告。

（2）審計(jì)跟蹤。運(yùn)行安全中的審計(jì)跟蹤，就是要對(duì)第三方支付系統(tǒng)進(jìn)行人工或自動(dòng)的審計(jì)跟蹤、保存審計(jì)記錄和維護(hù)詳盡的審計(jì)日志。

（3）備份和恢復(fù)。運(yùn)行安全中的備份和恢復(fù)，就是要提供對(duì)系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份和恢復(fù)。對(duì)數(shù)據(jù)進(jìn)行備份和恢復(fù)所使用的介質(zhì)可以是磁介質(zhì)、紙介質(zhì)、光碟、縮微載體等。

（4）應(yīng)急。運(yùn)行安全中的應(yīng)急措施，就是要提供在緊急事件或安全事故發(fā)生時(shí)，保障電子商務(wù)系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)所需要的策略。

二、信息安全

信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨認(rèn)、控制。

1.操作系統(tǒng)安全

信息安全中的操作系統(tǒng)安全，是指要對(duì)電子商務(wù)系統(tǒng)的硬件和軟件資源實(shí)行有效控制，為所管理的資源提供相應(yīng)的安全保護(hù)。

2.數(shù)據(jù)庫(kù)安全

信息安全中的數(shù)據(jù)庫(kù)安全，是指對(duì)數(shù)據(jù)庫(kù)系統(tǒng)所管理的數(shù)據(jù)和資源提供保護(hù)，一般采用多種安全機(jī)制與操作系統(tǒng)相結(jié)合，來(lái)實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全保護(hù)。

3.網(wǎng)絡(luò)安全

信息安全中的網(wǎng)絡(luò)安全，是指提供訪問(wèn)網(wǎng)絡(luò)資源年或使用網(wǎng)絡(luò)服務(wù)的安全保護(hù)。即通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)正常運(yùn)行，確保網(wǎng)絡(luò)中數(shù)據(jù)的可用性、完整性和保密性。它涉及網(wǎng)絡(luò)安全管理

4.計(jì)算機(jī)病毒防護(hù)

所謂計(jì)算機(jī)病毒，是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。信息安全中計(jì)算機(jī)病毒的防護(hù)，即通過(guò)建立系統(tǒng)保護(hù)機(jī)制，來(lái)預(yù)防、檢測(cè)和消除病毒。

5.訪問(wèn)控制

所謂訪問(wèn)控制，是對(duì)主體訪問(wèn)客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過(guò)程。信息安全中的訪問(wèn)控制，是保證系統(tǒng)外部用戶(hù)或內(nèi)部用戶(hù)對(duì)系統(tǒng)資源的訪問(wèn)以及對(duì)敏感信息訪問(wèn)方式符合組織安全策略。

6.加密

信息安全中的加密主要涉及數(shù)據(jù)的加密和密鑰的管理。

7.鑒別

信息安全中的鑒別，主要提供身份鑒別和信息鑒別。身份鑒別是提供對(duì)信息收發(fā)方真實(shí)身份的鑒別。信息鑒別則是提供對(duì)信息的正確性、完整性和不可否認(rèn)性的鑒別。

三、法律法規(guī)體系建設(shè)保障

這主要包括第三方支付的法律地位問(wèn)題，第三方監(jiān)管，以及第三方支付作為一個(gè)許可的金融機(jī)構(gòu)對(duì)其交易所產(chǎn)生的糾紛的法律解決問(wèn)題。

1.法律地位

法律地位一直是困惑第三方支付的一個(gè)主要問(wèn)題，政府應(yīng)該建立與第三方相適應(yīng)的法律法規(guī)體系及產(chǎn)業(yè)政策體系，促進(jìn)我國(guó)第三方產(chǎn)業(yè)鏈的發(fā)展。2010年6月，中國(guó)人民銀行發(fā)布了《非金融機(jī)構(gòu)支付服務(wù)管理辦法》，明確規(guī)定非金融機(jī)構(gòu)應(yīng)當(dāng)取得支付業(yè)務(wù)許可證，成為支付機(jī)構(gòu)，依法接受中國(guó)人民銀行的監(jiān)督管理。2011年5月26日，）中國(guó)人民銀行向國(guó)內(nèi)27家第三方支付企業(yè)頒發(fā)了首批《支付業(yè)務(wù)許可證》，其中，財(cái)付通、支付寶、快錢(qián)等27家第三方支付公司已拿到了支付業(yè)務(wù)牌照。

2.第三方監(jiān)管

用戶(hù)給第三方支付支付交易資金后，由于商家送貨到用戶(hù)確認(rèn)之間有段時(shí)間，所以這批資金是沉淀在第三方支付的賬號(hào)上的，這筆資金第三方支付是否拿來(lái)做其他事情，如果沒(méi)有一定的監(jiān)管機(jī)制的建立，有可能回出現(xiàn)資金挪用，以及資金流失等情況，所以給用戶(hù)會(huì)造成一定的麻煩，因此國(guó)家可以通過(guò)一定的監(jiān)管機(jī)制在保證資金的安全。

3.法律糾紛

基于第三方支付的交易涉及到多方參與者：用戶(hù)，商家、銀行，認(rèn)證中心等，在第三方進(jìn)行交易的時(shí)候一旦出現(xiàn)一些資金交易問(wèn)題，比如，用戶(hù)通過(guò)第三方支付平臺(tái)支付賬號(hào)丟失造成資金被盜，用戶(hù)在交易過(guò)程中，由于商家乏貨遲緩，造成資金在規(guī)定的期限內(nèi)自動(dòng)付款到商家賬戶(hù)，但是用戶(hù)恰巧遇到此商家為騙子商家，那么這筆錢(qián)款到底應(yīng)該由誰(shuí)來(lái)賠付？目前來(lái)將，我們國(guó)家在這方面還沒(méi)有特殊的法律來(lái)保障，現(xiàn)有的《消費(fèi)者權(quán)益保護(hù)法》、《個(gè)人隱私權(quán)保護(hù)法》、《商業(yè)秘密保護(hù)法》、《合同法》、《票據(jù)法》等法律，研究、制定、實(shí)踐并完善相應(yīng)網(wǎng)絡(luò)消費(fèi)者權(quán)益保護(hù)、網(wǎng)絡(luò)個(gè)人隱私、網(wǎng)絡(luò)企業(yè)商業(yè)秘密、電子合同、電子發(fā)票、網(wǎng)絡(luò)市場(chǎng)主體管理與服務(wù)、網(wǎng)絡(luò)市場(chǎng)信息管理與服務(wù)、網(wǎng)絡(luò)信用信息管理與服務(wù)等法規(guī)或暫行管理?xiàng)l例。

四、道德約束的保障

網(wǎng)絡(luò)道德規(guī)范是約定俗成或明文規(guī)定的行為標(biāo)準(zhǔn)，是網(wǎng)絡(luò)主體進(jìn)行網(wǎng)絡(luò)活動(dòng)所要遵守的。規(guī)矩”。安全的第三方支付重在網(wǎng)絡(luò)道德規(guī)范的建設(shè)，前面的措施是建設(shè)和諧的第三方制服環(huán)境的外在措施，網(wǎng)絡(luò)道德規(guī)范則是一種內(nèi)在的防線，正如吉恩·史蒂芬斯在《計(jì)算機(jī)領(lǐng)域中的犯罪》中指出的那樣：“展望未來(lái)，要通過(guò)技術(shù)和常規(guī)的立法程序去遏制信息空間的犯罪活動(dòng)困難重重。最根本的解決辦法只有一條，那就是道德與人生價(jià)值觀?！?/p>

網(wǎng)絡(luò)道德體系是包括網(wǎng)絡(luò)禮儀、網(wǎng)絡(luò)規(guī)范、網(wǎng)絡(luò)道德原則在內(nèi)的完整系統(tǒng)，網(wǎng)絡(luò)禮儀是基本行為的格式和標(biāo)準(zhǔn)，網(wǎng)絡(luò)規(guī)范是高層次的行為準(zhǔn)則，網(wǎng)絡(luò)道德原則是抽象度最高的行為標(biāo)準(zhǔn)和要求。對(duì)于網(wǎng)絡(luò)行為的一般規(guī)范，國(guó)外已有一些成熟的東西，如美國(guó)計(jì)算機(jī)倫理協(xié)會(huì)制定的“計(jì)算機(jī)倫理十戒”就很有代表性。我們可以借鑒外國(guó)這些成熟的東西進(jìn)行網(wǎng)絡(luò)行為教育。

五、第三方支付企業(yè)內(nèi)部管理制度的保障

第三方支付安全管理制度是用文字形式對(duì)各項(xiàng)安全要求所作的規(guī)定，它是保證企業(yè)取得成功的重要基礎(chǔ)工作，是第三方支付企業(yè)人員安全工作的規(guī)范和準(zhǔn)則。

1.保密制度

企業(yè)可以規(guī)定自己內(nèi)部的保密制度，包括絕密級(jí)：網(wǎng)址、密碼不在因特網(wǎng)上公開(kāi)，只限高層管理人員掌握；機(jī)密級(jí)：只限公司中層管理人員以上使用；秘密級(jí)：在因特網(wǎng)上公開(kāi)，供消費(fèi)者瀏覽，但必須防止黑客侵入等。

2.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度

為保障系統(tǒng)安全運(yùn)行，企業(yè)應(yīng)該規(guī)定日常維護(hù)制度，包括：硬件的日常管理和維護(hù)、軟件的日常維護(hù)和管理、）數(shù)據(jù)備份制度，以及用戶(hù)管理等方面的。

3.病毒防范制度

第三方支付企業(yè)面臨的很多危險(xiǎn)很大程度上是由于病毒，以及木馬程序所造成，所以從第三方企業(yè)內(nèi)部在防病毒方面應(yīng)該有常規(guī)的規(guī)定，包括：給電腦安裝防病毒軟件，不打開(kāi)陌生電子郵件、認(rèn)真執(zhí)行病毒定期清理制度、控制權(quán)限、）高度警惕網(wǎng)絡(luò)陷阱等。

4.應(yīng)急措施

作為內(nèi)部知道，也應(yīng)該具備一些突發(fā)事件的處理能力，包括硬件恢復(fù)、數(shù)據(jù)恢復(fù)、瞬時(shí)復(fù)制技術(shù)等。

參考文獻(xiàn)：

[1]楊英梅.我國(guó)電子商務(wù)的安全問(wèn)題及安全的環(huán)境構(gòu)建[J].中國(guó)商貿(mào)，2010（2）

[2]郭曉武.網(wǎng)絡(luò)第三方遭遇木馬威脅[J].信息網(wǎng)絡(luò)安全，2007（10）

[3]黃海華.論電子商務(wù)中第三方支付的安全性[J].商場(chǎng)現(xiàn)代化，2008（4）