徐 雷, 卓武揚, 李雪玫

(1. 西華大學(xué)經(jīng)濟與貿(mào)易學(xué)院, 四川 成都 610039; 2. 四川大學(xué)商學(xué)院博士后流動站, 四川 成都 610064)

0 引 言

在移動支付服務(wù)能夠確保客戶資金安全并且賬戶機密信息得到保障的前提下，全球大多數(shù)消費者在生活與工作中都傾向于接受移動支付模式[1]；而移動支付目前仍受到我國眾多消費者的排斥，其首要原因是對移動支付系統(tǒng)的安全性缺乏信心，這類消費者占總排斥人數(shù)的38.2%[2]。尤其在移動電子商務(wù)領(lǐng)域，由于移動電子商務(wù)缺乏安全的商業(yè)信息交流與電子金融交易保證，更增加了消費者對移動支付的不信任。我國的移動電子商務(wù)產(chǎn)業(yè)在未來3年將進入一個關(guān)鍵的發(fā)展階段[3]，因而移動支付安全已成為制約當(dāng)前移動電子商務(wù)發(fā)展的最大障礙。移動支付需要信息在利益相關(guān)者之間協(xié)調(diào)并安全地交換；然而由于內(nèi)在技術(shù)及運行控制上的漏洞，利益相關(guān)者需同時面對多方面的安全風(fēng)險[4]，因此移動支付產(chǎn)業(yè)的利益相關(guān)者必須強效應(yīng)對系統(tǒng)安全的挑戰(zhàn)，防止安全漏洞，以避免系統(tǒng)風(fēng)險，保障利益相關(guān)者的資產(chǎn)[5]。

我國的移動支付產(chǎn)業(yè)在經(jīng)歷了10余年的發(fā)展后，在移動互聯(lián)網(wǎng)經(jīng)濟和移動電子商務(wù)激增的帶動下同步進入了快速增長階段。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)提供的信息，我國的移動支付交易總額在2013年的第1季度即達到646億元，其中第三方移動支付占據(jù)了最大份額，為69.2%[6]。移動支付涉及眾多的利益相關(guān)者，包括支付服務(wù)提供商、金融機構(gòu)、移動網(wǎng)絡(luò)運營商、移動設(shè)備制造商和內(nèi)容提供商等[7]，因而該領(lǐng)域所涉及的移動支付安全風(fēng)險影響包括所有這些移動支付產(chǎn)業(yè)的多元系統(tǒng)因素?；诖耍C合化的風(fēng)險評估就成為移動支付安全在風(fēng)險預(yù)警、規(guī)劃和管理中的關(guān)鍵環(huán)節(jié)。

有學(xué)者對移動支付安全[8-9]、系統(tǒng)的風(fēng)險評估和相關(guān)的決策支持等問題[10-13]進行了研究?？偟膩碚f，從消費者角度出發(fā)且有現(xiàn)代技術(shù)支撐的支付方式已被現(xiàn)有相關(guān)研究證實為最理想的安全保障措施[14-15]；然而，這些研究到目前為止仍缺乏對移動支付風(fēng)險管理和相關(guān)決策支持系統(tǒng)的關(guān)注。本文將從移動支付安全的整體性和系統(tǒng)性出發(fā)，設(shè)計基于網(wǎng)絡(luò)的移動支付安全風(fēng)險評估系統(tǒng)，并探討該系統(tǒng)對移動支付系統(tǒng)中存在的交互性和不確定性問題的應(yīng)對[16]。

1 移動支付安全風(fēng)險評估框架

移動支付安全風(fēng)險評估是移動支付風(fēng)險管理過程中的一個重要組成部分。進行評估的目的是更客觀地對移動支付系統(tǒng)所面臨的風(fēng)險進行分析評判，確定其相應(yīng)的安全等級，此評判結(jié)果將對風(fēng)險管理提供決策依據(jù)。

在移動支付安全風(fēng)險評估過程中的關(guān)鍵屬性包括被保護的關(guān)鍵資產(chǎn)特征、確定不同利益相關(guān)者的可信性及威脅，以及相關(guān)脆弱性及風(fēng)險的評估[17]，因此，針對上述3類關(guān)鍵屬性，移動支付風(fēng)險評估可以分成脆弱性、威脅性和對資產(chǎn)的影響3方面。移動支付系統(tǒng)的風(fēng)險水平可以通過相關(guān)的資產(chǎn)價值、威脅的可能性以及脆弱性程度進行識別。如圖1所示，移動支付安全風(fēng)險評估的關(guān)鍵在于識別安全事件發(fā)生的可能性及其潛在的影響。安全事件發(fā)生的可能性即安全事件概率，取決于其威脅發(fā)生的頻率和脆弱性的嚴(yán)重程度；而安全事件影響主要反映在脆弱性和資產(chǎn)價值2方面。

圖1 移動支付安全風(fēng)險評估概念圖

2 系統(tǒng)決策模型

風(fēng)險評估過程中的分析部分通常采用定性的專家判斷方法。預(yù)期的結(jié)果是定性測定的風(fēng)險值，這為安全風(fēng)險的防御和配套措施的優(yōu)先決策提供堅實的基礎(chǔ)。在評估過程中，不完備的或模糊的信息已經(jīng)成為了影響風(fēng)險評估有效性的最主要因素[18]，因此，采用模糊數(shù)來評估移動支付安全風(fēng)險指標(biāo)能夠使其更貼近現(xiàn)實地表明問題。由于復(fù)雜的風(fēng)險評估環(huán)境以及日益增多的信息不確定性，指標(biāo)權(quán)重的確定以及對于定性指標(biāo)的定量評價變得越來越難以實現(xiàn)[19]，因此，包括熵理論在內(nèi)的人工智能技術(shù)已被廣泛地應(yīng)用在解決系統(tǒng)安全風(fēng)險評估中的各類不確定決策問題的過程中[20]。

2.1 決策模型概述

基于上述分析，建立一個融合的決策模型，首先對移動支付安全風(fēng)險定級，進而有效地評估移動支付安全風(fēng)險并實施系統(tǒng)化的風(fēng)險管理。

決策模型如圖2所示，圍繞系統(tǒng)的脆弱性、威脅性和對資產(chǎn)的影響構(gòu)建決策指標(biāo)體系。評估過程始于利用模糊網(wǎng)絡(luò)分析(ANP)方法得到指標(biāo)體系中各個指標(biāo)優(yōu)先級，而后利用信息熵方法減小評估的主觀性并確定移動支付安全風(fēng)險等級。系統(tǒng)指標(biāo)的模糊成對比較及其風(fēng)險評級均由領(lǐng)域?qū)＜彝ㄟ^相關(guān)反饋信息而達成。在得到所有指標(biāo)的全局優(yōu)先級之后，利用各指標(biāo)的風(fēng)險評級來計算其熵權(quán)系數(shù)并最終確定移動支付安全風(fēng)險的等級。

圖2 移動支付安全風(fēng)險評估系統(tǒng)的決策模型

2.2 指標(biāo)體系構(gòu)建

模型中風(fēng)險評估指標(biāo)體系的建立是基于移動支付風(fēng)險因素的識別，對Ⅰ級指標(biāo)和次級指標(biāo)進行分解而達成的。根據(jù)前述風(fēng)險管理理論框架，脆弱性、威脅性和對資產(chǎn)的影響被定為3個Ⅰ級指標(biāo)。此外還有5方面內(nèi)容一直被認為對于安全交易來說是必不可少的[21-23]，即機密性、完整性、身份驗證、可用性和不可抵賴性。基于對這5方面的擴充，并利用歷史記錄與專家知識對移動支付安全事件分析后初步得出20個系統(tǒng)默認的風(fēng)險指標(biāo)，并將其分別歸類至3個Ⅰ級指標(biāo)。表1給出了系統(tǒng)初始的默認指標(biāo)體系及其相應(yīng)風(fēng)險影響域中的利益相關(guān)者。

表1 第三方移動支付安全風(fēng)險評估指標(biāo)體系

2.3 指標(biāo)模糊風(fēng)險評級

系統(tǒng)在此過程中基于網(wǎng)絡(luò)接口輸入并集結(jié)專家和利益相關(guān)者的評價信息，圍繞指標(biāo)體系進行指標(biāo)間的成對比較，利用模糊ANP借助Super Decisions工具計算劃分出各個指標(biāo)的全局優(yōu)先級。接著由領(lǐng)域?qū)＜一诶嫦嚓P(guān)者提供的信息進行單個指標(biāo)風(fēng)險的評級，指標(biāo)風(fēng)險評級利用1個Ⅴ級邏輯標(biāo)尺分別來度量脆弱性、威脅性(威脅發(fā)生頻率)和對資產(chǎn)影響所屬Ⅱ級指標(biāo)的風(fēng)險程度，因而風(fēng)險評級即是指標(biāo)與邏輯標(biāo)尺之間的模糊映射。以威脅性指標(biāo)發(fā)生頻率為例，表2示出其Ⅴ級風(fēng)險評級。

表2 威脅性指標(biāo)發(fā)生頻率的Ⅴ級風(fēng)險評級

(1)

(2)

(3)

(4)

在此之后即計算3類風(fēng)險指標(biāo)相應(yīng)的安全風(fēng)險值 SRV。首先得出各指標(biāo)的全局評級向量

(5)

(6)

相應(yīng)的，全局安全風(fēng)險值SRV即為各指標(biāo)安全風(fēng)險值SRVk與通過模糊ANP得到的各指標(biāo)全局優(yōu)先級ηk(k= 1,2,3)的加權(quán)和，即

SRV=η1·SRV1+η2·SRV2+η3·SRV3。

(7)

根據(jù)事先劃分的風(fēng)險等級值域，將SRV置于相應(yīng)的風(fēng)險等級值域便能完成對移動支付安全風(fēng)險定級。

3 系統(tǒng)設(shè)計

3.1 系統(tǒng)要求

首先需要明確一系列的關(guān)鍵屬性來促進一個決策支持系統(tǒng)的設(shè)計，并支撐功能需求與前述的系統(tǒng)決策模型。依據(jù)設(shè)計科學(xué)的研究方法論[25]，為達成一個基于網(wǎng)絡(luò)決策支持系統(tǒng)的移動支付安全風(fēng)險評估，必要的需求被確立為以下的系統(tǒng)能力。

1)通過良好設(shè)計的用戶界面提升系統(tǒng)可用性與用戶體驗。

2)區(qū)分不同用戶的權(quán)限和訪問權(quán)限控制。

3)啟用動態(tài)風(fēng)險管理標(biāo)準(zhǔn)和可調(diào)指標(biāo)體系。

4)支持領(lǐng)域?qū)＜腋鶕?jù)利益相關(guān)者的反饋信息進行評判。

5)鼓勵通過反復(fù)迭代的判斷形成共識的評估結(jié)果。

6)提供存檔和以往評估結(jié)果來支持未來的評估案例，促進系統(tǒng)記憶及易用性。

7)提供存檔的決策結(jié)果支持未來的評估案例。

基于網(wǎng)絡(luò)的移動支付安全風(fēng)險評估系統(tǒng)的設(shè)計將在滿足這些需求的前提下進行。

3.2 系統(tǒng)架構(gòu)

基于網(wǎng)絡(luò)的移動支付安全風(fēng)險評估系統(tǒng)是一個涵蓋業(yè)務(wù)流程以及從第三方移動支付服務(wù)商、金融機構(gòu)、內(nèi)容提供商、移動網(wǎng)絡(luò)運營商、管理者到領(lǐng)域?qū)＜以趦?nèi)的安全風(fēng)險等級決策支持系統(tǒng)。同時考慮到系統(tǒng)使用者可能位于不同地區(qū)，就此需要開發(fā)一個基于瀏覽器/服務(wù)器(B/S)的互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)系統(tǒng)平臺。系統(tǒng)架構(gòu)從概念上依賴于一個典型的3層架構(gòu)，包括接口層、數(shù)據(jù)層和邏輯層，如圖3所示。

圖3 系統(tǒng)架構(gòu)設(shè)計

這一系統(tǒng)架構(gòu)由相互連接的功能模塊組成，以一個表示層接入(用戶界面)為基礎(chǔ)進行建構(gòu)，并由一個存儲指標(biāo)體系和輔助決策的數(shù)據(jù)庫支撐。接口層使用戶能夠輸入并更改信息；數(shù)據(jù)層包含外部數(shù)據(jù)庫以實時上載多源數(shù)據(jù)；邏輯層處理來自數(shù)據(jù)層的信息并通過接口層反饋給用戶。邏輯層作為核心要件，由風(fēng)險指標(biāo)管理、信息集結(jié)和支持引擎3個功能模塊組成。風(fēng)險指標(biāo)管理模塊使被分配的用戶如領(lǐng)域?qū)＜?，能夠行使基本的管理功能，并使來自以往指?biāo)體系或評估案例的知識可被再次使用。

3.3 操作流程

根據(jù)上述系統(tǒng)體系結(jié)構(gòu)的特點，用戶可以通過接入互聯(lián)網(wǎng)并基于網(wǎng)頁用戶界面的方式操作該決策支持系統(tǒng)。系統(tǒng)可基于PHP5、MySQL5和Apahce2.2網(wǎng)頁服務(wù)器及其他一些開源軟件開發(fā)并置于Windows 2003服務(wù)器環(huán)境下。此外，Super Decisions工具可以用于全局優(yōu)先級的計算。系統(tǒng)主要由3個用戶類別操作：系統(tǒng)管理者，負責(zé)管控評估案例，授權(quán)其他用戶參與接入并輔助決策過程；領(lǐng)域?qū)＜?，負?zé)確立評估指標(biāo)體系并執(zhí)行相關(guān)的模糊評判；利益相關(guān)者，負責(zé)提供反饋以支持風(fēng)險評級與信息集結(jié)。

每當(dāng)啟動一個評估案例，用戶(領(lǐng)域?qū)＜一蚬芾碚?可以調(diào)整風(fēng)險指標(biāo)及其相關(guān)性，以升級指標(biāo)體系或是選擇性地采用存儲的默認指標(biāo)信息。為推進信息集結(jié)，身處不同地點的領(lǐng)域?qū)＜彝ㄟ^網(wǎng)頁端的用戶界面，鍵入模糊語義標(biāo)度完成指標(biāo)的成對比較，以及輸入Ⅴ級邏輯標(biāo)尺來確定指標(biāo)風(fēng)險評級。移動支付安全風(fēng)險等級的確定則是基于指標(biāo)風(fēng)險評級與模糊ANP得到的全局優(yōu)先級，由支持引擎通過信息熵方法計算全局安全風(fēng)險值SRV來達成風(fēng)險定級決策。系統(tǒng)的一般交互過程如圖4所示。

圖4 系統(tǒng)的一般交互過程

4 結(jié)論

由于移動支付安全涉及較為廣泛的組織關(guān)系與責(zé)任，開發(fā)能夠處理移動支付安全實際決策問題中的復(fù)雜性與不確定性的決策支持方法和系統(tǒng)已成為現(xiàn)實需要。本文針對移動支付安全風(fēng)險的評估問題設(shè)計了一個基于網(wǎng)絡(luò)的安全風(fēng)險評估系統(tǒng)。該系統(tǒng)基于一個在模糊決策環(huán)境下的網(wǎng)絡(luò)平臺構(gòu)架，結(jié)合模糊網(wǎng)絡(luò)分析與信息熵技術(shù)，實現(xiàn)多重定性判斷與定量分析綜合集成的決策支持。圍繞脆弱性、威脅性和對資產(chǎn)的影響3類指標(biāo)構(gòu)建的系統(tǒng)默認指標(biāo)體系初步構(gòu)成了一個有益于移動支付安全風(fēng)險管理的分析框架。通過定性模糊方法與信息熵技術(shù)的結(jié)合能夠形成一個有效的移動支付安全風(fēng)險評估系統(tǒng)，該系統(tǒng)對于指標(biāo)優(yōu)先級和風(fēng)險評級的效力將在后續(xù)的工作中進一步驗證。

[1]Schierz P G, Schilke O, Wirtz B W. Understanding Consumer Acceptance of Mobile Payment Services: An Empirical Analysis[J]. Electronic Commerce Research and Applications, 2010, 9(3):209-216.

[2]中國在線支付安全狀況報告[EB/OL]. (2012-11-21).[2014-09-12].http://www.cnnic.net.cn.

[3]Trends and Prospects of Mobile Payment Industry in China 2012-2015: Creating Innovative Models, Boosting Mobile Financial Services[R]. Deloitte China, 2012.

[4]Robert C D, Matthew W H, Elizabeth A K, et al. Mobile Payments: An Evolving Landscape[J]. Supervisory Insights, 2012, 9(2): 3-11.

[5]Dahlberg T, Mallat N, Ondrus J, et al. Past,Present and Future of Mobile Payments Research: A Literature Review[J]. Electronic Commerce Research and Applications, 2008, 7(2): 165-181.

[6]Mobile Payment Heats up the ThirdParty Payment Market[EB/OL].(2013-06-06).[2013-10-23]. http://english.iresearch.com.cn/views/4942.html.

[7]Au Y A, Kauffman R J. The Economics of Mobile Payments: Understanding Stakeholder Issues for an Emerging Financial Technology Application[J]. Electronic Commerce Research and Applications, 2008, 7(2): 141-164.

[8]Lin Phone,Chen Hung-Yueh,FANG Yuguang,et al. A Secure Mobile Electronic Payment Architecture Platform for Wireless Mobile Networks[J]. IEEE Transactions on Wireless Communications, 2008, 7(7): 2705-2713.

[9]SaleemKadhiwal,Anwar Usman Shaheed Zulfiquar. Analysis of Mobile Payment Security Measures and Different Standards[J]. Computer Fraud & Security, 2007(6): 12-16.

[10]Feng N, Li M. An Information Systems Security Risk Assessment Model under Uncertain Environment[J]. Applied Soft Computing, 2010, 11(7): 4332-4340.

[11]Rees L P, Deane J K, Rakes T R, et al. Decision Support for Cyber Security Risk Planning[J]. Decision Support Systems, 2011, 51(3): 493-505.

[12]El-Gayar O F, Fritz B D. A Web-based Multi-perspective Decision Support System for Information Security Planning[J]. Decision Support Systems, 2010, 50(1): 43-54.

[13]Alonso S, Herrera-Viedma E, Chiclana F, et al. A Web Based Consensus Support System for Group Decision Making Problems and Incomplete Preferences[J]. Information Sciences, 2010, 180(23): 4477-4495.

[14]Deans P Candace. E-commerce and M-commerce Technologies[M]. USA: IGI Global, 2005:21-37.

[15]Zhou T. An Empirical Examination of Continuance Intention of Mobile Payment Services[J]. Decision Support Systems, 2013, 54(2): 1085-1091.

[16]Pérez I J, Cabrerizo F J, Herrera-Viedma E. A Mobile Decision Support System for Dynamic Group Decision-making Problems[J]. IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, 2010, 40(6): 1244-1256.

[17]Bajpai S, Sachdeva A, Gupta J P. SecurityRisk Assessment: Applying the Concepts of Fuzzy Logic[J]. Journal of Hazardous Materials, 2009, 173(1): 258-264.

[18]Li W, Zhou J, Xie K, et al. Power System Risk Assessment using a Hybrid Method of Fuzzy Set and Monte Carlo Simulation[J]. IEEE Transactions on Power Systems, 2008, 23 (2): 336-343.

[19]Haimes Y Y. RiskModeling, Assessment, and Management[M]. USA: John Wiley & Sons, 2011:45-57.

[20]Flanagan, Dawn P, Patti L. Harrison,et al. Contemporary Intellectual Assessment: Theories, Tests, and Issues[M]. USA: Guilford Press, 2012:32-65.

[21]Varshney U. Mobile Payments[J]. Computer, 2002, 35(12): 120-121.

[22]Karnouskos S. MobilePayment: a Journey through Existing Procedures and Standardization Initiatives[J]. IEEE Communications Surveys & Tutorials, 2004, 6(4): 44-66.

[23]Marianne C. Evolving Mobile Landscape Challenges and Opportunities[C]// Technology, Compliance and Risk Management Forum.[S.l.]: [s.n.], NY Banker Association,2012.

[24]趙剛, 劉換. 基于多層次模糊綜合評判及熵權(quán)理論的實用風(fēng)險評估[J]. 清華大學(xué)學(xué)報:自然科學(xué)版, 2012, 52(10): 1382-1387.

[25]Chatterjee S. DesignResearch in Information Systems: Theory and Practice[M]. Germany: Springer, 2010:24-39.