薛安松

（徐州工程學(xué)院 經(jīng)濟學(xué)院 電子商務(wù)教研室，江蘇 徐州 221008）

第三方支付系統(tǒng)安全問題探析

薛安松

（徐州工程學(xué)院 經(jīng)濟學(xué)院 電子商務(wù)教研室，江蘇 徐州 221008）

隨著互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展，第三方支付業(yè)務(wù)不斷發(fā)展壯大，豐富了人們的支付方式和體驗，同時，也必然帶來諸多的風(fēng)險與安全問題，這些問題會阻礙其自身的進一步發(fā)展，給人們的交易帶來隱憂。文章對這些安全問題與風(fēng)險進行了分析并提出針對性的意見與建議。

第三方支付；安全技術(shù)；交易系統(tǒng)

1　第三方支付的發(fā)展現(xiàn)狀

第三方支付是指具備一定實力和信譽保障的第三方獨立機構(gòu)提供的交易支持平臺，它以互聯(lián)網(wǎng)為技術(shù)基礎(chǔ)，與各大銀行簽訂協(xié)議，為網(wǎng)上商家和銀行建立起了互聯(lián)關(guān)系，同時起到監(jiān)管和保障作用。第三方支付目前是電子支付體系的重要組成部分，作為實現(xiàn)資金流信息化的重要途徑，能夠有效提高資金流動的效率和降低資金流動的成本。2010年6月頒布的《非金融機構(gòu)支付服務(wù)管理辦法》明確了第三方支付的合法地位，將其界定為非金融機構(gòu)支付業(yè)務(wù)，也實現(xiàn)了對第三方支付領(lǐng)域的有效監(jiān)管，有利于第三方支付業(yè)務(wù)的健康、穩(wěn)定發(fā)展。

2　第三方支付存在的安全性問題分析

2.1沉淀資金缺乏監(jiān)管

沉淀資金包括在途資金和支付工具吸存資金，在途資金指交易確認后資金完成結(jié)算前尚未到達賣方前的狀態(tài)。支付工具吸存資金指買方在第三方支付平臺的虛擬賬戶中留存的這部分資金。這些沉淀資金由第三方支付平臺實際控制，沉淀資金是否被挪用，完全基于第三方支付平臺的信用。《支付機構(gòu)客戶備付金存管辦法》的出臺一定程度上限制了沉淀資金的風(fēng)險但實際監(jiān)管過程中仍有不足。

2.2信用卡無成本套現(xiàn)以及洗錢風(fēng)險

第三方支付只為交易提供技術(shù)支持，無法保證交易的真實性。不法分子通過網(wǎng)絡(luò)購物支付平臺進行虛擬交易來實現(xiàn)信用卡套現(xiàn)，而且無需為此支付提現(xiàn)成本，違反了信用卡使用的規(guī)定，增加了銀行信用卡業(yè)務(wù)風(fēng)險。此外，不法分子還可以通過設(shè)立多賬戶利用虛假商品交易將不法資金轉(zhuǎn)變?yōu)樯唐方灰椎恼?dāng)收入，實現(xiàn)從違法到合法的轉(zhuǎn)移。

2.3安全技術(shù)的不完善

（1）支付密碼技術(shù)漏洞造成的安全性問題。一般第三方支付平臺采用支付密碼和登錄密碼不同的雙密碼制度，但用戶往往采用固定密碼比如生日等形式，在傳輸過程中一旦被攻擊者截獲破解，就可以輕易地登錄電子商務(wù)網(wǎng)站進行消費，一旦造成重大經(jīng)濟損失，由此而帶來的負面影響不可估量。而實際上，攻擊者實現(xiàn)如上破解難度并不太大，比如誘導(dǎo)用戶登陸釣魚網(wǎng)站或利用遠程登錄、遠程控制和記錄鍵盤等木馬技術(shù)。第三方支付平臺支付密碼技術(shù)漏洞造成的安全隱患如表1所示。

表1　第三方支付平臺支付密碼技術(shù)漏洞安全隱患

（2）數(shù)據(jù)傳遞存儲造成的安全性問題。由于第三方平臺的開放性和系統(tǒng)的設(shè)計存在的一些缺陷，一旦交易的主數(shù)據(jù)服務(wù)器遭受攻擊破壞，存儲和傳遞的交易數(shù)據(jù)被惡意截取、篡改，這些都會造成極大的破壞。此外，某些支付平臺為了減少成本造價或給客戶一種一站式服務(wù)的姿態(tài)，在設(shè)計上采取簡單化手段，不再需要跳至網(wǎng)絡(luò)銀行支付的網(wǎng)頁，用戶只要支付平臺網(wǎng)站輸入賬號密碼就可實現(xiàn)支付，從而引發(fā)客戶資料外泄的安全問題。

3　第三方支付平臺的安全對策及建議

3.1加強對沉淀資金安全管理

明確銀行對支付機構(gòu)的監(jiān)督責(zé)任，出臺操作細則，嚴(yán)格分離支付機構(gòu)自有賬戶與沉淀資金的賬戶，建立并實行定期公布及沉淀資金的保證金信用制度，即銀行開立專用賬戶對第三方支付商賬戶里的交易資金進行托管 第三方支付平臺必須向銀行交納一定比例的保證金才能維護這部分資金的交易安全，以保證客戶即使在公司破產(chǎn)的情況下也能贖回賬戶里的資金。

3.2采用可靠的信息安全技術(shù)保障交易

（1）保障底層安全。為保證交易數(shù)據(jù)流的安全性、保密性和完整性，則必須使用相關(guān)的加密算法對資金流數(shù)據(jù)進行加密，防止未被授權(quán)的非法第三者獲取數(shù)據(jù)的真正含義。如采用 DES私有密鑰加密法、RSA公開密鑰加密法、數(shù)字信封等保密手段。并使用如數(shù)字指紋算法等方法確認資金流信息（如支付指令）的完整性。傳輸時采用SSL協(xié)議，客戶機和服務(wù)器交換信息前都必須構(gòu)建安全通道，所有交易非交易信息都經(jīng)過加密傳輸，從而增加攻擊和破解的難度級數(shù)。

（2）盡量采用安全技術(shù)等級高的產(chǎn)品。交易系統(tǒng)往往提供幾種安全級別的產(chǎn)品，除了使用交易密碼技術(shù)和手機動態(tài)口令外，還有必要使用較高等級的諸如寶令技術(shù)、U盾及電子動態(tài)口令等產(chǎn)品。推薦采用U盾或和銀行U盾來綁定賬戶以保護用戶安全，目前有不少第三方支付為了保護用戶賬戶安全，已經(jīng)提供不少類似于銀行網(wǎng)銀U盾這樣的工具，既方便了用戶又保證了用戶的使用安全，還有的第三方支付平臺和銀行加強合作，銀行的U盾即可用來登錄管理第三方支付平臺的賬戶。

（3）客戶交易時必須安裝數(shù)字證書保障賬戶安全。第三方支付平臺大多推薦使用數(shù)字證書，即使用戶發(fā)送的信息在網(wǎng)上被他人截獲，甚至丟失了個人的賬戶密碼等信息，仍可以保證用戶的賬戶資金安全。

4　結(jié)語

電子商務(wù)的飛速發(fā)展帶動了網(wǎng)絡(luò)支付的飛速發(fā)展，為保障交易的安全性，就需要專業(yè)的支付安全服務(wù)公司、完善的支付安全技術(shù)標(biāo)準(zhǔn)，并建立網(wǎng)絡(luò)支付安全評價體系和準(zhǔn)入機制。一方面，需要政府在政策、法律法規(guī)方面作出嚴(yán)格的規(guī)定和監(jiān)管，另一方面要求第三方支付平臺廠商完善自己的安全管理措施，合理化自己的安全方案，以提供技術(shù)先進、安全可靠的產(chǎn)品，盡量避免安全漏洞。此外，也要求廣大用戶在使用第三方支付平臺進行支付的過程中，注意交易的安全，在可能的前提下，盡量選擇信譽度高、安全性高的支付平臺，以保障自己順利完成網(wǎng)上交易。未來，隨著計算機網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，必將使第三方支付平臺的服務(wù)價值一再提升，從而使人們在進行交易時對其安全性的疑慮降到最低。

[1]李雁.第三方支付的監(jiān)管和發(fā)展[J].中國金融，2013（23）：84-86.

[2]孟昱辰.電子化背景下銀行機構(gòu)和支付機構(gòu)的支付服務(wù)比較研究[D].開封：河南大學(xué)，2014.

[3]喬喬.我國第三方支付的發(fā)展歷程、現(xiàn)狀與趨勢研究[D].大連：遼寧師范大學(xué)，2014.

Analysis on the security problems of third party payment system

Xue Ansong （Electronic Commerce Teaching and Research Section in Economics School of Xuzhou University of Technology, Xuzhou 221008, China）

With the rapid development of Internet and e-commerce, third party payment services continue to grow and develop, which enriches people's experience and methods of payment, at the same time, it also inevitably brings about risk and safety problems, these problems will hinder the further development of its own,which has brought people potential worries for their transaction.In this paper, the security problems and risks are analyzed and some suggestions are put forward.

third party payment; security technology; transaction system

薛安松（1971— ），男，江蘇徐州，本科，講師；研究方向：計算機應(yīng)用。