李俊良

摘要：信息化建設(shè)在各行各業(yè)的全面推進(jìn)使得網(wǎng)上支付成為現(xiàn)今信息社會(huì)一種重要的支付渠道，極大地方便了人們的工作和生活。但同時(shí)，網(wǎng)上支付的安全事件也大量涌現(xiàn)。本文分析網(wǎng)上支付的一般過(guò)程及可能存在的身份假冒、交易數(shù)據(jù)泄露與篡改、商家欺詐等風(fēng)險(xiǎn)，進(jìn)而從技術(shù)和管理兩方面提出安全對(duì)策，防止因網(wǎng)上支付造成用戶的財(cái)產(chǎn)損失和個(gè)人信息泄露。

關(guān)鍵詞：網(wǎng)上支付 電信詐騙 手機(jī)木馬

中圖分類(lèi)號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）12-0193-02

隨著信息技術(shù)的飛速發(fā)展，以及人們對(duì)工作、學(xué)習(xí)、娛樂(lè)、消費(fèi)的便捷性要求越來(lái)越高，各種信息技術(shù)產(chǎn)品層出不窮。尤其是因特網(wǎng)普及后，消費(fèi)者和服務(wù)商之間面對(duì)面的交易不再是必須，網(wǎng)上支付帶來(lái)了極大的便捷性，交易各方利用銀行所支持的數(shù)字金融工具，通過(guò)因特網(wǎng)進(jìn)行交融交換，實(shí)現(xiàn)用戶到金融機(jī)構(gòu)、商家之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等過(guò)程，為電子商務(wù)和其他服務(wù)提供金融支持[1]。

現(xiàn)金轉(zhuǎn)帳、購(gòu)物支付、網(wǎng)上繳費(fèi)等網(wǎng)上支付業(yè)務(wù)極大地方便了人們的生活和工作，這種新穎快捷的支付方式被越來(lái)越多的消費(fèi)者接受。足不出戶，就可以實(shí)現(xiàn)輕松生活，網(wǎng)上支付成為許多人日常生活不可缺少的支付方式。

但與此同時(shí)，網(wǎng)上支付的安全事件不時(shí)發(fā)生，給用戶造成了或多或少的財(cái)產(chǎn)損失和大量的個(gè)人信息泄露，令人們?cè)谑褂镁W(wǎng)上支付時(shí)難以真正放心。

1 網(wǎng)上支付過(guò)程

通過(guò)分析網(wǎng)上交易參與各方的活動(dòng)，網(wǎng)上支付的組成要素有：因特網(wǎng)（Internet），客戶，商家，開(kāi)戶銀行，支付網(wǎng)關(guān)，銀行網(wǎng)絡(luò)，認(rèn)證中心。其工作流程如圖1所示。客戶通過(guò)個(gè)人計(jì)算機(jī)或者移動(dòng)終端訪問(wèn)商戶的網(wǎng)站，登錄時(shí)與認(rèn)證中心交互，取得自己的個(gè)人信息用于身份鑒別；客戶選擇商品或服務(wù)后，確認(rèn)下單，其信息及購(gòu)物款項(xiàng)信息就會(huì)被加密發(fā)送到支付網(wǎng)關(guān)，支付網(wǎng)關(guān)與客戶的購(gòu)物支付卡發(fā)卡銀行通信，驗(yàn)證其合法性；通過(guò)后，確認(rèn)支付和購(gòu)物交易合法有效；其后，物流將商品送至客戶處，客戶確認(rèn)收貨后，交易完成。

目前，網(wǎng)上支付方式包括通過(guò)網(wǎng)上銀行進(jìn)行的轉(zhuǎn)賬支付（即銀行網(wǎng)關(guān)模式）、通過(guò)第三方平臺(tái)完成的支付（即第三方支付平臺(tái)模式）[2]，銀聯(lián)模式和電子現(xiàn)金等。其工作原理分別如下：

（1）銀行網(wǎng)關(guān)模式：商家與銀行簽約，其網(wǎng)站平臺(tái)直接鏈接到銀行網(wǎng)銀系統(tǒng)，客戶購(gòu)物交費(fèi)實(shí)際上就是將現(xiàn)金直接轉(zhuǎn)帳到商家。

（2）第三方支付平臺(tái)模式：電子商務(wù)平臺(tái)先鏈接到第三方支付平臺(tái)，支付平臺(tái)再和銀行鏈接而完成支付手段的一種方式。我國(guó)的第三方支付行業(yè)發(fā)展迅猛，有獨(dú)立的支付企業(yè)諸如快錢(qián)、易寶、首信易等，而作為電子商務(wù)平臺(tái)延伸的在線支付工具如淘寶的支付寶、騰訊的財(cái)付通、百度的百付寶等[3]。

（3）銀聯(lián)模式：在銀聯(lián)在線支付的網(wǎng)站完成的支付模式。

（4）電子現(xiàn)金。在支付機(jī)構(gòu)注冊(cè)虛擬賬戶，通過(guò)向虛擬賬戶充值進(jìn)行相關(guān)支付業(yè)務(wù)，如購(gòu)買(mǎi)游戲幣、QQ幣等。

這些支付模式既可以通過(guò)PC機(jī)支付，也可以通過(guò)手機(jī)、平板等移動(dòng)智能終端完成。分析網(wǎng)上支付過(guò)程和支付形式，客戶端、網(wǎng)絡(luò)協(xié)議、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、支付網(wǎng)關(guān)等處都可能存在風(fēng)險(xiǎn)。網(wǎng)絡(luò)支付安全是一個(gè)系統(tǒng)工程，需要銀行、支付機(jī)構(gòu)、安全廠商、商戶、網(wǎng)絡(luò)管理部門(mén)以及消費(fèi)者共同努力。

從目前網(wǎng)絡(luò)支付的發(fā)展水平和出現(xiàn)的網(wǎng)絡(luò)支付案例來(lái)看，各個(gè)銀行針對(duì)網(wǎng)上支付采用的安全技術(shù)和手段（如一次性口令、USB KEY、短信驗(yàn)證碼等）都較成熟，達(dá)到了很高的安全性。而網(wǎng)上支付安全事件的發(fā)生在大多數(shù)情況是用戶安全防范意識(shí)薄弱和相應(yīng)的安全技能不足所致。下面列出網(wǎng)上支付可能存在的一些風(fēng)險(xiǎn)。

3 網(wǎng)上支付的風(fēng)險(xiǎn)分析

3.1 用戶的身份冒充

這種攻擊基于用戶身份信息被盜用。攻擊者通過(guò)非法手段（如植入木馬、釣魚(yú)等）盜取合法用戶的身份信息，仿冒其身份進(jìn)行轉(zhuǎn)帳或與他人交易，或?qū)嵤┰p騙以獲得非法利益。

已發(fā)生的諸多案例都表明，國(guó)內(nèi)很多網(wǎng)站都存儲(chǔ)了用戶的基本信息（包括姓名、銀行卡號(hào)等），但其都或多或少存在安全漏洞，容易被入侵而導(dǎo)致大量完整的用戶信息被泄露。國(guó)內(nèi)外都有復(fù)制信用卡，盜刷的事件報(bào)道。除此之外，電信詐騙、二維碼含惡意鏈接、釣魚(yú)網(wǎng)站、手機(jī)木馬等威脅也會(huì)造成大量銀行卡信息的泄露。而目前正在快速發(fā)展的很多帶有閃付功能的銀行卡，還能在近距離非接觸的情況下通過(guò)特定終端讀取用戶信息，這種讀取方式靜默，很難發(fā)現(xiàn)。

3.2 敏感數(shù)據(jù)泄露

網(wǎng)上支付的敏感數(shù)據(jù)一般包括個(gè)人信息（姓名、銀行卡號(hào)、通信地址等）和購(gòu)物信息（商品名稱(chēng)、價(jià)格、數(shù)量、購(gòu)買(mǎi)時(shí)間等）。這些數(shù)據(jù)有可能在傳輸中泄漏、丟失或被篡改，如攻擊者利用電磁泄漏或搭線竊聽(tīng)等方式截獲還原傳輸?shù)倪@些敏感信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，探測(cè)和分析有用信息。

3.3 交易數(shù)據(jù)篡改

攻擊者通過(guò)在客戶的計(jì)算機(jī)上植入木馬、制作釣魚(yú)網(wǎng)頁(yè)或截獲傳輸中的信息，篡改其交易數(shù)據(jù)，如修改消息次序、時(shí)間、數(shù)量、金額，注入偽造消息、重放交易等，使信息失去真實(shí)性和完整性。

3.4 商家假冒或欺詐

商家被別人假冒，提供假貨或者收到付款后抵賴(lài)交易。

4 網(wǎng)上支付的安全對(duì)策

為加強(qiáng)網(wǎng)上支付的安全，需參與各方從技術(shù)和管理兩方面同時(shí)著手，在技術(shù)上提高安全性，同時(shí)在規(guī)范管理上防范非法行為。技術(shù)上包括：

4.1 個(gè)人計(jì)算機(jī)或移動(dòng)終端安全

一般來(lái)說(shuō)，作為公共基礎(chǔ)設(shè)施的支付網(wǎng)關(guān)和電子商務(wù)網(wǎng)站等的安全性都是較高的。而個(gè)人使用的計(jì)算機(jī)和移動(dòng)終端的安全性堪憂。因此，個(gè)人計(jì)算機(jī)要及時(shí)安裝和更新病毒木馬查殺軟件，及時(shí)升級(jí)操作系統(tǒng)和應(yīng)用軟件，不輕易打開(kāi)不明文件和訪問(wèn)安全性未知的網(wǎng)站，不下載安裝安全性未知的軟件，不接入公共wifi和使用公共計(jì)算機(jī)進(jìn)行登錄和支付，以防止計(jì)算機(jī)被黑客攻擊，導(dǎo)致個(gè)人信息泄露。

4.2 密碼技術(shù)

一方面，采用密碼相結(jié)合的多因子身份認(rèn)證技術(shù)，加強(qiáng)身份認(rèn)證的強(qiáng)度，防止身份信息被竊取、盜用和假冒，如數(shù)字證書(shū)、短信驗(yàn)證碼、動(dòng)態(tài)口令、USB Key等。另一方面，采用加密技術(shù)對(duì)用戶信息和支付數(shù)據(jù)進(jìn)行加密，防止敏感信息泄露和被篡改。計(jì)算機(jī)或手機(jī)上安裝基于密碼技術(shù)的數(shù)字證書(shū)后，即使賬戶支付密碼被盜，也需要在已經(jīng)安裝了數(shù)字證書(shū)的計(jì)算機(jī)上才能支付，保障資金安全。

4.3 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全

采用多種措施保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫(kù)、硬件設(shè)施等，這與技術(shù)的發(fā)展緊密相關(guān)。

管理方面的措施，主要針對(duì)組織和人而言。其主要工作是加強(qiáng)網(wǎng)上支付的監(jiān)管，要求監(jiān)管機(jī)構(gòu)、銀行和商家做好安全措施，并教育消費(fèi)者樹(shù)立安全意識(shí)，養(yǎng)成良好的安全習(xí)慣。

4.4 建立與完善網(wǎng)上支付的法律法規(guī)

隨著網(wǎng)上業(yè)務(wù)在我國(guó)的發(fā)展，國(guó)家相繼出臺(tái)了多部法律法規(guī)，如《中華人民共和國(guó)電子簽名法》明確了電子簽名的法律有效性，使得網(wǎng)上業(yè)務(wù)受到法律保護(hù)；《電子認(rèn)證服務(wù)管理辦法》、《電子支付指引》、《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》等法律法規(guī)針對(duì)網(wǎng)上業(yè)務(wù)領(lǐng)域給出了一些具體的指導(dǎo)意見(jiàn)。但違法交易所要承擔(dān)的法律責(zé)任，法定的電子貨幣發(fā)行人、合理的貨幣識(shí)別制度以及電子貨幣使用中各方隱私權(quán)保護(hù)制度等法律問(wèn)題[4]上還需要進(jìn)一步明確。而作為金融監(jiān)管機(jī)構(gòu)的中央銀行則要結(jié)合我國(guó)國(guó)情并借鑒國(guó)外發(fā)展經(jīng)驗(yàn)，嚴(yán)格技術(shù)標(biāo)準(zhǔn)，強(qiáng)化業(yè)務(wù)監(jiān)管。

今年11月，國(guó)家出臺(tái)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，在網(wǎng)絡(luò)安全各方面將做出指導(dǎo)性規(guī)定。而在這部法律出臺(tái)后，各領(lǐng)域相關(guān)配套的法律法規(guī)，包括網(wǎng)上支付方面的法規(guī)也會(huì)隨后推出，以規(guī)范網(wǎng)上支付活動(dòng)，打擊違法犯罪，保護(hù)合法權(quán)益。

4.5 加強(qiáng)法制和安全意識(shí)宣傳

通過(guò)多種途徑宣傳和公開(kāi)典型案例，警示用戶樹(shù)立安全意識(shí)，培養(yǎng)良好的安全習(xí)慣，比如電信詐騙案例、短信二維碼惡意鏈接案例、網(wǎng)絡(luò)釣魚(yú)案例、其他社工案例等。通過(guò)宣傳，促使用戶采用銀行等機(jī)構(gòu)提供的安全產(chǎn)品和采納銀行等機(jī)構(gòu)的安全建議，提高安全防護(hù)能力，如密碼強(qiáng)度足夠，并與其它密碼不同，支付卡專(zhuān)用，金額隨用隨存等。在網(wǎng)絡(luò)支付發(fā)現(xiàn)情況有異時(shí)，如頁(yè)面跳轉(zhuǎn)、不停要求輸入信息或彈出無(wú)關(guān)提示等時(shí)，停止操作以止損，并報(bào)警和保護(hù)現(xiàn)場(chǎng)。同時(shí)，加強(qiáng)對(duì)網(wǎng)絡(luò)不法行為的追查處罰力度，威懾不良企圖者，減少違法行為發(fā)生的可能性。

4.6 網(wǎng)絡(luò)實(shí)名制

今年電信實(shí)名制也真正落實(shí)實(shí)施，將對(duì)電信詐騙起到很強(qiáng)的防范作用。

同樣，通過(guò)網(wǎng)絡(luò)實(shí)名制，使得網(wǎng)絡(luò)上的虛擬身份能與現(xiàn)實(shí)社會(huì)的身份對(duì)應(yīng)，防止交易抵賴(lài)，方便追究和落實(shí)相關(guān)責(zé)任人。同時(shí)，網(wǎng)絡(luò)實(shí)名制也將對(duì)攻擊者形成強(qiáng)大的威懾力，利用網(wǎng)上支付實(shí)施的違法犯罪行為也將大大減少。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)支付應(yīng)用已非常廣泛，只有保證其安全性才能健康穩(wěn)定發(fā)展。本文基于網(wǎng)絡(luò)支付可能存在的風(fēng)險(xiǎn)，從技術(shù)、管理等方面提出了相應(yīng)的安全對(duì)策，防止用戶的財(cái)產(chǎn)損失和個(gè)人信息泄露。

參考文獻(xiàn)

[1]劉亞軍.網(wǎng)上支付系統(tǒng)的安全性研究[J].現(xiàn)代電子技術(shù)，2013，36（8）：74-76.

[2]王淦銀.我國(guó)網(wǎng)上支付六大瓶頸待破[J].中國(guó)銀行業(yè)，2015，（1）：85-87.

[3]張艷冀.信息化時(shí)代下的電子支付產(chǎn)業(yè)發(fā)展研究[J].電子技術(shù)與軟件工程，2013，（23）：250-251.

[4]周莉婷.我國(guó)電子商務(wù)網(wǎng)上支付業(yè)務(wù)存在問(wèn)題及對(duì)策[J].淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào)， 2008， 7（4）：41-42.