薛安松
(徐州工程学院 经济学院 电子商务教研室,江苏 徐州 221008)
第三方支付系统安全问题探析
薛安松
(徐州工程学院 经济学院 电子商务教研室,江苏 徐州 221008)
随着互联网和电子商务的快速发展,第三方支付业务不断发展壮大,丰富了人们的支付方式和体验,同时,也必然带来诸多的风险与安全问题,这些问题会阻碍其自身的进一步发展,给人们的交易带来隐忧。文章对这些安全问题与风险进行了分析并提出针对性的意见与建议。
第三方支付;安全技术;交易系统
第三方支付是指具备一定实力和信誉保障的第三方独立机构提供的交易支持平台,它以互联网为技术基础,与各大银行签订协议,为网上商家和银行建立起了互联关系,同时起到监管和保障作用。第三方支付目前是电子支付体系的重要组成部分,作为实现资金流信息化的重要途径,能够有效提高资金流动的效率和降低资金流动的成本。2010年6月颁布的《非金融机构支付服务管理办法》明确了第三方支付的合法地位,将其界定为非金融机构支付业务,也实现了对第三方支付领域的有效监管,有利于第三方支付业务的健康、稳定发展。
2.1沉淀资金缺乏监管
沉淀资金包括在途资金和支付工具吸存资金,在途资金指交易确认后资金完成结算前尚未到达卖方前的状态。支付工具吸存资金指买方在第三方支付平台的虚拟账户中留存的这部分资金。这些沉淀资金由第三方支付平台实际控制,沉淀资金是否被挪用,完全基于第三方支付平台的信用。《支付机构客户备付金存管办法》的出台一定程度上限制了沉淀资金的风险但实际监管过程中仍有不足。
2.2信用卡无成本套现以及洗钱风险
第三方支付只为交易提供技术支持,无法保证交易的真实性。不法分子通过网络购物支付平台进行虚拟交易来实现信用卡套现,而且无需为此支付提现成本,违反了信用卡使用的规定,增加了银行信用卡业务风险。此外,不法分子还可以通过设立多账户利用虚假商品交易将不法资金转变为商品交易的正当收入,实现从违法到合法的转移。
2.3安全技术的不完善
(1)支付密码技术漏洞造成的安全性问题。一般第三方支付平台采用支付密码和登录密码不同的双密码制度,但用户往往采用固定密码比如生日等形式,在传输过程中一旦被攻击者截获破解,就可以轻易地登录电子商务网站进行消费,一旦造成重大经济损失,由此而带来的负面影响不可估量。而实际上,攻击者实现如上破解难度并不太大,比如诱导用户登陆钓鱼网站或利用远程登录、远程控制和记录键盘等木马技术。第三方支付平台支付密码技术漏洞造成的安全隐患如表1所示。
表1 第三方支付平台支付密码技术漏洞安全隐患
(2)数据传递存储造成的安全性问题。由于第三方平台的开放性和系统的设计存在的一些缺陷,一旦交易的主数据服务器遭受攻击破坏,存储和传递的交易数据被恶意截取、篡改,这些都会造成极大的破坏。此外,某些支付平台为了减少成本造价或给客户一种一站式服务的姿态,在设计上采取简单化手段,不再需要跳至网络银行支付的网页,用户只要支付平台网站输入账号密码就可实现支付,从而引发客户资料外泄的安全问题。
3.1加强对沉淀资金安全管理
明确银行对支付机构的监督责任,出台操作细则,严格分离支付机构自有账户与沉淀资金的账户,建立并实行定期公布及沉淀资金的保证金信用制度,即银行开立专用账户对第三方支付商账户里的交易资金进行托管 第三方支付平台必须向银行交纳一定比例的保证金才能维护这部分资金的交易安全,以保证客户即使在公司破产的情况下也能赎回账户里的资金。
3.2采用可靠的信息安全技术保障交易
(1)保障底层安全。为保证交易数据流的安全性、保密性和完整性,则必须使用相关的加密算法对资金流数据进行加密,防止未被授权的非法第三者获取数据的真正含义。如采用 DES私有密钥加密法、RSA公开密钥加密法、数字信封等保密手段。并使用如数字指纹算法等方法确认资金流信息(如支付指令)的完整性。传输时采用SSL协议,客户机和服务器交换信息前都必须构建安全通道,所有交易非交易信息都经过加密传输,从而增加攻击和破解的难度级数。
(2)尽量采用安全技术等级高的产品。交易系统往往提供几种安全级别的产品,除了使用交易密码技术和手机动态口令外,还有必要使用较高等级的诸如宝令技术、U盾及电子动态口令等产品。推荐采用U盾或和银行U盾来绑定账户以保护用户安全,目前有不少第三方支付为了保护用户账户安全,已经提供不少类似于银行网银U盾这样的工具,既方便了用户又保证了用户的使用安全,还有的第三方支付平台和银行加强合作,银行的U盾即可用来登录管理第三方支付平台的账户。
(3)客户交易时必须安装数字证书保障账户安全。第三方支付平台大多推荐使用数字证书,即使用户发送的信息在网上被他人截获,甚至丢失了个人的账户密码等信息,仍可以保证用户的账户资金安全。
电子商务的飞速发展带动了网络支付的飞速发展,为保障交易的安全性,就需要专业的支付安全服务公司、完善的支付安全技术标准,并建立网络支付安全评价体系和准入机制。一方面,需要政府在政策、法律法规方面作出严格的规定和监管,另一方面要求第三方支付平台厂商完善自己的安全管理措施,合理化自己的安全方案,以提供技术先进、安全可靠的产品,尽量避免安全漏洞。此外,也要求广大用户在使用第三方支付平台进行支付的过程中,注意交易的安全,在可能的前提下,尽量选择信誉度高、安全性高的支付平台,以保障自己顺利完成网上交易。未来,随着计算机网络安全技术的快速发展,必将使第三方支付平台的服务价值一再提升,从而使人们在进行交易时对其安全性的疑虑降到最低。
[1]李雁.第三方支付的监管和发展[J].中国金融,2013(23):84-86.
[2]孟昱辰.电子化背景下银行机构和支付机构的支付服务比较研究[D].开封:河南大学,2014.
[3]乔乔.我国第三方支付的发展历程、现状与趋势研究[D].大连:辽宁师范大学,2014.
Analysis on the security problems of third party payment system
Xue Ansong (Electronic Commerce Teaching and Research Section in Economics School of Xuzhou University of Technology, Xuzhou 221008, China)
With the rapid development of Internet and e-commerce, third party payment services continue to grow and develop, which enriches people's experience and methods of payment, at the same time, it also inevitably brings about risk and safety problems, these problems will hinder the further development of its own,which has brought people potential worries for their transaction.In this paper, the security problems and risks are analyzed and some suggestions are put forward.
third party payment; security technology; transaction system
薛安松(1971— ),男,江苏徐州,本科,讲师;研究方向:计算机应用。