第三方支付信息安全保障策略研究

刁宇亮

摘 要：第三方安全支付的信息安全保障策略是一个安全体系构建的问题，仅仅解决技术因素和问题是难以成型的。第三方支付机构可以从系统安全、信息安全、法律建设和道德约束角度去思考完善第三方支付信息安全保障，构筑完善的保障措施和对策。

关键词：第三方支付；信息安全；保障策略

第三方支付的安全性和稳妥性直接关系到互联网金融的健康发展，对新时期的金融体系和经济体系都有直接的影响，构筑第三方支付信息安全保障措施是必须且必要的。只有电子商务交易各方均感受到支付的安全性之后，电商的发展才能如火如荼进行。

一、系统安全研究

第三方支付信息安全保障首先需要从系统安全着手开始，在实体安全和系统运行安全方面进行制度建设和保障措施运行。

首先，要开展实体安全保护。第三方支付是和多个商家与银行系统联结在一起的，基本设备的安全保障成为基础环节和关键一环，为系统安全运作奠定良好的基础。实体安全保护需要对计算机设备、网络设施和其他媒体配备进行保护，避免其遭受到火灾、水灾、污染和有害气体等事故的破坏。其一，要保障环境安全。在实体安全中、所指的环境主要是指电子商务系统所在的外部环境，环境安全保护应该具备受灾报警、受灾保护、受灾恢复等功能，使得电子商务系统受到水、火、地震、雷击和静电危害的可能性降到最低。在电子商务系统的特定区域内，还要提供某种形式的隔离措施和保护措施，使得电子商务系统能够妥善运行。其二，要保障设备安全。在电子商务中，对第三方系统的设备进行防盗、防毁、防电磁信息泄露的保护是很重要的，需要实时监测线路运行状况，避免电磁干扰并进行电源保护。

其次，要对系统运行安全进行保障。电子商务开展的过程中，首先要做的就是第三方支付风险分析，对系统中潜在的安全风险进行防范，动态地检测、跟踪和和记录商业活动状态，对系统运行初期的安全漏洞进行扫描。在系统运行一段时期之后，要对系统脆弱性进行分析报告提交；跟踪审计在第三方支付中也具有至关重要的作用，系统可以进行人工审计也可以进行自动审计，对审计记录和审计日志进行详尽和完整的保护；第三方支付系统应当具备备份和恢复功能，各个单位可以运功磁介质、纸介质、光碟和缩微载体等多种形式进行数据备份和恢复。

二、信息安全

信息安全主要保障的是用户的信息财产不被故意或者偶然的更改、破坏、控制和辨认，杜绝信息被非授权泄露的可能性。

首先，要保障操作系统安全。各单位需要有效地控制电子商务系统的软硬件设施，使得管理的资源能够得到一定程度的保护。其次，要保障数据库安全。各单位可以通过安全机制和操作系统的结合来实现对数据库信息和相关资源的保护。再次，要保障网络安全。在信息安全中所涉及到的網络安全，主要是指对网络服务和网络资源的安全保护，在相关技术和管理措施的加持下保障网络的正常运行，使得网络中数据的完整性、实用性和机密性得到保护，安全保护和网络安全管理息息相关。最后，要进行计算机病毒防护。计算机在本质上是一种指令或者程序代码，它在编制代码或者安装计算机程序的时候插入，能够破坏计算机数据和电脑正常运行，具有较强的破坏力。电子商务中需要建立系统保护机制进行病毒的检测、预防和消除。

三、构筑健全的法律法规体系

第三方支付要实现规范化管理就必须解决第三方支付的法律地位问题，为第三方支付提供合法的金融机构地位，为相关交易纠纷提供强有力的法律处理依据。

第一，要保障第三方支付法律的法律地位。第三方支付中最为主要的一个问题就是法律地位问题，政府应当针对第三方支付出台相关的法律法规，并进行产业政策体系融入。当前的《非金融机构支付服务管理办法》虽然在行业准入管理上具有一定的优势，但是其终归不是完善的法律体系，对第三方支付机构的约束力和权威性都较差。笔者认为应当尽快地出台和第三方支付相关的法律法规体系。

第二，要进行妥善的第三方支付监管。用户在将资金交付给第三方支付机构后，到最终确认收货之时存在着一定的时间差，所以这笔资金会在第三方支付账号上沉淀一段时期，如果缺乏有效的监管，第三方支付是否会挪用这笔资金是难以保证的。因此，国家应该出台一系列的监管政策保障用户的资金安全和第三方支付机构的运行规范。

第三，要妥善地处理法律纠纷。第三方支付交易涉及到银行、商家、用户和认证中心等多个对象，第三方支付交易的过程中不可避免地会涉及到一些资金交易问题，这些问题如果不妥善解决可能就会出现资金被盗和资金泄露问题。比如用户在交易过程中，由于商家发货过慢导致资金在系统规定的时间内被划拨到商家账户时，如果商家存在信誉存在缺陷的商家，那么买家损失的资金将由谁来赔付呢？国家在这方面还没专门的法律来保障。笔者认为理论研究学者应当在综合考虑消费者权益保护法》、《个人隐私权保护法》、《商业秘密保护法》、《合同法》、《票据法》的基础上，构筑完善和健全的电子商务管理和服务系统，对电子合同、商业秘密、个人隐私、商业秘密、消费者权益保护制度等进行完善的规定。

四、进行道德约束

道德规范是一种约定俗成的标准，是一种明文规定的行为规范，网络道德规范因此是对网络主体进行网络活动所遵循的一种约定俗成的规范。在构筑第三方支付安全环境之时，必须重视网络道德规范的建设，和谐的第三方制度环境属于安全保障制度的外在措施，网络道德规范则可以在内部形成一道坚强的保障防线。笔者认为未来遏制计算机犯罪活动仅仅通过常规的立法程序和技术手段是难以实现，最为根本的方法是进行道德观和人生价值观的塑造。

网络道德礼仪是一个完整的体系，包含网络礼仪、网络道德、网络规范等内容在内。网络礼仪是网络交易中需要遵守的基本行为标准和规范，网络道德是度网络礼仪和网络规范的高度抽象，网络规范则是最高层的行为准则体现。笔者认为我国第三方支付机构道德构建可以借助国外先进经验，美国的“计算机伦理十戒”就是我们可以借鉴的代表。

参考文献：

[1]杨英梅.我国电子商务的安全问题及安全的环境构建[J].中国商贸，2010（2）

[2]郭晓武.网络第三方遭遇木马威胁[J].信息网络安全，2007（10）

[3]黄海华.论电子商务中第三方支付的安全性[J].商场现代化，2008（4）endprint