论文摘要:在第三方支付平台建设中,没有充分重视安全技术防护能力的建设,安全技术防护能力薄弱,如,有些支付系统没有部署防火墙和入侵检测设备,没有划分安全域;没有安全事件监控、统一防病毒等防护措施;重要数据的传输和存储存在安全隐患;重要网络设备没有进行安全策略配置,致使非法访问网络系统、假冒网络终端/操作员、截获和篡改传输数据的安全事件发生;应急处理方案不完备,应对和处理危机的能力还比较弱。
引言
随着网络信息、通信技术的快速发展和支付服务的不断分工细化,越来越多的非金融机构借助互联网、手机等信息技术广泛参与支付业务。非金融机构提供支付服务、与银行业既合作又竞争,已经成为一支重要的力量。非金融机构支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务,包括网络支付、预付卡的发行与受理、银行卡收单,及中国人民银行确定的其他支付服务。这些非金融机构被称作“第三方支付机构”。
非金融机构支付服务的多样化、个性化等特点较好地满足了电子商务企业和个人的支付需求,促进了电子商务的发展,在支持“刺激消费、扩大内需”等宏观经济政策方面发挥了积极作用。虽然非金融机构的支付服务主要集中在零售支付领域,其业务量与银行业金融机构提供的支付服务量相比还很小,但其服务对象非常多,主要是网络用户、手机用户、银行卡和预付卡持卡人等,其影响非常广泛。目前国内约有300多家第三方支付机构,其中多数非金融机构从事互联网支付、手机支付、电话支付以及发行预付卡等业务。
一、第三方支付平台存在的安全问题
随着第三方支付的广泛应用,其安全性问题也越来越突出。由于我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,目前存在的300多家第三方支付产品质量参差不齐,员工安全意识薄弱,安全防护措施不够,用户的交易安全和个人信息存在很大的风险。安全问题可以归纳为几个方面:
第三方支付机构安全意识薄弱
相对于银行业金融机构,非金融支付机构安全意识还比较淡薄,还不能充分认识到信息安全面临的形势和信息安全工作的重要性,对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息安全的不重视,就会导致信息安全工作不到位和难于开展。一些员工思想上有麻痹意识,认为安全案件都是偶然发生,存在侥幸心理;一些员工总认为与己无关,信息科技引发的案件是科技部门的事。从而导致安全措施执行不到位,安全制度无法贯彻的现象。正是这些安全意识上的薄弱环节,导致了安全威胁有机可乘。很多信息安全事件往往不是因为技术原因,而是由于系统运维人员的疏忽或不作为。安全意识薄弱是安全问题发生的根源。
安全管理机构不健全安全管理制度不完善
多数第三方支付机构还没有形成信息安全组织结构,管理较混乱,安全管理人员配备不足。信息安全管理制度还不成体系,没有建立总体方针,安全管理制度和操作规程缺失,安全策略不完整等。已有的安全管理制度也不完善,易使工作上出现漏洞,操作上出现失误,引发安全事故,造成损失。
安全技术防护能力薄弱
在第三方支付平台建设中,没有充分重视安全技术防护能力的建设,安全技术防护能力薄弱,如,有些支付系统没有部署防火墙和入侵检测设备,没有划分安全域;没有安全事件监控、统一防病毒等防护措施;重要数据的传输和存储存在安全隐患;重要网络设备没有进行安全策略配置,致使非法访问网络系统、假冒网络终端/操作员、截获和篡改传输数据的安全事件发生;应急处理方案不完备,应对和处理危机的能力还比较弱。
应用程序中存在安全漏洞
系统上线前,没有对应用程序进行全面的测评,致使生产系统存在功能、安全性及性能方面的问题。通过对第三方支付系统应用程序的检测,发现了大量的安全隐患,如SQL注入、跨站脚本、网络钓鱼以及登录方式不安全等,这些漏安全隐患可以被不法分子利用,可以对数据进行窃取,或对用户的敏感信息进行非法获取,给第三方支付机构和用户造成损失。
个人信息不能得到保护
一些第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号,个别网站在设计上存在问题,致使这些信息很容易泄露。第三方支付平台隐私政策不合理,免责条款过多,用户为了使用其服务只能同意该条款,导致发生问题时维权艰难。第三方支付机构除了应采用技术手段进行保护之外,还应该以文件、政策或公告的方式在网站上公开对用户信息进行安全承诺。
二、国家对第三方支付的监督管理
我国电子商务自20世纪90年代起步以来,很快进入快速发展期,交易额以年均40%的速度增长。2009年,交易规模达到3.8万亿元,电子商务已渗透到经济和社会各个层面。与此同时,有关非金融机构备付金管理、系统稳定性以及消费者权益保护等问题,需要高度关注。如何促进非金融机构支付服务市场的健康发展,关系到电子商务的成败,关系到中国支付网络体系的安全与效率。
2009年4月,人民银行发布公告,对从事支付业务的非金融机构进行登记。2010年6月14日,人民银行发布《非金融机构支付服务管理办法》(以下简称《管理办法》),对非金融机构支付业务实施行政许可。2010年12月,发布《非金融支付服务管理办法实施细则》(以下简称《实施细则》)。《管理办法》和《实施细则》的发布,意味着我国非金融机构支付市场监管的基本原则已经确立。
《管理办法》中规定对于《支付业务许可证》的申请人必须具备有符合要求的支付业务设施,而且在向中国人民银行申请许可证是必须符合中国人民银行规定的非金融机构支付服务系统技术和安全标准,提交《技术安全检测认证证明》。可见央行对非金融机构支付的技术和安全性的高度重视,技术和安全检测是非金融机构申请许可证过程中最关键也是最严格的环节。
三、提高第三方支付平台安全性的建议
政府应加强监管力度
通过《管理办法》和《实施细则》的发布和实施,一些具备良好资信水平、较强盈利能力和一定从业经验的非金融机构进入支付服务市场,在中国人民银行的监督管理下规范从事支付业务,切实维护了社会公众的合法权益。整个第三方支付平台的安全性有了一定的保障。但这样还不够,应进一步强管理和监控,可以考虑将第三方支付机构纳入金融机构的安全管理体系,使其遵循金融机构相关的安全管理制度和标准规范。
第三方支付机构应增强安全意识,加强信息安全体系建设
信息安全教育和培训是信息安全管理工作的重要基础,在实际工作中,大部分信息技术风险要依靠员工进行有效的控制,因此需要通过宣传、培训和教育等手段提升员工的信息安全认知(包括提高安全意识、了解安全职责、培养安全技能),发挥员工在信息安全管理中的主观能动性,以自律的方式来实现信息安全保障。
建立全面、科学的信息安全管理体系。建立组织、人员结构合理的安全组织结构。加强信息安全队伍建设,充实信息安全管理队伍,完善激励机制。建立完整的信息安全策略,主要包括信息安全策略、安全规章制度、安全操作流程和设备操作指南等方面。完善信息安全应急恢复体系,推进信息安全风险评估,实行信息安全等级保护,健全信息安全标准规范和有关制度。
构建一个科学合理的安全技术保障体系。加大网络安全设施建设力度,加强网络边界防护,实施网络安全域控制;加强软件开发控制,对软件进行安全测评核漏洞检测;保障基础设施和物理环境的安全,加强检测、监控和审计措施,实施安全加固;加强备份管理,建立灾备中心,保证支付业务的连续性。
第三方支付机构应加强安全检查,及时修复安全漏洞
即时在安全方面都做了很多工作,但没有绝对的安全,要时刻警惕系统的监控情况。可组建技术团队或委托专业安全服务机构对系统进行安全测评。系统安全隐患是否能及时发现,并进行漏洞修复或制定实施相应安全防护措施,对系统的正常运行至关重要。由于系统的不断更新,操作系统和代码漏洞也不断有新的发现,因此,对系统进行定期的安全测测评是非常必要的。
论文指导 >
SCI期刊推荐 >
论文常见问题 >
SCI常见问题 >