《电子支付与安全》总结
电子支付拓扑图
电子支付的定义
广义电子支付指的是,通过信息化技术完成货币债权转移的过程。以电算化设备作为支付口令产生与确认的设备,并通过电话线、互联网和移动蜂窝传媒或其他专线网络等进行支付口令传输,最终到达账户方完成货币(虚拟货币、电子货币)的清结算过程。
电子支付的安全问题
随着信息化技术的逐渐发展,我国电子支付场景在技术的支持下,交易场景和交易设备都逐渐趋向于全面、实时和24小时运营的特点,同时针对不同的场景需求(特别是互联网购物平台的出现),又促进了新的技术与组织结构的产生。爆发式的增长,也带来了新的风险,也暴露出如下问题:
1、新的支付方式对于客户来说增加了学习成本,容易产生操作问题,以及关键身份信息的无意泄漏。
2、设备本身被破解或监听,恶意损坏等。
3、网络监听,网络攻击频出。
4、支付提供商的信用问题,资金问题,以及金融监管缺失导致的金融性风险问题。
5、银行制度不规范(或执行不到位)。
6、收款方欺诈行为,伪造交易或不经验证的商户,钱货不同步的问题。
支付安全不仅仅是技术相关的问题,也是法律和制度等综合考虑的问题。
1、通过法律来规范各个经营主体的权责范围,让支付参与方能够确定自己该尽的责任和义务,以及其需要承担的法律责任。
2、各个参与方应该完善制度安排,谨防制度性漏洞导致的安全问题,加强制度执行监管。
3、积极进行技术防范演练,技术更新迭代。
安全问题解决方案
1、客户侧的问题,客户侧的主要功能就是完成支付请求和支付确认,在支付请求阶段需要将身份信息传递给支付系统进行身份确认,身份确认通过后方可完成支付。而客户侧最容易发生的就是身份冒认,身份信息或密码被盗取,导致非本人操作完成了支付。而针对这样的情况,首先需要做的是,客户加强密码保护意识,银行针对不同的支付方式使用的支付密码进行讲解和说明,例如u-key或固定证书之类的证明信息,应该如何保存和防范需要向客户说明。也可以采用更安全的身份认证技术,比如人脸或指纹这些不容易被盗用的身份识别技术进行支付。同时对于客户的操作行为,要保留客户的操作记录,严防客户抵赖行为。
2、设备以及设备供应商的问题。设备供应商可以分为两种,一种是金融机构推出的设备以及非金融机构的推出的设备。金融机构设备例如ATM、POS等设备,这类设备的特点是符合国家给金融机构制定的标准,设备自身的安全措施比较完善,包括防窃听,防拆机等自毁程序,能够杜绝因为设备自身导致的安全问题。但也需要注意,自助设备的维护问题,特别是ATM之类的无人看管的自助设备,不法分子可能通过封堵出卡扣或出钞口等,让客户进行其他操作,银行应该定期检查或设备自动检查是否出现异常行为,并作出相应的应对措施。针对非金融机构推出的设备,手机、电脑等移动设备或其他固定设备。由于这些设备本身不是针对银行业务而生产的,所以其使用的安全技术和银行设备还是有一定的差距,特别是复制或冒充这类情况,针对这类设备,银行需要提供安全空间比如u-key或pki等安全认证插件来弥补这类设备的安全缺陷,并针对不同的终端控制不同的限额,以防造成大额损失。
3、网络方面的问题。网络上的安全问题主要体现在公网,因为其完全公开,容易被监听转发。又或者通过公网对支付系统发起攻击,导致服务瘫痪或其他损失。或者黑客通过公网发起攻击等等。这些问题,都需要支付系统和支付设备提前做好防范,比如对信息进行加密加签,采用更安全的通信协议ssl或wtsl等技术,保证通信双方的链接安全。同时后台系统加强漏洞检测,防范黑客攻击。
4、支付前置出现的问题。支付前置主要完成通信双方的身份是否合法,完成网络认证,防范网络攻击等。支付系统需要更新相关的安全组件,修复系统或应用漏洞,防范不法攻击。同时前置系统应该具有隔离功能,防止第三方直接操作后台数据或应用。
5、供应商问题。供应商主要完成付款方、收款方和银行三方的连接,业务流程衔接者,其不光要监督客户的操作行为,同时也要监督商户的交易完成情况,是否完成相关的服务或交付货物等行为,保证客户的合法权益的同时,也要保证商户的资金结算。同时在结算上,存在两种方式,一种是担保式和非担保式结算。担保式结算是由支付机构提供资金担保,客户将资金先结算到支付机构的账户上,再完成交易后,再结算到商户,这种方式导致了大量资金滞留到了支付机构的账户上,若支付机构卷款跑路,给交易双方带来了损失。这个时候就需要加强监控,完善法律法规对未结算资金应采取特殊的管理,保证客户的资金安全。非担保式支付不会造成资金风险,其结算货币为支付机构的虚拟货币,在最终结算时商户才能兑换为合法货币。同时由于支付机构介于三者之间,作为协调者,其进行欺诈或信息掩盖的成功率更高,所以对支付机构的监管应该严格的执行。
6、银行的问题。银行作为最终的法定货币账户管理方,客户的货币资金结算最终执行者。其不光要对客户的账户的资金进行管理,同时也需要对交易的真实性、完整性进行控制,保证客户的合法权益。银行针对不同的业务场景应该给予客户不同的权限。针对银行自己推出的电子支付系统,比如电话银行、网上银行或手机银行,银行自身不光需要进行技术上的安全防范,同时需要对运营过程建立相关的制度,特别是一些操作权限大的支付方式,应该加大认证等级,提高准入门栏(比如中农的指纹支付仅针对信用良好的凤凰卡用户)。同时严格执行国家金融监管机构制定的规定,出现问题及时上报,及时处理。
安全技术
1、非对称加密
2、对称加密
3、mac身份标签
4、tsl、wtsl等通信安全技术
