互聯網金融發展推動下的支付安全

袁琦

首先介紹互聯網金融發展進程和特征，分析了支付安全在賬戶生命周期過程中的重要性，并分析互聯網金融發展推動下的支付安全技術和威脅，研究了國內外支付安全監管政策和現狀，最后提出了我國支付安全發展的問題和建議。

互聯網金融 ? ?支付安全 ? ?第三方支付 ? ?銀行支付

1 ? 互聯網金融發展進程

互聯網行業時刻在變化，它一直在和各行各業進行融合創新。互聯網也在改變著金融業，傳統金融行業隨著技術的變化不斷地發展。我國傳統金融業信息化發展的進程是一個金融互聯網化的過程。從1993年的金橋金卡工程，發展到1995—1998年的網絡銀行、網絡保險和網絡證券。從1997年中國各大銀行推出服務網站和網頁，到中國保險公司推出的信息網、證券網網上交易系統。2010年和2012年中國各大銀行推出智能手機客戶端服務平臺，2013年招商銀行推出微信服務平臺。隨著信息化的發展和技術手段的不斷豐富，金融業信息化的進程在不斷地向前發展。然而，由于傳統金融業具有壟斷的性質，信息化進程發展較為緩慢。

互聯網行業不斷發展、迭代迅速、充滿創新。國內互聯網金融發展的進程是一個互聯網金融化的過程。這個過程的起源是1998年的美國易趣第三方支付，2004年中國阿里巴巴推出支付寶、2007年上海拍拍貸公司推出國內首家P2P純信用無擔保網絡借貸平臺、2009年阿里巴巴推出阿里小貸，2012年點名時間推出眾籌的智能硬件平臺，再到2013年阿里巴巴推出余額寶以及各個公司推出的金融服務。這是一個從小額的支付到大額的貨幣開始進入互聯網金融的過程，也是一個互聯網向金融行業滲透的過程。

從以上2個方面可以看到，整個傳統金融行業的互聯網化的進程很慢。然而，互聯網金融化則是一個快速發展的過程。

2 ? 互聯網金融發展特征

互聯網金融的發展是從跟隨模仿向探索創新驅動轉變。第三方支付、P2P網貸等都是模仿國外的企業。中國的互聯網企業在本土化改造過程中考慮了中國的國情，通過互聯網思維方式考慮用戶體驗，采用模仿的策略使其發展呈現良好態勢。另外阿里巴巴、京東、百度等具有代表性的中國互聯網企業積極創新，在各自的平臺上推出了有特色的金融服務。

新興的企業和傳統的企業相互競合。各行各業都在思考在互聯網技術發展下如何擁抱互聯網，使自己的行業與互聯網有更好的融合，從而改變整個經濟的發展方式以及傳統產業的發展趨勢。新興企業和傳統企業存在雙向進入的特征，例如阿里和騰訊在申辦民營銀行，傳統的金融機構在開展P2P網絡帶寬等新業務。這些企業彼此之間也在進行一些業務合作和組織方式的融合，在業務合作方面出現了基于電子商務的新險種（運費險）和基于第三方支付的貨幣基金（余額寶和理財通），在組織方式融合方面阿里、騰訊、中國平安等成立了眾安保險。

3 ? 支付安全是互聯網金融的核心問題

互聯網金融的新發展層出不窮，其中最根本的一個問題就是賬戶支付的安全。無論是在傳統的互聯網行業，還是在新興的互聯網金融行業，賬戶支付安全永遠是一個核心問題。

互聯網金融應用賬戶表現形式：銀行賬戶、第三方支付賬戶、基金賬戶、保險賬戶、虛擬貨幣賬戶（例如Q幣賬戶、比特幣賬戶）等。互聯網金融應用使用的資金最根本來源于2類賬戶：

◆銀行支付賬戶：指付款人在銀行開立的銀行賬戶，例如招商銀行、建設銀行等，主體是銀行企業。

◆第三方支付賬戶：指付款人在非金融支付機構開立的支付賬戶，例如支付寶、財富通，主體是第三方支付企業。

無論是銀行支付的賬戶還是第三方，要完成交易需經過的生命周期流程為：賬戶開設、賬戶登錄、賬戶審核、賬戶資金轉移和賬戶資金清結算。在這個流程中，銀行賬戶和第三方支付賬戶不同的環節在于賬戶開設與賬戶登錄階段。傳統的金融業都是通過柜臺進行操作，而第三方支付賦予用戶線上操作的權限，賬戶登錄審核通過后臺完成。因為第三方支付往往額度較小，所以其賬戶開設階段的安全性尚可接受。賬戶支付主要集中在賬戶資金轉移和賬戶資金清結算2個環節，會采用一定的安全技術手段和措施。所以賬戶安全貫穿賬戶完成資金交易的整個生命周期過程，其中支付安全是互聯網金融的核心問題。

4 ? 互聯網金融發展推動下的支付安全技

術和威脅

支付安全與終端、網絡、業務應用的安全有關，涉及的關鍵要素包括：數據安全、應用安全、平臺安全、網絡安全、終端安全和用戶安全。在用戶安全方面，一些用戶登錄的賬號、密碼會被盜用或冒用;在終端安全方面，PC和移動終端軟硬件的后門漏洞可能植入病毒和惡意代碼，PC和移動終端可能存在的病毒和惡意代碼等都可能會導致用戶信息泄露;網絡安全威脅來自在傳輸網絡中業務數據和信令數據的竊取或篡改;平臺安全威脅是指部分平臺存在從互聯網入侵和被控制的危險，如果平臺有了漏洞，黑客攻擊到后臺的平臺，平臺或會癱瘓;數據安全就是交易賬號和密碼的盜用以及保存的用戶信息和交易信息存在泄露和濫用的風險，例如用戶存在終端或平臺上的一些應用數據、用戶數據、業務數據的損失，都有可能會對支付安全造成影響。

支付安全需要保證用戶的身份認證唯一、交易準確無誤以及數據傳輸和存儲的安全，它將涉及終端、網絡、業務應用等很多因素。賬戶安全技術解決方案有以下幾個部分。身份認證要有多重用戶名和密碼、U盾、校驗碼、短信驗證以保證用戶安全;目前采用可信終端技術保證支付安全，終端實現可信區域，在可信區域使用支付應用，與普通應用進行隔離，在硬件、操作系統、應用安全方面采用安全加固措施。如果是普通終端可采用操作系統加固、應用軟件安全檢測、安裝防病毒工具等方式保證終端安全;網絡安全方面，通過網絡安全防護和網絡加密傳輸等保證支付安全;平臺安全方面，為了防止黑客攻擊，可以對平臺進行風險評估，采用部署防火墻、入侵檢測設備等安全防護措施;應用安全方面，客戶端和服務器采用SSL加密、日志審計等保證安全;數據安全一般通過數據的加密、存儲、傳輸和備份實現。