試論提升電子支付的安全性探索

陳忠菊

摘 要：隨著我國電子商務的發展，特別是近些年以一批電子商務公司的上市為契機，我國電子商務的發展也是迎來第一個頂峰。網上購物的人多了，電子支付也變的越來越普遍，但是隨之而來的就是很多關于網上支付和電子支付的問題也暴露了出來。大多數的網絡購物支付方式采用網上銀行和第三方支付的電子支付方式，這些交易服務器都是互聯網的公開站點，很容易受到各種攻擊。該文分析了國際和國內電子支付發展的現狀，提出了影響電子支付安全的幾個隱患，從而列出了幾點加強電子支付信息安全的方法和措施。

關鍵詞：電子商務 電子支付 安全 措施

中圖分類號：F724.6 文獻標識碼：A 文章編號：1674-098X（2015）02（c）-0224-01

1 國內外電子支付的現狀分析

1.1 國際電子支付的發展現狀

隨著電子商務的發展，美國的Paypal是最早建立第三方支付平臺的企業，而且現在在100多個國家都有業務發展，涉及地區和用戶的擁有量都是相當大的。當然美國Paypal獲得巨大的成功，也有其自身和環境的條件，首先與Paypal公司制定的正確的公司戰略和擴張方式有關；其次更與美國國內良好的金融支付環境的支撐、良好的市場環境和適合的法律法規建設都是密不可分的。

于此同時，Google公司也推出了自己的第三方支付業務，在現階段，Google的在線支付業務也是Google所有的業務部門中營業額和利潤額最高的。還有新興的Checkout企業旗下的在線支付業務的用戶量也在增加，但是作為一個新的崛起的企業，無論在市場份額的占用量和知名度等方面，與Paypal都是無法相比的。

Checkout雖然在第三方支付方面有自己的優勢，但是在搜索等業務上需要借助Google的搜索業務，這對于用戶的資源有一定的影響，而且Google的價格也是其優勢的方面，更是對用戶的資源有了很大的吸引。Google在一經推出在線支付業務以后，就開始對Paypal的市場份額有一定的爭搶，從而形成了三足鼎立相互制約和制衡的現狀。

1.2 國內的電子支付的發展現狀

隨著京東商城和阿里巴巴的陸續到紐交所上市，阿里巴巴更是成為了全球市值僅次于谷歌第二位的企業，國內的電子商務的發展也是迎來了第一個高峰期。很多的電子商務公司發展更是如雨后春筍一般迎來了蓬勃發展的時期。現在國內網上支付平臺的范圍也已經覆蓋C2C、B2C、B2B等多個平臺，電子支付也是在國內外積累了一群的忠實用戶群，在商業活動中占據了先機。隨著國內各大電子商務公司建立和引入電子支付，也從一個側面促進了國內金融領域的改革的進步，消除了跨行間的金融壁壘，這也從一定程度上加速了電子支付的業務發展。現在國內的第三方支付平臺也是依托中國銀聯的平臺優勢，得到了各大銀行、國際金融集體的支持，極大程度上推動了網上交易渠道的順暢。在長期困擾電子商務的誠信、物流、現金流問題通過應用在線支付工具得到解決后，應用第三方支付平臺提升網站的形象和競爭力、提高消費者忠誠度、降低交易風險，將是一舉多得的事情。在第三方支付平臺的啟示下，在電子商務領域將會有更合理、更有效的支付模式出現，從而促進和適應電子商務的飛速發展，更好地服務于人們的網絡生活。

2 主要威脅電子支付安全的因素

2.1 身份的欺詐

電子支付過程中，需要在進行交易的雙方進行身份的驗證，入侵攻擊者可能會冒用其中一方的身份，從而可以通過交易的形式，獲取交易中另一方的身份信息、銀行信息和密碼等資料，從而達到竊據被竊取方的財產和信息的資源。例如：一個攻擊者可以冒用電子商務的交易方，可以通過用戶在支付交易的時候，從而竊據用戶的銀行卡和密碼等信息，從而盜取用戶銀行卡中的資金。

2.2 釣魚網站

釣魚網站是指不法的人和團體，通過技術手段建立一些偽裝成正規電子商務的網站，而從在用戶交易的過程中，竊取用戶的銀行卡和密碼等交易信息。最典型的釣魚網站通過設計和組織建立一個和正規網站比較相似的釣魚網站，并通過信息引誘用戶打開網站并趁機竊據用戶的個人信息。

2.3 支付數據的篡改

由于因特網的開放性，支付的數據信息在互聯網上傳送時，就極有可能被篡改，破解或者偽造，如：攻擊者可以修改支付賬號或密碼、修改支付金額、修改收款人賬號等，給被攻擊人帶來損失。這是人們對電子支付安全的主要擔心。

2.4 后臺系統受攻擊

電子商務的參與各方正常運行必然依托于支撐其的網絡平臺、支付網關以及電子支付專有應用軟件的可靠暢通無阻的運行。而這些網絡平臺、專有軟件很容易受到網絡病毒和黑客的攻擊。

3 加強電子支付信息安全的方法和措施

3.1 保障后臺系統的安全技術措施

在現階段的網絡環境中，很多的購物網站都是使用的是網上銀行和第三方支付平臺的情況來進行電子的支付方式。而且這些交易的服務器都是在互聯網的公開站點中，由于其的公開性，很容易受到各種情況的攻擊。大多數的情況下可以采用以下幾個方面來保證服務器的安全措施。

第一，通過開啟放置防火墻技術。電腦系統中自帶的防火墻技術是一種將互聯網和內部的局域網分開的最簡單和有效的措施，防火墻也是實現網絡信息安全和計算機安全的重要方法。防火墻技術是通過軟件和硬件的設備，通過對雙向的加密處理措施，從而在一組硬件設備和安全的軟件設備中間，起到對信息傳輸的屏蔽和阻隔的作用。防火墻的通過，需要身份的驗證，通過這種機制，可以很好的防止非法用戶對信息資源的修改和竊據，從而達到系統安全的保護目的。第二，防止入侵的檢測技術。防止入侵的檢測技術，也是防火墻的另一項重要功能，通過對用戶信息的檢測，通過調取用戶主機的安全日志和審計的數據等信息，以及軟件和硬件的相互組合控制，從而發現系統中是否有違反網絡安全的行為存在，以及有沒有可能會遭受黑客攻擊的危險等跡象，起到很好的防范措施。

3.2 用戶身份認證的安全技術措施

確定交易各方的合法身份是電子支付中最為基礎和重要的一環。目前，電子支付中主要采用PKI/CA體系來完成用戶身份認證和信息的安全處理。公鑰基礎結構（PKI）是指用公鑰技術和數字證書來實施和提供安全服務的具有普適性的安全基礎設施。它是由數字證書、數字證書的頒發機構以及通過公鑰加密方法驗證電子交易中各方合法性的其他注冊頒發機構共同構成的系統。數字證書采用公開密碼密鑰體系的一種電子手段，可以用來證明數字證書擁有者的真實身份和對特定網絡資源的訪問權限。數字證書是由CA認證中心頒發的。CA是一個具有權威性和公正性的第三方結構，專門負責發放、認證并管理所有參與網上交易的實體（如：消費者、商戶、銀行）所需的數字證書。CA中心通過為每一個使用公鑰的用戶發放數字證書，以證明公共密鑰和使用者身份的真實性。并且由于應用數字簽名技術使得攻擊者不能任意偽造和篡改證書。因此，利用PKI/CA體系可以確保電子交易安全有效地進行，保證信息發送雙方真實身份以及對自己行為的不可抵賴，保證傳輸過程中信息不被竊聽或篡改。

參考文獻

[1] 蔡東.電子支付業務現狀及發展趨勢探析[J].中國金融電腦，2012（4）：15-18.

[2] 符庭彬.淺談電子支付風險和防范措施[J].經濟視野，2014（12）.

[3] 蔡健.基于可信的網上電子支付認證協議研究[J].科技通報，2013（1）：157-160.