根据腾讯安全发布的《2017年度互联网安全报告》显示,近年来全球网络空间安全威胁呈现新的变化,比如网络黑产挑战加剧,仅中国“网络黑产从业人员”就已超过150万,“市场规模”也已高达千亿级别。数据隐私泄漏现象日益严重,2017年上半年全球泄露或被盗的数据达19亿条。
支付类病毒作为危害程度最大的木马病毒之一,通常会通过窃取用户短信验证码,并使用其他非法渠道获得的个人隐私信息完成转账,造成用户财产损失。在线支付系统支撑电商平台商流、信息流、资金流、物流等的集中交互处理,涉汲用户敏感信息和资金安全,平台支付安全保障的重要性不言而喻。
1、在线支付风险的种类
在线支付风险分类会有不同的维度,本文按照支付风险的来源将在线支付风险分为来自交易主体的风险、来自交易过程外部侵入的风险和电商内部控制的风险。
1.来自交易主体的风险
在线交易因为在整个交易过程中交易双方都不见面,相对传统线下交易更容易发生交易主体的不真实而导致的风险。比如商家自身发布虚假信息、其他人员假冒商家发布信息、买方利用交易规则恶意退货、违法人员虚构交易进行洗钱、买卖双方操作失误导致信息错误等,都可能因此给交易各方带来风险。
2.来自交易系统外部入侵的风险
在线支付是商流、信息流、资金流、物流的交互,会涉及大量用户的敏感信息通过网络传输和存储。网络保障系统如果不健全,可能会导致外部非法入侵,增加交易信息泄露或被篡改的风险。比如非法入侵者通过截获、窃取、监听、观察等手段,截取交易过程信息,通过对过程数据进行分析获得有价值的情报,或者通过篡改、破坏交易信息达到非法的目标。另外支付系统不稳定及数据库保护措施不到位也可能会造成用户支付过程中断、数据损坏、交易关键信息丢失等问题。
3.来自交易过程内部控制的风险
交易过程内部控制的风险主要指来自平台运营方对于支付过程的管理不足导致的风险。比如对于安全保障体系的软件环境与硬件环境部署不到位造成的安全隐患,或者对于数据访问人员权限管理不到位造成的操作风险和数据泄露风险,以及对于交易流程的风险监控不到位导致风险发生时无法及时处置等。
2、支付安全保障系统建设的目标
在线支付给电商平台及平台用户提供了商业模式实现和支付便利性的同时,因为安全保障不到位也会给用户带来资金损失、隐私泄露等风险。尤其是B2B支付,通常涉及支付结算金额较大,平台安全保障系统的建设尤为重要。参照李洪心教授在《电子支付与结算》一书中提出的安全电子支付的目标,我们弓|申总结出支付安全保障系统的建设,至少要达成以下目标。
1.防止被未被授权的第三方获取支付信息
通过防火墙等技术,在开放的物理网络环境中构造相对封闭的私有网络,在保证被授权的信息流通过的前提下,抵抗外部攻击。采用对称密钥或公开密钥技术对传输的信息加密,采用数字信封技术来加强数据传输的安全保密性,防止用户在线交易敏感数据被未被授权的第三方非法窃听和截获。
2.保证支付信息的完整性
系统需要用数字摘要技术将原文加密后传输给接收者,接收者可以通过摘要判断所接收到的信息是否被篡改。
3.保证用户身份的可鉴别性
通过数字签名、身份识别等技术保证用户身份的真实性,防止在线支付过程中可能出现的包括冒用他人身份和发送假冒信息等欺诈行为。
4.保证交易的不可抵赖性
通过数字证书、电子签章等身份认证技术结合认证中心的权威认证,保证一旦出现交易双方否认已经做过的交易或进行过的操作,系统能够提供足够的可信证据。
5.保证系统的可靠性
系统要采用防病毒技术、数据清洗等技术对网络故障、错误操作、硬件故障、软件错误及计算机病毒导致的威胁加以控制和预防,防止在线支付系统由于技术性中断或恶意攻击而中断支付流程。
