网络支付的安全问题分析

【摘 要】 文章阐述了网络支付的含义和结构模型，分析了网络支付的安全问题、安全要求及安全标准。指出，网络支付的安全要求是：要确保信息的保密性、数据的完整性、身份的真实性和行为的不可抵赖性。 制订《网络支付安全标准》，用以规范我国网络支付市场行为。

【关键词】 网络支付;安全性;安全要求

随着金融信息化和大数据时代的到来，我国网络支付市场保持高速增长的态势，网络支付的用户量和交易金额迅猛增长。根据权威部门的调查结果显示，网络支付的安全性是用户关注的重点，也是影响网络支付深入发展的瓶颈[1]。

一、网络支付的含义

网络支付是指用户以互联网作为媒介，通过电脑、移动终端等通用设备发出指令，由支付服务器通过对指令地解析实现资金转移的过程[2]。从网络支付的定义可以看出，其包括三个核心的内容即通用设备、互联网和资金转移。这里的互联网指的是公共网络而非银行间专用通信网。

二、网络支付的结构模型

网络支付的实现需要特定的组织结构，并且需要各结构之间地密切配合，这构成了网络支付的结构模型。一般而言，网络支付至少能够满足不同的支付需求、实现不同的支付额度及花费不同的时间，这构成了网络支付结构模型的外延。网络支付结构模型内涵一般包括六个组成部分，即参与者的身份标识、实现指令输入的通用终端、传输支付指令的公共网络、识别支付指令的服务器以及完成资金转移的收款账户和付款账户等[3]，具体如图1所示。

图1 网络支付的结构模型

网络支付的应用对象、时间要求以及额度大小是影响支付结构也是影响安全性的重要因素。通过网络支付进行购物对身份标识和指令终端的安全性要求低于企业付款;大额交易较小额交易需要更高的安全标准;快速支付对身份认证、传输速度及服务器处理速度有较高的要求，而安全性与便捷性需要寻求平衡点。总之，这三个属性的不同组合共同影响了网络支付结构模型的六个要素及它们之间的相互关系。

三、网络支付的安全问题

从网络支付应用的实践来看，其面临的安全威胁主要有：用户的身份标识被窃取、支付交易信息被破坏、指令传输过程中被篡改和支付行为被否认等[4]。从网络支付六个结构要素来看，网络支付的安全问题主要表现形式有以下几个方面。

1、身份标识的安全问题

用户是网络支付的发起者，是交易支付指令的缔造者。网络支付对用户的识别主要依靠对不同用户的编码来实现，每个用户编码即为一个唯一的身份标识。用户身份的真实性是网络安全支付的前提和保障，没有这一层保护所有的网络支付都将面临巨大的风险。从网络支付的风险事件来看，用户身份被假冒是较为频发的一种安全问题，给被盗用户的资金和信用造成极大的损害。

2、指令终端的安全问题

网络支付的指令输入接口是通用终端，相对于银行的专用终端而言更加容易受到病毒的攻击，造成大量的安全隐患。通用终端的风险防范技术水平较低，且具有用户众多、安装软件繁杂的特点，极易被病毒攻击，造成用户信息泄露，带来大量的损失。

3、传输网络的安全问题

网络支付是以公共网络作为媒介的，公共网络的接口众多，开放性高，其接入的终端数量多、种类复杂。这一方面使得交易支付指令可以便捷地在不同类型的终端之间进行传输，另一方面也加大了信息传输过程中被截取、篡改和伪造的风险。近几年，无线网络和智能终端设备的快速发展使得公共网络的接入终端量呈爆炸性增长，进一步加大了数据传输的风险。

4、支付服务器的安全问题

支付服务器是实现指令识别并最终完成交易的关键结构，它是所有数据信息的集中平台，也是信息处理中心。支付服务器掌握着大量用户信息和账户信息，需要庞大的存储空间和处理能力，其每一笔交易的完成都需要调动不同的信息存储，这期间就容易产生信息存储失误、解析漏洞等问题，导致支付交易失败。

5、账户的安全问题

账户是实现资金收支的平台，是保障用户资金安全的最后一道屏障。用户账号及密码是实现账户安全管理的两道工序，需要予以重点防范。账户的安全问题一般表现为账号及密码被窃取、泄露，账户资金被转移和盗取等。

四、网络支付的安全要求

网络支付的安全问题主要可以归纳为信息的安全性问题，防范支付风险需要加强对信息的保护力度，通过有效手段实现对信息的多重保护。网络支付的安全性则体现为对信息和数据地防护，主要有以下几个方面。

1、信息的保密性

网络支付的流程实质上是信息传递的流程，信息的严格保密是支付成功的关键所在。网络支付必须能够保证用户信息、交易指令以及指令解析的过程不被泄露，信息存储能够有效地防止非授权用户侵入，保障信息在产生、传输和存储过程中的安全。

2、数据的完整性

数据的完整性是网络支付取得成功的重要影响因素。在网络支付结构模型的框架下，数据的完整性要求信息的结构完整、内容连续并且能够通过数据校验，保证数据在产生阶段和最终解析阶段的内容是一致的，中间过程不能出现数据损毁、缺失或者篡改。

3、身份的真实性

身份的真实性有两个层次的含义，一是参与网络支付的用户其身份能够通过数据校验，提供可靠的身份标识，交易各方能够准确地予以识别，防止身份欺诈;二是支付服务器是真实的交易处理平台，能够有效地解析信息数据，提供可靠的解析结果，保障交易行为的顺利完成。

4、行为的不可抵赖性

在网络支付中，交易各方都需要对自己的行为负责，在身份验证、传输数据等无误的情况下，交易行为应当被视为是合法和有效的，任何一方都必须予以承认。同时，交易的过程需要做到数据的完全保留，以便当网络支付双方出现纠纷时，能够有据可查，有据可依。

五、网络支付的安全标准

由于我国的网络支付发展较晚，与发达国家相比我国的支付环境、支付体系以及行业的成熟度等方面还存在一些差距，与之相对应的网络支付的安全标准也有一定的区别。目前，国际上比较常用的安全标准是国际信用卡组织共同设立的PCI-DSS安全认证，该认证产生的前提是国外已经建立了完善的个人信用体系，其主要作用是规范信用卡支付行为，维护信用卡支付体系的安全性。我国从国情出发，综合考虑国家公共安全和居民信用体系的现状，于2008年制订了《网络支付安全标准》，规范了我国网络支付市场行为，扭转了网络支付管理紊乱的局面，对于网络支付平台的建设、数据维护和市场发展等提供了指导和规范。提高了信息整合水平，保障了资金支付安全。

六、结语

在互联网金融蓬勃发展的时代，网络支付对于加快金融改革步伐，提高金融业服务水平具有不可忽视的作用。保障网络支付的资金安全是实现网络支付全面推广、深度应用的关键所在，也是保障国家安全的重要影响因素。在当今的大数据信息化时代，认清网络支付的安全问题，制定和完善安全标准，是加快网络支付市场发展的重要保障。

【参考文献】

[2] “网络支付安全”标准研究小组.网络支付安全问题探究[J].金融电子化，2009

（7）40-42.

[4] 桂纲.基于数据仓库的供电企业营销信息系统研究[学位论文].上海：华东理工大学，2007.