【正文】 1 電子支付安全問題分析與對策研究 一、緒論 (一 )研究背景及意義 進入 21 世紀 ,隨著我國電子商務(wù)的不斷發(fā)展 , 互聯(lián)網(wǎng)產(chǎn)業(yè)鏈不斷做大做強 ,參與群不斷擴大的同時，釣魚網(wǎng)站、惡意攻擊等帶來的安全問題也不斷見諸報端，大大增加了電子支付機構(gòu)的防范難度。此外，針對金融行業(yè)的移動安全威脅以及 APT 的攻擊也出現(xiàn)了迅速的增長 態(tài)勢 。 由于我國信息安全保障體制機制的不健全，不斷發(fā)展的電子商務(wù)行 業(yè)也遭遇到了一次“倒春寒“，人們對于電子商務(wù)安全的擔(dān)憂日漸凸顯， 首當其沖的便是電子支付的安全 。 可以說， 能安全進行 電子支付是人們更愿意選擇 網(wǎng)絡(luò)進行商貿(mào)活動 的保障， 電子支付安全 控制著網(wǎng)上交易的最后一道防線，是電子商務(wù)成敗的生命線 ； 電子支付 安全 也 成為 制約電子商務(wù)繼續(xù) 更好 發(fā)展的瓶頸 。 因此， 對電子 支付 的安全問題分析與對策研究具有相當大的現(xiàn)實意義和實用價值。 (二 )研究思路與方法 本課題研究以應(yīng)用性、實踐性和可操作性為目標， 通過對文獻等理論知識的學(xué)習(xí)，摸索出電子商務(wù) 的現(xiàn)狀和 發(fā)展瓶頸；結(jié)合實際生活經(jīng)驗， 從電子支付 流程 可能 遇到 的各個環(huán)節(jié)入手， “ 順藤摸瓜 ” 地 厘 清電子支付安全問題的由來 、觸發(fā)機制；在此基礎(chǔ)上，結(jié)合其他學(xué)者在該領(lǐng)域的研究現(xiàn)狀和不足，針對具體的安全 隱患給出相應(yīng)措施，并探索了新型支付形式 發(fā)展過程中 可能存在的安全問題和解決辦法。 在 論文寫作 過程中 綜合運用了以下研究方法 ： 概念分析法、 文獻研究法 、定量分析法、經(jīng)驗總結(jié)法等 。 (三 )研究的主要內(nèi)容 本課題通過對我國電子商務(wù)的發(fā)展現(xiàn)狀進行分析， 探討 了電子支付安全對電子商務(wù)深入發(fā)展的 巨大 作用 ，并 明確課題 的研究意義和價值；在此基礎(chǔ)上逐步深入，探討了電子支付的現(xiàn)狀、支付流程和安全問題的由來 。重點研究了可能觸發(fā)電子支付安全問題的原因，并結(jié)合現(xiàn)實生活中可能遇到的電子支付問題提出了相應(yīng)解決之道；同時，本課題積極 嘗試 新的領(lǐng)域， 探索了新型電子支付的現(xiàn)狀和可能出現(xiàn)的安全問題。 二 、 電子商務(wù)的現(xiàn)狀分析 電子商務(wù)是指在互聯(lián)網(wǎng)（ Inter）、企業(yè)內(nèi)部網(wǎng)（ Intra）和增值網(wǎng)（ VAN， Value 2 Added Network）上以電子交易方式進行交易活動和相關(guān)服務(wù)活動，是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化。通俗來說就是運用第三方支付機構(gòu)作為擔(dān)保，運用電子貨幣支付完成的虛擬交易過程。相對于傳統(tǒng)商務(wù)而言， 電子商務(wù) 之所以 得以迅猛發(fā)展 得 源于 電子支付的安全保障和其 得天獨厚的優(yōu)勢。 (一 ) 電子商務(wù)相對于傳統(tǒng)商務(wù)的優(yōu)勢及特點 交易虛擬化 ：數(shù)字化貫穿于電子商務(wù)的始終，從查詢商品到咨詢協(xié)調(diào)價格，到下單支付，甚至顧客查詢物流情況到收到商品后的確認收貨，對整個購買環(huán)節(jié)進行點評都通過互聯(lián)網(wǎng)來完成。 交易成本低：由于沒有傳統(tǒng)交易繁瑣的過程，電子商務(wù)大部分交易流程 均在互聯(lián)網(wǎng)上 完成， 這樣賣方 就省去了一大筆的店鋪門面 出租費用 ，人工費，稅費等 ，買方則少了交易的交通費等，從而大大降低了交易的時間成本和勞務(wù)成本。 交易效率高：電子商務(wù)依靠其得天獨厚的網(wǎng)絡(luò)優(yōu)勢，顧客可以及時向賣家發(fā)出訂單 和需求 ，賣家 根據(jù)顧客的訂單和需求生產(chǎn)和批發(fā)相應(yīng)商品，甚至實現(xiàn)一對一定制 服務(wù) 。當交易發(fā)生變更時， 能在 第一時間 修改 訂單狀態(tài) 和對 生產(chǎn) 的 跟蹤，從而提高了交易的效率 交易透明化：網(wǎng)上交易 雖 不如實體店交易的真實，不能 調(diào)動除視覺以外的其他感官去對 細節(jié) 進行 感知， 卻 可以通過互聯(lián)網(wǎng)得到真實的產(chǎn)品屬性 ，讓每個消費者都有一個強大的“智囊團”，輕松 貨比三家，明明白白消費。 (二 ) 電子商務(wù)的現(xiàn)狀 和瓶頸 電子商務(wù)憑借其優(yōu)勢得以迅猛發(fā)展。從中國電子商務(wù)研究中心了解到，截止到 2021年底，我國電子商務(wù)交易總體規(guī)模達到 萬億人民幣，同比增長 %。其中， B2B電子商務(wù)交易額達 萬億，同比 增長 27%。而 2021 年全年，中國電子商務(wù)市場交易額達 6 萬億人民幣，同比增長 33%，占 GDP 比重上升到 13%； 2021 年，電子商務(wù)占 GDP的比重已經(jīng)高達 15%。預(yù)計 今 年我國電子商務(wù)規(guī)模將突破十三萬億大關(guān) (如圖 11)。 與此同時，越來越多企業(yè)和個人在電子商務(wù)中選擇了電子支付作為支付結(jié)算方式。從中國金融認證中心了解到，截至 2021 年 12 月，我國使用網(wǎng)上電子支付的用戶達到 3 圖 11 20212021 年中國電子商務(wù)市場交易規(guī)模（萬億元） [10] 億，預(yù)計全年支付規(guī)模會達到 萬億元。不僅 如此，電子支付行業(yè)的市場前景廣闊，工信部信息安全協(xié)調(diào)司副司長楊春燕表示，力爭在 2021 年電子商務(wù)交易額達到 18 萬億元。 在參與群不斷 壯大 和互聯(lián)網(wǎng)產(chǎn)業(yè)鏈不斷 做大做強 的同時， 電子支付 安全問題也不斷見諸報端。據(jù)統(tǒng)計， 2021 年 2 月到 9 月，針對金融行業(yè)的釣魚網(wǎng)站達到 4629 個，大大增加了電子支付機構(gòu)的防范難度。此外，針對金融行業(yè)的移動安全威脅以及 APT 的攻擊也 呈現(xiàn)迅速增長的態(tài)勢。 出于各種原因 ， 高速 發(fā)展的電子 商務(wù) 行業(yè)也遭遇到了一次“倒春寒“，人們對于電子商務(wù)安全的擔(dān)憂日漸凸顯， 如何發(fā)現(xiàn)和解決迫在眉睫。 首 當其沖的便是電子支付的安全 。 三 、 電子支付 概述及安全問題的由來 (一 ) 電子支付 含義 電子支付安全問題是人們更愿意選擇網(wǎng)絡(luò)進行商貿(mào)活動的保障，也控制著網(wǎng)上交易的最后一道防線，是電子商務(wù)成敗的生命線；電子支付安全也是制約電子商務(wù)繼續(xù)更好發(fā)展的瓶頸。 廣義的電子支付包括： ① 銀行之間的業(yè)務(wù)結(jié)算，包括轉(zhuǎn)帳收付、現(xiàn)金存取、代理業(yè)務(wù)、匯兌業(yè)務(wù)、中間業(yè)務(wù)，存款、貸款、票據(jù)業(yè)務(wù)等； ② 銀行與其他機構(gòu)單位之間的結(jié)算：如代發(fā)工資，代繳費用等； ③ 用戶自動柜員機的操作：如銀行的存取款，電信營業(yè)廳的存話費等； ④ 銷售終端：各種銷售終端 提供的扣款業(yè)務(wù)，如微信，淘寶等 APP 手機應(yīng)用軟件； ⑤ 網(wǎng)上支付：通過互聯(lián)網(wǎng)隨時直接轉(zhuǎn)賬結(jié)算等。狹義的電子支付是指網(wǎng)上交易參與者（包括賣方、賣方和金融機構(gòu)等）通過網(wǎng)絡(luò)進行的貨幣收支或資金流轉(zhuǎn)，以達到達成訂單的目的的過程。電子支付是電子商務(wù)系統(tǒng)的最重要組成部分之一 (如圖 4 21)。 圖 21 廣義電子支付的構(gòu)成 (二 ) 電子支付 分類及特點 電子支付按支付媒介分，可以分為：網(wǎng)上支付、電話支付、移動支付等。 網(wǎng)上支付 網(wǎng)上支付是電子支付最常見的一種形式。一般來說，網(wǎng)上支付是以互聯(lián)網(wǎng)作為媒介，買方和賣方利用銀行簽發(fā)或者支持的金融工具進行金融交換，從而實現(xiàn)從買 方 到金融機構(gòu)、 賣方 三者之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計等功能的過程，以此為電子商務(wù)參與者和其他機構(gòu)提供服務(wù)的行為。 電 話支付 電話支付是相對網(wǎng)上支付的線上交易而言的，消費者可以通過移動終端（如固話，手機，小靈通）接入各大銀行的電話銀行，就可以使用銀行賬戶輕松支付貨款（如快錢）。 移動支付 移動支付也可以成為手機支付，也就是消費者可以使用移動終端（如手機 、平板電腦等 ）對消費的商品或者服務(wù)進行支付的一種方式。單位或個人通過移動設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實現(xiàn)移動支付功能。移動支付是繼傳統(tǒng)支付、網(wǎng)上支付、電話支付以后出現(xiàn)的一種新型支付方式，用戶 可以利用 手機應(yīng)用 軟件上輕松完成貨款支付、賬戶查詢等功能。（如微信支付） (三 )電子支付流程 及安全問題由來 雖然，電子支付支付形式上和一般的商務(wù)活動有很多的不同，但同為資金流的承載，也有相同之處，那就是 “ 始于銀行，終于銀行 ” ，銀行構(gòu)成了電子支付的源流，現(xiàn)金流將會在電子支付的河流中經(jīng)過重重關(guān)卡，實現(xiàn)它對 一項 電子 商務(wù)活動的價值 ，然后悄然 5 回到它的起點，完成使命的回歸。 資金的河流流經(jīng)之處，也是要完成電子支付必經(jīng)之路，因此 任何關(guān)卡都 將 成為電子支付安全的重鎮(zhèn) ，弄清電子支付流程對電子支付安全至關(guān)重要， 下面，我們就 以一次淘寶購物為例 來看下電 子支付的流程： 準備工作 要想完成電子支付，就必須 攜帶 有效 身份 證件 到銀行辦理相應(yīng)的支付結(jié)算工具， 包括銀行卡（賬號和密碼）、 安全支付工具（ K 包、 K 令、手機動態(tài)驗證等）；擁有一臺連接互聯(lián)網(wǎng)的電腦，并完成銀行支付結(jié)算工具的激活、支付平臺賬號注冊等準備工作。 商品查詢、詢價 第二步也是必須的，正所謂“巧婦難為無米之炊”，登錄正規(guī)購物平臺完成商品查詢、咨詢并協(xié)商好價格，將商品拍下或放入購物車， 提交訂單 等待支付。 完成電子支付 客戶登錄后臺，仔細檢查訂單商品和金額是否準確 ， 檢查完畢， 把相關(guān)加密信息發(fā)送給支付 網(wǎng)關(guān)，頁面跳轉(zhuǎn)至銀行支付平臺；此時，用戶需要登錄并驗證自己的銀行賬號、密碼、電子證書等信息，等待銀行授權(quán)；在驗證成功后，銀行網(wǎng)關(guān)會通過機密通道，反饋支付支付請求， 將款項劃入第三方支付平臺， 并經(jīng)由平臺告知賣家支付成功 ，提醒其發(fā)貨 。 后續(xù)工作 在賣家收到支付消息后，會完成后續(xù)工作，如發(fā)貨；買家在收到商品后，需要進行收貨確認。此時，第三方平臺才會把款項劃到賣家賬戶，保證了整個電子商務(wù)的安全和有序。 通過以上的分析，我們可以得出電子支付所涉及范疇，包括了物理介質(zhì)（如銀行賬戶、密碼）、軟件介質(zhì)和管理方面等 。如果 其 中的任何一項應(yīng)用不當，都會起到牽一發(fā)而動全身的作用，給電子支付安全帶來巨大風(fēng)險。 四 、 觸發(fā)電子支付的安全問題的原因 要避免電子支付的安全問題，首先必須 弄 清楚一系列可能觸發(fā)電子支付安全的因素。歸集起來，主要有以下幾點： (一 )互聯(lián)網(wǎng)自身 的缺陷 Inter 作為一種開放的、共享的網(wǎng)絡(luò)，安全性方面有先天發(fā)育不足的弊端。其自身的在設(shè)計時便很難兼顧安全性和方便性、大眾性?；蛘哒f，受眾人群和信息傳輸通暢至始至終都是是信息高速公路的首先考慮的，這便使安全、服務(wù)、帶寬等方面大打折扣 ，而這無疑會對電子支付安全構(gòu)成一定威 脅。 6 (二 )軟件 的不完善和漏洞 軟件開發(fā)者在開發(fā)軟件時開發(fā)語言選擇 給電子支付帶來了安全隱患， 如使用 C 語言開發(fā)的軟件就要比 JAVA 開發(fā)的漏洞要多。但不管選擇任何語言編寫的程序，都不能保證把所有安全問題擋在門外， 因此 我們經(jīng)常看到 在 一個軟件安裝 后會有一系列的補丁 陸續(xù)發(fā) 布讓用戶去下載 并安裝 。另一方面，開發(fā)者不能窮盡所有可能的漏洞，補丁總滯后于漏洞，當一個漏洞爆出，總要 等到 一些用戶的利益受到損失，開發(fā)者才會發(fā)現(xiàn)自身的不足 。而這對電子支付可能是相當致命的打擊。 (三 )黑客的攻擊 由于缺乏對互聯(lián)網(wǎng)犯罪的有效追蹤和反擊，導(dǎo) 致黑客的攻擊的殺傷力往往具有極強的摧毀性和極好的隱蔽性。目前互聯(lián)網(wǎng)上有超過 20 萬黑客網(wǎng)站，其成立目的便是為黑客與黑客間搭建一個技術(shù)交流、熱門攻擊工具分享的平臺，其攻擊方法達到上千種之多，讓人防不勝防 ,這為網(wǎng)絡(luò)安全 ,特別有有關(guān)支付信息的傳送安全帶來巨大安全隱患。 (四 )管理不當 以及人為因素 加大對網(wǎng)絡(luò)和系統(tǒng)的管理，提高人對安全問題的防范意思是阻止電子支付安全的問題發(fā)生的重要手段。然而很多企業(yè)、機構(gòu)甚至個人都缺乏對自身安全信息的保護和監(jiān)管。有關(guān)數(shù)據(jù)顯示，美國 90%的 IT 企業(yè)對黑客的攻擊防備不足，大部分企業(yè)在數(shù)據(jù) 數(shù)據(jù)權(quán)限授予和管理時混亂，沒有完備的管理人員進入和退出機制；人們在現(xiàn)實生活中對自己的身份、賬戶、密碼等隱私信息保護的重視力度不夠，導(dǎo)致信息泄露引發(fā)電子支付安全問題的案例也時有發(fā)生。在這樣的情形下，電子支付問題頻頻映入眼簾也算意料之中的事了。 五 、 電子支付安全隱患及 應(yīng)對策略 正因為觸發(fā)電子支付安全問題的因素頗多， 所以電子支付的安全隱患是多方面的。從支付的過程涉及的范疇來看，銀行賬號密碼信息安全、計算機系統(tǒng)本身安全（又可以分為硬件安全和軟件安全）、網(wǎng)絡(luò)傳輸安全等都屬于電子支付安全要研究的領(lǐng)域。從人的層面又可以 分為技術(shù)上的和管理上的；管理上有可以分為內(nèi)部的管理和外部的管理等。這里主要從以下幾個方面做具體的分析： (一 ) 銀行賬號和密碼安全 如今的電子支付形式雖然多種多樣，但 大部分 仍需要通過關(guān)聯(lián)銀行卡進行轉(zhuǎn)賬和支付。因此由于個人銀行卡賬號和密碼等信息泄漏給電子支付安全帶來的隱患不容小覷，我們甚至可以認為 銀行賬號和密碼等信息是電子支付的根，如果別有用心的人拿到了這些信息，便可以順藤摸瓜， 偽造電子支付人的信息完成支付 。而這在現(xiàn)實生活中出現(xiàn)的 7 案例不勝枚舉。 當我們在搜索引擎中輸入“銀行卡