【正文】 1 電子支付安全問題分析與對(duì)策研究 一、緒論 (一 )研究背景及意義 進(jìn)入 21 世紀(jì) ,隨著我國(guó)電子商務(wù)的不斷發(fā)展 , 互聯(lián)網(wǎng)產(chǎn)業(yè)鏈不斷做大做強(qiáng) ,參與群不斷擴(kuò)大的同時(shí)，釣魚網(wǎng)站、惡意攻擊等帶來的安全問題也不斷見諸報(bào)端，大大增加了電子支付機(jī)構(gòu)的防范難度。此外，針對(duì)金融行業(yè)的移動(dòng)安全威脅以及 APT 的攻擊也出現(xiàn)了迅速的增長(zhǎng) 態(tài)勢(shì) 。 由于我國(guó)信息安全保障體制機(jī)制的不健全，不斷發(fā)展的電子商務(wù)行 業(yè)也遭遇到了一次“倒春寒“，人們對(duì)于電子商務(wù)安全的擔(dān)憂日漸凸顯， 首當(dāng)其沖的便是電子支付的安全 。 可以說， 能安全進(jìn)行 電子支付是人們更愿意選擇 網(wǎng)絡(luò)進(jìn)行商貿(mào)活動(dòng) 的保障， 電子支付安全 控制著網(wǎng)上交易的最后一道防線，是電子商務(wù)成敗的生命線 ； 電子支付 安全 也 成為 制約電子商務(wù)繼續(xù) 更好 發(fā)展的瓶頸 。 因此， 對(duì)電子 支付 的安全問題分析與對(duì)策研究具有相當(dāng)大的現(xiàn)實(shí)意義和實(shí)用價(jià)值。 (二 )研究思路與方法 本課題研究以應(yīng)用性、實(shí)踐性和可操作性為目標(biāo)， 通過對(duì)文獻(xiàn)等理論知識(shí)的學(xué)習(xí)，摸索出電子商務(wù) 的現(xiàn)狀和 發(fā)展瓶頸；結(jié)合實(shí)際生活經(jīng)驗(yàn)， 從電子支付 流程 可能 遇到 的各個(gè)環(huán)節(jié)入手， “ 順藤摸瓜 ” 地 厘 清電子支付安全問題的由來 、觸發(fā)機(jī)制；在此基礎(chǔ)上，結(jié)合其他學(xué)者在該領(lǐng)域的研究現(xiàn)狀和不足，針對(duì)具體的安全 隱患給出相應(yīng)措施，并探索了新型支付形式 發(fā)展過程中 可能存在的安全問題和解決辦法。 在 論文寫作 過程中 綜合運(yùn)用了以下研究方法 ： 概念分析法、 文獻(xiàn)研究法 、定量分析法、經(jīng)驗(yàn)總結(jié)法等 。 (三 )研究的主要內(nèi)容 本課題通過對(duì)我國(guó)電子商務(wù)的發(fā)展現(xiàn)狀進(jìn)行分析， 探討 了電子支付安全對(duì)電子商務(wù)深入發(fā)展的 巨大 作用 ，并 明確課題 的研究意義和價(jià)值；在此基礎(chǔ)上逐步深入，探討了電子支付的現(xiàn)狀、支付流程和安全問題的由來 。重點(diǎn)研究了可能觸發(fā)電子支付安全問題的原因，并結(jié)合現(xiàn)實(shí)生活中可能遇到的電子支付問題提出了相應(yīng)解決之道；同時(shí)，本課題積極 嘗試 新的領(lǐng)域， 探索了新型電子支付的現(xiàn)狀和可能出現(xiàn)的安全問題。 二 、 電子商務(wù)的現(xiàn)狀分析 電子商務(wù)是指在互聯(lián)網(wǎng)（ Inter）、企業(yè)內(nèi)部網(wǎng)（ Intra）和增值網(wǎng)（ VAN， Value 2 Added Network）上以電子交易方式進(jìn)行交易活動(dòng)和相關(guān)服務(wù)活動(dòng)，是傳統(tǒng)商業(yè)活動(dòng)各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化。通俗來說就是運(yùn)用第三方支付機(jī)構(gòu)作為擔(dān)保，運(yùn)用電子貨幣支付完成的虛擬交易過程。相對(duì)于傳統(tǒng)商務(wù)而言， 電子商務(wù) 之所以 得以迅猛發(fā)展 得 源于 電子支付的安全保障和其 得天獨(dú)厚的優(yōu)勢(shì)。 (一 ) 電子商務(wù)相對(duì)于傳統(tǒng)商務(wù)的優(yōu)勢(shì)及特點(diǎn) 交易虛擬化 ：數(shù)字化貫穿于電子商務(wù)的始終，從查詢商品到咨詢協(xié)調(diào)價(jià)格，到下單支付，甚至顧客查詢物流情況到收到商品后的確認(rèn)收貨，對(duì)整個(gè)購(gòu)買環(huán)節(jié)進(jìn)行點(diǎn)評(píng)都通過互聯(lián)網(wǎng)來完成。 交易成本低：由于沒有傳統(tǒng)交易繁瑣的過程，電子商務(wù)大部分交易流程 均在互聯(lián)網(wǎng)上 完成， 這樣賣方 就省去了一大筆的店鋪門面 出租費(fèi)用 ，人工費(fèi)，稅費(fèi)等 ，買方則少了交易的交通費(fèi)等，從而大大降低了交易的時(shí)間成本和勞務(wù)成本。 交易效率高：電子商務(wù)依靠其得天獨(dú)厚的網(wǎng)絡(luò)優(yōu)勢(shì)，顧客可以及時(shí)向賣家發(fā)出訂單 和需求 ，賣家 根據(jù)顧客的訂單和需求生產(chǎn)和批發(fā)相應(yīng)商品，甚至實(shí)現(xiàn)一對(duì)一定制 服務(wù) 。當(dāng)交易發(fā)生變更時(shí)， 能在 第一時(shí)間 修改 訂單狀態(tài) 和對(duì) 生產(chǎn) 的 跟蹤，從而提高了交易的效率 交易透明化：網(wǎng)上交易 雖 不如實(shí)體店交易的真實(shí)，不能 調(diào)動(dòng)除視覺以外的其他感官去對(duì) 細(xì)節(jié) 進(jìn)行 感知， 卻 可以通過互聯(lián)網(wǎng)得到真實(shí)的產(chǎn)品屬性 ，讓每個(gè)消費(fèi)者都有一個(gè)強(qiáng)大的“智囊團(tuán)”，輕松 貨比三家，明明白白消費(fèi)。 (二 ) 電子商務(wù)的現(xiàn)狀 和瓶頸 電子商務(wù)憑借其優(yōu)勢(shì)得以迅猛發(fā)展。從中國(guó)電子商務(wù)研究中心了解到，截止到 2021年底，我國(guó)電子商務(wù)交易總體規(guī)模達(dá)到 萬(wàn)億人民幣，同比增長(zhǎng) %。其中， B2B電子商務(wù)交易額達(dá) 萬(wàn)億，同比 增長(zhǎng) 27%。而 2021 年全年，中國(guó)電子商務(wù)市場(chǎng)交易額達(dá) 6 萬(wàn)億人民幣，同比增長(zhǎng) 33%，占 GDP 比重上升到 13%； 2021 年，電子商務(wù)占 GDP的比重已經(jīng)高達(dá) 15%。預(yù)計(jì) 今 年我國(guó)電子商務(wù)規(guī)模將突破十三萬(wàn)億大關(guān) (如圖 11)。 與此同時(shí)，越來越多企業(yè)和個(gè)人在電子商務(wù)中選擇了電子支付作為支付結(jié)算方式。從中國(guó)金融認(rèn)證中心了解到，截至 2021 年 12 月，我國(guó)使用網(wǎng)上電子支付的用戶達(dá)到 3 圖 11 20212021 年中國(guó)電子商務(wù)市場(chǎng)交易規(guī)模（萬(wàn)億元） [10] 億，預(yù)計(jì)全年支付規(guī)模會(huì)達(dá)到 萬(wàn)億元。不僅 如此，電子支付行業(yè)的市場(chǎng)前景廣闊，工信部信息安全協(xié)調(diào)司副司長(zhǎng)楊春燕表示，力爭(zhēng)在 2021 年電子商務(wù)交易額達(dá)到 18 萬(wàn)億元。 在參與群不斷 壯大 和互聯(lián)網(wǎng)產(chǎn)業(yè)鏈不斷 做大做強(qiáng) 的同時(shí)， 電子支付 安全問題也不斷見諸報(bào)端。據(jù)統(tǒng)計(jì)， 2021 年 2 月到 9 月，針對(duì)金融行業(yè)的釣魚網(wǎng)站達(dá)到 4629 個(gè)，大大增加了電子支付機(jī)構(gòu)的防范難度。此外，針對(duì)金融行業(yè)的移動(dòng)安全威脅以及 APT 的攻擊也 呈現(xiàn)迅速增長(zhǎng)的態(tài)勢(shì)。 出于各種原因 ， 高速 發(fā)展的電子 商務(wù) 行業(yè)也遭遇到了一次“倒春寒“，人們對(duì)于電子商務(wù)安全的擔(dān)憂日漸凸顯， 如何發(fā)現(xiàn)和解決迫在眉睫。 首 當(dāng)其沖的便是電子支付的安全 。 三 、 電子支付 概述及安全問題的由來 (一 ) 電子支付 含義 電子支付安全問題是人們更愿意選擇網(wǎng)絡(luò)進(jìn)行商貿(mào)活動(dòng)的保障，也控制著網(wǎng)上交易的最后一道防線，是電子商務(wù)成敗的生命線；電子支付安全也是制約電子商務(wù)繼續(xù)更好發(fā)展的瓶頸。 廣義的電子支付包括： ① 銀行之間的業(yè)務(wù)結(jié)算，包括轉(zhuǎn)帳收付、現(xiàn)金存取、代理業(yè)務(wù)、匯兌業(yè)務(wù)、中間業(yè)務(wù)，存款、貸款、票據(jù)業(yè)務(wù)等； ② 銀行與其他機(jī)構(gòu)單位之間的結(jié)算：如代發(fā)工資，代繳費(fèi)用等； ③ 用戶自動(dòng)柜員機(jī)的操作：如銀行的存取款，電信營(yíng)業(yè)廳的存話費(fèi)等； ④ 銷售終端：各種銷售終端 提供的扣款業(yè)務(wù)，如微信，淘寶等 APP 手機(jī)應(yīng)用軟件； ⑤ 網(wǎng)上支付：通過互聯(lián)網(wǎng)隨時(shí)直接轉(zhuǎn)賬結(jié)算等。狹義的電子支付是指網(wǎng)上交易參與者（包括賣方、賣方和金融機(jī)構(gòu)等）通過網(wǎng)絡(luò)進(jìn)行的貨幣收支或資金流轉(zhuǎn)，以達(dá)到達(dá)成訂單的目的的過程。電子支付是電子商務(wù)系統(tǒng)的最重要組成部分之一 (如圖 4 21)。 圖 21 廣義電子支付的構(gòu)成 (二 ) 電子支付 分類及特點(diǎn) 電子支付按支付媒介分，可以分為：網(wǎng)上支付、電話支付、移動(dòng)支付等。 網(wǎng)上支付 網(wǎng)上支付是電子支付最常見的一種形式。一般來說，網(wǎng)上支付是以互聯(lián)網(wǎng)作為媒介，買方和賣方利用銀行簽發(fā)或者支持的金融工具進(jìn)行金融交換，從而實(shí)現(xiàn)從買 方 到金融機(jī)構(gòu)、 賣方 三者之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等功能的過程，以此為電子商務(wù)參與者和其他機(jī)構(gòu)提供服務(wù)的行為。 電 話支付 電話支付是相對(duì)網(wǎng)上支付的線上交易而言的，消費(fèi)者可以通過移動(dòng)終端（如固話，手機(jī)，小靈通）接入各大銀行的電話銀行，就可以使用銀行賬戶輕松支付貨款（如快錢）。 移動(dòng)支付 移動(dòng)支付也可以成為手機(jī)支付，也就是消費(fèi)者可以使用移動(dòng)終端（如手機(jī) 、平板電腦等 ）對(duì)消費(fèi)的商品或者服務(wù)進(jìn)行支付的一種方式。單位或個(gè)人通過移動(dòng)設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機(jī)構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實(shí)現(xiàn)移動(dòng)支付功能。移動(dòng)支付是繼傳統(tǒng)支付、網(wǎng)上支付、電話支付以后出現(xiàn)的一種新型支付方式，用戶 可以利用 手機(jī)應(yīng)用 軟件上輕松完成貨款支付、賬戶查詢等功能。（如微信支付） (三 )電子支付流程 及安全問題由來 雖然，電子支付支付形式上和一般的商務(wù)活動(dòng)有很多的不同，但同為資金流的承載，也有相同之處，那就是 “ 始于銀行，終于銀行 ” ，銀行構(gòu)成了電子支付的源流，現(xiàn)金流將會(huì)在電子支付的河流中經(jīng)過重重關(guān)卡，實(shí)現(xiàn)它對(duì) 一項(xiàng) 電子 商務(wù)活動(dòng)的價(jià)值 ，然后悄然 5 回到它的起點(diǎn)，完成使命的回歸。 資金的河流流經(jīng)之處，也是要完成電子支付必經(jīng)之路，因此 任何關(guān)卡都 將 成為電子支付安全的重鎮(zhèn) ，弄清電子支付流程對(duì)電子支付安全至關(guān)重要， 下面，我們就 以一次淘寶購(gòu)物為例 來看下電 子支付的流程： 準(zhǔn)備工作 要想完成電子支付，就必須 攜帶 有效 身份 證件 到銀行辦理相應(yīng)的支付結(jié)算工具， 包括銀行卡（賬號(hào)和密碼）、 安全支付工具（ K 包、 K 令、手機(jī)動(dòng)態(tài)驗(yàn)證等）；擁有一臺(tái)連接互聯(lián)網(wǎng)的電腦，并完成銀行支付結(jié)算工具的激活、支付平臺(tái)賬號(hào)注冊(cè)等準(zhǔn)備工作。 商品查詢、詢價(jià) 第二步也是必須的，正所謂“巧婦難為無(wú)米之炊”，登錄正規(guī)購(gòu)物平臺(tái)完成商品查詢、咨詢并協(xié)商好價(jià)格，將商品拍下或放入購(gòu)物車， 提交訂單 等待支付。 完成電子支付 客戶登錄后臺(tái)，仔細(xì)檢查訂單商品和金額是否準(zhǔn)確 ， 檢查完畢， 把相關(guān)加密信息發(fā)送給支付 網(wǎng)關(guān)，頁(yè)面跳轉(zhuǎn)至銀行支付平臺(tái)；此時(shí)，用戶需要登錄并驗(yàn)證自己的銀行賬號(hào)、密碼、電子證書等信息，等待銀行授權(quán)；在驗(yàn)證成功后，銀行網(wǎng)關(guān)會(huì)通過機(jī)密通道，反饋支付支付請(qǐng)求， 將款項(xiàng)劃入第三方支付平臺(tái)， 并經(jīng)由平臺(tái)告知賣家支付成功 ，提醒其發(fā)貨 。 后續(xù)工作 在賣家收到支付消息后，會(huì)完成后續(xù)工作，如發(fā)貨；買家在收到商品后，需要進(jìn)行收貨確認(rèn)。此時(shí)，第三方平臺(tái)才會(huì)把款項(xiàng)劃到賣家賬戶，保證了整個(gè)電子商務(wù)的安全和有序。 通過以上的分析，我們可以得出電子支付所涉及范疇，包括了物理介質(zhì)（如銀行賬戶、密碼）、軟件介質(zhì)和管理方面等 。如果 其 中的任何一項(xiàng)應(yīng)用不當(dāng)，都會(huì)起到牽一發(fā)而動(dòng)全身的作用，給電子支付安全帶來巨大風(fēng)險(xiǎn)。 四 、 觸發(fā)電子支付的安全問題的原因 要避免電子支付的安全問題，首先必須 弄 清楚一系列可能觸發(fā)電子支付安全的因素。歸集起來，主要有以下幾點(diǎn)： (一 )互聯(lián)網(wǎng)自身 的缺陷 Inter 作為一種開放的、共享的網(wǎng)絡(luò)，安全性方面有先天發(fā)育不足的弊端。其自身的在設(shè)計(jì)時(shí)便很難兼顧安全性和方便性、大眾性?；蛘哒f，受眾人群和信息傳輸通暢至始至終都是是信息高速公路的首先考慮的，這便使安全、服務(wù)、帶寬等方面大打折扣 ，而這無(wú)疑會(huì)對(duì)電子支付安全構(gòu)成一定威 脅。 6 (二 )軟件 的不完善和漏洞 軟件開發(fā)者在開發(fā)軟件時(shí)開發(fā)語(yǔ)言選擇 給電子支付帶來了安全隱患， 如使用 C 語(yǔ)言開發(fā)的軟件就要比 JAVA 開發(fā)的漏洞要多。但不管選擇任何語(yǔ)言編寫的程序，都不能保證把所有安全問題擋在門外， 因此 我們經(jīng)?？吹?在 一個(gè)軟件安裝 后會(huì)有一系列的補(bǔ)丁 陸續(xù)發(fā) 布讓用戶去下載 并安裝 。另一方面，開發(fā)者不能窮盡所有可能的漏洞，補(bǔ)丁總滯后于漏洞，當(dāng)一個(gè)漏洞爆出，總要 等到 一些用戶的利益受到損失，開發(fā)者才會(huì)發(fā)現(xiàn)自身的不足 。而這對(duì)電子支付可能是相當(dāng)致命的打擊。 (三 )黑客的攻擊 由于缺乏對(duì)互聯(lián)網(wǎng)犯罪的有效追蹤和反擊，導(dǎo) 致黑客的攻擊的殺傷力往往具有極強(qiáng)的摧毀性和極好的隱蔽性。目前互聯(lián)網(wǎng)上有超過 20 萬(wàn)黑客網(wǎng)站，其成立目的便是為黑客與黑客間搭建一個(gè)技術(shù)交流、熱門攻擊工具分享的平臺(tái)，其攻擊方法達(dá)到上千種之多，讓人防不勝防 ,這為網(wǎng)絡(luò)安全 ,特別有有關(guān)支付信息的傳送安全帶來巨大安全隱患。 (四 )管理不當(dāng) 以及人為因素 加大對(duì)網(wǎng)絡(luò)和系統(tǒng)的管理，提高人對(duì)安全問題的防范意思是阻止電子支付安全的問題發(fā)生的重要手段。然而很多企業(yè)、機(jī)構(gòu)甚至個(gè)人都缺乏對(duì)自身安全信息的保護(hù)和監(jiān)管。有關(guān)數(shù)據(jù)顯示，美國(guó) 90%的 IT 企業(yè)對(duì)黑客的攻擊防備不足，大部分企業(yè)在數(shù)據(jù) 數(shù)據(jù)權(quán)限授予和管理時(shí)混亂，沒有完備的管理人員進(jìn)入和退出機(jī)制；人們?cè)诂F(xiàn)實(shí)生活中對(duì)自己的身份、賬戶、密碼等隱私信息保護(hù)的重視力度不夠，導(dǎo)致信息泄露引發(fā)電子支付安全問題的案例也時(shí)有發(fā)生。在這樣的情形下，電子支付問題頻頻映入眼簾也算意料之中的事了。 五 、 電子支付安全隱患及 應(yīng)對(duì)策略 正因?yàn)橛|發(fā)電子支付安全問題的因素頗多， 所以電子支付的安全隱患是多方面的。從支付的過程涉及的范疇來看，銀行賬號(hào)密碼信息安全、計(jì)算機(jī)系統(tǒng)本身安全（又可以分為硬件安全和軟件安全）、網(wǎng)絡(luò)傳輸安全等都屬于電子支付安全要研究的領(lǐng)域。從人的層面又可以 分為技術(shù)上的和管理上的；管理上有可以分為內(nèi)部的管理和外部的管理等。這里主要從以下幾個(gè)方面做具體的分析： (一 ) 銀行賬號(hào)和密碼安全 如今的電子支付形式雖然多種多樣，但 大部分 仍需要通過關(guān)聯(lián)銀行卡進(jìn)行轉(zhuǎn)賬和支付。因此由于個(gè)人銀行卡賬號(hào)和密碼等信息泄漏給電子支付安全帶來的隱患不容小覷，我們甚至可以認(rèn)為 銀行賬號(hào)和密碼等信息是電子支付的根，如果別有用心的人拿到了這些信息，便可以順藤摸瓜， 偽造電子支付人的信息完成支付 。而這在現(xiàn)實(shí)生活中出現(xiàn)的 7 案例不勝枚舉。 當(dāng)我們?cè)谒阉饕嬷休斎搿般y行卡