【正文】 電子支付安全問題分析與對(duì)策研究一、緒論(一)研究背景及意義進(jìn)入21世紀(jì),隨著我國(guó)電子商務(wù)的不斷發(fā)展, 互聯(lián)網(wǎng)產(chǎn)業(yè)鏈不斷做大做強(qiáng),參與群不斷擴(kuò)大的同時(shí)，釣魚網(wǎng)站、惡意攻擊等帶來的安全問題也不斷見諸報(bào)端，大大增加了電子支付機(jī)構(gòu)的防范難度。此外，針對(duì)金融行業(yè)的移動(dòng)安全威脅以及 APT的攻擊也出現(xiàn)了迅速的增長(zhǎng)態(tài)勢(shì)。由于我國(guó)信息安全保障體制機(jī)制的不健全，不斷發(fā)展的電子商務(wù)行業(yè)也遭遇到了一次“倒春寒“，人們對(duì)于電子商務(wù)安全的擔(dān)憂日漸凸顯，首當(dāng)其沖的便是電子支付的安全。可以說，能安全進(jìn)行電子支付是人們更愿意選擇網(wǎng)絡(luò)進(jìn)行商貿(mào)活動(dòng)的保障，電子支付安全控制著網(wǎng)上交易的最后一道防線，是電子商務(wù)成敗的生命線；電子支付安全也成為制約電子商務(wù)繼續(xù)更好發(fā)展的瓶頸。因此，對(duì)電子支付的安全問題分析與對(duì)策研究具有相當(dāng)大的現(xiàn)實(shí)意義和實(shí)用價(jià)值。(二)研究思路與方法本課題研究以應(yīng)用性、實(shí)踐性和可操作性為目標(biāo)，通過對(duì)文獻(xiàn)等理論知識(shí)的學(xué)習(xí)，摸索出電子商務(wù)的現(xiàn)狀和發(fā)展瓶頸；結(jié)合實(shí)際生活經(jīng)驗(yàn)，從電子支付流程可能遇到的各個(gè)環(huán)節(jié)入手，“順藤摸瓜”地厘清電子支付安全問題的由來、觸發(fā)機(jī)制；在此基礎(chǔ)上，結(jié)合其他學(xué)者在該領(lǐng)域的研究現(xiàn)狀和不足，針對(duì)具體的安全隱患給出相應(yīng)措施，并探索了新型支付形式發(fā)展過程中可能存在的安全問題和解決辦法。在論文寫作過程中綜合運(yùn)用了以下研究方法：概念分析法、文獻(xiàn)研究法、定量分析法、經(jīng)驗(yàn)總結(jié)法等。(三)研究的主要內(nèi)容本課題通過對(duì)我國(guó)電子商務(wù)的發(fā)展現(xiàn)狀進(jìn)行分析，探討了電子支付安全對(duì)電子商務(wù)深入發(fā)展的巨大作用，并明確課題的研究意義和價(jià)值；在此基礎(chǔ)上逐步深入，探討了電子支付的現(xiàn)狀、支付流程和安全問題的由來。重點(diǎn)研究了可能觸發(fā)電子支付安全問題的原因，并結(jié)合現(xiàn)實(shí)生活中可能遇到的電子支付問題提出了相應(yīng)解決之道；同時(shí)，本課題積極嘗試新的領(lǐng)域，探索了新型電子支付的現(xiàn)狀和可能出現(xiàn)的安全問題。二、電子商務(wù)的現(xiàn)狀分析電子商務(wù)是指在互聯(lián)網(wǎng)（Internet）、企業(yè)內(nèi)部網(wǎng)（Intranet）和增值網(wǎng)（VAN，Value Added Network）上以電子交易方式進(jìn)行交易活動(dòng)和相關(guān)服務(wù)活動(dòng)，是傳統(tǒng)商業(yè)活動(dòng)各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化。通俗來說就是運(yùn)用第三方支付機(jī)構(gòu)作為擔(dān)保，運(yùn)用電子貨幣支付完成的虛擬交易過程。相對(duì)于傳統(tǒng)商務(wù)而言，電子商務(wù)之所以得以迅猛發(fā)展得源于電子支付的安全保障和其得天獨(dú)厚的優(yōu)勢(shì)。(一) 電子商務(wù)相對(duì)于傳統(tǒng)商務(wù)的優(yōu)勢(shì)及特點(diǎn)交易虛擬化：數(shù)字化貫穿于電子商務(wù)的始終，從查詢商品到咨詢協(xié)調(diào)價(jià)格，到下單支付，甚至顧客查詢物流情況到收到商品后的確認(rèn)收貨，對(duì)整個(gè)購買環(huán)節(jié)進(jìn)行點(diǎn)評(píng)都通過互聯(lián)網(wǎng)來完成。交易成本低：由于沒有傳統(tǒng)交易繁瑣的過程，電子商務(wù)大部分交易流程均在互聯(lián)網(wǎng)上完成，這樣賣方就省去了一大筆的店鋪門面出租費(fèi)用，人工費(fèi)，稅費(fèi)等，買方則少了交易的交通費(fèi)等，從而大大降低了交易的時(shí)間成本和勞務(wù)成本。交易效率高：電子商務(wù)依靠其得天獨(dú)厚的網(wǎng)絡(luò)優(yōu)勢(shì)，顧客可以及時(shí)向賣家發(fā)出訂單和需求，賣家根據(jù)顧客的訂單和需求生產(chǎn)和批發(fā)相應(yīng)商品，甚至實(shí)現(xiàn)一對(duì)一定制服務(wù)。當(dāng)交易發(fā)生變更時(shí)，能在第一時(shí)間修改訂單狀態(tài)和對(duì)生產(chǎn)的跟蹤，從而提高了交易的效率交易透明化：網(wǎng)上交易雖不如實(shí)體店交易的真實(shí)，不能調(diào)動(dòng)除視覺以外的其他感官去對(duì)細(xì)節(jié)進(jìn)行感知，卻可以通過互聯(lián)網(wǎng)得到真實(shí)的產(chǎn)品屬性，讓每個(gè)消費(fèi)者都有一個(gè)強(qiáng)大的“智囊團(tuán)”，輕松貨比三家，明明白白消費(fèi)。(二) 電子商務(wù)的現(xiàn)狀和瓶頸電子商務(wù)憑借其優(yōu)勢(shì)得以迅猛發(fā)展。從中國(guó)電子商務(wù)研究中心了解到，截止到2012年底，%。其中，同比增長(zhǎng)27%。而2011年全年，中國(guó)電子商務(wù)市場(chǎng)交易額達(dá)6萬億人民幣，同比增長(zhǎng)33%，占GDP比重上升到13%；2012年，電子商務(wù)占GDP的比重已經(jīng)高達(dá)15%。預(yù)計(jì)今年我國(guó)電子商務(wù)規(guī)模將突破十三萬億大關(guān) (如圖11)。與此同時(shí)，越來越多企業(yè)和個(gè)人在電子商務(wù)中選擇了電子支付作為支付結(jié)算方式。從中國(guó)金融認(rèn)證中心了解到，截至 2012年 12月，我國(guó)使用網(wǎng)上電子支付的用戶達(dá)到 圖11 20092014年中國(guó)電子商務(wù)市場(chǎng)交易規(guī)模（萬億元）[10]，預(yù)計(jì)全年支付規(guī)模會(huì)達(dá)到 。不僅如此，電子支付行業(yè)的市場(chǎng)前景廣闊，工信部信息安全協(xié)調(diào)司副司長(zhǎng)楊春燕表示，力爭(zhēng)在 2015年電子商務(wù)交易額達(dá)到 18萬億元。在參與群不斷壯大和互聯(lián)網(wǎng)產(chǎn)業(yè)鏈不斷做大做強(qiáng)的同時(shí)，電子支付安全問題也不斷見諸報(bào)端。據(jù)統(tǒng)計(jì)，2012年 2月到 9月，針對(duì)金融行業(yè)的釣魚網(wǎng)站達(dá)到 4629個(gè)，大大增加了電子支付機(jī)構(gòu)的防范難度。此外，針對(duì)金融行業(yè)的移動(dòng)安全威脅以及 APT的攻擊也呈現(xiàn)迅速增長(zhǎng)的態(tài)勢(shì)。出于各種原因，高速發(fā)展的電子商務(wù)行業(yè)也遭遇到了一次“倒春寒“，人們對(duì)于電子商務(wù)安全的擔(dān)憂日漸凸顯，如何發(fā)現(xiàn)和解決迫在眉睫。首當(dāng)其沖的便是電子支付的安全。三、電子支付概述及安全問題的由來(一) 電子支付含義電子支付安全問題是人們更愿意選擇網(wǎng)絡(luò)進(jìn)行商貿(mào)活動(dòng)的保障，也控制著網(wǎng)上交易的最后一道防線，是電子商務(wù)成敗的生命線；電子支付安全也是制約電子商務(wù)繼續(xù)更好發(fā)展的瓶頸。廣義的電子支付包括：①銀行之間的業(yè)務(wù)結(jié)算，包括轉(zhuǎn)帳收付、現(xiàn)金存取、代理業(yè)務(wù)、匯兌業(yè)務(wù)、中間業(yè)務(wù)，存款、貸款、票據(jù)業(yè)務(wù)等；②銀行與其他機(jī)構(gòu)單位之間的結(jié)算：如代發(fā)工資，代繳費(fèi)用等；③用戶自動(dòng)柜員機(jī)的操作：如銀行的存取款，電信營(yíng)業(yè)廳的存話費(fèi)等；④銷售終端：各種銷售終端提供的扣款業(yè)務(wù)，如微信，淘寶等APP手機(jī)應(yīng)用軟件；⑤網(wǎng)上支付：通過互聯(lián)網(wǎng)隨時(shí)直接轉(zhuǎn)賬結(jié)算等。狹義的電子支付是指網(wǎng)上交易參與者（包括賣方、賣方和金融機(jī)構(gòu)等）通過網(wǎng)絡(luò)進(jìn)行的貨幣收支或資金流轉(zhuǎn)，以達(dá)到達(dá)成訂單的目的的過程。電子支付是電子商務(wù)系統(tǒng)的最重要組成部分之一 (如圖21)。圖21 廣義電子支付的構(gòu)成(二) 電子支付分類及特點(diǎn)電子支付按支付媒介分，可以分為：網(wǎng)上支付、電話支付、移動(dòng)支付等。網(wǎng)上支付網(wǎng)上支付是電子支付最常見的一種形式。一般來說，網(wǎng)上支付是以互聯(lián)網(wǎng)作為媒介，買方和賣方利用銀行簽發(fā)或者支持的金融工具進(jìn)行金融交換，從而實(shí)現(xiàn)從買方到金融機(jī)構(gòu)、賣方三者之間的在線貨幣支付、現(xiàn)金流轉(zhuǎn)、資金清算、查詢統(tǒng)計(jì)等功能的過程，以此為電子商務(wù)參與者和其他機(jī)構(gòu)提供服務(wù)的行為。電話支付電話支付是相對(duì)網(wǎng)上支付的線上交易而言的，消費(fèi)者可以通過移動(dòng)終端（如固話，手機(jī)，小靈通）接入各大銀行的電話銀行，就可以使用銀行賬戶輕松支付貨款（如快錢）。移動(dòng)支付移動(dòng)支付也可以成為手機(jī)支付，也就是消費(fèi)者可以使用移動(dòng)終端（如手機(jī)、平板電腦等）對(duì)消費(fèi)的商品或者服務(wù)進(jìn)行支付的一種方式。單位或個(gè)人通過移動(dòng)設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機(jī)構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實(shí)現(xiàn)移動(dòng)支付功能。移動(dòng)支付是繼傳統(tǒng)支付、網(wǎng)上支付、電話支付以后出現(xiàn)的一種新型支付方式，用戶可以利用手機(jī)應(yīng)用軟件上輕松完成貨款支付、賬戶查詢等功能。（如微信支付）(三)電子支付流程及安全問題由來雖然，電子支付支付形式上和一般的商務(wù)活動(dòng)有很多的不同，但同為資金流的承載，也有相同之處，那就是“始于銀行，終于銀行”，銀行構(gòu)成了電子支付的源流，現(xiàn)金流將會(huì)在電子支付的河流中經(jīng)過重重關(guān)卡，實(shí)現(xiàn)它對(duì)一項(xiàng)電子商務(wù)活動(dòng)的價(jià)值，然后悄然回到它的起點(diǎn)，完成使命的回歸。資金的河流流經(jīng)之處，也是要完成電子支付必經(jīng)之路，因此任何關(guān)卡都將成為電子支付安全的重鎮(zhèn)，弄清電子支付流程對(duì)電子支付安全至關(guān)重要，下面，我們就以一次淘寶購物為例來看下電子支付的流程：準(zhǔn)備工作要想完成電子支付，就必須攜帶有效身份證件到銀行辦理相應(yīng)的支付結(jié)算工具，包括銀行卡（賬號(hào)和密碼）、安全支付工具（K包、K令、手機(jī)動(dòng)態(tài)驗(yàn)證等）；擁有一臺(tái)連接互聯(lián)網(wǎng)的電腦，并完成銀行支付結(jié)算工具的激活、支付平臺(tái)賬號(hào)注冊(cè)等準(zhǔn)備工作。商品查詢、詢價(jià)第二步也是必須的，正所謂“巧婦難為無米之炊”，登錄正規(guī)購物平臺(tái)完成商品查詢、咨詢并協(xié)商好價(jià)格，將商品拍下或放入購物車，提交訂單等待支付。完成電子支付客戶登錄后臺(tái)，仔細(xì)檢查訂單商品和金額是否準(zhǔn)確，檢查完畢，把相關(guān)加密信息發(fā)送給支付網(wǎng)關(guān)，頁面跳轉(zhuǎn)至銀行支付平臺(tái)；此時(shí)，用戶需要登錄并驗(yàn)證自己的銀行賬號(hào)、密碼、電子證書等信息，等待銀行授權(quán)；在驗(yàn)證成功后，銀行網(wǎng)關(guān)會(huì)通過機(jī)密通道，反饋支付支付請(qǐng)求，將款項(xiàng)劃入第三方支付平臺(tái)，并經(jīng)由平臺(tái)告知賣家支付成功，提醒其發(fā)貨。后續(xù)工作在賣家收到支付消息后，會(huì)完成后續(xù)工作，如發(fā)貨；買家在收到商品后，需要進(jìn)行收貨確認(rèn)。此時(shí)，第三方平臺(tái)才會(huì)把款項(xiàng)劃到賣家賬戶，保證了整個(gè)電子商務(wù)的安全和有序。通過以上的分析，我們可以得出電子支付所涉及范疇，包括了物理介質(zhì)（如銀行賬戶、密碼）、軟件介質(zhì)和管理方面等。如果其中的任何一項(xiàng)應(yīng)用不當(dāng)，都會(huì)起到牽一發(fā)而動(dòng)全身的作用，給電子支付安全帶來巨大風(fēng)險(xiǎn)。四、觸發(fā)電子支付的安全問題的原因要避免電子支付的安全問題，首先必須弄清楚一系列可能觸發(fā)電子支付安全的因素。歸集起來，主要有以下幾點(diǎn)：(一)互聯(lián)網(wǎng)自身的缺陷Internet作為一種開放的、共享的網(wǎng)絡(luò)，安全性方面有先天發(fā)育不足的弊端。其自身的在設(shè)計(jì)時(shí)便很難兼顧安全性和方便性、大眾性?；蛘哒f，受眾人群和信息傳輸通暢至始至終都是是信息高速公路的首先考慮的，這便使安全、服務(wù)、帶寬等方面大打折扣，而這無疑會(huì)對(duì)電子支付安全構(gòu)成一定威脅。(二)軟件的不完善和漏洞軟件開發(fā)者在開發(fā)軟件時(shí)開發(fā)語言選擇給電子支付帶來了安全隱患，如使用C語言開發(fā)的軟件就要比JAVA開發(fā)的漏洞要多。但不管選擇任何語言編寫的程序，都不能保證把所有安全問題擋在門外，因此我們經(jīng)?？吹皆谝粋€(gè)軟件安裝后會(huì)有一系列的補(bǔ)丁陸續(xù)發(fā)布讓用戶去下載并安裝。另一方面，開發(fā)者不能窮盡所有可能的漏洞，補(bǔ)丁總滯后于漏洞，當(dāng)一個(gè)漏洞爆出，總要等到一些用戶的利益受到損失，開發(fā)者才會(huì)發(fā)現(xiàn)自身的不足。而這對(duì)電子支付可能是相當(dāng)致命的打擊。(三)黑客的攻擊由于缺乏對(duì)互聯(lián)網(wǎng)犯罪的有效追蹤和反擊，導(dǎo)致黑客的攻擊的殺傷力往往具有極強(qiáng)的摧毀性和極好的隱蔽性。目前互聯(lián)網(wǎng)上有超過20萬黑客網(wǎng)站，其成立目的便是為黑客與黑客間搭建一個(gè)技術(shù)交流、熱門攻擊工具分享的平臺(tái)，其攻擊方法達(dá)到上千種之多，讓人防不勝防,這為網(wǎng)絡(luò)安全,特別有有關(guān)支付信息的傳送安全帶來巨大安全隱患。(四)管理不當(dāng)以及人為因素加大對(duì)網(wǎng)絡(luò)和系統(tǒng)的管理，提高人對(duì)安全問題的防范意思是阻止電子支付安全的問題發(fā)生的重要手段。然而很多企業(yè)、機(jī)構(gòu)甚至個(gè)人都缺乏對(duì)自身安全信息的保護(hù)和監(jiān)管。有關(guān)數(shù)據(jù)顯示，美國(guó)90%的IT企業(yè)對(duì)黑客的攻擊防備不足，大部分企業(yè)在數(shù)據(jù)數(shù)據(jù)權(quán)限授予和管理時(shí)混亂，沒有完備的管理人員進(jìn)入和退出機(jī)制；人們?cè)诂F(xiàn)實(shí)生活中對(duì)自己的身份、賬戶、密碼等隱私信息保護(hù)的重視力度不夠，導(dǎo)致信息泄露引發(fā)電子支付安全問題的案例也時(shí)有發(fā)生。在這樣的情形下，電子支付問題頻頻映入眼簾也算意料之中的事了。五、電子支付安全隱患及應(yīng)對(duì)策略正因?yàn)橛|發(fā)電子支付安全問題的因素頗多，所以電子支付的安全隱患是多方面的。從支付的過程涉及的范疇來看，銀行賬號(hào)密碼信息安全、計(jì)算機(jī)系統(tǒng)本身安全（又可以分為硬件安全和軟件安全）、網(wǎng)絡(luò)傳輸安全等都屬于電子支付安全要研究的領(lǐng)域。從人的層面又可以分為技術(shù)上的和管理上的；管理上有可以分為內(nèi)部的管理和外部的管理等。這里主要從以下幾個(gè)方面做具體的分析：(一) 銀行賬號(hào)和密碼安全如今的電子支付形式雖然多種多樣，但大部分仍需要通過關(guān)聯(lián)銀行卡進(jìn)行轉(zhuǎn)賬和支付。因此由于個(gè)人銀行卡賬號(hào)和密碼等信息泄漏給電子支付安全帶來的隱患不容小覷，我們甚至可以認(rèn)為銀行賬號(hào)和密碼等信息是電子支付的根，如果別有用心的人拿到了這些信息，便可以順藤摸瓜，偽造電子支付人的信息完成支付。而這在現(xiàn)實(shí)生活中出現(xiàn)的案例不勝枚舉。當(dāng)我們?cè)谒阉饕嬷休斎搿般y行卡”三個(gè)關(guān)鍵字時(shí)，在出現(xiàn)的搜索結(jié)果中映入眼簾的除了少部分對(duì)銀行卡本身介紹以外，便沖刺著各種銀行卡被盜刷的信息：“男子銀行卡被盜刷83萬，法院稱舉證銀行過錯(cuò)較難”“ 賬號(hào)綁定銀行卡，一個(gè)生僻字微信紅包成死錢”等等，讓人觸目驚心。（如圖41）有關(guān)數(shù)據(jù)顯示，2006年至2010年，全國(guó)檢察機(jī)關(guān)受理移送起訴的金融犯罪案件前三位，信用卡詐騙數(shù)量獨(dú)占鰲頭，%，數(shù)量從2006年的700余件激增至2010年的近7000件。種種新聞背后，卻是我們對(duì)銀行卡賬戶信息泄露給電子支付帶來的巨大的安全隱患的擔(dān)憂，銀行卡是電