網(wǎng)絡(luò)工程師職稱論文發(fā)表論當前網(wǎng)絡(luò)虛擬下的第

　　論文摘要：在第三方支付平臺建設(shè)中，沒有充分重視安全技術(shù)防護能力的建設(shè)，安全技術(shù)防護能力薄弱，如，有些支付系統(tǒng)沒有部署防火墻和入侵檢測設(shè)備，沒有劃分安全域;沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護措施;重要數(shù)據(jù)的傳輸和存儲存在安全隱患;重要網(wǎng)絡(luò)設(shè)備沒有進行安全策略配置，致使非法訪問網(wǎng)絡(luò)系統(tǒng)、假冒網(wǎng)絡(luò)終端/操作員、截獲和篡改傳輸數(shù)據(jù)的安全事件發(fā)生;應(yīng)急處理方案不完備，應(yīng)對和處理危機的能力還比較弱。

　　引言

　　隨著網(wǎng)絡(luò)信息、通信技術(shù)的快速發(fā)展和支付服務(wù)的不斷分工細化，越來越多的非金融機構(gòu)借助互聯(lián)網(wǎng)、手機等信息技術(shù)廣泛參與支付業(yè)務(wù)。非金融機構(gòu)提供支付服務(wù)、與銀行業(yè)既合作又競爭，已經(jīng)成為一支重要的力量。非金融機構(gòu)支付服務(wù)，是指非金融機構(gòu)在收付款人之間作為中介機構(gòu)提供下列部分或全部貨幣資金轉(zhuǎn)移服務(wù)，包括網(wǎng)絡(luò)支付、預(yù)付卡的發(fā)行與受理、銀行卡收單，及中國人民銀行確定的其他支付服務(wù)。這些非金融機構(gòu)被稱作“第三方支付機構(gòu)”。

　　非金融機構(gòu)支付服務(wù)的多樣化、個性化等特點較好地滿足了電子商務(wù)企業(yè)和個人的支付需求，促進了電子商務(wù)的發(fā)展，在支持“刺激消費、擴大內(nèi)需”等宏觀經(jīng)濟政策方面發(fā)揮了積極作用。雖然非金融機構(gòu)的支付服務(wù)主要集中在零售支付領(lǐng)域，其業(yè)務(wù)量與銀行業(yè)金融機構(gòu)提供的支付服務(wù)量相比還很小，但其服務(wù)對象非常多，主要是網(wǎng)絡(luò)用戶、手機用戶、銀行卡和預(yù)付卡持卡人等，其影響非常廣泛。目前國內(nèi)約有300多家第三方支付機構(gòu)，其中多數(shù)非金融機構(gòu)從事互聯(lián)網(wǎng)支付、手機支付、電話支付以及發(fā)行預(yù)付卡等業(yè)務(wù)。

　　一、第三方支付平臺存在的安全問題

　　隨著第三方支付的廣泛應(yīng)用，其安全性問題也越來越突出。由于我國電子支付方面的法律較為滯后，對第三方支付市場監(jiān)管不夠，目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊，員工安全意識薄弱，安全防護措施不夠，用戶的交易安全和個人信息存在很大的風險。安全問題可以歸納為幾個方面：

　　第三方支付機構(gòu)安全意識薄弱

　　相對于銀行業(yè)金融機構(gòu)，非金融支付機構(gòu)安全意識還比較淡薄，還不能充分認識到信息安全面臨的形勢和信息安全工作的重要性，對支付平臺的操作風險、信用風險和法律風險等重視不夠。領(lǐng)導(dǎo)對信息安全的不重視，就會導(dǎo)致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識，認為安全案件都是偶然發(fā)生，存在僥幸心理;一些員工總認為與己無關(guān)，信息科技引發(fā)的案件是科技部門的事。從而導(dǎo)致安全措施執(zhí)行不到位，安全制度無法貫徹的現(xiàn)象。正是這些安全意識上的薄弱環(huán)節(jié)，導(dǎo)致了安全威脅有機可乘。很多信息安全事件往往不是因為技術(shù)原因，而是由于系統(tǒng)運維人員的疏忽或不作為。安全意識薄弱是安全問題發(fā)生的根源。

　　安全管理機構(gòu)不健全安全管理制度不完善

　　多數(shù)第三方支付機構(gòu)還沒有形成信息安全組織結(jié)構(gòu)，管理較混亂，安全管理人員配備不足。信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規(guī)程缺失，安全策略不完整等。已有的安全管理制度也不完善，易使工作上出現(xiàn)漏洞，操作上出現(xiàn)失誤，引發(fā)安全事故，造成損失。

　　安全技術(shù)防護能力薄弱

　　在第三方支付平臺建設(shè)中，沒有充分重視安全技術(shù)防護能力的建設(shè)，安全技術(shù)防護能力薄弱，如，有些支付系統(tǒng)沒有部署防火墻和入侵檢測設(shè)備，沒有劃分安全域;沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護措施;重要數(shù)據(jù)的傳輸和存儲存在安全隱患;重要網(wǎng)絡(luò)設(shè)備沒有進行安全策略配置，致使非法訪問網(wǎng)絡(luò)系統(tǒng)、假冒網(wǎng)絡(luò)終端/操作員、截獲和篡改傳輸數(shù)據(jù)的安全事件發(fā)生;應(yīng)急處理方案不完備，應(yīng)對和處理危機的能力還比較弱。

　　應(yīng)用程序中存在安全漏洞

　　系統(tǒng)上線前，沒有對應(yīng)用程序進行全面的測評，致使生產(chǎn)系統(tǒng)存在功能、安全性及性能方面的問題。通過對第三方支付系統(tǒng)應(yīng)用程序的檢測，發(fā)現(xiàn)了大量的安全隱患，如SQL注入、跨站腳本、網(wǎng)絡(luò)釣魚以及登錄方式不安全等，這些漏安全隱患可以被不法分子利用，可以對數(shù)據(jù)進行竊取，或?qū)τ脩舻拿舾行畔⑦M行非法獲取，給第三方支付機構(gòu)和用戶造成損失。

　　個人信息不能得到保護

　　一些第三方支付平臺要求用戶提供真實姓名、聯(lián)系方式、住址、銀行賬號甚至身份證號，個別網(wǎng)站在設(shè)計上存在問題，致使這些信息很容易泄露。第三方支付平臺隱私政策不合理，免責條款過多，用戶為了使用其服務(wù)只能同意該條款，導(dǎo)致發(fā)生問題時維權(quán)艱難。第三方支付機構(gòu)除了應(yīng)采用技術(shù)手段進行保護之外，還應(yīng)該以文件、政策或公告的方式在網(wǎng)站上公開對用戶信息進行安全承諾。

　　二、國家對第三方支付的監(jiān)督管理

　　我國電子商務(wù)自20世紀90年代起步以來，很快進入快速發(fā)展期，交易額以年均40%的速度增長。2009年，交易規(guī)模達到3.8萬億元，電子商務(wù)已滲透到經(jīng)濟和社會各個層面。與此同時，有關(guān)非金融機構(gòu)備付金管理、系統(tǒng)穩(wěn)定性以及消費者權(quán)益保護等問題，需要高度關(guān)注。如何促進非金融機構(gòu)支付服務(wù)市場的健康發(fā)展，關(guān)系到電子商務(wù)的成敗，關(guān)系到中國支付網(wǎng)絡(luò)體系的安全與效率。

　　2009年4月，人民銀行發(fā)布公告，對從事支付業(yè)務(wù)的非金融機構(gòu)進行登記。2010年6月14日，人民銀行發(fā)布《非金融機構(gòu)支付服務(wù)管理辦法》(以下簡稱《管理辦法》)，對非金融機構(gòu)支付業(yè)務(wù)實施行政許可。2010年12月，發(fā)布《非金融支付服務(wù)管理辦法實施細則》(以下簡稱《實施細則》)。《管理辦法》和《實施細則》的發(fā)布，意味著我國非金融機構(gòu)支付市場監(jiān)管的基本原則已經(jīng)確立。

　　《管理辦法》中規(guī)定對于《支付業(yè)務(wù)許可證》的申請人必須具備有符合要求的支付業(yè)務(wù)設(shè)施，而且在向中國人民銀行申請許可證是必須符合中國人民銀行規(guī)定的非金融機構(gòu)支付服務(wù)系統(tǒng)技術(shù)和安全標準，提交《技術(shù)安全檢測認證證明》。可見央行對非金融機構(gòu)支付的技術(shù)和安全性的高度重視，技術(shù)和安全檢測是非金融機構(gòu)申請許可證過程中最關(guān)鍵也是最嚴格的環(huán)節(jié)。

　　三、提高第三方支付平臺安全性的建議

　　政府應(yīng)加強監(jiān)管力度

　　通過《管理辦法》和《實施細則》的發(fā)布和實施，一些具備良好資信水平、較強盈利能力和一定從業(yè)經(jīng)驗的非金融機構(gòu)進入支付服務(wù)市場，在中國人民銀行的監(jiān)督管理下規(guī)范從事支付業(yè)務(wù)，切實維護了社會公眾的合法權(quán)益。整個第三方支付平臺的安全性有了一定的保障。但這樣還不夠，應(yīng)進一步強管理和監(jiān)控，可以考慮將第三方支付機構(gòu)納入金融機構(gòu)的安全管理體系，使其遵循金融機構(gòu)相關(guān)的安全管理制度和標準規(guī)范。

　　第三方支付機構(gòu)應(yīng)增強安全意識，加強信息安全體系建設(shè)

　　信息安全教育和培訓(xùn)是信息安全管理工作的重要基礎(chǔ)，在實際工作中，大部分信息技術(shù)風險要依靠員工進行有效的控制，因此需要通過宣傳、培訓(xùn)和教育等手段提升員工的信息安全認知(包括提高安全意識、了解安全職責、培養(yǎng)安全技能)，發(fā)揮員工在信息安全管理中的主觀能動性，以自律的方式來實現(xiàn)信息安全保障。

　　建立全面、科學的信息安全管理體系。建立組織、人員結(jié)構(gòu)合理的安全組織結(jié)構(gòu)。加強信息安全隊伍建設(shè)，充實信息安全管理隊伍，完善激勵機制。建立完整的信息安全策略，主要包括信息安全策略、安全規(guī)章制度、安全操作流程和設(shè)備操作指南等方面。完善信息安全應(yīng)急恢復(fù)體系，推進信息安全風險評估，實行信息安全等級保護，健全信息安全標準規(guī)范和有關(guān)制度。

　　構(gòu)建一個科學合理的安全技術(shù)保障體系。加大網(wǎng)絡(luò)安全設(shè)施建設(shè)力度，加強網(wǎng)絡(luò)邊界防護，實施網(wǎng)絡(luò)安全域控制;加強軟件開發(fā)控制，對軟件進行安全測評核漏洞檢測;保障基礎(chǔ)設(shè)施和物理環(huán)境的安全，加強檢測、監(jiān)控和審計措施，實施安全加固;加強備份管理，建立災(zāi)備中心，保證支付業(yè)務(wù)的連續(xù)性。

　　第三方支付機構(gòu)應(yīng)加強安全檢查，及時修復(fù)安全漏洞

　　即時在安全方面都做了很多工作，但沒有絕對的安全，要時刻警惕系統(tǒng)的監(jiān)控情況。可組建技術(shù)團隊或委托專業(yè)安全服務(wù)機構(gòu)對系統(tǒng)進行安全測評。系統(tǒng)安全隱患是否能及時發(fā)現(xiàn)，并進行漏洞修復(fù)或制定實施相應(yīng)安全防護措施，對系統(tǒng)的正常運行至關(guān)重要。由于系統(tǒng)的不斷更新，操作系統(tǒng)和代碼漏洞也不斷有新的發(fā)現(xiàn)，因此，對系統(tǒng)進行定期的安全測測評是非常必要的。