齐鲁杰

摘要

随着信息化和人们需求的变化，电子支付已经成了交易中的重要支付形式。在党的十八大以后，我国在电子支付中已经取得了很大的成就，但是在发展中依然存在着网络安全隐患。本文从电子支付的技术性层面和非技术性层面深入分析了电子支付存在的网络隐患，从以上两个方面提出了应对措施，促进我国电子支付健康、持续发展。

【关键词】电子支付 网络安全 技术策略 安全措施

电子支付主要是基于网络为基础，商务交易双方主体通过便捷、安全的支付手段实现货币支付行为。我国的电子支付起源于1998年以借记卡为基础实现网上银行交易功能，经过30年的发展最终形成了各类银行和商业支付共同发展的局面，各类网上支付服务机构利用自身优势资源形成了现代化的支付体系。尤其是在党的十八大以来，电子支付服务模式已经趋于成熟，实现了商家和消费者在相对安全的环境下进行在线支付。习近平总书记在党的十九大报告中就守住金融防线，杜绝系统性金融风险爆发做出了明确的战略部署，其中就互联网金融和在线支付提出了新的要求，在2017年11月国家开始整顿网贷和网络支付开始，我国电子支付在进一步规范运行中。因此，随着时代的发展和人们需求增强，电子支付将成为未来支付的重要形式。但是在具体发展中，依然存在着一些安全隐患。

1 电子支付的优势

2017年我国使用电子支付的总体情况来看主要呈现三个特点：一是“互联网+移动APP"成为电子支付主战场。已经深度的绑定了人们日常生活。这种模式继打车、网购等个人消费的网络支付场景外推动着向社会各领域发展。

通过数据和电子支付的特点可以得出电子支付主要具备以下几个优点：

（1）电子支付更加切合时代发展的要求，符合电子商务发展的方向，打破传统面对面的交易的局限性;

（2）方便快捷。一方面消费者可以实现24小时随时随地支付购买，避免了传统交易中时间、空间的限制。另一方面消费者可以随时查阅自己的支付情况和电子订单，包括订单扣款、退款情况，避免了传统的必须经商家确定才能支付成功的情况。另外，交易主体间规避了大量金钱交易的风险和交易找零的情况发生;

（3）电子支付成本相对较低。主要体现在商家的运营成本和消费者时间成本上。商家可以减少运营中实体成本支出，同时消费者也可以节省时间，能够更好的安排自身时间，实现网购不用出门就能实现交易;

（4）电子支付在一定程度上刺激消费。电子支付不是现金交易，仅仅是银行数字的变化，在一定程度上能够刺激消费，促进国民经济发展。

2 电子支付存在的网络隐患

电子支付存在的安全隐患非常多，本文将其归结为技术安全隐患和非技术安全隐患两类。

2.1 技术安全隐患

从技术层面上来讲，电子支付存在的隐患主要在于网络中的安全隐患。通过网络可以完成交易静态数据和动态数据的攻击。一般来讲，网络攻击者主要采取以下三种模式实现静态数据攻击：一是口令猜测的形式。通过数学中穷举的方式形成消费者口令矩阵，采取逐一试验的方式得到消费者或者商家口令，完成非法入侵交易系统的行为。二是IP地址欺骗的形式。攻击者利用自身的IP地址，伪装成发送信息IP地址的主机传送信息咨询和信息地址的形式，通过这种手段实现原IP地址信息冒用，他人信息被窃取，最终完成侵入网络安全的行为。三是指定路由器的形式。经过发送者进行设计的目的地，经过这种路线的设计能够有效的改变安全控制路由，实现非法侵入账户信息的路径。

动态攻击主要包括攻击者实现网上交易中所有的传递信息监听来获取交易信息行为，通过直接获取信息的形式达到破坏交易机密行为的目的。或者是攻击者可以的修改、删除、延迟等手段获取交易数据流，通过中断、篡改和伪造的形式完成交易信息获取或者交易非法收入获取的行为。

2.2 非技术安全隐患

非技术性安全隐患主要包括互联网交易管理中的安全隐患和法律及时性的安全隐患两方面。互联网交易管理是否完善是降低电子支付安全隐患的重要保障，尤其是在网络商品三方平台交易的过程中，消费者直接进入交易中心，完成网络上的交易合同构建，三方平台交易中心不仅要监督消费者是否按时支付，还要监督卖方市场是否按照约定的合同保质、保量、按时的提供货物。在这个环节的监管上，存在很多管理问题。例如：消费者按照约定合同按时支付，但是商家提供货物质量问题的界定问题至今没有明确。再者，商家发起系统退款的情形，退款到账不及时的情形，直接影响了消费者利益，但是又没有明确界定补偿或者商家惩罚的规制。法律及时性的安全隐患是因为电子支付是建立在电子商务基础上的，电子商务是超越时代发展速度，在具体运用中有很强的超前性，现代电子交易在人们生活中发挥着重要的作用，在促进生活发展、经济增长中有着重要的意义。但是我们必须清醒的认识到，传统的法律法规已经不适用于现代电子商务的发展，目前我国尚无明确针对电子支付的法律及统一的法律监管标准对整个互联网的电子交易和具体风险进行有效监管，以至于针对电子交易中安全隐患的规制采取套用法律的形式来处理。

3 应对电子支付网络隐患的措施

3.1 电子支付系统安全保障

加强电子支付系统安全保障是减小电子支付技术性安全隐患的重要手段，电子支付系统安全要求多方位、系统化的实现支付整个流程安全。从电子支付流程來看，支付系统安全保障主要包括：服务器本身安全、客户端安全和信息数据交换安全三个方面内容。因此，必须加强技术性保障，从三个方面实现安全保障，从而形成统一的安全支付环境，确保客户信息安全、交易信息完整。

3.1.1 服务器本身安全

服务器本身安全主要是保证交易系统安全，确保各交易环节安全防护到位，例如安全扫描系统、抗DDOS网络攻击设备和非法入侵IDS检测设备等，通过优化更新的形式来应对新的支付漏洞带来的安全交易隐患。具体从三个方面来控制。

（1）实现客户数据安全储存。通过数据备份、数据防磁化处理、数据访问密级限制的形式确保数据信息安全，增强速度储存抵御侵占的能力。

（2）交易过程中的安全保障。建议通过数据私有化处理，保证网上交易安全。数据私有化主要是运用交易双方生物特性，实现仅能本人使用的交易目的。例如：数字签名形式的使用，保证交易双方数据私有性。商户和消费者都必须实现银行数字签名，当商户发往银行交易时，由银行验证商户身份，根据商户的数字信息，信息的及时性和完整性等识别交易的有效性。这种情况在我们现在的交易中已经有所涉及，指纹密码就是目前发展的趋势。本文建议之后继续加强指纹密码开发，并且将开发的技术成果转向面部识别系统、虹膜识别系统等更高端的数字密码。对于目前还存在的免密支付应该加以规制或者取缔，避免因为支付密码的安全问题应发电子支付交易安全事故发生。

（3）建立交易数据监控系统。通过客户交易行为和交易数据分析，实现交易行为数据挖掘，将每个客户的交易行为和特征进行数据库比对，发现异常行为必须通过客户再次核对，传输备用密码的形式确定交易。当然，具体实践中必须根据安全风险监控的级别量化安全级别，差异化的对待监控中的风险，避免因为数据的问题增加客户交易难度。

3.1.2 客户端安全保障

这是由银行或者三方网络交易平台提供的大额资金交易保障，包括动态密码（银行U盾）、USB Key、短信验证、预留答案验证等。其中动态密码（银行U盾）和USB Key属于物理性的移动设备，在交易中安全系数很高。但是由于携带不便和人们自我意识较强，实际使用中很少有客户选择。其他的信息化、数字化的验证被交易盗取的概率相对较大。因此，本文建议在大额交易中，必须采取移动物理设备安全保障的交易模式，超过一定额度的交易行为必须采取多种验证方式相结合的形式，增强因网络技术非法入侵和盗取的难度。

3.1.3 信息数据交换安全

数据信息交换中缺乏安全保障，必然导致交换过程中订单信息甚至双方交易密码等关乎客户信息的数据在Internet中传输被第三者非法读取。所以在电子交易中任何存在在Web服务器中的数据都必须加强安全措施防护。建议在客户向商家填写订单信息和实际支付过程中必须通过客户电子购物软件实现，商家根据消费者订单信息核定订单价格，具体的定价价格确认必须经过客户所在的金融机构认定通过才能实现支付许可。其中，消费者和商家之间的交易信息必须经过双向认定，进行数字化签名核实。在核实的过程中采取双重签名技术实现发送文件Hash编码加密，保证除了银行以外其他人看不到消费者账号信息。银行通过自身的技术手段将文件解密，比对客户信息，双方信息一致才能完成最终交易。否者，极有可能在数据信息传送中被三方监控、篡改。

另外，在电子支付中实现实名认证，通过交易双方实名转账的形式，可以有效防控交易失误造成的经济损失。例如：微信和支付宝都实现了交易收款实名认证，有效的防范了网络欺诈行为。通过资金三方存管的模式实现资金安全，将电子交易资金存入三方平台，利用平台和保险相结合的形式确保交易资金安全。总的来讲，实现技术性保障需要从交易的整个流程实现交易保障，确保交易双方数据信息安全。

3.2 非技术层面安全保障

3.2.1 建立多层次的互联网交易监管体系

（1）建立监管评估体系。当前我国已经对不同类型的金融服务开展的评级制度，例如银监会对银行的CAMELS评级体系、人民银行建立的征信系统、银行针对客户建立的IRS评价体系等。但是对互联网金融机构尚未进行评级评估，其经营范围和信用情况难以把控。对此，建立行之有效的监管评估体系是我国互联网金融电子支付安全控制的当务之急。本文认为互联网金融监管必须建立机构准入的基础上，将各分支机构的具体评估方式纳入评估考核中。针对互联网金融机构的法人机构采取年度评估方式和经营评估方式相结合的方式进行权重量化，从而分为多个风险等级评估的方式评估改机构的运行整体状况。深入的结合分支机构和关键部门的合规经营状况进行具体量化，确立评定等级，确定网上商家交易信用等级，保证消费者网上支付安全。

（2）加强现场监管检查。政府及其监管部门针对互联网金融机构的监管最理想的監管组合方式是从非市场监管方向来发现问题及目标，现场检查取证并且查出问题所在，实现电子交易风险防控。我国现阶段针对传统金融行业的现场监管已经趋向成熟，但是对于互联网金融机构的现场监管所需要注重的基本内容限于网上银行、网上交易的真实性等，目前针对这类型的监管手段比较落后。对此，以传统金融的现场监管为鉴，按照年度定制现场监管检查规划和目标，采取定期和不定期相结合，全面检查和样本抽查的方式开展现场检查。现场检查的时限可以以检查问题的前后时限延伸，监管部门对互联网金融机构的现场监管检查中所发现的安全问题，必须要求强行整改并且反馈整改效果，问题严重的应该依照相关的法律法规实行强制性的行政处罚。监管部门还应该针对后续整改措施执行严格的严查和后续的制约，例如在检查中发现的问题数量和大小作为被监管机构的市场准入条件和业务经营范围等。通过限制性的方式促进互联网金融机构不敢逾越法律的鸿沟，触碰交易风险的底线。

（3）强化行业自律和监管的协调性。作为互联网金融监管风险的补充，牵挂行业自律来防范金融风险至关重要。与刚性的政府监管相互相成，运用行业自律的灵活性，可以实现高效率的监管体系，达到行业自觉和行业间的良性竞争。促进行业内部实现财务的内部控制，自主的寻找行业发展方向和目标。我国互联网金融行业的领头企业应该具备相应的担当和责任意识，发挥牵头作用，归集机构中的行业代表协商制定行业中的自律标准，从行业内部开始建立自律和自治的相关监管机制。特别是当前的科学信息技术滞后于监管的现状，更有必要通过行业内部来协调防控科技的风险。目前我国已经成立的中关村互联网金融行业协会和网络信贷服务企业联盟等，在行业内部自律和科技监管方面已经走在了政府监管的前列，在制定我国互联网金融监管和发展规则方面提供了有效的标准，并且充分发挥联盟的作用，很大程度上促进了互联网金融行业的健康绿色发展。

3.2.2 完善互联网电子交易法律体系

（1）我国人大立法明确电子支付相关法律。针对目前尚未形成健全的法律规范和引导行为现状，我国人大应该加快电子支付立法，约束互联网交易行为，调整电子支付中交易行为和监管行为。

（2）行政立法中必须明确互联网金融机构的主体地位和经营范围。针对我国现阶段法律在规范互联网交易行为不明确的现状，必须通过行政立法的形式规范交易行为中的退款、质量和安全行为，明确互联网金融交易和交易双方的权利义务，不能赋予了充分的法律肯定，还能实现交易风险监管源头控制。

（3）建立健全监管法规细则。明确法律加强互联网电子支付风险监管，我国的政府及其相关的监管部门可以通过政府立法的形式，修改现有法律法规在监管中存在的政策和法规漏洞，跟进电子商务发展进程，适时修订、完善相关细则，确保电子支付有章可循、有法可依。

4 结语

电子支付安全问题是制约电子商务发展，阻碍社会主义市场经济发展的重要形式，有效的解决电子支付中资金安全和信息安全问题，不仅能够促进电子商务的发展，为客户双方提供安全、便捷的支付形式，还能促进社会主义经济持续发展，利用交易的现代化实现经济现代化发展。

参考文献

[1]南湘浩，陈钟.网络安全技术概论[M].北京国防工业出版社，2003.

[2]孙会岩.习近平网络安全思想论析[J].党的文献，2018（01）：25-32.

[3]刘剑，苏璞春，杨珉等.软件与网络安全研究综述[J].软件学报，2018（01）：42-68.