论电子支付系统的安全问题分析及技术对策

摘要：由于互联网的开放性，使得网上电子支付的安全问题，比传统银行的支付安全问题更严重、更复杂。本文总结了网上电子支付的特点，分析了其所存在安全性的问题，并进一步探求使网上电子支付系统安全的技术方法。

关键词：电子支付系统；安全问题；对策

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2011) 18-0000-01

Electronic Payment System Security Analysis and Techniology Measures

Cha Yuxiang

(Jiujiang Vocational College,Jiujiang 332000,China)

Abstract:Due to the openness of the Internet,making e-payment security,payment security than traditional banks problem is more serious,more complex.This paper summarizes the characteristics of e-payment,a security analysis of their problems,and to further explore the online electronic payment system security technical methods.

Keywords:Electronic payment system;Security Issues;Measures

一、前言

互联网的开放性特点决定了网上电子支付的安全问题就远比传统银行支付的安全问题要严重、复杂。电子支付是电子商务的核心环节，它的安全完成是电子商务成功实现的最基本保障。因此，要想电子商务得以顺利进行，就必须构建一个完善的安全控制系统，收集、分析和鉴别网上交易信息的真实性，解决非法交易对电子支付带来的安全问题。

二、电子支付系统安全问题分析

（一）来自互联网的风险。电子支付系统都是通过互联网与银行发生关系，而由于互联网自身的自由性、广泛性等特点，自然容易受到恶意入侵者的攻击。据有关调查，目前国内的网站中约有80％存在着安全隐患，约20％的网站存在着严重的安全问题。国内曾发生过多起证券交易系统被侵入事件。犯罪分子挪用、盗取他人股票账户资金，盗买盗卖他人股票，属于恶性计算机犯罪，对社会产生了极坏的影响。虽然到目前为止国内还没有黑客成功入侵银行网站的案例，但是许多客户仍然心存顾虑，不敢轻易用互联网传递自己的信用卡账号和密码等关键信息。由于网络安全问题尚未能够得以彻底完好的解决，利用互联网进行犯罪的案例很有可能将日益增多。这些网络安全问题为电子支付带来了安全风险，严重制约了网上银行的业务发展，制约了电子商务行业的发展。

（二）来自银行内部的风险。据调查统计，在已发生的网络安全案例中，70%的攻击来自单位内部，因此内部网的安全风险更为严重。首先，银行内部员工对自身企业网络结构、应用比较熟悉，自己攻击或内外勾结，故意泄露重要信息，都将可能成为导致系统受攻击的最致命的安全威胁。其次，大部分银行系统都发展到全国联网，分布全国各地，范围很广，各级银行独立核算。因此，对于每一个区域银行来说，其他区域银行都存在相对不信任因素，同样存在着安全风险。

（三）来自银行以外企业和事业单位的风险。近年来，银行系统在不断地增加中间业务，和服务功能，比如代收水电费、电话费、学费、保险费以及证券转账等诸多业务。因此，就与电信局、学校、保险公司和证券交易所等许多单位网络互联。由于银行与这些单位之间可能存在某些不信任因素，因此，它们之间的互联，为银行网络系统带来了许多外单位的安全威胁，成为电子支付安全的隐患。

以上三方面安全威胁可能引发的结果有：恶意破坏数据、非法使用资源、数据篡改或窃取等。从技术层面讲，网上支付的安全性主要表现在对交易信息和支付信息的安全认证，加密保存、传送，防止否认以及完整性控制等方面。

三、应对电子支付系统的安全问题的技术策略

要想保证电子商务活动的安全、顺利地进行，保证我国电子商务行业的健康发展，就必须探讨出适合我国的具体国情的网上电子支付运作机制并探求能提高其安全的技术措施。

（一）加强网络安全。网络安全的加强可以通过加强访问控制、网络结构安全、网络安全评估和安全检测等途径来实施。1.访问控制。银行系统若需要连接因特网，则其业务系统网络就必须同因特网进行物理隔离：两个网络间完全断开或使用物理安全隔离卡。另外，内部局域网内可通过交换机划分VLAN功能进行不同级别用户、不同部门间的简单访问控制。再有，内部局域网与不信任域网、外单位网络之间可通过架设防火墙进行隔离和访问控制。2.网络结构安全。网络结构安全体现在网络结构布局的合理性，表现为对与外单位互联的接口网络、办公网和银行系统业务网间按各自的安全保密程度和应用范围进行合理布局，确保不会因为安全性较低的局部网络出安全问题而波及整个网络。3.网络安全评估。成功的黑客攻击绝大部分是对系统或网络的安全漏洞进行攻击的。而网络安全性扫描分析系统则可以检查系统的漏洞与弱点，并提出安全策略与补救措施，增强网络的安全性。4.安全检测。为了保障系统的安全，安装入侵检测系统不仅可以对进出的网络数据流进行实时分析，还能对网络违规事件进行跟踪、进行实时报警、及时阻断连接、做日志，既可以应付往外的攻击，还可以阻止内部人员发起的攻击。

（二）增强信息鉴别能力。数据的完整与真实也是系统的安全的重要部分，故必须增强信息鉴别能力，分辨数据是否完整、真实。数据在传输时有时会被非法篡改甚至窃取等，要保证数据完整、真实，就要采用信息鉴别技术，如安装VPN设备、数据源身份认证等。当原始数据包进入VPN设备时，它可先加密数据，再用HASH函数对其进行运算，并将产生的信息摘要同加密数据一并发到目的方的VPN加密设备。目的方的VPN加密设备又先解密已加密的数据包，再用HASH函数运算解密后的数据，然后将所产生信息摘要同所收到的信息摘要对比，若两信息摘要完全相同，则表明所解密的数据的完整性没有被破坏，是原始数据，否则就表明该数据已被非法篡改甚至窃取。

（三）安全认证。支付系统的安全肯定要依赖加密系统，加密就需要密钥，而密钥的产生、管理和颁发均存在安全隐患。发放密钥往往是以证书的方式来实现，故就要解决证书的发送方同接收方怎样确认对方的证书的真实性问题，引入第三方来发放此证书恰好能因应之。各银行联合构建一权威认证机构（CA认证中心），建立银行系统的CA系统，借以实现此系统内证书的发交和业务的安全交易。

参考文献：

[1]李早水.电子支付系统的安全问题分析及对策研究[J].信息与电脑(理论版),2011,11-15

[2]豆根生,任铭,袁超.浅谈电子商务中的支付安全技术[J].科技信息,2010,7-10

[3]刘纪峰.浅析我国电子商务支付系统及安全问题[J].网络财富,2010,13-16

[4]陈卫卫,王艳.电子支付系统虚拟电子钱包技术的研究[J].科技信息,2010,10-15

[5]张晓军.一种网络银行电子支付系统设计与实现[J].电子科技大学,2010,8-13