第三方支付信息安全保障策略研究

问题，技术不应该作为惟一的因素，应该从系统安全保障，信息安全保障、法律体系建设、道德约束机制，以及第三方企业内部管理制度等方面加以建设。

[关键词] 第三方支付安全加密数字证书法律道德

随着我国40多家第三方支付获得《非金融机构业务许可证》的大好时机下，有关第三方支付的问题，更多的关注到了它的盈利，竞争，合作与发展，以及业务推广方面，但是对于其作为一个新的金融从业者，我们更应该关注有关它的信息安全问题，以及基本的保障措施。从而给用户提供一个安全可靠的网络环境。

这个安全问题涉及到第三方支付系统安全，信息传输安全，法律规范问题，道德约束问题，以及内部管理制度等。

一、系统安全

系统安全可以从实体安全保障，以及系统运行安全保障两个方面来考虑。

1.实体安全保障

实体安全，是指保护计算机设备、设施（含网络），以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施过程。第三方支付联结了多个商家，用户，以及银行系统，所以，首先得保障其基本的设备安全，从而能使系统正常的运作。

（1）环境安全。实体安全中的环境，就是要对电子商务系统所在的环境实施安全保护，主要包括受灾的防护和区域的防护。受灾的防护就是系统要具有受灾报警、受灾保护和受灾恢复等功能，目的是保护电子商务系统免受水、火、有害气体、地震、雷击和静电的危害。区域防护就是要对特定区域提供某种形式的保护和隔离措施。

(2）设备安全。设备安全是指对第三方系统的设备进行安全保护，主要包括设备的防盗和防毁，防止电磁信息泄露，防止线路截获，抗电磁干扰以及电源保护。

（3）媒体安全。媒体安全是指对媒体数据和媒体本身实施安全保护。媒体数据的安全主要是要提供对媒体数据的保护，实施对媒体数据的安全删除和媒体的安全销毁，目的是为了防止被删除或者被销毁的敏感数据被他人恢复。

2.系统运行安全保障

运行安全是指保障第三方支付系统功能的安全实现，提供一套安全措施保护信息处理过程的安全。它主要由四个部分组成：（1）风险分析；（2）审计跟踪；（3）备份和恢复；（4）应急。

（1）风险分析。运行安全中的风险分析，就是要对第三方支付系统进行人工或自动的风险分析。首先要对系统进行静态的分析，旨在发现系统的潜在安全隐患；其次是要对系统进行动态的分析，即在系统运行过程中测试、跟踪并记录其活动，旨在发现系统运行期的安全漏洞；最后是系统运行后的分析，并提供相应的系统脆弱性分析报告。

（2）审计跟踪。运行安全中的审计跟踪，就是要对第三方支付系统进行人工或自动的审计跟踪、保存审计记录和维护详尽的审计日志。

（3）备份和恢复。运行安全中的备份和恢复，就是要提供对系统设备和系统数据的备份和恢复。对数据进行备份和恢复所使用的介质可以是磁介质、纸介质、光碟、缩微载体等。

（4）应急。运行安全中的应急措施，就是要提供在紧急事件或安全事故发生时，保障电子商务系统继续运行或紧急恢复所需要的策略。

二、信息安全

信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制。

1.操作系统安全

信息安全中的操作系统安全，是指要对电子商务系统的硬件和软件资源实行有效控制，为所管理的资源提供相应的安全保护。

2.数据库安全

信息安全中的数据库安全，是指对数据库系统所管理的数据和资源提供保护，一般采用多种安全机制与操作系统相结合，来实现数据库的安全保护。

3.网络安全

信息安全中的网络安全，是指提供访问网络资源年或使用网络服务的安全保护。即通过采用各种技术和管理措施，使网络正常运行，确保网络中数据的可用性、完整性和保密性。它涉及网络安全管理

4.计算机病毒防护

所谓计算机病毒，是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。信息安全中计算机病毒的防护，即通过建立系统保护机制，来预防、检测和消除病毒。

5.访问控制

所谓访问控制，是对主体访问客体的权限或能力的限制，以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。信息安全中的访问控制，是保证系统外部用户或内部用户对系统资源的访问以及对敏感信息访问方式符合组织安全策略。

6.加密

信息安全中的加密主要涉及数据的加密和密钥的管理。

7.鉴别

信息安全中的鉴别，主要提供身份鉴别和信息鉴别。身份鉴别是提供对信息收发方真实身份的鉴别。信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。

三、法律法规体系建设保障

这主要包括第三方支付的法律地位问题，第三方监管，以及第三方支付作为一个许可的金融机构对其交易所产生的纠纷的法律解决问题。

1.法律地位

法律地位一直是困惑第三方支付的一个主要问题，政府应该建立与第三方相适应的法律法规体系及产业政策体系，促进我国第三方产业链的发展。2010年6月，中国人民银行了《非金融机构支付服务管理办法》，明确规定非金融机构应当取得支付业务许可证，成为支付机构，依法接受中国人民银行的监督管理。2011年5月26日，）中国人民银行向国内27家第三方支付企业颁发了首批《支付业务许可证》，其中，财付通、支付宝、快钱等27家第三方支付公司已拿到了支付业务牌照。

2.第三方监管

用户给第三方支付支付交易资金后，由于商家送货到用户确认之间有段时间，所以这批资金是沉淀在第三方支付的账号上的，这笔资金第三方支付是否拿来做其他事情，如果没有一定的监管机制的建立，有可能回出现资金挪用，以及资金流失等情况，所以给用户会造成一定的麻烦，因此国家可以通过一定的监管机制在保证资金的安全。

3.法律纠纷

基于第三方支付的交易涉及到多方参与者：用户，商家、银行，认证中心等，在第三方进行交易的时候一旦出现一些资金交易问题，比如，用户通过第三方支付平台支付账号丢失造成资金被盗，用户在交易过程中，由于商家乏货迟缓，造成资金在规定的期限内自动付款到商家账户，但是用户恰巧遇到此商家为骗子商家，那么这笔钱款到底应该由谁来赔付？目前来将，我们国家在这方面还没有特殊的法律来保障，现有的《消费者权益保护法》、《个人隐私权保护法》、《商业秘密保护法》、《合同法》、《票据法》等法律，研究、制定、实践并完善相应网络消费者权益保护、网络个人隐私、网络企业商业秘密、电子合同、电子发票、网络市场主体管理与服务、网络市场信息管理与服务、网络信用信息管理与服务等法规或暂行管理条例。

四、道德约束的保障

网络道德规范是约定俗成或明文规定的行为标准，是网络主体进行网络活动所要遵守的。规矩”。安全的第三方支付重在网络道德规范的建设，前面的措施是建设和谐的第三方制服环境的外在措施，网络道德规范则是一种内在的防线，正如吉恩・史蒂芬斯在《计算机领域中的犯罪》中指出的那样：“展望未来，要通过技术和常规的立法程序去遏制信息空间的犯罪活动困难重重。最根本的解决办法只有一条，那就是道德与人生价值观。”

网络道德体系是包括网络礼仪、网络规范、网络道德原则在内的完整系统，网络礼仪是基本行为的格式和标准，网络规范是高层次的行为准则，网络道德原则是抽象度最高的行为标准和要求。对于网络行为的一般规范，国外已有一些成熟的东西，如美国计算机伦理协会制定的“计算机伦理十戒”就很有代表性。我们可以借鉴外国这些成熟的东西进行网络行为教育。

五、第三方支付企业内部管理制度的保障

第三方支付安全管理制度是用文字形式对各项安全要求所作的规定，它是保证企业取得成功的重要基础工作，是第三方支付企业人员安全工作的规范和准则。

1.保密制度

企业可以规定自己内部的保密制度，包括绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握；机密级：只限公司中层管理人员以上使用；秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入等。

2.网络系统的日常维护制度

为保障系统安全运行，企业应该规定日常维护制度，包括：硬件的日常管理和维护、软件的日常维护和管理、）数据备份制度，以及用户管理等方面的。

3.病毒防范制度

第三方支付企业面临的很多危险很大程度上是由于病毒，以及木马程序所造成，所以从第三方企业内部在防病毒方面应该有常规的规定，包括：给电脑安装防病毒软件，不打开陌生电子邮件、认真执行病毒定期清理制度、控制权限、）高度警惕网络陷阱等。

4.应急措施

作为内部知道，也应该具备一些突发事件的处理能力，包括硬件恢复、数据恢复、瞬时复制技术等。

参考文献：

[1]杨英梅.我国电子商务的安全问题及安全的环境构建[J].中国商贸，2010（2）

[2]郭晓武.网络第三方遭遇木马威胁[J].信息网络安全，2007（10）

[3]黄海华.论电子商务中第三方支付的安全性[J].商场现代化，2008（4）