網絡工程師職稱論文發表論當前網絡虛擬下的第

　　論文摘要：在第三方支付平臺建設中，沒有充分重視安全技術防護能力的建設，安全技術防護能力薄弱，如，有些支付系統沒有部署防火墻和入侵檢測設備，沒有劃分安全域;沒有安全事件監控、統一防病毒等防護措施;重要數據的傳輸和存儲存在安全隱患;重要網絡設備沒有進行安全策略配置，致使非法訪問網絡系統、假冒網絡終端/操作員、截獲和篡改傳輸數據的安全事件發生;應急處理方案不完備，應對和處理危機的能力還比較弱。

　　引言

　　隨著網絡信息、通信技術的快速發展和支付服務的不斷分工細化，越來越多的非金融機構借助互聯網、手機等信息技術廣泛參與支付業務。非金融機構提供支付服務、與銀行業既合作又競爭，已經成為一支重要的力量。非金融機構支付服務，是指非金融機構在收付款人之間作為中介機構提供下列部分或全部貨幣資金轉移服務，包括網絡支付、預付卡的發行與受理、銀行卡收單，及中國人民銀行確定的其他支付服務。這些非金融機構被稱作“第三方支付機構”。

　　非金融機構支付服務的多樣化、個性化等特點較好地滿足了電子商務企業和個人的支付需求，促進了電子商務的發展，在支持“刺激消費、擴大內需”等宏觀經濟政策方面發揮了積極作用。雖然非金融機構的支付服務主要集中在零售支付領域，其業務量與銀行業金融機構提供的支付服務量相比還很小，但其服務對象非常多，主要是網絡用戶、手機用戶、銀行卡和預付卡持卡人等，其影響非常廣泛。目前國內約有300多家第三方支付機構，其中多數非金融機構從事互聯網支付、手機支付、電話支付以及發行預付卡等業務。

　　一、第三方支付平臺存在的安全問題

　　隨著第三方支付的廣泛應用，其安全性問題也越來越突出。由于我國電子支付方面的法律較為滯后，對第三方支付市場監管不夠，目前存在的300多家第三方支付產品質量參差不齊，員工安全意識薄弱，安全防護措施不夠，用戶的交易安全和個人信息存在很大的風險。安全問題可以歸納為幾個方面：

　　第三方支付機構安全意識薄弱

　　相對于銀行業金融機構，非金融支付機構安全意識還比較淡薄，還不能充分認識到信息安全面臨的形勢和信息安全工作的重要性，對支付平臺的操作風險、信用風險和法律風險等重視不夠。領導對信息安全的不重視，就會導致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識，認為安全案件都是偶然發生，存在僥幸心理;一些員工總認為與己無關，信息科技引發的案件是科技部門的事。從而導致安全措施執行不到位，安全制度無法貫徹的現象。正是這些安全意識上的薄弱環節，導致了安全威脅有機可乘。很多信息安全事件往往不是因為技術原因，而是由于系統運維人員的疏忽或不作為。安全意識薄弱是安全問題發生的根源。

　　安全管理機構不健全安全管理制度不完善

　　多數第三方支付機構還沒有形成信息安全組織結構，管理較混亂，安全管理人員配備不足。信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規程缺失，安全策略不完整等。已有的安全管理制度也不完善，易使工作上出現漏洞，操作上出現失誤，引發安全事故，造成損失。

　　安全技術防護能力薄弱

　　在第三方支付平臺建設中，沒有充分重視安全技術防護能力的建設，安全技術防護能力薄弱，如，有些支付系統沒有部署防火墻和入侵檢測設備，沒有劃分安全域;沒有安全事件監控、統一防病毒等防護措施;重要數據的傳輸和存儲存在安全隱患;重要網絡設備沒有進行安全策略配置，致使非法訪問網絡系統、假冒網絡終端/操作員、截獲和篡改傳輸數據的安全事件發生;應急處理方案不完備，應對和處理危機的能力還比較弱。

　　應用程序中存在安全漏洞

　　系統上線前，沒有對應用程序進行全面的測評，致使生產系統存在功能、安全性及性能方面的問題。通過對第三方支付系統應用程序的檢測，發現了大量的安全隱患，如SQL注入、跨站腳本、網絡釣魚以及登錄方式不安全等，這些漏安全隱患可以被不法分子利用，可以對數據進行竊取，或對用戶的敏感信息進行非法獲取，給第三方支付機構和用戶造成損失。

　　個人信息不能得到保護

　　一些第三方支付平臺要求用戶提供真實姓名、聯系方式、住址、銀行賬號甚至身份證號，個別網站在設計上存在問題，致使這些信息很容易泄露。第三方支付平臺隱私政策不合理，免責條款過多，用戶為了使用其服務只能同意該條款，導致發生問題時維權艱難。第三方支付機構除了應采用技術手段進行保護之外，還應該以文件、政策或公告的方式在網站上公開對用戶信息進行安全承諾。

　　二、國家對第三方支付的監督管理

　　我國電子商務自20世紀90年代起步以來，很快進入快速發展期，交易額以年均40%的速度增長。2009年，交易規模達到3.8萬億元，電子商務已滲透到經濟和社會各個層面。與此同時，有關非金融機構備付金管理、系統穩定性以及消費者權益保護等問題，需要高度關注。如何促進非金融機構支付服務市場的健康發展，關系到電子商務的成敗，關系到中國支付網絡體系的安全與效率。

　　2009年4月，人民銀行發布公告，對從事支付業務的非金融機構進行登記。2010年6月14日，人民銀行發布《非金融機構支付服務管理辦法》(以下簡稱《管理辦法》)，對非金融機構支付業務實施行政許可。2010年12月，發布《非金融支付服務管理辦法實施細則》(以下簡稱《實施細則》)。《管理辦法》和《實施細則》的發布，意味著我國非金融機構支付市場監管的基本原則已經確立。

　　《管理辦法》中規定對于《支付業務許可證》的申請人必須具備有符合要求的支付業務設施，而且在向中國人民銀行申請許可證是必須符合中國人民銀行規定的非金融機構支付服務系統技術和安全標準，提交《技術安全檢測認證證明》。可見央行對非金融機構支付的技術和安全性的高度重視，技術和安全檢測是非金融機構申請許可證過程中最關鍵也是最嚴格的環節。

　　三、提高第三方支付平臺安全性的建議

　　政府應加強監管力度

　　通過《管理辦法》和《實施細則》的發布和實施，一些具備良好資信水平、較強盈利能力和一定從業經驗的非金融機構進入支付服務市場，在中國人民銀行的監督管理下規范從事支付業務，切實維護了社會公眾的合法權益。整個第三方支付平臺的安全性有了一定的保障。但這樣還不夠，應進一步強管理和監控，可以考慮將第三方支付機構納入金融機構的安全管理體系，使其遵循金融機構相關的安全管理制度和標準規范。

　　第三方支付機構應增強安全意識，加強信息安全體系建設

　　信息安全教育和培訓是信息安全管理工作的重要基礎，在實際工作中，大部分信息技術風險要依靠員工進行有效的控制，因此需要通過宣傳、培訓和教育等手段提升員工的信息安全認知(包括提高安全意識、了解安全職責、培養安全技能)，發揮員工在信息安全管理中的主觀能動性，以自律的方式來實現信息安全保障。

　　建立全面、科學的信息安全管理體系。建立組織、人員結構合理的安全組織結構。加強信息安全隊伍建設，充實信息安全管理隊伍，完善激勵機制。建立完整的信息安全策略，主要包括信息安全策略、安全規章制度、安全操作流程和設備操作指南等方面。完善信息安全應急恢復體系，推進信息安全風險評估，實行信息安全等級保護，健全信息安全標準規范和有關制度。

　　構建一個科學合理的安全技術保障體系。加大網絡安全設施建設力度，加強網絡邊界防護，實施網絡安全域控制;加強軟件開發控制，對軟件進行安全測評核漏洞檢測;保障基礎設施和物理環境的安全，加強檢測、監控和審計措施，實施安全加固;加強備份管理，建立災備中心，保證支付業務的連續性。

　　第三方支付機構應加強安全檢查，及時修復安全漏洞

　　即時在安全方面都做了很多工作，但沒有絕對的安全，要時刻警惕系統的監控情況。可組建技術團隊或委托專業安全服務機構對系統進行安全測評。系統安全隱患是否能及時發現，并進行漏洞修復或制定實施相應安全防護措施，對系統的正常運行至關重要。由于系統的不斷更新，操作系統和代碼漏洞也不斷有新的發現，因此，對系統進行定期的安全測測評是非常必要的。