目录 |
网上支付系统是指消费者、交易商和金融机构之间使用安全电子手段交换商品服务,即把新型支付手段,包括各类电子货币、信用卡、借记卡智能卡等的支付信息通过网络安全传送到银行或相应处理机构来实现电子支付。
网上支付的安全性极为重要,其安全手段也是全方位、多层次的。从整个支付流程来看,支付系统的安全包括服务器端安全(包括银行端和第三方支付公司系统)、客户端安全、数据传输安全,通过对各环节采用不同的安全措施来构建一个安全支付环境,以确保客户交易信息的保密性、完整性及不可抵赖性。
1.服务器端安全
(1)应用系统安全:主要包括银行系统、第三方支付系统安全。对于应用系统架构,应根据不同的安全级别划分安全区域,并在各安全区域之间部署异构防火墙,在安全区域内部部署安全防护设备,如安全网关、漏洞扫描、抗DDOS攻击设备、入侵检测设备IDS、入侵防御设备IPS等,从而有效控制非法用户入侵、防范恶意攻击,对应用系统进行全面的安全防护。
(2)数据存储安全:通过制订并施行科学合理的数据备份机制、数据访问机制和灾难恢复计划,以确保数据存储安全。
(3)交易处理安全:主要通过数字签名技术保证网上支付交易处理安全。
商户发往银行的交易需进行数字签名,银行方进行验签,从而验证商户身份;同时支付系统发送给商户的支付结果中也包含银行方数字签名,以保证信息一定是由银行发出的并且确保其完整性。此外,银行对商户发送过来的订单信息会进行重复性、时效性等有效性检查,对于无效交易系统会自动摒弃。
(4)交易监控:建立交易监控系统,通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的或有风险的操作行为,根据风险级别不同进行不同的处理。
2.客户端安全
由银行和第三方支付服务提供商为客户提供,具体包括动态令牌、USBKey(含第三方认证证书)、短信服务、预留信息验证、图形验证码、软键盘等。其中,动态令牌和USBkey为物理移动设备,难以被盗用,USBkey可对客户提交的交易信息进行数字签名,增强对交易过程中行为和责任的认定。通过几种方式的组合,可增强非法人侵和盗用的难度。
3.数据传输安全
银行端与商户端通信可采用专线或VPN方式,并利用HTTPS协议进行交易信息加密处理,以确保数据传输的机密性和完整性。
4.其他安全
(1)加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,可有效防范欺诈;
(2)第三方支付公司借鉴证券公司经验使用第三方存管,增强了客户资金安全性;
(3)签约过程中网上支付系统不向商户系统传输客户银行卡完整的卡号信息,网上支付系统也不保留客户的商户账户完整信息,以确保客户敏感信息安全;
(4)通过设置单笔支付限额和当日累积支付限额,以确保资金安全。