摘要：各行各业信息化建设的全面推进，使得在线支付成为当今信息社会重要的支付渠道，极大地方便了人们的工作和生活。 但与此同时，大量网络支付安全事件涌现。 本文分析了网上支付的一般流程以及可能存在的身份伪造、交易数据泄露和篡改、商户欺诈等风险，然后从技术和管理方面提出安全对策，防止用户财产损失和个人信息泄露。网上支付引起的。

关键词：网络支付、电信诈骗、手机木马

CLC 分类号：.08 文件识别代码：A 文章编号：1007-9416 (2016) 12-0193-02

随着信息技术的快速发展，人们对工作、学习、娱乐、消费的便利性要求不断提高，各种信息技术产品层出不穷。 尤其是互联网普及之后，消费者和服务提供商之间不再需要面对面的交易。 网上支付带来了极大的便利。 交易各方利用银行支持的数字金融工具，通过互联网进行交易。 实现用户与金融机构、商户之间在线货币支付、资金流转、资金结算、查询统计等流程，为电子商务等业务提供金融支持[1]。

现金转账、购物支付、网上缴费等在线支付服务极大便利了人们的生活和工作。 这种新颖、快捷的支付方式被越来越多的消费者所接受。 足不出户就可以过上轻松的生活，网上支付已经成为很多人日常生活中不可或缺的支付方式。

但与此同时，网络支付安全事件时有发生，给用户造成了或多或少的财产损失和大量个人信息泄露，让人们在使用网络支付时很难真正安心。

1 网上支付流程

通过分析网上交易涉及各方的活动，网上支付的组成部分有：互联网（）、客户、商户、开户银行、支付网关、银行网络、认证中心。 其工作流程如图1所示。客户通过个人电脑或移动终端访问商户网站，登录时与认证中心进行交互，获取个人信息进行身份认证； 顾客选择商品或服务并确认订单后，其信息和购物支付信息将被加密。 发送至支付网关，支付网关与客户的购物支付卡发卡银行进行通信，验证其合法性； 通过后，确认支付及购物交易合法有效； 然后，物流将货物交付给客户，客户确认收货后，交易完成。

目前网上支付方式包括网上银行转账支付（即银行网关模式）、第三方平成支付（即第三方支付平台模式）[2]、银联模式和电子现金等。原则如下：

（1）银行网关模式：商户与银行签订合同，其网站平台直接链接银行网上银行系统。 顾客的购物支付实际上是直接向商家转账现金。

（2）第三方支付平台模式：电商平台先链接第三方支付平台，再由支付平台链接银行完成支付方式。 我国第三方支付行业发展迅速。 有快钱、易宝、易信等独立支付公司。 作为电子商务平台的延伸，在线支付工具如淘宝的支付宝、腾讯的财付通、百度的百度付宝等[3]。

（3）银联方式：在银联在线支付网站上完成的支付方式。

(4)电子现金。 在支付机构注册虚拟账户，通过充值虚拟账户进行相关支付服务，如购买游戏币、QQ币等。

这些支付方式可以通过PC进行支付，也可以通过手机、平板电脑等移动智能终端进行支付。 分析网上支付流程和支付形式，可能存在客户端、网络协议、互联网基础设施、支付网关等方面的风险。网上支付安全是一个系统工程，需要银行、支付机构、安全厂商、商户共同努力、网管部门和消费者。

从目前网上支付的发展水平和网上支付案例的出现来看，各银行网上支付采用的安全技术和方法（如一次性密码、USB KEY、短信验证码等）都比较成熟。并且已经达到了很高的水平。 安全。 大多数情况下，网络支付安全事件的发生是由于用户安全防范意识淡薄、相应安全技能不足造成的。 以下列出了网上支付可能存在的一些风险。

3 网上支付风险分析

3.1 用户身份冒充

这种攻击是基于窃取用户身份信息。 攻击者利用非法手段（如植入木马、网络钓鱼等）窃取合法用户的身份信息，冒充其身份进行转账或与他人进行交易，或者实施诈骗以获取非法利益。

已发生的多起案例表明，国内不少网站存储了用户的基本信息（包括姓名、银行卡号等），但都或多或少存在安全漏洞，很容易被黑客攻击，导致大量信息泄露完整的用户信息。 。 国内外已有信用卡复制和欺诈的报道。 此外，电信诈骗、含有恶意链接的二维码、钓鱼网站、手机木马等威胁也可能导致大量银行卡信息泄露。 目前快速发展的许多具有闪通功能的银行卡也可以通过特定终端近距离、非接触地读取用户信息。 这种读取方式无声且不易察觉。

3.2 敏感数据泄露

网上支付中的敏感数据一般包括个人信息（姓名、银行卡号、邮寄地址等）和购物信息（商品名称、价格、数量、购买时间等）。 这些数据在传输过程中可能会泄露、丢失或被篡改。 例如，攻击者可能利用电磁泄漏或线路窃听来拦截和恢复所传输的敏感信息，或者通过分析信息流向、通信量、通信频率和长度等参数来分析、检测和分析有用信息。

3.3 交易数据篡改

攻击者通过在客户电脑上植入木马、制作钓鱼网页、拦截传输中的信息等方式篡改交易数据，如修改消息顺序、时间、数量、金额、注入伪造消息、重放交易等，造成将丢失的信息。 真实性和完整性。

3.4 商家假冒或欺诈

商户冒充他人、提供假冒商品、或收款后拒绝交易。

4 网上支付的安全措施

为了加强网络支付的安全性，相关各方需要同时从技术和管理两个方面入手，从技术上提高安全性，在规范管理上防范违法行为。 技术上包括：

4.1 个人电脑或移动终端安全

一般来说，支付网关和电子商务网站作为公共基础设施，安全性相对较高。 个人使用的电脑和移动终端的安全令人担忧。 因此，个人电脑必须及时安装、更新病毒、木马查杀软件，及时升级操作系统和应用软件，不要轻易打开未知文件、访问安全性不明的网站，不要下载安装安全性不明的软件，不要访问公共无线网络。 并使用公共电脑进行登录和支付，防止电脑被黑客攻击导致个人信息泄露。

4.2 加密技术

一方面，采用与密码相结合的多因素身份认证技术，加强身份认证强度，防止身份信息被窃取、盗用和假冒，如数字证书、短信验证码、动态密码、USB Key、另一方面，采用加密技术对用户信息、支付数据进行加密，防止敏感信息泄露和篡改。 在电脑或手机上安装基于密码技术的数字证书后，即使账户支付密码被盗，也只能在安装了数字证书的电脑上进行支付，保证资金安全。

4.3 网络基础设施安全

采取多种措施保证网络基础设施的安全，包括操作系统、网络协议、数据库、硬件设施等，这与技术的发展密切相关。

管理措施主要针对组织和人员。 其主要任务是加强对网络支付的监管，要求监管机构、银行和商户采取安全措施，教育消费者树立安全意识，养成良好的安全习惯。

4.4 建立健全网络支付法律法规

随着我国网上业务的发展，国家颁布了多项法律法规。 例如，《中华人民共和国电子签名法》明确了电子签名的法律效力，让网上业务受到法律保护； 《电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》和《电子银行安全评估指引》等法律法规对网上业务领域给出了一些具体的指导。 但非法兑换的法律责任、电子货币的合法发行主体、合理的货币识别制度、电子货币使用各方的隐私保护制度等法律问题有待进一步明确[4]。 央行作为金融监管机构，必须结合我国国情，学习国外发展经验，严格执行技术标准，加强业务监管。

今年11月，国家颁布了《中华人民共和国网络安全法》，将对网络安全的各个方面做出指导性规定。 该法颁布后，后续将出台包括网络支付条例在内的各领域相关配套法律法规，规范网络支付活动，打击违法犯罪，保护合法权益。

4.5加强法律和安全意识宣传

通过多种渠道宣传和披露典型案例，警示用户树立安全意识，培养良好的安全习惯，如电信诈骗案件、短信二维码恶意链接案件、网络钓鱼案件等社会工作案件。 通过宣传，鼓励用户采用银行等机构提供的安全产品，采纳银行等机构的安全建议，提高安全防护能力，如密码强度足够、不同于其他密码、支付卡专用、并可以根据需要存入金额。 当在线支付中发现页面跳转、不断要求输入信息、弹出无关提示等异常情况时，应停止操作，止损、报警、保护网站。 同时，加大对网络违法行为的查处力度，震慑不良行为，减少违法行为发生的可能性。

4.6 网络实名制

今年电信实名制也将实施，这将对防范电信诈骗起到强有力的作用。

同样，通过网络实名制，网络上的虚拟身份可以与现实社会中的身份相对应，防止交易被否认，并有利于相关责任人的调查和处理。 同时，网络实名制也将对攻击者形成强有力的震慑，通过网络支付实施的违法犯罪行为也将大大减少。

5 结论

在线支付应用已经非常广泛，只有保证其安全性，才能健康稳定发展。 本文针对网络支付可能存在的风险，从技术和管理等方面提出了相应的安全对策，防止用户财产损失和个人信息泄露。

参考

[1] 刘亚军. 在线支付系统的安全研究[J]． 现代电子技术，2013，36(8)：74-76。

[2]王干银. 我国网上支付六大瓶颈亟待突破[J]. 中国银行业，2015，（1）：85-87。

[3] 张延吉. 信息时代分支付行业发展研究[J]. 电子技术与软件工程，2013，（23）：250-251。

[4] 周丽婷. 我国电子商务在线支付业务存在的问题及对策[J]. 淮北职业技术学院学报, 2008, 7(4): 41-42.