首页 > 信息安全 > 正文

电子支付平台安全问题

2013-07-03 11:24:43  来源:赛迪网

摘要:随着信息技术、网络通信技术的迅速发展和电子商务的应用需求,越来越多的银行和非金融机构借助互联网、手机等广泛参与支付业务。
关键词: 电子支付 安全

    随着信息技术、网络通信技术的迅速发展和电子商务的应用需求,越来越多的银行和非金融机构借助互联网、手机等广泛参与支付业务。银行提供的电子支付服务主要以银行卡、网上银行、手机银行等为载体,以银行传统的借贷记应用为主;而非金融机构提供的支付服务包括网络支付、预付卡的发行与受理、银行卡收单等方面,与银行业既合作又竞争,已经成为一支重要的力量。


    目前,电子支付服务业务量增长迅猛,服务对象非常多,包括网络用户、手机用户、银行卡和预付卡持卡人等,其影响非常广泛。目前国内约有200多家各级银行和300多家第三方支付机构,其中多数从事互联网支付、手机支付、电话支付以及发行银行卡、预付卡等业务。


    电子支付平台安全问题凸显


    电子支付机构安全意识淡薄,安全管理组织不健全,技术防护能力薄弱,存在安全漏洞。


    随着电子支付的广泛应用,其暴露的安全性问题也越来越突出。由于我国电子支付方面的法律相对滞后,对电子支付市场特别是非金融机构支付监管不够,目前存在的商业银行和非金融机构支付产品质量参差不齐,机构员工安全意识淡薄,安全防护措施不够,用户的交易安全和个人信息存在很大的风险。安全问题可以归纳为几个方面:


    一是电子支付机构安全意识淡薄。相对于大型银行业金融机构,以村镇银行为代表的中小银行和非金融支付机构的安全意识还比较淡薄,还不能充分认识到信息安全面临的形势和信息安全工作的重要性,对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息安全的不重视,就会导致信息安全工作不到位和难于开展。一些员工思想上有麻痹意识,他们认为信息科技引发的案件是科技部门的事,与己无关,都是偶然发生,存在侥幸心理,从而导致安全措施执行不到位。安全意识薄弱是安全问题发生的根源。


    二是安全管理组织不健全,安全管理制度不完善。多数中小银行和非金融支付机构等电子支付机构还没有形成信息安全组织结构,管理较混乱,安全管理人员配备不足。信息安全管理制度还不成体系,没有建立总体方针,安全管理制度和操作规程缺失,安全策略不完整等。


    三是安全技术防护能力薄弱。在电子支付平台建设中,没有充分重视安全技术防护能力的建设,防护能力薄弱。有些支付系统中没有部署防火墙和入侵检测系统,没有划分安全域,没有安全事件监控、统一防病毒等防护措施;重要数据的传输和存储存在安全隐患,重要网络设备没有进行安全策略配置;应急处理方案不完备,应对和处理危机的能力还比较弱。以上问题容易引起非法访问网络系统、假冒网络终端/操作员、用户信息被窃取、截获和篡改传输数据等安全事件发生。


    四是应用程序中存在安全漏洞。系统上线前,没有对应用程序进行全面的测评,致使生产系统存在功能、安全性及性能方面的问题。我们通过对电子支付系统应用程序的检测,发现了大量的安全隐患,如SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼以及登录方式不安全等,这些安全隐患可以被不法分子利用,窃取系统数据或用户的敏感信息,给电子支付机构和用户造成严重损失。


    五是个人信息不能得到有效保护。有些电子支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证号,个别网站在设计上存在问题,致使这些信息很容易被泄露。


    四项举措提高安全


    政府应加强监管力度,电子支付机构应增强安全意识,及时修复安全漏洞,加强信息保护措施。


    第一,政府应加强监管力度。一方面通过《电子银行业务管理办法》和《电子银行安全评估指引》的发布和实施,越来越多的银行开始开展电子银行业务。另一方面,随着《非金融机构支付服务管理办法》和实施细则的发布和实施,一些具备良好资信水平、较强赢利能力和一定从业经验的非金融机构进入支付服务市场,在中国人民银行的监督管理下规范从事支付业务。但这样还不够,应进一步加强管理和监控,特别是对中小银行、非金融机构的管理,细化管理条目,强化监督和引导,并可以考虑将非金融支付机构合并纳入金融机构的安全管理体系,使其遵循金融机构相关的安全管理制度和标准规范。


    第二,电子支付机构应增强安全意识,加强信息安全体系建设。一是,需要通过宣传、培训和教育等手段提升员工的信息安全认知(包括提高安全意识、了解安全职责、培养安全技能),发挥员工在信息安全管理中的主观能动性,以自律的方式来实现信息安全保障。二是,建立全面、科学的信息安全管理体系。建立人员结构合理的安全组织结构,加强信息安全队伍建设,建立完整的信息安全策略,完善信息安全应急恢复体系,推进信息安全风险评估,实行信息安全等级保护,健全信息安全标准规范和有关制度。三是,构建科学合理的安全技术保障体系。


    第三,电子支付机构应加强系统安全检查,及时修复安全漏洞。可组建技术团队或委托专业安全服务机构对系统进行安全测评。


    第四,电子支付机构应加强客户信息保护措施。对于客户信息的保护应采取切实有效的措施,确保支付平台没有设计漏洞,修复应用程序中存在的安全漏洞,防止客户信息被恶意窃取,并严格管理系统的运维管理,确保客户信息的存储安全。同时,还应该以公开的方式,对用户信息的安全进行承诺。


    电子支付平台的安全性关系到国计民生,相关政府和电子支付机构应该切实履行职责,保障电子支付平台高效、安全运行,促进电子支付业务的健康、有序发展。广大用户在使用电子支付平台进行支付的过程中,也应该注意甄别,选择有实力、信誉度高的支付平台,以保护自己的合法权益。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。