网络支付的安全解决办法思考

忙碌的菠萝

已于 2023-02-23 10:08:09 修改

阅读量4.5k

点赞数 1

分类专栏：信息安全文章标签：支付系统安全支付系统

于 2020-12-10 08:47:40 首次发布

本文为博主原创文章，转载请注明出处，否则保留追究法律责任的权利。如有问题，欢迎评论指正。

本文链接：https://blog.csdn.net/qq_21271511/article/details/110450839

版权

信息安全专栏收录该内容

15 篇文章 1 订阅

订阅专栏

干支付三年，接触最多的还是网络支付，也接触了些传统支付项目，在现在支付安全性上系统还是做了很多的保障的，这里也是对照思考一下。

支付的安全问题与需求

网络支付因涉及到最敏感的资金流动，所以是最需要保证安全的，也是最容易出现安全问题的地方。信用卡密码被盗，支付金额篡改，收款抵赖等等。

安全问题：

1、支付系统不稳定
网络故障，操作错误，代码有问题等导致系统不能正常工作。因此要保证交易数据在明确的时间地点是有效地的。

2、支付信息被截获
支付信息往往带有客户的敏感信息（账号、密码等），或者是商业机密，或者是业务流量的分析。所以要保证对应敏感信息不可对外泄露。手机银行或者网银输入卡号和密码，被截获后就想怎么刷钱就怎么刷钱了。还有伪造银行卡的事情。

3、支付信息被篡改
支付信息的一致性和完整性是支付交易成立的基础。信息篡改多为欺诈行为，或者在数据传输过程中的丢失，或者是信息重复发送。所以需要防止数据在传输中丢失和重复，保证数据在传输过程中的完整性和一致性。

4、支付信息被伪造
网络支付也需要确认支付指令的来源，信息假冒，冒充他人身份，发送假冒信息。无法有效验证收款方身份，支付方不知道商家到底是谁，被贴上个二维码覆盖了很可能就不知道，还是继续扫码支付；同样商家也不知道资金什么时候会入账，网络支付工具是否真实。

5、支付交易的抵赖
否认交易行为，比如碰到过很多老头的卡里的钱被小孩拿去买王者荣耀的皮肤了，然而他自己却不知道，就会来投诉银行，否认发生的购买行为。所以支付系统还必须要有审查能力，可以查到交易路径、渠道、以及关键交易信息

安全需求：

1、保证支付信息数据的保密性（加密等）
2、保证支付信息数据的完整性，一致性（数字指纹等）
3、保证资金结算双方身份认定（CA 数字证书）
4、保证交易行为的不可抵赖性（数字签名、数字时间戳）
5、保证支付系统的稳定、可靠、时效性（网络专线、灾备、防火墙）
6、良好的支付管理办法、行为规范、立法

可靠性：
电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。电子商务系统的可靠性是保证数据传输与存储、进行电子商务完整性检查的基础。系统的可靠性可以通过各种网络安全技术来实现。

真实性：
交易的真实性是指商务活动中交易者身份的真实性，也就是要确定交易双方是真实存在的。身份认证通常采用电子签名、数字证书等技术来实现。

机密性：
信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获，就可能被盗用;企业的订货和付款信息如被竞争对手获悉，该企业就可能贻误商机。信息机密性的保护一般通过数据加密技术来实现。

完整性：
信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放，以确保信息的顺序完整性和内容完整性。数据完整性的保护通过安全散列(如数字摘要)与电子签名技术来实现

不可抵赖性：
交易的不可抵赖性是指保证发送方不能否认自己发送了信息，同时接收方也不能否认自己接收到信息。交易的不可抵赖性通过电子签名技术来实现。

安全策略

目的
为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够对可能的风险有一个基本评估系统的安全被破坏后的恢复措施和手段以及所需的代价

原则：
1.预防为主
2.根据网络支付结算的安全需求和目标制定安全策略;
3.根据掌握的实际信息进行分析:了解实际与安全有关的各种信息。

策略主要包括内容有以下四个方面：

1、定义需要保护的资源

各个机构需要根据自己的身份、任务、性质定义自己需要保护的资源。参与支付的机构不一样，保护的方面就不一样。
比如：网络支付的主要参与方有支付机构、银行、清算中心，他们需要保护的内容：
支付机构：客户在机构的账户等
银行：银行客户信息，客户在银行的账号、密码等信息，客户四要素身份信息

2、定义保护的风险

对每一种网络支付方式进行风险分析，网络支付工具使用安全与使用便利、快捷之间的辩证关系。没有绝对安全的手段，风险意味着损失程度。防护程度也意味着代价，经济成本、支付方式、支付便利程度。
比如：中国银行手机银行上每次转账都要短信验证，而支付宝只需要验证指纹就可以了。那当然支付的时候更愿意使用便捷的支付宝了。

3、遵循网络支付安全的法律法规

人行下发的各种安全机制规范，做网络支付系统的肯定是要完全按照规范来处理的，按这些规定不但可以有效满足系统安全需求，也可以减少不必要的经济损失。

4、确定一套安全防护机制

结合所做支付系统来看，主要有以下一些：

第三方认证：
	CA认证中心
	网联系统证书
	银行证书
网络层：
	网络隔离，金融局域网
	数据专线，单独牵运营商的专线
	防火墙，IP白名单，虚拟地址
	SSL，网络层SSL机制
应用层：
	数据机密性，秘钥加密/解密，数字信封
	完整性，数字指纹
	认证性，数字签名、数字证书、生物识别
	访问控制，堡垒机、身份验证、授权管理

网络平台系统构成

在这里插入图片描述

忙碌的菠萝

关注

1
点赞
踩
15

收藏

觉得还不错? 一键收藏
打赏
0
评论
网络支付的安全解决办法思考

干支付三年，接触最多的还是网络支付，也接触了些传统支付项目，在现在支付安全性上系统还是做了很多的保障的，这里也是对照思考一下。支付的安全问题与需求网络支付因涉及到最敏感的资金流动，所以是最需要保证安全的，也是最容易出现安全问题的地方。信用卡密码被盗，支付金额篡改，收款抵赖等等。安全问题：1、支付系统不稳定网络故障，操作错误，代码有问题等导致系统不能正常工作。因此要保证交易数据在明确的时间地点是有效地的。2、支付信息被截获支付信息往往带有客户的敏感信息（账号、密码等），或者是商业机密，或者是业务
复制链接

扫一扫