电子支付安全 等待完成的拼图


文章来源:   网络世界   2006-06-10

　　从某种角度来看，电子支付产业就是安全产业。那么，相关安全技术经过不断的完善和发展之后，安全电子支付的市场拼图是否已经完成了呢？

安全的多选题

从1999年8848等电子商务网站风起云涌开始，电子支付就成为电子商务发展过程中最重要的环节。然而正是出于对这个环节的安全顾虑，使得电子交易的普及与发展受到了巨大阻碍，而“网银大盗”、“证券大盗”的出现，更使其蒙上了一层阴影。

在进一步探寻安全问题之前，我们先来看看今天国内的电子支付，究竟是一种什么样的模式与形态。

从字面的定义来看，电子支付是指单位、个人通过电子终端，直接或间接向银行业金融机构发出支付指令，实现货币支付与资金转移。近五六年来，国内电子支付产业在发展过程中，大致形成了几个模式：

{dy}种模式，支付网关模式，这是电子支付产业发展最成熟的一种模式。包括银行和很多第三方支付公司提供的在线支付实际都是xxx网关支付。但是这种提供的实际应用价值相对有限，而且并不十分方便。

第二种模式，就是拷贝PayPal。PayPal在美国做得很成功，但是从美国到国内，有巨大的时空变化，银行体系，商家和消费者习惯也是不一样的。现在看来这个模式在中国会遇到巨大的困难。

第三种模式，就是移动支付。通过手机让用户随时随地支付，这种方式现在时机还没有xx成熟，手机可用性和安全性还是大问题。如果想通过手机发送短信买机票或者买一本书的话，操作起来还是很麻烦，而且短信通道加密也存在问题，安全得不到保证。这可能要等待3G网络发展比较成熟时才会蓬勃发展起来。

第四种模式，就是账户支付模式。比如淘宝的支付宝、拍拍网的财付通、易趣的贝宝等都是属于账户支付模式。此外，我们还看到由YeePay易宝创新的多元化支付模式。这种支付模式会根据国内不同行业和不同地区支付需求采取多元化的方式量身订制。

问题在于细节

面对众多的网络交易和电子支付方式，安全问题主要隐藏在哪些细节之中呢？带着这一问题，记者首先走访了拍拍网的技术总监曹传宇先生。

“构建高安全性的运营支付系统，涉及的层面非常广，需要在架构设计、系统稳定性设计、信息存储、保密设定等多方面采取措施。完善的技术措施是可以规避网络风险的。”曹传宇对记者表达了这样的观点。

拍拍网在构建安全稳定的系统架构上，主要是通过以下几方面实现的：在应用层上采取措施确保不存在单一故障点，提高系统的稳定性；在架构设计上，确保水平扩展的能力，以便应付将来大流量、大容量时期，对系统进行相应的扩容；在物理层上建立若干物理隔绝的功能区，避免黑客入侵后长驱直入；使用xx防火墙将重要的数据库保护在核心数据区，提高了数据的安全性；在信息存储方面，使用公开加密算法对数据通信以及数据存储进行加密，确保了数据的完整以及安全性。

不仅如此，网页防篡改的技术也需要重视，以防止网站信息被非法篡改，避免对用户产生错误的引导；此外，采用高可靠的Linux操作系统，并对操作系统进行额外的主机加固措施，也是提升操作系统安全级别的重要手段。

针对记者关心的客户操作端会不会因安全防护变得比较复杂的问题，曹传宇表示：“在运营系统上我们采取了种种专业技术措施防范网络风险，这些措施对于普通用户来讲相对比较复杂。但是在前端的客户使用端，我们采用的是简单易上手操作界面，即使是{dy}次网上购物，也可以通过简单引导方便实现。但是针对部分xx用户，我们也提供增强的安全措施，诸如密码控件、交易密码等手段，借以满足不同层次用户的需求。”

“财付通账户”通过双重密码机制、实名认证、手机短信通知功能等几方面来实现安全的多层防护。其中128位SSL加密技术，能够xx黑客通过网络窃取、截取用户敏感信息的可能；双重密码机制通过一般查询密码、资金流转过程必需的支付密码提高了密码保护的能力；实名认证则是通过系统自动检查用户登记的银行账户姓名和认证姓名，确保用户本人对账户的支配能力。

“不仅如此，我们还对各种潜在风险做了较全面的评估，根据各种情况制订了相关安全策略，建立了从主动预防到灾难恢复等一系列的策略。只有对电子支付每一个细节的xx，才能最终打消用户的顾虑，也才能促进这个产业的正常发展。”曹传宇如此表示。


应用的选择

通过相关采访，记者逐渐了解到，如果单从技术角度审视，国内电子支付的安全系数与国外相比并不逊色，那么，是什么导致了实际应用中与国外的差距呢。

在采访多元化电子支付平台提供商YeePay易宝的CEO唐彬先生时，他就近五年来第三方支付产业的发展、电子支付的今天和未来发展趋势阐述了自己的观点。他认为，针对目前国内支付的躁动型市场，国内外支付环境的差别是主要因素。换句话说，国外成功的模式在国内往往水土不服，一定需要适合国情的模式才能得到用户和商家的认同。国内的电子支付要想成功，必须与应用和实际环境密切结合起来。比如数字产品对支付的需求就和实物产品不一样，要提供包月、小额、实时服务。电话支付服务的意义在于通过我们的平台和银行的紧密合作，把大量的手机和固定电话变成虚拟的POS机，这对传统的支付有巨大的意义。国内的刷卡量占的比例非常小，主要是因为POS的网络质量不好，POS机具也太少，把手机和固定电话变成无处不在的互联POS，对于电子支付产业的发展具有极为重要的意义。

在安全平台搭建方面，多元化的支付平台由于用户交易量非常庞大，对系统的安全性、稳定性、可靠性要求非常高，因此选择运行在IBM eServer OpenPower 720服务器之上。拥有IBM软件及硬件的强大支持，保证了网上支付的安全可靠性。使用电话支付的客户更可以安心拨打银行的客服电话，大大提升了电话支付的安全性和可信赖性。

大多数的支付网关都很难杜绝拒付及坏账的现象。YeePay支付平台采用了双保险的支付架构，在拥有xxx支付的同时还兼容了预付费充值记费的功能，彻底杜绝了拒付及坏账问题的出现。

在具体的应用环节，记者又特别走访了飞龙网。作为新生代的网络技术公司，成立于 2005 年初的飞龙网把传统教育培训行业与互联网技术相融合，打造出一个培训类别齐全、培训课程丰富的网络购学平台，以中国教育培训网上超市为经营模式。很显然，在这种企业中，电子支付是其中至关重要的环节。

飞龙网的副总裁钟凯恺对记者介绍，安全的电子交易环境牵涉到多方面的因素，既牵涉到多方面的技术因素，又牵涉到用户的安全交易习惯问题。他们现在采用的就是电话、互联网、SMS（短信）等多元化的电子支付方式，用户可以采用自己方便的任何方式订购产品和服务，而这种与具体应用相结合的电子支付方式，其安全性才是有生命力和实际意义的。

编看编想：谁拿了电子支付的钥匙

在信息安全所涉及的众多领域中，电子支付是最为引人注目的一个，其原因有两点：一是它和金钱直接挂钩，稍有差池就会带来巨大的经济损失，并且引起整个金融链的恐慌。二是其客户端分布广泛，形式各异，再加上应用水平参差不齐，难以形成统一标准的安全技术平台。

我们知道，采用电子支付最重要的就是方便、快捷、高效、经济等优势。用户只要拥有可以上网的终端设备，便可足不出户地完成整个支付过程。支付费用仅相当于传统支付的几十分之一，甚至几百分之一。然而另一方面，这些优势的建立，需要电子支付的工作环境是基于一个开放的系统平台之中，而不像传统支付，是在较为封闭的系统中运作。这就带来了安全上不可避免的隐忧。

如果仅从技术上看，相关的技术手段已经日趋成熟，比如电子证书、128位以上的xx加密等，但是，这并不意味着我们已经拿到了电子支付方便易用的“安全钥匙”。比如很多技术虽然先进，但是有较高的使用与管理成本。像CA认证就是非常安全的一种方式，但相对而言成本比较高。当然，并不是所有应用都要付出这样的高成本，国外银行对于我们很多普通个人用户都采用证书的方式就很不理解，因为成本太高，而使用管理上的烦琐对用户也是一种限制。

由此看来，电子支付的安全问题，实际上是一个牵连甚广的应用问题。电子商务发展所要求的开放的支付环境，需要金融和通信、互联网等产业之间的融合，而这又导致了电子支付中的风险相互传递。由于国内外的金融环境有很大不同，因此一些在国外成功的经验并不能简单套用，这就使得电子支付需要面对的安全问题进一步复杂化。也许，这种应用上的困惑最终还要应用来解答，而从实际用户群的习惯、行业特征出发，推出不同的电子支付方式，才是掌握电子支付安全钥匙的{wy}途径。