互联网金融发展推动下的支付安全
2014-12-26袁琦
袁琦
首先介绍互联网金融发展进程和特征,分析了支付安全在账户生命周期过程中的重要性,并分析互联网金融发展推动下的支付安全技术和威胁,研究了国内外支付安全监管政策和现状,最后提出了我国支付安全发展的问题和建议。
互联网金融 支付安全 第三方支付 银行支付
1 互联网金融发展进程
互联网行业时刻在变化,它一直在和各行各业进行融合创新。互联网也在改变着金融业,传统金融行业随着技术的变化不断地发展。我国传统金融业信息化发展的进程是一个金融互联网化的过程。从1993年的金桥金卡工程,发展到1995—1998年的网络银行、网络保险和网络证券。从1997年中国各大银行推出服务网站和网页,到中国保险公司推出的信息网、证券网网上交易系统。2010年和2012年中国各大银行推出智能手机客户端服务平台,2013年招商银行推出微信服务平台。随着信息化的发展和技术手段的不断丰富,金融业信息化的进程在不断地向前发展。然而,由于传统金融业具有垄断的性质,信息化进程发展较为缓慢。
互联网行业不断发展、迭代迅速、充满创新。国内互联网金融发展的进程是一个互联网金融化的过程。这个过程的起源是1998年的美国易趣第三方支付,2004年中国阿里巴巴推出支付宝、2007年上海拍拍贷公司推出国内首家P2P纯信用无担保网络借贷平台、2009年阿里巴巴推出阿里小贷,2012年点名时间推出众筹的智能硬件平台,再到2013年阿里巴巴推出余额宝以及各个公司推出的金融服务。这是一个从小额的支付到大额的货币开始进入互联网金融的过程,也是一个互联网向金融行业渗透的过程。
从以上2个方面可以看到,整个传统金融行业的互联网化的进程很慢。然而,互联网金融化则是一个快速发展的过程。
2 互联网金融发展特征
互联网金融的发展是从跟随模仿向探索创新驱动转变。第三方支付、P2P网贷等都是模仿国外的企业。中国的互联网企业在本土化改造过程中考虑了中国的国情,通过互联网思维方式考虑用户体验,采用模仿的策略使其发展呈现良好态势。另外阿里巴巴、京东、百度等具有代表性的中国互联网企业积极创新,在各自的平台上推出了有特色的金融服务。
新兴的企业和传统的企业相互竞合。各行各业都在思考在互联网技术发展下如何拥抱互联网,使自己的行业与互联网有更好的融合,从而改变整个经济的发展方式以及传统产业的发展趋势。新兴企业和传统企业存在双向进入的特征,例如阿里和腾讯在申办民营银行,传统的金融机构在开展P2P网络带宽等新业务。这些企业彼此之间也在进行一些业务合作和组织方式的融合,在业务合作方面出现了基于电子商务的新险种(运费险)和基于第三方支付的货币基金(余额宝和理财通),在组织方式融合方面阿里、腾讯、中国平安等成立了众安保险。
3 支付安全是互联网金融的核心问题
互联网金融的新发展层出不穷,其中最根本的一个问题就是账户支付的安全。无论是在传统的互联网行业,还是在新兴的互联网金融行业,账户支付安全永远是一个核心问题。
互联网金融应用账户表现形式:银行账户、第三方支付账户、基金账户、保险账户、虚拟货币账户(例如Q币账户、比特币账户)等。互联网金融应用使用的资金最根本来源于2类账户:
◆银行支付账户:指付款人在银行开立的银行账户,例如招商银行、建设银行等,主体是银行企业。
◆第三方支付账户:指付款人在非金融支付机构开立的支付账户,例如支付宝、财富通,主体是第三方支付企业。
无论是银行支付的账户还是第三方,要完成交易需经过的生命周期流程为:账户开设、账户登录、账户审核、账户资金转移和账户资金清结算。在这个流程中,银行账户和第三方支付账户不同的环节在于账户开设与账户登录阶段。传统的金融业都是通过柜台进行操作,而第三方支付赋予用户线上操作的权限,账户登录审核通过后台完成。因为第三方支付往往额度较小,所以其账户开设阶段的安全性尚可接受。账户支付主要集中在账户资金转移和账户资金清结算2个环节,会采用一定的安全技术手段和措施。所以账户安全贯穿账户完成资金交易的整个生命周期过程,其中支付安全是互联网金融的核心问题。
4 互联网金融发展推动下的支付安全技
术和威胁
支付安全与终端、网络、业务应用的安全有关,涉及的关键要素包括:数据安全、应用安全、平台安全、网络安全、终端安全和用户安全。在用户安全方面,一些用户登录的账号、密码会被盗用或冒用;在终端安全方面,PC和移动终端软硬件的后门漏洞可能植入病毒和恶意代码,PC和移动终端可能存在的病毒和恶意代码等都可能会导致用户信息泄露;网络安全威胁来自在传输网络中业务数据和信令数据的窃取或篡改;平台安全威胁是指部分平台存在从互联网入侵和被控制的危险,如果平台有了漏洞,黑客攻击到后台的平台,平台或会瘫痪;数据安全就是交易账号和密码的盗用以及保存的用户信息和交易信息存在泄露和滥用的风险,例如用户存在终端或平台上的一些应用数据、用户数据、业务数据的损失,都有可能会对支付安全造成影响。
支付安全需要保证用户的身份认证唯一、交易准确无误以及数据传输和存储的安全,它将涉及终端、网络、业务应用等很多因素。账户安全技术解决方案有以下几个部分。身份认证要有多重用户名和密码、U盾、校验码、短信验证以保证用户安全;目前采用可信终端技术保证支付安全,终端实现可信区域,在可信区域使用支付应用,与普通应用进行隔离,在硬件、操作系统、应用安全方面采用安全加固措施。如果是普通终端可采用操作系统加固、应用软件安全检测、安装防病毒工具等方式保证终端安全;网络安全方面,通过网络安全防护和网络加密传输等保证支付安全;平台安全方面,为了防止黑客攻击,可以对平台进行风险评估,采用部署防火墙、入侵检测设备等安全防护措施;应用安全方面,客户端和服务器采用SSL加密、日志审计等保证安全;数据安全一般通过数据的加密、存储、传输和备份实现。
