隨著信息技術、網絡通信技術的迅速發(fā)展和電子商務的應用需求,越來越多的銀行和非金融機構借助互聯網、手機等廣泛參與支付業(yè)務。銀行提供的電子支付服務主要以銀行卡、網上銀行、手機銀行等為載體,以銀行傳統(tǒng)的借貸記應用為主;而非金融機構提供的支付服務包括網絡支付、預付卡的發(fā)行與受理、銀行卡收單等方面,與銀行業(yè)既合作又競爭,已經成為一支重要的力量。
目前,電子支付服務業(yè)務量增長迅猛,服務對象非常多,包括網絡用戶、手機用戶、銀行卡和預付卡持卡人等,其影響非常廣泛。目前國內約有200多家各級銀行和300多家第三方支付機構,其中多數從事互聯網支付、手機支付、電話支付以及發(fā)行銀行卡、預付卡等業(yè)務。
電子支付平臺安全問題凸顯
電子支付機構安全意識淡薄,安全管理組織不健全,技術防護能力薄弱,存在安全漏洞。
隨著電子支付的廣泛應用,其暴露的安全性問題也越來越突出。由于我國電子支付方面的法律相對滯后,對電子支付市場特別是非金融機構支付監(jiān)管不夠,目前存在的商業(yè)銀行和非金融機構支付產品質量參差不齊,機構員工安全意識淡薄,安全防護措施不夠,用戶的交易安全和個人信息存在很大的風險。安全問題可以歸納為幾個方面:
一是電子支付機構安全意識淡薄。相對于大型銀行業(yè)金融機構,以村鎮(zhèn)銀行為代表的中小銀行和非金融支付機構的安全意識還比較淡薄,還不能充分認識到信息安全面臨的形勢和信息安全工作的重要性,對支付平臺的操作風險、信用風險和法律風險等重視不夠。領導對信息安全的不重視,就會導致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識,他們認為信息科技引發(fā)的案件是科技部門的事,與己無關,都是偶然發(fā)生,存在僥幸心理,從而導致安全措施執(zhí)行不到位。安全意識薄弱是安全問題發(fā)生的根源。
二是安全管理組織不健全,安全管理制度不完善。多數中小銀行和非金融支付機構等電子支付機構還沒有形成信息安全組織結構,管理較混亂,安全管理人員配備不足。信息安全管理制度還不成體系,沒有建立總體方針,安全管理制度和操作規(guī)程缺失,安全策略不完整等。
三是安全技術防護能力薄弱。在電子支付平臺建設中,沒有充分重視安全技術防護能力的建設,防護能力薄弱。有些支付系統(tǒng)中沒有部署防火墻和入侵檢測系統(tǒng),沒有劃分安全域,沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護措施;重要數據的傳輸和存儲存在安全隱患,重要網絡設備沒有進行安全策略配置;應急處理方案不完備,應對和處理危機的能力還比較弱。以上問題容易引起非法訪問網絡系統(tǒng)、假冒網絡終端/操作員、用戶信息被竊取、截獲和篡改傳輸數據等安全事件發(fā)生。
四是應用程序中存在安全漏洞。系統(tǒng)上線前,沒有對應用程序進行全面的測評,致使生產系統(tǒng)存在功能、安全性及性能方面的問題。我們通過對電子支付系統(tǒng)應用程序的檢測,發(fā)現了大量的安全隱患,如SQL注入漏洞、跨站點腳本編制漏洞、網絡釣魚以及登錄方式不安全等,這些安全隱患可以被不法分子利用,竊取系統(tǒng)數據或用戶的敏感信息,給電子支付機構和用戶造成嚴重損失。
五是個人信息不能得到有效保護。有些電子支付平臺要求用戶提供真實姓名、聯系方式、住址、銀行賬號甚至身份證號,個別網站在設計上存在問題,致使這些信息很容易被泄露。
四項舉措提高安全性
政府應加強監(jiān)管力度,電子支付機構應增強安全意識,及時修復安全漏洞,加強信息保護措施。
第一,政府應加強監(jiān)管力度。一方面通過《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》的發(fā)布和實施,越來越多的銀行開始開展電子銀行業(yè)務。另一方面,隨著《非金融機構支付服務管理辦法》和實施細則的發(fā)布和實施,一些具備良好資信水平、較強贏利能力和一定從業(yè)經驗的非金融機構進入支付服務市場,在中國人民銀行的監(jiān)督管理下規(guī)范從事支付業(yè)務。但這樣還不夠,應進一步加強管理和監(jiān)控,特別是對中小銀行、非金融機構的管理,細化管理條目,強化監(jiān)督和引導,并可以考慮將非金融支付機構合并納入金融機構的安全管理體系,使其遵循金融機構相關的安全管理制度和標準規(guī)范。
第二,電子支付機構應增強安全意識,加強信息安全體系建設。一是,需要通過宣傳、培訓和教育等手段提升員工的信息安全認知(包括提高安全意識、了解安全職責、培養(yǎng)安全技能),發(fā)揮員工在信息安全管理中的主觀能動性,以自律的方式來實現信息安全保障。二是,建立全面、科學的信息安全管理體系。建立人員結構合理的安全組織結構,加強信息安全隊伍建設,建立完整的信息安全策略,完善信息安全應急恢復體系,推進信息安全風險評估,實行信息安全等級保護,健全信息安全標準規(guī)范和有關制度。三是,構建科學合理的安全技術保障體系。
第三,電子支付機構應加強系統(tǒng)安全檢查,及時修復安全漏洞。可組建技術團隊或委托專業(yè)安全服務機構對系統(tǒng)進行安全測評。
第四,電子支付機構應加強客戶信息保護措施。對于客戶信息的保護應采取切實有效的措施,確保支付平臺沒有設計漏洞,修復應用程序中存在的安全漏洞,防止客戶信息被惡意竊取,并嚴格管理系統(tǒng)的運維管理,確保客戶信息的存儲安全。同時,還應該以公開的方式,對用戶信息的安全進行承諾。
電子支付平臺的安全性關系到國計民生,相關政府和電子支付機構應該切實履行職責,保障電子支付平臺高效、安全運行,促進電子支付業(yè)務的健康、有序發(fā)展。廣大用戶在使用電子支付平臺進行支付的過程中,也應該注意甄別,選擇有實力、信譽度高的支付平臺,以保護自己的合法權益。
京公網安備 11010502049343號