网上支付(Net Payment或Internet Payment)也称网上支付与结算,是指以金融电子化网络为基础,以商用电子化工具和各种交易卡为媒介,以现代计算机技术和通信技术为手段,通过计算机网络系统特别是互联网,以电子信息传递的形式来实现资金的流通与支付。常见的网上支付系统模式有网银转账支付模式、用户直连网银支付模式和第三方支付模式。
网上支付的安全性极为重要,其安全手段也是全方位、多层次的。从整个支付流程来看,支付系统的安全包括服务器端安全(包括银行端和第三方支付公司系统)、客户端安全、数据传输安全,通过对各环节采用不同的安全措施来构建一个安全支付环境,以确保客户交易信息的保密性、完整性及不可抵赖性。
(1)应用系统安全:主要包括银行系统、
第三方支付系统安全。对于应用系统架构,应根据不同的安全级别划分安全区域,并在各安全区域之间部署异构
防火墙,在安全区域内部部署安全防护设备,如安全网关、漏洞扫描、抗DDOS攻击设备、入侵检测设备IDS、入侵防御设备IPS等,从而有效控制非法用户入侵、防范恶意攻击,对应用系统进行全面的安全防护。
(2)
数据存储安全:通过制订并施行科学合理的数据备份机制、数据访问机制和灾难恢复计划,以确保数据存储安全。
商户发往银行的交易需进行
数字签名,银行方进行验签,从而验证商户身份;同时支付系统发送给商户的支付结果中也包含银行方数字签名,以保证信息一定是由银行发出的并且确保其完整性。此外,银行对商户发送过来的订单信息会进行重复性、时效性等有效性检查,对于无效
交易系统会自动摒弃。
(4)交易监控:建立交易监控系统,通过
数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的
或有风险的操作行为,根据风险级别不同进行不同的处理。
由银行和
第三方支付服务提供商为客户提供,具体包括动态令牌、USBKey(含第三方认证证书)、短信服务、预留信息验证、图形验证码、软键盘等。其中,动态令牌和USBkey为物理移动设备,难以被盗用,USBkey可对客户提交的交易信息进行数字签名,增强对交易过程中行为和
责任的认定。通过几种方式的
组合,可增强非法人侵和盗用的难度。
银行端与商户端通信可采用专线或VPN方式,并利用HTTPS协议进行交易信息加密处理,以确保
数据传输的机密性和完整性。
(1)加强实名验证,如
淘宝(
支付宝)实行了收款人身份证认证和银行卡认证,可有效防范欺诈;
(3)
签约过程中网上支付系统不向商户系统传输客户银行卡完整的卡号信息,网上支付系统也不保留客户的商户账户完整信息,以确保客户敏感
信息安全;