主页 > 新闻 > 支付安全雷达模型：银行优于三方互联网支付宝最佳

支付安全雷达模型：银行优于三方互联网支付宝最佳

来源：沈阳新闻网作者：莎莎更新时间：2020-09-15 19:45:43阅读：

本篇文章5480字，读完约14分钟

最近，关于支付产品的讨论非常激烈，最关键的问题是安全性。支付产品给用户的日常销售和其他支付带来了便利，但也伴随着安全问题，支付安全事件在报纸上屡见不鲜。金融周刊互联网金融实验室从支付产品的安全措施、主要第三方支付企业安全系统的雷达模型和频繁的风险事件来评估支付安全。开放认证用户在使用互联网支付时必须开放相关服务，在这个过程中，支付机构对用户收集信息非常重要，这也是支付安全的第一步。银行:如果用户需要开通网上银行或手机银行，必须携带身份证到银行柜台，向银行提供银行卡、身份证、手机号码等信息，并签订合同。第三方支付:由于第三方支付是一家互联网公司，其相关服务的注册和开通都是通过互联网进行的，用户无需亲自登录，但提供的信息是真实姓名、手机号码、电子邮件号码、身份证等个人信息。例如，打开支付宝注册。有两种主要方式。一是手机注册，通过手机验证码完成注册；另一个是邮箱注册，通过邮箱激活成功。注册成功后，您需要进行身份认证，并绑定您的身份证和银行卡进行认证。财付通有四种方式，即:qq号码快速激活、电子邮件注册、手机号码注册和银行卡快速注册。分析结论:在收集用户信息时，银行信息更加真实。由于面对面签名，用户数据在正常情况下不可能是虚假的或被欺诈性地使用，从而保证了数据和意愿的真实性。由于第三方支付属于互联网注册和认证，其信息不真实，假冒认证经常存在。因此，在支付宝认证过程中有特殊的模拟认证过程。在这种情况下，如果用户的信息被意外泄露，就会有第三方支付被错误地注册和验证，这会对资金造成安全威胁。特别是对于一些不法分子来说，它结合技术通过第三方支付窃取用户资金。还有第三方支付的银行卡的快速注册。一旦用户的银行卡号码和密码被盗，可以快速注册，造成资金损失，取款时不再需要银行密码。可以看出，目前在第三方支付的用户注册和认证中，对信息真实性的保证存在一定程度的缺陷，因此有必要在这方面做好工作，做好第一道防护网，如与央行信用信息系统的数据对接。支付安全技术为了确保支付安全，银行和第三方支付公司正在积极开发支付安全技术，以保护支付交易期间的安全。目前，主要的第三方支付公司已经采用了许多技术手段来保证用户支付的安全性，安全产品保护系统包括otp和pki系统。Otp系统主要包括手机动态密码技术和凌豹技术。Pki系统主要包括数字证书和支付屏蔽技术。这两个系统从技术层面上保证了用户的支付安全。安全评估:从技术安全角度来看，支付屏蔽技术属于最高安全级别。事实上，物理介质中存在的安全证书可以设置为五星。接下来是数字证书技术，它绑定了公钥及其持有者的真实身份(如果它有实名认证机制，它相当于五星安全级别)。凌豹技术，独立物理介质，随机显示密码(如果它有实名认证机制，它相当于五星安全级别)。这三种技术都属于最高安全级别的技术，即对用户的保护程度最高。目前，用户使用手机支付时，最常用的技术之一是手机动态密码技术，它将随机生成的动态密码发送到绑定的手机上，没有密码就无法支付。这项技术对用户来说是最方便的，但是它的安全级别不高，只有三星。主要问题是，如果手机丢失或手机号码被他人处理，密码可能被盗，这样的安全问题经常发生。除了上述四种技术，支付企业还有其他方法来确保安全性。例如，常用的安全控制，安装后，将实时保护您的密码和账号不被窃取，及时发现交易风险，有效阻止假冒网站的交易欺诈。另一种是设置多个密码进行保护。除了支付企业提供的安全技术之外，安全供应商提供的安全支持也是必不可少的，主要是安装防病毒软件或防火墙。安全产品的效果支付企业提供各种安全措施供用户选择，但这些措施的效果是不同的。如前所述，安全保证的星级评定，这种差异也体现在实际使用过程中。安装网上银行或支付平台提示的数字证书，并使用u盾或动态密码，具有最高程度的保护。当用户使用这两种安全技术时，风险事件发生的概率约为25%，而不发生的概率约为75%。因此，从实际使用过程中发现，这两种技术的安全程度最高，因此在银行支付交易中基本上要求用户使用这两种技术，现在第三方支付公司也在逐步开发类似的安全产品。手机动态密码和绑定手机动态信息也能保证支付安全，但与上述两种技术相比，风险事件的概率和比例都有所增加。如果使用这两种技术，风险事件发生的概率约为35%，而不发生的概率约为65%。安装防病毒软件和升级系统更新是每台计算机的必要操作，也是为了防止整个计算机安全使用。然而，这两种技术虽然重要，但对于支付交易的安全性来说并不理想。在使用这些技术的情况下，风险事件的比例仍然高达近50%。由此可见，用户必须选择为企业提供的安全产品付费，以便在使用安全制造商产品的基础上确保资金的安全性。安全系统雷达模型借鉴其他研究机构，选取组织结构、安全系统、安全产品、安全服务、资源投入、补偿机制、安全宣传和联盟合作等8个指标对国内主要支付企业的安全系统进行评价。通过综合评分，描述了主要第三方支付企业的雷达模型图。通过雷达模型图，可以发现各大第三方支付公司都非常重视系统建设。一方面，支付公司对系统安全性有很高的要求，另一方面，他们也遵守监管要求。在这方面，这些第三方支付公司之间没有什么区别。支付宝和快钱在资源投入上有明显的努力，组织结构体系相对完整。目前，各大第三方支付公司在安全产品的开发上差别不大，可以使用的技术手段基本上都采用了。但是，在联合合作方面，支付宝走在了前列，腾讯主要依靠内部资源的整合，而其他大部分机构都与安全厂商合作。在用户最关心的补偿方面，支付宝的快速支付有72小时全额补偿的承诺，这比其他企业的过错补偿机制有优势。主要企业简评支付宝组织结构:董事会下设风险管理委员会，全面负责支付风险管理。它有三个一级部门，即风险管理部、合规部和内部控制部，以及技术安全管理中心和安全产品开发团队。系统安全:符合中央银行“智能实时风险监控系统”标准的安全系统。安全产品:密码安全控制、图片验证码、反钓鱼解决方案、数字证书、支付屏蔽、凌豹、双密码、个人隐私认证系统等。信息安全服务:短信通知、电子邮件通知、异常情况人工提醒、需要提醒等。补偿机制:快速支付“72小时全额补偿承诺”。安全宣传:专题网页安全提醒页面、交易安全介绍等。安全合作:与银行业、第三方支付和安全制造商建立电子支付安全联盟。分析与评论:支付宝目前属于中国一流的第三方支付企业，在很多方面都有突出的表现。智能实时风险监控系统集风险分析、预警与控制、实时全天候风险监控于一体。建立支付安全联盟，从整个安全生态链控制安全。另一个是其承诺的全额补偿机制。财付通组织结构:腾讯集团设有安全中心，财付通设有风险管理部和合规部。系统安全:符合中央银行标准的安全系统、风险控制系统和资金管理系统。安全产品:动态口令卡、金融盾牌、数字证书、短信验证码、安全控制、电子令牌、登录问候、安全交易等。信息安全服务:资金变更短信通知、qq电子邮件通知、qq管家实时提醒。补偿机制:引导用户举报案件，拦截并及时退还捕鱼用户的反馈，补偿责任。安全宣传:特别网站安全提醒页面、qq提醒宣传和交易安全介绍。安全合作:主要与qq Butler、腾讯安全中心和金山合作，同时与行业和监管机构合作。分析及简评:财付通的主要优势是依靠腾讯强大的系统，腾讯安全中心和qq管家在风险预警方面发挥了重要作用，但财付通通过空.改善了自身的资源投入和安全合作快钱组织结构:有四个一级部门，即风险管理部、合规部、安全中心和内部审计部。系统安全:一个符合中央银行标准的安全系统，每年由独立的第三方机构进行测试和评估，以及一个风险监控平台。安全产品:安全控制、密码卡、快速货币屏蔽、数字证书、第三方号码、信息验证码等。信息安全服务:短信通知、电子邮件通知和资金变动后台监控服务。补偿机制:故障补偿机制。安全宣传:专门的网站安全提醒页面、交易安全介绍和安全主题活动。安全合作:与银行和安全制造商的合作。分析与简评:快钱在资源投入和安全宣传方面比较突出，采取线上线下的安全宣传教育，更有利于用户关注支付安全。但是，在安全合作和组织结构上，对安全的重视还存在一些不足。汇款到世界组织结构:由一名副总裁和两个一级部门(即风险管理部和合规部)领导的风险管理委员会。系统安全:符合中央银行标准的安全系统、风险控制系统和资金管理系统。安全产品:密码卡、u盾、证件、短信验证码、安全控制、电子令牌、二次认证等。信息安全服务:短信通知、电子邮件通知、异常情况人工提醒。赔偿机制:合同协议、过失赔偿机制。安全宣传:专门网站安全提醒页面，交易安全介绍。安全合作:与银行和安全制造商的合作。分析简评:汇款世界在组织结构上更注重安全，但在安全宣传和安全资源投入上有待提高。使用二级认证可以在一定程度上防止钓鱼网站作弊。部门组织结构:管理中心设风险管理部和合规部，运营中心设信息安全部。系统安全:符合央行标准的安全系统和风险系统已通过pci认证和国家信息安全认证。安全产品:动态令牌、E-Shield、数字证书、安全控制、验证码、电子令牌、多因素密码验证、风险监控系统等。信息安全服务:资金变更短信通知。安全宣传:公司网站安全中心宣传、安全厂商联合宣传等。安全合作:与银行和安全制造商的合作。分析和简要评论:投资安全资源和联盟合作有一定的优势，但对组织结构中的安全问题重视不够。同时，它为商家提供定制的专用解决方案服务，这一点相当突出。环迅支付组织结构:有三个一级部门:风险控制部、合规部和客户服务部。系统安全:符合中央银行标准的安全系统、风险系统和资金管理系统。安全产品:安全控制、动态口令卡、数字证书、验证码等。信息安全服务:资金变更短信通知和电子邮件通知。补偿机制:故障补偿机制。安全宣传:专门的网站安全提醒页面和315投诉网站宣传。安全合作:与银行和安全制造商的合作。分析与评论:环迅支付各项指标表现不佳，但利用国际技术独立开发了反欺诈系统。支付企业存在的问题虽然支付企业在支付安全方面做出了很大的努力，投入了大量的人力物力，但是在支付安全方面仍然存在一些需要解决和改进的问题。根据中国金融认证中心的介绍，可以看出支付企业存在以下问题: 承载支付服务的信息技术系统存在漏洞:一是开发和运行环境，包括开发和测试环境，没有与生产环境严格分开；数据未经清理就提交给开发测试；系统版本变更流程界面不清晰。二是it系统的基本环境，包括弱认证；逻辑访问控制不严；身份认证机制的应用存在缺陷；网络安全引发的服务器攻击和前端用户敏感信息泄露；数据存储和备份安全。互联网支付本身的业务控制薄弱:数据分类控制不严格，导致用户敏感数据外流；推广功能模块逻辑松散导致的漏洞；与离线票据处理相关的状态不一致。支付业务公司的管理控制存在疏忽:客户储备资金的管理没有审计控制机制；错误处理过程没有审计控制机制；商户审计和风险分类机制不完善。用户面临的主要安全问题虽然银行和第三方支付公司已经采取了各种安全措施来确保用户的安全，但是在支付交易过程中安全事件频繁发生。目前存在的主要问题有: 遇到木马和窃取密码:用全面的木马感染用户，这些木马具有屏幕查看、远程控制和键盘记录功能。黑客利用键盘记录功能记录账号、密码和交易密码，然后利用远程控制功能操纵用户电脑转账。网络钓鱼网站，欺骗用户进行支付:犯罪分子冒充卖家，在用户准备交易时谎称网络有问题，并向用户发送一个网址链接，这通常类似于用户点击后的支付页面。用户在此页面付款后，卖家说没有收到付款。当用户通过正常登录从网上银行查询时，不显示支付信息。事实上，犯罪分子诱使用户通过网络钓鱼网站向其他账户付款，从而造成经济损失。 u盾未拔出，远程监控:用户使用了u盾，尤其是在公共电脑支付后，未能及时拔出支付盾，被远程控制的罪犯“借用”。或者通过qq发送一个危险的链接，因为用户信任他们的朋友，他们会轻率地点击并遇到网络钓鱼网站或木马病毒。扫描二维码，隐藏谜团:二维码木马欺诈是2013年出现的一种新的欺诈手段。不法分子假装是买家，向卖家发送二维码以便订购。卖家一旦扫描二维码，就落入了木马，手机收到的各种验证码信息都会被拦截并发送给罪犯，从而被盗。