網上支付系統

出自 MBA智库百科(https://wiki.mbalib.com/)

　　網上支付系統是指消費者、交易商和金融機構之間使用安全電子手段交換商品服務，即把新型支付手段，包括各類電子貨幣、信用卡、借記卡智能卡等的支付信息通過網路安全傳送到銀行或相應處理機構來實現電子支付。

　　網上支付的安全性極為重要，其安全手段也是全方位、多層次的。從整個支付流程來看，支付系統的安全包括伺服器端安全(包括銀行端和第三方支付公司系統)、客戶端安全、數據傳輸安全，通過對各環節採用不同的安全措施來構建一個安全支付環境，以確保客戶交易信息的保密性、完整性及不可抵賴性。

　　1.伺服器端安全

　　(1)應用系統安全：主要包括銀行系統、第三方支付系統安全。對於應用系統架構，應根據不同的安全級別劃分安全區域，併在各安全區域之間部署異構防火牆，在安全區域內部部署安全防護設備，如安全網關、漏洞掃描、抗DDOS攻擊設備、入侵檢測設備IDS、入侵防禦設備IPS等，從而有效控制非法用戶入侵、防範惡意攻擊，對應用系統進行全面的安全防護。

　　(2)數據存儲安全：通過制訂並施行科學合理的數據備份機制、數據訪問機制和災難恢復計劃，以確保數據存儲安全。

　　(3)交易處理安全：主要通過數字簽名技術保證網上支付交易處理安全。

　　商戶發往銀行的交易需進行數字簽名，銀行方進行驗簽，從而驗證商戶身份；同時支付系統發送給商戶的支付結果中也包含銀行方數字簽名，以保證信息一定是由銀行發出的並且確保其完整性。此外，銀行對商戶發送過來的訂單信息會進行重覆性、時效性等有效性檢查，對於無效交易系統會自動摒棄。

　　(4)交易監控：建立交易監控系統，通過數據分析、數據挖掘等技術進行學習並與一般用戶正常行為特征進行比對，發現異常的或有風險的操作行為，根據風險級別不同進行不同的處理。

　　2.客戶端安全

　　由銀行和第三方支付服務提供商為客戶提供，具體包括動態令牌、USBKey(含第三方認證證書)、簡訊服務、預留信息驗證、圖形驗證碼、軟鍵盤等。其中，動態令牌和USBkey為物理移動設備，難以被盜用，USBkey可對客戶提交的交易信息進行數字簽名，增強對交易過程中行為和責任的認定。通過幾種方式的組合，可增強非法人侵和盜用的難度。

　　3.數據傳輸安全

　　銀行端與商戶端通信可採用專線或VPN方式，並利用HTTPS協議進行交易信息加密處理，以確保數據傳輸的機密性和完整性。

　　4.其他安全

　　(1)加強實名驗證，如淘寶(支付寶)實行了收款人身份證認證和銀行卡認證，可有效防範欺詐；

　　(2)第三方支付公司借鑒證券公司經驗使用第三方存管，增強了客戶資金安全性；

　　(3)簽約過程中網上支付系統不向商戶系統傳輸客戶銀行卡完整的卡號信息，網上支付系統也不保留客戶的商戶賬戶完整信息，以確保客戶敏感信息安全；

　　(4)通過設置單筆支付限額和當日累積支付限額，以確保資金安全。