电子支付平台关乎国计民生

作者： 时间：2014-12-21

    随着电子支付的广泛应用，其暴露的安全性问题也越来越突出。由于我国电子支付方面的法律相对滞后，对电子支付市场特别是非金融机构支付监管不够，目前存在的商业银行和非金融机构支付产品质量参差不齐，机构员工安全意识淡薄，安全防护措施不够，用户的交易安全和个人信息存在很大的风险。安全问题可以归纳为几个方面：

    一是电子支付机构安全意识淡薄。相对于大型银行业金融机构，以村镇银行为代表的中小银行和非金融支付机构的安全意识还比较淡薄，还不能充分认识到信息安全面临的形势和信息安全工作的重要性，对支付平台的操作风险、信用风险和法律风险等重视不够。领导对信息安全的不重视，就会导致信息安全工作不到位和难于开展。一些员工思想上有麻痹意识，他们认为信息科技引发的案件是科技部门的事，与己无关，都是偶然发生，存在侥幸心理，从而导致安全措施执行不到位。安全意识薄弱是安全问题发生的根源。

    二是安全管理组织不健全，安全管理制度不完善。多数中小银行和非金融支付机构等电子支付机构还没有形成信息安全组织结构，管理较混乱，安全管理人员配备不足。信息安全管理制度还不成体系，没有建立总体方针，安全管理制度和操作规程缺失，安全策略不完整等。

    三是安全技术防护能力薄弱。在电子支付平台建设中，没有充分重视安全技术防护能力的建设，防护能力薄弱。有些支付系统中没有部署防火墙和入侵检测系统，没有划分安全域，没有安全事件监控、统一防病毒等防护措施;重要数据的传输和存储存在安全隐患，重要网络设备没有进行安全策略配置;应急处理方案不完备，应对和处理危机的能力还比较弱。以上问题容易引起非法访问网络系统、假冒网络终端/操作员、用户信息被窃取、截获和篡改传输数据等安全事件发生。

    四是应用程序中存在安全漏洞。系统上线前，没有对应用程序进行全面的测评，致使生产系统存在功能、安全性及性能方面的问题。我们通过对电子支付系统应用程序的检测，发现了大量的安全隐患，如SQL注入漏洞、跨站点脚本编制漏洞、网络钓鱼以及登录方式不安全等，这些安全隐患可以被不法分子利用，窃取系统数据或用户的敏感信息，给电子支付机构和用户造成严重损失。

    电子支付平台的安全性关系到国计民生，相关政府和电子支付机构应该切实履行职责，保障电子支付平台高效、安全运行，促进电子支付业务的健康、有序发展。平台方面可以做到安装服务器证书保证网民信息安全，广大用户在使用电子支付平台进行支付的过程中，也应该注意甄别，选择那些在支付或者登陆界面出现https的支付平台，以保护自己的合法权益。