第三方支付安全風(fēng)險(xiǎn)

移動(dòng)商務(wù)安全第三方支付安全風(fēng)險(xiǎn)支付系統(tǒng)安全機(jī)制1終端操作系統(tǒng)漏洞2移動(dòng)支付安全防護(hù)3第三方支付平臺(tái)的安全機(jī)制4目錄Contents目錄1支付系統(tǒng)安全機(jī)制支付系統(tǒng)安全機(jī)制支付系統(tǒng)安全機(jī)制移動(dòng)支付系統(tǒng)的安全機(jī)制，也可稱作支付安全協(xié)議，是以安全分層策略和密碼學(xué)為基礎(chǔ)的安全保護(hù)機(jī)制。分層的安全機(jī)構(gòu)由網(wǎng)絡(luò)層安全、平臺(tái)層安全和應(yīng)用/服務(wù)層安全構(gòu)成。

下面從應(yīng)用/服務(wù)層、平臺(tái)層、網(wǎng)絡(luò)層和無(wú)線加密技術(shù)四個(gè)方面來(lái)闡述移動(dòng)支付系統(tǒng)安全機(jī)制。（1）應(yīng)用/服務(wù)層安全為了滿足移動(dòng)支付的安全要求，在應(yīng)用/服務(wù)層采取基于角色的權(quán)限管理、單點(diǎn)登陸認(rèn)證機(jī)制、訪問(wèn)控制、賬號(hào)管理、會(huì)話管理、數(shù)據(jù)加密和保護(hù)、日志管理等措施，確保應(yīng)用系統(tǒng)部件、服務(wù)以及數(shù)據(jù)的安全性，防止對(duì)應(yīng)用服務(wù)的非授權(quán)訪問(wèn)，防止對(duì)應(yīng)用數(shù)據(jù)的非法使用。（2）平臺(tái)層安全在移動(dòng)支付的平臺(tái)上，通過(guò)服務(wù)器訪問(wèn)控制、應(yīng)用集群的高可靠性、會(huì)話日志審計(jì)、平臺(tái)層數(shù)據(jù)庫(kù)數(shù)據(jù)訪問(wèn)控制和加密，保證平臺(tái)級(jí)服務(wù)和數(shù)據(jù)的安全性，確保移動(dòng)支付的安全要求。支付系統(tǒng)安全機(jī)制（3）網(wǎng)絡(luò)層安全在移動(dòng)支付的網(wǎng)絡(luò)層，通過(guò)安全域劃分（DMZ部署）、交換機(jī)和防火墻配置、IDS/IPS入侵檢測(cè)系統(tǒng)部署、傳輸數(shù)據(jù)SSL/VPN加密以及專用網(wǎng)絡(luò)技術(shù)，可以進(jìn)行精細(xì)的區(qū)域劃分和保證數(shù)據(jù)傳輸?shù)臋C(jī)密性與完整性，確保移動(dòng)支付發(fā)生的網(wǎng)絡(luò)安全。

（4）無(wú)線加密技術(shù)①無(wú)線公鑰基礎(chǔ)設(shè)施（WPKI）

采用公鑰基礎(chǔ)設(shè)施、證書管理策略、軟件和硬件等技術(shù)，有效建立安全的無(wú)線網(wǎng)絡(luò)通信環(huán)境，滿足了移動(dòng)電子商務(wù)的保密性、完整性、真實(shí)性和不可抵賴性，消除了用戶在交易中的風(fēng)險(xiǎn)。②無(wú)線傳輸層安全（WTLS）WTLS提供了諸如數(shù)據(jù)完整性、機(jī)密性、鑒權(quán)和拒絕服務(wù)保護(hù)等安全功能，它既可以作為WAP協(xié)議棧中的安全傳輸層協(xié)議，也可以獨(dú)立于WAP，應(yīng)用于無(wú)線終端之間的安全通信。終端操作系統(tǒng)漏洞2終端操作系統(tǒng)漏洞終端操作系統(tǒng)漏洞

近兩年來(lái)我國(guó)移動(dòng)智能終端快速發(fā)展，而終端操作系統(tǒng)主要以iOS和Android為主，市場(chǎng)份額超90%，可以說(shuō)這兩個(gè)操作系統(tǒng)的安全性決定了整個(gè)移動(dòng)智能終端安全的發(fā)展。

從公開數(shù)據(jù)可看到，2016年iOS系統(tǒng)一共收錄161個(gè)漏洞；Android一共收錄523個(gè)漏洞，位列各平臺(tái)漏洞數(shù)量第一。這其中提權(quán)漏洞作為危害比較嚴(yán)重的類型，在16年新增250個(gè)，而15年這類漏洞只有17個(gè)。2017年截至到目前，iOS已出現(xiàn)243個(gè)漏洞，超去年全年水平；Android也已出現(xiàn)347個(gè)漏洞。由數(shù)據(jù)可見(jiàn)，系統(tǒng)代碼量越來(lái)越大勢(shì)必會(huì)引入更多安全漏洞，而決定安全性的除了平臺(tái)漏洞數(shù)量，重點(diǎn)取決于廠商對(duì)于漏洞的修補(bǔ)情況。泰爾終端實(shí)驗(yàn)室日前對(duì)市場(chǎng)上銷售的77個(gè)廠商262款終端進(jìn)行抽樣發(fā)現(xiàn)，終端平均含有5個(gè)高?；驀?yán)重漏洞，而所有終端中僅有2款對(duì)應(yīng)修補(bǔ)的漏洞進(jìn)行全面修補(bǔ)，其余終端未修補(bǔ)漏洞比例在19%左右。終端操作系統(tǒng)漏洞010203碎片化嚴(yán)重系統(tǒng)升級(jí)復(fù)雜，驅(qū)動(dòng)層面的漏洞也會(huì)因硬件不同而各有不同積極性不高修補(bǔ)漏洞本身對(duì)于終端廠商利益不高，并不能帶來(lái)良好收益的同時(shí)還需要投入大量的成本，因此廠商本身對(duì)漏洞修補(bǔ)管理就存在重視程度的差異管理混亂目前終端漏洞修補(bǔ)并沒(méi)有強(qiáng)制性要求，很多無(wú)自研能力的小廠商主要依賴操作系統(tǒng)廠商，芯片廠商發(fā)布的官方補(bǔ)丁，而這些補(bǔ)丁也會(huì)出現(xiàn)漏打，并不能完全涵蓋所有產(chǎn)品版本，同時(shí)這些廠商往往也沒(méi)有手段約束終端廠商及時(shí)打補(bǔ)丁。所以應(yīng)該建立漏洞檢測(cè)和監(jiān)管體系，建立應(yīng)急響應(yīng)與長(zhǎng)效合作機(jī)制移動(dòng)支付安全防護(hù)3移動(dòng)支付安全防護(hù)移動(dòng)支付安全防護(hù)雙重身份驗(yàn)證使用官方應(yīng)用商店的支付應(yīng)用加強(qiáng)設(shè)備本身安全性使用信用卡而非借記卡使用可信任的因特網(wǎng)連接設(shè)置賬戶更改警報(bào)確定轉(zhuǎn)賬人信息

由于智能手機(jī)的功能越來(lái)越多，很多用戶已經(jīng)開始使用手機(jī)承擔(dān)起購(gòu)物支付的重任了?；谝苿?dòng)平臺(tái)的在線支付工具已經(jīng)非常普及，包括國(guó)外的PayPal，國(guó)內(nèi)的支付寶等等。

通過(guò)一些安全防護(hù)措施能夠有效保護(hù)移動(dòng)支付的安全性。第三方支付安全機(jī)制4支付寶支付安全機(jī)制微信支付安全機(jī)制貝寶支付安全機(jī)制和包支付安全體系支付寶支付安全機(jī)制支付寶擔(dān)保交易流程安全機(jī)制：（1）Verisign簽發(fā)的全球安全證書（2）128位SSL加密（3）風(fēng)險(xiǎn)管理組織結(jié)構(gòu)及職責(zé)（4）智能實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控系統(tǒng)微信支付安全機(jī)制支付密碼設(shè)置流程打開微信—【我】—打開【錢包】—選擇【銀行卡】—點(diǎn)擊【添加銀行卡】根據(jù)提示填寫銀行卡相關(guān)信息，輸入【手機(jī)驗(yàn)證碼】，設(shè)置【微信支付密碼】并再次輸入密碼確認(rèn)，即可開通微信支付密碼功能。

手勢(shì)密碼設(shè)置流程打開微信—【我】—打開【錢包】—點(diǎn)擊右上角的【…】—選擇【支付管理】—點(diǎn)擊【手勢(shì)支付】根據(jù)提示，輸入【微信支付密碼】，即可開啟，開啟后進(jìn)入“錢包”功能需要使用手勢(shì)密碼，幫助保護(hù)“錢包”不被其他人使用。指紋支付開啟流程打開微信，擊右下角【我】—打開【錢包】—點(diǎn)擊右上角的【…】—選擇【支付管理】—點(diǎn)擊【指紋支付】右側(cè)開關(guān)，輸入【微信支付密碼】，即可開啟微信指紋支付功能。微信聲音鎖開啟流程打開微信—【我】—打開【設(shè)置】—進(jìn)入【賬號(hào)與安全】—點(diǎn)擊【聲音鎖】根據(jù)提示，按著屏幕上的按鈕讀出八位數(shù)字，系統(tǒng)識(shí)別兩次之后即可開通聲音鎖功能。安全機(jī)制：微信支付從產(chǎn)品體驗(yàn)的各個(gè)環(huán)節(jié)考慮用戶心理感受，形成了整套安全機(jī)制和手段。這些機(jī)制和手段包括：硬件鎖、支付密碼驗(yàn)證、終端異常判斷、交易異常實(shí)時(shí)監(jiān)控、交易緊急凍結(jié)等。這一整套的機(jī)制將對(duì)用戶形成全方位的安全保護(hù)。貝寶支付安全機(jī)制（一）安全優(yōu)勢(shì)可以實(shí)時(shí)檢測(cè)大多數(shù)欺詐交易先進(jìn)的系統(tǒng)升級(jí)可以幫助我們先于欺詐活動(dòng)實(shí)施保護(hù)廣泛采用數(shù)據(jù)加密來(lái)實(shí)現(xiàn)嚴(yán)格的保密性和安全性對(duì)交易進(jìn)行全天候監(jiān)控有專業(yè)的防欺詐專家團(tuán)隊(duì)為您監(jiān)控欺詐交易（二）全面信息保護(hù)賬戶安全是我們的首要任務(wù)。我們將世界一流的反欺詐技術(shù)與全天候賬戶監(jiān)控相結(jié)合，確保賬戶的安全。使用PayPal付款時(shí)，個(gè)人和財(cái)務(wù)信息將經(jīng)過(guò)安全加密，確保資金和信息的安全。此外，財(cái)務(wù)信息絕不會(huì)泄露給他人。（三）實(shí)時(shí)欺詐防護(hù)欺詐防護(hù)的關(guān)鍵是先發(fā)制人，我們將為您做好防護(hù)工作。為防患于未然，您收到的每一筆交易都受到監(jiān)控并將在幾毫秒內(nèi)完成分析。此外，我們嚴(yán)密的欺詐風(fēng)險(xiǎn)模型和分析工具還可以根據(jù)不同業(yè)務(wù)需求量身定制，讓您享受最佳的欺詐防護(hù)。（四）實(shí)時(shí)欺詐防護(hù)：發(fā)貨1.延遲發(fā)貨：對(duì)國(guó)際訂單、昂貴物品和（或）大宗訂單延遲發(fā)貨。2.使用自己的貨運(yùn)服務(wù)或暫停交貨。3.通過(guò)搜索引擎的IP地理定位服務(wù)跟蹤并核實(shí)送貨地址（五）實(shí)時(shí)欺詐防護(hù)：客戶1.保存記錄：保存客戶的姓名、電子郵件地址、IP地址和送貨地址記錄。通過(guò)比對(duì)可疑活動(dòng)與黑名單記錄，拒絕或標(biāo)記列入黑名單的交易。2.設(shè)定限制：設(shè)定每日、每周或每月從一個(gè)賬戶接受的購(gòu)物次數(shù)和總金額限制。您也可以限定僅向低風(fēng)險(xiǎn)國(guó)家或地區(qū)發(fā)貨。3.當(dāng)訂單出現(xiàn)可疑情況時(shí)，通過(guò)電話或電子郵件聯(lián)系客戶以確認(rèn)信息貝寶支付，PayPal在中國(guó)大陸品牌為，是美國(guó)eBay公司