移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

电子付出平台安然标题问题浅谈

时间:2013-07-20 22:49来源:TuZhiJiaMi企业信息安全专家 点击:
跟着信息手艺、收集通信手艺的敏捷成长和电子商务的利用需求,愈来愈多的银行和非金融机构借助互联网、手机等遍及介入付出营业。银行供给的电子付出办事首要以银行卡、网上银行、手
Tags应用安全(1006)安全漏洞(114)电子支付(3)支付平台(2)  

  跟着信息手艺、收集通信手艺的敏捷成长和电子商务的利用需求,愈来愈多的银行和非金融机构借助互联网、手机等遍及介入付出营业。银行供给的电子付出办事首要以银行卡、网上银行、手机银行等为载体,以银行传统的假贷记利用为主;而非金融机构供给的付出办事包含收集付出、预付卡的发行与受理、银行卡收单等方面,与银行业既合作又竞争,已成为一支首要的力量。

  今朝,电子付出办事营业量增加迅猛,办事对象很是多,包含收集用户、手机用户、银行卡和预付卡持卡人等,其影响很是遍及。今朝国内约有200多家各级银行和300多家第三方付出机构,此中大都从事互联网付出、手机付出、德律风付出和发行银行卡、预付卡等营业。

  电子付出平台安然标题问题凸显

  电子付出机构安然意识稀薄,安然治理组织不健全,手艺防护能力亏弱,存在安然缝隙。

  跟着电子付出的遍及利用,其透露的安然性标题问题也愈来愈凸起。因为我国电子付出方面的法令相对滞后,对电子付出市场出格长短金融机构付出监管不敷,今朝存在的商业银行和非金融机构付出产品质量良莠不齐,机构员工安然意识稀薄,安然防护办法不敷,用户的生意安然和小我信息存在很大年夜的风险。安然标题问题可以回纳为几个方面:

  一是电子付出机构安然意识稀薄。相对大年夜型银行业金融机构,以村镇银行动代表的中小银行和非金融付出机构的安然意识还比较稀薄,还不克不及充分熟谙到信息安然面对的情势和信息安然工作的首要性,对付出平台的把持风险、诺言风险和法令风险等正视不敷。带领对信息安然的不正视,就会导致信息安然工作不到位和难于展开。一些员工思惟上有麻木意识,他们觉得信息科技激发的案件是科技部门的事,与己无关,都是偶尔产生,存在侥幸心理,从而导致安然办法履行不到位。安然意识亏弱是安然标题问题产生的本源。

  二是安然治理组织不健全,安然治理轨制不完美。大都中小银行和非金融付出机构等电子付出机构还没有构成信息安然组织布局,治理较混乱,安然治理人员配备不足。信息安然治理轨制还不成系统,没有成立整体方针,安然治理轨制和把持规程缺掉,安然策略不完全等。

  三是安然手艺防护能力亏弱。在电子付出平台扶植中,没有充分正视安然手艺防护能力的扶植,防护能力亏弱。有些付出系统中没有摆设防火墙和进侵检测系统,没有划分安然域,没有安然事务监控、统一防病毒等防护办法;首要数据的传输和存储存在安然隐患,首要收集设备没有进行安然策略建设;应急措置方案不完全,应对和措置危机的能力还比较弱。以上标题问题等闲引发不法拜候收集系统、假充收集终端/把持员、用户信息被盗取、截获和窜改传输数据等安然事务产生。

  四是利用法度中存在安然缝隙。系统上线前,没有对利用法度进行周全的测评,导致出产系统存在功能、安然性及机能方面的标题问题。我们经由过程对电子付出系统利用法度的检测,发现了大年夜量的安然隐患,如SQL注进缝隙、跨站点脚本编制缝隙、收集垂钓和登录编制不服安等,这些安然隐患可以被犯警分子操纵,盗取系统数据或用户的敏感信息,给电子付出机构和用户造成严重损掉。

  五是小我信息不克不及获得有效呵护。有些电子付出平台要求用户供给真实姓名、联系编制、住址、银行账号乃至身份证号,个别网站在设计上存在标题问题,导致这些信息很等闲被泄漏。

  四项步履进步安然性

  当局应加强监管力度,电子付出机构应加强安然意识,及时修复安然缝隙,加强信息呵护办法。

  第一,当局应加强监管力度。一方面经由过程《电子银行营业治理编制》和《电子银行安然评估指引》的发布和实施,愈来愈多的银行开端展开电子银行营业。另外一方面,跟着《非金融机构付出办事治理编制》和实施细则的发布和实施,一些具有杰出资信程度、较强获利能力和必然从业经验的非金融机构进进付出办事市场,在中国人平易近银行的监督治理下规范从事付出营业。但如许还不敷,应进一步加强治理和监控,出格是对中小银行、非金融机构的治理,细化治理条目,强化监督和指导,并可以考虑将非金融付出机构归并纳进金融机构的安然治理系统,使其遵守金融机构相干的安然治理轨制和尺度规范。

  第二,电子付出机构应加强安然意识,加强信息安然系统扶植。一是,需要经由过程鼓吹、培训和教育等手段晋升员工的信息安然认知(包含进步安然意识、体味安然职责、培养安然手艺),阐扬员工在信息安然治理中的主不雅能动性,以自律的编制来实现信息安然保障。二是,成立周全、科学的信息安然治理系统。成立人员布局合理的安然组织布局,加强信息安然步队扶植,成立完全的信息安然策略,完美信息安然应急恢复系统,推动信息安然风险评估,实施信息安然等第呵护,健全信息安然尺度规范和有关轨制。三是,构建科学合理的安然手艺保障系统。

  第三,电子付出机构应加强系统安然查抄,及时修复安然缝隙。可组建手艺团队或拜托专业安然办事机构对系统进行安然测评。

  第四,电子付出机构应加强客户信息呵护办法。对客户信息的呵护应采纳切实有效的办法,确保付出平台没有设计缝隙,修复利用法度中存在的安然缝隙,避免客户信息被歹意盗取,并严格治理系统的运维治理,确保客户信息的存储安然。同时,还应当以公开的编制,对用户信息的安然进行承诺。

  电子付出平台的安然性关系到国计平易近生,相干当局和电子付出机构应当切实实施职责,保障电子付出平台高效、安然运行,促进电子付出营业的健康、有序成长。广大年夜用户在利用电子付出平台进行付出的过程中,也应当寄望甄别,选择有实力、诺言度高的付出平台,以呵护本身的合法权益。

------分隔线----------------------------

推荐内容