网络账户支付的信息安全问题与对策研究

网络账户支付的信息安全问题与对策研究

作者：陈韵

来源：《信息安全与技术》2016年第01期

【 摘 要 】 信息技术的日新月异，让网络账户支付作为一种新型的支付方式，为人们带来方便，但其信息安全问题仍需我们引起重视。论文对网络支付的含义进行了简单论述，重点阐述了网络支付存在的问题，并提出了一些建议。 【 关键词 】 网络账户支付；信息安全；问题；对策

Research on the Security of Information Security and Countermeasures of the Network Account Payment Chen Yun

（College of Computer and Information Engineering， Henan University HenanKaifeng 475001）

【 Abstract 】 With the rapid development of information technology， it is convenient for people to pay as a new payment method， but the information security problem still needs to be paid attention to. In this paper， the meaning of online payment is briefly discussed， focusing on the problem of the Internet payment， and put forward some suggestions.

【 Keywords 】 network account payment； information security； problem； countermeasure 1 引言

网络支付在电子商务中占据着至关重要的位置，其以方便、快捷和高效、经济的特点迅速获得了大众的认可。用户只需要一台上网的PC机，即使不出门，也能快速的进行支付。但是网络支付有利也有弊，虽然其为我们的生活带来了便利，但是一些安全隐患也同时存在。 2 什么是网络支付

所谓的网络账户支付主要就是一种支付货币，转移资金的行为，主体可以是单位，也可以是个人，利用通用终端，通过公共网络以网络应用协议规定的格式将支付的指令发布出去。它们包括固定电话、移动电话、计算机在内的非金融专用终端设备均属于网络支付的终端；而以互联网、移动通信网为主的有线与无线传输网络则发挥着公共网络的角色，其主体是各类通用的数据业务，但同时也是支付通道；而应用协议则是WAP、SMS等。

龙源期刊网 http://www.qikan.com.cn

网络支付属于电子支付。公共网络与通用终端在网络支付中占据着核心位置，若货币支付和资金转移是利用专用终端，通过专用网络完成的则不属于网络支付。比如利用ATM之类的专用终端，以银行专用网络为媒介完成转账支付，就不包含在网络账户的范畴之内。但是若客户利用计算机、移动电话等通用终端发出指令，通过互联网等公共网络进行传输，进而支付货币，转移资金属于网络支付范畴。

3 网络账户支付的信息安全问题及其对策 3.1 个人用户密码设置问题及解决策略

个人用户在保护账户安全时，大部分采取的都是设置密码的形式。但是由于设置的密码过于简单，或者长时间不更换，给账户的信息安全带来威胁。为此，在设置密码时，除了常用的数字字母结合方式外，许多字符也可用作密码。现在，一些密码字典生成器、彩虹表所能支持的字符类型较少，若我们能加入一些在密码中，那样就会降低密码被破解的机率。比如1337语言，即用数字和或特殊符号代替拉丁字母，比如用3表示E、A写成@；或是将单字写成同音的字母或数字，比如2就用to表示，4就以for表示等。 3.2 “钓鱼网站”的问题及解决策略

所谓的“钓鱼网站”就是不法分子利用网站，将用户的账户资金进行转移，其与真实的网站具有很高的相似度，有些甚至与原网站一模一样。这些不法分子大多都是利用用户缺乏操作经验将用户资金转移。

例如，黄某在百度上搜索出一个南方航空公司的订票网站，作为一个经常使用网站查询航班信息，进行订票的网民，其并无发现有何异常，于是订了一张机票，并按照客户人员的要求输入身份信息，并将996元汇至对方账户。在转账成功后，对方却告知黄某需要进行“机票签约激活”手续，并提供了一个QQ号进行联系。之后发生的事我们不难想象，黄某一步一步落入了犯罪分子的圈套，等他反映过来其银行卡内余额已被转出。

从上述案例中我们可以看出，黄某是掉进了“钓鱼网站”的圈套，根据这一事例，我们应谨防“钓鱼网站”。具体可以从两方面进行防护。一是URL数据库。现在大多数钓鱼网站都有其特定的URL地址，因此我们可建立钓鱼网站的URL数据库再对其防护，我们可对比所要访问的网站和建立的数据库，看能否继续访问，当然这一方法需建立在样本足够多的情况下，更新次数也较为频繁。二是中间防护。现目前，IPS设备基本都具备防护钓鱼网站的功能。在防护拦截时可利用URL地址数据库对比查找的方式进行拦截，同时也能在识别钓鱼网站时运用漏洞检测技术。比如IPS就可以用以过滤www.3gqqcn.com和www.ganjil.com等几种钓鱼网站的URL。这种方法不但具有较高的效率，而且维护起来也十分简便。 3.3 个人用户的误操作及解决策略

龙源期刊网 http://www.qikan.com.cn

电子商务的普遍运用，使得不同年龄段与不同教育层次的人群加入互联网之中，但是因为刚刚接触，在操作一些业务上还不够熟练，特别是一些中年人电脑知识更是匮乏，大多数都是根据经验操作，不能正确的分辨发生的异常时间，或者粗心大意导致发生误操作。因此，在利用互联网进行交易活动时，事先就要对相关的知识进行了解，熟悉操作流程与支付原理。若流程发生异常，要立即停止交易，坚决不要冒险，更加不要在好奇心的驱使下进行一些不明操作，防止误操作与重复交易。

3.4 网站服务企业对个人账户资金安全的问题及解决策略

网站服务企业负责储存网名账号，不论是网银账号还是第三方支付账号，均由银行和第三方支付企业的网站服务器对其进行储存，因此若网站服务公司采取的安全保护措施失效，就会造成数据的泄漏，给用户带来不可估量的损失。那么企业该如何保护用户的账户信息安全呢？首先可采用数据加密技术。数据加密作为一种新型保障安全的形势，安全性与可靠性较高，对于数据信息完整性要求其基本能满足，可有效保障用户的账户信息安全。所谓的数据加密技术就是利用科学的加密计算，以密文的形式代替明文，为非法用户制造掌握原始数据的障碍，从而使信息的安全保密性得到增强。其次是利用数字签名技术。数字签名技术是发送者通过私钥对摘要进行加密处理，并连同原文一起传给接受者，而接受者只有通过公钥才可解密，这就增强了用户的账户信息安全。 4 结束语

现目前，若要提高金融运行效率离不开网络支付，而要将网络支付推广出去重点要做的就是保障安全。因此，当前摆在我们面前的首要任务便是自主研发与我国国情相符的网络支付安全标准，研制安全支付服务以及相关的应用管理设备，使我国的金融信息安全得到切实的保障。 参考文献

[1] 唐芳仙.网络环境下个人账户资金安全问题的研究[J].学术前沿，2013（49）：257-259. [2] 于浩.网络支付存在的安全问题及解决对策研究[J].产业与科技论坛，2011（09）：45. 作者简介：

陈韵（1995-），男，汉族，河南开封人，毕业于河南大学计算机与信息工程学院，计算机科学与技术专业，在读生；主要研究方向和关注领域：信息安全。