第三方支付系统信息安全风险评估研究,金融学论文

第三方支付系统信息安全风险评估研究,金融学论文第三方支付行业在最近几年迎来了快速发展，十分是2018年对于我们国家的第三方支付行业来讲是具有里程碑意义的一年，央行在2018年开场颁发非金融机构支付业务许可证，支付许可证的颁发反映出国家开场从制度政策层面规范第三方支付行业的发展，同时也对第三方支付行业的安全性提出了要求。因而，怎样从信息系统安全角度对众多第三方支付工具进行全面的评价，这将对网上支付以及网络购物的发展具有特别重要的现实意义。当下国内外第三方支付行业的发展存在宏大差异，国外专门针对第三方支付安全的研究较少，而国内也只是部分学者在进行研究时内容会牵涉到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险辨别，以为第三方支付系统存在几种风险，分别是外部风险、组织风险、项目管理风险、技术管理风险，并对风险来源进行了细化，但该研究并未深切进入对第三方支付系统的安全风险进行有效评价。以上研究对第三方支付市场存在的风险进行了一定的分析，但上述研究仍存在着一定的缺乏，主要具体表现出在相关研究并未从信息安全的角度深切进入分析第三方支付平台本身支付业务流程所可能存在的脆弱性以及防备重点，也没有对第三方支付进行流程再造提出相关建议，因而对于第三方支付安全事件的发生无法起到本质性的遏制，本文将从信息安全风险评估的角度对第三方支付系统进行深切进入研究。下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析，运用威胁树方式方法学，构建针对第三方支付的威胁树分析模型，并基于德尔菲法选择当下主流第三方支付平台进行信息安全评估，进而为用户从安全视角对第三方支付平台进行选择提供参考根据。2威胁树模型2.1威胁树定义及基本构造威胁树模型从BruceSchneire在2000年提出的攻击树建模方式方法演化而来，广泛用于信息系统的安全评价中，威胁树的定义如下：令T={G,E,Q}，华而不实G代表结点，E代表结点间的通路，Q代表影响系统功能的一个通路，安全威胁由于攻击途径所造成的威胁由不同层次和不同关系构成，可分为两种，即并联关系和串联关系。并联关系，即攻击者攻破子树的任一环节，即可到达攻击目的。而串联关系，攻击者必须攻破子树的所有环节才能到达攻击目的，如此图1所示。【1】2.2威胁树的修剪一个威胁的实现需要威胁代理即攻击者具有一定级别的能力。攻击者取决于以下因素：攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入，数据来源能够是调研数据，历史事件资料以及方式方法评估获取，非叶子结点通过指标函数获取，根据并联关系和串联关系的不同而不同。能够根据结点某一指标作为阈值对威胁树进行修剪，剪去所有超过或低于某一阈值的途径，修剪过的树的集合(能够以为是图形的覆盖图)代表着所有威胁代理可能使用的可行的威胁完全集，从攻击的角度来讲是一个可行的攻击集，也就是最小威胁树。从预防的角度讲，是采取安全策略时应重点考虑的。3威胁树模型3.1基于威胁树的第三方支付系统信息安全评价模型构建通过第三方支付业务流程以及对收集到的大量安全事件的定性分析，第三方支付系统信息安全事件的典型特征有几点：1〕第三方支付系统面临的最大风险是账户操作经过中的可支付余额；2〕第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、促销信息、升级提醒等手段被盗取；3〕某些木马病毒如支付宝大盗、浮云木马病毒，在支付环节通过篡改支付协议交换经过中的付款账户和金额等方式实现更具隐蔽性盗取；4〕部分案例显示数字证书能够通过一定手段绕过进而盗取用户资金，此环节可能存在重大安全隐患。因而，根据威胁树方式方法学，可得到下面第三方支付的威胁树分析模型。3.2第三方支付系统威胁树的修剪根据威胁树方式方法学，能够通过某种指标比方攻击成本、攻击能力、成功概率等对威胁树进行修剪，本文拟采取德尔菲法的形式，邀请相关业内专家针对威胁代理攻击系统的可能性进行打分，进而对第三方支付系统的威胁树进行修剪，详细施行将在下文讨论。4第三方支付系统信息安全风险评估的施行根据易观国际发布的最新数据显示，本文拟选取两个典型的第三方支付工具，支付宝和快钱进行比照分析。本文采取三轮专家打分法进行。打分以概率的形式表示高技术水平的骇客或犯罪份子施行毁坏并到达目的的可能性。【2】通过算术平均法，对第三轮专家打分进行计算，并以概率小于0.1(10%)对威胁树进行修剪，进而得到下面各第三方支付工具的最小威胁树集。如此图5、图6所示。5第三方支付平台的风险管理结合上述两个详细的第三方支付工具的最小威胁树，提出若干风险管理建议。第一，加强用户操作的主体性认证，增加实时性主体认证手段，如手机短信，动态口令等手段。十分改变账户操作仅依靠密码进行的流程，进而加强安全性；当前一些主流的第三方支付工具，仅在安装数字证书，快速支付等情况下才使用手机验证码，因而建议在转账、更换手机、提现等操作关键操作时，额外增加实时身份验证手段。第二，针对数字证书用户，应加强对数字证书申请、取消环节的管理，进行必要的身份认证；并且建议增加对账户登录、异地操作的实时提醒，以提高账户的安全性，而此种服务当前多数第三方支付工具尚未提供。第三，加强对用户的教育，提醒用户辨别常用的诈骗手段，如此图5中所示的防冒客服以及短信升级等手段。6结束语本文运用威胁树分析模型对第三方支付系统的安全性进行了全面评估，并选择当下主流的第三方支付平台进行的评估施行，并基于评估提出了针对性的安全建议和对策，进而为用户辨别和选择第三方支付工具提供了一定的参考根据。本文的数据采用德尔菲法获取，该方式方法存在着一定的主观性，是将来研究应当着力改良的地方。以下为参考文献[1]中国互联网络研究中心.中国网络支付安全状况报告[Z].北京,2020.[2]金山网络公司.2018-2020中国互联网安全研究报告[Z].[3]中国人民银行.(支付机构互联网支付业务管理办法〕征求意见稿[R]，2020.[4]赵德志.第三方支付公司的发展与风险研究[D