支付机构业务设施技术水平分析

　　本文为第三方支付技术与监督，其中一章节，如需查看全文，请点击：《第三方支付技术与监督》全文

　　1.支付业务设施成熟度分析

　　(1)开发所采用的技术成熟

　　多数支付设施依赖于开源技术或项目，例如J2EE、MySQL、RedHat开源项目等,技术实现方式已经在业界广泛采用,技术成熟度较高。然而由于各支付机构技术实力差别大,对开源产品的质量把控上也存在较大差别,安全隐患问题也不能一概而论,总的来说，支付机构规模越大,实力越雄厚,支付设施建设越成熟，规模较小的支付机构单纯依靠自身的技术水平很难达到规模较大支付机构同样的水平。

　　(2)设备选用

　　从事支付业务的非金融机构,在支付设施建设中主流设备依赖于国外系统设备提供商，如HP、IBM、DELL、Sun、Cisco等;而专用安全设备包括防火墙、IDS/IPS.加密机等，国内产品占主流,如天融信、绿盟、启明星辰、无锡所、30所等的产品在支付机构的系统部署中都比较常见。

　　国外系统设备在金融行业已经使用多年,设备品牌的性能和可靠性都有一定市场口碑。安全产品国内品牌的选用,是国家对支付机构在信息安全方面的引导,以及支付机构的安全意识不断提升相关的。在国家政策的引导下,信息安全自主可控的目标在支付机构系统设计、建设和运维中达成各方共识。

　　安全设备选用上需要额外说明的情况是,存在将具有部分安全功能的网络设备兼做安全设备使用的情况，例如有部分支付机构简单地将路由策略替代访问控制策略无法达到必需的安全强度,安全设备只有经过国家认证获取安全产品销售许可证的设备才能当作安全产品使用,此外安全审计上专用安全审计工具还没有普遍使用，集中审计要求方面还有更多的工作要做。

　　(3)前沿或前瞻性技术总体投入不均衡

　　支付机构对前沿或前瞻性的支付技术研究,主要还是与支付机构的规模和实力有关。

　　通常前沿或前瞻性技术的研究都由少数“寡头机构”承担,多数支付机构缺乏实力,也缺乏资源进行相关投入。

　　支付领域的市场充满着竞争,创新是支付机构发展的基础和动力,少数“寡头机构”对前沿技术或前瞻性技术投入了很大资源,创新的业务模式、新的技术手段层出不穷,但这样的创新更多地投人在业务实现和服务提供方面,支付机构更多地关注于便捷、低廉的支付方式,而往往忽略支付安全的需求，例如虚拟信用卡、二维码支付等业务服务快速部署了,但却没有很好地进行论证和验证。便捷和低廉是不能以安全为代价的,否则创新成为隐患之源。只有均衡地进行前沿和前瞻性的技术研究,从理论到安全实践的充分研究,创新技术才可能成为最终的市场推动力。

　　2.支付机构业务设施规模及业务规模

　　目前,我国非金融机构从事支付业务服务的机构正在逐渐形成少数占有绝对优势资源的“寡头级支付机构”,倚仗所取得的技术和市场优势,建立的支付设施规模庞大、设施完备、技术先进、各类人员齐整,技术上依赖创新,市场上积极进取,业务规模和服务范围不断扩大,成为市场上的“寡头巨人”。

　　而其他中小规模的支付机构，只能依赖在一定的地域、特定领域的支付形式，形成地域或领域内的竞争优势,建立规模适中、服务相对比较单- -的支付设施,在技术和服务市场上期望在地域或领域内具有竞争优势。

　　3.支付设施新技术应用情况

　　各家支付机构在支付设施的建设中根据自身的实力和市场的需求，都在积极采用当前业界不断成熟的新技术,从金融芯片卡的应用到移动技术的创新,新技术在支付领域得到了快速的发展,在非金融机构从事的支付业务发展中新技术的应用还是有自身行业的特点。

　　(1)芯片卡应用有待推广

　　芯片卡又称IC卡,是指以芯片作为交易介质的卡。芯片卡不仅支持借贷记、电子现金、电子钱包、脱机支付、快速支付等多项金融应用,还可以应用于金融、交通、通信、商业、教育、医疗、社保和旅游娱乐等多个行业领域,真正实现一卡多能,为客户提供更丰富的增值服务。

　　2014年5月14日,央行印发《关于逐步关闭金融IC卡降级交易有关事项的通知》，决定在全国范围内统一部署逐步关闭金融IC卡降级交易工作,以全面提升银行卡安全交易水平,并制定了时间表:2014年8月底前全国ATM关闭金融IC卡降级交易;2014年10月底前全国POS终端关闭金融IC卡降级交易。银行卡收单机构必然会主动要求部署的受理终端符合受理IC的相关要求,非金融机构支付领域芯片卡也是大势所趋。

　　作为传统磁条卡的升级替代品,芯片卡具有两个明显优势:一是容量大,可以承载持卡人的个人信息。持卡人的存储密钥、数字证书.指纹等信息都可以写进芯片中;二是安全性大大提升,要读取或写人芯片信息都会受到密钥的保护,不易被破译，能够有效地防止卡数据被复制及制成假卡。

　　降级交易关闭之后,央行不断深人推进金融IC卡推广工作,各商业银行加大了金融IC卡及多应用推广力度,金融IC卡及多应用推广的基础环境已形成,并取得了一定成绩。但是总体来看，金融IC卡及多应用推广仍受限制。

　　电子现金功能使用率低,基于电子现金功能的应用偏少。主要原因有三个:一是对项目主体单位缺乏吸引力;二是与银行利益不符;三是作为准公益事业,基于电子现金功能的应用缺乏政府支持,影响金融IC卡多应用推进有序开展。

　　单单依靠金融系统自身力量推进金融IC卡多应用工作具有--定的局限性,难以调动社会各职能部门的积极性,统--各部门利益,为金融IC卡多应用工作铺平道路。

　　(2)移动支付线上线下融合

　　各机构积极部署从近年来国内外支付领域的新模式和新技术应用来看,创新支付方式百花齐放,集中围绕020。移动远程支付由于技术实现方式简单，系统部署成本相对较低,用户接纳认可度高,所以业务快速推广。近场支付由于其部署成本比较高,安全单元的市场成本还无法很快解决,但是作为更安全、更便捷的支付技术实现方式,未来的市场前景可观。

　　移动互联网技术的飞速发展带动了移动支付的技术创新,而用户对于支付便捷性的需求也在催生新的支付方式的产生。用户体验将是决定新兴技术未来发展的重要因素。

　　移动支付有效地突破了网上支付使用场景的限制,实现了从线上到线下的协同发展。而移动支付方式创新的推动因素主要有:首先,3G、WiFi、NFC及RFID等通信技术的逐渐成熟，以及以智能手机为代表的移动终端的迅速普及,使得相关技术在移动支付领域的应用更加广泛,支付流程更加顺畅和便捷;其次,随着用户消费欲望及消费水平的提高，对于支付形式多样化、便捷化的需求正在迅速提升;最后，移动支付与移动营销的结合为商户提供了更加便捷和安全的支付方式及信息推送服务,极大地丰富了支付企业的盈利模式。

　　4.支付设施安全技术应用情况

　　非金融机构所从事的支付服务领域,由于支付服务涉及资金安全这样的特殊风险,以及行业监管的要求,在非金融机构检测认证工作的促进下，支付设施在设计和建设过程中都普遍采用业内比较成熟的安全技术手段,对于某些实力比较高的支付机构,甚至根据业务的实际情况采用了具有独自特点的安全解决方案。由于安全方案涉及各家的商业秘密和系统安全,本书仅从对支付机构在认证审查中了解的通用安全技术应用状况进行简单介绍。

　　总体来说，各支付机构的支付设施普遍都采用了传统的信息安全的技术措施,例如在支付设施的网络边界上,防火墙、人侵检测系统、反病毒网关等广泛应用;数据库、系统服务器也进行了安全加固与反病毒、反恶意软件、反木马等的防范;而基于密码算法实现的通信加密和存储加密也参照标准在支付设施中做了实施;为保证可用性冗余和备份措施也广泛部署。尽管如此,这些安全手段在部分支付机构的实际应用中通常还是存在一些问题的,例如边界防护简单依赖安全设备,安全策略缺乏维护,缺少防御纵深的设计;对非法的内接外连缺少监察和处置手段;通过公网提供的服务缺少有效的安全保护和足够强壮的验证机制(如双因子认证)等。

　　信息安全技术应用中比较突出的问题是数字签名技术的应用。由于数字签名技术涉及第三方数字证书服务的使用、自建CA系统等,数字证书及其密钥在管理和应用中都涉及较大的投人,因此数字签名在支付设施中的应用,往往是规模较大的支付机构的系统应用相对比较理想。

　　总之,支付设施意味着它较普通信息系统面临的威胁更多、风险更大,系统的信息安全防护需要做到整体的均衡防护,任何短板都可能造成安全防护体系的崩溃。