干支付三年，接触最多的还是网络支付，也接触了些传统支付项目，在现在支付安全性上系统还是做了很多的保障的，这里也是对照思考一下。

网络支付因涉及到最敏感的资金流动，所以是最需要保证安全的，也是最容易出现安全问题的地方。信用卡密码被盗，支付金额篡改，收款抵赖等等。

1、支付系统不稳定 网络故障，操作错误，代码有问题等导致系统不能正常工作。因此要保证交易数据在明确的时间地点是有效地的。

2、支付信息被截获 支付信息往往带有客户的敏感信息（账号、密码等），或者是商业机密，或者是业务流量的分析。所以要保证对应敏感信息不可对外泄露。手机银行或者网银输入卡号和密码，被截获后就想怎么刷钱就怎么刷钱了。还有伪造银行卡的事情。

3、支付信息被篡改 支付信息的一致性和完整性是支付交易成立的基础。信息篡改多为欺诈行为，或者在数据传输过程中的丢失，或者是信息重复发送。所以需要防止数据在传输中丢失和重复，保证数据在传输过程中的完整性和一致性。

4、支付信息被伪造 网络支付也需要确认支付指令的来源，信息假冒，冒充他人身份，发送假冒信息。无法有效验证收款方身份，支付方不知道商家到底是谁，被贴上个二维码覆盖了很可能就不知道，还是继续扫码支付；同样商家也不知道资金什么时候会入账，网络支付工具是否真实。

5、支付交易的抵赖 否认交易行为，比如碰到过很多老头的卡里的钱被小孩拿去买王者荣耀的皮肤了，然而他自己却不知道，就会来投诉银行，否认发生的购买行为。所以支付系统还必须要有审查能力，可以查到交易路径、渠道、以及关键交易信息

1、保证支付信息数据的保密性（加密等） 2、保证支付信息数据的完整性，一致性（数字指纹等） 3、保证资金结算双方身份认定（CA 数字证书） 4、保证交易行为的不可抵赖性（数字签名、数字时间戳） 5、保证支付系统的稳定、可靠、时效性（网络专线、灾备、防火墙） 6、良好的支付管理办法、行为规范、立法

可靠性： 电子商务系统的可靠性是指为防止计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒与自然灾害等所产生的潜在威胁，通过控制与预防等来确保系统安全可靠。电子商务系统的可靠性是保证数据传输与存储、进行电子商务完整性检查的基础。系统的可靠性可以通过各种网络安全技术来实现。

真实性： 交易的真实性是指商务活动中交易者身份的真实性，也就是要确定交易双方是真实存在的。身份认证通常采用电子签名、数字证书等技术来实现。

机密性： 信息的机密性是指交易过程中必须保证信息不会泄露给非授权的人或实体。电子商务的交易信息直接代表着个人、企业的商业机密。个人的信用卡号和密码在网上传送时如被他人截获，就可能被盗用;企业的订货和付款信息如被竞争对手获悉，该企业就可能贻误商机。信息机密性的保护一般通过数据加密技术来实现。

完整性： 信息的完整性是指数据在传输或存储过程中不会受到非法修改、删除或重放，以确保信息的顺序完整性和内容完整性。数据完整性的保护通过安全散列(如数字摘要)与电子签名技术来实现

不可抵赖性： 交易的不可抵赖性是指保证发送方不能否认自己发送了信息，同时接收方也不能否认自己接收到信息。交易的不可抵赖性通过电子签名技术来实现。

目的 为了保障机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏;能够有序地、经常地鉴别和测试安全状态;能够对可能的风险有一个基本评估系统的安全被破坏后的恢复措施和手段以及所需的代价

原则： 1.预防为主 2.根据网络支付结算的安全需求和目标制定安全策略; 3.根据掌握的实际信息进行分析:了解实际与安全有关的各种信息。

策略主要包括内容有以下四个方面：

各个机构需要根据自己的身份、任务、性质定义自己需要保护的资源。参与支付的机构不一样，保护的方面就不一样。 比如：网络支付的主要参与方有支付机构、银行、清算中心，他们需要保护的内容： 支付机构：客户在机构的账户等 银行：银行客户信息，客户在银行的账号、密码等信息，客户四要素身份信息

对每一种网络支付方式进行风险分析，网络支付工具使用安全与使用便利、快捷之间的辩证关系。没有绝对安全的手段，风险意味着损失程度。防护程度也意味着代价，经济成本、支付方式、支付便利程度。 比如：中国银行手机银行上每次转账都要短信验证，而支付宝只需要验证指纹就可以了。那当然支付的时候更愿意使用便捷的支付宝了。

人行下发的各种安全机制规范，做网络支付系统的肯定是要完全按照规范来处理的，按这些规定不但可以有效满足系统安全需求，也可以减少不必要的经济损失。

结合所做支付系统来看，主要有以下一些：