论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　1引言

　　第三方支付行业在近几年迎来了快速发展，特别是2011年对于我国的第三方支付行业来说是具有里程碑意义的一年，央行在2011年开始颁发非金融机构支付业务许可证，支付许可证的颁发反映出国家开始从制度政策层面规范第三方支付行业的发展，同时也对第三方支付行业的安全性提出了要求。因此，如何从信息系统安全角度对诸多第三方支付工具进行全面的评价，这将对网上支付以及网络购物的发展具有十分重要的现实意义。

　　当前国内外第三方支付行业的发展存在巨大差异，国外专门针对第三方支付安全的研究较少，而国内也只是部分学者在进行研究时内容会涉及到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险识别，认为第三方支付系统存在几种风险，分别是外部风险、组织风险、项目管理风险、技术管理风险，并对风险来源进行了细化，但该研究并未深入对第三方支付系统的安全风险进行有效评价。

　　以上研究对第三方支付市场存在的风险进行了一定的分析，但上述研究仍存在着一定的不足，主要体现在相关研究并未从信息安全的角度深入剖析第三方支付平台自身支付业务流程所可能存在的脆弱性以及防范重点，也没有对第三方支付进行流程再造提出相关建议，因此对于第三方支付安全事件的发生无法起到实质性的遏制，本文将从信息安全风险评估的角度对第三方支付系统进行深入研究。

　　下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析，运用威胁树方法学，构建针对第三方支付的威胁树分析模型，并基于德尔菲法选择当前主流第三方支付平台进行信息安全评估，从而为用户从安全视角对第三方支付平台进行选择提供参考依据。

　　2威胁树模型

　　2.1威胁树定义及基本结构

　　2.2威胁树的修剪

　　一个威胁的实现需要威胁代理即攻击者具有一定级别的能力。攻击者取决于下列因素：攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入，数据来源可以是调研数据，历史事件资料以及方法评估获取，非叶子结点通过指标函数获取，根据并联关系和串联关系的不同而不同。论文发表可以根据结点某一指标作为阈值对威胁树进行修剪，“剪去”所有超过或低于某一阈值的路径，修剪过的树的集合（可以认为是图形的覆盖图）代表着所有威胁代理可能使用的可行的威胁完全集，从攻击的角度来讲是一个可行的攻击集，也就是最小威胁树。从预防的角度讲，是采取安全策略时应重点考虑的。

　　3威胁树模型

　　3.1基于威胁树的第三方支付系统信息安全评价模型构建

　　通过第三方支付业务流程以及对收集到的大量安全事件的定性分析，第三方支付系统信息安全事件的典型特征有几点：

　　1）第三方支付系统面临的最大风险是账户操作过程中的可支付余额；

　　2）第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、促销信息、升级提醒等手段被盗取；

　　3）某些木马病毒如支付宝大盗、浮云木马病毒，在支付环节通过篡改支付协议交换过程中的付款账户和金额等方式实现更具隐蔽性盗取；

　　4）部分案例显示数字证书可以通过一定手段绕过从而盗取用户资金，此环节可能存在重大安全隐患。

　　因此，根据威胁树方法学，可得到以下第三方支付的威胁树分析模型。

　　a）第三方支付系统威胁树的修剪

　　根据威胁树方法学，可以通过某种指标比如攻击成本、攻击能力、成功概率等对威胁树进行修剪，本文拟采取德尔菲法的形式，邀请相关业内专家针对威胁代理攻击系统的可能性进行打分，从而对第三方支付系统的威胁树进行修剪，具体实施将在下文讨论。