透过“棱镜门”反思国内移动支付安全建设

透过“棱镜门”反思国内移动支付安全建设近日，美国一项代号为“棱镜”的机密计划逐步浮出水面，一时间，信息安全成为大众关注的焦点。棱镜像一面镜子，折射出了我国在信息安全防护方面的薄弱环节。基于当前的信息安全发展形势，笔者认为我国的移动支付业务在加快发展的同时，必须高度重视安全问题，安全管理是移动支付业务发展的前提与保障。一、我国移动支付业务的发展现状移动支付系统是依托移动终端设备、通信网络和后台处理系统共同组成完整的支付软件系统。移动支付系统按照技术特点来分主要有以下4类：基于SMS的系统、基于WAP的系统、基于I-mode的系统和基于J2ME的系统。其中终端设备中移动支付软件部署的位置分布包括：SIM卡中、手机定制软件、手机操作系统上的应用软件、手机浏览器扩展插件等。根据艾瑞咨询统计数据显示，2013年一季度，中国移动互联网市场规模为204.2亿元，同比增长75.4%，环比增长10.4%。目前各大传统互联网企业在移动端都进行了基本布局，其他的传统互联网企业也在移动端各个领域进行积极尝试，争夺移动端的船票，试图延续其在PC端的竞争优势。而随着移动互联网的迅猛发展，用户群体也不断呈上升趋势。IDC数据显示，2013年中国互联网用户数将达到6.11亿，同时，移动互联网用户数达到4.61亿，这标志着移动终端将超过PC成为用户访问互联网时使用最多的终端，也说明当前移动互联时代的信息安全相比传统PC互联网的信息安全更加受人关注，所遭遇的信息安全问题与挑战也比传统互联网更多更为突出。二、移动支付业务存在的安全问题移动支付安全问题主要包括终端安全、通信安全和程序自身安全三个方面：（一）移动支付终端安全事件频发目前，Android系统正式取代Symbian成为恶意软件的第一大操作系统目标这一转折点后，全球手机安全形势继续恶化，在2013年尤为明显，恶意软件在全球影响的范围更大，而且恶意软件的设计和伪装、钓鱼诈骗等新型传播手法均有显著进步。CNNIC(中国互联网络信息中心)调查显示，60.9%的网上支付用户认为电脑支付比手机支付更安全。在不愿使用手机在线支付的用户给出的原因中，前三项分别为：“感觉不安全”、“觉得太麻烦，不愿尝试中”和“网速太慢”，占比分别为38.2%、27.9%和27.7%。监测平台在2012年共发现了超过65227个新型恶意软件，与2011年相比增长了263%。Android操作系统依然为恶意软件的主要发作平台，Android系统智能手机感染数量占2012全年智能手机感染数量的94.8%，据统计，2012年共有超过3200万台智能手机被恶意软件感染，与2011年的1080万部智能手机相比增长超过200%。与此相比，Symbian系统被恶意软件感染智能手机仅占4%。（二）通信安全成为移动网络的软肋窃取用户个人隐私成为恶意软件的主要目标，目前发现的手机恶意软件中，有28%的恶意软件会盗取手机用户的隐私信息，并使黑客从中牟利。另外有7%的恶意软件会使得用户的手机“瘫痪”，无法正常使用。欺诈短信、恶意链接和伪装应用为恶意软件传播的三种主要途径。欺诈短信是黑客窃取用户个人隐私信息的最有效和获利最多的方法之一。许多新型手机恶意软件，其共同特征为会在暗中窃取用户的通讯录、手机号码等个人信息上传至黑客服务器。另外，公共Wi-Fi也正在成为信息泄露的重灾区。黑客往往会搭建一个假的免费公共Wi-Fi供用户使用，当用户在这个“黑网”内进行网络交易或输入隐私信息时，黑客便可轻易截获所有数据。（三）支付应用软件自身安全性不高程序代码被静态或动态篡改、中间数据被篡改或盗取，特别重要的是程序输入输出接口的——密码输入控件、驱动的安全性保障。智能手机、平板电脑等移动设备为网络信息传递带来便捷的同时，也面临着许多信息安全风险。一些恶意App以提供免费下载为诱饵，一旦安装，恶意App就通过事先设定好的命令，将用户移动设备中的个人隐私信息发送出去，导致信息泄露。普通手机通常没有加密技术，在支付过程中往往会造成信息泄露，这已成为移动支付发展的一大难题。用户在使用手机进行支付时，未进行加密等安全措施保护，而黑客们通过钓鱼网站或木马程序就可以窃取用户信息，将被移动支付功能进行非法复制，从而造成用户的损失。（四）移动终端用户安全意识淡薄《2012年中国网络支付安全状况报告》显示，有47.2%的用户对网上支付安全问题表示非常不关注或较不关注。此外，有57.6%的用户表示不知道保障网上支付安全的办法)等。CNNIC分析师介绍，在不提示的情况下，网上支付用户了解最多的安全保障方式是电脑杀毒和防火墙，仅占30.8%;此外，知道使用动态密码、动态口令卡等安全保障方式的用户均不超过三成。(五)移动支付适用的法律仍不完善移动支付是比较新的行业，法律法规相对较少，虽然目前已经颁布了《电子签名法》、《国务院办公厅关于加快电子商务发展的若干意见》等，但这些条款仍无法较为全面地覆盖移动支付的各个层面，面对电子支付的快速发展还需要更全面的法律条款来约束交易行为，还需要在责任、权利、义务、赔偿、罚款以及信用机制方面细化法律法规。三、构建安全的移动支付体系（一）使用具有完全自主知识产权的安全产品使用国外的产品及系统，安全漏洞和隐患是不可避免的，要想彻底摆脱受制于人、被监听窃密的困局，必须建立起自主可控的信息安全体系，软件国产化无疑是必经之路。只有国内移动互联网服务商更多的使用国产的设备，移动支付体系才能真正全面完整有效地抵御境内外敌对黑客势力的渗透、入侵。设计使用身份管理服务，包括标识密码算法和实现，用实现以用户为中心的标识管理机制、用户的身份识别技术、面向服务的授权和访问控制技术、网络化操作系统代码可信分发技术。（二）多措并举，实现移动支付安全1、通过前置机的安全控件为用户提供信用卡号码、PIN码等关键数据的安全输入控件。在前置机中，用户的输入容易遭到木马、键盘记录器等恶意软件的安全威胁，安全输入控件结合保护操作系统输入事件钩子、通过驱动级程序直接访问键盘鼠标输入、软键盘技术等多项系统级安全机制，抵御来自恶意软件的威胁。2、数字签名技术是保证移动支付安全的重要技术之一。在移动支付系统中，交易双方常常需要对自己出示的信息进行数字签名，以实现对该信息的可鉴别性和不可抵赖性。采用数字签名技术之后，在交易过程中，接收者可以确认所接受数据内容的完整性，并能够鉴别出该数据是否被人伪造或破坏。3、身份认证技术能确保消息的接收者能够确认消息的来源，使通信双方能够确定通信对方的真实身份。在移动支付系统中，为了确保支付活动的安全高效进行，还需要使用单向散列函数，消息最新保证机制等加密技术。4、研制适用于手机的安全令牌技术也是十分重要的。国内已有实验室成功研制出以手机的耳机接口通信的手机安全U盾，解决了更大范围不同类型手机统一适用的问题。基于硬件U盾的解决方案将进一步增强软件系统的安全性。（三）增强网络安全意识，采取多种措施防止个人私密信息外泄在安全问题上，加强支付者对身份验证或使用密码钥匙的常规了解，通过实施防火墙技术、加密技术、认证技术、防病毒软件即时升级来保障交易安全，同时对专业提供网上支付服务和第三方平台作用的企业也应有足够的认知。在产品问题上，当权益受到侵害后，立即向侵权者提示并警告，向法律专家进行咨询，也可以向有关部门及时投诉。如果涉嫌诈骗，及时报案，以保障自身和其他消费者的合法权益。（四）健全移动支付法律保障体系移动支付的持续发展必须有健全的法律保障体系和服务支持体系。相关监管部门要制定有关数字化、货币发行、支付与管理制度以及移动支付业务结算、电子设备使用等标准。此外，对于消费者的权益保护也需要纳入监管部门的管理工作中。为保证移动支付用户支付过程的安全通畅，监管部门必须加强对商业银行支付系统的监管力度，制定管理细则，确保支付系统提供交易安全和真实、可靠的支付交易信息，明确界定移动支付各参与者的职责、权利和义务，明确法律判决的依据。作者：中国人民银行克拉玛依市中心支行科技科刘阳地址：新疆克拉玛依市迎宾路50号邮编：834000联系电话：0990-624346218999510365