隨著爭議多年的移動支付標(biāo)準(zhǔn)問題塵埃落定,安全問題對行業(yè)發(fā)展的阻礙日益突出,引起了從芯片、終端到商業(yè)銀行、支付企業(yè)和安全廠商在內(nèi)整個產(chǎn)業(yè)鏈的廣泛關(guān)注。
金山安全公司技術(shù)總監(jiān)、助理總裁林凱在接受《中國企業(yè)報》記者采訪時表示,目前移動支付的安全防控主要是身份認(rèn)證和通訊加密,支付環(huán)境的安全防范比較薄弱,傳統(tǒng)的黑名單方式也難以跟上急劇增長的病毒增長,對于潛在的高級持續(xù)性攻擊(IPT)更是大打折扣,解決這些問題需要包括支付企業(yè)、安全廠商在內(nèi)整個產(chǎn)業(yè)鏈的共同努力和通力合作。
移動支付安全問題亟待解決
根據(jù)艾瑞咨詢的統(tǒng)計數(shù)據(jù),2012年,中國移動支付市場交易規(guī)模達1511.4億元,同比增長高達89.2%。未來幾年,這一領(lǐng)域仍將保持40%左右的年增長率。
中國支付網(wǎng)主編劉剛認(rèn)為,隨著標(biāo)準(zhǔn)問題爭議結(jié)束,下一階段影響移動支付商用發(fā)展的因素還有很多,日益突出的移動支付的安全問題是迫在眉睫的問題。近期的調(diào)查結(jié)果顯示,93%的消費者表示,支付是否安全是影響其考慮使用移動支付服務(wù)的重要因素。
財付通上述人士認(rèn)為,隨著智能手機以及移動支付的普及,越來越多的手機病毒將會涌現(xiàn)出來,用戶的財產(chǎn)、隱私都將受到威脅。有案例表明,招商銀行、建設(shè)銀行、浦發(fā)銀行等多款銀行類應(yīng)用都曾遭遇惡意木馬篡改。
與傳統(tǒng)的針對大眾用戶的木馬等病毒相比,林凱認(rèn)為,新興的高級持續(xù)定向攻擊是移動支付更大的潛在威脅。這是一種更具針對性的、潛伏時長更長的攻擊手段,在普及程度加深和價值充分體現(xiàn)之后,移動支付將會成為這類網(wǎng)絡(luò)攻擊的重要目標(biāo)。
產(chǎn)業(yè)鏈各環(huán)節(jié)積極應(yīng)對
考慮到安全問題對產(chǎn)業(yè)發(fā)展至關(guān)重要,整個產(chǎn)業(yè)鏈都一直在這方面進行努力,不僅包括一些支付企業(yè),某些終端芯片廠商及一些傳統(tǒng)互聯(lián)網(wǎng)安全廠商也給予了高度關(guān)注。
“面對目前移動支付過程中存在的安全隱患,某些支付企業(yè)推出的相關(guān)移動支付技術(shù)能減少網(wǎng)頁的跳轉(zhuǎn),有效地降低釣魚網(wǎng)站和病毒的危害。收集的信息全程加密傳輸,信息保管也進行物理上的隔離,并且嚴(yán)禁用于與用戶支付無關(guān)的場景。”業(yè)內(nèi)人士指出。
除了技術(shù)方面的努力,某些支付企業(yè)還通過業(yè)務(wù)創(chuàng)新來保障用戶資金安全。包括對手機交易額設(shè)置了上限,例如有些支付企業(yè)還開創(chuàng)性地推出了賠付機制,滿足條件的用戶可以拿到支付企業(yè)的全額賠償,希望最大限度地打消用戶使用移動支付的安全擔(dān)憂。
此外,有些傳統(tǒng)互聯(lián)網(wǎng)安全廠商推出了云私有安全系統(tǒng),該系統(tǒng)注重支付環(huán)境的安全,通過特有的白名單技術(shù),將支付環(huán)境的規(guī)范化清零,只允許白名單中認(rèn)可的程序運行,保證支付環(huán)境不受到病毒污染,而且對于潛在的IPT攻擊更具有效果。
安全標(biāo)準(zhǔn)缺位是根源
就在產(chǎn)業(yè)鏈各環(huán)節(jié)紛紛為移動支付安全出謀劃策的時候,另一個問題浮出了水面,整個行業(yè)缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和體系,這給安全制度的推廣造成了困難。例如,高級別安全認(rèn)證工具的推廣應(yīng)用,就因為數(shù)字證書應(yīng)用缺乏統(tǒng)一的硬件標(biāo)準(zhǔn)下的兼容性問題。
“移動支付的安全不是孤立的安全,總的來講包括終端安全和業(yè)務(wù)安全,終端安全又包括設(shè)備安全、應(yīng)用安全和數(shù)據(jù)安全,每一個環(huán)節(jié)的安全者需要相應(yīng)的企業(yè)各司其職,同時又需要上下游之間充分溝通和協(xié)同,這樣才能保證整個體系的安全。”劉剛說。
林凱也表示,移動支付涉及產(chǎn)業(yè)鏈的各個環(huán)節(jié),包括銀行、公安、手機廠商、運營商、手機安全廠商等應(yīng)該全產(chǎn)業(yè)鏈聯(lián)手,包括用戶信用意識的建立,共同推進移動支付業(yè)務(wù)產(chǎn)業(yè)發(fā)展,金山安全已經(jīng)與多年移動支付企業(yè)展開合作商談。
財付通相關(guān)人士也透露,財付通已聯(lián)合騰訊手機管家、QQ瀏覽器,共建安全的移動支付生態(tài)圈。財付通還在積極與安全廠商、手機廠商、移動支付提供商等企業(yè)進行溝通合作,以完善移動支付生態(tài)鏈的搭建。