透过“棱镜门”反思国内移动支付安全建设

透过“棱镜门”反思国内移动支付安全建设

近日，美国一项代号为“棱镜”的机密计划逐步浮出水面，一时间，信息安全成为大众关注的焦点。棱镜像一面镜子，折射出了我国在信息安全防护方面的薄弱环节。基于当前的信息安全发展形势，笔者认为我国的移动支付业务在加快发展的同时，必须高度重视安全问题，安全管理是移动支付业务发展的前提与保障。

一、我国移动支付业务的发展现状

移动支付系统是依托移动终端设备、通信网络和后台处理系统共同组成完整的支付软件系统。移动支付系统按照技术特点来分主要有以下4类：基于SMS的系统、基于WAP的系统、基于I-mode的系统和基于J2ME的系统。其中终端设备中移动支付软件部署的位臵分布包括：SIM卡中、手机定制软件、手机操作系统上的应用软件、手机浏览器扩展插件等。

根据艾瑞咨询统计数据显示，2013年一季度，中国移动互联网市场规模为204.2亿元，同比增长75.4%，环比增长10.4%。目前各大传统互联网企业在移动端都进行了基本布局，其他的传统互联网企业也在移动端各个领域进行积极尝试，争夺移动端的船票，试图延续其在PC端的竞争优势。

而随着移动互联网的迅猛发展，用户群体也不断呈上升趋势。IDC数据显示，2013年中国互联网用户数将达到6.11亿，同时，移动互联网用户数达到4.61亿，这标志着移动终端将超

过PC成为用户访问互联网时使用最多的终端，也说明当前移动互联时代的信息安全相比传统PC互联网的信息安全更加受人关注，所遭遇的信息安全问题与挑战也比传统互联网更多更为突出。

二、移动支付业务存在的安全问题

移动支付安全问题主要包括终端安全、通信安全和程序自身安全三个方面：

（一）移动支付终端安全事件频发

目前，Android系统正式取代 Symbian 成为恶意软件的第一大操作系统目标这一转折点后，全球手机安全形势继续恶化，在2013年尤为明显，恶意软件在全球影响的范围更大，而且恶意软件的设计和伪装、钓鱼诈骗等新型传播手法均有显著进步。CNNIC(中国互联网络信息中心)调查显示，60.9%的网上支付用户认为电脑支付比手机支付更安全。在不愿使用手机在线支付的用户给出的原因中，前三项分别为：“感觉不安全”、“觉得太麻烦，不愿尝试中”和“网速太慢”，占比分别为38.2%、27.9%和27.7%。 监测平台在2012年共发现了超过65227个新型恶意软件，与2011年相比增长了263%。Android操作系统依然为恶意软件的主要发作平台，Android系统智能手机感染数量占2012全年智能手机感染数量的94.8%，据统计，2012年共有超过3200万台智能手机被恶意软件感染，与2011年的1080万部智能手机相比增长超过200%。与此相比，Symbian系统被恶意软件感染智能

手机仅占4%。

（二）通信安全成为移动网络的软肋

窃取用户个人隐私成为恶意软件的主要目标，目前发现的手机恶意软件中，有28%的恶意软件会盗取手机用户的隐私信息，并使黑客从中牟利。另外有7%的恶意软件会使得用户的手机“瘫痪”，无法正常使用。欺诈短信、恶意链接和伪装应用为恶意软件传播的三种主要途径。欺诈短信是黑客窃取用户个人隐私信息的最有效和获利最多的方法之一。许多新型手机恶意软件，其共同特征为会在暗中窃取用户的通讯录、手机号码等个人信息上传至黑客服务器。

另外，公共Wi-Fi也正在成为信息泄露的重灾区。黑客往往会搭建一个假的免费公共Wi-Fi供用户使用，当用户在这个“黑网”内进行网络交易或输入隐私信息时，黑客便可轻易截获所有数据。

（三）支付应用软件自身安全性不高

程序代码被静态或动态篡改、中间数据被篡改或盗取，特别重要的是程序输入输出接口的 ——密码输入控件、驱动的安全性保障。智能手机、平板电脑等移动设备为网络信息传递带来便捷的同时，也面临着许多信息安全风险。一些恶意App以提供免费下载为诱饵，一旦安装，恶意App就通过事先设定好的命令，将用户移动设备中的个人隐私信息发送出去，导致信息泄露。普通手机通常没有加密技术，在支付过程中往往会造成信息泄露，

这已成为移动支付发展的一大难题。用户在使用手机进行支付时，未进行加密等安全措施保护，而黑客们通过钓鱼网站或木马程序就可以窃取用户信息，将被移动支付功能进行非法复制，从而造成用户的损失。

（四）移动终端用户安全意识淡薄

《2012年中国网络支付安全状况报告》显示，有47.2%的用户对网上支付安全问题表示非常不关注或较不关注。此外，有57.6%的用户表示不知道保障网上支付安全的办法)等。CNNIC分析师介绍，在不提示的情况下，网上支付用户了解最多的安全保障方式是电脑杀毒和防火墙，仅占30.8%;此外，知道使用动态密码、动态口令卡等安全保障方式的用户均不超过三成。

(五)移动支付适用的法律仍不完善

移动支付是比较新的行业，法律法规相对较少，虽然目前已经颁布了《电子签名法》、《国务院办公厅关于加快电子商务发展的若干意见》等，但这些条款仍无法较为全面地覆盖移动支付的各个层面，面对电子支付的快速发展还需要更全面的法律条款来约束交易行为，还需要在责任、权利、义务、赔偿、罚款以及信用机制方面细化法律法规。

三、构建安全的移动支付体系

（一）使用具有完全自主知识产权的安全产品

使用国外的产品及系统，安全漏洞和隐患是不可避免的，要想彻底摆脱受制于人、被监听窃密的困局，必须建立起自主可控