加强移动互联网金融安全保障迫在眉睫
2015-04-02《中国经济时报》2015年04月02日王涛
移动互联网金融安全问题“如鲠在喉”
(一)诈骗等网络犯罪如影随形
以攫取经济利益为目的的移动互联网金融犯罪活动屡禁不止,正成为阻碍其健康发展的“毒瘤”。一方面,移动互联网上诈骗信息泛滥,仅腾讯移动安全实验室的统计就显示,今年上半年用户举报诈骗短信达200多万条,较去年翻了一倍有余。另一方面,移动互联网上金融犯罪手段不断翻新升级,通过技术手段伪造移动基站和WiFi热点、进行号码伪装等,都具有极强的隐蔽性和迷惑性,用户稍不注意就会上当受骗。
(二)针对移动终端的攻击层出不穷
移动终端特别是移动智能终端作为移动互联金融应用的载体,现已成为黑客攻击的主要目标之一。卡巴斯基2014年10月24日发布的调查报告称,2013年8月至2014年7月间,有大约60%针对安卓手机的恶意软件,设计初衷就是窃取钱财或银行账户资料。百度手机卫士监测的数据显示,2014年一季度与移动互联网金融相关的手机病毒样本量高达12万,给用户造成经济损失达7500万元。
(三)业务链条上薄弱环节众多
移动互联网金融业务链条涉及多个领域,电信运营商、金融服务提供商、第三方平台提供商、各类零售商等各方在安全方面均存在大量薄弱环节。电信运营商业务流程存在安全漏洞,对诈骗短信、伪基站、号码伪装等缺乏有效的监测和应对手段,国内曾多次发生因手机丢失、手机卡被他人冒名补办导致余额宝内大量资金被盗的案件;银行、零售商等也面临着巨大的数据安全风险,用户信用卡数据等敏感信息被窃事件频频发生。
移动互联网金融安全风险“因由非一”
(一)移动终端不可靠
互联网金融交易大多采取短信验证码进行身份校验,移动终端是金融交易身份验证的关键环节之一。然而,在移动互联网金融环境中,移动终端集交易和身份验证两种功能于一身,“不可靠”的移动终端极有可能给移动互联网金融带来巨大的安全风险。
(二)移动应用不可信
为了抢占移动终端入口,各方不遗余力地推广带有支付、交易等功能的移动应用,比如,各大银行都推出了掌上银行,微博、微信等社交应用也添加了移动支付功能等。然而,这些“不可信”的移动应用正成为泄露用户信息、破坏交易安全的重大威胁。
(三)关键技术不可控
在移动互联网金融安全涉及的许多核心技术上,我国缺乏安全可控能力,“不可控”的关键技术导致我国移动互联网金融存在安全受制于人的风险。比如,电子钱包需要SoC芯片上的硬件安全模块和操作系统的深度支持,而安卓系统和芯片等关键技术掌握在ARM、高通、谷歌手中。常用于移动终端的指纹识别技术也牢牢掌握在苹果公司手中。
(四)用户行为不可测
大量用户的终端安全和金融安全意识较差,在应用安装、金融交易等方面缺乏必要的警惕性,“不可测”的用户行为也严重威胁着移动互联网金融安全。据CNNIC统计,我国移动互联网用户安全软件的安装率低于半数。此外,轻信诈骗短信,使用公共WiFi进行网上交易,在不规范的应用商店下载应用,对应用的开发者、来源等不加验证,不注意应用权限要求等情况突出。
加强移动互联网金融安全“势在必行”
(一)提高各方安全意识,建立风险信息共享机制
一是加大对预防诈骗等各类犯罪手法的宣传,提高终端用户的安全意识,不随意下载来源不明的应用,不在不安全的网络环境下进行交易。二是通过加强移动应用上架前安全检测与上架后漏洞通报机制,提高开发者的安全意识,将安全作为应用开发中的首要问题加以考虑,在及时采用最新安全技术的同时,加强安全检测、监测。三是加强与电信运营商、金融服务提供商、零售商等相关各方的信息共享与安全事件通报机制,提高安全意识,促进其加强自身业务安全保护,及时处理安全漏洞。
(二)加强移动互联网金融监管,形成长效治理机制
2014年以来,相关主管部门对移动互联网安全高度重视,继工业和信息化部、公安部、国家工商总局联合开展移动互联网应用程序第三方电子签名试点专项活动之后,2014年10月底,国家网信办宣布将出台移动应用程序发展管理办法。应进一步加强移动互联网金融安全监管。一方面,建立多部门联动的监管机制。移动互联网金融安全涉及多领域、多部门,包括中国人民银行、工业和信息化部、财政部、科技部、公安部等。建议各部门联合制定针对移动互联网金融的合作监管机制,指导加强部门联动与协作,协调相关行业采取共同措施。另一方面,形成移动互联网金融长效治理机制。针对终端、应用制定更为严格的监管制度,包括建立更加严格的开发者身份认证与应用安全审查制度,开展移动终端安全检测,建立移动互联网金融应用备案、强制保险、事后追责制度等。
(三)突破移动互联网金融关键技术,形成自主可控生态环境
美国利用各种手段对他国网络空间进行监控已是尽人皆知,在当前芯片、操作系统等移动互联网关键技术都被美国把持的情况下,维护我国包括金融安全在内的移动互联网安全十分困难。因此,打破国外技术垄断,建立自主可控的移动互联网生态环境才能从根本上保证移动互联网金融安全。一方面,要制定扶持国内企业、帮助提升移动终端技术能力与国产化水平的政策,通过资金支持、人才资源优化等多种方式,鼓励实现芯片、操作系统等的技术突破。另一方面,通过政府采购标准制定、推动产业合作等方式,给国内企业创造成长空间,逐步完善国产软硬件产品的生态环境,提高我国移动互联网金融本质安全。
(责任编辑:admin)